简述

尽管有缺陷的产品或服务对任何业务构成重大风险,但目前不需要对组织的质量控制保证体系QCAS进行检查或审核缺陷可能会对公司的财务产生不利影响,例如Takata Corporation破产了。安全气囊缺陷的结果作者认为标准应要求上市公司对其QCAS进行定期检查或审核,以说明赞助组织委员会COSO内部控制框架如何用作制定组织QCAS检查或审核程序的指南他们还讨论了如何将COSO关于企业风险管理的指南整合到QCAS的检查或审核中

目前,公司无需检查或审核其质量控制保证体系QCAS,以减少有缺陷甚至有时是危险的产品或服务被出售给客户的机会。Frank J Fabozzi Pamela Peterson Drake和Ralph S Polimeni定义的QCAS在完整的CFO手册该系统可为管理层提供持续的反馈,以进行决策,以确保最佳的产品质量John Wiley SonsInc。根据AU C部分的规定,产品或服务缺陷可能且经常确实会对公司的财务状况造成不利影响。独立审计师和按照公认的审计标准进行审计的目的财务报表审计的最终目的是保护财务报表的使用者(如投资者和债权人)由于生产过程中质量控制无效或不足而导致的缺陷产品流程可能导致公司财务崩溃诸如医疗保健等服务缺陷也可能导致毁灭性后果

QCAS无效的潜在影响

根据Burke和Polimeni的说法,无效的质量控制保证体系会直接影响组织的资产过多的返工成本和损坏的单元会导致更高的成本和组织资源的低效使用CPA需要了解哪些质量控制保证体系注册会计师杂志一月http位图例如,欧盟和美国针对Q的硬线玩具运动器材家具的召回率分别增加和超过Q SGS Group Management SA硬线产品召回趋势2月http位ly SCJc j展示描述了Q类别中的硬线产品召回次数最多的类别

展示

美国的Q召回总数

Torrent Pharmaceuticals已召回其洛沙坦降压药的批次,因为其中含有可能不可接受的人类致癌物含量Torrent Pharmaceuticals Limited扩大了在全国范围内自愿召回的Losartan钾片USP食品和药物管理局FDA网站FDAhttp位ly SOUhib集体诉讼记者表示该公司目前正面临客户Torrent Pharma Sanders提起的集体诉讼,涉及被污染的通用Losartan 2月http位ly Hdx ZzFDA还报告说Tris Pharma召回了部分婴儿布洛芬,因为它可能具有高于可接受水平的布洛芬Tris Pharma发行了全国范围内自愿召回的婴儿布洛芬浓缩口服混悬液USP NSAID mg / mL,因为布洛芬的浓度可能更高http位ly k kTk

在三星中,由于电池缺陷可能导致火灾,召回了数百万部Galaxy Note手机。后来发现约有数百万部替换手机具有相同缺陷,并最终被召回,导致型号为Paul Mozer和Su Hyun停产。 Lee Samsung召回电池火灾引发的数百万Galaxy Note的召回纽约时报https nyti ms SFBllT根据风险管理损失总额估计超过十亿美元http bit ly Hh slO

由于生产有缺陷的安全气囊而导致的召回和诉讼,Takata Corporation承担数十亿至数十亿美元的债务,这些安全气囊可能在撞击时爆炸,将致命的金属弹片散布到乘客体内。路透商业新闻六月https reut rs OLrDx这些危险的爆炸是在车祸中使用化学物质导致安全气囊爆炸的结果消费者报告解释说,使用该化学药品时没有干燥剂,如果暴露于某些环境条件下(例如高湿度),会导致热弹片散开。Takata安全气囊http位ly Immvw根据国家公路交通安全管理局NHTSA的报告,此产品缺陷已导致至少全世界范围内的人员死亡,甚至多于伤害。消费者报告进一步表明,有缺陷的安全气囊召回事件预计将在美国造成共计数百万辆汽车的召回,这使其成为美国最大的汽车召回事件。6月,高田公司在美国和日本申请破产。在Takata安全气囊丑闻后从Grace倒下彭博社六月https bloom bg HhhbsR

最终,神户制钢是日本最大的铝和钢铁生产商之一,也是汽车制造商的主要供应商。10月,神户制钢承认伪造了大量金属出货量的质量控制记录。华尔街日报十月wsj com ks c上的https这些文件被篡改,以使其看起来好像产品符合客户的规格(如果不符合)。此外,该公司承认,从11月到9月,它没有对其产品执行所有必需的质量测试,并且员工和管理层试图在调查期间隐藏伪造质量数据的证据

显然,根据上述示例,QCAS的问题普遍存在或不存在,并且影响到许多行业。除了与缺陷单元相关的直接财务成本外,由于质量低劣,公司的声誉也可以快速,轻松地受到损害,如Sridhar Ramamoorti Dorsey所指出的那样。由于社交媒体和小时新闻周期的影响,L Baskin Barry Epstein和James Wanserski的声誉损失可能很快发生注册会计师杂志六月http bit ly OGj f

正如Joel Lanz指出的,COSO ERM新世界中的企业技术风险注册会计师杂志六月http位ly bwyNz公司承认要实现业务目标和战略,他们必须拥有在线业务并利用技术来推动高效和有竞争力的服务交付策略。但是,这些相同的技术也可能对实体的声誉造成重大损害并导致诉讼

缺乏有效的QCAS可能会损害公司的声誉,影响其底线,并给投资者和债权人造成重大财务后果,并给消费者造成人身伤害

QCAS的检查或审核职责

内部审计师协会(IIA)发布的《内部审计专业实践国际标准》指出,内部审计活动必须评估有效性并有助于改善风险管理,但是没有专门与公司质量控制相关的特定标准内部审核职能的质量控制内部审核员主要由公司聘用,以评估可能不包括QCAS审核的政策和程序,目前不要求外部审核员作为常规审核的一部分对QCAS进行审核

作者认为,应该为上市公司建立标准,要求对其QCAS进行定期检查或审核。理想情况下,外部审计师应与内部审计师或公司合规官CCO的工作一起发表意见。这可以作为独立机构的一部分来完成财务报表审计或作为协议程序约定的一部分,外部审计员可以根据AICPA的AT部分“协议程序约定”来制定审查QCAS的程序工作程序http ly OL Ule商定的程序应针对已建立的质量控制保证。自愿聘用CPA来审核公司的财务报表,向其客户传达一个信息,即它重视优质的产品或服务,并且对社会负责

外部审核员可以与内部审核员和CCO协同工作,并且在进行了适当的尽职调查之后,可以使用这些人员的工作来完成QCAS的检查。内部审核员是允许的,并且经常被外部审核员使用于年度外部审核中。使用简单明了,因此无需分配任何需要判断或决定的工作,这些工作通常需要保留给负责审计的外部审计师和外部审计师必须同意承担起他们的工作责任,因此内部和外部审计师可以一起工作

另一种情况是,公司仅要求其内部审核员检查QCAS,而无需外部审核,当然前提是他们聘用了内部审核员。但是,外部审核则通过向公众保证公司正在管理内部审核员而进一步向前迈进了一步。产品或服务的质量此外,内部审计师可以与CCO合作评估劣质产品或服务的风险,并就如何解决任何问题向审计委员会或管理层提出建议,例如CCO最初可能会制定必要的政策以遵守政府安全规定例如游乐园或医疗废物处置的标准,内部审核员可以检查程序和对这些标准的遵守情况,以确保遵守这些标准

质量控制保证体系的成本

公司还必须管理其产品和服务的质量,以便在消费者市场上具有竞争力。全球供应链还必须依靠产品质量,以增强和确保质量,公司应拥有适当的成本效益QCAS确保产品或服务的成本符合规范的被称为质量成本Fabozzi等人解释说,这些成本通常分为以下四类之一

  • 预防费用与避免缺陷相关的成本,例如工人培训和质量激励
  • 评估费用在交付给客户之前评估或测试产品或服务以确保它们符合质量标准的成本
  • 内部故障成本公司在将其出售给客户之前发现故障的成本,例如维修和返工有缺陷产品的成本
  • 外部故障成本将其出售给客户后发现缺陷或质量欠佳时产生的成本,例如修理产品或纠正提供的服务以保护公司形象的公关活动的成本以及诉讼成本

ISO认证

国际标准化组织(ISO)是国际质量标准的全球领先创建者。许多制造商都获得了ISO认证,以向客户保证他们的产品和服务是高质量的。ISO确立了质量管理体系的认证要求。它是根据七个质量管理原则,例如以客户为中心和持续改进的过程,并有助于确保客户获得一致的优质产品和服务,从而带来许多业务收益ISO家庭质量管理ISO网站http位ly Hf yPF一个独立的机构必须对寻求认证的公司进行审核,但是认证并不要求审核包括对QCAS的审查。此外,如果一家公司想要获得认证,ISO不会参与认证公司的工作,尽管这需要聘请外部认证机构。机构无需获得认证ISO网站http位ly shL n同样,一旦获得ISO认证,ISO就会提出建议,但并不要求对该公司的QCAS进行审核,即通过ISO家庭质量管理。因此,即使经过ISO认证的许多公司仍然存在许多产品或服务缺陷,这不足为奇

QCAS的设计

设计QCAS审核或工作计划的一种方法是遵循发起组织委员会的COSO框架,该框架确立了有效内部控制系统的要求COSO的内部控制综合框架已被会计界广泛认可为关键框架设计实施和执行内部控制并评估其有效性的方法美国大多数上市公司都依赖于框架Jill D Aquila COSO的内部控制综合框架注册会计师杂志十月http位ly SjKstt根据内部控制框架,有五种内部控制原则,以前称为组件,这些要素在设计和实施内部控制系统时为用户提供了清晰的信息,并了解有效内部控制的要求。http ly uG问题原理如下

  • 控制环境
  • 风险评估
  • 控制活动
  • 信息和通信
  • 监控方式

以下是这些原理的概述,以及如何将其应用于QCAS设计检查或审核程序的示例

控制环境

顶部的语调对内部控制COSO的整个系统具有普遍影响,因此对于QCAS的有效性至关重要。拥有良好内部控制的公司具有以下属性

  • 控制环境表明了对诚信和道德价值观的承诺
  • 董事会表现出与管理层的独立性,并对内部控制的发展和绩效进行监督
  • 管理层与董事会一起建立监督机构的报告渠道,并建立适当的权限和责任以实现目标
  • 该组织表现出致力于根据其目标吸引发展和留住有能力的个人的承诺
  • 该组织要求个人在实现其目标时对其内部控制责任负责

例如,质量政策可能是由管理层或政府决定的。因此,在评估QCAS时,最上层的语气很重要,这是很重要的。不道德或高层态度不正确可能会导致QCAS的实施效率低下。例如,一个步骤可能是确定管理层完全支持组织的质量控制目标并监控QCAS的正确实施此步骤可以通过与直接参与QCAS的员工进行面谈来完成

风险评估

此类别中的COSO原则指出该组织

  • 明确说明目标,以便能够识别和评估与目标相关的风险
  • 识别整个实体中的风险并进行分析,以此作为确定如何管理风险的基础
  • 在评估风险时考虑欺诈的可能性,并
  • 识别并评估可能严重影响内部控制系统的变更

除了将上述风险原则纳入QCAS的设计之外,公司还应考虑将COSO与企业风险管理集成框架为帮助公司管理风险而开发ERM框架并不能取代内部控制框架,该框架是可行的并且适合设计实施内部评估和评估内部控制以及随后报告COSO企业风险管理与战略和绩效第一和第二册集成6月ERM框架强调在战略制定过程和绩效提升中考虑风险的重要性

COSO的ERM框架将风险定义为事件发生并影响策略和业务目标实现的可能性,将风险偏好定义为组织在追求价值时愿意接受的广泛风险类别和数量。列出在整个组织中集成企业风险管理可遵循的原则ERM框架中列出的五项原则如下

  • 治理与文化治理将基调放在首位,从而可以强调企业风险管理的价值企业风险管理文化影响决策
  • 战略和目标设定企业风险管理应该整合到整个组织的战略计划中,包括其业务目标。实体结合战略制定来设定其风险承受能力。业务目标使战略得以付诸实践,并形成实体的日常运营和优先事项
  • 性能识别风险并评估其严重程度根据风险的严重程度确定风险的优先级,并考虑实施企业的风险偏好风险应对措施,并创建这些风险的投资组合视图
  • 审查和修订评估实体的绩效,并根据需要审查和修订企业风险管理计划
  • 信息交流与报告通过使用技术管理,收集与其ERM系统相关的信息,并在整个组织(包括董事会)中传达该信息,然后向风险承担者报告风险文化和绩效

风险评估在审核QCAS中的应用

对QCAS的审查应包括对目标和与未实现这些目标相关的财务风险的审查。对QCAS的设计应在与生产不良产品或服务相关的财务风险相适应的水平上。

什么将企业风险管理与战略和绩效示例相结合提供了来自不同行业的各种公司如何管理风险的假设示例,其中一个示例涉及一家具有企业目标的消费品公司,即开发满足客户需求的创新产品并建立更好地识别和管理公司的系统的使命广泛的风险从此企业目标出发,制定了一个特定的业务目标和目标,即制定了一个目标,以开发代表整个产品线的植物汁产品。该摘要说明了公司如何通过为每个部门制定具体目标来建立对各个部门的责任,然后确定每个目标的风险

实施和运行全面的QCAS可能会很昂贵,因此应进行成本收益分析,将QCAS的运营成本与其故障相关的潜在财务风险进行比较。例如,回形针制造公司的QCAS发生故障可能会导致包装件有缺陷的回形针尽管这种故障可能会使某些客户烦恼,但它不应给公司带来重大的财务风险。因此,对QCAS进行检查或审核的程度和频率应基于消费者对质量期望的需求和期望。如果质量控制失败,还有重大问题的风险

与产品安全有关的领域,例如飞机发动机药品,应该进行更频繁,更广泛的审核。如上所述,还应考虑生产不良产品或服务对公司的声誉风险。这在信息可以迅速传播的现代商业环境中尤其重要。社交媒体如果在竞争激烈的市场中有许多选择,那么消费者可能会出于质量考虑而切换品牌或服务。当消费者对产品或服务形成初步意见时,质量对于新公司尤为重要,例如,客户的首次体验在新餐厅用餐是负面的,他们返回第二餐的机会很小

控制活动

纳入COSO内部控制框架这一部分的原则规定,组织应

  • 选择并开展有助于降低风险以达到可接受水平的控制活动
  • 选择和发展有关技术的一般控制活动,以支持实现目标和
  • 通过建立期望的策略和将策略付诸实践的程序来部署控制活动

例如,检查或审核应包括对质量控制过程实施要求的随机检查的审查,以确保产品或服务符合设计要求。职责分离也应进行审查,一个步骤可能是确保确保检查员实际上未参与制造产品或提供服务的另一步骤可能是确保只有适当的人员才能访问质量控制记录,以防止篡改。提供要求和检查过程也将突出重要性鼓励实体制定有效的QCAS所需的程序对于在线零售公司,应进行检查以查看系统是否到位以及是否有效运行以确保某些客户的隐私受到保护,例如随机检查以确定是否客户选择不与第三方共享个人信息该请求已实现

信息和通信

纳入COSO内部控制框架这一部分的原则表明,组织应

  • 获取或生成并使用相关的质量信息以支持内部控制的功能
  • 内部沟通信息,包括支持内部控制和维护职能所需的目标和职责
  • 就影响内部控制功能的事宜与外部各方进行沟通

例如,注册会计师应确定QCAS政策和过程是否已形成文件并适当地传达给适当的人员,质量控制目的和目标的任何变更是否已传达给所有适当的人员并纳入质量控制手册。此外,还应确定程序是否符合要求。适当地将质量问题适当地传达给适当的个人的地方

监控活动

纳入COSO内部控制框架这一部分的原则规定,组织应

  • 选择开发并进行持续或单独的评估,以确定内部控制的组成部分是否存在并正常运行,以及
  • 及时评估内部控制缺陷并将其传达给负责采取纠正措施的各方,包括高级管理层和董事会(视情况而定)

例如,应检查高层管理人员是否有正在进行的审核过程,其中可能包括实施并形成文件的内部审核过程,以评估其QCAS的有效性。检查应检查及时纠正缺陷,例如考虑质量控制生产工厂的检查员有时会帮助组装操作员生产产品。这可以被视为违反职责分工,应通知高级管理层,以便可以采取纠正措施来解决这种情况

作为与服务有关的示例,国家饭店连锁店的内部质量控制食品检查人员应在适当的情况下向负责纠正措施的各方提交报告。审阅者应检查这些流程是否已到位并已得到遵守,并应纳入相关的目标和流程带有预防设计的内部故障和外部故障例如,是否在预防区域中建立了合理的目标,或者它们是不现实的,例如在公司质量政策未规定零缺陷的情况下要求零缺陷如果外部审核员对QCAS进行审查有关QCAS的问题应与财务报表和内部控制意见一并发布

质量问题

QCAS应该到位并有效运作,以确保按照公司规格制造产品或提供服务。作为年度财务审计的一部分,应要求上市公司由外部审计师对QCAS进行定期检查声明或与内部审核员或公司合规官一道单独约定的程序参与程序同时,公司应要求其内部审核员或CCO进行风险评估并定期对其QCAS进行检查

Jacqueline A Burke博士注册会计师是霍夫斯特拉大学汉普斯特德分校的弗兰克·扎尔伯特商学院会计学系系主任Chaykin杰出会计学教授和会计学教授。
Ralph S Polimeni博士,注册会计师,是Chaykin赋权的会计学系主任,也是霍夫斯特拉大学汉普斯特德分校弗兰克·扎尔伯特商学院会计税收和法学研究系会计学教授。
Anthony Basile博士CPA CVA CFE是霍夫斯特拉大学亨普斯特德分校弗兰克·扎尔布商学院会计税和商业法研究系会计和税收副教授