高等教育和医疗保健行业的更新

一部分 2023年8月17日 如果您有任何技术问题，请通过问答面板提交问题，我们的制作人将直接回复您。 毕马威获得NASBA批准，提供具有CPE价值的培训 为了获得CPE信贷：参加整个会议参与交互性检查 交互性检查将出现在您的媒体播放器中，演示者可能会或可能不会口头解决。 通过“问答”面板提交所有内容问题。 参与被跟踪，未能积极参与将导致CPE学分被拒绝。 高等教育产业更新 1: 05 PM 1:45PM 单一审核更新 SOC报告和网络安全更新 2: 30 PM 3:00PM EDT中的时间 毕马威会计师事务所高级经理Gina Devine 高等教育价格指数（HEPI）教育部（ED）活动 2023年-到目前为止的一年2023年的财务业绩和展望： 经营业绩（包括联邦COVID资金）捐赠回报和筹款 通货膨胀和劳动力中断经济 华盛顿特区：新国会，联邦资金债务免除 共同基金高等教育价格指数（HEPI）- 2022更新于2022年底发布。HEPI是专门为高校使用而设计的通胀指数。 2022财年HEPI增长5.2% 与消费者物价指数(CPI)的关系涵盖的费用类别 按地区和机构类型分列的HEPI数据 M of the KPMG global organisation of independent mited by guarantee.© 2023 KPMG LLP，特拉华州有限责任合伙企业，以及与英国私人担保有限公司KPMG International Limited有关联的独立成员公司的KPMG全球组织的成员公司。 财务责任标准/ eZ - Audit 6月提出的联邦法规制定通知（CFR）：评论期、可能的发布和生效日期潜在变化： FRS -触发事件 招聘、广告和其他入学前支出的补充披露；有酬就业、外资机构关联方披露(拟议规则中措辞收紧): GAAP与ED法规其他活动 劳动力中断：领导力和人才 超越其核心责任监督财务报告和内部控制，审计委员会正在处理长期和新兴的行业风险，以及该机构特有的风险。我们在2023年强调了几个潜在的重点领域。 网络安全和数据治理风险 环境、社会和治理(ESG)风险和报告 IRS重点领域和变化 研究合规性和冲突管理 非财务数据的完整性和一致性 机构对加密货币的态度和政策 名称、图像、相似性(NIL)：不断发展的法规和实践 机构对道德、合规和文化的关注 附属机构和国际活动的范围和风险 内部审计：优化风险和咨询重点领域 评估委员会议程、工作量和能力 网络安全和数据治理隐私和安全法规遵从性云数据保护的充分性劳动力模式变化的影响风险评估和测试的数字化 非财务数据的完整性和一致性衡量培训和其他举措的KPI 高校内部审计(IA)职能可以挑战现状，以降低风险，改善控制，并确定效率和成本效益我们强调了几个风险和其他重点领域，以帮助在2023年最大化IA对机构的价值。 符合礼品政策捐赠和金库协议 研究合规性和冲突管理资本项目管理 名称、图像、相似性(NIL)合规性 为机构增加价值的方法 网络攻击的频率数据恢复 网络攻击的其他影响和成本 第三方供应商 2022年美国高等教育机构的筹款额为595亿美元日益复杂和引人注目的协议 国家非营利委员会和促进和支持教育委员会（CASE）与GASB报告 礼品接受政策 健全筹资做法的起点 礼物和捐赠者管理方面的风险 行政程序和控制的重要性 其他常见的挑战和风险 从捐助者管理到冲突管理... ESG注意事项 加密货币是一种数字资产（即财产），旨在作为交换媒介 区块链是一个数字分类帐，以代码保存交易记录 常见的加密货币 要问的问题 我们有没有订婚外部顾问? 我们会进行加密投资吗直接或间接? What批准应该发生? 加密支付或投资将如何已管理? 我们如何停留当前? Are内部控制合适? 我们如何评估损失的风险? 财务会计准则委员会（FASB）的会计准则更新（ASU）2016 - 13，金融工具-信贷损失（主题326）：金融工具信贷损失的计量，经修订，适用于私人实体-包括高等教育机构和其他非营利组织（NFP）适用于2022年12月15日之后开始的财政年度。ASU需要信用。 大多数以摊余成本入账的金融资产(如应收学生的账款和贷款)和某些其他工具应确认的损失。备抵从金融资产的摊余成本基础中扣除，以便资产负债表反映实体预期收取的净额。重要的是，现行准则要求在“很可能”发生损失时确认这些损失，而CECL要求在预期损失时确认。 CECL要求从第一天开始确定预期损失，并且通常需要备抵（即使损失风险很小）。 实体确定预期信用损失的过程不能只考虑历史信息。 实体在估计预期损失时不需要考虑所有可用信息的来源。然而，它应该考虑合理可用的相关信息，这些信息可以在不需要过度成本和努力的情况下获得。此外，它不应该忽视与报告金额的估计可收回性相关的可用信息。 2022年12月15日之后开始的财政年度需要NFP采用该标准，并且通常是在修改后的追溯基础上。学院，大学和其他NFP必须通过对指南有效的第一个报告期开始时的净资产进行累积效应调整来应用ASU。 以摊余成本计量的金融资产，包括贷款和应收票据（包括向高级职员、雇员或其他非同一控制下的关联方） 应收捐款（包括根据主题958计入有条件捐款的联邦和其他赠款和合同的应收款） 同一控制下主体之间的贷款和应收款项 贷款承诺、备用信用证、财务担保（非保险合同）和其他类似工具（主题815范围内的工具除外） 应收经营租赁款（减值评估专题842） 主题944范围内的应收再保险 以公允价值计量且其变动计入净收益的金融工具（净资产变动） 出租人确认的租赁投资净额 通过固定缴款员工福利计划向参与者发放的贷款 NFP为履行其使命而发放的贷款(即方案贷款) Jennifer Hall，毕马威会计师事务所审计合伙人 Alison Upton，毕马威会计师事务所审计董事总经理 第5部分-消除公路规划和建设集群 第3部分-现金管理 第3部分-建立美国，购买美国法案（BABAA）条款添加到采购 第5部分- SFA集群的几个变化 第4部分-添加了几个新程序，并对现有程序进行了其他更改 ALN 97.036灾难补助（FEMA）增加了关于何时作出裁决的澄清性能报告更新 第8部分-对高风险计划的指定进行了一些更改 引入IIJA条款的变化 在测试以报销为基础的联邦奖励时，为澄清审计师责任而进行的更改 2023Supplement 修订审计目标和程序，要求审计员确定支出是否“招致 产；所有建筑材料均在美国制造新程序: 选择受BABAA约束的基础设施项目的采购协议样本，并测试每个协议中是否包含国内优惠条款，或是否获得豁免 2022年5月14日之后，BABAA确立了对基础设施项目的联邦财政援助的国内采购优惠 如果联邦机构通过奖励条款和条件要求非联邦实体遵守BABAA，则应通知非联邦实体 -在某些情况下，可能已经提供了豁免 -审计师负责核实豁免是否到位 SFA集群新增和/或扩展的特殊测试和规定 使用Servicer或Financial 向卡或其他访问设备提供标题IV信用余额的机构 令人满意的学术进步 SFA群集特殊测试和规定 2023年2月28日之后结束的财政年度的电子公告（一般23 - 24） -从2022年7月19日到2023年2月28日（NSLDS系统问题期间）不需要进行测试 Gramm - Leach - Bliley法案-学生信息安全— 有限建议的审计程序，以确定是否：指定的合格个人 存在解决六个必需元素的书面信息安全程序 欢迎的程序（20.105，20.315，联邦运输集群，32.009） -受到广泛关注的计划，FEMA，在上一年或本年度都不是一个风险较高的计划 第8部分附录四： 教育稳定基金提供者救济基金医疗补助集群紧急租赁援助房主援助基金 93.778/93.777/93.775 21.023 21.026 21.027 冠状病毒州和地方财政回收资金 两党基础设施法（BIL）废弃矿山土地(AML)补助残疾保险/补充安全收入 96.001/96.006 GLBA规范了消费者非公开信息的收集，披露和保护。高等教育机构受16 CFR第314部分中的保障规则的约束，根据该规则，GLBA适用于与美国的计划参与协议。S.教育部提供联邦学生援助。因此，机构必须制定信息安全计划和政策，以处理和保护法律所涵盖的数据。保障规则的几个关键变化将于2023年6月9日生效（从2022年12月9日的原始生效日期推迟），并在下面讨论。 合格个人（16 CFR 314.4（a））：要求指定一个“合格个人”来监督，实施和执行机构的信息安全计划（ISP）。这个人通常是首席信息安全官。但是，如果机构保留合规责任，指定一名高级官员监督合格个人，并确保合格个人的ISP充分保护机构，则可能是附属公司或服务提供商。 风险评估（16 CFR 314.4 (b) (1)）：加强风险评估的重要性，这是需要写，在设计一个ISP通过扩大的描述，包括要求定期进行额外的风险评估，重新评估合理可预见的内部 主要变化包括（续）： 风险评估中确定的安全控制（16 CFR 314.4 (c) (1) - (8)）：除了解决充分风险评估的要素外，CFR中规定的保障措施还包括： -逻辑和物理访问控制限制对授权用户的访问以及这些用户的授权范围。 -客户信息的加密，无论是在运输和休息。 -内部开发应用程序的安全开发实践和外部来源应用程序的安全评估。 -访问系统的个人的多因素身份验证。 -客户信息最后一次用于提供产品或服务后不超过两年的安全处置。 -实施和审查数据保留策略。 -变更管理程序。 -监控和记录授权用户的活动并检测对客户信息的未经授权的访问、使用或篡改的措施。 主要变化包括（续）： 常规控制测试和监测（16 CFR 314.4 (d) (2)）：如果没有有效的持续监控或其他系统来持续检测可能造成漏洞的信息系统变化，该机构必须进行年度渗透测试和漏洞评估。 人事政策和程序（16 CFR 314.4（e））：需要对人员进行更新和相关的安全意识培训。此外，合格的信息安全人员必须管理安全风险并监督ISP，必须向此类人员提供安全更新和培训以应对相关风险，并且被视为关键的此类人员必须了解不断变化的威胁和对策。 服务提供商（16 CFR 314.4（f）（3））：监督服务提供商必须包括基于其存在的风险和他们的保障。 事故响应(16 CFR 314.4 (h)):要求建立具有指定要素的书面事件响应计划，以响应重大安全事件并从中恢复。 向治理层报告（16 CFR 314.4 (i)）：指定的合格个人必须至少每年向机构的理事机构提交一份书面报告，说明与机构ISP相关的整体状况和重大事项。 FEMA在FY23中取消了“项目工作表”一词的使用-相反，我们正在从FEMA的系统中获取屏幕打印以支持承付的金额。 利用FEMA的系统确认索赔状态 应急管理任务集成。环境（EMMIE）- FEMA的遗留赠款管理系统。所有预授予功能均在Grants Manager和Grants Portal系统中进行。FEMA目前正在将所有剩余功能从EMMIE过渡到Grants Manager和Grants Portal系统.通常只有FEMA和收件人可以访问EMMIE。 在以下情况下，必须在联邦奖励支出表(SEFA)上记录支出 (1)FEMA已批准非联邦实体的项目，并且（2）非联邦实体已产生合格支出。 如果非联邦实体在其2024财政年度发生符合条件的支出，并且FEMA在非联邦实体的2025财政年度批准了非联邦实体的项目，则非联邦实体将符合条件的支出记录在其2025财政年度SEFA中，并在脚注中披露包括在SEFA中的金额在上一年发生。 收入确