《sox_基本内容介绍》由会员分享,可在线阅读,更多相关《sox_基本内容介绍(28页珍藏版)》请在金锄头文库上搜索。
1、SOX基础培训 萨班斯 - 奥克斯利法案 第404条 管理层对与财务报告相关的内部控制评审工作介绍,2007年8月3日,主要内容目录, SOX法案 简介 上市公司会计监督委员会第2号审计准则的主要内容 COSO 内控框架介绍 SOX与ISO9000系列比较, 萨班斯 - 奥克斯利法案 简称 萨奥法或SOX法,2,SOX法简介,SOX法简介,在安然、世界电讯等多家上市公司丑闻曝光后, 美国参众两院通过了萨奥法,并且专门成立了上市公司会计监督委员会(Public Company Accounting Oversight Board)以 加强公司治理 重建投资者信心 提高上市公司按证券法或其它要求所
2、作披露的准确性和可靠性 SOX法不仅适用于美国公司, 也适用于在美国证监会注册的外国公司(1.4万家公司),Makita就是这样的公司在美国纳斯达克股票市场上市 在SOX法出台后,法国和日本都先后出台了类似的新法规强化监管。因此从长远来看,改革公司内部控制体系将是大势所趋。 SOX法内容主要包括: 上市公司会计监督委员会的责任和角色 上市公司的责任 审计师独立性 加强财务信息披露,3,404条款是萨法中最难操作、最复杂、耗费成本最高的一个条款。 SOX法是继20世纪30年代经济大萧条以来,继1933年证券法和1934年证券交易法以来的, 美国政府制定的涉及范围最广、处罚措施最严厉、最具影响力的
3、公司法律。,SOX法简介 严刑峻法,4,被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案” 要求高,成本高昂 据对321家企业调查,每家遵守SOX法的美国大型企业第一年实施404条款总成本平均超过460万美元。 为达标404条款,全球著名的通用电气公司花费了3000万美元完善内部控制系统。 将对上市公司高管及白领犯罪予以重罚,高达500万美元的罚款; 可能被处以10年或20年监禁的重刑,量刑等级几乎等同于美国持枪抢劫的最高刑罚 ; 上市公司高管为实行SOX法案,可能要额外投入30%的时间。,银广夏股通过伪造购销合同、伪造出口报关单、虚开增值税专用发票、伪造免税文件和伪造金融
4、票据等手段,虚构主营业务收入,虚构巨额利润.45亿元。 琼民源虚假财务会计报告,通过虚假利润及虚编资本公积金增加的,误导投资者。 中国将在3年内出台中国式的SOX法案 中国移动、中移动、中国电信、中网通、华能电力、中国石化和中国人寿等在内的44家已在美国上市的中国公司也在其列; 包括互联网公司如百度和搜狐等中国公司 在第一个年度里,中国公司因这部严法需付出的费用将直逼2亿美元 中国人寿4000万用于404条款遵循工作,第 404 条 管理层对内部控制的评审,管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述 管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述 管理层就公司
5、最近财政年度财务报告的内部控制系统的有效性作出的评审结果,第 302 条 企业对财务报告的责任,签字人已审阅向证监会呈交的报告 该报告不存在对重要事件的不实描述或遗漏 确认财务报告和其它财务信息的披露在所有重要方面均公允地反映公司状况 承担责任,建立、维护和评估内部控制,确保信息披露正确 已经向外部审计师和审计委员会披露内部控制存在的显着缺陷之处、重大漏洞和重要岗位舞弊 披露评估日后内部控制的重大变动和改善措施,萨奥法各项条例中以第302条“企业对财务报告的责任” (Corporate Responsibility for Financial Reports) 和第404条“管理层对内部控制的
6、评审” (Management Assessment of Internal Controls) 影响最为深远,SOX法简介,首席财务官或首席執行官需签署书面声明,上市公司年报里 (Form 20-F 表格) 必须附有管理层对内部控制的评审报告,其内容应包括,另外 ,第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评审进行审计,并出具审计意见,5,上市公司会计监督委员会 第2号审计准则的主要内容,6,SOX法审计规则PCAOB 2号准则简介,内部控制指为合理地保证企业在财务报告的可靠性、经营效率和效益及遵守适用的法律法规方面达成既定的目标而设计的措施 与财务报告相关的
7、内部控制包括指为合理地保证(合理但并非绝对地保证)企业财务报告的可靠性和企业编制及公允列示财务报表的流程而设计和实施的企业政策和程序。这些内部控制包括备存会计记录、收据和报销项目授权及保护资产等政策和程序,上市公司会计监督委员会第2号审计准则的主要内容,SOX法第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评审。上市公司会计监督委员会配合第404条要求颁布第2号审计准则,以明确规范公司管理层和外部审计师的评审范围和要求。,7,内部控制(Internal controls)与财务报告相关的内部控制 (Internal controls over financial repo
8、rting)的定义,上市公司会计监督委员会第2号审计准则的主要内容,主要交易是如何启动,记录,处理和反映在财务报告中的 用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施 其它重要内控措施所依赖的内部控制,包括一般性控制,例如信息系统控制 非经常性、非系统交易或财务估计的内控措施 财务报表关账和汇总过程中的内控措施 资产保护的控制措施,8,与财务报告相关的内部控制包括对影响主要交易的所有财务记录和披露的控制措施:,涉及主要交易类型的交易启动、授权、处理以及最终在财务报表中的披露过程中各环节的主要内部控制,财 务 报 表,明 细 账,总 账,收入: 通话费,固定资产 / 支出
9、,现金 /贷款/ 货币投资,财务估计 (如坏账、折旧、固定资产减值),业 务 系 统,与来源资料对照检查 记录有关财务估计的决定和审批,流程与系统控制,遵行监控 政策,报表合并 内部往来账 分析 判断,业务流程,交易,网络建设,客户服务 及账务,网络管理,应收 / 应付账,业务费用 (如维修 费用、人工和行政费用等),与财务报告相关的内部控制涉及的范围,9,上市公司会计监督委员会第2号审计准则的主要内容 ,经营回经营回报与风险报与风险,经营回报,风险 风险是某一事件或行为对企业经济利益可能的威胁,风险的后果 竞争失败 经营中断 法律诉讼 商业欺诈 无益开支 资产损失 决策失误,公司管理层,内部
10、控制如何降低风险?,暴露的金额,发生的 可能性,风险的大小,内部控制的重要性,有效的 内部控制,风险与经营回报的良好平衡,上市公司会计监督委员会第2号审计准则的主要内容,对管理层的要求,必须肩负公司财务报告相关的内部控制有效性的责任 采用适当的内控枉架 (例如COSO) ,评审公司与财务报告相关的内部控制系统的有效性 以充分的凭证 (包括档案文件) 支持评审结果 文档记录的重要性 -文档记录可以为控制程序的确定和控制的监管提供证据 -内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷 -缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷,并签发反对意见报告 针
11、对公司最近的年度财务报告的内部控制的有效性提交书面声明,13,管理层应采取全面措施履行其责任,当中包括全面的计划,以及对内部控制系统的评审。管理层确定重大控制措施后,必须记录有关措施,然后测试措施的成效。企业应有充裕的时间完成整个程序并且纠正发现的内控缺陷。越早发现缺陷,管理层便有越充裕的时间纠正缺陷,并确定新措施的运作成效。如果管理层未能履行上述责任,会导致审计师发出保留或不表示意见。,内控缺陷可以源自设计或操作方面 控制措施的缺漏(设计) 控制措施未能达到预期的控制目标(设计) 控制措施没有按设计原意操作(操作) 负责操作控制措施的人员不具备操作控制措施所需的职权或资格(操作) 内控缺陷的
12、严重程度不同,可以是不重要、显著缼陷、和非常严重的重大漏洞 显著缼陷指单一或多个内控缺陷的存在导致无法把预防或发现年报或中期报告中出现错漏的可能性降至很低 重大漏洞指单一或多个显着缺陷的存在导致无法把预防或发现年报或中期报告中出现重大错漏的可能性降至很低,上市公司会计监督委员会第2号审计准则的主要内容,内控缺陷(Control Deficiency) - 显著缺陷 (Significant Deficiency) 和重大漏洞 (Material Weakness)的定义,14,审计师发现重大的错漏 内部审计或风险评估措施对企业未能发挥效用 发现高级管理层诈骗舞弊现象 在相当一段时间内没有纠正过
13、去已提出的严重内控缺陷 监控环境未能发挥效用,上市公司会计监督委员会第2号审计准则的主要内容,显示存在重大漏洞的显著内控缺陷的情况包括:,15,管理层404评审报告,建立及维持有效性,内部控制系统,记录,测试,根据上市公司会计监督委员会第2号审计准则的要求,对与财务报告相关的内部控制进行独立审计,并正式出具一份审计师404审计报告,当中包括两个评估意见,上市公司会计监督委员会第2号审计准则的主要内容,16,对外部审计师的要求,评估意见 (1) 对管理层评审结论的意见,(1) 评审内部控制的有效性,(2) 提交最近年度财务报告的内部控制系统有效性的声明,评估意见 (2) 对公司与财务报告相关内部
14、控制有效性的意见,审计师出具保留意见或不表示意见的成因和影响,股价下挫,负面消息流传,形象受损,信贷评级下降,客户失去信心,保留意见审计报告或 审计师不表示意见,成因二: 外部审计师发现一个/多个重大内控漏洞, 例如: (1) 需要作出审计调整 (2)没有足够的信息系统控制,成因一: 管理层对内部控制评审的支持凭证不足,例如: (1)没有确定评审范围的充分依据和记录 (2)缺少测试主要内控措施的档案文件,17,上市公司会计监督委员会第2号审计准则的主要内容,没有建立内部交易和往来账对账的正式程序 不及时或没有进行往来账的对账工作,对帐未经管理层充分审阅 缺少一定的管道和程序供员工向适当的独立部
15、门/单位反映他们在日常工作中发现的与内控有效性相关的可疑情况反映 对会计报告的准确性复核不足,未能完整和准确的记录特定业务流程中的内部控制 缺乏清晰的职责分工和准确的岗位说明书,曾在已经实行SOX法 的上市公司中存在的内控缺陷例子,18,上市公司会计监督委员会第2号审计准则的主要内容,上市公司会计监督委员会第2号审计准则的主要内容,37%,23%,8%,10%,6%,9%,7%,流程不健全,人员胜任能力不足,书面记录不完备,销售确认错误,融资租赁会计处理错误,税金会计处理错误,其他,06年上市公司中存在的内控缺陷统计,营运,财务报告,合规性,监控,信息和沟通,控制活动,控制环境,风险评估,COSO 内控框架介绍,20,营运,财务报告,合规性,控制活动 确保落实管理层的政策 / 流程 措施包括审批、授权、 确认、建议、业绩考核、资产保全和权限分离,监控 评估内部控制系统 整合及时独立的评估 管理层和监控机构的 工作 内部审计,信息和沟通 定期获取、确定并交流相关的信息 评审内部和外部获取的信息 信息流: 职责指导 管理层的总结 成功的措施,控制环境 营造企业环境,让公司员工建立内部控制 因素包括正直、道德价值、能力、权威和责任 是其它内部控制组成部分的基础,风险评估 风险评估是因应一些 决定性的内部控制活动和企业目标而确认和 分析相关风险的工作,
