萨班斯法案内部控制流程

0,萨班斯法案内部控制预备会会议资料,1,COSO(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission，即美国反对虚假财务报告委员会的发起组织委员会)把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。基本概念包括：内部控制是一种过程；内部控制的有效运作受人影响；内部控制只能为企业提供合理保证；及内部控制的设计旨在达成企业之目标。COSO的网址:,内部控制的基本概念,美国反虚假财务报告委员会的发起组织委员会COSO内部控制框架,2,确定与财务报告相关的内部控制,COSO对内部控制的定义：,经营的效果和效率财务报告的可靠性（萨班斯法案关注的内部控制）法律法规的遵循,主要交易是如何启动、记录、处理和反映在财务报告中用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制非经常性、非系统交易或财务估计的内控措施财务报表关账和汇总过程中的内控措施资产保护的控制措施公司层面的控制措施,3,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括：,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制,4,会计认定,存在或发生（ExistenceorOccurrence）完整性（Completeness)权利和责任（RightsandObligations）价值（Valuation）表述和披露（PresentationandDisclosure）,涉及主要交易类型的交易启动、授权、处理以及最终在财务报表中的披露过程中各环节的主要内部控制,业务系统,核心业务流程,网络建造和管理,收入和计费,采购和存货管理,5,计费系统,财务核算系统,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制,财务报告,交易,6,内部控制手册的主要内容,内部控制手册是根据萨班斯-奥克斯利法案404条款的要求和COSO体系的具体规定编写而成。该手册主要包括概述、公司层面的控制、信息技术整体控制以及流程层面控制等四部分。其中，概述部分主要说明编制该手册的基本情况；公司层面的控制部分是根据COSO内部控制框架，从控制环境、风险评估、控制活动、信息和沟通、监控等五个方面记录和评价相关的内部控制；信息技术整体控制和流程层面控制两个部分是按照业务类别，将主要业务流程分类为信息技术整体控制、收入和计费、资本性支出以及固定资产管理等12个主要流程和约40个子流程，并记录和评价相关的内部控制。,7,内部控制记录的基本框架和内容,按照COSO框架确定的与财务报告相关内控记录包括以下部分：,信息技术整体控制内部控制框架资本性支出业务流程收入和计费业务流程存货管理流程营运支出业务流程货币资金管理流程固定资产和无形资产管理业务流程人工成本管理流程会计和财务报告筹资业务流程关联方业务流程法律法规遵循业务流程,返回,8,确定需要评价的内部控制-业务流程举例（收入和计费流程）,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制,9,省公司在推广记录阶段工作步骤图解,项目准备,中国移动内部控制手册,工作小组讨论,与财务报告相关的内控记录框架,XX省内部控制手册,穿行测试资料,确认程序,流程记录,10,在对与财务报告相关的内部控制程序进行记录之前，必须先了解企业的运作，确定主要的业务流程，才有可能记录、了解并测试相应的内部控制。业务流程-企业的某一项业务按其从发生到结束的顺序分解成若干个明显的阶段，然后可以用这些分解的阶段比较详细地描述出此项业务。,以流程描述的方式记录控制活动,11,流程和部门的关系,部门是业务流程的载体，因此确定每一业务流程所涉及的部门十分重要；每一业务流程都由不同部门的活动构成，同时同一部门又可能涉及不同的业务流程；相对于以部门为基本单位，以业务流程为基本单位对内部控制进行记录和描述，可以更好地将内部控制程序与其所希望控制的风险、达到的目标和会计报表认定进行对应,以流程描述的方式记录控制活动（续）,12,流程和部门的关系,计费帐务部门,财务部门,网络部门,计费帐务部门,财务部门,网络部门,目标？风险？会计报表认定？,资本性支出流程,成本费用管理流程,特定的目标、风险和会计报表认定,特定的目标、风险和会计报表认定,按照业务流程按照部门,需求发起部门,工程建设部门,交易结果记录部门,费用支出部门,费用支出部门,费用记录部门,以流程描述的方式记录控制活动（续）,返回,13,流程记录阶段工作方法,记录什么？-财务报告相关内部控制记录的基本框架和内容-确定与财务报告相关的内部控制如何记录？-以流程描述的方式记录控制活动-记录与财务报告相关的内部控制的工作底稿-使用流程记录模版-提炼主要控制点谁记录？-内部控制记录工作的人员组织架构,14,记录与财务报告相关的内部控制的工作底稿,对于每个与财务报告相关的业务流程，均需详细记录以下方面内容：,15,1业务流程范围对业务流程所涵盖的主要业务活动范围的描述，以及业务流程各个环节所涉及的部门的名称。要求：对于流程所涵盖的主要业务活动范围要清晰，对于有可能在两个或多个流程中都有涉及的业务活动要根据重要性原则进行界定，避免遗漏和重复；要使用规范统一的部门名称；,记录与财务报告相关的内部控制的工作底稿（续）,16,存货管理业务流程,所涉及的业务范围存货的采购、入库、保管、出库、退库、清查、处置以及账务处理。存货的范围包括：手机、SIM卡、数据卡、有价卡、话机、备品备件、办公用品、低值易耗品、其他营销用品等。所涉及的部门范围存货管理部门、财务部门、市场部门、采购部门、有价卡管理部门、安全保卫部门,17,2、所涉及的应用系统和重要电子表格本流程所涉及的信息技术应用系统，以及在业务流程中可能会最终影响财务报告的重要电子表格。要求：必须列明信息技术应用系统和电子表格的全称；电子表格仅限于需要手工加工处理计算的电子表格，并且这些电子表格上的数据最终会影响财务会计科目数据或披露,记录与财务报告相关的内部控制的工作底稿（续）,18,存货管理业务流程,应用系统:MIS系统、OA办公系统、智能网系统重要电子表格:盘盈盘亏报表、存货跌价准备计算表,19,3、目标业务流程中与财务报告/防范错误或舞弊相关的目标。要求记录工作主要关注与财务报告/防范错误或舞弊相关的目标，与经营的效率和效果、法律法规遵循相关的目标不必涵盖。意义较为相近的应尽量简化、合并。,记录与财务报告相关的内部控制的工作底稿（续）,20,存货管理业务流程,合理确保存货记录的真实性、准确性、完整性和及时性；合理确保存货实物管理与账务记录之间职责存在适当分离，减少欺诈和舞弊行为的产生；合理确保存货的实物安全。,21,4、风险业务流程中存在的，可能影响财务报告的可靠性以及在防范和找出错误或舞弊方面的风险。要求本项目主要关注财务报告方面和找出错误或舞弊方面的风险，确认风险时，意义较为相近的应尽量简化、合并；风险描述应尽量具体，应对可能给公司造成的潜在损失和不利后果进行准确描述。,记录与财务报告相关的内部控制的工作底稿（续）,22,存货管理业务流程,1存货账务记录可能不及时或不准确，造成存货价值不准确；2可能因缺少适当的职责分离，引致存货损失；3资产保管不当或记录混乱，造成资产账实不符；4存货实物保管可能未能良好监控，可能导致资产损失；5积压或过期存货可能不能及时发现并采取适当行动进行处理。,23,5、相关会计科目记录业务流程过程中涉及的会计科目。应从业务流程范围包括的业务活动出发，判断所有交易信息通过什么会计科目反映在财务报告上。纳入评价范围的业务流程将涵盖会计报表中所有重大会计科目和信息披露。,记录与财务报告相关的内部控制的工作底稿（续）,24,存货管理业务流程,银行存款、存货、应付账款、其它应收款、其他营运支出、其它收入、其它支出、营业外收入、营业外支出,25,6、流程描述将业务流程根据交易从发生到结束的顺序，对主要交易是如何启动、记录、处理和反映在财务报告的流程和程序进行记录。要求描述流程步骤时应始终从目标和风险的角度出发，尽量不涉及与流程目标和对风险进行控制无关的步骤。,记录与财务报告相关的内部控制的工作底稿（续）,26,流程举例,27,7、关键控制点关键控制点的设计和执行情况是决定内部控制有效性的关键因素之一。关键控制点是指在风险评估的基础上，经过具体分析比较各内部控制活动在实现其控制目标有效性的能力，确定的内部控制活动。仅仅执行这些关键内部控制活动而不执行其他内部控制活动或忽略控制环境、风险评估、信息与沟通和监控等其他控制元素的影响将不能够保证财务报告可靠性和相关披露准确性、完整性。但这些关键控制点在全部内部控制活动中的重中之重的地位，能够更有效地确保财务报告可靠性和相关披露准确性、完整性。,记录与财务报告相关的内部控制的工作底稿（续）,返回,28,使用流程记录模版,返回,流程记录模版,省公司内部控制手册编写说明,29,提炼主要控制点,与财务报告相关内部控制的主要类型,记录与财务报告相关内部控制的七个要素,30,授权及批准核对系统设置关键绩效指标异常情况报告和预警报告配置帐项映射控制系统系统访问权限管理层审阅职责分工,提炼主要控制点,与财务报告相关的内部控制的主要类型,31,提炼主要控制点,与财务报告相关的内部控制的主要类型（续）,32,提炼主要控制点,与财务报告相关的内部控制的主要类型（续）,33,提炼主要控制点,记录与财务报告相关的内部控制的七个要素,r,34,记录与财务报告相关的内部控制的七个要素（续）,控制点：财务部定期进行盘点。,a,提炼主要控制点,注：盘点报告报管理层审批需要单独作为一个控制点描述。,返回,35,穿行测试是一种常见的对内部控制程序的测试、评估方法。穿行测试的目的在于：,穿行测试工作,穿行测试的目的,确认流程是否与记录相符；确认流程中与财务报告相关的内部控制的设计是否与记录相符，包括与发现或防止舞弊相关的控制；通过确定是否流程中可能出现的与每个财务报告认定相关的错报的风险点均被识别，来确认对于流程的记录是否完整；评价内部控制设计的有效性；确认相关内部控制程序是否已经被实施,需要注意的是，穿行测试并不能保证内部控制在被调研单位被有效、一贯的得到执行，这需要对被查单位进行符合性测试来确定,36,穿行测试的具体操作是选取调研单位最近年度