培训讲义：内部控制与萨宾斯法案(ppt 49)

内部控制和萨宾斯法案一、基本概念阐述二、内控系统整体架构三、内部控制的实施走进内部控制-主要内容内部控制-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：•营运的效果和效率•财务报表的可靠性•相关法令的遵循内部控制的定义管理风险管理风险习惯上分为以下五类：财务和经营信息不足政策、计划、程序、法律和标准贯彻失败资产流失资源浪费和无效使用不能达到企业的目的和目标风险的后果？•竞争失败•经营中断•法律诉讼•商业欺诈•无益开支•资产损失•决策失误风险如何最小化？加强系统的内部控制对可能的损失投保当可能的风险较大时，寻求较大的回报内部控制如何降低风险？暴露的金额发生的可能性风险的大小内部控制降低成功内部控制的重要性有效的内部控制风险与经营回报的良好平衡内部控制的重要性（续）COSO报告《内部控制－整体架构》AICPA《审计准则公告第78》号《会计法》（第四章第27条）财政部《内部会计控制规范》证监会《证券公司内部控制指引》证监会《商业银行内部控制指引》征求意见稿…….内控系统的整体架构控制环境是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：•管理哲学和经营风格•组织结构•董事会及其委员会职能•职责分配和授权•人事政策控制环境－管理哲学和经营风格审计署对23家企业的调查结果％金额（亿元）资产不实10.39%负债不实7.89%利润不实38.87其中：虚报94.98%36.92隐瞒52.89%20.53潜亏92.77%36.06独立董事专门委员会•设立审计委员会，及委员会成员资格要求•审计委员会职责•专门委员会与外部中介机构监事会•监事会职责•监事会与外部中介机构控制环境－董事会及委员会职能风险评估企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。目标风险控制行为控制活动环境变化后的管理评估和更新如何有效地进行风险管理各行业的前10种最主要的风险因素次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长控制活动企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。现金管理资本性采购采购和付款人事和薪金营销和销售存货管理控制活动的类型1预防性控制2检查性控制3纠正性控制4补偿性控制事前事中事后一些重要的内控方法•职责分离控制•授权批准控制•内部报告控制•电子信息技术控制……不相容职务相互分离控制－示例工作职责存在的风险同时负责现金的收取和应收账款的会计记录可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金同时负责购货订单的审批和货物的收取可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息同时负责付款的审批和购货订单签发与审核可能会伪造购货业务并支付货款，从而贪污现金授权批准控制在开展任何业务之前都应进行授权授权以后，为了避免滥用权力，还要经常对业务流程进行审查按性质的不同分为综合授权和特别授权要对授权做好记录，并提供证明文件避免两个极端：“层层审批”和“一支笔”内部报告控制完善内部管理报告系统内部报告上报时间及报告路线内部报告的分发控制内部报告的分析和跟进信息系统控制－目标提高资源使用效率有效达到企业目标保持数据完整维护资产安全符合相关的法律、法规和政策一般信息系统控制信息系统的组织和管理信息系统操作外包厂商管理数据安全危机处理与业务持续计划应用系统安装与维护数据库安装与支持网络支持系统软件支持硬件支持提高企业信息系统的整体可信赖程度的控制信息与沟通贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任监督整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制监督是谁的职责?•管理层应对内控执行情况进行持续监督•内部审计部门应进行定期、不定期的个别评估内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。管理层在内部控制中的地位和作用实施内部控制制度逐项复核内控是否存在于现有流程中，是否有效必要时进一步制定具体政策和管理报告考虑成本效益原则强化对内控的监督与评估最有效的办法实施控制时的成本效益原则实施内控时常出现的误区管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病调查结果－总会计师职责分布中国：80％－组织日常财务工作70％－审核财务报表及管理报表60％－制定投融资决策55％－制定内控30％－制定公司长远规划美国：财务管理及内部控制收购与兼并制定公司长远规划信息技术规划与各经营部门协调实施内控时常出现的误区管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病实施内控时常出现的误区管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病实施内控时常出现的误区管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病包治百病？－内控的固有局限性人为因素使内控失效对控制责任的误解执行时的大意疲劳舞弊时间推移使控制措施逐渐失效其它影响内控实施效果的因素管理层违规形式主义利益的冲突法律法规的意外变化竞争对手的行动经济环境变化等萨班斯－奥克斯利法案概述•美国的萨宾斯法案（Sarbanes-OxleyAct)–所有在美国上市的公司均需遵行–强调外部会计师的独立性–关注公司内部治理及对外信息透明、完整与正确性–以强化内部控制为核心的要求•法案产生之背景安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。2002年6月，布什总统签署的萨班斯－奥克斯利法案正式生效，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称《萨班斯－奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。•法案出台之目的-重建公司信用，培育公众信心，振兴证券市场。-加强公司监管，规范业务运作。-增加财务报告与信息披露的透明度。-确保公司管理层可以从有效监控的系统中获取重要信息。-公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。萨班斯－奥克斯利法案概述•法案之主要内容-成立独立的公众公司会计监察委员会，监管执行上市公司审计职业-要求加强注册会计师的独立性-要求加大公司的财务报告责任-要求强化财务披露义务-加重了违法行为的处罚措施-增加经费拨款，强化美国证券管理委员会的监管职能-要求美国审计总署加强调查研究其中与上市公司管理层直接相关的是：第302节公司对财务报告的责任第404节管理层对内部控制的评价萨班斯－奥克斯利法案概述(续)•第302节公司对财务报告的责任-要求公司首要官员及首要财务官在季度/年度报告中保证-对信息披露的控制和程序负责（含刑事责任）-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息-对披露控制的有效性进行评估，评估结果需存档-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为-存档描述内部控制的重大变化-介绍信息披露的控制和程序-强调财务人员的正直和财务报告系统控制的完整性-需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日萨班斯－奥克斯利法案概述(续)萨班斯－奥克斯利法案概述(续)•第404节管理层对内部控制的评价-要求公司管理层在年度报告中：-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任-对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）-同时要求外部审计人员：-对管理层评估结果进行签证-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日•在美国上市的公司，不论规模，均需遵守萨班斯－奥克斯利法案的有关规定。•即使上一年注册会计师出具的是无保留意见的审计报告，也不表示公司现有的内控系统已经符合法案的规定。根据法案的规定，独立审计人员还需另外证明客户公司的内部控制系统是有效的。•美国国会清楚地规定，公司对其财务报告和信息披露的公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为：证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说，管理层必须独立地评估，执行和监控内部控制程序（但是可以聘请独立审计人员以外的咨询人员协助就绪及评估工作）。独立审计人员则可以在一个限定的范围内对公司已有的内部控制程序提出优化建议和协助。•法案对上市公司的规定和影响主要体现在公司治理、管理层责任方面的规定。法案对于在美国上市公司的规定与影响董事会成员的责任风险管理和控制职业操守和公司守法透明度和信息披露法案对于在美国上市公司的规定与影响公司治理•董事会成员和审计委员会有进行自我评估和接受后续教育的责任–纽约证券交易所和纳斯达克证券交易所的规定–公司治理的要求–公司内控的失败提高了董事会接受相关培训，改进内控程序的重要性•法案要求公司对员工的职业道德作出书面规定•要求审计委员会建立内部举报激励机制职业操守和公司守法董事会成员的责任•美国证券管理委员会公布了以下新的规定–管理层信息与分析–非通用会计准则下的财务处理–资产负债表表外事项•美国证券管理委员会建议成立信息披露委员会透明度和信息披露•公司财务报告系统内部控制报告书的规定–必须陈述下列情况以评估公司内部控制程序：–管理层承认对公司内部控制有效性负有责任–公司必须使用适当的控制标准（例如COSO)来评估内部控制的有效性–公司必须提供充分的证据来支持其评估结果–公司必须书面记录与提交其对内部控制有效性的评估结论•需要提供下列证据和文件来支持评估结论：–评估需包括分支机构和业务单元的认定–重要内部控制的认定–重要内部控制程序的设计–控制实施的有效性–内控之重大失败和/或重大缺陷的认定–评估结果管理层责任——评估财务报告系统内部控制的有效性•在判定控制的重要性时必须考虑下列因素：–控制失败将导致财务报告失真的可能性–用其他控制手段达到相同控制目的的程度•重要的控制包括:–会计系统初始化、帐务处理、重要帐户余额记录、交易类别和披露方面的控制–反舞弊控制–跨部门的共同控制，缺少它，其他重要控制程序不能独立发生作用–同时使用才能达到一定控制目标的重要控制程序–对重大的非常规和非系统的交易监控的程序–对期末财务报告步骤实施监控的程序管理层责任——评估财务报告系统内部控制的有效性•测试内部控制实施效果的方法：–内部审计人员对