《萨班斯法案内部控制重点及美国本土上市公司执行情况说课讲解》由会员分享,可在线阅读,更多相关《萨班斯法案内部控制重点及美国本土上市公司执行情况说课讲解(47页珍藏版)》请在金锄头文库上搜索。
1、中国石油化工股份有限公司萨班斯法案关于内部控制重点内容美国本土上市公司执行情况 2006年7月25日主要内容:1. 内部控制 - 国内外资本市场监管要求和股份公司管理要求 2. 美国本土公司首年执行萨班斯法案404条款3. 萨班斯法案404条款及相关条例对管理层自我评价的要求4. 管理层自我评价具体问题讨论5. 中石化存在的潜在财务报告内部控制缺陷6. 毕马威对中石化自我评价所能提供的帮助及建议1.1 内部控制 - 国内外资本市场监管要求2.1 美国本土公司首年执行萨班斯法案 带来的主要好处1. 董事会、审计委员会和管理层对内部控制有更多参与2. 建立起监控和评价控制机制3. 针对年结制定的结
2、构和流程4. 实施反诈骗控制5. 对通过信息技术控制风险有警觉性6. 有更好的流程 / 控制文件用于培训和管理教育7. 完善的风险和控制定义8. 管理层和负责操作的人员更好地理解他们在控制方面的责任9. 更好的审计追踪10.重新落实基本的控制措施,如分工、授权流程、会计账目调节资料来源:内部审计师协会 2005 年 7 月调查 State of Regulatory Compliance Summit, Washington DC (监管合规高峰会的州 华盛顿市)2.2 首年执行萨班斯法案 出现负面意见的主要原因1. 所得税问题 (Income tax matters)2. 收入确认 (Rev
3、enue recognition)3. 财务人员配置/专业知识 (Financial staffing/expertise)4. 租赁会计处理方法 (Lease accounting)5. 公认会计原则应用 (Application of GAAP)6. 财务年度结算流程 (Financial Close process)7. 监控 (Monitoring controls)8. 职责分工 (Segregation of Duties)9. 衍生工具 (Derivatives)10.子公司/偏远地区 (Subsidiaries/Remote locations) 1. 毕马威第 404 条机构
4、调查 2005 年 5 月3. 萨班斯法案404条款及相关条例对管理层自我评价的要求3.1 管理层的责任3.2 管理层自我评价流程3.3 管理层自我评价应满足的基本要求3.4 管理层报告要求3.5 PCAOB有关内控的详细指引文件3.6 SEC及PCAOB就执行萨班斯404条款的最新动态注:PCAOB 是指美国上市公司会计监督委员会3.1 管理层的责任承担公司财务报告内部控制有效性的责任;采用适当的控制标准(比如COSO标准),评价公司财务报告内部控制的有效性(是否存在实际性漏洞);以充分的证据(包括文档文件,参看4.7)为评价结果提供有力支持;针对公司最近财年财务报告内部控制的有效性提交书面
5、评价。 注:COSO 是指美国反虚假财务报告委员会出版的内部控制整体框架3.2 管理层自我评价流程404条款:管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运行的有效性控制点的设计和运行情况?评估什么补充修改补充修改实质性漏洞控制点的载体是什么?报告评估:-自我评估-独立评估评估:-自我评估-独立评估404条款:管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运行的有效性内部控制设计的有效性内部控制执行的有效性控制点的设计和执行情况内控手册?评估什么?评估什么补充修改补充修改补充修改补充实质性漏洞控制点的载体是什么?控制点的载体是什么?报告报告评估:-自我
6、评估-独立评估评估:-自我评估-独立评估评估:-自我评估-独立评估评估:-自我评估-独立评估3.3 管理层自我评价应满足的基本要求PCAOB规定审计师应当判断管理层的评价过程是否包含了下列内容:确认需要测试的控制措施,包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施;评价由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性,以及其他控制措施实现相同控制目标的程度;确认应纳入评价范围的具体公司经营场所或业务单元(针对拥有多个办公地点或业务单元的公司);对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及运行方面的有效性进行评价;确认在财务报告内部控制系
7、统中所发现的不足是否会构成重大缺陷或实质性漏洞;就主要发现与有关方面进行沟通;及评价主要发现是否与评价结果相一致。自我评价确认评价对象评价控制失效风险确认评价范围评价控制有效性评价缺陷严重性沟通形成结论3.4 管理层报告要求管理层须陈述为公司设立和维持足够的财务报告内部控制系统的责任;管理层须陈述为评价公司财务报告内部控制系统的有效性而采用的评价架构;管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评价, 包括一份公司与财务报告相关的内部控制是否有效的声明。声明必须披露管理层发现的任何一项公司与财务报告相关的内部控制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更
8、多实质性漏洞时,管理层不得做出公司与财务报告相关的内部控制有效的声明;3.5 PCAOB有关内控的详细指引文件04年6月17日PCAOB第2号审计准则05年5月16日第2号审计准则的实施声明截至05年5月16日 第1至55条PCAOB职员对公众提问的回复05年11月30日第2号审计准则的首年实施报告06年5月1日PCAOB对内控审计于2006年的检查声明参考网站:http:/www.pcaobus.org/Standards/Standards_and_Related_Rules/index.aspx3.6 SEC及PCAOB就执行萨班斯404条款的最新动态2006年5月10日,SEC和PCA
9、OB召开了圆桌会议,就关于如何改进萨班斯404条款的实施进行了讨论。5月17日,SEC发表了以下声明:SEC将就管理层如何按照自上而下、风险导向的方法完成对财务报告内部控制的自我评价出台具体指南。SEC将考虑是否为小型上市公司应用COSO框架出台另外的指南。SEC将与PCAOB紧密合作,修订PCAOB审计准则第2号。中石化适用执行萨班斯404条款最后期限仍为2006年7月15日或以后结束的财政年度。4. 管理层自我评价具体问题讨论4.1 公司层面控制(Company Level Controls) 的确定4.2 信息系统一般性控制(IT General Controls)的确定4.3 重要会计
10、科目/披露(Significant Accounts/Disclosures)的确定4.4 重要/关键控制点(Key Control Points)的确定4.5 检查时间(Inspection Timing)的确定4.6 测试样本量(Testing Sample Size)的确定4.7 自我评价记录(Documentation)的要求4.8 应当包括在评估过程中的经营场所和业务单位(Scope)4.1 公司层面控制(Company Level Controls)的确定公司层面的控制通常对控制活动在流程、交易过程中有普遍深入的影响。PCAOB规定的公司层面的控制包含7个方面的内容,其中有4点与C
11、OSO框架相一致。COSO框架是识别和评价公司层面的控制重要的参照。4.1 公司层面控制的确定(续)COSO框架概述(在内控检查办法第八条和第十九条体现):控制环境:提供企业纪律与架构,塑造企业文化和正确的价值观,并影响企业员工的控制意识和工作能力是所有其它内部控制组成要素的基础。控制环境的因素具体包括:正直守德的价值取向、对员工胜任能力的关注、董事会或审计委员会、管理哲学和经营风格、公司组织结构、职权和职责的分配、人力资源政策及实务。 风险评估:风险评估就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境等内外部因素不断变化,企业主动地发现和处理由于情况变化所带来的风险是很有必要的。
12、 控制环境风险评估控制活动信息与沟通监控4.1 公司层面控制的确定(续)控制活动:是确保管理层的指令得以执行的政策及程序,是管理层识别和评估风险后,对控制这些风险所实行的针对性措施。控制活动包括授权审批、核对、关键绩效指标、资产安全控制及职责分离等各种类型,又可以分为人工控制和信息系统控制两大类。信息与沟通:内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。企业不仅应当致力于提升内部沟通的有效性,还应关注与企业外部的沟通问题。监控:是由适当的人员,在适当及时的基础下,评价控制的设计和运作情况的过程。这一活动由持续监督、个别评价所组成,其
13、可确保企业内部控制能持续有效的运作。4.1 公司层面控制的确定(续)PCAOB规定的公司层面的控制措施包括但不限于:1.控制环境(与(与COSOCOSO一致)一致)内的控制措施,包括领导层的定调、权责分工、贯彻一致的政策和程序和全公司的措施,例如专业操守和防止诈骗这类适用于所有地区和业务单位的措施2.管理层的风险评估程序(与风险评估程序(与COSOCOSO一致)一致)3.集中的处理和控制措施(与(与COSOCOSO一致)一致) ,包括共用服务环境4.监察经营业绩的控制措施,包括内部审计部门、审计委员会和自我评价计划的工作5.监察其他控制措施(与(与COSOCOSO一致)一致)的控制措施6.期末
14、财务报告程序7.经董事会审批处理重大业务控制和风险管理的政策4.2 信息系统的一般性控制(IT General Controls)的确定信息系统的一般性控制包括以下四方面内容:程序和数据的进入程序的修改程序的开发计算机的操作4.2 信息系统的一般性控制的确定(续)程序和数据的进入 (Access to programs and data)实施有效的安全性措施。对信息资源的接触应做实物与虚拟的限制,即防止未经授权的人接近信息资源;防止未经授权的人利用网络技术侵入信息系统。职责分工,相关人员只能进入或修改职责范围内的信息。程序的修改 (Program changes)程序的修改需经过授权,记录及测
15、试。系统及应用程序的配置应及时升级。4.2 信息系统的一般性控制的确定(续)程序的开发 (Program development)新系统及应用程序的开发及应用需要经过授权及测试。计算机的操作 (Computer operations)对系统信息应定期备份,并进行恢复性测试以保证备份信息的可用性。应设置相应的应急程序,以防系统出现故障。对系统信息的录入或操作应做到准确、完整和及时。4.2 信息系统的一般性控制的确定(续)终端用户计算 (End-user computing)指与财务报告数据生成有关、并对数据按公式进行加工处理的Excel、Access、VB等电子表格、小程序等,进行有关授权制度、
16、公式访问保护、测试、备份、文档等管理4.3 重要会计科目/披露(Significant Accounts/Disclosures)的确定定义:如果某科目或披露事项中出现可能对财务报表产生重大影响(因少报或多报)的单个错报(或多个错报的共同作用)的可能性并非微小,那么这一科目或披露事项就是重要的会计科目或披露事项。确定重要科目时应当考虑:定性与定量的考虑(见下页)合并报表层面的重要性水平(一般为税前利润3-5%)除个别会计科目(如所得税)外,内控手册基本涵盖了所有重要会计科目/披露;内控测试需要补充有关内容内控办需要整理重要会计科目/披露与内控手册的对应关系4.4 重要/关键控制点(Key Control Points)的确定对于重要/关键控制点的确定,PCAOB要求至少应当包括以下方面的控制:与重要科目/披露及财务报告所包含相关认定的启动、审批、记录、处理或汇报有关的控制(注意为从“启动”到“会计记录”全过程均属于与财务报告相关的重要/关键控制点范围);选择和应用符合公认会计准则要求的会计政策的控制;反舞弊程序和控制;各种控制,包括其他重要控制所依赖的信息技术的一般性控制;对非经常性和
