企业竞争--利润与仁、义、礼、智、信（DOC 22页）

1萨班斯法案与内部控制专项培训2目录一.风险、内部控制与公司治理二.内部控制框架－COSO三.萨班斯法案简介四.萨班斯法案的最新发展五.萨班斯法案的实施六.萨班斯法案对优化内部控制体系的借鉴3第一部分：第一天课程（9:00to17:00)4SECTIONONE:风险、内部控制与公司治理5风险6风险的定义普遍定义：风险是未来发生损失和伤害的可能性；对企业风险管理而言，风险通常可以定义为对公司实现目标的威胁；具有危害程度和发生可能性两个基本要素。7在企业中风险是什么？举例：•没有按公司政策的要求及时关账；•未及时与供应商、顾客进行对账；•定期的财务报告未完整、及时披露：•AP经理未对付款进行审阅、批准；对您而言，何为风险。。。。8面对风险的办法面对风险，企业通常有四个选择：避免风险降低风险——内部控制转移风险接受风险9回避风险降低风险接受风险风险转移风险发生的可能性企业的风险偏好成本效益原则风险的破坏力进行决定风险回应10内部控制11什么是内部控制？内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性（包括保护资产的完整）、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。——COSO报告12混沌理论与内部控制什么是混沌理论？--微小的计算错误可能导致巨大的灾难性的后果；--洛伦茨试验与蝴蝶效应；混沌理论在内部控制中的应用--对于预期要达到的目标而言，内部控制可被依赖的程度是有其固有局限的；--小错误经过时间的发展，并于其他异常现象相互作用，有可能导致重大灾难；巴林银行案大和银行案--作为对策，努力达到最好的内部控制，以尽可能减少遭遇灾难的可能性；13内部控制的措施举例独立复核授权审批职责分离实物安全控制关键绩效指标分析管理层审阅交叉核对异常情况报告信息系统控制内部审计14目标、策略、风险和控制的关系目标策略风险内控15总结：内部控制的重要意义COMPLIANCEwithapplicablelaws/policies确保企业遵循法律法规ACCOMPLISHMENToftheentity’smission协助企业达成目标和使命RELEVANTandRELIABLEdata确保企业获得并报告相关而可靠的信息ECONOMICALandEFFECTIVEuseofResources协助企业经济、有效的运用资源SAFEGUARDtheassets保护企业资产企业价值提升16风险和控制是如何搭档工作的？没有按公司政策的要求及时关账；未及时与供应商、顾客进行对账；定期的财务报告未完整、及时披露：AP经理未对付款进行审阅、批准；企业制定关账政策，财务管理层对关账程序进行持续监控；财务部门制定政策，监控对账程序；财务负责人定期对所发布的财务报表进行审阅；企业制定相应政策，系统设置相应程序，确保AP经理对每一笔付款均已审阅批准；17练习1—风险与控制（30分钟）练习内容：对于已经设立的控制，风险何在？对于已知的风险，如何设置控制？练习一18公司治理19公司治理的概念•公司管理层、董事会、股东以及其他利益相关者之间的一整套关系。--巴塞尔协议•公司治理是关于增进公司的公平、透明和责任—世界银行总裁•狭义上，公司治理是公司对股东的关系；广义上，则是公司对社会的关系—英国金融时报•公司与股东的关系—标准普尔•指导和控管公司的制度，其架构明定权责分配给公司内的不同参与者—经济合作发展组织（OPEC）20内部控制与公司治理的关系公司治理的目的是保证各相关方的利益员工相关利益方政府债权人股东21内部控制与公司治理的关系股东董事会管理层主要经营活动利益关系者汇报任命/监控公司治理股东、董事会、管理层以及其他其他利益关系者之间的管理控制关系及职权利划分。内部控制董事会、管理层和员工实施的对企业生产经营和财务报告产生过程的控制。22给良好公司治理组织结构化个图董事会风险管理部门财务部门法律法规遵循部门首席执行官最终责任评估企业的内部控制监督责任支撑、执行和反馈审计委员会内部审计部门业务部门23如何建立完善的内部控制机制董事会在处理重大业务问题方面的有效性调查49%43%24%21%16%15%查明问题，解决争议监控财务状况建立领导权并保持经营规划的持续性指导战略实施监控风险及时发现经营中的预警信号数据来源：A.T.Kearney于2004年进行的独立董事调查24SECTIONTWO:内部控制框架－COSO25内部控制框架概况26内部控制框架对于内部控制的框架，不同机构对其有着不同的理解,主流框架有：–美国反欺骗性财务报告委员会－COSO内部控制框架–英格兰及威尔斯特许会计师公会－内部控制：综合守则的董事指引（坎特伯雷报告）–加拿大特许会计师公会－内部控制指引(CoCo)27内部控制框架美国COSO内部控制框架监控业务单位A信息和沟通控制活动风险评估控制环境业务单位B活动1活动228企业内部控制的发展历程1999年9月英格兰及威尔斯特许会计师公会：《内部控制：综合守则的董事指引》加拿大特许会计师公会：《内部控制指引》9月11月1995年美国反欺骗性财务报告委员会：《COSO内部控制框架》1992年时间7月2003年美国反欺骗性财务报告委员会：《COSO企业风险管理框架》征求意见稿29框架和法律的区别框架方法论，指导人们如何做事；不强迫执行，因为方法论本身十分讲究个人的领悟和运用，很有可能由于使用的不同导致不同的结果；法律强迫执行，但是定义很清晰明确，不会对使用者产生误导；如：COSO—框架萨班斯法案—法律坎特伯雷报告—框架CombinedCode—法律30控制环境的两个层次第一层次：抽象层次，着重介绍道德文化层次的内容第二层次：具体层次，公司架构方面的硬件设置，如审计委员会，内部审计功能等31COSO内部控制要素控制环境－诚信的原则和道德价值观•企业最高管理层还是其他成员都应当做到：严格一致地保持诚信行为和道德标准•加强企业的内部审核制度•发挥董事会和审计委员会的职能，使其客观监督企业的高级管理层•提供道德方面的指导，使所有员工在一般和特定环境下能够保持正确的判断•使行为准则和政策声明文字化，并将其传达给全体员工32COSO内部控制要素控制环境－董事会和审计委员会•组成这两个机构须考虑的因素主要包括：成员的经验•相对于管理层的独立性；外部董事的比例；•其成员参与管理的程度•所采取措施的适宜性•对管理层提出问题的深度和广度•与内部、外部审计人员之间的关系33COSO内部控制要素控制环境－公司组织结构•组织结构的适当性，及其提供管理企业所需信息的能力；•各主管人员所负责任的适当性；•按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验；•当环境改变时，企业配合改变其组织结构的程度•员工，尤其是负责管理及监督职能的员工人数的充足程度。34COSO内部控制要素风险评估(Riskassessment)•包括公司面对的所有风险—内部+外部•公司应建立良好内控系统，随时记录、分析风险变化•企业的风险评估程序应能够确认企业层次和经营活动层次的相关风险并考虑其影响•应考虑针对每一重要的经营活动层次的目标，有什么重要风险影响其实现35COSO内部控制要素控制活动(Controlactivity)•确保内部控制程序的执行得到监控的程序•针对每个内部控制点设计•包括：核准、授权、验证、调节、复核业务绩效、保障资产安全及职责分工等。•检查与考核36COSO内部控制要素信息与沟通(Informationandcommunication)•各方面信息的收集（企业内部与外部）•及时将信息传递（从上到下，从下到上）•管理层对开发信息系统的支持•反映发现可疑情况的渠道37COSO内部控制要素监督(Monitoring)•监督活动由持续监督、个别评价所组成，其可确保企业内部控制能持续有效的运作•持续监督活动包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。•个别评价以直接监视控制系统的有效性38COSO在404条款评价报告中的应用—公司层面COSO组成部分要素风险评估机构的目标活动层面的目标风险识别及评估控制变动控制环境诚信及道德观对工作能力的承诺董事会或审计委员会管理层的理念及经营风格组织框架权限及职责分配人力资源政策及惯例信息与沟通确认、收集、处理及申报企业外部和内部信息公司上下全面有效的交流控制活动针对妨碍目标实现的风险所制定之政策、程序和措施监督持续监督独立评估汇报缺陷39COSO在404条款评价报告中的应用—流程层面COSO组成要素40COSO在404条款评价报告中的应用举例—风险评估（一）•流程责任人是否已确定了与报告机构或业务单位管理层所制定的整体目标相一致的流程目标？•流程目标是否清楚并足够详细地说明流程的设计宗旨？该目标与其他流程的目标是否一致（且不冲突）？管理层是否参与了流程目标的制定，尤其是那些对报告机构或业务单位的成功起关键作用的目标？•流程责任人是否拥有充足的资源以实现上述目标？41COSO在404条款评价报告中的应用举例—风险评估（二）•流程责任人是否拥有有效的程序，以(a)识别来自内部和外部会影响主要目标实现的重大风险；(b)评估风险的重要性和这些风险出现的可能性；及(c)评估可将这些风险降低到可接受水平的其他措施？•流程责任人是否会持续的预测、确认可能影响流程目标实现的常规及不断变化的环境和其他因素，并对其作出反应？•流程活动是否依赖已识别、处理及呈报的信息的完整性和可用性?如果是，那么流程责任人是否对有关信息的完全性，完整性和可用性的风险进行评估？42练习内容：控制如何与COSO要素一一对应..\练习二--MatchingCOSOwithControl.doc练习2—COSO如何作用于控制（30分钟）43SECTIONTHREE:萨班斯法案简介44目录•萨班斯法案简介•302，404及906条款•萨班斯法案对公司治理及内部控制的影响45《萨班斯－奥克斯利法案》简介•美国能源巨子安然公司(Enron)于2001年12月2日宣告破产，成为美国历史上第二大破产案。•美国国会下属的八个委员会，美国证券监督管理委员会（“证监会”）及美国司法部等对此案件及牵涉其中的公司高层管理人员进行调查并提出法律起诉。46若干管理高层已被定罪，此案件对美国以至国际间的公司治理及公司监管起了重大的启示作用：•美国历史上第二大的破产案•企业的公司治理结构存在漏洞•企业财务报告的可信性受到投资者及监管机构的质疑《萨班斯－奥克斯利法案》简介47《萨班斯－奥克斯利法案》简介48《萨班斯－奥克斯利法案》简介从安然事件开始，陆续引发出许多重大财务丑闻，著名的例子包括：公司主要财务问题举例安然(Enron)重大账外或有负债，引发财务报表合并会计办法的改革世界通讯(Worldcom)将营业费用不恰当的资本化帕玛拉特(Parmalat)包括现金等虚假资产(QwestCommunications)不恰当的收入确认方法49《萨班斯－奥克斯利法案》简介萨班斯法案投票赞成522反对3弃权9Paul.SSarbanesMichaelG.Oxley50《萨班斯－奥克斯利法案》简介犯罪处罚越狱1-2年涉嫌敲诈的绑架案3-5年二级谋杀11-14年萨班斯-奥克斯利遵循10-20年持枪抢劫20年51《萨班斯－奥克斯利法案》简介《萨班斯奥克斯利法案》的目标及措施法案的目标•提高公司根据证券法或其他要求做出披露的准确性和可靠性•加强公司治理，重建投资者信心52《萨班斯－奥克斯利法案》简介萨班斯法案生效的时间•第一类:国内公司须从2004年11月15日或之后借结束得财政年度开始提交管理层有关财务报告内部控制得报告。不属于加速编报公司的大型国外私人发行人则必须从截至2006年7月15日或之后为止的首个财政年度开始遵守404条款的报告要求•第二类：小企业发行人及不属于加速编报公司的国外私人发行人，应从截至2007年7月15日或之后的会计年度开始执行该条款。E.g.按公历年提交报告的公司应于2008