《内部控制与萨班斯法案 - 2015版》由会员分享,可在线阅读,更多相关《内部控制与萨班斯法案 - 2015版(75页珍藏版)》请在金锄头文库上搜索。
1、1内部控制与萨班斯(SOX)法案从项目到持续性改进安然案安然案2安然的EVA表现摘自安然公司2000年年报无论从哪个角度去评估,安然公司在2000年的业绩都是无可 挑剔的。2000年公司年度净利润达到历史最高。安然公司非 常注重每股收益,预计公司未来收益会持续走强。19961997199819992000 净收益(mn) 600$100$700$880$990$ 每股收益1.2$0.18$1.15$1.40$1.20$ EVA-10$50$-200$-330$-650$数企业败局,祸起萧墙法国兴业巴林银行的“借尸还魂”“我不相信上级主管没有意识到我的交易金额,小额资金不可能取得如此巨大的利润。
2、日常交易中, 一个交易员根本无法通过正常的投资规模赚那么多钱。这让我相信,只要盈利,我的上司就会对我 的交易手段和交易金额睁一只眼闭一只眼。Jeremy Cornell历史重演历史重演翻版的翻版的Nick,搞垮巴林银行,搞垮巴林银行 Jeremy,极其优秀的学生,一个电脑天才 对银行的后台管理和信息系统极 为熟悉 巨额仓位,串改数据和越权交易惊天欺诈内幕 通过出售股份紧急融资55亿欧元弥补损失 尘埃定内部控欧尘埃落定,内部控制失灵,处罚400万欧元对交易损失负责的交易员的第一层风险控制关出现严重失职法国银行也检查委员 会发表声明 兴业银行的内部监控并未发挥应有的作用,而且没有得到管理层的足够重
3、视。这种 现象一旦蔓延,监管机制就会形同虚设。法国央行法兰西银行行长3销售舞弊案例分析四川长虹与APEX的恩怨情仇为挽救自己的利润率,四川长虹与2001年开始海外扩张之路。截 至2004年,未经对账长虹继续向APEX发货3000万美元,而截至 2003年底APEX一家应收账款总额就达45亿元,占期末与余额90%。 年川长虹披露的年报报出上市以来的首次损析2005年4月,四川长虹披露的年报报出上市以来的首次亏损, Apex事件让四川长虹经历了上市以来的约40亿元的首次巨亏,现 金流枯竭。内部控制的核心理念4内部控制的核心理念定义的关键要素定义的关键要素1、内部控制以组织目标为导向定义的关键要素定
4、义的关键要素 内部控制是一个动态过程,动态过程,2个证明:个证明: 1.内部控制本身不是目标,是实现组织目标的手段,是与组织目标 共存的动态行为 2.渗透在组织基础机构,是基础的组成部分没有一个人可凌驾控制之上内部控制不是由某个人或哪个层级 的人提出,专门针对某一个或某一 群特定层级的人的制度。它是为整个企业设计的系统,不专 门针对具体的哪层级或哪群人 内部控制提供合理保证合理保证而非绝对保证门针对具体的哪一层级或哪一群人, 而是针对在该企业环境下的所有人。没有人能脱离该系统而自由运作。内部控制框架的核心理念COSO 内部控制定义内部控制定义COSO 内部控制定义内部控制定义1、内部控制以组织
5、目标为导向为实现经营效率和效果、财务报告可信性以及相关法令的遵循等 组织目标组织目标而提供合理保证合理保证的过程内部控制的实施者实施者为企业董事会、管理层及其他员工为实现经营效率和效果、财务报告可信性以及相关法令的遵循等 组织目标组织目标而提供合理保证合理保证的过程内部控制的实施者实施者为企业董事会、管理层及其他员工基本规范基本规范 第三条 本规范所称内部控制,是由企业董事会、监事会、经理层和全 体员工实施的旨在实现控制目标的过程基本规范基本规范 第三条 本规范所称内部控制,是由企业董事会、监事会、经理层和全 体员工实施的旨在实现控制目标的过程体员工实施的、旨在实现控制目标的过程。 内部控制的
6、目标是合理保证企业经营管理合法合规、资产安全、 财务报告及相关信息真实完整,提高经营效率和效果,促进企业 实现发展战略。体员工实施的、旨在实现控制目标的过程。 内部控制的目标是合理保证企业经营管理合法合规、资产安全、 财务报告及相关信息真实完整,提高经营效率和效果,促进企业 实现发展战略。5内部控制框架的核心理念2、内部控制人人有责基本规范第十二条管理当局的责任管理当局的责任 CEO负责建立有效的内部控制 在整个组织内倡导控制意识基本规范第十二条董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实 施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者
7、指定适当的机构具体负责组织协调内部控制 的建立实施及日常工作。CEO:负责建立有效的内部控制,在整个组织内倡导控制意识 CFO:核心作用,设计,推行和监管组织的财务信息报告行为 C- LEVEL:确保其分管活动的accountable内部控制框架的核心理念董事会与审计委员会的责任董事会与审计委员会的责任2、内部控制人人有责2、内部控制人人有责董事会与审计委员会的责任董事会与审计委员会的责任 董事会: 1.公司治理的监督责任 2.确认管理当局是否履行其建立和维护内部控制的责任 审计委员会,警惕下列行为并采取适当措施制止: 1.管理当局凌驾控制之上 2.财务欺诈行为基本规范第十三条企业应当在董事会
8、下设立审计委员会。 审计委员会负责审查企业内部控制, 监督内部控制的有效实施和内部控制 自我评价情况,协调内部控制审计及 其他相关事宜等。62、内部控制人人有责内部控制框架的核心理念个子公司个子公司/分公司分公司/ 业务单位各种集团职能部门内部审计 业务单位各种集团职能部门内部审计审计委员会审计委员会 辨识企业面临的风险 和机遇 监控新出现的风险点 向风险管理和内部审 计部门收集和汇报风 险数据 加总各企业/业务部门 的风险系数 统一工具和模板,给各 分公司/业务部门发布 最佳业务流程指南。 把风险管理提为首要职 确保风险管理贯穿在各 业务流程中 (e.g., 战略计划, 预算流程等 ) 把重
9、大风险及其防御措 施传达给审计委员会和 董事会险数据责,并与绩效管理挂钩董事会风险的第一道防线风险的第一道防线风险的第二道防线风险的第二道防线风险的第三道防线风险的第三道防线3、内部控制框架的三维性质内部控制框架的核心理念监督信息 交流控制监督信息 交流控制 行为行为行为行为风险 评估控制 环境风险 评估控制 环境7内部控制框架的核心理念4、适应多层次风险的内部控制矩阵结构内部控制要素操作设计的矩阵结构内部控制要素操作设计的矩阵结构公司治理公司管理交易行为控制环境风险评估控制行为监督内部控制要素操作设计的矩阵结构内部控制要素操作设计的矩阵结构交易行为 过程管理信息系统与交流反馈机制信息系统与交
10、流反馈机制5、公司治理、委托受托契约责任、受托报告责任、会计行为会计行为会计不是簿记 1是公司治理结构的基本要素内部控制框架的核心理念内部控制措施的 协调组合业务流程控制战略会行为1.是公司治理结构的基本要素 2.是组织与股东、社会交流的桥梁 3.是组织取信社会的通行证!政策实施受托报告责任风险管理遵循营运8管理者访谈管理者访谈统一的风险管理和内部审计流程ERM 风险驱动风险调查风险调查风险分析风险分析X X X X影响影响 力力内部审计在管理层访谈中运用 风险的可能性和影响力分析管理层标注企业面临的重大 风险管理层审阅风险地图,确认或 修改风险审计计划审计计划审计执行审计执行风险评估风险评估
11、ERM评估结果汇报力力 可能性可能性计划Audit Committee Approval内部审计把识别出的风险点与公司 风险登记簿中可审计的风险匹配审计部门组织审计工作,制定 审计步骤,进行合规性检测内部审计完成风险评估,提议 进一步修正的方案执行执行制定相应的 流程控制点COSO更新框架(2013)1. 内部环境内部环境2. 目标设定3. 事件确认4. 风险评估5. 风险应对6 控制活动6. 控制活动7. 信息与交流8. 监督9COSO更新框架(2013)为什么要更新呢 1992 COSO内部控制框架?Source - COSOs survey of users and stakeholde
12、rs, worldwide January to September 2011COSO更新框架(2013)2013年框架清晰的指明出了有效内部控制的17个原则102013 框架描述了每一个原则(principle)的关注点, 例如:COSO更新框架(2013)关注点再次阐述了每个原则(principle)的特点, for exampleCOSO更新框架(2013)11基于财务报告的内部控制(ICFR)继COSO 2013 更新的变化ICFR 继COSO 2013更新的变化SOX 404 过渡期时间表过渡期时间表12ICFR 继COSO 2013更新的变化 计划1. Reactions and
13、responses will differ depending on circumstancesICFR 继COSO 2013更新的变化对ICFR的潜在影响:2. If 1992 Framework has been thoroughly applied to current ICFR, the transition should not result in significant changes or incremental effort3. Preliminary assessment (i.e., mapping principles, considering points of foc
14、us, to controls) may reveal “gaps” in design or documentation of some controls- DesignControls are not designed to demonstrate a principle is present- DocumentationControls associated with the principle exist, but they ppyare not included in the SOX internal control documentation4. Focus on the desi
15、gn of indirect entity level controls (ELCs) that affect the 14 principles associated with the “softer” components of internal control. (i.e., Control Environment, Risk Assessment, Information and Communication and Monitoring Activities).13When did start with transitioning ICFR to the 2013 Framework?
16、A. NowICFR 继COSO 2013更新的变化B. In first quarter of 2014 C. In second quarter of 2014 D. In the second half of 2014 E. Not yet F. Dont know yet内部控制14证交会对“财务报告内部控制”的定义如下:由发行人主要高管人员及主要财务人员或履行类似职能的其他人士设计SOX 对“基于财务报告的内部控制”的定义保存合理详细的记录,以准确及公允地反映发行人的交易及资产处置情况;该流程须制定相关政策及程序以:发行要高管员要财务员或履行类似能的其设 或监督,并由发行人董事会、管理层及其它人员执行的一个流程,以确 保财务报告的可靠性,并确保编制对外财务报表时遵守公认会计准则确保交易在必要时予以合理地记录,以便根据公认会计准则编制财务报表,并且确 保各
