内部控制鉴证.ppt

企业内部控制鉴证,二零零九年六月八日,第一部分内部控制和萨宾斯法案介绍第二部分企业内部控制基本规范解读,内部控制和萨宾斯法案介绍,只针对萨宾斯法案的要求-和财务报告有关的部分覆盖的业务主体,内部控制的专注点,内部控制的广泛性,内部控制绝对不是不是：静态的结构；某一层次人员的任务（例如：高级管理层）；某一部门的任务（例如：财务、内部审计）；某一实体的任务（例如：总部、省级公司）。内部控制是：,美国反欺骗性财务报告委员会（COSO）的定义：内部控制是一个靠组织的董事会、管理层和其他员工去实现的过程，实现这一过程是为了合理的保证：经营的效果性和效率性；财务报告的可信性；对法律和规章制度的遵循性。,因此，整个集团的共同参与对于项目的成功至关重要。,规范要求的长远益处,四个关键信息质量的驱动因素是行业领先的公司进行变革的目标，这些因素是遵循规范的结果，也是价值的创造,提供的数据客观，形象的表示了公司业绩财务报表更改的情况将很少发生,业绩将更接近原有的预期持续的计划给管理层和投资者提供了数据用于公司应对商业环境的变化,随着时间的推移，信息将快速的产生需要快速的提供给投资者相关信息,简单化和标准化的信息使得更容易被理解和接受管理层要直接看到推动业务的相关因素,及时,可预测,透明,精确,Earnings,走进内部控制主要内容主要内容,一、基本概念阐述二、内控系统整体架构三、内部控制的实施,一、基本概念阐述,经营回报,公司管理层,经营回报与风险,什么是风险？,风险是某一事件或行为对企业经济利益可能的威胁,商业风险和管理风险,财务和经营信息不足,政策、计划、程序、法律和标准贯彻失败,资产流失,资源浪费和无效使用,不能达到企业的目的和目标,管理风险,管理风险习惯上分为以下五类：,经营中断,法律诉讼,商业欺诈,竞争失败,无益开支,资产损失,决策失误,风险的后果？,风险如何最小化？,暴露的金额,发生的可能性,风险的大小,内部控制如何降低风险？,有效的内部控制,风险与经营回报的良好平衡,内部控制的重要性,COSO报告内部控制整体架构AICPA审计准则公告第78号会计法（第四章第27条）财政部内部会计控制规范证监会证券公司内部控制指引证监会商业银行内部控制指引征求意见稿财政部等五部委企业内部控制基本规范,内部控制的重要性（续）,什么是内部控制？,18,内部控制-被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：营运的效果和效率财务报表的可靠性相关法令的遵循,COSO,,内部控制的定义,二、内部控制整体架构,内控系统的整体架构,内控系统五要素架构,目标,有效率且有效果的使用公司资源,财务报告的可靠性,遵循适用的法律、法规,是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础,控制环境的组成要素：管理哲学和经营风格-传达公司的正直、诚实的道德规范组织结构-董事会及其委员会职能职责分配和授权-权利、职责分工人事政策-保证员工正直并有能力胜任工作,控制环境,是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础,控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策,控制环境,控制环境管理哲学和经营风格,审计署对23家企业的调查结果,控制环境管理哲学和经营风格,独立董事专门委员会设立审计委员会，及委员会成员资格要求审计委员会职责专门委员会与外部中介机构监事会监事会职责监事会与外部中介机构,控制环境董事会及委员会职能,企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制风险评估就是分析和辨识为实现企业目标所可能发生的风险。,环境变化后的管理,评估和更新,风险评估,风险分为：公司整体层面的风险具体业务活动层面的风险风险分析的步骤：评估风险的重要性评估风险发生的可能性（或发生的频率）考虑如何管理风险，即评估应采取何种行动,风险评估,对应予以特别关注的环境变化保持警觉:法规或经营环境的改变新加入的员工、较高的人员流动性新的或改善过的信息系统公司经理迅速发展时期新技术的出现新业务、新产品、新的经营活动或并购公司重组跨国经营,风险评估,次序银行/保险业/证券制造业其他1内部控制的质量内部控制的质量内部控制的质量2管理人员的能力管理人员的能力管理人员的能力3管理人员的正直程度管理人员的正直程度管理人员的正直程度4会计系统的近期变动单位的规模会计系统的近期变动5单位的规模经济环境恶化业务的复杂性6资产的流动性业务的复杂性资产的流动性7重要人员的变动重要人员的变动单位的规模8业务的复杂性会计系统的近期变动经济环境恶化9快速的增长快速的增长重要人员的变动10政府法规管理人员对完成目标的压力快速的增长近期变动,如何有效地进行风险管理各行业的前10种最主要的风险因素,企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。通常可以按业务分别进行制定。,控制活动,控制活动的类型,事前事中事后,检查性控制,补偿性控制,预防性控制纠正性控制,事前事中事后,控制活动的类型,审批（高层审阅）保护实物资产异常报告制度关键绩效指标分析职责分工,控制活动,你的批准意味着什么？你已经检查过文件的正确性、完整性以及适当性你同意文件的内容你有同意的基础，即:你，或者你指派的适当人员，而非文件的编制者，已经审核了有关信息你对自己的审批负全责,控制因素活动-审批,在开展任何业务之前都应进行授权,授权以后，为了避免滥用权力，还要经常对业务流程进行审查,按性质的不同分为综合授权和特别授权,要对授权做好记录，并提供证明文件,避免两个极端：“层层审批”和“一支笔”,授权批准控制,控制活动因素-保护实物资产,例如:实物与会计记录的定期核对把文件锁起来!财务报表!保护数据中心、本地局域网控制室以及工作站设备标签安全系统/警报系统设围墙配置保安工作证件隐藏的摄像镜头,返回,例如:超过还款期限的应收账款报告加班统计报告重复付款报告未享受到的折扣重点是发现异常情况并及时跟进,控制因素活动-异常活动报告,职责分离控制授权批准控制内部报告控制电子信息技术控制,一些重要的内控方法,一些重要的内控方法,不同人员或部门之间的职责分工可以通过一系列检查措施，例如:降低发生错误的风险，并控制人为蓄意的操纵.避免独立个人同时负责一项完整的交易的发生、授权和记录，或避免独立个人在保管资产的同时负责记录其变动.通过岗位轮换,使更多的高级管理者参与日常运营的主要活动,以外部视角来观察各个部门的运营.,控制因素活动-职责分工,不相容职务相互分离控制示例,内部报告控制,完善内部管理报告系统,内部报告上报时间及报告路线,内部报告的分析和跟进,内部报告的分发控制,信息系统控制目标,提高资源使用效率,信息系统控制目标,符合相关的法律、法规和政策,信息系统控制目标,提高企业信息系统的整体可信赖程度的控制,信息系统的组织和管理,信息系统操作,数据安全,危机处理与业务持续计划,外包厂商管理,网络支持,系统软件支持,应用系统安装与维护,硬件支持,数据库安装与支持,一般信息系统控制,贯穿在风险评估和控制活动过程中这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯信息系统：内部、外部沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任,信息与沟通,信息通过信息系统识别、采集、加工和汇报信息信息系统经常被认为是经营活动的一个组成部分,信息与沟通,信息质量内容相关是不是所需要的信息?提供及时是不是在需要时可以及时提供?时效性是不是最新的?正确性数据是不是正确?可获得性是不是可以从正常渠道轻松获得?,信息与沟通,内部每一各人都需要了解内部控制系统的相关方面，系统如何工作，以及他（她）本人在系统中的角色和职责外部与外部单位的交流经常能提供履行内部控制职能所需要的重要信息监查部门例如证监会、财政部等提供的审阅或检查结果能够揭示控制的弱点与股东、监管部门、金融分析师和其他外部单位的沟通应提供与其需求相关的信息，以便其比较容易地理解企业所面临的环境和风险,下一步,信息与沟通(续),监督,整个内部控制的执行过程必须被监督确保内部控制制度随情况的改变而作出动态的反应应建立检查和报告体制,监督是谁的职责?管理层应对内控执行情况进行持续监督内部审计部门应进行定期、不定期的个别评估,监督,持续监控管理者审阅管理信息比较内部信息与外部信息适当的组织结构和监督责任设置信息与实务的比较利用内外部审计师的工作主动纳谏要求员工定期声明自省行为个别评价汇报内部控制缺陷,返回,监督,与会计报表中所有重要科目及信息披露相关的所有报表认定,存在或发生完整性权利和责任价值表述和披露,返回,上市公司会计监察委员会发布第2号审计准则对审计师工作内容的要求,根据准则规定，审计师必须进行以下工作,进行项目计划;评估管理层的评估过程;理解与财务报告相关的内部控制情况；测试并评估与财务报告相关的内部控制的设计有效性；测试并评估与财务报告相关的内部控制的运行有效性；以及就与财务报告相关的内部控制的有效性形成一个结论,上市公司会计监察委员会发布第2号审计准则对审计师取得审计证据途径的要求,评估和测试管理层的评估流程评估和测试他人（如：内部审计师）对内部控制进行的工作独立对于财务报告相关的内部控制的有效性进行测试,准则规定了审计师取得审计证据的以下途径：,上市公司会计监察委员会发布第2号审计准则对审计师的要求,确认评估对象：确认需要测试的控制措施，包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施；评估控制的失效风险：评估由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性，以及其他控制措施实现相同控制目标的程度；确认评估范畴：确认应纳入评估范围的具体公司地址或业务单元(针对拥有多个办公地点或业务单元的公司)；评估控制的有效性：对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及实践方面的有效性进行评估；评估缺陷的严重性：确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞；沟通：就主要发现与相关方面进行沟通；及形成结论：评估主要发现是否与评估结果相一致。,审计师需要确定管理层是否进行了以下评估工作：,内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）,内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。,管理层在内部控制中的地位和作用,三、内部控制的实施,实施内部控制制度,逐项复核内控是否存在于现有流程中，是否有效必要时进一步制定具体政策和管理报告考虑成本效益原则强化对内控的监督与评估,实施内部控制制度,实施控制时的成本效益原则,管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病,实施内控时常出现的误区,中国：80组织日常财务工作70审核财务报表及管理报表60制定投融资决策55制定内控30制定公司长远规划,美国：财务管理及内部控制收购与兼并制定公司长远规划信息技术规划与各经营部门协调,调查结果总会计师职责分布,管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病,实施内控时常出现的误区,管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病,实施内控时常出现的误区,管理层在实施内控中未承担应有职责过分强调控制成本片面强调人员素质认为内控包治百病,实施内控时常出现的误区,人为因素使内控失效对控制责任的误解执行时的大意疲劳舞弊时间推移使控制措施逐渐失效,包治百病？内控的固有局限性,对控制责任的误解执行时的大意疲劳舞弊,管理层违规形式主义利益的冲突法律法规的意外变化竞争对手的行动经济环境变化等,其它影响内控实施效果的因素,萨班斯奥克斯利法案介绍,目录,萨班斯奥克斯利法案概述-法案之背景与目的-法案之主要内容-法案对于在美国上市公司的规定与影响,(一)法案产生之背景安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。2002年美国通过的萨宾斯-奥克斯利法案（Sarbanes-OxleyAct），是美国继安然、世通、安达信等连串公司财务丑闻事件披露后，为强化上市公司内部治理和增强资本市场信息披露而出台的一部重要法律。布什总统在签署法案时，称“它是美国证券市场发展过程中的一个里程碑”。,萨班斯奥克斯利法案概述,萨班斯奥克斯利法案概述,法案的文本中大部分内容都是参议院银行委员会主席、马里兰州民主党参议员保罗萨宾纳斯（PaulSarbanes）提出的方案，在此基础上，萨宾纳斯参议员和俄亥俄州共和党众议员麦克奥克斯莱（MichaelOxley）共同主刀，两院于6月25日达成妥协通过了107届国会最后版本(第610号文件)，这部法案遂以两位议员的名字命名为萨宾纳斯奥克斯莱法案（Sarbanes-OxleyActof2002）(以下简称萨宾法案)。法案推出时距安然公司会计造假案件事发仅9个月、世通公司倒闭才几个星期，美国两党这次完成立法之迅速一致，在美国立法史上堪称罕见。,萨班斯奥克斯利法案概述,萨宾法案的制定出人意料的顺利，主要缘自两党对加强公司治理和保护投资者利益这个问题上认识的一致。美国一些经济分析家还认为，“萨宾法案某种程度上帮助布什赢得了竞选连任”。因为虽然反恐战争的胜利使布什声誉看涨，但如果反腐失当，将使其功亏一篑而重蹈老布什赢了战争、输了经济、失了连任的覆辙，所以，布什政府在反腐与反恐两条战线上同时作战，美国经济也进入了打击欺诈与惩治腐败的新时期，投资者权益保护再次被提到一个前所未有的高度为这届政府赢取了民心和信心。,萨班斯奥克斯利法案概述,这部法案被美国各界寄予了厚望，它被认为是彻底杜绝公司造假的有力武器。自从2001年底安然（Anron）公司会计造假、2002年6月世界通信（Worldcom）公司假账丑闻曝光以来，投资者信心受到重创，人们对市场诚信标准发生动摇，纽约股市连续剧烈震荡，美国整体经济也遭受拖累，就连布什的公众支持率也由2002年早期的90%左右下滑到了65%。连串丑闻引发了人们对公司治理、会计、审计、证券交易诚信和监管等问题的广泛讨论，人们开始认识到造假不是某个公司的个案，而是一个带有普遍性的问题，这可能是由于美国资本市场和企业层面存在着的系统性的缺陷所致，投资者和民众要求政府立法加以拨乱反正的呼声越来越高。在这种情况下，民主、共和两党也不得不加紧行动，快速反应，以顺应民众的呼声。,萨班斯奥克斯利法案概述,2002年6月，布什总统签署的萨班斯奥克斯利法案正式生效，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称萨班斯奥克斯利法案。该法案对美国1933年证券法、1934年证券交易法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。法案的初衷是增强信息披露，保护投资者利益。但它出台后却引起了美国一些上市公司的争议，一些人认为该法案造成了企业的财务成本,在一定程度上已影响了外国公司在华尔街市场上市融资的决心。,萨班斯奥克斯利法案概述,法案出台之目的-重建公司信用，培育公众信心，振兴证券市场。-加强公司监管，规范业务运作。-增加财务报告与信息披露的透明度。-确保公司管理层可以从有效监控的系统中获取重要信息。-公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。,萨班斯法案的所有内容目录,萨班斯法案正文目录第一章公众公司会计监察委员会第101节组建,管理条款第102节在委员会注册第103节审计,质量控制和独立性准则及规定第104节对注册的会计师事务所的检查第105节调查和惩戒程序第106节外国注册的会计师事务所第107节SEC对委员会的监管第108节会计准则第109节资金,萨班斯法案的所有内容目录,第二章审计师的独立性第201节审计师执业范围之外的业务第202节事前许可第203节负责审计合伙人的轮换第204节审计师向审计委员会报告第205节保持一致性的修订第206节利益的冲突第207节关于强制轮换注册的会计师事务所的研究第208节对SEC的授权第209节州级管理当局的考虑,萨班斯法案的所有内容目录,第三章公司的责任第301节公众公司审计委员会第302节公司对财务报告的责任第303节对审计不正当的影响第304节没收奖金及收益第305节对公司官员及董事的处罚第306节禁止在养老基金的管制期内进行内部交易第307节关于律师职业责任的规定第308节投资者公平基金,萨班斯法案的所有内容目录,第四章强化财务信息披露第401节定期报告中的披露第402节强化利益冲突的信息披露第403节同管理层和主要股东有关的经济业务的披露第404节管理层对内部控制的评价第405节例外情形第406节高级财务管理人员的道德守则第407节同审计委员会财务专家有关的信息披露第408节加强定期信息披露的复核第409节实时信息披露,萨班斯法案的所有内容目录,第五章利益冲突的分析第501节如何管理执业证券分析师及证券交易所第六章委员会的组成及其权利第601节财政拨款方面的权利第602节SEC的执业许可权第603节联邦法院规定的市场禁入权第604节证券经纪人和交易商的从业资格,萨班斯法案的所有内容目录,第七章研究及报告第701节审计总署对会计师事务所合并行为的研究及报告第702节SEC对评级机构的研究及报告第703节关于违法者和违法行为的研究和报告第704节执法行为研究第705节投资银行研究,萨班斯法案的所有内容目录,第八章公司欺诈及其刑事责任第801节小标题第802节篡改文件的刑事责任第803节违反证券欺诈法不能免除债务第804节证券欺诈的限制性条款第805节对联邦判决指南关于妨碍司法公正和广义欺诈犯罪的回顾第806节保护提供欺诈证据的公众公司的雇员第807节公众公司欺骗股东的刑事责任,萨班斯法案的所有内容目录,第九章强化白领刑事责任第901节小标题第902节企图和阴谋进行欺诈犯罪活动第903节邮件及电传欺诈的刑事责任第904节违反美国1974年退休雇员收入保障法的刑事责任第905节修改关于白领犯罪行为的判决指南第906节公司对财务报告的责任,萨班斯法案的所有内容目录,第十章公司纳税申报表第1001节参议院要求考虑公司首席执行官签署纳税申报表第十一章公司欺诈责任第1101节小标题第1102节篡改记录或者阻止官方调查第1103节SEC的暂时冻结权第1104节联邦判决指南的修改第1105节SEC有权禁止有关人士担任公司官员或者董事第1106节按照1934年证券交易法加重刑事责任第1107节对举报人打击报复,法案之主要内容-成立独立的公众公司会计监察委员会，监管执行上市公司审计职业-要求加强注册会计师的独立性-要求加大公司的财务报告责任-要求强化财务披露义务-加重了违法行为的处罚措施-增加经费拨款，强化美国证券管理委员会的监管职能-要求美国审计总署加强调查研究其中与上市公司管理层直接相关的是：第302节公司对财务报告的责任第404节管理层对内部控制的评价,萨班斯奥克斯利法案概述(续),法案之主要内容第302节公司对财务报告的责任-要求公司首要官员及首要财务官在季度/年度报告中保证-对信息披露的控制和程序负责（含刑事责任）-设计必要的内部控制手段并确保其执行可使高层及时获得重要信息-对披露控制的有效性进行评估，评估结果需存档-不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为-存档描述内部控制的重大变化,萨班斯奥克斯利法案概述(续),萨班斯奥克斯利法案概述(续),-介绍信息披露的控制和程序-强调财务人员的正直和财务报告系统控制的完整性-需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日,萨班斯奥克斯利法案概述(续),法案之主要内容第404节管理层对内部控制的评价（最严厉，对中国在美上市公司是最大挑战）-要求公司管理层在年度报告中：-描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任-对财务报告系统内部控制有效性以一个公认架构进行评估（例如COSO内控架构）-同时要求外部审计人员：-对管理层评估结果进行鉴证-美国证券管理委员会要求-扩大信息披露的控制和财务报告系统内部控制程序的认证-将内控评估日改为财务报告截止日,萨班斯奥克斯利法案概述(续),404条款法案第四章规定了“加强财务披露”（EnhancedFinancialDisclosure）的内容，其中的第404条款最为关键，该条款也叫内部控制条款（InternalControlReport）,主要明确了上市公司（包括场外交易市场”OvertheCounterMarket”的挂牌企业）管理层及外部审计师对于公司财务内部控制的责任和义务。-负责公司内部控制的管理层需要在公司内部各个业务环节设立至少5年的信息数据保存和保留系统，防止这些数据被篡改、盗用、删除的可能性；-公司管理层必须每年在年报中就公司产生财务报告的各个业务流程的内控系统分别做出评价和真实性报告,并向证监会提交10-K表。-外部公共审计师对于公司管理层评估过程以及内控系统结论要进行相应的独立检查并出具正式意见-任何导致财务报告信息失真的内部控制环节中的虚假数据，不论有无证据证明其是否蓄意，都要予以罚款、监禁甚至两者并处。,美国证交会有关萨班斯法案404条款的最终条例对管理层报告书内容的要求,作出外部审计师已就管理层对内部控制系统作出的评估并发表核证报告的陈述。,管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述；,管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述;,管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评估包括一份公司与财务报告相关的内部控制是否有效的声明。声明必须披露管理层发现的任一公司与财务报告相关的内部控制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更多实质性漏洞时，管理层不得做出公司与财务报告相关的内部控制有效的声明；及,对控制缺陷的评估,显著缺陷该缺陷会导致年报或中期报告中的并非无关紧要的错漏无法被预防或侦测出来的可能性并非十分微小。,实质性漏洞该缺陷或缺陷集合会导致年报或中期报告中的实质性错漏无法被预防或侦测出来的可能性并非十分微小。严重显著缺陷=实质性漏洞,需要作个别和整体的评估必需向审计委员会报告一个单独的实质性漏洞可能会导致否定意见,404条款相关法规要求的工作,对财务会计制度的选择和使用的控制防范欺诈舞弊的程序和控制对非经常性和非系统性交易的控制对期末财务报表流程的控制,根据上市公司会计监管委员会的第2号审计准则如果公司的内部控制在以下任何一方面存在不足，即被认为存在显著缺陷之处,显著缺陷,修改已发布的财务报表外部审计师在年度审计中发现的重大误报不是由该公司首先发现无效的审计委员会监管对财务报表流程可靠性至关重要的内部控制或风险评估失效处于高度监管行业中的公司，其合规控制失效(此处所述的合规控制仅限于因该合规控制失效所导致的违规对财务报告可靠性具有重大影响)发现高级管理层任何程度的舞弊已经发现并报告的重大控制不足在经过合理的时间后并未加以改正低效率的控制环境,如果出现以下情况，则意味着公司的内控存在显著缺陷之处，同时也是出现重大漏洞的一个重要信号,显著缺陷和实质性漏洞的信号,上市公司会计监察委员会发布第2号审计准则,承担公司财务报告内部控制有效性的责任；采用适当的控制标准(比如COSO标准)，评价公司财务报告内部控制的有效性；以充分的证据(包括文档文件)为评估结果提供有力支持；针对公司最近财年财务报告内部控制的有效性提交书面评估。,公司管理层在对财务报告内部控制审计中的责任,萨班斯奥克斯利法案概述(续),此外，法案第三章专门规定了上市公司的责任，例如，为确保独立董事对上市企业运行的独立和严格的监管，在304条款对独立董事的资格、报酬也做出了严格限制。第305条还规定了公司董事和管理层薪酬（Officers,公司的战略、愿景和使命；公司的组织架构和部门岗位职责；访谈相关的运营流程；,了解访谈的范围深度和时间根据所需了解信息，准备访谈概要以及相关例子；,排定访谈时间根据来访者的需求调整访谈计划；进入访谈,2进入访谈,努力营造与他人分享信息的环境及心理氛围,环境因素：安静区域个人可以放松的区域考虑潜在干扰因素,心理因素：音调友好；显示出对他们的兴趣表达明确坦诚放松直接到达主题,2进入访谈-流程介绍,来访者对于内部流程参与的程度没有你深入，所以要假设他们对流程了解不多。自上而下逐步分层,2进入访谈流程介绍,自上而下,逐层分步,开始点控制点终结点,流程活动控制方法相关人员产生凭证,2进入访谈-回答采访,听懂问题，明确来访者提出问题的目的，以及所希望了解的内容；直接切入主题，消除可能产生歧义之处在回答前深入思考；列举辅助案例，以便进一步解释说明。,2进入访谈访谈收尾,在大多数访谈中，您能阐述所需间是很有限的；结束面谈时，若有任何疑问，可以向来访者补充；向来访者表达诚意，如果之后有补充，或者项目组有其他问题，会积极配合。,3信息校验,安排其它相关人士包括流程上游或下游的员工）进行交叉检查；与来访者一起审核数据。,4后续跟进,跟进访谈还未解决的问题；提供访谈中所需资料；留下联系号码。,培训内容,访谈配合,个人形式访谈步骤与技巧团队形式访谈步骤与技巧1.定义与使用场合2.步骤3.访谈准备4.进入访谈,定义与使用场合,定义参与7-10个拥有某些共同特征的人进行团队访谈，就某些焦点问题进行深入讨论。小贴示：集体访谈需要明确的焦点及进行团队访谈必备的技巧。使用场合深入了解参与者对程序、产品及机遇等的理解、感受及思维式。如果适当提出焦点问题，集体访谈将是有用的工具。,2步骤,1.了解访谈目标,2.确定参与者,5.生成访谈大纲,4.制定访谈计划,3.邀请参与者,7.分析及解释具体流程,8.撰写访谈纪要,6.参与团队,9.跟进,准备,实施,分析,报告,跟进,3访谈准备,确定面谈目标确定需要准备哪些信息辨别信息访谈者决定访谈参与者制定计划及估计所需资源确定访谈提纲,4进入访谈,确保不会偏离主题。注意时间，确保团队完成任务。每个参与者都应参与没有人主导没有人被排除在外。仔细聆听讨论。尊重及使用不同的角度及观点。,测试配合,目录,流程测试目的流程测试步骤,定义,流程测试是内部控制的重要组成部分实施测试的主要目的-测试运用环境与流程描述是否相符,测试步骤,明确测试目的进行资料准备审核测试样本,测试步骤具体要求,明确测试目的,进行资料准备,测试资料审核,了解流程测试目的；确定需要准备哪些资料；,按流程而不是部门进行资料分类；根据项目小组所选样本，提供相关凭证和文件；,审核测试样本与流程描述是否相符；回答项目小组所提出的问题,测试步骤具体要求,主审分配测试任务测试员记录测试结果主审审核测试结果与内控部门负责人沟通测试结果项目经理确认最终测试结果审计部审核测试结果内控部风险处测试岗审核测试结果,控制测试,是,在本年度测试该控制,该控制是否针对特别风险,该控制在最近两年是否被测试过,考虑是否在本年度测试该控制：控制是否有变化显示需要测试的因素，如复杂的人工控制为满足每年测试一部分控制的要求而测试,是,否,否,本审计期间测试某项控制的决策图,业务层面跟单测试记录跟单测试结果,测试结果说明：名称控制措施描述测试步骤及发现备注：根据测试的需要填写备注信息。,业务层面跟单测试记录跟单测试结果,如果在跟单测试过程中，发现了例外事项，则需要在测试处填写该例外事项所对应的共性问题的索引号。如果发现多类共性问题，要标出记号加以区分如果在跟单测试过程中发现的关控例外的处理方法例外事项全部为关键控制点的例外事项，则认为该流程不存在例外，并将对应测试任务的测试状态记录为“控制有效”,根据抽样的情况，填写实际的控制频率，应抽取样本数量，实际抽取的样本数量，样本量差异原因等信息。注：实际的控制频率如果对应控制点执行的频率与系统中的一致则不需要修改如果需要修改请在此处填写每年，每季，每月，每周，每天，每日多次,业务层面关控测试记录样本信息和样本量差异原因,业务层面关控测试记录样本信息和样本量差异原因,内控测试抽样是种固定样本抽样，按照某个内控循环的交易频次来确定样本量，有两种不同的方法，一是按照日交易频次，二是按照年交易频次，两者实质上是一样的，形式略有差别。某个循环日平均交易频次在一次以上的，或年交易频次在1000以上的，（四大的标准略有差异，这是我服务的那家的标准），至少抽40个样本，日平均交易频次在一次以下的，或年交易频次在1000以下的，至少抽25个样本，在抽样中，如果发现一个样本错误，则扩大三倍的样本量，再发现样本错误，则该内控循环不可信赖，需做详细测试。IPO业务中有些重要的循环即使达不到年交易频次1000，也会抽40个样本。至于为什么选40和25，简而言之像前面讲的审计确信度的取值是一样的，是长期的数理统计的结果，涉及很深的高等数学的知识。,业务层面关控测试记录例外信息,如果测试的过程中发现了例外，需要记录例外事项的相关信息。例外事项说明：名称关键控制点例外事项详细说明及原因。例外事项类型：发现例外事项时需要选择对应的例外事项类型。其中关控测试对应的例外事项类型都以关控测试作为前缀例外事项数量改进意见：针对例外事项，填写对应的整改建议。,企业内部控制基本规范,企业内部控制基本规范,二00八年五月二十二日为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范，规定自2009年7月1日起在上市公司范围内施行，鼓励非上市的大中型企业执行。要求执行本规范的上市公司，应当对本公司内部控制的有效性进行自我评价，披露年度自我评价报告，并可聘请具有证券、期货业务资格的会计师事务所对内部控制的有效性进行审计。,企业内部控制基本规范,实施的范围适用于中华人民共和国境内设立的大中型企业。小企业和其他单位可以参照本规范建立与实施内部控制。大中型企业和小企业的划分标准根据国家有关规定执行。实施的时间自2009年7月1日起实施。,企业内部控制基本规范,定义内部控制，是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。目标内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。,企业内部控制基本规范,建立与实施内部控制，应当遵循的原则：(一)全面性原则决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。(二)重要性原则在全面控制的基础上，关注重要业务事项和高风险领域。（三)制衡性原则在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾运营效率。(四)适应性原则与企业经营规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。(五)成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。,企业内部控制基本规范,内部控制五要素：(一)内部环境内部环境是企业实施内部控制的基础，一般包括治理结构、机构设置及权责分配、内部审计、人力资源政策、企业文化等。(二)风险评估风险评估是企业及时识别、系统分析经营活动中与实现内部控制目标相关的风险，合理确定风险应对策略。(三)控制活动控制活动是企业根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内。(四)信息与沟通信息与沟通是企业及时、准确地收集、传递与内部控制相关的信息，确保信息在企业内部、企业与外部之间进行有效沟通。(五)内部监督内部监督是企业对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，发现内部控制缺陷，应当及时加以改进。,企业内部控制基本规范,内部环境建立规范的公司治理结构和议事规则，明确决策、执行、监督等方面的职责权限，形成科学有效的职责分工和制衡机制。股东(大)会行使企业经营方针、筹资、投资、利润分配等重大事项的表决权。董事会行使企业的经营决策权。监事会对股东(大)会负责，监督企业董事、经理和其他高级管理人员依法履行职责。经理层负责组织实施股东(大)会、董事会决议事项，主持企业的生产经营管理工作。,企业内部控制基本规范,内部控制的实施董事会负责内部控制的建立健全和有效实施。监事会对董事会建立与实施内部控制进行监督。经理层负责组织领导企业内部控制的日常运行。企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作。董事会下设立审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。审计委员会负责人应当具备相应的独立性、良好的职业操守和专业胜任能力。,企业内部控制基本规范,企业应当通过编制内部管理手册，使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。,企业内部控制基本规范,企业应当制定和实施有利于企业可持续发展的人力资源政策。人力资源政策应当包括下列内容：(一)员工的聘用、培训、辞退与辞职。(二)员工的薪酬、考核、晋升与奖惩。(三)关键岗位员工的强制休假制度和定期岗位轮换制度。(四)掌握国家秘密或重要商业秘密的员工离岗的限制性规定。(五)有关人力资源管理的其他政策,企业内部控制基本规范,企业应当将职业道德修养和专业胜任能力作为选拔和聘用员工的重要标准，切实加强员工培训和继续教育，不断提升员工素质。企业应当加强文化建设，培育积极向上的价值观和社会责任感，倡导诚实守信、爱岗敬业、开拓创新和团队协作精神，树立现代管理理念强化风险意识。董事、监事、经理及其他高级管理人员应当在企业文化建设中发挥主导作用。企业员工应当遵守员工行为守则，认真履行岗位职责。企业应当加强法制教育，增强董事、监事、经理及其他高级管理人员和员工的法制观念，严格依法决策、依法办事、依法监督，建立健全法律顾问制度和重大法律纠纷案件备案制度。,企业内部控制基本规范,风险评估企业应当根据设定的控制目标，全面系统持续地收集相关信息，结合实际情况，及时进行风险评估。内部风险(一)董事、监事、经理及其他高级管理人员的职业操守、员工专业胜任能力等人力资源因素。(二)组织机构、经营方式、资产管理、业务流程等管理因素。(三)研究开发、技术投入、信息技术适用等自主创新因素。(四)财务状况、经营成果、现金流量等财务因素。(五)营运安全、员工健康、环境保护等安全环保因素。(六)其他有关内部风险因素。,企业内部控制基本规范,外部风险(一)经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素。(二)法律法规、监管要求等法律因素。(三)安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素。(四)技术进步、工艺改进等科学技术因素。(五)自然灾害、环境状况等自然环境因素。(六)其他有关外部风险因素。确定风险承受度风险承受度是企业能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。,企业内部控制基本规范,风险分析企业应当采用定性与定量相结合的方法，按照风险发生的可能性及其影响程度等，对识别的风险进行分析和排序，确定关注重点和优先控制的风险。确定风险应对策略根据风险分析的结果，结合风险承受度，权衡风险与收益。合理分析、准确掌握董事、经理及其他高级管理人员、关键岗位员工的风险偏好，采取适当的控制措施，避免因个人风险偏好给企业经营带来重大损失。通过风险规避、风险降低，风险分担和风险承受等风险应对策略，实现对风险的有效控制,企业内部控制基本规范,风险规避是企业对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。风险降低是企业在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。风险分担是企业准备借助他人力量，采取业务分包，购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。风险承受是企业对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制