萨奥法案404条款简介及海外经验

内控体系建设工作座谈会：萨奥法案404条款简介及海外经验,2004年12月9日,PwC,此处列述的信息和观点不代表任何法律或其他形式的专业意见。有关2002年萨奥法案和相关证券交易（SEC）法规及条例所规定的公司职责和合规性要求，建议公司向法律顾问进行咨询。,议题,法案要求外部审计师测试方案美国404项目经验,PwC,第3页,萨班斯奥克斯利法案背景,2001-2002安然、世通及其他美国企业会计丑闻2002.7.30萨班斯奥克斯利法案签署生效2003.1.09上市公司会计监管委员会（PCAOB）正式成立2003.10.07PCAOB发布建议审计准则与财务报表的审计协同进行的对于财务报告的内部控制的审计2004.3.09PCAOB发布第二号审计准则与财务报表的审计协同进行的对于财务报告的内部控制的审计2004.6.18SEC批准通过第二号审计准则2003-2004SEC发布一系列有关实施萨班斯奥克斯利法案的“最终细则”2004.11.15对会计年度结束于2004年11月15日或之后的美国境内上市公司，法案404条款开始生效2005.7.15对会计年度结束于2005年7月15日或之后的境外注册的上市公司，法案404条款开始生效,第4页,萨班斯奥克斯利法案介绍,旨在建立并恢复公众对公司财务报告的信心设立上市公司会计监管委员会（PCAOB）明确了以下各方的责任:管理层外部审计师审计委员会更新财务披露的要求,设立了犯罪惩戒条款并进一步加强了白领犯罪的惩罚措施对在美国上市的境外公司(FPI)并无重大豁免对在中国大陆及香港的FPI(大约50个)和海外跨国公司的子公司有重大影响美国证监会（“SEC”）承诺进行定期的审阅和强制执行,第5页,萨班斯奥克斯利法案的重点,404条款要求企业管理层建立对财务报告的内部控制提出美国国内上市公司和外国上市公司遵循404条款的时间表；对于在美国上市的外国公司，404条款将于2005年7月15日或以后的财政年度末生效。基于中国石油的财政年度，404条款将于2005年财政年度开始生效企业管理层必须每年对影响财务报告的有关内部控制的有效性进行评价并发表年度声明要求独立审计师对影响财务报告的有关内部控制进行审计,第6页,对控制缺陷的评估,重大缺陷SignificantDeficiency（SD）该缺陷会导致年报或中期报告中的并非无关紧要的错漏无法被预防或侦测出来的可能性大于微小,实质性漏洞MaterialWeakness（MW）该缺陷或缺陷集合会导致年报或中期报告中的重大错漏无法被预防或侦测出来的可能性大于微小,需要作个别和整体的评估必需向审计委员会报告一个单独的重大漏洞会导致否定意见,第7页,重大缺陷(SD),PCAOB规定，以下方面的缺陷通常被描述为重大的缺陷：对会计准则的选择和实施的控制与公认会计准则相一致反舞弊程序和控制对非正常或非系统交易的控制期末财务报告流程的控制,包括将交易合计录入总帐程序的控制；交易的发生、授权、记录以及将分录登记入帐的控制；还包括记录例行和非例行的财务报表调整的控制,第8页,实质性漏洞(MW)的重要迹象,可能存在实质性漏洞的迹象，包括:重述以前年度的财务报告以纠正错报审计师在当期审计中发现了财务报告中的重大错报,但该错报并未被公司的内部控制发现审计委员会对财务报告和相关的内部控制缺乏有效的监管无效的内部审计和风险评估职能发现任何程度的高层舞弊行为无效的控制环境,第9页,审计意见分类,需要对以下三方面发表审计意见：对财务报表的审计意见对财务报告相关控制的审计意见对管理层评估的审计意见,第10页,审计意见分类,内部控制审计意见的种类：无保留意见：审计范围不存在任何限制及没有实质性漏洞否定意见：存在一个或以上的实质性漏洞，并描述每个实质性漏洞及说明其对财务审计工作的影响保留意见：审计范围在较小程度上受到限制拒绝表示意见：审计范围在很大程度上受到限制,第11页,管理层无法及时完成评估所产生的影响,外部审计师将会拒绝发表审计意见美国SEC将认定此公司为有缺陷的申报者影响其在资本市场再次进行融资的能力,第12页,无效的内控系统会对公司产生何种影响？,股价的影响资本成本投资者的反应排名很有可能会受实质性漏洞性质的影响SEC的反应无效的内部控制并不妨碍公司成为一个及时申报者,第13页,内控缺陷可能导致违反美国海外贪污行为法(ForeignCorruptPracticesAct),如果未实施内部会计控制系统，或者故意伪造任何帐簿、记录或者分录，就要负以下的刑事法律责任:个人最高被处以一百万美元及十年的监禁公司最高被处以二百五十万美元的罚款,第14页,外部审计师将对各主要交易进行跟单作业,外部审计师将通过跟单作业搜集证据，以便：确认外部审计师对交易流程的理解确认外部审计师对内部控制设计的理解确定流程中所有对与财务报表会计认定相关的错报风险已被鉴别，以确认外部审计师对流程的理解是完整的评估内部控制设计的有效性确认内部控制是否已运用于经营,资料来源：PCAOBAS-2s79,第15页,外部审计师将测试关键控制的执行的有效性,外部审计师将进行测试,以取得与财务报告中所有重要会计科目和披露相关会计认定有关的内控有效性的证据测试方法将包括：询问适当的员工观察公司的运营检查相关文件再执行内部控制的应用,样本量:自动控制：可能一个样本就足够人工控制：样本量基于控制的执行频率（例如：日控制需抽样30至60个）,资料来源：PCAOBAS-2s93，美国会计行业指引,第16页,外部审计师将评估并测试期末财务报告流程,外部审计师将评估期末财务报告流程，包括：公司生成年度和年中国际会计准则财务报告的过程中的输入，执行程序及输出在各年终财务报告流程要素中信息技术的含量参与流程的管理层人员测试涉及的地区公司的数量调整科目的类型相关方如管理层，董事会及审计委员会,进行的监管的性质和范围,资料来源：PCAOBAS-2s77,第17页,外部审计师将评估并测试企业的总体信息系统控制,如果存在自动控制，外部审计师也需测试总体信息系统控制，以确保自动控制的可靠性主要测试以下四个方面的内部控制：程序开发程序变动计算机操作对程序和数据的访问,资料来源：PCAOBAS-2s50,第18页,外部审计师将评估并测试COSO框架的“软”要素,用来测试COSO“软”要素最基本方法是询问和检查针对控制环境进行的测试包括：通过询问，观察，重点关注及/或民意调查来评估“高层管理基调”观察和评估违反公司行为准则的案例的处理程序复核书面授权标准并评定其合理性检查进行财务报告和风险评估的各关键岗位的职责描述,资料来源：PCAOBAS-2s77,第19页,外部审计师将评估并测试COSO框架的“软”要素,对风险评估进行的测试包括：复核管理层进行风险评估的流程，包括评定发生的可能性和决定必需的行动评估管理层是否充分的表达了他们将如何确定和分析财务报表中的重大估计记录对信息和沟通进行的测试包括：高级管理层和董事会在信息系统发展的战略计划上做出的影响了解新的会计公告是如何在会计政策手册中得到更新的，以及这些更新材料是如何在相关范围内分发的跟踪贵行业或公司的关键信息的传达,第20页,外部审计师将评估并测试COSO框架的“软”要素,对监督进行的测试包括：了解月度财务报告分析流程，并观察重大或不寻常的科目是如何被调查和解决的评估内部审计职能的有效性以及对已确认的内部控制缺陷采取的报告和后续措施,第21页,外部审计师将对中石油各地区公司进行测试,财务方面重要的地区公司覆盖企业经营和财务的大部分（覆盖率为60-70%）具有特殊风险,可能影响整个机构的地区公司集合之后达到重要性的地区公司或营运单位测试的性质和范围将根据地区公司的类型来确定,第22页,美国公司实施404项目通常涉及到的人员,企业内部人员：404项目领导班子财务总监404项目总部核心小组项目委员会财务主任或总会计师、内部审计部、法律部信息系统管理部门分支机构的业务及财务管理主管流程和控制主管或负责人,企业外部人员：404项目顾问外部审计师法律顾问,第23页,针对404项目,美国公司如何进行职责分工？,流程主管：证实控制的设计和运行有效性;对控制进行书面记录并任命控制主管控制主管：测试并评估控制有效性；负责整改计划管理层：本地的、地区的以及公司层面的业务和财务主管证实控制设计和运行的有效性,第24页,美国公司对404项目进行的内部复核及验证的过程,复核，汇报，验证,复核，汇报，验证,当地的业务流程主管,管理层内控报告总裁、财务总监披露委员会业务单位总经理业务单位财务主管当地验证当地总经理当地财务主管,第25页,美国404项目进行中遇到的问题:1.公司发现内控缺陷比预期多,在评估工作中发现大量的控制缺陷有些客户有40或更高比率的控制不合格而需要进行改进，并进行再测试需要处理大量的文档记录,第26页,美国404项目进行中遇到的问题:2.必需的改进工作比预期的范围广并且耗时,根据普华永道2004年7月的调查，79%高级主管认为为了符合萨奥法案404条款的规定，他们的公司需要对以下方面进行改进：内部审计有效性计算机控制(不包括安全性)计算机安全控制反舞弊的程序财务报告流程审计委员会的监督,第27页,美国404项目进行中遇到的问题:3.管理层的评估工作比预期的时间长,根据美国的普华永道于9月30日对美国本土的客户做的初步评估:10的客户年底之前不可能完成审计之前的准备工作，从而一定不会通过审计40左右的客户,项目有明显滞后50的客户能够在规定的时间内完成准备工作外部审计师担忧，由于管理层评估工作的延期，他们将没有足够时间完成对公司内部控制的审计,第28页,美国公司仍需完成的重要任务,年底前进行更新测试汇总所有的控制缺陷并评估他们的重要性，包括对缺陷结合之后所产生的总体影响进行测试由外部审计师审计内部控制准备管理层对内部控制的报告与高级管理层及审计委员会对缺陷进行沟通对外部审计师申明所有的内部控制缺陷已向其披露,第29页,美国404项目带给我们的启示,有效的项目管理非常重要建立认可的详细工作时间表并进行监督工作进展,时间表中包括角色,责任和工作成果无论对管理层还是对外部审计师来说，必须认识到404条款的工作是一个长期重要的任务在项目组与外部审计师之间要有清晰、持续的沟通,第30页,美国404项目带给我们的启示,总体系统控制的缺陷将可能导致问题的发生对补偿性控制的评估需要管理层和外部审计师的判断内控缺陷的评估是个耗时的过程将控制弱点确认为“重要缺陷(SD)”或“实质性漏洞(MW)”的标准比预期的严格,第31页,404项目将要面临的挑战,创造一个能够持续维护的机制确认对流程与控制进行维护的