m********n
发帖数: 3 | 1 之前没有做过SOX,只做过risk-based audit,之后需要用,所以想问问关于SOX的问题。
1. 404和risk-based audit过程中的risk assessment和control testing,区别在哪儿?
我感觉两者在范围和方法上都差不多,除了说404要单独issue an opinion on
internal control on financial reporting。那么是否做完404,再做risk
assessment和control testing的时候可以引用404的结果,以避免重复劳动,节约成本?
2. 我感觉似乎未来审计发展, 对风险评估越来越看重。那么对于上市公司,实施risk-
based audit是不是可以取代404啊,是不是这个也可以满足issue an opinion on
internal control over financial reporting? 还是说404对内控有具体的要求,而却
没有什么具体法规对risk-based audit 的内控测试有具体的要求。
谢谢大家的答复! | p**z
发帖数: 1311 | 2 1. same thing except you have to do the control testing every year (every
quarter?) for 404 vs. you can access your risk and decide what you want to
do
2. 传说中risk-based audit在404之前就有 只是404要你issue opinon所以一下子
control的活多了.但是现在好像可以reply on internal audit's work.所以一下子活
又少了
i think |
|
