7604_萨奥法案404条款简介及海外经验

内控体系建设工作座谈会：萨•奥法案404条款简介及海外经验2004年12月9日PwC此处列述的信息和观点不代表任何法律或其他形式的专业意见。有关2002年萨•奥法案和相关证券交易（SEC）法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进行咨询。议题•法案要求•外部审计师测试方案•美国404项目经验PwC普华永道内控体系建设工作座谈会第3页萨班斯•奥克斯利法案背景2001-2002安然、世通及其他美国企业会计丑闻2002.7.30萨班斯•奥克斯利法案签署生效2003.1.09上市公司会计监管委员会（PCAOB）正式成立2003.10.07PCAOB发布建议审计准则—《与财务报表的审计协同进行的对于财务报告的内部控制的审计》2004.3.09PCAOB发布第二号审计准则—《与财务报表的审计协同进行的对于财务报告的内部控制的审计》2004.6.18SEC批准通过第二号审计准则2003-2004SEC发布一系列有关实施萨班斯•奥克斯利法案的“最终细则”2004.11.15对会计年度结束于2004年11月15日或之后的美国境内上市公司，法案404条款开始生效2005.7.15对会计年度结束于2005年7月15日或之后的境外注册的上市公司，法案404条款开始生效普华永道内控体系建设工作座谈会第4页萨班斯•奥克斯利法案介绍•旨在建立并恢复公众对公司财务报告的信心•设立上市公司会计监管委员会（PCAOB）•明确了以下各方的责任:–管理层–外部审计师–审计委员会•更新财务披露的要求•设立了犯罪惩戒条款并进一步加强了白领犯罪的惩罚措施•对在美国上市的境外公司(FPI)并无重大豁免•对在中国大陆及香港的FPI(大约50个)和海外跨国公司的子公司有重大影响•美国证监会（“SEC”）承诺进行定期的审阅和强制执行普华永道内控体系建设工作座谈会第5页萨班斯•奥克斯利法案的重点•404条款要求企业管理层建立对财务报告的内部控制•提出美国国内上市公司和外国上市公司遵循404条款的时间表；对于在美国上市的外国公司，404条款将于2005年7月15日或以后的财政年度末生效。基于中国石油的财政年度，404条款将于2005年财政年度开始生效•企业管理层必须每年对影响财务报告的有关内部控制的有效性进行评价并发表年度声明•要求独立审计师对影响财务报告的有关内部控制进行审计普华永道内控体系建设工作座谈会第6页对控制缺陷的评估重大缺陷SignificantDeficiency（SD）该缺陷会导致年报或中期报告中的并非无关紧要的错漏无法被预防或侦测出来的可能性大于微小实质性漏洞MaterialWeakness（MW）该缺陷或缺陷集合会导致年报或中期报告中的重大错漏无法被预防或侦测出来的可能性大于微小•需要作个别和整体的评估•必需向审计委员会报告•一个单独的重大漏洞会导致否定意见普华永道内控体系建设工作座谈会第7页重大缺陷(SD)PCAOB规定，以下方面的缺陷通常被描述为重大的缺陷：•对会计准则的选择和实施的控制与公认会计准则相一致•反舞弊程序和控制•对非正常或非系统交易的控制•期末财务报告流程的控制,包括将交易合计录入总帐程序的控制；交易的发生、授权、记录以及将分录登记入帐的控制；还包括记录例行和非例行的财务报表调整的控制普华永道内控体系建设工作座谈会第8页实质性漏洞(MW)的重要迹象可能存在实质性漏洞的迹象，包括:•重述以前年度的财务报告以纠正错报•审计师在当期审计中发现了财务报告中的重大错报,但该错报并未被公司的内部控制发现•审计委员会对财务报告和相关的内部控制缺乏有效的监管•无效的内部审计和风险评估职能•发现任何程度的高层舞弊行为•无效的控制环境普华永道内控体系建设工作座谈会第9页审计意见分类需要对以下三方面发表审计意见：•对财务报表的审计意见•对财务报告相关控制的审计意见•对管理层评估的审计意见普华永道内控体系建设工作座谈会第10页审计意见分类内部控制审计意见的种类：无保留意见：审计范围不存在任何限制及没有实质性漏洞否定意见：存在一个或以上的实质性漏洞，并描述每个实质性漏洞及说明其对财务审计工作的影响保留意见：审计范围在较小程度上受到限制拒绝表示意见：审计范围在很大程度上受到限制普华永道内控体系建设工作座谈会第11页管理层无法及时完成评估所产生的影响•外部审计师将会拒绝发表审计意见•美国SEC将认定此公司为有缺陷的申报者•影响其在资本市场再次进行融资的能力普华永道内控体系建设工作座谈会第12页无效的内控系统会对公司产生何种影响？•股价的影响•资本成本•投资者的反应—排名很有可能会受实质性漏洞性质的影响•SEC的反应—无效的内部控制并不妨碍公司成为一个及时申报者普华永道内控体系建设工作座谈会第13页内控缺陷可能导致违反美国《海外贪污行为法》(ForeignCorruptPracticesAct)如果未实施内部会计控制系统，或者故意伪造任何帐簿、记录或者分录，就要负以下的刑事法律责任:•个人–最高被处以一百万美元及十年的监禁•公司–最高被处以二百五十万美元的罚款普华永道内控体系建设工作座谈会第14页外部审计师将对各主要交易进行跟单作业外部审计师将通过跟单作业搜集证据，以便：•确认外部审计师对交易流程的理解•确认外部审计师对内部控制设计的理解•确定流程中所有对与财务报表会计认定相关的错报风险已被鉴别，以确认外部审计师对流程的理解是完整的•评估内部控制设计的有效性•确认内部控制是否已运用于经营资料来源：PCAOBAS-2s79普华永道内控体系建设工作座谈会第15页外部审计师将测试关键控制的执行的有效性•外部审计师将进行测试,以取得与财务报告中所有重要会计科目和披露相关会计认定有关的内控有效性的证据•测试方法将包括：–询问适当的员工–观察公司的运营–检查相关文件–再执行内部控制的应用•样本量:–自动控制：可能一个样本就足够–人工控制：样本量基于控制的执行频率（例如：日控制需抽样30至60个）资料来源：PCAOBAS-2s93，美国会计行业指引普华永道内控体系建设工作座谈会第16页外部审计师将评估并测试期末财务报告流程外部审计师将评估期末财务报告流程，包括：•公司生成年度和年中国际会计准则财务报告的过程中的输入，执行程序及输出•在各年终财务报告流程要素中信息技术的含量•参与流程的管理层人员•测试涉及的地区公司的数量•调整科目的类型•相关方如管理层，董事会及审计委员会,进行的监管的性质和范围资料来源：PCAOBAS-2s77普华永道内控体系建设工作座谈会第17页外部审计师将评估并测试企业的总体信息系统控制如果存在自动控制，外部审计师也需测试总体信息系统控制，以确保自动控制的可靠性主要测试以下四个方面的内部控制：•程序开发•程序变动•计算机操作•对程序和数据的访问资料来源：PCAOBAS-2s50普华永道内控体系建设工作座谈会第18页外部审计师将评估并测试COSO框架的“软”要素用来测试COSO“软”要素最基本方法是询问和检查针对控制环境进行的测试包括：•通过询问，观察，重点关注及/或民意调查来评估“高层管理基调”•观察和评估违反公司行为准则的案例的处理程序•复核书面授权标准并评定其合理性•检查进行财务报告和风险评估的各关键岗位的职责描述资料来源：PCAOBAS-2s77普华永道内控体系建设工作座谈会第19页外部审计师将评估并测试COSO框架的“软”要素对风险评估进行的测试包括：•复核管理层进行风险评估的流程，包括评定发生的可能性和决定必需的行动•评估管理层是否充分的表达了他们将如何确定和分析财务报表中的重大估计记录对信息和沟通进行的测试包括：•高级管理层和董事会在信息系统发展的战略计划上做出的影响•了解新的会计公告是如何在会计政策手册中得到更新的，以及这些更新材料是如何在相关范围内分发的•跟踪贵行业或公司的关键信息的传达普华永道内控体系建设工作座谈会第20页外部审计师将评估并测试COSO框架的“软”要素对监督进行的测试包括：•了解月度财务报告分析流程，并观察重大或不寻常的科目是如何被调查和解决的•评估内部审计职能的有效性以及对已确认的内部控制缺陷采取的报告和后续措施普华永道内控体系建设工作座谈会第21页外部审计师将对中石油各地区公司进行测试•财务方面重要的地区公司——覆盖企业经营和财务的大部分（覆盖率为60-70%）•具有特殊风险,可能影响整个机构的地区公司•集合之后达到重要性的地区公司或营运单位•测试的性质和范围将根据地区公司的类型来确定普华永道内控体系建设工作座谈会第22页美国公司实施404项目通常涉及到的人员企业内部人员：•404项目领导班子–财务总监•404项目总部核心小组•项目委员会–财务主任或总会计师、内部审计部、法律部•信息系统管理部门•分支机构的业务及财务管理主管•流程和控制主管或负责人企业外部人员：•404项目顾问•外部审计师•法律顾问普华永道内控体系建设工作座谈会第23页针对404项目,美国公司如何进行职责分工？流程主管：证实控制的设计和运行有效性;对控制进行书面记录并任命控制主管控制主管：测试并评估控制有效性；负责整改计划管理层：本地的、地区的以及公司层面的业务和财务主管证实控制设计和运行的有效性普华永道内控体系建设工作座谈会第24页美国公司对404项目进行的内部复核及验证的过程复核，汇报，验证复核，汇报，验证当地的业务流程主管管理层内控报告总裁、财务总监披露委员会业务单位总经理业务单位财务主管当地验证当地总经理当地财务主管普华永道内控体系建设工作座谈会第25页美国404项目进行中遇到的问题:1.公司发现内控缺陷比预期多•在评估工作中发现大量的控制缺陷•有些客户有40％或更高比率的控制不合格而需要进行改进，并进行再测试•需要处理大量的文档记录普华永道内控体系建设工作座谈会第26页美国404项目进行中遇到的问题:2.必需的改进工作比预期的范围广并且耗时•根据普华永道2004年7月的调查，79%高级主管认为为了符合萨奥法案404条款的规定，他们的公司需要对以下方面进行改进：–内部审计有效性–计算机控制(不包括安全性)–计算机安全控制–反舞弊的程序–财务报告流程–审计委员会的监督普华永道内控体系建设工作座谈会第27页美国404项目进行中遇到的问题:3.管理层的评估工作比预期的时间长•根据美国的普华永道于9月30日对美国本土的客户做的初步评估:–10％的客户年底之前不可能完成审计之前的准备工作，从而一定不会通过审计–40％左右的客户,项目有明显滞后–50％的客户能够在规定的时间内完成准备工作•外部审计师担忧，由于管理层评估工作的延期，他们将没有足够时间完成对公司内部控制的审计普华永道内控体系建设工作座谈会第28页美国公司仍需完成的重要任务•年底前进行更新测试•汇总所有的控制缺陷并评估他们的重要性，包括对缺陷结合之后所产生的总体影响进行测试•由外部审计师审计内部控制•准备管理层对内部控制的报告•与高级管理层及审计委员会对缺陷进行沟通•对外部审计师申明所有的内部控制缺陷已向其披露普华永道内控体系建设工作座谈会第29页美国404项目带给我们的启示•有效的项目管理非常重要•建立认可的详细工作时间表并进行监督工作进展,时间表中包括角色,责任和工作成果•无论对管理层还是对外部审计师来说，必须认识到404条款的工作是一个长期重要的任务•在项目组与外部审计师之间要有清晰、持续的沟通普华永道内控体系建设工作座谈会第30页美国404项目带给我们的启示•总体系统控制的缺陷将可能导致问题的发生•对补偿性控制的评估需要管理层和外部审计师的判断•内控缺陷的评估是个耗时的过程•将控制弱点确认为“重要缺陷(SD)”或“实质性漏洞(MW)”的标准比预期的严格普华永道内控体系建设工作座谈会第31页404项目将要面临的挑战•创造一个能够持续维护的机制–确认对流程与控制进行维护的责任与主管人员–每年管理层都需进行内部控制的评估•302条款与404条款的衔接点–对遵循情况进行监控的过程–在20F中披露内部控制的重大变动•实现有效内部控制所带来的收益专题讨论/答问时间©2004普华永