搜索
内部控制培训2008年3月13-78-1617-851.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码目录23-78-1617-851.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码目录3萨班斯法案概述什么是萨班斯法案?什么是萨班斯法案?2002年7月25日《2002年公众公司会计改革和投资者保护法案》《2002年公众公司会计改革和投资者保护法案》布什总统在白宫签署了该项布什总统在白宫签署了该项法案,使其正式生效法案,使其正式生效2002年7月30日4参议院银行委员会主席Sarbanes萨班斯众议院金融服务委员会主席Oxley奥克斯利Sarbanes-OxleyAct《萨班斯—奥克斯利法案》SOXActSOA《萨班斯法案》攸关企业内部控制的相关规定中,以法案中第404条之影响为最404萨班斯法案概述(续)5美国国会在2002年7月通过了萨班斯-奥克斯利法案(“Sarbanes-OxleyAct,SOX”),该法案对在美国上市的所有企业都具有重大的影响。其第404条款(SOX404)要求上市公司在年报中增加对公司当年财务报告内部控制机制的有效性进行评估的内容,同时外部审计师对上述评价发表意见。萨班斯法案概述(续)6F一项强制性法案;F所有在美国资本市场(包括纽约证券交易所和纳斯达克)上市的企业均适用,包括企业的管理层和审计师;FCEO和CFO必须签字确认公司内部控制的有效性并为此承担相应的民事和刑事责任,在提供年度财务报告之外还必须向美国证券交易委员会(SEC)提交内控报告等等;F无论是美国本土的上市公司,还是在美国上市的非美国公司,包括目前的70余家在美国上市的中国企业,都必须符合萨班斯法案的规定。萨班斯法案概述(续)7第906条第906条PublicCompanyAccountingOversightBoardPublicCompanyAccountingOversightBoard上市公司会计监管委员会上市公司会计监管委员会IIAuditorIndependenceAuditorIndependence审计师的独立性审计师的独立性IIIICorporateResponsibilityCorporateResponsibility公司责任公司责任IIIIIIEnhancedFinancialDisclosuresEnhancedFinancialDisclosures加强财务披露加强财务披露IVIVAnalystConflictsofInterestAnalystConflictsofInterest分析师的利益冲突分析师的利益冲突VVCommissionResourcesandAuthorityCommissionResourcesandAuthority监管委员会资源及职权监管委员会资源及职权VIVIStudiesandReportsStudiesandReports研究和报告研究和报告VIIVIICorporateandCriminalFraudAccountabilityCorporateandCriminalFraudAccountability公司及欺诈刑事责任公司及欺诈刑事责任VIIIVIIICorporateTaxReturnsCorporateTaxReturns公司纳税申报公司纳税申报XXCorporateFraudandAccountabilityCorporateFraudandAccountability公司欺诈及责任公司欺诈及责任XIXIWhiteWhite--collarCrimePenaltyEnhancementscollarCrimePenaltyEnhancements加大白领犯罪处罚力度加大白领犯罪处罚力度IXIX萨班斯法案条款萨班斯法案条款第404、409条款第404、409条款第302条款第302条款萨班斯法案概述(续)83-78-16211.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码目录9nCommitteeofSponsoringOrganizationsofTheTreadwayCommission(COSO);n由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师协会等7个团体共同赞助,专门研究内部控制问题。COSO框架概述合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位10内部控制由以下要素组成:•控制环境•风险评估•控制活动•信息与沟通•监督内部控制为了确保:•运营的效率和效益•财务报告的可靠性•对相关适用法律法规的遵循COSO框架概述(续)合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位11COSO将内部控制定义为以下的三维结构:Ø内部控制是为合理保证实现以下目标而设计的——符合有关规章制度的规定,保证实际操作的效率和有效性,以及提高财务报表的可靠性;Ø企业实体层次和具体经营活动层次的内部控制;Ø内部控制的5项内容——控制环境、风险评估、控制活动、信息交流及督导。COSO框架概述(续)合规性操作财政报告功能单位业务单位监督信息与沟通控制活动风险评估控制环境法案第404节以外的内控考虑因素受萨班斯法案第404节主导的考虑因素萨班斯法案第404节的主导实践范围12控制环境控制环境公司管理活动执行人员的操守,以及管理人员实施管理活动的环境•确立企业文化•树立诚信价值观•管理能力•审计委员会与董事会的影响•管理哲学以及管理风格COSO框架概述(续)合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位13风险评估风险评估确立目标与机制以识别、分析和管理风险•评估可谨慎接受的风险程度•建立在总公司与分公司层面上识别与分析风险的程序•区分风险高低程度,计划控制活动COSO框架概述(续)合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位14控制活动控制活动控制活动是使管理当局的指示得以贯彻执行的政策和程序。•制定政策决定应进行工作•使政策生效的程序•与风险评估结合COSO框架概述(续)合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位15信息与沟通信息与沟通信息与沟通是获取和交换信息的程序,以使企业能够正常运行,并得到适当的管理及控制。•及时准确的最新信息•所有层次上对信息、期望和责任的沟通•内部与外部的沟通COSO框架概述(续)合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位16监督监督评价一定时期内内部控制执行质量,并在情况变化下对内控进行适当的修改。•持续性的监控(如:监督、核对)•单独性的监督(如:404评估项目)COSO框架概述(续)合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位173-78-1617-851.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码目录18SOX404项目工作方法§404项目阶段总览§404项目工作步骤及方法§基本概念介绍§公司层面内部控制评估方法§公司层面内部控制评估步骤及工作成果§流程层面内部控制评估方法§流程层面内部控制评估步骤及工作成果19第一阶段:组织计划、了解业务流程、评估风险外部审计师独立评估报告项目开始日Dec.31,20081、理解内部控制的定义,识别公司关键业务和固有风险2、组织项目小组实施评估工作3、评估公司层面的内部控制(包括IT控制)5、由管理层实施改进计划管理层关于内部控制的报告404404项目阶段总览项目阶段总览SOX404项目工作方法(续)4、记录流程层面内部控制及信息技术控制第二阶段:文档记录与评估第三阶段:实施改进计划第四阶段:测试与整改6、实施详细测试并改正控制缺陷7、评估整体的有效性,找出有待改进的方面并建立一个监控体系审计20404404项目工作步骤及方法(续)项目工作步骤及方法(续)SOX404项目工作方法(续)评估公司层面内部评估公司层面内部控制控制评估流程层面内部评估流程层面内部控制控制自自上上而而下下风险风险风险风险风险风险风险风险风险风险风险风险21404404项目工作步骤及方法(续)项目工作步骤及方法(续)SOX404项目工作方法(续)¯基本概念介绍-什么是风险点?风险点是基于现有的内控系统无法防御、检查或更正与财务报表认定(如账户余额或交易分类)相关的重大的错报和漏报。和财务报表认定相关的风险主要包括以下几类:§完整性(“Completeness”)§存在或发生(“Existence/Occurrence”)§计价或衡量(“Valuation/Measurement”)§权力和义务(“Rights&Obligations”)§表达和披露(“Presentation&Disclosure”)评估公司层面内部评估公司层面内部控制控制评估流程层面内部评估流程层面内部控制控制自自上上而而下下风险风险风险风险风险风险风险风险风险风险风险风险22404404项目工作步骤及方法(续)项目工作步骤及方法(续)SOX404项目工作方法(续)完整性(“C”)存在或发生(“E/O”)计价或衡量(“V/M”)权力和义务(“R&O”)表达和披露(“P&D”)§当月所有发出的货物没有被全部计入当期的销售收入,导致当期销售收入少记§当月所有采购入库的存货没有全部入帐(由于发票未到),导致当期存货少记§在没有真实发货的情况下记录销售收入,导致销售收入虚增§资产负债表日,一些记录在存货账中的货物并不存在,导致存货虚增§固定资产入帐价值不准确(如在入账时漏计了相应的税费),导致折旧金额不准确§外币折算没有应用正确的汇率,导致折算金额不准确§账面上的固定资产并非为公司所有,导致固定资产价值高估§公司所列的应付账款并非为公司的债务,导致公司应付账款价值高估§应收帐款的贷方余额没有被正确的重分类至预收账款,导致报表披露不准确§没有按照会计准则要求恰当的披露关联方交易,导致报表披露不准确¯基本概念介绍-什么是风险点?(续)评估公司层面内部评估公司层面内部控制控制评估流程层面内部评估流程层面内部控制控制自自上上而而下下风险风险风险风险风险风险风险风险风险风险风险风险23404404项目工作步骤及方法(续)项目工作步骤及方法(续)SOX404项目工作方法(续)¯基本概念介绍-什么是控制?(续)控制是在一个流程内可以防范或减轻风险的活动点§例如,可以防止一个错误的发生,或者当错误发生时,将其影响降到最低。评估公司层面内部评估公司层面内部控制控制评估流程层面内部评估流程层面内部控制控制自自上上而而下下风险风险风险风险风险风险风险风险风险风险风险风险24404404项目工作步骤及方法(续)项目工作步骤及方法(续)SOX404项目工作方法(续)§控制的类型§控制的种类§控制的频率§控制的所有者§控制的有效性¯基本概念介绍-什么是控制?(续)评估公司层面内部评估公司层面内部控制控制评估流程层面内部评估流程层面内部控制控制自自上上而而下下风险风险风险风险风险风险风险风险风险风险风险风险25404404项目工作步骤及方法(续)项目工作步骤及方法(续)SOX404项目工作方法(续)§控制的类型Ø发生于差错出现之后Ø正常情况下适用于多笔交易Ø例如:通过编制银行余额调节表来发现未达帐项的性质,进而分析其合理性Ø发生于差错出现之前Ø正常情况下适用于单笔交易Ø例如:系统中设置的权限划分,只有有权限的人员