内部控制与萨班斯法案-XXXX版

1内部控制与萨班斯(SOX)法案——从项目到持续性改进安然案安然案2安然的EVA表现摘自安然公司2000年年报无论从哪个角度去评估，安然公司在2000年的业绩都是无可挑剔的。2000年公司年度净利润达到历史最高。安然公司非常注重每股收益，预计公司未来收益会持续走强。19961997199819992000净收益(mn)600$100$700$880$990$每股收益1.2$0.18$1.15$1.40$1.20$EVA-10$50$-200$-330$-650$数企业败局，祸起萧墙法国兴业——巴林银行的“借尸还魂”“我不相信上级主管没有意识到我的交易金额，小额资金不可能取得如此巨大的利润。日常交易中，一个交易员根本无法通过正常的投资规模赚那么多钱。这让我相信，只要盈利，我的上司就会对我的交易手段和交易金额睁一只眼闭一只眼。——JeremyCornell历史重演——翻版的Nick，搞垮巴林银行•Jeremy，极其优秀的学生，一个电脑天才——对银行的后台管理和信息系统极为熟悉•巨额仓位，串改数据和越权交易——惊天欺诈内幕•通过出售股份紧急融资55亿欧元弥补损失尘埃定内部控欧•尘埃落定，内部控制失灵，处罚400万欧元——对交易损失负责的交易员的第一层风险控制关出现严重失职——法国银行也检查委员会发表声明——兴业银行的内部监控并未发挥应有的作用，而且没有得到管理层的足够重视。这种现象一旦蔓延，监管机制就会形同虚设。——法国央行法兰西银行行长3销售舞弊案例分析四川长虹与APEX的恩怨情仇为挽救自己的利润率，四川长虹与2001年开始海外扩张之路。截至2004年，未经对账长虹继续向APEX发货3000万美元，而截至2003年底APEX一家应收账款总额就达45亿元，占期末与余额90%。年川长虹披露的年报报出上市以来的首次损析2005年4月，四川长虹披露的年报报出上市以来的首次亏损，Apex事件让四川长虹经历了上市以来的约40亿元的首次巨亏，现金流枯竭。内部控制的核心理念4内部控制的核心理念定义的关键要素1、内部控制以组织目标为导向定义的关键要素内部控制是一个动态过程，2个证明：1.内部控制本身不是目标，是实现组织目标的手段，是与组织目标共存的动态行为2.渗透在组织基础机构，是基础的组成部分没有一个人可凌驾控制之上内部控制不是由某个人或哪个层级的人提出，专门针对某一个或某一群特定层级的人的制度。它是为整个企业设计的系统，不专门针对具体的哪层级或哪群人内部控制提供合理保证而非绝对保证门针对具体的哪一层级或哪一群人，而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。内部控制框架的核心理念COSO内部控制定义COSO内部控制定义1、内部控制以组织目标为导向为实现经营效率和效果、财务报告可信性以及相关法令的遵循等组织目标而提供合理保证的过程内部控制的实施者为企业董事会、管理层及其他员工为实现经营效率和效果、财务报告可信性以及相关法令的遵循等组织目标而提供合理保证的过程内部控制的实施者为企业董事会、管理层及其他员工基本规范第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程基本规范第三条本规范所称内部控制，是由企业董事会、监事会、经理层和全体员工实施的旨在实现控制目标的过程体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。5内部控制框架的核心理念2、内部控制人人有责基本规范第十二条管理当局的责任•CEO负责建立有效的内部控制在整个组织内倡导控制意识基本规范第十二条•董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。•企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。•CEO：负责建立有效的内部控制,在整个组织内倡导控制意识•CFO：核心作用,设计,推行和监管组织的财务信息报告行为•C-LEVEL：确保其分管活动的accountable内部控制框架的核心理念董事会与审计委员会的责任2、内部控制人人有责2、内部控制人人有责董事会与审计委员会的责任董事会:1.公司治理的监督责任2.确认管理当局是否履行其建立和维护内部控制的责任审计委员会,警惕下列行为并采取适当措施制止：1.管理当局凌驾控制之上2.财务欺诈行为基本规范第十三条企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。62、内部控制人人有责内部控制框架的核心理念个子公司/分公司/业务单位各种集团职能部门内部审计审计委员会•辨识企业面临的风险和机遇•监控新出现的风险点•向风险管理和内部审计部门收集和汇报风险数据•加总各企业/业务部门的风险系数•统一工具和模板，给各分公司/业务部门发布昀佳业务流程指南。•把风险管理提为首要职•确保风险管理贯穿在各业务流程中（e.g.,战略计划,预算流程等）•把重大风险及其防御措施传达给审计委员会和董事会险数据责，并与绩效管理挂钩董事会■风险的第一道防线■风险的第二道防线■风险的第三道防线3、内部控制框架的三维性质内部控制框架的核心理念监督信息交流控制行为行为风险评估控制环境7内部控制框架的核心理念4、适应多层次风险的内部控制矩阵结构内部控制要素操作设计的矩阵结构公司治理公司管理交易行为控制环境风险评估控制行为监督内部控制要素操作设计的矩阵结构交易行为过程管理信息系统与交流反馈机制5、公司治理、委托受托契约责任、受托报告责任、会计行为会计行为•会计不是簿记1是公司治理结构的基本要素内部控制框架的核心理念内部控制措施的协调组合业务流程控制战略会行为1.是公司治理结构的基本要素2.是组织与股东、社会交流的桥梁3.是组织取信社会的通行证！政策实施受托报告责任风险管理遵循营运8管理者访谈统一的风险管理和内部审计流程ERM风险驱动风险调查风险分析XXXX影响力内部审计在管理层访谈中运用风险的可能性和影响力分析管理层标注企业面临的重大风险管理层审阅风险地图，确认或修改风险审计计划审计执行风险评估ERM评估结果汇报力可能性计划AuditCommitteeApproval内部审计把识别出的风险点与公司风险登记簿中可审计的风险匹配审计部门组织审计工作，制定审计步骤，进行合规性检测内部审计完成风险评估，提议进一步修正的方案执行制定相应的流程控制点COSO更新框架（2013）1.内部环境内部环境2.目标设定3.事件确认4.风险评估5.风险应对6控制活动6.控制活动7.信息与交流8.监督9COSO更新框架（2013）为什么要更新呢1992 COSO内部控制框架？Source-COSO’ssurveyofusersandstakeholders,worldwide–JanuarytoSeptember2011COSO更新框架（2013）2013年框架清晰的指明出了有效内部控制的17个原则102013 框架描述了每一个原则（principle）的关注点，例如：COSO更新框架（2013）关注点再次阐述了每个原则（principle）的特点，for example…COSO更新框架（2013）11基于财务报告的内部控制（ICFR）继COSO 2013更新的变化ICFR继COSO 2013更新的变化SOX404过渡期时间表12ICFR继COSO 2013更新的变化——计划1.ReactionsandresponseswilldifferdependingoncircumstancesICFR继COSO 2013更新的变化对ICFR的潜在影响：2.If1992FrameworkhasbeenthoroughlyappliedtocurrentICFR,thetransitionshouldnotresultinsignificantchangesorincrementaleffort3.Preliminaryassessment(i.e.,mappingprinciples,consideringpointsoffocus,tocontrols)mayreveal“gaps”indesignordocumentationofsomecontrols•-Design—Controlsarenotdesignedtodemonstrateaprincipleispresent•-Documentation—Controlsassociatedwiththeprincipleexist,buttheyppyarenotincludedintheSOXinternalcontroldocumentation4.Focusonthedesignofindirectentitylevelcontrols(ELCs)thataffectthe14principlesassociatedwiththe“softer”componentsofinternalcontrol.(i.e.,ControlEnvironment,RiskAssessment,InformationandCommunicationandMonitoringActivities).13WhendidstartwithtransitioningICFRtothe2013Framework?A.NowICFR继COSO 2013更新的变化B.Infirstquarterof2014C.Insecondquarterof2014D.Inthesecondhalfof2014E.NotyetF.Don’tknowyet内部控制14证交会对“财务报告内部控制”的定义如下：由发行人主要高管人员及主要财务人员或履行类似职能的其他人士设计SOX对“基于财务报告的内部控制”的定义保存合理详细的记录，以准确及公允地反映发行人的交易及资产处置情况；…该流程须制定相关政策及程序以：发行要高管员要财务员或履行类似能的其设或监督，并由发行人董事会、管理层及其它人员执行的一个流程，以确保财务报告的可靠性，并确保编制对外财务报表时遵守公认会计准则…确保交易在必要时予以合理地记录，以便根据公认会计准则编制财务报表，并且确保各项收支仅在经发行人管理层及董事会授权后方才进行；及确保防止或及时察觉未经授权而又可能会对财务报表造成重大影响的收购、使用或处置发行人资产的情况。北京立信编制人：日期：复核人：日期：索引号：H财务内部控制评估基础表—采购企业名称：0指标名称指标项目检查重点主要控制要点现状描述主要缺陷标准得分评价打分采购检查是否有明确的规章制度工作手册等详细1.单位应当建立采购与付款业务的岗位责任制、明确相关部门和岗位的职责、权限，确保办理采购与付款业务的不相容岗位相互分离，制约和监督；2.单位是否备有工作手册，工作手册是否详细的描述了采购与付款的内部采购与付款财务内部控制设计的健全性和合理性制度、工作手册等详细描述采购与付款财务内部控制。25单位是否备有作手册，作手册是否详细的描述了采购与付款的内部控制制度；3.单位是否对员工发放工作手册，并定期进行相应的岗位培训，让员工对公司的购货付款的规章制度有明确的了解；4.单位是否建立明确详细采购与付款的奖惩制度；是否有采购与付款财务内部控制生成的文件和记录。5.单位有关单据、凭证和文件的使用和保管情况，凭证的登记、领用、传递、保管、注销手续是否健全，使用和保管制度是否存在漏洞。采购与付款财务内部控制是否可以涵盖企业的所有采购与付款经营管理活动。6.单位内部控制是否贯穿购货和付款流转的全过程；7.单位对购货付款所造成的损失是否能够及时发现；采购与付款财务内部控制是否和企业