COSO-框架与SOX

COSO框架与SOX2主要内容•COSO框架•SOX法案•PCAOB审计准则•全球内控法案趋势•国内内控法案的发展•后萨班斯时代公司治理的发展趋势•将合规工作由成本负担转化为竞争优势•SOX法案下的信息技术风险及控制常见疑问3COSO框架4什么是COSO框架？COSO:TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting全国虚假财务报告委员会下属的发起人委员会目的：COSO内部控制框架是美国证券交易委员会(SEC)唯一推荐使用的内部控制框架，同时《萨班斯-奥克斯利法案》第404条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司，需要按照法案要求，引进COSO内部控制框架，整合现有内部控制，满足法案的要求。5什么是内部控制？内部控制被定义(在COSO与美国审计准则–AU319)为一种程序,由一个实体的董事会、管理层和其他员工来实现，并且为了提供实现下列目标的合理保证而设计:运作的效力和效率财务报告可靠性适用法律规章的遵循情况企业战略（COSO2）COSO定义了为实现上述目标所需要存在和综合的五个内部控制组成部分，COSO2在此基础上增加了三个内部控制组成部分。6所有五大元素必须同时发挥作用，才能让内部控制有效地运作控制活动确保落实管理层的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离监控评估内部控制系统整合及时独立的评估管理层和监控机构的工作内部审计信息和沟通定期获取、确定并交流相关的信息评审内部和外部获取的信息信息流：职责指导管理层的总结成功的措施控制环境管理哲学和经营风格因素包括正直、道德价值、能力、权威和责任董事会和审计委员会人力资源政策和实务是其它内部控制组成部分的基础风险评估风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作监控信息和沟通控制活动控制环境企业层面业务部门操作弹元操作子弹元风险评估COSO内部控制框架7COSO2新框架–企业风险评估在COSO的基础上，COSO2新框架增加了以下内容•控制目标纬度企业战略•控制元素控制目标设定风险事件确认风险处理方式8SOX法案9什么是SOX？SOX:Sarbanes-OxleyAct，简称SOX,或萨班斯-奥克斯利法案SOX法案要求组织机构使用文档化的财务政策和流程来改善可审计性，并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程，都做到能见度/透明度、控制、通讯、风险管理和诈欺防治，且这些流程必须详加记录到可追查交易源头的地步。SOX法案不仅适用美国的所有在市场上进行公开交易的公司，还适用于在美国证券交易所登记的非美国公司。凡在美国上市的公司都要受此法案约束。10管理层声明(302条款)管理层关于内部控制的报告(404条款)重点领域关键条款审计委员会的标准禁止向董事和官员贷款加强对内部交易的报告向财务官员颁布行为准则上市公司会计监管委员会(PCAOB)对故意发表不实声明的刑事处罚(906条款)审计委员会事先批准所有审计师提供的服务禁止审计师提供某些服务5年强制轮换审计主管合伙人保护举报人第302条款和第404条款强调通过内部控制加强公司治理。第906条款强调刑事处罚。管理当局报告董事会治理管理层和董事会行为强制执行与惩罚审计师的独立性《萨班斯-奥克斯利法案》的内容《萨班斯-奥克斯利法案》11《萨班斯奥克斯利法案》第404条的文件内容1.管理层为公司建立和维持足够的与财务报告相关的内部控制的责任陈述2.管理层为评估公司与财务报告相关的内部控制的有效性而采用的评估架构陈述3.管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价4.陈述外部审计师已发出对《管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价》的审计意见《萨班斯－奥克斯利法案》第404条13IT需要对Sarbanes-Oxley第302项和第404项的规定做出相应的行动。IT需要参与并在开发流程和应用技术中起到带头作用IT扮演了什么角色?基础设施外围网络、内部网络、系统访问限制、IT总体环境控制安全(前端管理、行政、系统级政策)运作(批处理、备份/恢复、运行监控等等)应用控制应用与数据库可配置控制(工资计算、折旧、存货成本等等)完整性、精确性、有效性、访问限制与责权分离、IT总体环境控制已有应用维护与业务结合以确保控制在整个机构有效运行COSO整合与遵循流程、技术和控制的文档记录帮助确认内控有效性新应用确保精确性、完整性、交易有效性以及应用受相应限制的控制14PCAOB审计准则15上市公司会计监管委员会第2号审计准则《萨班斯-奥克斯利法案》第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评价。《萨班斯-奥克斯利法案》第404条与上市公司会计监管委员会第2号审计准则上市公司会计监管委员会PCAOB配合第404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求。16必须承担与公司财务报告相关的内部控制有效性的责任采用适当的内控框架(例如COSO，国际认可的内部控制框架)，评价公司与财务报告相关的内部控制系统的有效性以充分的凭证(包括档案文件)支持评价结果针对公司最近年度财务报告的内部控制有效性提交书面声明上市公司会计监管委员会第2号审计准则对管理层的要求测试有效性记录内部控制全面计划纠正缺陷做出声明上市公司会计监管委员会第5号审计准则（2007年7月取代原有的第2号审计准则）17为独立审计师减少解释性细节的程度。鼓励独立审计师使用专业判断。更强调评估舞弊风险的显著重要性，包括管理层越权；以及反舞弊控制。解释了各类公司整体层面控制对选择及测试其他控制的影响。要求独立审计师满足恰当的穿行测试目标，而不是对所有情况都进行穿行测试。为小规模企业审计提供了指引。遵循以原则为基础的方式来决定独立审计师在什么时候以及什么程度上利用第三方的工作。第5号和第2号审计准则的主要区别22全球内控法案趋势23内部控制相关法规及指南的发展2月美国蓝丝带委员会：《改善企业审计委员会有效性的报告》6月财政部、证监会、审计署、银监会、保监会《企业内部控制基本规范》200519992000200120022003200420065月国际经济合作暨发展组织：《公司管治原则》6月世界银行：《公司治理：实施的框架》9月英格兰及韦尔斯特许会计师公会：《内部控制：综合守则的董事会指引》8月中国证券监督管理委员会：《关于在上市公司建立独立董事制度的指导意见》1月中国银行业监督管理委员会：《上市公司治理准则》7月美国国会《萨班斯–奥克斯利法案》7月英国财务报告协会：《公司治理综合守则》3月香港交易所：《上市规则》有关公司治理事宜条文的修订11月香港交易所：有关《公司治理常规守则》以及《公司治理报告》规则的《上市规则》定稿4月国际经济合作暨发展组织：关于国有企业公司治理指引6/9月上海证券交易所/深圳证券交易所《上市公司内部控制指引》5月中国银行业监督管理委员会：《国有商业银行公司治理及相关监管指引》2月香港会计师公会：《审核委员会有效远作指引》11月中国银行业监督管理委员会：《信息科技风险内部和外部评价审计》20071月中国证券监督管理委员会：《上市公司信息披露管理办法》4月上海证券交易所《上海证券交易所上市公司信息披露事务管理制度指引》12月上海证券交易所《中小企业板上市公司内部审计工作指引》2008国际经济合作暨发展组织：《公司管治原则》修订稿6月中国财务部：关于征求《企业内部控制评价指引》《企业内部控制应用指引》《企业内部控制鉴证指引》意见的通知30后萨班斯时代公司治理的发展趋势31遵循《萨班斯-奥克斯利法案》第404条对上市公司的裨益不断改进《萨班斯——奥克斯利法案》的生命周期改进原有控制程序不间断的记录与修正不断进行控制与测试满足要求实现价值自我检测是否已达到标准初期努力使自身满足要求企业的工作重心要由现阶段的短期目标向长期持续生命周期转变，以实现企业的价值。企业第一年符合《萨班斯—奥克斯利法案》第404条的要求实现目标并不意味着以后的各年仍然符合要求。32展望未来的控制--《萨班斯—奥克斯利法案》第404条及相关法规要求企业内部存在适当且有效的控制对《萨班斯—奥克斯利法案》第404条的遵循应成为一项日常的流程现在以项目为导向存在不一致性以文档为中心人工控制作为支持业务的一种方式存在但是当遇到以下情况时，企业会怎样？关键人员离职对程序做出改进应用新系统销售原有业务/购买新业务程序外包将来企业经营之道与业务流程相结合以数据为中心动态控制构成经营的一部分遵循《萨班斯-奥克斯利法案》第404条对上市公司的裨益(续)33信息系统（IT）治理的概念关注点:战略及规划,组织架构,政策,和内部流程公司治理IT治理公司业务信息系统IT治理的意义:•控制风险,•合规,•绩效评估,和•提升价值信息系统治理的定义：信息系统治理是公司治理的一个有机组成部分，它包含领导力、组织结构和流程等制度和机制，其确保信息系统维续和扩展组织的战略和目标。—国际信息系统审计与控制联合会（ISACA）34信息系统治理与IT审计COSO提供了内部控制设计和风险管理的框架要求。COBIT对信息技术管理域、处理过程和相关活动以及控制目标进行了定义，是信息系统治理的基础。IT审计是按照一定的IT审计规范，对IT内部控制的有效性进行评估。信息系统治理是建立在COSO和COBIT之上的IT运作以及管理的机制。IT审计信息系统治理COBIT标准COSO内部框架评估IT内部控制评估IT运作和管理状况内审部参与度47SOX法案下的信息技术风险及控制常见疑问48常见疑问Q：在进行财务报告内部控制的评估时考虑IT部分为何如此重要？A：业务流程对信息技术的依赖程度逐年增加，使得业务的执行更加及时、全面及准确。财务报告流程及其他流程，即财务报告所载之交易的获取、记录、累积、总结及呈报，大部分都需依靠信息系统来完成。49常见疑问（续）Q：管理层如何识别IT风险及对IT风险进行优先排序？A：IT风险的识别和优先排序的框架和方法与跟那些影响财务报告要素的关键流程的风险的识别是相同的。一般来说，风险的识别是基于其与具体财务报表认定的相关性而进行的，而有关风险的识别是对内部环境做出概括性结论的基础。风险的优先排序是根据他们对财务报表的影响大小和发生的可能性而进行。50常见疑问（续）Q：IT组织及应用系统和数据负责人应进行多少文档记录，以为应用系统的控制和运行提供证据？A：该问题需从两方面予以考虑，首先要考虑的是需要作什么记录，以为系统的运行和控制提供证据；其次是需进行哪些记录，以确保应用系统的运行能够使控制的可靠性得到保证。51常见疑问（续）Q：管理层如何解决IT控制的缺陷和差距？A：管理层有两种解决IT控制缺陷的可行方法。第一个方法，也是最显著的方法，是对设计或运行无效的流程或控制进行差距分析，并制定行动计划弥补差距。另一个可行方法（至少适合短期施行），是要确保对缺陷风险及相关补偿控制（如有）的进行透彻的分析，从而判断对财务报告认定的风险范围，以及有关风险是否已被充分降低。该方法于短期来说或许十分重要，原因是对差距的分析及弥补可能需花费较长一段时间方能改善lT控制。在很多情况下，对人工发现控制的需求可能会大幅增加，以识别和纠正那些可导致业务流程层面上的错误或遗漏的具体项目。52Questions?