SOX404条款的实施-控制例外事项与缺陷的评估框架.ppt

《SOX404条款的实施-控制例外事项与缺陷的评估框架.ppt》由会员分享，可在线阅读，更多相关《SOX404条款的实施-控制例外事项与缺陷的评估框架.ppt（51页珍藏版）》请在三一文库上搜索。

1、1,控制例外事项与缺陷的评估框架,萨班斯-奥克斯利法案（SOX） 404条款的实施,2,控制例外事项与缺陷的评估框架,一、定义及其他背景信息 二、控制例外事项与缺陷评估基本步骤 三、控制例外事项与缺陷评估实例,3,定义及其他背景信息,4,监 督,监督： 监督是对内部控制体系有效性进行评估的持续过程，包括：持续监督、独立评估和缺陷报告。 1）持续监督是在公司日常经营过程中进行的，包括日常的管理和监督活动，以及员工在履行职责时所采取的检查内部控制执行质量的行为。 2）独立评估就是独立于内部控制活动之外而采取的定期评估行为，独立评估的范围和频率，主要取决于风险评估和持续监督程序的有效性。独立评估内容

2、包括：评估的范围和频率、评估过程、评估方法、文档记录。 3）缺陷报告是将内部控制缺陷自下而上报告的行为。缺陷报告的内容包括：汇集和报告发现的内部控制缺陷、汇报机制的适当性、跟进评估的适当性等。,5,内部控制缺陷,内部控制缺陷： 当某项控制的设计或运行不能使管理层或员工在正常行使其职责过程中及时防止或发现错报时，表明存在内部控制缺陷。内部控制缺陷包括设计缺陷和运行缺陷： 设计缺陷：当缺少实现内部控制目标必需的某项控制措施时，或者当现有内部控制的设计不适当，以至于即使内部控制按照设计运行，通常也无法实现内部控制目标时，则存在设计缺陷。 运行缺陷：当设计适当的内部控制没有按照设计运行，或者当执行内部

3、控制的相关人员缺乏必要的授权或不具备实施有效控制的资格时，则存在运行缺陷。 内部控制缺陷按照程度不同分为一般缺陷、重要缺陷和实质性漏洞。,6,一般缺陷、重要缺陷、实质性漏洞,一般缺陷（Control deficiency ）： 如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中，及时防止或发现错报，那么就存在一般缺陷。 重要缺陷（Significant Deficiency）： 是一种严重影响公司根据公认会计准则要求，对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总。 是一个财务报告内部控制缺陷或多个财务报告内部控制缺陷的联合，

4、它在严重性上小于实质性漏洞，但其重要程度足以值得那些负责监督公司财务报告的人员注意（PCAOB5-A11）。 实质性漏洞（Material Weakness）： 是财务报告内部控制的一个缺陷或多个缺陷的联合，以至于公司年度或中期财务报告的一个重大错报没有被及时防止或发现存在的合理可能性（PCAOB5-A7）。（注：如果一个事项的可能性是“相当可能”或“很可能”，那么该事项就存在合理可能性。）,7,一般缺陷、重要缺陷、实质性漏洞（续）,实质性漏洞的认定标准： (1)定量标准 在考虑其补充、补偿控制后的经调整影响水平达到或超过重要性水平，直接认定为实质性漏洞。 (2)定性标准 财务报告内部控制存在

5、实质性漏洞的迹象包括： 1）识别出与高级管理层有关的舞弊，无论重大与否； 2）为反映对一个重大错报的更正而重述以前发布的财务报表； 3）审计师识别出了当期财务报表中的一个重大错报，而当期的情形表明公司财务报告内部控制没有发现该错报； 4）公司审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。（ PCAOB5-69） 注：PCAOB5-69表示：第5号审计准则与财务报表审计相结合的财务报告内部控制审计第69条。 （下同）,8,一般缺陷、重要缺陷、实质性漏洞（续）,重要缺陷的认定标准： (1)定量标准 在考虑其补充、补偿控制后的经调整影响水平低于“重要性水平”，但是达到或超过“不重要水平

6、”，直接认定为重要缺陷。 (2)定性标准（参考：PCAOB2-139） 主体层面的控制（Entity-level control)： a 是否根据一般公认会计原则对会计政策进行选择和应用的控制。 b 非常规(非重复)或复杂交易的控制。 c 反舞弊程序和控制。 d 对于期末财务报告过程的控制包括：将交易总数过入总账，初始、授权、记录和处理总账中的日记账分录，记录财务报表中重复发生和非重复发生的调整等控制。 信息系统总体控制： a 如果信息系统应用控制中的重要缺陷与信息系统总体控制中的缺陷有关或由它所引起的，认定该信息系统总体控制缺陷也是重要缺陷。 b 如果信息系统应用控制中的一般缺陷与信息系统总

7、体控制中的缺陷有关或由它所引起的，经过定性分析，认定为重要缺陷。,9,补偿性控制、补充性控制和冗余性控制,补偿性控制（ Compensating controls ）： 能够防范或发现年度或中期财务报告中影响程度“比较重要”或“重要”的错报的控制。其操作层面和执行力度的确定应当与实施该控制后仍然存在未发现错报的可能性相联系。（控制力度与效果相同。） 补充性控制（ Complementary controls ）： 与其它控制共同作用以实现相同控制目标的控制。（不同的控制力度与效果。） 冗余性控制（Redundant controls） 实现与其他控制相同控制目标的控制。,10,重要性水平、不重

8、要性水平,重要性： 指在特定环境下，一个理性的人依赖该信息所做的决策可能因为这一错报或漏报得以变化或修正（FASB）。在规划财务报告内部控制审计时，审计师使用的重要性判断应当与其规划公司年度财务报表审计时使用的重要性判断相同（PCAOB5-20）。重要性水平一般为税前利润/损失的5%。 不重要水平： 一般为重要性水平的20%，即为税前利润/损失的1%。,11,统计样本量90%准确率,12,总体影响水平和调整后的影响水平,总体影响水平： 在考虑补充控制、冗余控制或补偿性控制之前，不考虑偏差率上限或错报发生发生的可能性，对缺陷影响年度或期中财务报表的余额或发生额的最差估计。影响总体影响水平的因素包

9、括： 1）受缺陷影响的年度或期中财务报表余额或发生额； 2）受缺陷影响的会计科目或交易类型在本年度或期中财务报表期间已发生的或预计发生将来会发生的活动量。 调整后的影响水平 =总体影响水平*偏差率上限,13,审计准则第5号评价识别出的缺陷,PCAOB5-62：审计师必须评价其注意到的每一控制缺陷的严重性，以确定在管理层评价这些缺陷单独或联合起来是否是实质性漏洞。 PCAOB5-63：一个缺陷的严重性取决于：（1）公司的控制没有防止或发现一个会计科目余额或披露事项的错报是否存在合理可能性；（2）由这个缺陷或多个缺陷导致的潜在错报的大小。 PCAOB5-64： 一个缺陷的严重性并不取决于一个错报是

10、否实际发生，而是取决于公司的控制没有防止或发现一个错报是否存在合理可能性。,14,审计准则第5号评价识别出的缺陷（续）,PCAOB5-65 ：风险因素会影响一个缺陷或缺陷的联合导致一个会计科目余额或披露事项发生错报是否存在合理可能性。这些因素包括，但不限于： 1）财务报告会计科目、披露事项和相关认定的性质； 2）相关的资产或负债易受损失或舞弊影响的程度； 3）确定相关数额所需判断的主观性、复杂性或程度； 4）该项控制与其他控制的相互作用或相互关系，包括它们是否相互依赖或重复，即控制冗余； 5）缺陷的相互作用； 6）缺陷未来的可能后果。 注：影响相同财务报表会计科目余额或披露的多个控制缺陷增大了

11、错报的可能性，并且联合起来可能构成一个实质性漏洞，尽管这些缺陷单独可能不严重。因此，审计师应当确定影响相同的重要会计科目或披露事项、相关认定或内部控制要素的单独控制缺陷总体上是否会形成实质性漏洞。,15,审计准则第5号评价识别出的缺陷（续）,PCAOB5-66 ：对由一个或多个控制缺陷导致的错报来说，影响其大小的因素包括但不限于下列因素（1）暴露与该缺陷的财务报表数额或交易总额；（2）对当期已发生或预计未来期间会出现的缺陷，暴露于该缺陷的会计科目余额或交易类别中所含活动的数量。 PCAOB5-67 ：在评价潜在错报的大小时，一个会计科目余额或交易总额可以被高报的最大数额通常是记录的总额，而低报

12、可能性会更大。而且，在许多情况下，一个小错报的可能性比一个大错报的可能性要大。 PCAOB5-68 ：在确定一个控制缺陷或多个控制缺陷的联合是一个实质性漏洞时，审计师应当评价补偿性控制的作用。为了具有减轻的作用，补偿性控制应当在会运行在会防止或发现重大错报的精确层面上。,16,审计准则第5号实质性漏洞的迹象,PCAOB5-69（略）。 PCAOB5-70：在评价一个缺陷或多个缺陷的联合的严重性时，审计师还应当确定细节的水平和保证的程度，它们要使谨慎的职员在处理其事务时确信他们合理保证对交易进行了必要的记录以允许按照公认会计原则编制财务报表。如果审计师确定，一个缺陷或多个缺陷的联合使谨慎的职员在

13、处理其事务时不能判定他们合理保证对交易进行了必要的记录以允许按照公认会计原则编制财务报表，那么，审计师应当将这个缺陷或多个缺陷的联合视为实质性漏洞的一个迹象。,17,控制例外事项与缺陷评估基本步骤,18,内控缺陷的识别、评估和分类步骤,19,图表1：评估在运行有效性测试中发现的例外事项,用于评估在穿行设计有效性测试和关键控制运行有效性测试中发现的所有控制例外事项，包括控制活动测试、信息系统总体控制测试和主体层面控制测试。,20,图表1中的关键点,步骤框1：所有例外事项都应该进行定量和定性的评估。在判断是否达到测试目标时，应该考虑的因素包括： 1）与控制执行频率相关的偏差率； 2）定性因素，包括

14、被确认为系统性的或反复发生的例外情况以及PCAOB5中所列因素相关的例外情况； 3）例外情况是否已经导致财务报表错报。 控制目标可以通过单个或多个控制实现。控制测试可以用于测试可实现控制目标的单个控制或多个控制的组合。,21,图表1中的关键点,步骤框2：如果没有达到测试目标，应该考虑追加的测试是否可以支持偏差率不能代表总体的结论。 得到“是” 的结论是基于该例外事项不是足以代表总量的较小的控制错误。这种情况是基于审计凭证及审计师根据对控制环境及测试取样标准所做判断的结果。 步骤框3：如果没有达到最初测试目标，那么有两个选择： 1）如果认为观察到的例外情况和所导致的不可忽视的偏差率对总体来说没有

15、代表性（如：由于抽样错误），那么可以扩大测试样本量并进行重新评估 2）如果认为观察到的例外情况和导致的不可忽视的偏差率可以代表总体，则认为此例外情况构成控制缺陷并将对重要性进行评估。,22,图表2A：评估流程/交易层面控制缺陷的评估,步骤1：确定是否存在重大缺陷,23,图表2B：评估流程/交易层面控制缺陷的评估,步骤2：确定是否存在实质性漏洞,24,图表2中的关键点,步骤框1：在评估缺陷时，潜在的重要程度（不重要，大于不重要，或重要）取决于对年度和期中财务报表的潜在影响。如果年度或期中财务报表错报的潜在重要程度为“不重要”，则该控制缺陷仅被确认为“一般缺陷”。错报的潜在重要程度取决于总体影响水

16、平、调整后的影响水平以及其他考虑了错报发生可能性的适用方法。 步骤框2和3：如果存在可以有效减轻控制缺陷严重性的控制，并在没有任何定性因素影响之下，包括PCAOB5中所列的因素，则该控制缺陷可以仅被确认“一般缺陷”。此类控制包括： 1）实现相同控制目标的补充性控制或冗余控制； 2）以可以防止、发现年度或期中财务报告中“大于不重要”的错报的准确度运行的补偿性控制。 步骤框3：没有实现针对性重要会计科目或披露事项的控制目标，且未经减轻的控制缺陷通常有一定可能性会导致“大于不重要”的年度或期中财务报表错报发生，因此，它至少构成重要缺陷。,25,图表2中的关键点,步骤框4： 在没有任何定性因素影响之下

17、，包括PCAOB5中所列的因素，如果缺陷导致的年度和期中财务报表的潜在重要程度小于“重要”，则该控制缺陷仅被确认为“重要缺陷”。 步骤框5： 如果存在以可以预防、发生年度或期中财务报表中重要错报的准确度运行的补偿性控制控制，则可以支持缺陷不构成实质性漏洞的结论。,26,图表2中的关键点,步骤框6： 在评估可能性和重要性时，需要考虑的相关因素包括但不限制于一下内容： 1）所涉及的财务报表科目、披露和认定的性质，例如临时科目和关联方交易可能具有更大的风险。 2）相关资产或负债受损失或舞弊行为的影响程度，即受影响的程度较大意味着较大的风险。 3）确定涉及金额所需判断的主观性、复杂性或程度，即，主观性

18、、复杂性越大，或判断越多，比如与会计估计有关，则风险也越大 4）对控制运行有效性测试来说，已知或发现的例外事项的产生原因和频率，例如，被发现存在不可忽视的偏差率的控制构成控制缺陷 5）与其它控制之间的互动或关系，即控制的相互依赖和控制之间的冗余。 6）既有缺陷在将来可能产生的后果。 7）以前年度及当年发生的错报显示风险的增加 （ PCAOB5-69)。 8）与总体重要性水平相关的调整后的影响水平。,27,图表2中的关键点,步骤框7和8： 在评估财务报表内部控制缺陷的重要程度时，审计师应该确定使谨慎的管理者有合理的确信度认为公司的交易得到适当的记录以使得财务报表的编制满足公认会计准则的详细水平和

19、确信程度。如果审计师确定缺陷会妨碍一个谨慎的管理者在执行他们自己的工作时得到合理的确信度，那么审计师就应该认为缺陷至少是一个重要缺陷。如果已经以这种方式确定一个缺陷构成重要缺陷，那么审计师必须进一步评估该缺陷，从而确定它是否单独地或是和其他缺陷一起构成实质性漏洞。,28,图表3：信息系统总体控制缺陷的评估,29,图表3中的关键点,所有信息系统总体控制的缺陷都应运用图表3进行评估。 若信息系统总体控制具有应用系统层面控制的作用，则也可以运用图表2对其进行评估。（直接影响财务应用系统、会计科目或余额等的问题） 信息系统总体控制为信息系统应用控制的依赖提供基础，同时也为财务报表审计中所使用的管理层报

20、告提供支持。 如果信息系统总体控制出现的问题并不严重，在某种程度上还是可以依赖信息系统应用控制的。 如果若干控制联合作用以达到既定的信息处理目标，那么还需测试相互依赖的控制（即补充性控制）。,30,图表3中的关键点,步骤框1： 可以有效减轻控制缺陷严重性的控制，在并没有任何定性因素影响之下，包括PCAOB5所列的因素，一般仅被确认为“一般缺陷”。这些控制包括实现相同控制目标的补充控制或冗余控制。一项由应用系统控制缺陷导致的信息系统总体控制缺陷说明其他信息系统总体控制不能实现不完善的信息系统总体控制的控制目标。 步骤框2： 如果应用系统层面没有缺陷（如图表2所评估的），则信息系统总体控制缺陷可以

21、认为仅是一般缺陷。,31,图表3中的关键点,步骤框3和4： 如果应用系统层面的控制缺陷与信息系统总体控制中的缺陷有关或由它所引起的，则信息系统总体控制缺陷应与应用系统中的缺陷结合起来评估，并且通常与应用系统缺陷的分类是一致的： 1）如果应用系统控制中的实质性漏洞与信息系统总体控制中的缺陷有关或由它所引起的，说明该信息系统总体控制缺陷也是实质性漏洞； 2）如果应用系统控制中的重要缺陷与信息系统总体控制中的缺陷有关或由它所引起的，说明该信息系统总体控制缺陷也是重要缺陷； 3）如果应用系统控制缺陷（仅是一般缺陷）与信息系统总体控制中的缺陷有关或由它所引起的，说明该信息系统总体控制缺陷也是一般缺陷。,

22、32,图表3中的关键点,步骤框5： 除了步骤框1到步骤框4提到的主要原则，对信息系统总体控制缺陷的分类还应该考虑单不仅限于一下因素： 1）缺陷的性质和影响程度。 2）缺陷的普遍性。 3）公司系统环境的复杂性和缺陷会负面影响信息系统应用控制的可能性。 4）控制与应用系统和数据的关联程度。 5）信息系统总体控制缺陷是否与易受损失或舞弊影响的会计科目和披露事项的应用系统和控制相关。 6）在信息系统总体控制的运行有效性中已知或发现的例外事项的原因和频率。 7）受信息系统总体控制缺陷影响的应用系统相关错报的历史。,33,图表4：主体层面控制缺陷评估,34,图表4中的关键点,步骤框1和2： 判定缺陷是否至

23、少是一项重大缺陷，可以参照PCAOB2-139所描述的缺陷种类。 判定至少被认定为重要缺陷，并且是实质性漏洞存在的强烈迹象，可以参照PCAOB5-69。 步骤框3： 某些控制可能根据定性因素，包括PCAOB5中所列的因素，使这些控制因素的缺陷仅被判断为一般缺陷并归类为一般缺陷。这些控制包括： 1）补充或冗余的程序或控制； 2）存在于相同或其他组成部分中的补偿性控制。,35,图表4中的关键点,步骤框4和6： 如果有一定可能性一个缺陷会导致“大于不重要”的错报，该缺陷就是重要缺陷。如果有一定可能性缺陷会导致重大错报，该缺陷就属于实质性漏洞。这样的判断考虑了对如下因素的评估： 1）缺陷在公司中普遍性

24、； 2）控制缺陷对组成部分的相对重要性； 3）产生错报的风险增加的迹象（根据以往错报的记录）； 4）舞弊可能性增加（包括管理层无视内控的风险）； 5）控制运行有效性方面已知的或已发现的例外情况的原因和频率； 6）缺陷可能导致的未来后果。 步骤框5： 在考虑的定性因素包括PCAOB5中所列因素的情况下，对某些控制的评估会得出这样的判断，即有些缺陷的控制仅限于并归类为重要缺陷。这样的控制包括存在于其他组成部分中的补偿性控制。,36,图表4中的关键点,步骤框7和8： 在评估财务报表内部控制缺陷的重要程度时，审计师应该确定使谨慎的管理者有合理的确信度认为公司的交易得到适当的记录以使得财务报表的编制满足

25、公认会计准则的详细水平和确信程度。如果审计师确定缺陷会妨碍一个谨慎的管理者在执行他们自己的工作时得到合理的确信度，那么审计师就应该认为缺陷至少是一个重要缺陷。如果已经以这种方式确定一个缺陷构成重要缺陷，那么审计师必须进一步评估该缺陷，从而确定它是否单独地或是和其他缺陷一起构成实质性漏洞。,37,控制例外事项与缺陷评估实例,38,实例1,控制描述： 员工申请采购报销的费用，在给员工报销之前，应由员工所在部门的主管批准。 总体影响水平： 200,000美元 不重要水平： 100,000美元 * 重要性水平： 500,000美元 跟单作业或测试结果： 在一个包含25个交易的样本中，测试组发现，在1种

26、情况下，控制没有运行。 进一步的定性评估指出，这种情况很少发生。还抽取了一个包含另外25项的样本，该样本的测试结果是没有额外的例外事项。 *本讲义中的所有实例的税前利润都为10M.,39,实例1评估,图表1 评估运行有效性 步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标？ - -否 - -见步骤框2。 步骤框2: 考虑管理层和审计师的测试结果补充测试是否有可能支持“偏差率不能代表总体”的结论？ - -是。 这不是一个控制缺陷。,40,实例 2,控制描述： 流程的文档记录完整正确。文档记录包括一份叙述性文件和一份流程图文件，明确指出并描述控制活动的详细内容。文档记录应与

27、每个流程负责人员的活动保持一致。 穿行测试结果： 控制文档与员工实际执行的控制不符，或控制流程图不适合实际控制流程。 总体影响水平= 对财务无影响 文档问题,41,实例2评估,图表1评估运行有效性 步骤框1： 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标？ - -否 见步骤框2。 步骤框2: 考虑管理层和审计师的测试结果，追加测试是否有可能支持“偏差率不能代表总体”的结论？ - -否。 这是一个控制缺陷。 - -图表2 评估流程/交易层面控制的缺陷步骤框1。,42,实例2评估,图表 2 评估流程/交易层面控制缺陷 步骤框1: 对财务报表的潜在影响程度是否不重要？ - -是 见步

28、骤框7。 步骤框7： 在考虑对财务报表的影响后，一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷？ - -否。可以判定为一般缺陷,43,实例3,控制描述： 对已收货款和服务款，开具发票得到合理授权，并附有包含货物/服务收据的支持性文件。及时调查和解决差异。 总体影响水平: 5,000,000美元 不重要水平 : 100,000美元 重要性水平 : 500,000美元,44,实例3,测试结果： 销售商开出的发票，与付款前产品或服务的实际收据不一致。 在一个包含30个交易的样本中，我们发现，有两张发票（总金额20,000美元）没有支持性文件和原始付款批准证据。通过该控制进行交易的金额约为每年5,

29、000,000美元。 全部重要性金额为500,000美元。然而，应付帐款主管在付款前对100,000多美元的总支付额进行审核，并签署付款 （约90%的总支付额）。 总体影响水平 = $5,000,000 ($5,000,000 X 0.90) = $500,000 调整后的影响水平 = 2个例外事项/30个样本 = 0.168 X $500,000 = $84,000,45,实例3评估,图表1评估运行有效性 步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标？ - -否见步骤框2。 步骤框2: 考虑管理层和审计师的测试结果补充测试是否有可能支持“偏差率不能代表总体”的结论

30、？ - -否。 这是一个控制缺陷。 - -图表2 评估流程/交易层面控制的缺陷。,46,实例3评估,图表2评估流程/交易层面控制缺陷 步骤框1: 对财务报表的潜在影响程度是否不重要？ - -否 见步骤框2。 步骤框2: 经过测试和评估后是否存在实现相同的控制目标的补充或冗余性控制？ - -否 见步骤框3。 步骤框3： 是否存在补偿性控制能够使财务报表错报的影响程度降低至“不重要”? - -是 见步骤框7。 步骤框7： 一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷？ - -否 一般缺陷。,47,实例4,控制描述： 对全部本地银行帐户，按月核对帐面价值、银行存款余额等。在每个地点，由财务经理

31、审核对帐并签署。 税前利润总额：10,000,000美元 总体影响水平: 2,000,000美元 不重要水平 : ？美元 重要性水平: ？美元,测试结果： 对银行帐户执行的对帐金额，与银行对帐单不符。 测试组抽取30个银行帐户进行审核和测试。测试组发现，有1个帐户在3个多月中还没有被对帐，监督审核没有一致的文档记录。补充调查发现，大多数财务经理没有意识到，他们需要审核，并按照审核情况实际签署。 对30个交易的补充测试发现，有两个额外帐户没有核对。,48,实例4,总体影响水平 = 2,000,000美元 调整后的影响水平 = 3个例外事项/60个样本 =0.108 X $2,000,000 =

32、$216,000,49,实例4评估,图表1评估运行有效性 步骤框1: 调查并了解例外事项产生的原因和导致的结果。是否实现了测试目标？ - -否 见步骤框2。 步骤框2: 考虑管理层和审计师的测试结果补充测试是否有可能支持“偏差率不能代表总体”的结论？ - -否。 这是一个控制缺陷。 图表2 评估流程/交易层面控制的缺陷。,50,实例4评估,图表2评估流程/交易层面控制缺陷 步骤框1: 对财务报表的潜在影响程度是否不重要？ - -是 见步骤框7。 步骤框7： 在考虑对财务报表的影响后，一个谨慎的管理者是否会认为该缺陷至少是一种重大缺陷？ - -是 见步骤框4。 步骤框4: 对财务报表的潜在影响程度是否低于“重要”？ - -是见步骤框8。 步骤框8: 在考虑对财务报表的影响时，一个谨慎的管理者是否会认为该缺陷属于实质性漏洞？- -否 重要缺陷。,51,谢 谢 ！,