企业风险管理服务.pdf

1 企业风险管理服务 J SOX 时事通讯 内部控制的缺陷及改善 关于 J SOX 的最近动向 2007 年 10 月由日本注册会计师协 会公布的 对财务报告的内部控制的审计相关的实务上的使 用 通称 实务指南 作为内部控制审计具体指南被最 终定稿 此外 金融厅公布了 内部控制报告书制度 Q A 通称 Q A 至此 J SOX 相关法规等均已出台 同 时 各会计师事务所内也开始发布内部控制审计手册 今后 日本母公司的外部审计师将按照该手册向海外子公司的审计 师发布指引 审计指示 大多数上市公司都已正式开始了法案的对应工作 本次我们 讨论的是与对财务报告相关内部控制的 文件化 评 价 同样重要的 改善 纠正 对于 文件化 和 评价 一旦确定了范围 实施方法和 担当者 即可按部就班的处理 然而 改善 工作的特点 是 各个缺陷存在着问题的大小以及性质的差异 改进的方 法也需要考虑到种种因素 此外 可能对多个部门存在影 响 或需要花费大笔费用和时间 不能一概而论的预测工作 量和期限 文件化 和 评价 是针对公司现状实施的步骤 与之相 对的 改善 则堪称改变现状的步骤 实质性漏洞 的定义 实质性漏洞 的定义 如内部控制缺陷中存在尤其重要的 实质性漏洞实质性漏洞 的话 必 须在内部控制报告书中记载 财务报告相关内部控制无效 及实质性漏洞内容和未作改善的理由 实质性漏洞在实施标准中的定义为 内部控制的缺陷中 导 致多记一定金额的虚假记载或性质上重要的虚假记载 金额 的 性质的重要性 可能性较高的情况 发生可能性 同时 金额的重要性例如 合并税前利润的 5 合并税前利润的 5 性质的 重要性是 根据对投资判断施加影响的程度和对财务报告可 信赖性影响的程度作出判断 2008年 4月 文件化文件化评价评价 改善改善 实质性漏洞实质性漏洞实质性漏洞实质性漏洞 金额与性质的重要性 发生可能性 金额与性质的重要性 发生可能性 财务报告风险财务报告风险 2 针对改善的考量 针对改善的考量 由上所述 成为 实质性漏洞实质性漏洞 一定是相当程度上内部控 制的缺陷 不过 即使单独看来不是很重要的缺陷 许多时 候也不能置之不理 内部控制上的缺陷 有可能是单独或者多个缺陷合并多个缺陷合并 成为实质性漏洞 多个子公司或部门间 如果存在对于同一个重要 的会计科目产生影响的缺陷 理论上有必要进 行合并计算 金额的重要性例如税前利润的 5 即使是利润较少的时候 也希望有足够的内部控 制 即使没有实质性的漏洞 对认识到内部控制的缺陷 而置之不理 如果实际中发生什么问题 也有可能对 管理层问责 财务报告风险程度较高的问题点是当然的 对于财务报告 风险程度为中 低的问题点 如果在公司管理上发生了 且 符合成本效益 则应该积极地探讨如何改善 成为实质性漏洞的公司层面的内部控制缺陷举例成为实质性漏洞的公司层面的内部控制缺陷举例 这里 让我们来看一下在实施标准中列示的 成为内部控制 的实质性漏洞的公司层面的内部控制缺陷 的例子 a 管理层不实施财务报告可靠性相关风险的评价和应对 b 董事会 内审负责人或者审计委员会对于为了财务报告 的可靠性而设计及执行的内部控制不监督 不监管 不 验证 c 关于财务报告内部控制有效性评价责任部署不明确 d 关于财务报告中与 IT 相关的内部控制存在缺陷 但不对 此做改善 置之不理 e 有关业务流程的记述 虚假计入风险的识别 对应风险内 部控制记录等 内部控制设计状况记录欠缺 董事会 内审负责人或者审计委员会无法对与财务报告相关的内 部控制有效性的监督 监管 验证 f 向管理层 董事会 内审负责人或者审计委员会报告的公 司层面内部控制的缺陷不在合理的期间内改善 首先 请注意上述的 b 和 e 不实施内部控制评价 指的 是 需要考虑到包括重要子公司的 文件化 评价 工 作来不及完成 在美国 SOX 的第一年 披露这种实质性漏洞 的企业也是存在的 其次 在 d 和 f 中 对应于已被识别的缺陷不能改善本身 也可能存在实质性漏洞 虽然 d 与 IT 相关 e 言及了公司层 面的内部控制 但是该考量方法本身对于其他领域也是适用 的 常见的棘手缺陷举例常见的棘手缺陷举例 可以看到许多海外子公司 虽然对应 J SOX 法案的重要性程 度很高 但存在一些须花费费用和时间来改善的缺陷 即改 善最为困难的缺陷的例子 尤其是决算及财务报告流程 IT 整体控制中 常见职责分工 系统功能 规章制度等须花费 费用和时间的问题点 公司层面的内部控制虽然依据母公司 的方针 但因与公司应有的状态相关 存在诸多相应的疑难 问题 决算制度 集团会计手册 决算核对清单 会计 财务 相关主要人员的职务记述书 决算处理不是由专人进 行 必要能够显示成为了 制度 同时 还可能被问 及是否形成了相关制度 以对应与 J SOX 同一时期适用 的 与统一海外 日本以外 子公司的会计准则有关的 企业会计标准委员会报告 与决算相关的批准的痕迹 从决算分录开始 会计方针 及处理的决定 重要的判断和估计 决算日程安排 会 计规定及手册的修改 偏离规定 手册范围的处理 最 后报告文件包等必要得到适当的管理者的批准并留有痕 迹 不适当的授予访问权限 将重要的系统功能的实施权 限授予职务不相关的人员或职责分工不适当的担当者的 情况非常常见 与重要信息系统相关的应用环境和开发担当者的职务分 离 虽然缺少 IT 人员的地方有些困难 但原则上开发 人员不应有应用环境的权限 能够编写程序的人员更 需严禁 内部审计职能 除 J SOX 的管理层评价希望能保持独立 性以外 作为公司层面的内部控制要求设置明确的内部 审计职能 内部通报制度 在亚洲由于存在文化的背景 难以适应 的内部通报制度也是必要的事项之一 财务报告风险 改善 纠正成本 财务报告风险 改善 纠正成本 3 Risk Approach 与缺陷 Risk Approach 与缺陷 J SOX 的标准 实施标准采用的是 Risk ApproachRisk Approach 注明 如何降低假定的财务报告风险非常重要 通常 能够充分降低假定的财务报告风险财务报告风险的单个或者多个控 制 关键控制关键控制 控制上的要点 并在 RCM 风险控制矩 阵 上记载 以 Risk Approach 的方法编制 RCM 时应注意 即使不选定重 要的 可能存在缺陷 控制 而从存在的控制中选出似乎能 够减低风险的控制 也能够形成表面上充分的 RCM 例如 如果销售计入和采购计入是真实的 也许出库 和入库也是真实的 那如果 现场盘点 没有在哪里被 作为关键控制就很不自然了 对于缺陷与改善需要考虑的是 对于公司重要的控制是什 么 它是否被充分地完善 导入这样 Control Approach 的 观点也是必要的 改善期限改善期限 子公司的改善期限基本上是合并到母公司合并决算的 决算期末 例如将子公司 12 月份决算的数值合并到母 公司 3 月的决算 但在 J SOX 标准中 期末日之 前如果得到纠正 就可以认定财务报告相关内部控制 有效 因此也可以认为子公司单体即使发现了成为 实质性漏洞的缺陷 只要在母公司的期末日之前作出 了改善 纠正 管理层就可以出具内部控制有效的评 价结论 最终必须请母公司 母公司外部审计师确 认 此外 关于已改善 纠正的内部控制 即有在期末日 之前必须要有执行状况评价的时间的考量方法 又有 不需要 如果对期末以后的执行状况评价为有效 在 期末日时间点可以作出已进行了适当的改善的判断 尤其是决算财务报告流程 的考量方法 专栏 专栏 改善 与 纠正 改善 与 纠正 在 J SOX 的标准 实施标准中 对于内部控制缺陷的对应 虽然常用 纠正 一词 但 改善 也会被用及 总的来说两者有以下语感上的差异 对于内部控制的设计 健全状况如产生问题 就有必要改变业务本身 这就是 改 善 的意思 对于执行状况的缺陷 因为是没有遵循规则的 错误 所以今后贯彻始终就行了 这就是 纠正 专栏 专栏 设计 健全 实施 执行 情况 设计 健全 实施 执行 情况 内部控制的情况用 设计 健全 实施 执行 来表 示 实际上这些用词的界限有时也较模糊 例如 对于每天发生数次的内部控制 需抽取 25 个样本 如果 25 个全部出现错误 则不是执行情况的缺陷 而是这 样的内部控制不存在 这应该是设计 健全上的问题 也可以说虽然管理者意图该建立该内部控制 但实际上至今 仍未 实施 然而如果仅仅是有 意图 就认为该内控 已设计 健全了 那么这种说法是奇怪的 相反 25 个样本中只有一件发生错误 那么如果有这一个 样本有无法遵循规定的情况存在 有时则应该针对这样的情 况 重新审视规定 注 本文内容仅供一般参考 对于各类具体问题 建议读者咨询专业人 士意见 本文不能替代专业人士建议 本文的写作经过了精心的准备 但是对于因疏忽或其它原因造成的 错误 或者是因依赖本文内容而产生的损失 Deloitte Touche Tohmatsu 各地的事务所 合伙人 员工将不承担负责 控制 A 控制 B 风险1 风险2 风险3控制 C Risk Risk A Approach pproach Control ApproachControl Approach 07 12E08 12E 08 3E09 3E09 6E 内部控制报告提交期限内部控制报告提交期限内部控制报告提交期限内部控制报告提交期限 适用于第一个财年的期末日适用于第一个财年的期末日适用于第一个财年的期末日 适用于第一个财年的期末日 海外子公司海外子公司海外子公司海外子公司 月决算 月决算 母公司母公司母公司母公司 3 3月决算月决算 4 德勤中国的服务体系德勤中国的服务体系 德勤中国为了完善 J SOX 相关的服务 在主要的城市配备了 内部控制领域的专家 同时为满足日本企业的各种需要 设 置了日本企业服务小组 就与 J SOX 相关的以下服务 我们可向贵公司提供日语和汉 语双语服务 从日常咨询 到实际的项目中提供专业的建 议 从各个方面提供支持 注 J SOX 应对服务项目应对服务项目 项目的发起和计划制定项目的发起和计划制定 对海外子公司提供现场项目的发起服务 以便进行事前 调查和文件化的实践 提供有关 J SOX 法案的培训和教育从而促使海外子公司 有效的使用其人才 协助制定促进母公司和子公司之间沟通的方案 以便有 效地管理项目进度 协助公司调整其他既存项目 例如 质量改善 业务流 程改善等 以便更有效地利用内部专家及资源 内部控制的文件化内部控制的文件化 控制目标的识别及文件化支持 通过与流程负责人一同开展学习研讨会 调查 访谈 把握公司现在的业务流程 相关的风险及内部控制并协 助将其文件化 帮助公司建立自用的数据库或电子数据表来记录公司业 务流程 潜在内部控制缺陷以及管理者的对策以及事后 跟踪计划 内部控制评估内部控制评估 帮助公司设计对内部控制有效性评估的方法 帮助公司在对比内部控制框架的基础上测试控制活动以 发现并确认潜在的控制缺陷 帮助公司追加替代流程 控制的筹划选择和导入来修正 改善内部控制的缺陷 内部控制审计内部控制审计 内部控制审计的预备审计 演练 内部控制审计 注 因各国法规或其他的原因 有些服务我们将无法提供 望请谅解 德勤中国J SOX专家组联系方式 香港香港 内村 治 常务董事 日本企业服务小组 852 2852 1093 ouchimura hk Danny Lau 合伙人 企业风险管理服务部 852 2852 1015 danlau hk 林 和彦 总监 日本企业服务小组 852 2852 6545 kazhayashi hk 松山 明宏 高级经理 企业风险管理服务部 852 2852 1287 amatsuyama hk 北京北京 三浦 智志 合伙人 日本企业服务小组 86 10 8520 7310 smiura 上村 哲也 经理 日本企业服务小组 86 10 8520 7314 tuemura Chris Ong 合伙人 企业风险管理服务部 86 10 8520 7118 cong Tonny Xue 合伙人 企业风险管理服务部 86 10 8520 7315 tonxue 天津天津 平野 昭则 高级经理 日本企业服务小组 86 22 2320 6820 ahirano 上海上海 小野 敏幸 合伙人 日本企业服务小组 86 21 6141 1002 toono 原井 武志 合伙人 日本企业服务小组 86 21 6141 1707 takeharai David Yau 合伙人 企业风险管理服务部 86 21 6141 1558 dyau Marco Liu 合伙人 企业风险管理服务部 86 21 6141 1598 marcoliu 原 国太郎 高级经理 企业风险管理服务部 86 21 6141 1536 kunhara 广州广州 中谷 政行 合伙人 日本企业服务小组 86 20 8393 6339 ext 1050 manakatani 深圳深圳 佐藤 正贵 经理 日本企业服务小组 86 755 8246 3255