SOX_基本内容介绍ppt课件.ppt

SOX基础培训 萨班斯 奥克斯利法案 第404条 管理层对与财务报告相关的内部控制评审工作介绍 2007年8月3日 0 主要内容目录 SOX法案 简介上市公司会计监督委员会第2号审计准则的主要内容COSO内控框架介绍SOX与ISO9000系列比较 1 1 萨班斯 奥克斯利法案 简称 萨奥法 或 SOX法 2 SOX法 简介 2 SOX法 简介 在安然 世界电讯等多家上市公司丑闻曝光后 美国参众两院通过了 萨奥法 并且专门成立了上市公司会计监督委员会 PublicCompanyAccountingOversightBoard 以加强公司治理重建投资者信心提高上市公司按证券法或其它要求所作披露的准确性和可靠性 SOX法 不仅适用于美国公司 也适用于在美国证监会注册的外国公司 1 4万家公司 Makita就是这样的公司 在美国纳斯达克股票市场上市在 SOX法 出台后 法国和日本都先后出台了类似的新法规强化监管 因此从长远来看 改革公司内部控制体系将是大势所趋 SOX法 内容主要包括 上市公司会计监督委员会的责任和角色上市公司的责任审计师独立性加强财务信息披露 3 3 404条款是萨法中最难操作 最复杂 耗费成本最高的一个条款 SOX法是继20世纪30年代经济大萧条以来 继 1933年证券法 和 1934年证券交易法 以来的 美国政府制定的涉及范围最广 处罚措施最严厉 最具影响力的公司法律 SOX法 简介 严刑峻法 4 被美国总统布什称为 自罗斯福总统以来美国商业界影响最为深远的改革法案 要求高 成本高昂据对321家企业调查 每家遵守SOX法的美国大型企业第一年实施404条款总成本平均超过460万美元 为达标404条款 全球著名的通用电气公司花费了3000万美元完善内部控制系统 将对上市公司高管及白领犯罪予以重罚 高达500万美元的罚款 可能被处以10年或20年监禁的重刑 量刑等级几乎等同于美国持枪抢劫的最高刑罚 上市公司高管为实行SOX法案 可能要额外投入30 的时间 银广夏 股通过伪造购销合同 伪造出口报关单 虚开增值税专用发票 伪造免税文件和伪造金融票据等手段 虚构主营业务收入 虚构巨额利润 45亿元 琼民源虚假财务会计报告 通过虚假利润及虚编资本公积金增加的 误导投资者 中国将在3年内出台中国式的SOX法案中国移动 中移动 中国电信 中网通 华能电力 中国石化和中国人寿等在内的44家已在美国上市的中国公司也在其列 包括互联网公司如百度和搜狐等中国公司在第一个年度里 中国公司因这部严法需付出的费用将直逼2亿美元中国人寿4000万用于404条款遵循工作 4 第404条管理层对内部控制的评审 管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述管理层就公司最近财政年度财务报告的内部控制系统的有效性作出的评审结果 第302条企业对财务报告的责任 签字人已审阅向证监会呈交的报告该报告不存在对重要事件的不实描述或遗漏确认财务报告和其它财务信息的披露在所有重要方面均公允地反映公司状况承担责任 建立 维护和评估内部控制 确保信息披露正确已经向外部审计师和审计委员会披露内部控制存在的显着缺陷之处 重大漏洞和重要岗位舞弊披露评估日后内部控制的重大变动和改善措施 萨奥法 各项条例中以第302条 企业对财务报告的责任 CorporateResponsibilityforFinancialReports 和第404条 管理层对内部控制的评审 ManagementAssessmentofInternalControls 影响最为深远 SOX法 简介 首席财务官或首席執行官需签署书面声明 上市公司年报里 Form20 F表格 必须附有管理层对内部控制的评审报告 其内容应包括 另外 第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评审进行审计 并出具审计意见 5 5 上市公司会计监督委员会第2号审计准则的主要内容 6 SOX法 审计规则 PCAOB2号准则简介 6 内部控制指为合理地保证企业在财务报告的可靠性 经营效率和效益及遵守适用的法律法规方面达成既定的目标而设计的措施与财务报告相关的内部控制包括指为合理地保证 合理但并非绝对地保证 企业财务报告的可靠性和企业编制及公允列示财务报表的流程而设计和实施的企业政策和程序 这些内部控制包括备存会计记录 收据和报销项目授权及保护资产等政策和程序 上市公司会计监督委员会第2号审计准则的主要内容 SOX法 第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评审 上市公司会计监督委员会配合第404条要求颁布第2号审计准则 以明确规范公司管理层和外部审计师的评审范围和要求 7 内部控制 Internalcontrols 与财务报告相关的内部控制 Internalcontrolsoverfinancialreporting 的定义 7 上市公司会计监督委员会第2号审计准则的主要内容 主要交易是如何启动 记录 处理和反映在财务报告中的用以防范或找出与重要账户 交易种类和披露相关的错误或舞弊的内部控制措施其它重要内控措施所依赖的内部控制 包括一般性控制 例如信息系统控制非经常性 非系统交易或财务估计的内控措施财务报表关账和汇总过程中的内控措施资产保护的控制措施 8 与财务报告相关的内部控制包括对影响主要交易的所有财务记录和披露的控制措施 8 涉及主要交易类型的交易启动 授权 处理以及最终在财务报表中的披露过程中各环节的主要内部控制 财务报表 明细账 总账 收入 通话费 固定资产 支出 现金 贷款 货币投资 财务估计 如坏账 折旧 固定资产减值 业务系统 与来源资料对照检查记录有关财务估计的决定和审批 流程与系统控制 遵行监控政策 报表合并内部往来账分析判断 业务流程 交易 网络建设 客户服务及账务 网络管理 应收 应付账 业务费用 如维修费用 人工和行政费用等 与财务报告相关的内部控制涉及的范围 9 上市公司会计监督委员会第2号审计准则的主要内容 9 经营回经营回报与风险报与风险 经营回报 风险风险是某一事件或行为对企业经济利益可能的威胁 风险的后果竞争失败经营中断法律诉讼商业欺诈无益开支资产损失决策失误 公司管理层 10 内部控制如何降低风险 暴露的金额 发生的可能性 风险的大小 11 内部控制的重要性 有效的内部控制 风险与经营回报的良好平衡 12 上市公司会计监督委员会第2号审计准则的主要内容 对管理层的要求 必须肩负公司财务报告相关的内部控制有效性的责任采用适当的内控枉架 例如COSO 评审公司与财务报告相关的内部控制系统的有效性以充分的凭证 包括档案文件 支持评审结果文档记录的重要性 文档记录可以为控制程序的确定和控制的监管提供证据 内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷 缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷 并签发反对意见报告针对公司最近的年度财务报告的内部控制的有效性提交书面声明 13 管理层应采取全面措施履行其责任 当中包括全面的计划 以及对内部控制系统的评审 管理层确定重大控制措施后 必须记录有关措施 然后测试措施的成效 企业应有充裕的时间完成整个程序并且纠正发现的内控缺陷 越早发现缺陷 管理层便有越充裕的时间纠正缺陷 并确定新措施的运作成效 如果管理层未能履行上述责任 会导致审计师发出保留或不表示意见 13 内控缺陷可以源自设计或操作方面控制措施的缺漏 设计 控制措施未能达到预期的控制目标 设计 控制措施没有按设计原意操作 操作 负责操作控制措施的人员不具备操作控制措施所需的职权或资格 操作 内控缺陷的严重程度不同 可以是不重要 显著缼陷 和非常严重的重大漏洞显著缼陷指单一或多个内控缺陷的存在导致无法把预防或发现年报或中期报告中出现错漏的可能性降至很低重大漏洞指单一或多个显着缺陷的存在导致无法把预防或发现年报或中期报告中出现重大错漏的可能性降至很低 上市公司会计监督委员会第2号审计准则的主要内容 内控缺陷 ControlDeficiency 显著缺陷 SignificantDeficiency 和重大漏洞 MaterialWeakness 的定义 14 14 审计师发现重大的错漏内部审计或风险评估措施对企业未能发挥效用发现高级管理层诈骗舞弊现象在相当一段时间内没有纠正过去已提出的严重内控缺陷监控环境未能发挥效用 上市公司会计监督委员会第2号审计准则的主要内容 显示存在重大漏洞的显著内控缺陷的情况包括 15 15 管理层404评审报告 建立及维持有效性 内部控制系统 记录 测试 根据上市公司会计监督委员会第2号审计准则的要求 对与财务报告相关的内部控制进行独立审计 并正式出具一份审计师404审计报告 当中包括两个评估意见 上市公司会计监督委员会第2号审计准则的主要内容 16 对外部审计师的要求 评估意见 1 对管理层评审结论的意见 1 评审内部控制的有效性 2 提交最近年度财务报告的内部控制系统有效性的声明 评估意见 2 对公司与财务报告相关内部控制有效性的意见 16 审计师出具保留意见或不表示意见的成因和影响 股价下挫 负面消息流传 形象受损 信贷评级下降 客户失去信心 保留意见审计报告或审计师不表示意见 成因二 外部审计师发现一个 多个重大内控漏洞 例如 1 需要作出审计调整 2 没有足够的信息系统控制 成因一 管理层对内部控制评审的支持凭证不足 例如 1 没有确定评审范围的充分依据和记录 2 缺少测试主要内控措施的档案文件 17 上市公司会计监督委员会第2号审计准则的主要内容 17 没有建立内部交易和往来账对账的正式程序不及时或没有进行往来账的对账工作 对帐未经管理层充分审阅缺少一定的管道和程序供员工向适当的独立部门 单位反映他们在日常工作中发现的与内控有效性相关的可疑情况反映对会计报告的准确性复核不足 未能完整和准确的记录特定业务流程中的内部控制缺乏清晰的职责分工和准确的岗位说明书 曾在已经实行 SOX法 的上市公司中存在的内控缺陷例子 18 上市公司会计监督委员会第2号审计准则的主要内容 18 上市公司会计监督委员会第2号审计准则的主要内容 37 23 8 10 6 9 7 流程不健全 人员胜任能力不足 书面记录不完备 销售确认错误 融资租赁会计处理错误 税金会计处理错误 其他 06年上市公司中存在的内控缺陷统计 19 营运 财务报告 合规性 监控 信息和沟通 控制活动 控制环境 风险评估 COSO内控框架介绍 20 20 营运 财务报告 合规性 控制活动确保落实管理层的政策 流程措施包括审批 授权 确认 建议 业绩考核 资产保全和权限分离 监控评估内部控制系统整合及时独立的评估管理层和监控机构的工作内部审计 信息和沟通定期获取 确定并交流相关的信息评审内部和外部获取的信息信息流 职责指导管理层的总结成功的措施 控制环境营造企业环境 让公司员工建立内部控制因素包括正直 道德价值 能力 权威和责任是其它内部控制组成部分的基础 风险评估风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作 所有五大元素必须同时起作用才能让内部控制有效运作 监控 信息和沟通 控制活动 控制环境 业务单位甲 业务单位乙 活动一 活动二 风险评估 COSO内控框架介绍 21 21 1 控制环境 是任何企业的核心 是企业的人以及它所处的环境是推动企业的引擎 也是其他要素的基础 控制环境的组成要素 管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策 22 1 控制环境 MCCELC general A 1 CEO是否积极分发符合MJ基本政策的文件 如 道德规范 行为准则 和教育 培训资料 与经理和所有员工沟通公司的道德价值观和管理层的理念 A 3 如果公司目标或个人目标直接与报酬挂钩 是否有防止经理或员工不诚实或不道德行为的控制 F 1 是否根据组织目标恰当地授予CEO 财务经理 CFO 和IT经理 CIO 权利与责任 职权分掌表是否清晰地定义这些职权 权利是否恰当 是否确保有胜任能力的财务报告人员 G 2 对财务报告关联员工的教育 培训 业绩 待遇是否有明确的政策和程序 J 5 是否存在将舞弊 包括管理层越权 风险减少到最小的预防性控制 L 1 是否有财务报告和IT活动所需的政策和程序 是否及时更新 N 2 是否有热线电话 允许员工直接报告可疑的舞弊或违规行为 23 2 控制活动 一些重要的内控方法 职责分离控制授权批准控制内部报告控制电子信息技术控制 24 2 内部控制的实施 1 管理层在内部控制中的地位和作用内部控制的主体 管理层 承担的职责是计划 组织 领导其组织的活动 即对组织的