梁晟耀COSOX解读

C-SOXSeries©CopyrightCosox2010月深圳中国梁晟耀/TerenceLiangterence@cosox.cn©CopyrightCosox2010C-SOX深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23目录自我介绍C-SOX解读C-SOX配套指引解读C-SOX合规策略与实务分享怎么看待中国内控©CopyrightCosox2010C-SOX自我介绍网站：【Cosox】专著：《企业内部控制基本规范》合规实务指南（电子工业出版社2010年5月）理念：开放分享共赢愿景：推动中国企业内控发展(大家一起努力!）深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX目录自我介绍C-SOX解读C-SOX配套指引解读C-SOX合规策略与实务分享怎么看待中国内控深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX？2006年6月5日，上交所发布《上海证券交易所上市公司内部控制指引》2006年7月15日，财政部发起成立“企业内部控制标准委员会”2006年9月28日，深交所发布《深圳证券交易所上市公司内部控制指引》2007年3月2日，企业内部控制标准委员会颁布《企业内控规范—基本规范》和17项具体规范（征求意见稿）2008年6月28日，财政部、证监会、审计署、银监会、保监会等五部委联合发布了《企业内部控制基本规范》。标志中国版萨班斯(C-SOX)正式亮相，自此中国有了自己统一的内部控制标准。深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX简介—框架内控规范基本借鉴了美国COSO框架，即以1992年COSO《内部控制—整合框架》五要素为框架，同时在内容上体现了2004年COSO《企业风险管理—整合框架》8要素框架的实质。从目标上看，内控规范（第3条）融合了1992年COSO《内部控制—整合框架》和2004年COSO《企业风险管理—整合框架》的目标：发展战略；经营效率和效果；财务报告及相关信息真实完整；资产安全；经营管理合法合规。演进深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX简介—结构内控规范共分为七章50条第一章：定义基本规范的适用范围，提出了管理层年度评估内部控制的要求；第二至六章：叙述企业内部控制需要考虑的原则与相关管理要素，包括：内部环境、风险评估、控制活动、信息与沟通和内部监督；第七章：规定基本规范开始实施的日期，指明了规范的配套办法将由相关部门另行制定。附则：配套指引及实施时间总则（一）内部环境内部控制遵循原则：全面性、重要性、制衡性、适应性、成本效益制定相关政策设置内部机构明确职责权限（二）风险评估（三）控制活动（四）信息与沟通（五）内部监督确定风险承受度识别企业内部、外部风险进行风险分析制定风险应对策略不相容职责分离控制授权审批控制会计系统控制财产保护控制预算控制运营分析控制绩效考评控制建立信息与沟通制度提高信息有用性加强信息沟通渠道发挥信息技术作用建立反舞弊机制日常监督专项监督内控缺陷的识别和整改内控评价报告深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX？2008年6月28日，财政部、审计署、证监会、银监会、保监会联合颁布了内控规范，但正式官方文件于2008年5月22日以通知形式下发“关于印发内控规范的通知”财会[2008]7号（以下简称《通知》）。理解内控规范时不能仅仅看内控规范本身，亦需考虑《通知》中的相关要求。《通知》要求自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。不强制要求独立审计审计师的资质：具有证券、期货业务资格的会计师事务所深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX——通知9深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX特色内控规范包含了全部控制要素，没有如萨班斯仅仅局限于财务报告相关的内部控制（Internalcontroloverfinancialreporting,ICFR），其范围更为广泛，因此与萨班斯法案等内部控制法规不尽相同。内控规范第8条要求企业建立内部控制实施的激励约束机制，将各责任单位和全体员工实施内部控制的情况纳入绩效考评体系，促进内部控制的有效实施。独立性要求：提供内部控制咨询服务的公司不能同时提供内部控制审计服务（内控规范第12条）深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX目录自我介绍C-SOX解读C-SOX配套指引解读C-SOX合规策略与实务分享怎么看待中国内控深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX配套指引进展（2008）2008年7月4日，官方发布了“关于征求《企业内部控制评价指引》、《企业内部控制应用指引》和《企业内部控制鉴证指引》意见的通知”。《企业内部控制评价指引》：由财政部制定，用于指导企业管理层对内部控制有效性进行年度评价，包括内部控制评价的程序和方法、缺陷认定和评价报告。《企业内部控制应用指引》：由财政部制定，用于指导企业管理层实施内部控制。该指引设置了22个独立文件，覆盖的领域包括：资金、采购、存货、销售、工程项目、固定资产、无形资产、长期股权投资、筹资、预算、成本费用、担保、合同协议、对子公司的控制、财务报告编制与披露、人力资源政策、IT一般控制、衍生工具、企业并购、关联交易、业务外包和内部审计。《企业内部控制鉴证指引》：由中国注册会计师协会（CICPA）制定，用于指导接受企业委托从事内部控制审计的会计师事务所，从事企业内部控制有效性鉴证业务。目前指引将范围限定在有关财务报告相关的内部控制，小于《基本规范》中规定的内部控制范围。深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX配套指引进展（2009）根据官方公布的消息，2009相关配套指引进展情况如下：《企业内部控制评价指引》2009年1月14日，修改了《企业内部控制评价指引》。《企业内部控制应用指引》2008年12月31日，新增了组织架构、发展战略、人力资源、企业文化和社会责任等5个项目；2009年1月8日，调整修改了资金、采购、资产、销售、研发等5个应用指引；2009年1月14日，调整修改了工程项目、全面预算、合同、内部报告、信息系统等5个应用指引。《企业内部控制鉴证指引》没有关于这个指引的修订信息。深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX配套指引进展（2010）财政部、证监会、审计署、银监会和保监会五部委于2010年4月26日在北京召开了新闻发布会，正式发布了《企业内部控制配套指引》。配套指引由如下三个自成体系，又相互依托的子系统组成：《企业内部控制应用指引》：共计21项已经发布的18项：（1）组织架构、（2）发展战略、（3）人力资源、（4）社会责任、（5）企业文化、（6）资金活动、（7）采购业务、（8）资产管理、（9）销售业务、（10）研究与开发、（11）工程项目、（12）担保业务、（13）业务外包、（14）财务报告、（15）全面预算、（16）合同管理、（17）内部信息传递和（18）信息系统尚未发布的3项：银行业务、证券业务和保险业务（有发布这三项应用指引的征求意见稿）深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX配套指引进展（2010）《企业内部控制评价指引》管理层对内部控制的有效性进行自我评价，披露年度自我评价报告的标准《企业内部控制审计指引》会计师事务所对上市公司财务报告内部控制的有效性进行审计的标准对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露，但这不影响对财务报告内部控制有效性发表的审计意见没有“保留意见”类型15深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX用友内控配套指引——通知16深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX配套指引发展演变（2007—2010）•货币资金•担保•资金•合同协议•组织架构•担保业务•采购与付款•财务会计报告编制•采购•对子公司的控制•发展战略•业务外包•存货•信息披露•存货•人力资源政策•人力资源•财务报告•对外投资•预算•销售•信息系统一般控制•企业文化•全面预算•工程项目•合同•工程项目•财务报告编制与披露•社会责任•合同管理•固定资产•对子公司的控制•固定资产•无形资产•资金活动•内部信息传递•销售与收款•人力资源政策•长期股权投资•衍生工具•采购业务•信息系统•筹资•计算机信息系统•筹资•企业并购•资产管理•银行业务（尚未发布）•成本费用•预算•关联交易•销售业务•保险业务（尚未发布）•成本费用•内部审计•研究与开发•证券业务（尚未发布）•担保•业务外包•工程项目-《企业内部控制鉴证指引》（征求意见稿）《企业内部控制审计指引》《企业内部控制具体规范》（2007年征求意见稿）17项《企业内部控制应用指引》（2008年征求意见稿）22项《企业内部控制应用指引》（最新修订稿意见稿）18项2007年2008年2010年-《企业内部控制评价指引》（征求意见稿）《企业内部控制评价指引》深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX中国内部控制法规/标准体系企业内部控制基本规范企业内部控制应用指引企业内部控制评价指引企业内部控制审计指引适用于监管机构、企业、咨询顾问等适用于外部审计师适用于企业控制标准评价标准基本法配套指引深圳市晟华企业风险管理技术有限公司【Cosox】|2010/7/23©CopyrightCosox2010C-SOX