《企业内部控制评价》由会员分享,可在线阅读,更多相关《企业内部控制评价(202页珍藏版)》请在金锄头文库上搜索。
1、 企业内部控制评价企业内部控制评价二零零九年六月八日二零零九年六月八日第一部分内部控制和萨宾斯法案介绍第一部分内部控制和萨宾斯法案介绍第二部分企业内部控制基本规范解读第二部分企业内部控制基本规范解读 内部控制和萨宾斯法案介绍内部控制和萨宾斯法案介绍内部控制的产生内部控制的产生1949年,美国会计师协会的审计程序委员会在内部控制,一种协调制度要素及其对管理当局和独立注册会计师的重要性的报告中,对内部控制首次作了权威性定义:“内部控制包括组织机构的设计和企业内部采取的所有相互协调的方法和措施。这些方法和措施都用于保护企业的财产,检查会计信息的准确性,提高经营效率,推动企业坚持执行既定的管理政策。”
2、此定义及其相应的解释,当时被普遍认为是对认识内部控制这一概念的重大贡献,因为在此之前内部控制概念从未受到如此的重视。l只针对萨宾斯法案的要求-和财务报告有关的部分l覆盖的业务主体内部控制的专注点内部控制的专注点内部控制的广泛性内部控制的广泛性l内部控制绝对不是内部控制绝对不是:l静态的结构;l某一层次人员的任务(例如:高级管理层);l某一部门的任务(例如:财务、内部审计);l某一实体的任务(例如:总部、省级公司)。 l内部控制是内部控制是:美国反欺骗性财务报告委员会(美国反欺骗性财务报告委员会(COSOCOSO)的定义)的定义:内部控制 是一个靠组织的董事会、管理层和其他员工董事会、管理层和其
3、他员工去实现的过程过程,实现这一过程是为了合理的保证:l 经营的效果性和效率性;经营的效果性和效率性;l 财务报告的可信性;财务报告的可信性;l 对法律和规章制度的遵循性。对法律和规章制度的遵循性。因此,整个集团的共同参与对于项目的成功至关重要。控制机制控制机制人是核心(道德和能力)规范要求的长远益处规范要求的长远益处四个关键信息质量的驱动因素是行业领先的公司进行变革的目标,这些四个关键信息质量的驱动因素是行业领先的公司进行变革的目标,这些因素是遵循规范的结果,也是价值的创造因素是遵循规范的结果,也是价值的创造提供的数据客观,形象的表示了公司业绩财务报表更改的情况将很少发生业绩将更接近原有的预
4、期持续的计划给管理层和投资者提供了数据用于公司应对商业环境的变化随着时间的推移,信息将快速的产生需要快速的提供给投资者相关信息简单化和标准化的信息使得更容易被理解和接受管理层要直接看到推动业务的相关因素及时及时可预测可预测透明透明精确精确Earnings一、基本概念阐述一、基本概念阐述二、内控系统整体架构二、内控系统整体架构三、内部控制的实施三、内部控制的实施走进内部控制主要内容主要内容一、基本概念概述一、基本概念概述二、内控系统整体框架、基本概二、内控系统整体框架、基本概念阐述念阐述二、内控系统整体架构二、内控系统整体架构三、内部控制的实施三、内部控制的实施一、基本概念阐述一、基本概念阐述二
5、、内控系统整体架构二、内控系统整体架构三、内部控制的实施三、内部控制的实施 一、基本概念阐述一、基本概念阐述经营回报与风险经营回报经营回报公司管理层公司管理层经营回报与风险经营回报与风险经营回报与风险经营回报与风险经营回报与风险什么是风险?q风险是某一事件或行为对风险是某一事件或行为对企业经济利益企业经济利益可能的威胁可能的威胁q商业风险和管理风险商业风险和管理风险什么是风险?什么是风险?风险是某一事件或行为对风险是某一事件或行为对企业经济企业经济利益可能的威胁利益可能的威胁商业风险和管理风险商业风险和管理风险管理风险管理风险习惯上分为以下五类:管理风险习惯上分为以下五类:财务和经营信息不足财
6、务和经营信息不足政策、计划、程序、法律和标准贯彻失败政策、计划、程序、法律和标准贯彻失败资产流失资产流失资源浪费和无效使用资源浪费和无效使用不能达到企业的目的和目标不能达到企业的目的和目标管理风险管理风险管理风险习惯上分为以下五类:管理风险习惯上分为以下五类:风险的后果?经营中断经营中断法律诉讼法律诉讼商业欺诈商业欺诈竞争失败竞争失败无益开支无益开支资产损失资产损失决策失误决策失误风险的后果?风险的后果?风险如何最小化? 风险最小化风险最小化加强系统的内部控制加强系统的内部控制对可能的损失投保对可能的损失投保当可能的风险较大时,当可能的风险较大时,寻求较大的回报寻求较大的回报风险如何最小化?风
7、险如何最小化?内部控制如何降低风险? 暴露的金额暴露的金额发生的发生的可能性可能性风险的大小风险的大小内部控制内部控制降降低低内部控制如何降低风险?内部控制如何降低风险?成成 功功内部控制的重要性有效的有效的内部控制内部控制风险与经营回风险与经营回报的良好平衡报的良好平衡内部控制的重要性内部控制的重要性内部控制的重要性(续)内部控制的重要性(续)COSOCOSO报告报告内部控制整体架构内部控制整体架构AICPAAICPA审计准则公告第审计准则公告第7878号号会计法会计法(第四章第(第四章第2727条)条)财政部财政部内部会计控制规范内部会计控制规范证监会证监会证券公司内部控制指引证券公司内部
8、控制指引证监会证监会商业银行内部控制指引商业银行内部控制指引征求意见稿征求意见稿 .内部控制的重要性(续)COSO报告报告内部控制整体架构内部控制整体架构AICPA审计准则公告第审计准则公告第78号号会计法会计法(第四章第(第四章第27条)条)财政部财政部内部会计控制规范内部会计控制规范证监会证监会证券公司内部控制指引证券公司内部控制指引证监会证监会商业银行内部控制指引商业银行内部控制指引征征求意见稿求意见稿财政部等五部委财政部等五部委企业内部控制基本规范企业内部控制基本规范内部控制的重要性(续)内部控制的重要性(续)什么是内部控制?什么是内部控制?20内部控制内部控制 - -被定义为一个过程
9、,这个过程受企业的董事会、被定义为一个过程,这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证:下列目标提供合理的保证:营运的效果和效率营运的效果和效率财务报表的可靠性财务报表的可靠性相关法令的遵循相关法令的遵循内部控制的定义www.coso.org内部控制的定义内部控制的定义二、二、内部控制整体架构内部控制整体架构内控系统的整体架构内控系统的整体架构内控系统的整体架构内控系统的整体架构“内部控制整体框架内部控制整体框架”的特点的特点明确对内部控制的“责任”强调内部控制应该与企业的经营管理过程相结合强调内部控制是一
10、个“动态过程”强调“人”的重要性强调“软控制”的作用强调风险意识揉和了管理与控制的界限强调内部控制的分类及目标明确指出内部控制只能做到“合理”保证成本与效益原则内控系统五要素架构内控系统五要素架构监督监督控制控制活动活动风险风险评估评估控制环境控制环境信息与沟通信息与沟通信息与沟通信息与沟通内控系统五要素架构内控系统五要素架构目标目标有效率且有效果有效率且有效果的使用公司资源的使用公司资源财务报告财务报告的可靠性的可靠性遵循适用遵循适用的法律、法规的法律、法规是任何企业的核心,是企业的人以及它所处的环境是任何企业的核心,是企业的人以及它所处的环境是推动企业的引擎,也是其他要素的基础是推动企业的
11、引擎,也是其他要素的基础l控制环境的组成要素:控制环境的组成要素:n管理哲学和经营风格管理哲学和经营风格-传达公司的正直、诚实的道德规范传达公司的正直、诚实的道德规范n组织结构组织结构-董事会及其委员会职能董事会及其委员会职能n职责分配和授权职责分配和授权-权利、职责分工权利、职责分工n人事政策人事政策-保证员工正直并有能力胜任工作保证员工正直并有能力胜任工作控制环境控制环境控制环境是任何企业的核心,是企业的人以及它所处的环境是任何企业的核心,是企业的人以及它所处的环境是推动企业的引擎,也是其他要素的基础是推动企业的引擎,也是其他要素的基础控制环境的组成要素:控制环境的组成要素:管理哲学和经营
12、风格管理哲学和经营风格组织结构组织结构董事会及其委员会职能董事会及其委员会职能职责分配和授权职责分配和授权人事政策人事政策控制环境控制环境控制环境管理哲学和经营风格控制环境管理哲学和经营风格审计署对审计署对23家企业的调查结果家企业的调查结果项目金额(亿元)金额(亿元)资产不实资产不实10.39%负债不实负债不实7.89%利润不实利润不实38.87 其中:虚报其中:虚报94.98%36.92 隐瞒隐瞒52.89%20.53 潜亏潜亏92.77%36.06控制环境管理哲学和经营风格控制环境管理哲学和经营风格独立董事独立董事专门委员会专门委员会 设立审计委员会,及委员会成员资格要求设立审计委员会,
13、及委员会成员资格要求 审计委员会职责审计委员会职责 专门委员会与外部中介机构专门委员会与外部中介机构监事会监事会 监事会职责监事会职责 监事会与外部中介机构监事会与外部中介机构控制环境董事会及委员会职能控制环境董事会及委员会职能企业必须了解它所面临的风险,并加以控制。即设立可辨识、企业必须了解它所面临的风险,并加以控制。即设立可辨识、分析和管理相关风险的机制分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标目标风险风险控制行为控制行为控制活动控制活动环环境境变变化化后后的的管管理理评评估估和和更更新新风险评估
14、风险评估风险评估风险评估风险分为风险分为:l公司整体层面的风险公司整体层面的风险l具体业务活动层面的风险具体业务活动层面的风险风险分析的步骤风险分析的步骤:l评估风险的重要性评估风险的重要性l评估风险发生的可能性(或发生的频率)评估风险发生的可能性(或发生的频率)l考虑如何管理风险,即评估应采取何种行动考虑如何管理风险,即评估应采取何种行动风险评估对应予以特别关注的环境变化保持警觉对应予以特别关注的环境变化保持警觉: :l法规或经营环境的改变法规或经营环境的改变l新加入的员工、较高的人员流动性新加入的员工、较高的人员流动性l新的或改善过的信息系统新的或改善过的信息系统l公司经理迅速发展时期公司
15、经理迅速发展时期l新技术的出现新技术的出现l新业务、新产品、新的经营活动或并购新业务、新产品、新的经营活动或并购l公司重组公司重组l跨国经营跨国经营风险评估次序次序 银行银行/保险业保险业/证券证券 制造业制造业 其他其他1 内部控制的质量内部控制的质量 内部控制的质量内部控制的质量 内部控制的质量内部控制的质量2 管理人员的能力 管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系
16、统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10 政府法规管理人员对完成目标的压力快速的增长近期变动如何有效地进行风险管理如何有效地进行风险管理各行业的前各行业的前10种最主要的风险因素种最主要的风险因素控制活动企业必须基于风险评估的结果订立控制风险的政策企业必须基于风险评估的结果订立控制风险的政策及程序,并予以执行。及程序,并予以执行。通常可以按业务分别进行制定通常可以按业务分别进行制定。现金管理现金管理资本性采购资本性采购采购和付款采购和付款人事和薪金人事和薪金营销和销售营销和销售存货管理存货管理控制活动控制活动控制活动的类型事前事前事中事中事后事后检查性控制检查性控制补偿
17、性控制补偿性控制预防性控制预防性控制 纠正性控制纠正性控制 事前事前 事中事中事后事后控制活动的类型控制活动的类型l审批(高层审阅)审批(高层审阅)l保护实物资产保护实物资产l异常报告制度异常报告制度l关键绩效指标分析关键绩效指标分析l职责分工职责分工控制活动控制活动你的批准意味着什么?你的批准意味着什么?你已经检查过文件的正确性、完整性以及适当性你已经检查过文件的正确性、完整性以及适当性你同意文件的内容你同意文件的内容你有同意的基础,即你有同意的基础,即: 你,或者你指派的适当人员,你,或者你指派的适当人员,而非文件的编制者,已经审核了有关信息而非文件的编制者,已经审核了有关信息你对自己的审
18、批负全责你对自己的审批负全责控制因素活动控制因素活动-审批审批授权批准控制在开展任何业务之前都应进行授权在开展任何业务之前都应进行授权 授权以后,为了避免滥用权力,还要授权以后,为了避免滥用权力,还要经常对业务流程进行审查经常对业务流程进行审查按性质的不同分为综合授权和特别授权按性质的不同分为综合授权和特别授权要对授权做好记录,并提供证明文件要对授权做好记录,并提供证明文件避免两个极端:避免两个极端:“层层审批层层审批”和和“一支笔一支笔”授权批准控制授权批准控制控制活动因素控制活动因素- -保护实物资产保护实物资产u例如:l实物与会计记录的定期核对l把文件锁起来l! 财务报表 !l保护数据中
19、心、本地局域网控制室以及工作站l设备标签l安全系统/警报系统l设围墙l配置保安l工作证件l隐藏的摄像镜头返回例如例如:超过还款期限的应收账款报告超过还款期限的应收账款报告加班统计报告加班统计报告重复付款报告重复付款报告未享受到的折扣未享受到的折扣l 重点是发现异常情况并及时跟进重点是发现异常情况并及时跟进控制因素活动控制因素活动-控制因素活动控制因素活动-异常活动报告异常活动报告一些重要的内控方法l职责分离控制职责分离控制l授权批准控制授权批准控制l内部报告控制内部报告控制l电子信息技术控制电子信息技术控制一些重要的内控方法一些重要的内控方法一些重要的内控方法一些重要的内控方法不同人员或部门之
20、间的职责分工可以通过一系列检查措施,例如:降低发生错误的风险,并控制人为蓄意的操纵.避免独立个人同时负责一项完整的交易的发生、授权和记录,或避免独立个人在保管资产的同时负责记录其变动.通过岗位轮换, 使更多的高级管理者参与日常运营的主要活动, 以外部视角来观察各个部门的运营.控制因素活动控制因素活动-职责分工职责分工不相容职务相互分离控制示例工作职责工作职责存在的风险存在的风险同时负责现金的收取和同时负责现金的收取和应收账款的会计记录应收账款的会计记录可能会通过注销应收账款和截留应收账款可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金等调节账簿的方法来私自挪用现金同时负责购货
21、订单的审同时负责购货订单的审批和货物的收取批和货物的收取可能以组织的名义为个人购入货物,在收可能以组织的名义为个人购入货物,在收取货物时利用职务之便将货物占为己有,取货物时利用职务之便将货物占为己有,同时不向会计部门递交原始凭证或者在原同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息始凭证上反映虚假信息同时负责付款的审批和同时负责付款的审批和购货订单签发与审核购货订单签发与审核可能会伪造购货业务并支付货款,从而贪可能会伪造购货业务并支付货款,从而贪污现金污现金不相容职务相互分离控制示例不相容职务相互分离控制示例内部报告控制内部报告控制q完善内部管理报告系统完善内部管理报告系统q内部报告
22、上报时间及报告路线内部报告上报时间及报告路线q内部报告的分析和跟进内部报告的分析和跟进q内部报告的分发控制内部报告的分发控制信息系统控制目标提高资源使用效率提高资源使用效率有效达到企有效达到企业目标业目标保持数据完整保持数据完整维护资产安全维护资产安全符合相关的法律、符合相关的法律、法规和政策法规和政策信息系统控制目标信息系统控制目标提高企业信息系统的整体可信赖程度的控制提高企业信息系统的整体可信赖程度的控制信息系统的组织和管理信息系统的组织和管理信息系统操作信息系统操作数据安全数据安全危机处理与业务持续计划危机处理与业务持续计划外包厂商管理外包厂商管理网络支持网络支持系统软件支持系统软件支持
23、应用系统安装与维护应用系统安装与维护硬件支持硬件支持数据库安装与支持数据库安装与支持一般信息系统控制一般信息系统控制计算机安全标准计算机安全标准1.0信息管理标准2.0一般系统完整及安全存取控制3.0网络安全标准4.0计算机系统安全标准5.0特定网络技术安全系统6.0实物及环境控制标准7.0信息备份标准8.0故障恢复计划计算机系统安全计算机系统安全:计算机存取软件:用户口令每90(30)天变更一次:防病毒软件:关键数据备份:合法版权:关闭调制解调器的自动应答功能:避免未经授权的人使用计算机系统安全计算机系统安全l控制进入计算机系统软件要求:61,62,63l防止未授权读出,删除,更改程序或数据
24、l为每一用户提供唯一的ID以保证职责分割l要求口令,口令必须加密,定期更改l生成审计线索文件l61:未经授权的人可能进入系统l62:机密的数据可能被非法利用l63:关键数据的损坏会破坏正常的生产和运营信息与沟通贯穿在风险评估和控制活动过程中贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯,并交换这些资讯营运时必须的资讯,并交换这些资讯信息系统:内部、外部信息系统:内部、外部沟通:使员工知悉其在业务经营、财务报告及法律遵循方面的沟通:使员工知悉其在业务经营、财务报告及法律遵循方面的责任责任信
25、息与沟通信息与沟通信息信息通过信息系统识别通过信息系统识别、采集、加工和汇报采集、加工和汇报信息信息信息系统经常被认为是经营活动的一个信息系统经常被认为是经营活动的一个组成部分组成部分信息与沟通信息与沟通信息质量信息质量内容相关内容相关 是不是所需要的信息是不是所需要的信息?提供及时提供及时 是不是在需要时可以及时提供是不是在需要时可以及时提供?时效性时效性 是不是最新的是不是最新的?正确性正确性 数据是不是正确数据是不是正确?可获得性可获得性 是不是可以从正常渠道轻松获是不是可以从正常渠道轻松获得得? ?信息与沟通信息与沟通内部内部每一各人都需要了解内部控制系统的相关方面,系统如何工作,每一
26、各人都需要了解内部控制系统的相关方面,系统如何工作,以及他(她)本人在系统中的角色和职责以及他(她)本人在系统中的角色和职责外部外部与外部单位的交流经常能提供履行内部控制职能所需要的重要与外部单位的交流经常能提供履行内部控制职能所需要的重要信息信息监查部门例如证监会、财政部等提供的审阅或检查结果能够揭监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点示控制的弱点与股东、监管部门、金融分析师和其他外部单位的沟通应提供与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息,以便其比较容易地理解企业所面临的环与其需求相关的信息,以便其比较容易地理解企业所面临的环境和
27、风险境和风险下一步信息与沟通信息与沟通(续续)监督整个内部控制的执行过程必须被监督整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制应建立检查和报告体制监督是谁的职责监督是谁的职责?管理层应对内控执行情况进行持续监督管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估内部审计部门应进行定期、不定期的个别评估 监监 督督持续监控持续监控管理者审阅管理信息管理者审阅管理信息比较内部信息与外部信息比较内部信息与外部信息适当的组织结构和监督责任适当的组织结构和监督责任设置设置信息与实务的比较
28、信息与实务的比较利用内外部审计师的工作利用内外部审计师的工作主动纳谏要求员工定期声明主动纳谏要求员工定期声明自省行为自省行为个别评价个别评价汇报内部控制缺陷汇报内部控制缺陷返回控制环境风险评估控制活动信息与沟通监督 监监 督督与会计报表中所有重要科目及信息披露与会计报表中所有重要科目及信息披露相关的所有报表认定相关的所有报表认定存在或发生存在或发生 完整性完整性权利和责任权利和责任价值价值表述和披露表述和披露返回上市公司会计监察委员会发布第上市公司会计监察委员会发布第2号审计准则号审计准则对对审计师工作内容的要求审计师工作内容的要求根据准则规定,审计师必须进行以下工作根据准则规定,审计师必须进
29、行以下工作进行项目计划进行项目计划; 评估管理层的评估过程评估管理层的评估过程; 理解与财务报告相关的内部控制情况;理解与财务报告相关的内部控制情况; 测试并评估与财务报告相关的内部控制的设计有效性;测试并评估与财务报告相关的内部控制的设计有效性; 测试并评估与财务报告相关的内部控制的运行有效性;测试并评估与财务报告相关的内部控制的运行有效性; 以及就与财务报告相关的内部控制的有效性形成一个以及就与财务报告相关的内部控制的有效性形成一个结论结论上市公司会计监察委员会发布第上市公司会计监察委员会发布第2 2号审计准则号审计准则对对审计师取得审计证据途径的要求审计师取得审计证据途径的要求评估和测试
30、管理层的评估流程评估和测试管理层的评估流程评估和测试他人(如:内部审计师)对内部控制进评估和测试他人(如:内部审计师)对内部控制进行的工作行的工作独立对于财务报告相关的内部控制的有效性进行测独立对于财务报告相关的内部控制的有效性进行测试试准则规定了审计师取得审计证据的以下途径准则规定了审计师取得审计证据的以下途径:上市公司会计监察委员会发布第上市公司会计监察委员会发布第2 2号审计准则号审计准则对审计师的要求对审计师的要求确认评估对象确认评估对象:确认需要测试的控制措施,包括对所有重要会计报表科目确认需要测试的控制措施,包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施;及信息
31、披露的相关会计认定所采取的控制措施;评估控制的失效风险评估控制的失效风险:评估由于控制措施失效而导致会计报表错记的可能评估由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性,以及其他控制措施实现相同控制目标的程度;性、此类错记的严重性,以及其他控制措施实现相同控制目标的程度;确认评估范畴确认评估范畴:确认应纳入评估范围的具体公司地址或业务单元:确认应纳入评估范围的具体公司地址或业务单元(针对拥针对拥有多个办公地点或业务单元的公司有多个办公地点或业务单元的公司);评估控制的有效性评估控制的有效性:对所有会计报表重要科目及信息披露的相关会计认定:对所有会计报表重要科目及信息披露的相关会计
32、认定所实施的控制措施在设计及实践方面的有效性进行评估;所实施的控制措施在设计及实践方面的有效性进行评估;评估缺陷的严重性评估缺陷的严重性:确认在财务报告内部控制系统中所发现的不足是否会:确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞;构成重大缺陷或实质性漏洞;沟通:沟通:就主要发现与相关方面进行沟通;及就主要发现与相关方面进行沟通;及形成结论:形成结论:评估主要发现是否与评估结果相一致。评估主要发现是否与评估结果相一致。 审计师需要确定管理层是否进行了以下审计师需要确定管理层是否进行了以下评估评估工作:工作: 管理层在内部控制中的地位和作用内部控制的主体内部控制的主体:
33、管理层(承担的职责是计划、管理层(承担的职责是计划、组织、领导其组织的活动,即对组织的内部组织、领导其组织的活动,即对组织的内部控制负责)控制负责)内部审计对管理层组织的内部控制进行监督,内部审计对管理层组织的内部控制进行监督,以协助管理层有效地履行他们的职责。以协助管理层有效地履行他们的职责。管理层在内部控制中的地位和作用管理层在内部控制中的地位和作用三、内部控制的实施三、内部控制的实施实施内部控制制度最有效的办法最有效的办法逐项复核内控是否存在于现有流程中,是否有效逐项复核内控是否存在于现有流程中,是否有效 必要时进一步制定具体政策和管理报告必要时进一步制定具体政策和管理报告考虑成本效益原
34、则考虑成本效益原则强化对内控的监督与评估强化对内控的监督与评估实施内部控制制度实施内部控制制度实施控制时的成本效益原则实施控制时的成本效益原则实施控制时的成本效益原则实施控制时的成本效益原则实施内控时常出现的误区实施内控时常出现的误区 q管理层在实施内控中未承担应有职责管理层在实施内控中未承担应有职责q过分强调控制成本过分强调控制成本q片面强调人员素质片面强调人员素质q认为内控包治百病认为内控包治百病 实施内控时常出现的误区实施内控时常出现的误区调查结果总会计师职责分布调查结果总会计师职责分布中国:中国:8080组织日常财务工作组织日常财务工作7070审核财务报表及管理报表审核财务报表及管理报
35、表6060制定投融资决策制定投融资决策5555制定内控制定内控3030制定公司长远规划制定公司长远规划 美国:美国:财务管理及内部控制财务管理及内部控制收购与兼并收购与兼并制定公司长远规划制定公司长远规划信息技术规划信息技术规划与各经营部门协调与各经营部门协调 调查结果总会计师职责分布调查结果总会计师职责分布实施内控时常出现的误区实施内控时常出现的误区 q管理层在实施内控中未承担应有职责管理层在实施内控中未承担应有职责q过分强调控制成本过分强调控制成本q片面强调人员素质片面强调人员素质q认为内控包治百病认为内控包治百病 实施内控时常出现的误区实施内控时常出现的误区实施内控时常出现的误区实施内控
36、时常出现的误区 q管理层在实施内控中未承担应有职责管理层在实施内控中未承担应有职责q过分强调控制成本过分强调控制成本q片面强调人员素质片面强调人员素质q认为内控包治百病认为内控包治百病 实施内控时常出现的误区实施内控时常出现的误区实施内控时常出现的误区实施内控时常出现的误区 q管理层在实施内控中未承担应有职责管理层在实施内控中未承担应有职责q过分强调控制成本过分强调控制成本q片面强调人员素质片面强调人员素质q认为内控包治百病认为内控包治百病 实施内控时常出现的误区实施内控时常出现的误区包治百病?内控的固有局限性包治百病?内控的固有局限性 q人为因素使内控失效人为因素使内控失效对控制责任的误解对
37、控制责任的误解执行时的大意执行时的大意疲劳疲劳舞弊舞弊q时间推移使控制措施逐渐失效时间推移使控制措施逐渐失效 包治百病?内控的固有局限性包治百病?内控的固有局限性对控制责任的误解对控制责任的误解执行时的大意执行时的大意疲劳疲劳舞弊舞弊其它影响内控实施效果的因素其它影响内控实施效果的因素 管理层违规管理层违规形式主义形式主义利益的冲突利益的冲突q法律法规的意外变化法律法规的意外变化q竞争对手的行动竞争对手的行动q经济环境变化等经济环境变化等 管理层违规管理层违规形式主义形式主义利益的冲突利益的冲突法律法规的意外变化法律法规的意外变化竞争对手的行动竞争对手的行动经济环境变化等经济环境变化等其它影响
38、内控实施效果的因素其它影响内控实施效果的因素萨班斯奥克斯利法案介绍萨班斯奥克斯利法案介绍目录目录 萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述- - 法案之背景与目的法案之背景与目的- - 法案之主要内容法案之主要内容- - 法案对于在美国上市公司的规定与影响法案对于在美国上市公司的规定与影响1987-1997欺诈性财务报告研究欺诈性财务报告研究1987年Treadway报告发布后,美国公开发行股票公司财务报告舞弊情况究竟如何,需要进行全面的分析.COSO发起并赞助了对1987.1-1997.12美国欺诈性财务报告的研究,研究者从这11年期间受到SEC处罚的约300家公司中随机选取了约200家
39、公司进行了全面的研究,1999年3月发布了研究报告.研究发现:存在财务报告欺诈舞弊问题的一般是小公司,大多不在纽约证券交易所或美洲证券交易所上市的公司进行欺诈舞弊的大多是公司高层,72%的案例显示由公司CEO参与有欺诈舞弊情况的公司,董事会和审计委员会都很弱,审计委员会很少碰头,董事会由内部人控制大部分公司由发起人和公司董事拥有当公司发生欺诈舞弊情况时,后果非常严重,大部分导致破产、股权重大变更或直接退市q( (一一) )法案产生之背景法案产生之背景q安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国上市公司深陷信用危机。上市公
40、司深陷信用危机。q会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。员的道德风险是导致管理层欺诈丑闻的根本原因。q重建公司信用,规范高级管理层与注册会计师关系和职业道德的要重建公司信用,规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。求刻不容缓。 20022002年美国通过的年美国通过的萨宾斯萨宾斯- -奥克斯利法案奥克斯利法案(Sarbanes-Oxley ActSarbanes-Oxley Act),是美国继安然、世通、安达信等连串公),是美国继安然、世通、安达信等连串公司
41、财务丑闻事件披露后,为强化上市公司内部治理和增强资本市场司财务丑闻事件披露后,为强化上市公司内部治理和增强资本市场信息披露而出台的一部重要法律。布什总统在签署法案时,称信息披露而出台的一部重要法律。布什总统在签署法案时,称“它它是美国证券市场发展过程中的一个里程碑是美国证券市场发展过程中的一个里程碑”。q 萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述 萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述q法案的文本中大部分内容都是参议院银行委员会主席、马里兰州民法案的文本中大部分内容都是参议院银行委员会主席、马里兰州民主党参议员保罗主党参议员保罗萨宾纳斯(萨宾纳斯(Paul SarbanesPaul
42、Sarbanes)提出的方案,在此)提出的方案,在此基础上,萨宾纳斯参议员和俄亥俄州共和党众议员麦克基础上,萨宾纳斯参议员和俄亥俄州共和党众议员麦克奥克斯莱奥克斯莱(Michael OxleyMichael Oxley)共同主刀,两院于)共同主刀,两院于6 6月月2525日达成妥协通过了日达成妥协通过了107107届国会最后版本届国会最后版本( (第第610610号文件号文件) ),这部法案遂以两位议员的名字命,这部法案遂以两位议员的名字命名为名为萨宾纳斯萨宾纳斯奥克斯莱法案奥克斯莱法案(Sarbanes-Oxley Act of Sarbanes-Oxley Act of 20022002)
43、( (以下简称以下简称萨宾法案萨宾法案) )。法案推出时距安然公司会计造假。法案推出时距安然公司会计造假案件事发仅案件事发仅9 9个月、世通公司倒闭才几个星期,美国两党这次完成个月、世通公司倒闭才几个星期,美国两党这次完成立法之迅速一致,在美国立法史上堪称罕见。立法之迅速一致,在美国立法史上堪称罕见。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述l萨宾法案萨宾法案的制定出人意料的顺利,主要缘自两党对加强公司治理的制定出人意料的顺利,主要缘自两党对加强公司治理和保护投资者利益这个问题上认识的一致。美国一些经济分析家还认和保护投资者利益这个问题上认识的一致。美国一些经济分析家还认为,为,“萨宾法案萨
44、宾法案某种程度上帮助布什赢得了竞选连任某种程度上帮助布什赢得了竞选连任”。因为虽。因为虽然反恐战争的胜利使布什声誉看涨,但如果反腐失当,将使其功亏一然反恐战争的胜利使布什声誉看涨,但如果反腐失当,将使其功亏一篑而重蹈老布什赢了战争、输了经济、失了连任的覆辙,所以,布什篑而重蹈老布什赢了战争、输了经济、失了连任的覆辙,所以,布什政府在反腐与反恐两条战线上同时作战,美国经济也进入了打击欺诈政府在反腐与反恐两条战线上同时作战,美国经济也进入了打击欺诈与惩治腐败的新时期,投资者权益保护再次被提到一个前所未有的高与惩治腐败的新时期,投资者权益保护再次被提到一个前所未有的高度为这届政府赢取了民心和信心。度
45、为这届政府赢取了民心和信心。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述l这部法案被美国各界寄予了厚望,它被认为是彻底杜绝公司造假的有部法案被美国各界寄予了厚望,它被认为是彻底杜绝公司造假的有力武器。自从力武器。自从20012001年底安然(年底安然(AnronAnron)公司会计造假、)公司会计造假、20022002年年6 6月世界月世界通信(通信(WorldcomWorldcom)公司假账丑闻曝光以来,投资者信心受到重创,人)公司假账丑闻曝光以来,投资者信心受到重创,人们对市场诚信标准发生动摇,纽约股市连续剧烈震荡,美国整体经济们对市场诚信标准发生动摇,纽约股市连续剧烈震荡,美国整体经济也
46、遭受拖累,就连布什的公众支持率也由也遭受拖累,就连布什的公众支持率也由20022002年早期的年早期的90%90%左右下滑左右下滑到了到了65%65%。连串丑闻引发了人们对公司治理、会计、审计、证券交易。连串丑闻引发了人们对公司治理、会计、审计、证券交易诚信和监管等问题的广泛讨论,人们开始认识到造假不是某个公司的诚信和监管等问题的广泛讨论,人们开始认识到造假不是某个公司的个案,而是一个带有普遍性的问题,这可能是由于美国资本市场和企个案,而是一个带有普遍性的问题,这可能是由于美国资本市场和企业层面存在着的系统性的缺陷所致,投资者和民众要求政府立法加以业层面存在着的系统性的缺陷所致,投资者和民众要
47、求政府立法加以拨乱反正的呼声越来越高。在这种情况下,民主、共和两党也不得不拨乱反正的呼声越来越高。在这种情况下,民主、共和两党也不得不加紧行动,快速反应,以顺应民众的呼声。加紧行动,快速反应,以顺应民众的呼声。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述 20022002年年6 6月,布什总统签署的萨班斯奥克斯利法案正式生效,该法月,布什总统签署的萨班斯奥克斯利法案正式生效,该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,故简称席萨班斯联合提出,故简称萨班斯奥克斯利法案萨班斯奥克斯利法案。该法案对美。
48、该法案对美国国19331933年证券法年证券法、19341934年证券交易法年证券交易法作了不少修订,在会计作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。职业监管、公司治理、证券市场监管等方面作出了许多新的规定。 法案的初衷是增强信息披露,保护投资者利益。但它出台后却引起法案的初衷是增强信息披露,保护投资者利益。但它出台后却引起了美国一些上市公司的争议,一些人认为该法案造成了企业的财务成了美国一些上市公司的争议,一些人认为该法案造成了企业的财务成本本, ,在一定程度上已影响了外国公司在华尔街市场上市融资的决心。在一定程度上已影响了外国公司在华尔街市场上市融资的决
49、心。 萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述l法案出台之目的法案出台之目的- - 重建公司信用,培育公众信心,振兴证券市场。重建公司信用,培育公众信心,振兴证券市场。- - 加强公司监管,规范业务运作。加强公司监管,规范业务运作。- - 增加财务报告与信息披露的透明度。增加财务报告与信息披露的透明度。- - 确保公司管理层可以从有效监控的系统中获取重要信息。确保公司管理层可以从有效监控的系统中获取重要信息。- - 公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。公布的信息承担责任。萨班斯法案的所有内容
50、目录萨班斯法案的所有内容目录l萨班斯法案正文目录第一章第一章 公众公司会计监察委员会公众公司会计监察委员会第101节组建,管理条款第102节在委员会注册第103节审计,质量控制和独立性准则及规定第104节对注册的会计师事务所的检查第105节调查和惩戒程序第106节外国注册的会计师事务所第107节SEC对委员会的监管第108节会计准则第109节资金萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第二章第二章 审计师的独立性审计师的独立性第201节审计师执业范围之外的业务第202节事前许可第203节负责审计合伙人的轮换第204节审计师向审计委员会报告第205节保持一致性的修订第206节利益的冲突
51、第207节关于强制轮换注册的会计师事务所的研究第208节对SEC的授权第209节州级管理当局的考虑萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第三章第三章 公司的责任公司的责任第301节公众公司审计委员会第302节公司对财务报告的责任第303节对审计不正当的影响第304节没收奖金及收益第305节对公司官员及董事的处罚第306节禁止在养老基金的管制期内进行内部交易第307节关于律师职业责任的规定第308节投资者公平基金萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第四章第四章 强化财务信息披露强化财务信息披露第401节定期报告中的披露第402节强化利益冲突的信息披露第403节同管理层和
52、主要股东有关的经济业务的披露第404节管理层对内部控制的评价第405节例外情形第406节高级财务管理人员的道德守则第407节同审计委员会财务专家有关的信息披露第408节加强定期信息披露的复核第409节实时信息披露萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第五章第五章 利益冲突的分析利益冲突的分析第501节如何管理执业证券分析师及证券交易所第六章委员会的组成及其权利第601节财政拨款方面的权利第602节SEC的执业许可权第603节联邦法院规定的市场禁入权第604节证券经纪人和交易商的从业资格萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第七章第七章 研究及报告研究及报告第701节审计
53、总署对会计师事务所合并行为的研究及报告第702节SEC对评级机构的研究及报告第703节关于违法者和违法行为的研究和报告第704节执法行为研究第705节投资银行研究萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第八章第八章 公司欺诈及其刑事责任公司欺诈及其刑事责任第801节小标题第802节篡改文件的刑事责任第803节违反证券欺诈法不能免除债务第804节证券欺诈的限制性条款第805节对联邦判决指南关于妨碍司法公正和广义欺诈犯罪的回顾第806节保护提供欺诈证据的公众公司的雇员第807节公众公司欺骗股东的刑事责任萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第九章第九章 强化白领刑事责任强化白
54、领刑事责任第901节小标题第902节企图和阴谋进行欺诈犯罪活动第903节邮件及电传欺诈的刑事责任第904节违反美国1974年退休雇员收入保障法的刑事责任第905节修改关于白领犯罪行为的判决指南第906节公司对财务报告的责任萨班斯法案的所有内容目录萨班斯法案的所有内容目录l第十章第十章 公司纳税申报表公司纳税申报表第1001节参议院要求考虑公司首席执行官签署纳税申报表第十一章第十一章 公司欺诈责任公司欺诈责任 第1101节小标题第1102节篡改记录或者阻止官方调查第1103节SEC的暂时冻结权第1104节联邦判决指南的修改第1105节SEC有权禁止有关人士担任公司官员或者董事第1106节按照19
55、34年证券交易法加重刑事责任第1107节对举报人打击报复l法案之主要内容法案之主要内容- 成立独立的公众公司会计监察委员会,监管执行上市公司审计l职业- 要求加强注册会计师的独立性- 要求加大公司的财务报告责任- 要求强化财务披露义务- 加重了违法行为的处罚措施- 增加经费拨款,强化美国证券管理委员会的监管职能- 要求美国审计总署加强调查研究其中与上市公司管理层直接相关的是:第第302302节节 公司对财务报告的责任公司对财务报告的责任第第404404节节 管理层对内部控制的评价管理层对内部控制的评价萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )法案之主要内容l第302节 公司对
56、财务报告的责任- 要求公司首要官员及首要财务官在季度/年度报告中保证- 对信息披露的控制和程序负责(含刑事责任)- 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息- 对披露控制的有效性进行评估,评估结果需存档- 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为- 存档描述内部控制的重大变化 萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) ) - 介绍信息披露的控制和程序- 强调财务人员的正直和财务报告系统控制的完整性- 需披露的非财务信息包括:重要合同的签署,战略合作关系的解除以及法律诉讼- 美
57、国证券管理委员会要求- 扩大信息披露的控制和财务报告系统内部控制程序的认证- 将内控评估日改为财务报告截止日萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )法案之主要内容l第404节 管理层对内部控制的评价(最严厉,对中国在美上市公司是最大挑战)- 要求公司管理层在年度报告中:- 描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任- 对财务报告系统内部控制有效性以一个公认架构进行评估对财务报告系统内部控制有效性以一个公认架构进行评估(例如COSO内控架构)- 同时要求外部审计人员:- 对管理层评估结果进行鉴证- 美国证券管理委员会要求- 扩大信息披露的控制和财务
58、报告系统内部控制程序的认证- 将内控评估日改为财务报告截止日萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )l404条款条款l法案第四章规定了“加强财务披露”(EnhancedFinancialDisclosure)的内容,其中的第404条款最为关键,该条款也叫内部控制条款(InternalControlReport),主要明确了上市公司(包括场外交易市场”OvertheCounterMarket”的挂牌企业)管理层及外部审计师对于公司财务内部控制的责任和义务。l-负责公司内部控制的管理层需要在公司内部各个业务环节设立至少5年的信息数据保存和保留系统,防止这些数据被篡改、盗用、删除
59、的可能性;l-公司管理层必须每年在年报中就公司产生财务报告的各个业务流程的内控系统分别做出评价和真实性报告,并向证监会提交10-K表。l-外部公共审计师对于公司管理层评估过程以及内控系统结论要进行相应的独立检查并出具正式意见l-任何导致财务报告信息失真的内部控制环节中的虚假数据,不论有无证据证明其是否蓄意,都要予以罚款、监禁甚至两者并处。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )l404条款要求,每个公司都要将公司任何一个岗位的职务、职责描述得一目了然,这项工作需要大量材料和文件支持。同时上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件
60、、记录付款的时和人员等)。此外,还要指出内部控制的缺陷所在。l要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施404条款所要求的内部控制措施。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )l404条款的遵循成本第一年最高,包括关键内部控l制的初始存档和补救。以后年度的遵循成本会大l幅度减少。l.根据国际财务执行官(FEI)对321家企业的调查结l果,每家需要遵守萨班斯法案的美国大型企业第l一年实施404条款的总成本将超过460万美元。l.全球著名的通用电气公司表示,404条款致使
61、公司l在执行内部控制规定上的花费高达3000万美元。美国证交会有关萨班斯法案美国证交会有关萨班斯法案404404条款的最条款的最终条例对管理层报告书内容的要求终条例对管理层报告书内容的要求l作出外部审计师已就管理层对内部控制系统作出外部审计师已就管理层对内部控制系统作出的评估并发表核证报告的陈述。作出的评估并发表核证报告的陈述。管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述;管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述;管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评估包括一份公司与财务报告相关的内部控制是否有效的声明。声明必须披露管理层
62、发现的任一公司与财务报告相关的内部控制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更多实质性漏洞时,管理层不得做出公司与财务报告相关的内部控制有效的声明;及对控制对控制缺陷缺陷的评估的评估显著缺陷显著缺陷 l该缺陷会导致年报或中期该缺陷会导致年报或中期报告中的报告中的并非无关紧要的并非无关紧要的错漏错漏无法被预防或侦测出无法被预防或侦测出来的可能性并非十分微小来的可能性并非十分微小。实质性漏洞实质性漏洞l该缺陷或缺陷集合会导致年该缺陷或缺陷集合会导致年报或中期报告中的实质性错报或中期报告中的实质性错漏漏无法被预防无法被预防或侦测出来的或侦测出来的可能性并非十分可能性并非十分微小微小。
63、严重严重显著缺陷显著缺陷= =实质性实质性漏洞漏洞需要作个别和整体的需要作个别和整体的评估评估必需向必需向审计委员会审计委员会报告报告一个单独的一个单独的实质性实质性漏洞漏洞可能会导致否定意见可能会导致否定意见404404条款相关法条款相关法规要求的工作要求的工作l对财务会计制度的选择和使用的控制l防范欺诈舞弊的程序和控制l对非经常性和非系统性交易的控制l对期末财务报表流程的控制根根据据上上市市公公司司会会计监管管委委员会会的的第第 2 2 号号审计准准则如如果果公公司司的的内内部部控控制制在在以以下下任任何何一一方方面面存存在在不不足足,即被即被认为存在存在显著缺陷之著缺陷之处 显著缺陷显著
64、缺陷l修改已发布的财务报表l外部审计师在年度审计中发现的重大误报不是由该公司首先发现l无效的审计委员会监管l对财务报表流程可靠性至关重要的内部控制或风险评估失效l处于高度监管行业中的公司,其合规控制失效 (此处所述的合规控制仅限于因该合规控制失效所导致的违规对财务报告可靠性具有重大影响)l发现高级管理层任何程度的舞弊l已经发现并报告的重大控制不足在经过合理的时间后并未加以改正l低效率的控制环境如果出如果出现以下情况,以下情况,则意味着公司的内控存在意味着公司的内控存在显著缺陷之著缺陷之处,同,同时也是出也是出现重大漏洞的一个重要信号重大漏洞的一个重要信号显著缺陷和实质性漏洞的信号显著缺陷和实质
65、性漏洞的信号上市公司会计监察委员会发布第上市公司会计监察委员会发布第2 2号审计准则号审计准则l承担公司财务报告内部控制有效性的责任;承担公司财务报告内部控制有效性的责任;l采用适当的控制标准采用适当的控制标准( (比如比如COSOCOSO标准标准) ),评,评价公司财务报告内部控制的有效性;价公司财务报告内部控制的有效性;l以充分的证据以充分的证据( (包括文档文件包括文档文件) )为评估结果为评估结果提供有力支持;提供有力支持;l针对公司最近财年财务报告内部控制的有针对公司最近财年财务报告内部控制的有效性提交书面评估。效性提交书面评估。 公司管理公司管理层在在对财务报告内部控制告内部控制审
66、计中的中的责任任 萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )l此外,法案第三章专门规定了上市公司的责任,例如,为确保独立董事对上市企业运行的独立和严格的监管,在304条款对独立董事的资格、报酬也做出了严格限制。第305条还规定了公司董事和管理层薪酬(Officers&DirectorBarsPenalty)确定的办法,尤其是对股票期权(StockOption)行权、兑现的期限做了严格限制,该条规定,公司首席执行官等高层管理人员的报酬由有公司薪酬委员会决定,该委员会必须全部由与公司经理人没有关系的独立董事组成,公司给予高层管理人员或董事会成员的股票期权计划必须获得股东的批准。第
67、306条还禁止公司管理层和董事会成员在养老基金管制期间(PensionFundBlackoutPeriod)进行内部交易(InsideTrade),并对1974年雇员退休保障法(EmployeeRetirementSecurityActOf1974)的部分条款进行了修改和增补。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )(二)针对会计行业的有关条款(二)针对会计行业的有关条款:l1、成立上市公司会计监督委员会(、成立上市公司会计监督委员会(Public Company AccountingOversight Board, 简称简称PCAOB) l法案第一章就“上市公司会计监督委
68、员会”PCAOB的组成、管理形式、执行准则、监督程序等进行了详细规定,由SEC在90天内成立一个5人组成的上市公司会计监督委员会,任何为上市公司提供审计和会计服务的会计师事务所都要在PCAOB注册登记,按照统一的审计质量控制和审计标准进行会计服务,PCAOB有权对注册的会计师事务所和审计人员进行监管、调查和惩戒。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )2、确保审计独立性确保审计独立性(Auditor Independence)l法案第208条(a)款重申了审计和会计利益回避制度(NonAuditService),禁止为上市公司进行财务审计的注册会计师事务所为同一家公司提供税
69、务安排、投资银行业并购安排、金融信息咨询等非审计服务,避免同一家会计师既当裁判员,又当运动员。上市公司在聘请注册会计师前需要事先向公司审计委员会(AuditingCommittee)报告,并且对会计师事务所要定期强制轮换(AuditorPartnerRotation)。审计委员会对会计师事务所的聘请、变更等事项要及时向公众披露,会计师或审计师与上市公司内部管理层或董事会有利益冲突的,要及时实行强制回避(MandatoryRotationOfPublicAccountingFirms)。PCAOB保留对上市公司审计委员会的决定加以纠正的权利。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续
70、) )3、规定审计委员会(、规定审计委员会(Audit Committee)的功能)的功能法案301条款规定,审计委员会要和上市公司首席执行官和首席财务官一样,对公司财务报告承担责任,禁止在审计过程中的不当行为。从事审计的会计师事务所要在法案颁布180天以内,向SEC的PCAOB注册登记。4、规定外部财务审计在公司内部控制中的地位和作用、规定外部财务审计在公司内部控制中的地位和作用法案第103款规定,对管理层财务报告内部控制评估的审计师报告,需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录,以准确公允地反映公司的资产交易和处置情况;内部控制是否合理保证公司对发生的交易活动进行了必要的
71、纪录,以满足财务报告编制符合“公认会计原则”(GenerallyAcceptedAccountingPrinciples,简称GAAP)的要求;是否合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。萨班斯奥克斯利法案概述萨班斯奥克斯利法案概述( (续续) )l此外,第806条和1107条(InformantRetaliation)规定了对揭发上市公司欺诈行为的个人提供更多的法律保护(WhistleblowerProtection),任何公司管理层,如果被发现对为调查机构提供信息的雇员进行报复、歧视、妨碍其受雇,或其它有害行为的,将会受到罚款或10年监禁。l总之,萨宾法案对未来企业运作
72、、证券市场监管、会计和审计体制设置了种种严格的规定,很多内容改变了以往的监管理念和商业道德准则,是对一系列制度缺陷和漏洞的修正和弥补。由于法案严格的内容规定和颁布后即时生效的特点,迫使许多上市公司立即予以足够关注,充分体现了一种“乱世用重典”的立法思想,堪称20世纪30年代大萧条以来美国所出台的最严厉的打假法规l在美国上市的公司,不论规模,均需遵守萨班斯奥克斯利法案的有关规定。l即使上一年注册会计师出具的是无保留意见的审计报告,也不表示公司现有的内控系统已经符合法案的规定。根据法案的规定,独立审计人员还需另外证明客户公司的内部控制系统是有效的。l美国国会清楚地规定,公司对其财务报告和信息披露的
73、公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为:证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说,管理层必须独立地评估,执行和监控内部控制程序(但是可以聘请独立审计人员以外的咨询人员协助就绪及评估工作)。独立审计人员则可以在一个限定的范围内对公司已有的内部控制程序提出优化建议和协助。l法案对上市公司的规定和影响主要体现在公司治理、管理层责任方面的规定。法案对于在美国上市公司的规定与影响法案对于在美国上市公司的规定与影响董事会成员的责任董事会成员的责任风险管理和控制风险管理和控制职业操守和公司守法职业操守和公司守法透明度和信息披露透明度和信息披露法案对
74、于在美国上市公司的规定与影响法案对于在美国上市公司的规定与影响公司治理公司治理l董事会成员和审计委员会有进行自我评估和接受后续教育的责任l纽约证券交易所和纳斯达克证券交易所的规定l公司治理的要求l公司内控的失败提高了董事会接受相关培训,改进内控程序的重要性l法案要求公司对员工的职业道德作出书面规定l要求审计委员会建立内部举报激励机制 职业操守和公司守法职业操守和公司守法董事会成员的责任董事会成员的责任l美国证券管理委员会公布了以下新的规定l 管理层信息与分析l 非通用会计准则下的财务处理l 资产负债表表外事项l 美国证券管理委员会建议成立信息披露委员会透明度和信息披露透明度和信息披露l公司财务
75、报告系统内部控制报告书的规定l必须陈述下列情况以评估公司内部控制程序:l管理层承认对公司内部控制有效性负有责任l公司必须使用适当的控制标准(例如COSO) 来评估内部控制的有效性l公司必须提供充分的证据来支持其评估结果l公司必须书面记录与提交其对内部控制有效性的评估结论管理层责任管理层责任评估财务报告系统内部控制的有效性评估财务报告系统内部控制的有效性管理层责任管理层责任评估财务报告系统内部控制的有效性评估财务报告系统内部控制的有效性l需要提供下列证据和文件来支持评估结论: l评估需包括分支机构和业务单元的认定l重要内部控制的认定 l重要内部控制程序的设计l控制实施的有效性 l内控之重大失败和
76、/或重大缺陷的认定l评估结果l在判定控制的重要性时必须考虑下列因素:l控制失败将导致财务报告失真的可能性l用其他控制手段达到相同控制目的的程度l重要的控制包括:l会计系统初始化、帐务处理、重要帐户余额记录、交易类别和披露方面的控制l反舞弊控制l跨部门的共同控制,缺少它,其他重要控制程序不能独立发生作用l同时使用才能达到一定控制目标的重要控制程序l对重大的非常规和非系统的交易监控的程序l对期末财务报告步骤实施监控的程序管理层责任管理层责任评估财务报告系统内部控制的有效性评估财务报告系统内部控制的有效性l测试内部控制实施效果的方法:l内部审计人员对内部控制有效性进行测试l在管理层的领导下由其他人对
77、内部控制的有效性进行测试l使用外部服务机构的评估 l自我评估步骤 l测试需考虑的因素 l测试手段不能仅限于问询的方式 l需测试的控制程序和测试的时间可能会受到公司风险评估和监控步骤的影响 l所有重要的分支机构和重要的控制程序都要进行评估l公司不可以使用独立审计人员对内部控制程序的测试结果来支持其作出的内部控制程序有效的结论管理层责任管理层责任评估财务报告系统内部控制的有效性评估财务报告系统内部控制的有效性l文档记录的重要性 l文档记录可以为控制程序的确定和控制的监管提供证据l内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷l缺乏足够的证据来支持公司的评估结果会在外部签证报告中列
78、为质量的重大缺陷,并签发反对意见报告l管理层声明l完成评估后,公司必须向它的审计师提供一份关于内部控制有效性的书面声明l管理层声明必须作为一个独立的报告包括在管理当局说明书中对于拒绝出具书面的管理层声明的公司,外部审计人员必须拒绝对其内部控制系统发表意见* * 公司公司CEOCEO和和CFOCFO对该声明书全权负责,并对不实的声明承担刑事责任对该声明书全权负责,并对不实的声明承担刑事责任管理层责任管理层责任评估财务报告系统内部控制的有效性评估财务报告系统内部控制的有效性项目情况介绍项目情况介绍项目的项目的目目标l期望通过本项目建立一套能实现以下目标的内部控制系统:l满足企业内部控制基本规范对内
79、部控制要求;l作为统一公司的制度和流程的基础;l开始建立与现代企业制度相适应的公司治理结构和控制环境。 内部控制鉴证内部控制鉴证项目进度表(初步计划)项目进度表(初步计划)关键流程和子流程(财务报表相关内控流程)关键流程和子流程(财务报表相关内控流程)访谈提纲、时间表、记录、资料清单访谈提纲、时间表、记录、资料清单流程文字描述(穿行测试)流程文字描述(穿行测试)流程图流程图确认流程文字描述和流程图确认流程文字描述和流程图控制矩阵控制矩阵内部控制和流程差异性分析内部控制和流程差异性分析内控设计差异分析报告(问题,建议,改进方案)内控设计差异分析报告(问题,建议,改进方案)符合性测试计划符合性测试
80、计划符合性测试工作底稿符合性测试工作底稿内控实施差异分析报告(问题,建议,改进方案)内控实施差异分析报告(问题,建议,改进方案)l内控项目培训-配合支持培训内容培训内容l访谈配合l测试配合访谈内容访谈内容访谈配合访谈配合 .个人形式访谈技巧与步骤个人形式访谈技巧与步骤1.访谈准备2.进入访谈3.访谈记录4.信息校验5.后续跟进.团队形式访谈步骤与技巧团队形式访谈步骤与技巧1 访谈准备访谈准备进行资料准备制订访谈大纲安排访谈计划明确访谈目的了解访谈目的;确定需要准备哪些信息;按流程而不是部门决定访谈参与者;制定计划及估计所需资源;公司的战略、愿景和使命;公司的组织架构和部门岗位职责;访谈相关的运
81、营流程;了解访谈的范围深度和时间根据所需了解信息,准备访谈概要以及相关例子;排定访谈时间根据来访者的需求调整访谈计划;进入访谈2 进入访谈进入访谈l努力营造与他人分享信息的环境及心理氛围环境因素:环境因素:安静区域个人可以放松的区域考虑潜在干扰因素心理因素:心理因素:音调友好;显示出对他们的兴趣表达明确坦诚放松直接到达主题2 进入访谈进入访谈-流程介绍流程介绍来访者对于内部流程参与的程度没有你深入,所以要假设他们对流程了解不多。自上而下逐步分层2 进入访谈进入访谈流程介绍流程介绍自上而下逐层分步开始点控制点终结点流程活动控制方法相关人员产生凭证内部控制制度举例内部控制制度举例采购循环采购循环存
82、货存货更新更新记入记入应付帐款应付帐款向供应商向供应商付款付款采购采购验收验收存货存货应付帐款应付帐款支付支付提出提出采购申请采购申请处理处理采购订单采购订单选择和保留选择和保留供应商供应商收到货物收到货物装箱单装箱单验收货物验收货物并入库并入库使三部分使三部分相符相符供应商供应商提供发票提供发票将采购订单将采购订单交给供应商交给供应商财务会计财务会计内部控制制度举例内部控制制度举例采购循环采购循环+选择和保留供应商选择和保留供应商+购货购货+验收验收+应付帐款应付帐款+付款付款内部控制制度举例内部控制制度举例采购循环采购循环l采购环节:l超过一定金额的采购必须通过竞价的方式。如果最低报价没有
83、被选用,必须提供适当的原因和得到采购部领导的书面批准。参见:51,52l违反制度可能带来的风险:51:可能发生含有利益冲突的交易52:公司可能接受不适当的价格及条款2 进入访谈进入访谈-回答采访回答采访听懂问题,明确来访者提出问题的目的,以及所希望了解的内容;直接切入主题,消除可能产生歧义之处在回答前深入思考;列举辅助案例,以便进一步解释说明。2 进入访谈进入访谈访谈收尾访谈收尾在大多数访谈中,您能阐述所需间是很有限的;结束面谈时,若有任何疑问,可以向来访者补充;向来访者表达诚意,如果之后有补充,或者项目组有其他问题,会积极配合。3 信息校验信息校验安排其它相关人士包括流程上游或下游的员工)进
84、行交叉检查;与来访者一起审核数据。4 后续跟进后续跟进跟进访谈还未解决的问题;提供访谈中所需资料;留下联系号码。培训内容培训内容l访谈配合 个人形式访谈步骤与技巧个人形式访谈步骤与技巧 团队形式访谈步骤与技巧团队形式访谈步骤与技巧 1. 定义与使用场合定义与使用场合 2. 步骤步骤 3. 访谈准备访谈准备 4. 进入访谈进入访谈定义与使用场合定义与使用场合定义-参与7-10个拥有某些共同特征的人进行团队访谈,就某些焦点问题进行深入讨论。-小贴示:集体访谈需要明确的焦点及进行团队访谈必备的技巧。使用场合-深入了解参与者对程序、产品及机遇等的理解、感受及思维方式。-如果适当提出焦点问题,集体访谈将
85、是有用的工具。定义参与7-10个拥有某些共同特征的人进行团队访谈,就某些焦点问题进行深入讨论。小贴示:集体访谈需要明确的焦点及进行团队访谈必备的技巧。使用场合深入了解参与者对程序、产品及机遇等的理解、感受及思维式。如果适当提出焦点问题,集体访谈将是有用的工具。2 步骤步骤1.了解访谈目标2.确定参与者5.生成访谈大纲4.制定访谈计划3.邀请参与者7.分析及解释具体流程8.撰写访谈纪要6.参与团队9.跟进准准备备实施分析报告跟进3 访谈准备访谈准备确定面谈目标确定需要准备哪些信息辨别信息访谈者决定访谈参与者制定计划及估计所需资源确定访谈提纲4 进入访谈进入访谈确保不会偏离主题。注意时间,确保团队
86、完成任务。每个参与者都应参与没有人主导没有人被排除在外。仔细聆听讨论。尊重及使用不同的角度及观点。测试配合测试配合目录目录流程测试目的流程测试步骤定义定义l流程测试是内部控制的重要组成部分l实施测试的主要目的-测试运用环境与流程描述是否相符测试步骤测试步骤l明确测试目的l进行资料准备l审核测试样本测试步骤测试步骤具体要求具体要求明确测试目的进行资料准备测试资料审核了解流程测试目的;确定需要准备哪些资料;按流程而不是部门进行资料分类;根据项目小组所选样本,提供相关凭证和文件;审核测试样本与流程描述是否相符;回答项目小组所提出的问题测试步骤测试步骤具体要求具体要求p主审分配测试任务p测试员记录测试
87、结果p主审审核测试结果p与内控部门负责人沟通测试结果p项目经理确认最终测试结果p审计部审核测试结果p内控部风险处测试岗审核测试结果 控制测试控制测试控制测试控制测试 是是在本年度测试该控制在本年度测试该控制该控制是否针对特别风险特别风险该控制在最近两年是否被被测测试过试过考虑是否在本年度测试本年度测试该控制:控制是否有变化变化显示需要测试的因素因素,如复杂的人工控制为满足每年测试一部分控制的要求而测试 是是 否否 否否 本审计期间测试某项控制的决策图本审计期间测试某项控制的决策图本审计期间测试某项控制的决策图本审计期间测试某项控制的决策图业务层面跟单测试业务层面跟单测试记录跟单测试结果记录跟单
88、测试结果测试结果说明:测试结果说明: 名称名称 控制措施描述控制措施描述 测试步骤及发现测试步骤及发现备注:根据测试的需要填写备注信息。备注:根据测试的需要填写备注信息。业务层面跟单测试业务层面跟单测试记录跟单测试结果记录跟单测试结果l如果在跟单测试过程中,发现了例外事项,则需要在测试如果在跟单测试过程中,发现了例外事项,则需要在测试处填写该例外事项所对应的共性问题的索引号。处填写该例外事项所对应的共性问题的索引号。l如果发现多类共性问题,要标出记号加以区分如果发现多类共性问题,要标出记号加以区分l如果在跟单测试过程中发现的关控例外的处理方法例外事如果在跟单测试过程中发现的关控例外的处理方法例
89、外事项全部为关键控制点的例外事项,则认为该流程不存在例项全部为关键控制点的例外事项,则认为该流程不存在例外,并将对应测试任务的测试状态记录为外,并将对应测试任务的测试状态记录为“控制有效控制有效”根据抽样的情况,填写实际的控制频率,应抽取样本数量,实际抽取的样本数量,样本量差异原因等信息。注注:实际的控制频率实际的控制频率l如果对应控制点执行的频率与系统中的一致则不需要修改l如果需要修改请在此处填写每年,每季,每月,每周,每天,每日多次业务层面关控测试业务层面关控测试记录样本信息和记录样本信息和样本量差异原因样本量差异原因业务层面关控测试业务层面关控测试记录样本信息记录样本信息和样本量差异原因
90、和样本量差异原因l内控测试抽样是种固定样本抽样,按照某个内控循环的交易频次来确定样本量,有两种不同的方法,一是按照日交易频次,二是按照年交易频次,两者实质上是一样的,形式略有差别。某个循环日平均交易频次在一次以上的,或年交易频次在1000以上的,(四大的标准略有差异,这是我服务的那家的标准),至少抽40个样本,日平均交易频次在一次以下的,或年交易频次在1000以下的,至少抽25个样本,在抽样中,如果发现一个样本错误,则扩大三倍的样本量,再发现样本错误,则该内控循环不可信赖,需做详细测试。IPO业务中有些重要的循环即使达不到年交易频次1000,也会抽40个样本。至于为什么选40和25,简而言之像
91、前面讲的审计确信度的取值是一样的,是长期的数理统计的结果,涉及很深的高等数学的知识。业务层面关控测试业务层面关控测试记录例外信息记录例外信息l如果测试的过程中发现了例外,需要记录例外事项的相关如果测试的过程中发现了例外,需要记录例外事项的相关信息。信息。例外事项说明例外事项说明:l名称名称l关键控制点关键控制点l例外事项详细说明及原因。例外事项详细说明及原因。l例外事项类型:发现例外事项时需要选择对应的例外事项例外事项类型:发现例外事项时需要选择对应的例外事项类型。其中关控测试对应的例外事项类型都以关控测试作类型。其中关控测试对应的例外事项类型都以关控测试作为前缀为前缀l例外事项数量例外事项数
92、量l改进意见:针对例外事项,填写对应的整改建议。改进意见:针对例外事项,填写对应的整改建议。内控手册内控手册检查评价与考核检查评价与考核(一)检查评价两级监控评价机制总部检查评价l内控领导小组(办公室)组织年度综合检查评价l审计部独立检查评价(不少于25家)并检查总部单位自查评价l企业自查评价:部门内控流程测试、综合检查评价(审计参与)l总部部门自查及对口检查评价内控手册内控手册检查评价与考核检查评价与考核(二)内控考核l设“内部控制执行情况“指标:根据年度综合检查评价结果及执行情况,只扣不奖l高层管理人员业绩奖金考核:设2分、5分、10分三档l单位经营目标考核:设1分、2分、5分三档内控自我
93、评价内控自我评价内控自我评价方式从“量化评分和内控缺陷认定两个方面进行内控评价,满足内控考核和外部监管的要求内控自我评价范围l总部层面:各管理部门l企业曾面:各管理部门、所属单位内控自我评价内控自我评价(一)制定年度内控检查方案(二)检查前培训(三)现场检查(四)跟踪整改(五)汇报检查结果及修订完善(六)编制内控自我评价报告及对外披露 业务流程评价业务流程评价(1)分析适用流程,判断业务发生)分析适用流程,判断业务发生l对照内控手册,分析适用流程、控制点(健全性)l判定业务是否发生,确定应检查的控制点(符合性)l参照检查工作底稿中拟定的检查步骤和方法,结合实际选择抽样、穿行测试、检查证据、实地
94、观察、对比分析访谈等方法业务流程评价业务流程评价(2)控制点得分)控制点得分/扣分的判断方法扣分的判断方法l不相容岗位分离l控制点执行情况执行了控制点规定的控制步骤或控制方法(“控制点描述”检查步骤及方法)未突破规定的权限(权限指引)实现规定的控制目标(实质性检查)及时提供有效的控制点相关资料业务流程评价业务流程评价(3)分析是否与财务报告相关,填写检查记录)分析是否与财务报告相关,填写检查记录l控制点检查评价后,填写“内控流程检查工作底稿”,l与财务报相关的控制点(控制矩阵已注明),还应填写“财务报告抽样记录表”l“内控流程检查工作底稿”和“财务报告抽样记录表”需经检查人、被检查单位责任人签
95、字确认“ 业务流程评价业务流程评价(4)内控流程评价计分方法)内控流程评价计分方法l内控流程综合检查评价得分=控制点检查评价得分X70/控制点基础分值其中,控制点检查评价得分为被检查单位所有适用内控流程控制点“检查评价得分”之和;控制点基础分值为被检查单位所有适用内控流程剔除不适用控制点及业务未发生控制点后的“控制点分值”之和。内控缺陷的分类内控缺陷的分类内内部部控控制制缺缺陷陷财务报告缺陷财务报告缺陷企业内部管理缺陷企业内部管理缺陷影响会计报表缺陷影响会计报表缺陷其他会计信息质量缺陷其他会计信息质量缺陷IT控制缺陷控制缺陷内控重大事故事件缺陷内控重大事故事件缺陷内控缺陷是指在内控设计和运行方
96、面已经发生的内控程序不足或产生不足的可能性财务报告缺陷财务报告缺陷内部管理缺陷内部管理缺陷填写填写“内部控制缺陷认定汇总表内部控制缺陷认定汇总表”结果结果一般缺陷一般缺陷重要缺陷重要缺陷重大缺陷重大缺陷一般缺陷一般缺陷结结果果结果内控缺陷的划分等级内控缺陷的划分等级一般情况下一般情况下内控缺陷的扣分内控缺陷的扣分l一般缺陷:扣减总得分的1%l重要缺陷:扣减总得分的50%l重大缺陷:综合检查得分为零内控缺陷的认定内控缺陷的认定l影响会计报表缺陷:根据错误样本比例推算潜在错报金额1、记录错报样本2、确定潜在错报率3、计算潜在错报金额(=相应会计科目通向累计发生额X潜在错报率4、计算错报指标错报指标
97、1=潜在错报金额合计/被检查单位当期主营业务收入或期末资产总额孰高;错报指标2=潜在错报金额合计/股份公司当期主营业务收入5、错报指标与缺陷等级一般缺陷:错报指标11%0重要缺陷:1%0错报指标25%0重大缺陷:错报指标25%0内控缺陷的认定内控缺陷的认定其他会计信息质量一般缺陷其他会计信息质量一般缺陷:外部监管重点关注的事项(1)会计人员缺乏必要的任职资格和胜任能力(2)财会岗位职责不清晰或未执行规定的会计不相容岗位(职务)分离(3)会计凭证未按规定装订、保管和归档,或会计凭证丢失(4)重要原始凭证如出入库单、提货通知单、开出发票和支票等不练好或未经审批取消原始凭证(5)未按规定与股份公司内
98、、外部往来单位对帐及编制往来帐户余额调节表,或100万元以上对帐单差异1个月以上未处理,或其他对帐差异3个月以上未处理(6)未按规定编制银行存款余额调节表,或调节表差异1个月以上未处理(7)一人保管支付款项所需的全部印章。开通网上银行的,由一人保管网银卡和密码(8)存货盘点未按规定执行(9)由于审查不严,处理不当等原因造成执行国家税收政策偏差,受到罚款处罚。内控缺陷的认定内控缺陷的认定lIT控制一般缺陷控制一般缺陷l(1)ERP系统,财务管理系统、加油卡系统用户管理或密码管理未按要求执行l(2)ERP系统同一业务流程主数据管理和维护有两个或两个以上控制点未按要求执行l(3)分(子)公司信息化管
99、理不健全,职责不到位l(4)分(子)公司ERP支持中心人员不落实,支持中心人员没有履行相关职责l(5)安全管理员、系统管理员、应用系统管理员设置未执行不相容岗位(职务)分离l(6)未进行信息安全教育和培训l(7)ERP系统,财务管理系统、加油卡系统服务器未纳入信息管理部门统一管理内控缺陷的认定内控缺陷的认定内控重大事故事件缺陷:以未经内控重大事故事件缺陷:以未经授权、舞弊或IT控制不善造成财产损失或影响给股东带来经济利益损害为判别依据。缺陷认定等级直接财产损失金额重大负面影响一般缺陷10万元(含10万元)-500万元或受到省级(含省级)以下政府部门处罚但未对公司定期报告披露造成负面影响重要缺陷
100、500万元(含500万元)-1000万元或受到国家政府部门处罚但未对股份公司定期报告披露造成负面影响重大缺陷1000万元以上或已经对外正式披露并对公司定期报告披露造成负面影响内控缺陷的认定内控缺陷的认定内部管理一般缺陷内部管理一般缺陷:不影响财务报告,但违反内部管理要求的突出事项。根据内控手册和管理制度(文件)判断1、物资采购供应未归口管理2、销售管理中客户信用等级和信用限额未经信用领导小组审批,销售价格政策未经价格领导小组审批3、投资项目无计划或超计划,或未按规定招投标,或先施工后补签合同4、对未及时清结的交易没有签订书面合同;未按规定使用标准合同文本并经兼职合同管理员审核;使用费标准合同文
101、本未经专职合同管理员审核5、未按规定开立或使用银行帐户6、成本、费用指标未考核7、由于违章行为导致安全环保事故(事件)发生8、瞒报事故内控缺陷的认定内控缺陷的认定l内控缺陷的汇总内控缺陷的汇总内控缺陷认定后,应累计填写“内部控制缺陷认定汇总表”,有检查小组组长(或副组长)被查单位内控办公室主任签字确认检查方法检查方法一般方法一般方法抽样检查抽样检查ERP控制检查控制检查检查方法检查方法l一般检查方法及应用抽样方法个别访谈法比较分析法实地查验法重新执行法专项讨论会法穿行测试法业务流程价格、预算、报表分析内控环境异常情况基本方法盘点、验证遇到专业疑难问题怀疑结果有重大错误注意取得注意取得最原始单最
102、原始单据据检查方法检查方法综合使用各种方法举例:综合使用各种方法举例:l检查前:比较分析、个别访谈,预抽样l实施检查:抽样、穿行测试、实地查验、个别访谈、比较分析l疑难问题:专家讨论会l佐证不足怀疑结果:重新执行、扩大抽样具体分析:如会计科目借贷方方发生额正常与否;销售价格等分析预算,配置计划分析预算,配置计划与实际完成情况,从与实际完成情况,从紧和从宽的业务采用紧和从宽的业务采用不同的策略;结合总不同的策略;结合总帐分析报表财务状况,帐分析报表财务状况,针对问题确定重点,针对问题确定重点,如应收款项增加等如应收款项增加等针对个针对个别问题别问题访谈,访谈,可采用可采用非正式非正式访谈,访谈,
103、保护被保护被访谈人访谈人访谈业务主管,询问主主要发生业务,查阅系统,要发生业务,查阅系统,关注回避的业务;访谈关注回避的业务;访谈普通员工;获得非正常普通员工;获得非正常业务信息,如合资合作业务信息,如合资合作检查方法检查方法(2)抽样检查)抽样检查l抽样数量l抽样方法l抽样步骤及要求检查方法检查方法序号业务发生频率至少抽样数量1每年1次1笔2每年一次以上至每季度一次2笔3每季度一次以上至每月一次2笔4每月一次以上至每周一次5笔5每周一次以上至每天一次15笔6每天多次25笔检查方法检查方法抽样数量抽样数量l非财务报告点抽样数量一般为3个(少于3个的选用整体抽样)l财务报告点抽样数量在“财务报告
104、抽样记录表”中已经根据业务发生频率列出“应抽取的样本量”,除非实际业务量不足,否则不得减少“应抽取的样本量”l特别说明:抽取样本数量不限于上述“应抽取的样本量”,如果检查人员认为抽样数量不足以证明内控执行有效,可以根据需要增加样本量。检查方法检查方法抽样方法抽样方法l整体抽样l随机抽样l等距抽样l指定抽样检查方法检查方法整体抽样整体抽样l被检查单位某项经济业务很少发生,被检查的样本个数少于或等于规定的数量时,应抽取全部样本作为检查的样本如存货减值、存货处置、现金、存货、固定资产盘点等可以采取整体抽样方式,抽取所有减值会计凭证、存货处置会计凭证、存货盘点表、存货盘盈盘亏的会计凭证时间分布比较均匀
105、:如涉及的经济业务在检查区间内各月基本均匀发时间分布比较均匀:如涉及的经济业务在检查区间内各月基本均匀发生生品种比较齐全:如销售业务应包括各种产品样本品种比较齐全:如销售业务应包括各种产品样本金额分布合理:包括大中小金额金额分布合理:包括大中小金额业务对象分布合理:如采购、销售业务尽量覆盖全部供应商或客户;业务对象分布合理:如采购、销售业务尽量覆盖全部供应商或客户;借款应覆盖各币种、各银行的借款借款应覆盖各币种、各银行的借款业务发生单位分布合理:植被检查企业如果有很多单位都发生同一类业务发生单位分布合理:植被检查企业如果有很多单位都发生同一类经济业务,应尽量覆盖经济业务,应尽量覆盖采购合同、付
106、款和发票校验会计凭证,销售订单、价格、合同、发货采购合同、付款和发票校验会计凭证,销售订单、价格、合同、发货会计凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随会计凭证、销售收入会计凭证、发票、费用支出等业务都可以采用随机抽样的方法。机抽样的方法。经济业务频繁发生经济业务频繁发生样本数较多样本数较多 通过分析确认样本通过分析确认样本特性分布均匀特性分布均匀 检查方法检查方法检查方法检查方法l抽样步骤及要求抽样步骤及要求l搜集信息。拟定“检查抽样实施方案”制作初步抽样清单抽取样本l详细了解情况按实施方案尽量覆盖全部业务针对性抽样检查方法检查方法等距抽样等距抽样l如果样本的分布特性比较均匀
107、稳定,可采取等距抽样的方法。即可拟定选择原始单据编号以1(或2、3、4-)结尾的样本等l如收付款会计凭证、出入库单等。检查方法检查方法l指定抽样指定抽样通过分析,对于特殊的经济业务事项(如非正常发生的经济业务)可以指定抽样。如修理费业务,可指定公司本部大额修理费支出;成本业务,可指定手工结转的凭证;销售、费用支出业务可指定红字冲销业务;还可指定暂估业务等检查方法检查方法l抽样的特殊性抽样的特殊性l对于同一业务不同企业选用的抽样方法可能不同。如对于票据业务很少的企业,可采用整体抽样的方法;对于票据业务较多的企业,则可以根据发生日起、出票行、被背书人、贴现行等采用随机抽样等方法l对于检查区间包括年
108、末和年初的,应加大抽取样本量。重点关注是否存在虚挂或少挂成本费用,虚增或少记收入,用以调节利润的情况。其他样本也应有选择地多抽缩、3、6、9月。检查方法检查方法l抽样步骤及要求抽样步骤及要求搜集信息。搜集信息。拟定拟定“检查抽样检查抽样实施方案实施方案”制作初步抽样制作初步抽样清单清单抽取样本抽取样本详细了解情况详细了解情况按实施方案尽量按实施方案尽量覆盖全部业务覆盖全部业务针对性抽样针对性抽样检查方法检查方法l抽取的样本应充分和适当抽取的样本应充分和适当充分是指测试的证据的数量应当合理保证相关控制的有效性;适当是指获取的证据应当与相关控制的设计与运行有关,并能可靠地反映控制的实际运行状况企业
109、内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范l二00八年五月二十二日为了加强和规范企业内部控制,提高企业经营管理水平和风险防范能力,促进企业可持续发展,维护社会主义市场经济秩序和社会公众利益,根据国家有关法律法规,财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范,规定自2009年7月1日起在上市公司范围内施行,鼓励非上市的大中型企业执行。要求执行本规范的上市公司,应当对本公司内部控制的有效性进行自我评价,披露年度自我评价报告,并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。企业内部控制基本规范企业内部控制基本规范实施的范
110、围实施的范围l适用于中华人民共和国境内设立的大中型企业。l小企业和其他单位可以参照本规范建立与实施内部控制。l大中型企业和小企业的划分标准根据国家有关规定执行。实施的时间实施的时间自2009年7月1日起实施。企业内部控制基本规范企业内部控制基本规范定义定义内部控制,是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。目标目标内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。企业内部控制基本规范企业内部控制基本规范建立与实施内部控制,应当遵循的原则建立与实施内部控制,应当遵循的原则:(一)全面性原则决
111、策、执行和监督全过程,覆盖企业及其所属单位的各种业务和事项。(二)重要性原则在全面控制的基础上,关注重要业务事项和高风险领域。(三)制衡性原则在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率。(四)适应性原则与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化及时加以调整。(五)成本效益原则内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。企业内部控制基本规范企业内部控制基本规范内部控制五要素内部控制五要素:(一)内部环境内部环境内部环境是企业实施内部控制的基础,一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企
112、业文化等。(二二)风险评估风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险,合理确定风险应对策略。(三三)控制活动控制活动控制活动是企业根据风险评估结果,采用相应的控制措施,将风险控制在可承受度之内。 (四四)信息与沟通信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息,确保信息在企业内部、企业与外部之间进行有效沟通。(五五)内部监督内部监督内部监督是企业对内部控制建立与实施情况进行监督检查,评价内部控制的有效性,发现内部控制缺陷,应当及时加以改进。企业内部控制基本规范企业内部控制基本规范内部环境内部环境建立规范的公司治理结构和议事规则,明确决策
113、、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制。股东股东(大大)会会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会董事会行使企业的经营决策权。监事会监事会 对股东(大)会负责,监督企业董事、经理和其他高级管理人员依法履行职责。经理层经理层 负责组织实施股东(大)会、董事会决议事项,主持企业的生产经营管理工作。企业内部控制基本规范企业内部控制基本规范内部控制的实施内部控制的实施l董事会负责内部控制的建立健全和有效实施。l监事会对董事会建立与实施内部控制进行监督。l经理层负责组织领导企业内部控制的日常运行。l企业应当成立专门机构或者指定适当的机构具体负责组织协调内
114、部控制的建立实施及日常工作。l董事会下设立审计委员会审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。企业内部控制基本规范企业内部控制基本规范l企业应当通过编制内部管理手册,使全体员工掌握内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权。l企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计
115、机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。企业内部控制基本规范企业内部控制基本规范l企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容:(一)员工的聘用、培训、辞退与辞职。(二)员工的薪酬、考核、晋升与奖惩。(三)关键岗位员工的强制休假制度和定期岗位轮换制度。(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。(五)有关人力资源管理的其他政策企业内部控制基本规范企业内部控制基本规范l企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准,
116、切实加强员工培训和继续教育,不断提升员工素质。l企业应当加强文化建设,培育积极向上的价值观和社会责任感,倡导诚实守信、爱岗敬业、开拓创新和团队协作精神,树立现代管理理念强化风险意识。l董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。l企业员工应当遵守员工行为守则,认真履行岗位职责。l企业应当加强法制教育,增强董事、监事、经理及其他高级管理人员和员工的法制观念,严格依法决策、依法办事、依法监督,建立健全法律顾问制度和重大法律纠纷案件备案制度。企业内部控制基本规范企业内部控制基本规范l风险评估风险评估l企业应当根据设定的控制目标,全面系统持续地收集相关信息,结合实际情况,及时进
117、行风险评估。l内部风险(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术适用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。企业内部控制基本规范企业内部控制基本规范l外部风险外部风险(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技
118、术因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。确定风险承受度确定风险承受度风险承受度是企业能够承担的风险限度,包括整体风险承受能力和业务层面的可接受风险水平。企业内部控制基本规范企业内部控制基本规范l风险分析风险分析企业应当采用定性与定量相结合的方法,按照风险发生的可能性及其影响程度等,对识别的风险进行分析和排序,确定关注重点和优先控制的风险。l确定风险应对策略根据风险分析的结果,结合风险承受度,权衡风险与收益。合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给企业经营带来重大损失。通过风险规避、风险降
119、低,风险分担和风险承受等风险应对策略,实现对风险的有效控制企业内部控制基本规范企业内部控制基本规范l风险规避风险规避是企业对超出风险承受度的风险,通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。l风险降低风险降低是企业在权衡成本效益之后,准备采取适当的控制措施降低风险或者减轻损失,将风险控制在风险承受度之内的策略。l风险分担风险分担是企业准备借助他人力量,采取业务分包,购买保险等方式和适当的控制措施,将风险控制在风险承受度之内的策略。l风险承受风险承受是企业对风险承受度之内的风险,在权衡成本效益之后,不准备采取控制措施降低风险或者减轻损失的策略。企业内部控制基本规范企业内部控制基
120、本规范控制活动控制活动l手工控制与自动控制、预防性控制与发现性控制相结合l控制措施一般包括:不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。l应当根据内部控制目标,结合风险应对策略,综合运用控制措施,对各种业务和事项实施有效控制。l建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发事件,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理。企业内部控制基本规范企业内部控制基本规范信息与沟通信息与沟通l建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进
121、内部控制有效运行。l通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道,获取内部信息。l通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道,获取外部信息。l将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间,以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈沟通和反馈。重要信息应当及时传递给董事会、监事会和经理层。重要信息应当及时传递给董事会、监事会和经理层。企业内部控制基本规范企业内部控制基本规范l企业应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中
122、的作用l企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行。l企业应当建立反舞弊机制,坚持惩防并举、重在预防的原则,明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序。企业内部控制基本规范企业内部控制基本规范l企业至少应当将下列情形作为反舞弊工作的重点:企业至少应当将下列情形作为反舞弊工作的重点:(一)未经授权或者采取其他不法方式侵占、挪用企业资产,牟取不当利益。(二)在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。(三)董事、监事
123、、经理及其他高级管理人员滥用职权。(四)相关机构或人员串通舞弊。l企业应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序,办理时限和办结要求,确保举报、投诉成为企业有效掌握信息的重要途径。l举报投诉制度和举报人保护制度应当及时传达至全体员工。企业内部控制基本规范企业内部控制基本规范内部监督内部监督企业应当根据本规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。日常监督和专项监督日常监督和专项监督l日常监督是指企业对建立与实施内部控制的情况进行常规、持续的监督检查;l专项监
124、督是指在企业发展战略、组织结构、经营活动、业务流程、关键岗位员工等发生较大调整或变化的情况下,对内部控制的某一或者某些方面进行有针对性的监督检查。专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。予以确定。l制定内部控制缺陷认定标准制定内部控制缺陷认定标准l对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。l内部控制缺陷包括设计缺陷和运行缺陷l建立责任追究制度企业内部控制基本规范企业内部控制基本规范企业内部控制基本规范企业内部控制基本
125、规范l企业应当结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率,由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。国家有关法律法规另有规定的,从其规定。企业应当以书面或者其他适当的形式,妥善保存内部控制建立与实施过程中的相关记录或者资料,确保内部控制建立与实施过程的可验证性。企业内部控制基本规范企业内部控制基本规范内部控制实施情况的监督与检查内部控制实施情况的监督与检查l国务院有关部门国务院有关部门可以根据法律法规、本规范及其配套办法,明确贯彻实施本规范的具体要求,对企业建立与实施内部控制的情况进行监督检查l接受企业委托从事内部控制审计的会计师事务所接受企业委托从事内部控制审计的会计师事务所,对企业内部控制的有效性进行审计,出具审计报告。注意注意注意注意:为企业内部控制提供咨询的会计师事务所,不得同时为同一企业为企业内部控制提供咨询的会计师事务所,不得同时为同一企业提供内部控制审计服务。提供内部控制审计服务。
