《中国联通内部控制建设-总体介绍》由会员分享,可在线阅读,更多相关《中国联通内部控制建设-总体介绍(44页珍藏版)》请在金锄头文库上搜索。
1、 2005年10月中国联通内部控制建设 总体介绍1一、内控项目背景及重要性二、索克斯法案及内部控制三、总体工作进展和时间安排四、山东省内部控制建设阶段性成果目录2(一)索克斯法案简介索克斯法案(即“上市公司投资者保护法案”)于2002年7月30日迅 速通过并签署生效 。l旨在建立并恢复公众对公司财务报告的信心l对上市公司审计委员会、管理层和审计师各自的职责及相互制约机制带 来根本性的变化l美国证监会承诺进行定期的审阅和强制执行l对在美国上市的非本土公司(如中国联通)并无重大豁免,同样需要遵 循l联通须在2006年底前完成准备工作并接受外部审计师审计可通过阅读萨班斯-奥克斯利法案:404条款-管
2、理层实务指南,加深 对索克斯法案404条款工作内容、重要性和方法论的理解(在公司 网页上有电子版可供下载)一、内控项目背景及重要性3一、内控项目背景及重要性(续)(二)联通内部要求“为进一步提高公司的经营效率与效果和财务信息的可靠性,根据境内外上市公司监管法律法规和公司实现可持续发展的内在需求,贯彻和落实中国联通2005年工作会议精神和常小兵董事长、尚冰总裁就公司加强内部控制建设工作所做的工作部署和重要指示,公司将实施内部控制建设工作,并做为2005年强化经营管理,提升整体管理水平的一项重要举措。 ”“提高公司加强内部控制建设重要意义的认识 ”“加强对内部控制建设工作的组织领导 ”“严格按照内
3、控建设工作标准和实施步骤完成任务 ”引自关于印发关于加强中国联通内部控制建设的指导意见的通知(中国联通计财字200560号)4二、索克斯法案及内部控制(一)索克斯法案的基本要求(二) 风险和内部控制5(一)索克斯法案的基本要求该法案中有若干条款值得注意如下:S302 首席执行官/财务总监季度和年度报告认证: 所有季度或年度的报告真实,完整; 对公司的财务状况和经营结果在所有重大方面作了公正的表述; 建立和维护与财务信息披露控制和程序的责任 要求确保向市场披露与上市公司有关的重大信息 评估最近90天的财务信息披露控制和程序的有效性 对这些控制的有效性进行总结 向审计委员会和审计师披露内部控制缺陷
4、 披露与内部控制主要相关人员的舞弊行为(无论是否重大) 报告复核期间内所有内部控制的重大变动二、索克斯法案及内部控制(续)6(一)索克斯法案的基本要求(续)S404 管理层对与财务报告有关的内部控制的评估: 首席执行官/财务总监代表管理层对与财务报告有关的 内部控制进行年度验证,并披露评价报告,包括: 有责任建立并维护一套完整的有关财务报告的内部 控制体系和程序 评价财务报告内部控制制度有效性时使用的评价框 架 评估与生成财务报告相关内部控制体系和程序的有 效性 外部审计师进行验证,包括: 对管理层内部控制评价过程的有效性发表独立审计 意见 对公司内控制度的有效性发表独立审计意见管理层 有关内
5、部控制 的报告* * 使用使用 COSOCOSO框架框架 ,管理层,管理层 对内部控对内部控 制进行评制进行评 估估审计师意见审计师意见COSO控制控制环环境境 风险评风险评 估估 控制活控制活动动 信息和沟信息和沟 通通 监监控控 二、索克斯法案及内部控制(续)7(一)索克斯法案的基本要求(续)二、索克斯法案及内部控制(续)美国证监会(“SEC”)的最终规定里对“财务报告的内部控制和程序”定义如下: ”一个由SEC登记公司的首席执行官和财务总监,或履行这些职责的人员设 计的,或在他们的指导下设计的;由董事会,管理层和其他人员实施的; 对公司财务报告的可靠性和根据通用会计准则和以下政策和程序,
6、为对外 报告目的编制的财务报表提供合理保证:(1) 维护公司记录,提供适当详细的信息,真实准确的反映公司资产交易 和处置情况;(2) 合理保证公司交易得到记录,使公司能够按通用会计准则编制财务报 表;公司收支获得管理层和董事会的授权;(3) 合理保证防止或定期发现未授权的取得,使用或处置公司资产和对财 务报表的重大影响。“8(二)风险和内部控制1、COSO内部控制框架2、风险的分类3、控制活动目标4、控制活动例举介绍5、控制活动的分类6、控制活动设计的原则7、控制活动有效性评价二、索克斯法案及内部控制(续)9“内部控制是由公司董事会、管理层和其他有关人员实施,为实现以下目标提供合理保证而设计的
7、 程序”(引自COSO及美国审计准则第319条),其目的包括有效和高效地运营、财务报告的可靠性 及遵守相关的法律及法规 。COSO也确定了内部控制的5个方面如下:控制活动 确保管理层可行的政策/流 程付诸实施.措施包括审批,授权,确认 ,建议,业绩考核,资产安 全和权限分离监督评估内部控制系统性能 整合实时独立的评估.管理层和监督机构的工作. 内部审计工作.控制环境 制造单位气氛让公司员工建立 内部控制因素包括正直,道德价值,能力 ,权威和责任是其他内部控制组成部分的基础信息和沟通定期获取,确定并交流相关的信 息评价内部和外部获取的信息确认从职责方面的指导到管理层 对管理活动发现而形成的总结等
8、 各类内部控制成功的措施形成的 信息流风险评估 风险评估是为了达到企 业目标而确认和分析相 关的风险,这些风险都 是基于一些决定性的内 部控制活动所有的五个部分必须同时作用才能使内部控制得以产生影响 1、COSO内部控制框架二、索克斯法案及内部控制(续)10控制环境确定影响员工控制意识的组织的“基调”,其基本内容如下:l员工的诚信和道德观:指员工行为的准则,是告诉员工什么行为可接受、什么行为不 可接受、以及遇到不正当行为应该采取的行动。企业要建立良好的道德标准并形成良 好的道德氛围,对控制系统的有效运行非常重要,也有助于防范那些内控系统难以控 制的 l员工的胜任能力:是要求员工具备完成工作任务
9、所需的知识和技能。目的是保证员工 能够正确理解相关规定、及时恰当分析和处理业务l董事会和审计委员会:独立于管理层之上,并指导和监督管理层的工作l管理层的经营理念和经营风格:管理层的经营理念和经营风格影响企业的管理方式。 体现在:对各种风险的态度 ;对财务报告的态度;对待数据处理、会计职能及人事管 理等方面的态度l组织结构:组织结构是权责分工的架构,每个企业都可根据自己的需要确定最有效的 组织结构l管理层授权和职责分工:授权和职责分工是按照权责对等的原则,进行授权和责任分 配。将企业的目标分解至每个员工,使员工的行为与企业目标相联系l人力资源政策与措施:人力资源政策和措施是关于员工聘用、培训、考
10、核、进升、薪 酬等方面的政策和程序。目的是聘用和保持合格的员工1、COSO内部控制框架(续)二、索克斯法案及内部控制(续)11风险评估是指识别和分析影响目标实现的风险,帮助确定如何进行风险管理:l风险是任何可能影响实现目标的因素l风险评估是识别和分析那些影响目标实现的风险的过程,是确定如何管理和控制风 险的基础l风险评估的过程包括风险识别和风险分析,风险识别指发现和分析那些影响目标实 现的风险,考虑外部因素和内部因素;风险分析指估计风险的重要程度;评估风险 发生的可能性(或频率、概率)控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定 的政策和程序,包括一系列不同的活动,如审批
11、、授权、确认、核对、考核 经营业绩、资产保护等。控制活动的目标包括完整性、准确性、有效性和接 触的限制1、COSO内部控制框架(续)二、索克斯法案及内部控制(续)12信息和沟通指相关信息以某种形式被识别、获得和沟通,以促使员工履行自 己的职责,包括信息的识别和获取、信息加工和报告及内部沟通和外部沟通 ,例如:l信息共享,如通过组织内各个级别的管理人员的沟通,建立一种共同责任的意识l管理层明确定义每名员工的责任并向他们沟通l建立管理层内部和与外部各方的适当的定期沟通的流程l建立目标和标准以衡量和督促及时采取改进行动监控是评估内控系统在一定时期内运行质量的过程,目的是保证内部控制持 续有效。监督的
12、方式包括:持续性监督和独立的评估:l持续性监督:持续性的监督行为发生在经营的过程中,它包括日常的管理、监督、 比较、核对和其他常规性活动l独立评估:独立评估是独立于控制活动之外而采取的定期评估行为l报告缺陷:内控缺陷应该向上汇报,某些问题应向高级管理层和董事会汇报1、COSO内部控制框架(续)二、索克斯法案及内部控制(续)131、COSO内部控制框架(续)*控制环境处理*控制活动业务起始*风险评估业务台帐/ 管理信息XXXXXXXX*监控财务报告*信息与沟通二、索克斯法案及内部控制(续)14控制环境(二)风险和内部控制(续)风险评估监控信息&沟通识别的 风险设定的 控制活动 目标控制活动控制活
13、动二、索克斯法案及内部控制(续)151) 财务报告失真风险:企业未完全按会计准则、制度等规定组织会 计核算和披露信息,导致财务报告在完整性、准确性等方面存在问 题l例如:大量暂估入帐资产长期未能正式结转固定资产2) 资产安全受到威胁:指管理制度不健全或执行不到位,企业实物 资产如设备、存货、证券、资金和其他资产的安全受到威胁l例如:存在帐外资金或“小金库”3) 营私舞弊风险:以故意的行为获得不公平或非法的收益l例如:通过虚增收入、随意递延成本和违反会计处理原则等手段 编报虚假利润和财务状况,骗取奖金和荣誉。(二)风险和内部控制(续)2、风险的分类二、索克斯法案及内部控制(续)164) 经营决策
14、风险:影响决策的时效、依据和质量等l例如:在总体控制环境的风险评估要素中,缺乏对竞争对手和市场的系统 研究,制订的营销政策缺乏针对性和效益评估,加大了运营风险5) 违反法律法规风险:没有全面执行国家法律、法规和政策规定l例如:在总体控制环境的风险评估要素中,缺乏对相关法律法规的研究, 无法提高规避法律风险的能力五类风险之间并没有严格的界线,同一风险可能对应多个风险类别 。例如:合同审查不严既影响对法律法规的遵循又涉及到营私舞弊 风险。(二)风险和内部控制(续)2、风险的分类(续)二、索克斯法案及内部控制(续)17(二)风险和内部控制(续)3、控制活动目标l财务报告的可靠性 完整性控制(C) 准
15、确性控制(A) 有效性控制(V) 接触性控制(R)l经营的效率和效果(O)l法律法规的遵循(L)二、索克斯法案及内部控制(续)18(二)风险和内部控制(续)3、控制活动目标(续)财务报告的可靠性 - 如何保证? - 如何预防? - 如何检查?l完整性控制(C):指建立完整规范的控制体系和标准;生产经营和财务信息 数据的采集、记录和处理完整,无遗漏和重复。如: 如何保证把当期所有的合同信息都完整地、不重复地录入合同管理系统? 如何保证按照会计确认收入的原则,将当期所有的业务收入记录下来? 如何保证合并报表的原始数据包括了所有需要合并的会计核算单位的数据 ?l准确性控制(A):指所有信息和数据计算
16、、归集和记录操作等准确。如: 如何保证账务处理的金额是准确的? 如何保证保证在资本性支出业务中,合同上的价格、数量应该准确? 如何保证营业收入应当记入正确的会计期间? 如何保证营业发票内容与业务内容或合同应当一致?二、索克斯法案及内部控制(续)19(二)风险和内部控制(续)3、控制活动目标(续)财务报告的可靠性(续)l有效性控制(V):指所有的生产经营活动都经过适当的授权和批准,都是真 实发生的,并按规定保存有效的原始文件。如:如何保证付款经过适当级别的审批?如何保证记录的业务收入是真实的?如何保证费用支出与公司的业务相关,且符合公司的费用开支标准?l接触性控制(R):指信息处理和实物资产的保护和安全控制。如:如何防止实物资产的偷窃和遗失?如何保证会计人员只能在授权的情况下,编制与自己分管业务相关的会 计凭证?如何保证对企业投资实施计划的保密,防止被不相关的人员了解?
