COSO-框架与SOXPPT课件

COSO框架与SOX 主要内容 COSO框架SOX法案PCAOB审计准则全球内控法案趋势国内内控法案的发展后萨班斯时代公司治理的发展趋势将合规工作由成本负担转化为竞争优势SOX法案下的信息技术风险及控制常见疑问 COSO框架 什么是COSO框架 COSO TheCommitteeofSponsoringOrganizationsofTheNationalCommissionofFraudulentFinancialReporting全国虚假财务报告委员会下属的发起人委员会目的 COSO内部控制框架是美国证券交易委员会 SEC 唯一推荐使用的内部控制框架 同时 萨班斯 奥克斯利法案 第404条款的 最终细则 也明确表明COSO内部控制框架可以作为评估企业内部控制的标准 作为纽约证交所上市的公司 需要按照法案要求 引进COSO内部控制框架 整合现有内部控制 满足法案的要求 什么是内部控制 内部控制被定义 在COSO与美国审计准则 AU319 为一种程序 由一个实体的董事会 管理层和其他员工来实现 并且为了提供实现下列目标的合理保证而设计 运作的效力和效率财务报告可靠性适用法律规章的遵循情况企业战略 COSO2 COSO定义了为实现上述目标所需要存在和综合的五个内部控制组成部分 COSO2在此基础上增加了三个内部控制组成部分 所有五大元素必须同时发挥作用 才能让内部控制有效地运作 控制活动确保落实管理层的政策 流程措施包括审批 授权 确认 建议 业绩考核 资产保全和权限分离 监控评估内部控制系统整合及时独立的评估管理层和监控机构的工作内部审计 信息和沟通定期获取 确定并交流相关的信息评审内部和外部获取的信息信息流 职责指导 管理层的总结 成功的措施 控制环境管理哲学和经营风格因素包括正直 道德价值 能力 权威和责任董事会和审计委员会人力资源政策和实务是其它内部控制组成部分的基础 风险评估风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作 COSO内部控制框架 COSO2新框架 企业风险评估 在COSO的基础上 COSO2新框架增加了以下内容控制目标纬度企业战略控制元素控制目标设定风险事件确认风险处理方式 SOX法案 什么是SOX SOX Sarbanes OxleyAct 简称SOX 或萨班斯 奥克斯利法案SOX法案要求组织机构使用文档化的财务政策和流程来改善可审计性 并更快地拿出财务报告 要求企业针对产生财务交易的所有作业流程 都做到能见度 透明度 控制 通讯 风险管理和诈欺防治 且这些流程必须详加记录到可追查交易源头的地步 SOX法案不仅适用美国的所有在市场上进行公开交易的公司 还适用于在美国证券交易所登记的非美国公司 凡在美国上市的公司都要受此法案约束 管理层声明 302条款 管理层关于内部控制的报告 404条款 重点领域 关键条款 审计委员会的标准 禁止向董事和官员贷款 加强对内部交易的报告 向财务官员颁布行为准则 上市公司会计监管委员会 PCAOB 对故意发表不实声明的刑事处罚 906条款 审计委员会事先批准所有审计师提供的服务 禁止审计师提供某些服务 5年强制轮换审计主管合伙人 保护举报人 第302条款和第404条款强调通过内部控制加强公司治理 第906条款强调刑事处罚 管理当局报告 董事会治理 管理层和董事会行为 强制执行与惩罚 审计师的独立性 萨班斯 奥克斯利法案 的内容 萨班斯 奥克斯利法案 萨班斯 奥克斯利法案 第404条的文件内容 管理层为公司建立和维持足够的与财务报告相关的内部控制的责任陈述管理层为评估公司与财务报告相关的内部控制的有效性而采用的评估架构陈述管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价陈述外部审计师已发出对 管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价 的审计意见 萨班斯 奥克斯利法案 第404条 另外 第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计 并出具审计意见 萨班斯 奥克斯利法案 第404条 第404条 管理层对内部控制的评价 管理层需为公司建立和维持足够的与财务报告相关的内部控制每年报告管理层建立和维持足够的与财务报告相关的内部控制的责任评估公司与财务报告相关的内部控制的有效性 IT需要对Sarbanes Oxley第302项和第404项的规定做出相应的行动 IT需要参与并在开发流程和应用技术中起到带头作用 IT扮演了什么角色 基础设施外围网络 内部网络 系统访问限制 IT总体环境控制安全 前端管理 行政 系统级政策 运作 批处理 备份 恢复 运行监控等等 应用控制应用与数据库可配置控制 工资计算 折旧 存货成本等等 完整性 精确性 有效性 访问限制与责权分离 IT总体环境控制已有应用维护与业务结合以确保控制在整个机构有效运行COSO整合与遵循流程 技术和控制的文档记录帮助确认内控有效性新应用确保精确性 完整性 交易有效性以及应用受相应限制的控制 PCAOB审计准则 上市公司会计监管委员会第2号审计准则 萨班斯 奥克斯利法案 第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评价 萨班斯 奥克斯利法案 第404条与上市公司会计监管委员会第2号审计准则 上市公司会计监管委员会PCAOB配合第404条要求颁布第2号审计准则 以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求 必须承担与公司财务报告相关的内部控制有效性的责任采用适当的内控框架 例如COSO 国际认可的内部控制框架 评价公司与财务报告相关的内部控制系统的有效性以充分的凭证 包括档案文件 支持评价结果针对公司最近年度财务报告的内部控制有效性提交书面声明 上市公司会计监管委员会第2号审计准则 对管理层的要求 上市公司会计监管委员会第5号审计准则 2007年7月取代原有的第2号审计准则 为独立审计师减少解释性细节的程度 鼓励独立审计师使用专业判断 更强调评估舞弊风险的显著重要性 包括管理层越权 以及反舞弊控制 解释了各类公司整体层面控制对选择及测试其他控制的影响 要求独立审计师满足恰当的穿行测试目标 而不是对所有情况都进行穿行测试 为小规模企业审计提供了指引 遵循以原则为基础的方式来决定独立审计师在什么时候以及什么程度上利用第三方的工作 第5号和第2号审计准则的主要区别 根据上市公司会计监管委员会第2号审计准则的要求 对与财务报告相关的内部控制进行独立审计 并正式出具一份审计师404审计报告 当中包括两个评价意见 评价意见 1 对管理层评价结论的意见 评价意见 2 对公司与财务报告相关内部控制有效性的独立意见 上市公司会计监管委员会第2号审计准则 对外部审计师的要求 与公司必要的沟通以书面向审计委员会报告已发现的所有内部控制显著缺陷和重大漏洞必须在公布审计报告前进行沟通通知管理层已发现的所有与财务报告相关的内控缺陷并通知审计委员会已与管理层对内控缺陷作出沟通 萨班斯 奥克斯利法案 第404条不仅要求公司财务报表没有重大错报 significantmisstatement 还要把这种可能性降至最低的水平 而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或不表示意见 对外部审计师的要求 上市公司会计监管委员会第2号审计准则 上市公司会计监管委员会第5号审计准则 2007年7月取代原有的第2号审计准则 审计准则 36 审计准则 27 作为对年度财务报表评估流程的一部分 审计人员需评估信息技术在年度财务报表出具过程中的使用程度 审计人员同样需要理解信息技术是如何影响公司的业务流程 AUsec 319讨论了信息技术对内部控制的影响和需评估的风险 审计准则 37 在执行穿行测试的过程中 审计人员将使用与公司员工相同的文档和信息技术来追踪一条交易 从其起源 经过整个业务流程 包括信息系统 直到其反应在了公司的财务记录中 穿行测试步骤通常包括一系列的询问 观察 相关文档审阅 以及控制点的重新执行 审计准则 47 审计准则 41 是否将一个控制纳入审计范围进行测试将取决于这个控制或和其它控制的结合是否足以覆盖某相关流程控制失效所导致的风险 而不是取决于此控制的性质 如公司层面控制 流程层面控制 控制行为 监控控制 预防性控制或发现性控制等 影响控制有效施行的风险的因素包括 此控制的施行依赖于个人或是自动控制 在进行信息技术审计时 审计师可能关注于管理层为实现其控制目标所依赖的 对应用控制有效运行有重要影响的应用控制和信息技术一般性控制 审计准则 68 在决定某控制缺陷或某些控制缺陷是否有重大影响时 审计人员需评估补偿性控制是否有效 审计准则附录A8 与财务报表有关的内部控制可以分为预防性控制和发现性控制 对于财务报表而言 有效的内部控制常常包括预防性控制和发现性控制的结合 审计师出具保留意见或不表示意见的成因和影响 成因一 管理层对内部控制评审的支持凭证不足 例如 1 没有确定评审范围的充分依据和记录 2 缺少测试主要内控措施的档案文件 成因二 外部审计师发现一个 多个重大内控漏洞 例如 1 需要作出审计调整 2 没有足够的信息系统控制 保留意见审计报告或审计师不表示意见 管理层对内部控制的评价和外部审计师的意见 全球内控法案趋势 内部控制相关法规及指南的发展 全球内控法案趋势 继美国颁布萨班斯 奥克斯利法案 SOX 之后 全球掀起了内控法案的风潮 日本金融厅企业会计审议会于2006年2月颁布了 关于财务报告相关内部控制制度的管理层评估及审计准则 以及 财务报告相关内部控制的管理层评估及审计实施标准 称为 日本版萨班斯 奥克斯利法案 或J SOX 欧盟正在实施的 提高法定审计质量的重点议程 PrioritiesforImprovingtheQualityofStatutoryAudits 及 经济合作与发展组织公司治理原则 OrganizationforEconomicCooperationandDevelopment sPrinciplesofCorporateGovernance 中均强调了企业治理及内控的重要性 国内内控法案 国内内控法案的发展 沪深两市均发布了上市公司内部控制指引 要求上市公司对本公司的内部控制状况定期进行披露 证监会2007年9月下发了 上市公司监督管理条例 征求意见稿 有望很快正式颁布 2007年12月深圳证券交易所发布了 中小企业板上市公司内部审计工作指引 2008年6月28日财政部联合证监会 审计署 银监会以及保监会五部委发布了 企业内部控制基本规范 企业内部控制基本规范 中国版萨班斯 奥克斯利法案国内最权威的内部控制技术标准及明确的实施要求适用于中华人民共和国境内的大型企业 上市公司和其他涉及重大公众利益的企业中小企业和其他有关单位可以作为参照建立健全本单位的内部控制 企业内部控制基本规范 五大基本要素 内部环境风险评估控制措施信息与沟通监督检查 企业内部控制基本规范 七大原则 合法性原则全面性原则重要性原则有效性原则制衡性原则适应性原则成本效益原则 后萨班斯时代公司治理的发展趋势 遵循 萨班斯 奥克斯利法案 第404条对上市公司的裨益 企业的工作重心要由现阶段的短期目标向长期持续生命周期转变 以实现企业的价值 企业第一年符合 萨班斯 奥克斯利法案 第404条的要求实现目标并不意味着以后的各年仍然符合要求 展望未来的控制 萨班斯 奥克斯利法案 第404条及相关法规要求企业内部存在适当且有效的控制 对 萨班斯 奥克斯利法案 第404条的遵循应成为一项日常的流程 遵循 萨班斯 奥克斯利法案 第404条对上市公司的裨益 续 信息系统 IT 治理的概念 关注点 战略及规划 组织架构 政策 和内部流程 公司治理 IT治理 公司业务 信息系统 IT治理的意义 控制风险 合规 绩效评估 和提升价值 信息系统治理的定义 信息系统治理是公司治理的一个有机组成部分 它包含领导力 组织结构和流程等制度和机制 其确保信息系统维续和扩展组织的战略和目标 国际信息系统审计与控制联合会 ISACA 信息系统治理与IT审计 评估IT内部控制 评估IT运作和管理状况 内审部参与度 公司治理的定义 公司治理是被管理人员 投资者 会计 董事会广泛使用的一个概念 狭义的公司治理是指 公司股东直接或间接 通过董事会 对公司管理层进行监督和评价其表现行为 广义的公司治理则包括了公司的整个内部控制系统 它通过自上而下地分配和行使责权 监督 评价和激励董事会 管理层以及员工实现公司目标 以保障包括股东在内的利益关系人的权益 公司治理的实质是确保经营者的行为符合利益相关者的利益 公司治理四大 基石 关键要素 董事会 确保有效的内部控制系统 确定并监控经营风险和绩效指标 高级管理层 实施风险管理和内部控制 日常计划 组织安排 外部审计师 应保持独立性 审计与咨询业务分开 审计委员会 内部审计师 增强报告关系上的独立性 公司治理发展趋势 重视投资者利益 尊重股东价值 重新构建激励约束机制 全球各国公司治理模式趋同化 理想的公司治理架构 业务及策略风险管理第一防线 每个业务单位均有其管理和内部控制职能 在业务的最前线建立程序减低风险 如授权审批程序 董事会 业务一 业务二 财务 支持功能 内部审计 审计委员会 第三防线 成员一般包括执行董事 高级管理人员 成员一般包括非执行董事 企业各职能部门 如会计及财务等 风险管理第二防线风险管理功能 成立专责委员会监控有关业务的整体情况 建立高层管理控制程序减低风险 如定期审阅有关部门的业务报告第三防线内部审计 对于企业已建立的控制程序 审计委员会辖下的内审部门会进行独立监控 测试其设计及运作的有效性 理想的公司治理架构是由以下三道防线组成的 将合规工作由成本负担转化为竞争优势 合规工作不只是一次性工作 在合规工作的时代 在合规工作的时代 企业面临特有的机会 可借助合规工作立可持续的和增值的控制措和流程 从而取得竞争优建施势 截至目前为止 只有为数不多的企业能这样正面地利用这个机会 而那些认识到可将合规工作作为获得竟争优势的一个改革驱动力的公司 已经开始获得稗益 发现提升价值的机会 很多企业现未能利用合规工作而获取稗益 更有甚者 许多企业实际上发现有关合规的成本正不断上升 这表明这些企业未能汲取教训 或在不断重蹈覆辙 很多行政人员仍然觉得遵守SOX的工作大大增加了成本 但所带来的价值则相对甚少 改变企业的心态是一个挑战 心态的转变必须由最高层做起 董事会和管理层均须率先认识到 合规工作可以通过提供企业流程和控制措施的效率而为企业提供一个增值的机会 制定战略性控制措施 观念的转变可以通过四个营运阶段而实现 分别是初始合规 达至共识 整合状态和融入状态 每个阶段均反映企业对合规工作所采取的方法的不同成熟程度 对于企业来说 所面临的挑战是了解它们目前处于哪一个阶段 以及希望达到何种成熟程度 初始合规 这个阶段是指一家企业首次作出应对工作 以履行合规的义务 合规工作被视为一个须要克服的障碍 企业几乎不考虑可能带来的潜在业务改进或风险管理稗益 这项工作被视为是一个项目 一般由财务部推动 而项目团队则由跨业务部门的代表组成 公司往往会聘请一个第三方去完成大部分合规工作 这可节省该公司因此将主要员工调离日常工作的机会成本 这些初始工作的特微是由一支规模庞大的项目团队负责 以及缺乏自动化 其目标是尽可能以最快的速度及最低廉的成本完成该工作 从而令所有人都可以继续做其他工作 这个短期 靠人工的方案令企业难以充分利用所获得的经验以及在以后年度更有效率地完成合规工作 达至共识 在这个阶段 企业开始了解到将合规工作视为一个非正式 孤立的项目是不符合成本效益的 因此 企业开始建立一支专责团队 以监督持续进行中的合规义务的完成情况 公司管理层意识到 由于在合规工作上投放的时间和资源而获得了大量信息 他们第一次了解到谁在负责执行控制措施 以及这些措施和流程如何影响业务 因此 他们认识到有关控制组合可能须要作出更改 使他们可以在风险管理与业务绩效之间保持适当的平衡 领导层开始改善他们的控制措施和流程 并因应所进行的合规工作而开始为企业提升价值 整合状况 当管理层充分了解控制组合的潜力能带动企业进行改革时 便踏入了另一阶段 管理层会将控制措施及对控制组合的了解作为新的管理工具 藉以确定最具效力和效率的资源运用方式 企业认识到整合技术风险和控制措施是一个强有力的工具来管理风险以及改革流程 融入状况 合规演变的最终阶段 是合规思维成为企业文化根深蒂固的一部分 这些企业非常重视外界对其积极拥护最佳业务模式的认同 各公司均视合规工作为良好的公司治理的主要元素 并因而将合规工作视为吸引主要管理人才 投资者和潜在合彩人的方法 在这个融入状况 公司支持合规工作的原因不再是为满足法律规定 而是因为相信合规工作会带来业务改进 管理层已将其控制组合整合为一个包含企业风险管理框架和流程优化的体系 因