萨班斯法案内部控制重点内容及美国本土上市公司执行情况(精)

中国石油化工股份有限公司萨班斯法案关于内部控制重点内容美国本土上市公司执行情况2006年7月25日1主要内容：1.内部控制-国内外资本市场监管要求和股份公司管理要求2.美国本土公司首年执行萨班斯法案404条款3.萨班斯法案404条款及相关条例对管理层自我评价的要求4.管理层自我评价具体问题讨论5.中石化存在的潜在财务报告内部控制缺陷6.毕马威对中石化自我评价所能提供的帮助及建议21.1内部控制-国内外资本市场监管要求交易所相关法规主要差异纽约1萨班斯法案404条款2SEC的相关《最终规则》3PCAOB第2号审计准则4第1至55条PCAOB职员对公众提问的回复5PCAOB第2号审计准则的首年实施报告6PCAOB对内控审计于2006年的检查声明1有非常详细的准则指引及对公众提问的回复2美国本土上市公司已经于2004及2005年执行3董事会在年度报告中披露“内部控制报告”4外部审计师对于管理层内部控制的评价进行评价和独立测试，并在年报中出具内控审计报告5COSO内部控制框架(1992)五要素：控制环境、风险评估、控制活动、信息和沟通、监督6只包含COSO框架内的“财务报告目标”香港主板上市规则：附录14《企业管治常规守则》C2条款附录23《企业管治报告》3(d)条款1董事会在年度报告中披露“企业管治报告”2没有要求外部审计师对出具内控审计报告3包括财务、运作及合规监控以及风险管理功能上海《上交所上市公司内部控制指引》1对上市公司内部控制操作规定比较详细2董事会在年度报告中披露“内控自我评价报告”3外部审计师对管理层的内控评价进行核实评价，并在年报中出具内控核实评价意见4COSO企业风险管理框架(2004)八要素：目标设定、内部环境、风险确认、风险评估、风险管理策略选择、控制活动、信息沟通、检查监督5包含财务信息目标、经营目标、合规目标31.2内部控制-股份公司管理要求除了为满足国内外资本市场监管要求外，股份公司建立内控制度是为了提高公司管理水平，具体表现为：1.建立现代企业制度，完善法人治理结构，实现经营机制的转换，加强企业管理，提高企业经营业绩，改善企业财务状况2.积极参与竞争、努力降低风险，以提高经营管理效率和效果3.建立统一规范的内部控制制度，使股份公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度，更为有效地体现股份公司管理理念42.1美国本土公司首年执行萨班斯法案–带来的主要好处1.董事会、审计委员会和管理层对内部控制有更多参与2.建立起监控和评价控制机制3.针对年结制定的结构和流程4.实施反诈骗控制5.对通过信息技术控制风险有警觉性6.有更好的流程/控制文件用于培训和管理教育7.完善的风险和控制定义8.管理层和负责操作的人员更好地理解他们在控制方面的责任9.更好的审计追踪10.重新落实基本的控制措施，如分工、授权流程、会计账目调节资料来源：内部审计师协会—2005年7月调查—StateofRegulatoryComplianceSummit,WashingtonDC(监管合规高峰会的州—华盛顿市)52.2首年执行萨班斯法案–出现负面意见的主要原因1.所得税问题(Incometaxmatters)2.收入确认(Revenuerecognition)3.财务人员配置/专业知识(Financialstaffing/expertise)4.租赁会计处理方法(Leaseaccounting)5.公认会计原则应用(ApplicationofGAAP)6.财务年度结算流程(FinancialCloseprocess)7.监控(Monitoringcontrols)8.职责分工(SegregationofDuties)9.衍生工具(Derivatives)10.子公司/偏远地区(Subsidiaries/Remotelocations)1.毕马威第404条机构调查—2005年5月63.萨班斯法案404条款及相关条例对管理层自我评价的要求3.1管理层的责任3.2管理层自我评价流程3.3管理层自我评价应满足的基本要求3.4管理层报告要求3.5PCAOB有关内控的详细指引文件3.6SEC及PCAOB就执行萨班斯404条款的最新动态注：PCAOB是指美国上市公司会计监督委员会73.1管理层的责任•承担公司财务报告内部控制有效性的责任；•采用适当的控制标准(比如COSO标准)，评价公司财务报告内部控制的有效性（是否存在实际性漏洞）；•以充分的证据(包括文档文件，参看4.7)为评价结果提供有力支持；•针对公司最近财年财务报告内部控制的有效性提交书面评价。注：COSO是指美国反虚假财务报告委员会出版的《内部控制整体框架》83.2管理层自我评价流程404条款：管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运行的有效性控制点的设计和运行情况？评估什么补充修改补充修改实质性漏洞控制点的载体是什么？报告评估：-自我评估-独立评估评估：-自我评估-独立评估404条款：管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运行的有效性内部控制设计的有效性内部控制执行的有效性控制点的设计和执行情况内控手册？评估什么？评估什么补充修改补充修改补充修改补充实质性漏洞控制点的载体是什么？控制点的载体是什么？报告报告评估：-自我评估-独立评估评估：-自我评估-独立评估评估：-自我评估-独立评估评估：-自我评估-独立评估93.3管理层自我评价应满足的基本要求PCAOB规定审计师应当判断管理层的评价过程是否包含了下列内容：确认需要测试的控制措施，包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施；评价由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性，以及其他控制措施实现相同控制目标的程度；确认应纳入评价范围的具体公司经营场所或业务单元(针对拥有多个办公地点或业务单元的公司)；对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及运行方面的有效性进行评价；确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞；就主要发现与有关方面进行沟通；及评价主要发现是否与评价结果相一致。自我评价确认评价对象评价控制失效风险确认评价范围评价控制有效性评价缺陷严重性沟通形成结论103.4管理层报告要求•管理层须陈述为公司设立和维持足够的财务报告内部控制系统的责任；•管理层须陈述为评价公司财务报告内部控制系统的有效性而采用的评价架构;•管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评价,包括一份公司与财务报告相关的内部控制是否有效的声明。声明必须披露管理层发现的任何一项公司与财务报告相关的内部控制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更多实质性漏洞时，管理层不得做出公司与财务报告相关的内部控制有效的声明；113.5PCAOB有关内控的详细指引文件04年6月17日PCAOB第2号审计准则05年5月16日第2号审计准则的实施声明截至05年5月16日第1至55条PCAOB职员对公众提问的回复05年11月30日第2号审计准则的首年实施报告06年5月1日PCAOB对内控审计于2006年的检查声明参考网站：及PCAOB就执行萨班斯404条款的最新动态2006年5月10日，SEC和PCAOB召开了圆桌会议，就关于如何改进萨班斯404条款的实施进行了讨论。5月17日，SEC发表了以下声明：•SEC将就管理层如何按照自上而下、风险导向的方法完成对财务报告内部控制的自我评价出台具体指南。•SEC将考虑是否为小型上市公司应用COSO框架出台另外的指南。•SEC将与PCAOB紧密合作，修订PCAOB审计准则第2号。•中石化适用执行萨班斯404条款最后期限仍为2006年7月15日或以后结束的财政年度。134.管理层自我评价具体问题讨论4.1公司层面控制(CompanyLevelControls)的确定4.2信息系统一般性控制(ITGeneralControls)的确定4.3重要会计科目/披露(SignificantAccounts/Disclosures)的确定4.4重要/关键控制点(KeyControlPoints)的确定4.5检查时间(InspectionTiming)的确定4.6测试样本量(TestingSampleSize)的确定4.7自我评价记录(Documentation)的要求4.8应当包括在评估过程中的经营场所和业务单位(Scope)144.1公司层面控制(CompanyLevelControls)的确定•公司层面的控制通常对控制活动在流程、交易过程中有普遍深入的影响。•PCAOB规定的公司层面的控制包含7个方面的内容，其中有4点与COSO框架相一致。•COSO框架是识别和评价公司层面的控制重要的参照。154.1公司层面控制的确定（续）•COSO框架概述(在内控检查办法第八条和第十九条体现）：控制环境：提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制意识和工作能力是所有其它内部控制组成要素的基础。控制环境的因素具体包括：正直守德的价值取向、对员工胜任能力的关注、董事会或审计委员会、管理哲学和经营风格、公司组织结构、职权和职责的分配、人力资源政策及实务。风险评估：风险评估就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境等内外部因素不断变化，企业主动地发现和处理由于情况变化所带来的风险是很有必要的。控制环境风险评估控制活动信息与沟通监控164.1公司层面控制的确定（续）•控制活动：是确保管理层的指令得以执行的政策及程序，是管理层识别和评估风险后，对控制这些风险所实行的针对性措施。控制活动包括授权审批、核对、关键绩效指标、资产安全控制及职责分离等各种类型，又可以分为人工控制和信息系统控制两大类。•信息与沟通：内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。企业不仅应当致力于提升内部沟通的有效性，还应关注与企业外部的沟通问题。•监控：是由适当的人员，在适当及时的基础下，评价控制的设计和运作情况的过程。这一活动由持续监督、个别评价所组成，其可确保企业内部控制能持续有效的运作。174.1公司层面控制的确定（续）PCAOB规定的公司层面的控制措施包括但不限于：1.控制环境（与COSO一致）内的控制措施，包括领导层的定调、权责分工、贯彻一致的政策和程序和全公司的措施，例如专业操守和防止诈骗这类适用于所有地区和业务单位的措施2.管理层的风险评估程序（与COSO一致）3.集中的处理和控制措施（与COSO一致），包括共用服务环境4.监察经营业绩的控制措施，包括内部审计部门、审计委员会和自我评价计划的工作5.监察其他控制措施（与COSO一致）的控制措施6.期末财务报告程序7.经董事会审批处理重大业务控制和风险管理的政策184.2信息系统的一般性控制(ITGeneralControls)的确定信息系统的一般性控制包括以下四方面内容：•程序和数据的进入•程序的修改•程序的开发•计算机的操作194.2信息系统的一般性控制的确定（续）程序和数据的进入(Accesstoprogramsanddata)实施有效的安全性措施。对信息资源的接触应做实物与虚拟的限制，即防止未经授权的人接近信息资源；防止未经授权的人利用网络技术侵入信息系统。职责分工，相关人员只能进入或修改职责范围内的信息。程序的修改(Programchanges)程序的修改需经过授权，记录及测试。系统及应用程序的配置应及时升级。204.2信息系统的一般性控制的确定（续）程序的开发(Programdevelopment)新系统及应用程序的开发及应用需要经过授权及测试。计算机的操作(Computeroperations)对系统信息应定期备份，并进行恢复性测试以保证备