某移动公司萨班斯-奥克斯利法案遵循项目(PPT 64页).ppt

,审计税务咨询,GLOBALSERVICE,ADVISORY,中国移动（香港）有限公司萨班斯奥克斯利法案第404条款遵循项目,毕马威华振会计师事务所风险咨询服务部,主要内容,2,项目背景及内部控制基本概念项目具体工作方法介绍,3,美国萨班斯奥克斯利法案的背景,安然、世界通讯等公司的一系列丑闻使投资者对上市公司信息披露的真实性产生怀疑；公司丑闻均牵涉上市公司管理层的错误行为，使投资者对上市公司治理制度的有效性产生怀疑；中介机构缺乏处理利益冲突的有效机制，使投资者对中介机构的独立性产生怀疑；美国证监会未能及时发现错误披露和市场欺诈行为，使投资者对监管机构监督市场运作的能力产生怀疑。,萨班斯-奥克斯利法案颁布之前美国资本市场面临信心危机：,4,与财务报告相关的重要法案、法规一览表,5,管理层声明(302条款),管理层关于内部控制的报告(404条款),重点领域,关键条款,审计委员会的标准,禁止向董事和官员贷款,加强对内部交易的报告,向财务官员颁布行为准则,上市公司会计监管委员会(PCAOB),对故意发表不实声明的刑事处罚(906条款),审计委员会事先批准所有审计师提供的服务,禁止审计师提供某些服务,5年强制轮换审计主管合伙人,保护举报人,第302条款和第404条款强调通过内部控制加强公司治理。第906条款强调刑事处罚。,管理当局报告,董事会治理,管理层和董事会行为,强制执行与惩罚,审计师的独立性,萨班斯奥克斯利法案的内容,萨班斯-奥克斯利法案,另外，第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计，并出具审计意见,6,萨班斯奥克斯利法案第404条,第404条管理层对内部控制的评价,管理层需为公司建立和维持足够的与财务报告相关的内部控制管理层还需每年报告：管理层建立和维持足够的与财务报告相关的内部控制的责任评估公司与财务报告相关的内部控制的有效性,7,萨班斯奥克斯利法案第404条的文件内容,管理层为公司建立和维持足够的与财务报告相关的内部控制的责任陈述管理层为评估公司与财务报告相关的内部控制的有效性而采用的评估架构陈述管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价陈述外部审计师已发出对管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价的审计意见,萨班斯奥克斯利法案第404条（续）,主要交易是如何启动、记录、处理和反映在财务报告中用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制非经常性、非系统交易或财务估计的内控措施财务报表关账和汇总过程中的内控措施资产保护的控制措施公司层面的控制措施,8,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括：,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制,涉及主要交易类型的交易启动、授权、处理以及最终在财务报表中的披露过程中各环节的主要内部控制,业务系统,核心业务流程,网络建造和管理,收入和计费,采购和存货管理,9,计费系统,财务核算系统,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制,财务报告,交易,10,会计认定,存在或发生（ExistenceorOccurrence）完整性（Completeness)权利和责任（RightsandObligations）价值（Valuation）表述和披露（PresentationandDisclosure）,11,确定需要评价的内部控制-业务流程举例（收入和计费流程）,萨班斯-奥克斯利法案第404条款要求进行评价的内部控制,12,萨班斯奥克斯利法案第404条的生效日,“提前申报人”：在2004年11月15日或之后结束的首个财政年度(原为2004年6月15日)其他(包括国外私人发行人)：在2006年7月15日或之后结束的首个财政年度(原为2005年7月15日)首次国外申报人：在2006年7月15日或之后结束的首个年度报告(表格20-F),萨班斯奥克斯利法案第404条（续）,中国移动适用的是“2006年7月15日或之后结束的首个财政年度”，即2006年12月31日结束的财政年度,13,上市公司会计监管委员会第2号审计准则,萨班斯-奥克斯利法案第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评价。,13,萨班斯-奥克斯利法案第404条与上市公司会计监管委员会第2号审计准则,上市公司会计监管委员会配合第404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求。,必须承担与公司财务报告相关的内部控制有效性的责任采用适当的内控框架(例如COSO，国际认可的内部控制框架)，评价公司与财务报告相关的内部控制系统的有效性以充分的凭证(包括档案文件)支持评价结果针对公司最近年度财务报告的内部控制有效性提交书面报告,14,上市公司会计监管委员会第2号审计准则（续）,对管理层的要求,15,根据上市公司会计监管委员会第2号审计准则的要求，对与财务报告相关的内部控制进行独立审计，并正式出具一份审计师404审计报告，当中包括两个评价意见,评价意见(1)对管理层评价结论的意见,评价意见(2)对公司与财务报告相关内部控制有效性的独立意见,上市公司会计监管委员会第2号审计准则（续）,对外部审计师的要求,16,与公司必要的沟通以书面向审计委员会报告已发现的所有内部控制显著缺陷和重大漏洞必须在公布审计报告前进行沟通通知管理层已发现的所有与财务报告相关的内控缺陷并通知审计委员会已与管理层对内控缺陷作出沟通,萨班斯-奥克斯利法案第404条不仅要求公司财务报表没有重大错报(significantmisstatement)，还要把这种可能性降至最低的水平。而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或不表示意见。,16,对外部审计师的要求,上市公司会计监管委员会第2号审计准则（续）,17,COSO(TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission，即美国反对虚假财务报告委员会的发起组织委员会)把内部控制定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。基本概念包括：内部控制是一种过程；内部控制的有效运作受人影响；内部控制只能为企业提供合理保证；及内部控制的设计旨在达成企业之目标。COSO的网址:,内部控制的基本概念,美国反虚假财务报告委员会的发起组织委员会COSO内部控制框架,所有五大元素必须同时发挥作用，才能让内部控制有效地运作,控制活动确保落实管理层的政策/流程措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离,监控评估内部控制系统整合及时独立的评估管理层和监控机构的工作内部审计,信息和沟通定期获取、确定并交流相关的信息评审内部和外部获取的信息信息流：职责指导管理层的总结成功的措施,控制环境管理哲学和经营风格因素包括正直、道德价值、能力、权威和责任董事会和审计委员会人力资源政策和实务是其它内部控制组成部分的基础,风险评估风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作,18,COSO内部控制框架,返回目录,19,项目具体工作方法介绍,项目总体时间表省公司在推广记录阶段工作步骤,流程记录阶段工作方法穿行测试工作,省公司在内部控制设计缺陷改进阶段工作步骤省公司在测试和评价阶段工作步骤省公司在持续跟进和评价阶段工作步骤,20,项目总体时间表,制定评估计划和范围阶段,试点记录阶段,推广记录阶段,内部控制设计缺陷改进阶段,测试和评价阶段,持续跟进和评价阶段,2005年7月,2005年8月-12月,2006年1月-4月,2006年1月-6月,2006年5月-9月,2006年9月-12月,外部审计师审计阶段,中期审计2006年7月-9月年终审计2006年12月-2007年1月9月,返回目录,21,省公司在推广记录阶段工作步骤,项目准备阶段,流程记录阶段,流程记录和改进建议确认阶段,约一个月,约一周,通知起前十天,接到总部项目启动,22,确认子流程记录时间安排表确认人员名单各流程执笔人、穿行测试资料收集人、参与访谈人员与毕马威协助人员共同组成访谈小组，执笔人为访谈小组组长，以小组讨论的形式，参考中国移动内部控制手册，结合本省流程现状进行流程现场记录，并提炼控制点、分析差异、归纳缺陷和提出改进建议穿行测试,省公司在推广记录阶段工作步骤,流程记录步骤具体工作内容,项目准备阶段,流程记录阶段,流程记录和改进建议确认阶段,23,流程参与部门负责人确认流程记录和改进建议省公司管理层确认流程记录和改进建议,省公司在推广记录阶段工作步骤,流程记录和改进建议确认步骤具体工作内容,项目准备阶段,流程记录阶段,流程记录和改进建议确认阶段,24,省公司在推广记录阶段工作步骤图解,项目准备,中国移动内部控制手册,工作小组讨论,与财务报告相关的内控记录框架,XX省内部控制手册,穿行测试资料,确认程序,流程记录,返回目录,25,流程记录阶段工作方法,记录什么？-财务报告相关内部控制记录的基本框架和内容-确定与财务报告相关的内部控制如何记录？-以流程描述的方式记录控制活动-记录与财务报告相关的内部控制的工作底稿-使用流程记录模版-提炼主要控制点谁记录？-内部控制记录工作的人员组织架构,26,内部控制记录的基本框架和内容,按照COSO框架确定的与财务报告相关内控记录包括以下部分：,信息技术整体控制内部控制框架资本性支出业务流程收入和计费业务流程存货管理流程营运支出业务流程货币资金管理流程固定资产和无形资产管理业务流程人工成本管理流程会计和财务报告筹资业务流程关联方业务流程法律法规遵循业务流程,返回,27,确定与财务报告相关的内部控制,COSO对内部控制的定义：内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。,经营的效果和效率财务报告的可靠性（萨班斯法案关注的内部控制）法律法规的遵循,对主要交易是如何启动、记录、处理和反映在财务报告中的控制措施；与选用恰当的会计政策相关的控制措施；用以防范错误或舞弊的内部控制措施；其它重要内控措施所依赖的内部控制，例如信息系统控制措施；非经常性、非系统交易或财务估计的内控措施；公司层面的控制措施：与控制环境相关的控制措施；财务报表关账和汇总过程中的控制措施。,28,与财务报告相关的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制，包括：,确定与财务报告相关的内部控制（续）,29,确定与财务报告相关的内部控制（续）,准备人员,结果记录,独立的第三方审查完整性/准确性/存在性（MR）,批准（AU）,系统输入前，审查其是否经过适当授权（MR）,记录,系统A,独立的第三方准确性审查数据完整性和准确性（MR）,系统权限控制/查验痕迹,接口/转换控制（如存在两个或两个以上的系统）,系统设置与账项映射,例外报告/修订报告,审阅例外报告，跟进处理差异事项（MR）,例外报告,系统B,报告,MR-管理层审阅,AU-授权,人工控制,系统控制,启动,授权,记录,处理,报告,如果此报告是另一个流程的开始，可以重新循环开始,预算控制质量控制成本控制安全生产控制绩效考核,30,有些控制属于公司的经营性控制，而非确保财务报告可靠性的控制：,确定与财务报告相关的内部控制（续）,但是，应对这些控制应进行分析。确定其是否与财务报告中的会计科目相关。,某些控制可能既是经营性控制，又是财务报告控制。例如，预算控制虽然是一项经营性目的的控制，但是若管理层关注预算与实际发生额的比较并希望借此发现财务记录中的错误，则实际经营数据与预算进行比较，并生成例外情况报告构成一项与财务报告相关的控制。例如，绩效考核的目的是为了经营的效率和效果，但是如果通过绩效考核程序确定的薪金将记录为财务报告中的人工成本，则应当对绩效考核过程中确保数字可靠性和防止舞弊的控制进行记录。,31,确定与财务报告相关的内部控制（续）,返回,32,在对与财务报告相关的内部控制程序进行记录之前，必须先了解企业的运作，确定主要的业务流程，才有可能记录、了解并测试相应的内部控制。业务流程-企业的某一项业务按其从发生到结束的顺序分解成若干个明显的阶段，然后可以用这些分解的阶段比较详细地描述出此项业务。,以流程描述的方式记录控制活动,33,外部商业环境及风险相关者经济环境、社会环境、技术环境、法律法规，国家政策、资本市场客户、投资者、供应商、业内竞争者,市场,战略管理流程战略管理公司治理,核心业务流程收入资本性支出采购存货管理客户管理,资源管理流程人力资源管理信息技术管理法律法规遵循管理财务及资金管理,核心产品和服务,客户,供应商和战略合作伙伴,以流程描述的方式记录控制活动-业务模型,34,流程和部门的关系,部门是业务流程的载体，因此确定每一业务流程所涉及的部门十分重要；每一业务流程都由不同部门的活动构成，同时同一部门又可能涉及不同的业务流程；相对于以部门为基本单位，以业务流程为基本单位对内部控制进行记录和描述，可以更好地将内部控制程序与其所希望控制的风险、达到的目标和会计报表认定进行对应,以流程描述的方式记录控制活动（续）,35,流程和部门的关系,计费帐务部门,财务部门,网络部门,计费帐务部门,财务部门,网络部门,目标？风险？会计报表认定？,资本性支出流程,成本费用管理流程,特定的目标、风险和会计报表认定,特定的目标、风险和会计报表认定,按照业务流程按照部门,需求发起部门,工程建设部门,交易结果记录部门,费用支出部门,费用支出部门,费用记录部门,以流程描述的方式记录控制活动（续）,返回,36,记录与财务报告相关的内部控制的工作底稿,对于每个与财务报告相关的业务流程，均需详细记录以下方面内容：,37,1业务流程范围对业务流程所涵盖的主要业务活动范围的描述，以及业务流程各个环节所涉及的部门的名称。要求：对于流程所涵盖的主要业务活动范围要清晰，对于有可能在两个或多个流程中都有涉及的业务活动要根据重要性原则进行界定，避免遗漏和重复；要使用规范统一的部门名称；,记录与财务报告相关的内部控制的工作底稿（续）,38,2、所涉及的应用系统和重要电子表格本流程所涉及的信息技术应用系统，以及在业务流程中可能会最终影响财务报告的重要电子表格。要求：必须列明信息技术应用系统和电子表格的全称；电子表格仅限于需要手工加工处理计算的电子表格，并且这些电子表格上的数据最终会影响财务会计科目数据或披露,记录与财务报告相关的内部控制的工作底稿（续）,39,3、目标业务流程中与财务报告/防范错误或舞弊相关的目标。要求记录工作主要关注与财务报告/防范错误或舞弊相关的目标，与经营的效率和效果、法律法规遵循相关的目标不必涵盖。意义较为相近的应尽量简化、合并。,记录与财务报告相关的内部控制的工作底稿（续）,40,4、风险业务流程中存在的，可能影响财务报告的可靠性以及在防范和找出错误或舞弊方面的风险。要求本项目主要关注财务报告方面和找出错误或舞弊方面的风险，确认风险时，意义较为相近的应尽量简化、合并；风险描述应尽量具体，应对可能给公司造成的潜在损失和不利后果进行准确描述。,记录与财务报告相关的内部控制的工作底稿（续）,41,5、相关会计科目记录业务流程过程中涉及的会计科目。应从业务流程范围包括的业务活动出发，判断所有交易信息通过什么会计科目反映在财务报告上。纳入评价范围的业务流程将涵盖会计报表中所有重大会计科目和信息披露。,记录与财务报告相关的内部控制的工作底稿（续）,42,6、流程描述将业务流程根据交易从发生到结束的顺序，对主要交易是如何启动、记录、处理和反映在财务报告的流程和程序进行记录。要求描述流程步骤时应始终从目标和风险的角度出发，尽量不涉及与流程目标和对风险进行控制无关的步骤。,记录与财务报告相关的内部控制的工作底稿（续）,43,7、关键控制点关键控制点的设计和执行情况是决定内部控制有效性的关键因素之一。关键控制点是指在风险评估的基础上，经过具体分析比较各内部控制活动在实现其控制目标有效性的能力，确定的内部控制活动。仅仅执行这些关键内部控制活动而不执行其他内部控制活动或忽略控制环境、风险评估、信息与沟通和监控等其他控制元素的影响将不能够保证财务报告可靠性和相关披露准确性、完整性。但这些关键控制点在全部内部控制活动中的重中之重的地位，能够更有效地确保财务报告可靠性和相关披露准确性、完整性。,记录与财务报告相关的内部控制的工作底稿（续）,返回,44,使用流程记录模版,返回,流程记录模版,省公司内部控制手册编写说明,45,提炼主要控制点,与财务报告相关内部控制的主要类型,记录与财务报告相关内部控制的七个要素,46,授权及批准核对系统设置关键绩效指标异常情况报告和预警报告配置帐项映射控制系统系统访问权限管理层审阅职责分工,提炼主要控制点,与财务报告相关的内部控制的主要类型,47,提炼主要控制点,与财务报告相关的内部控制的主要类型（续）,48,提炼主要控制点,与财务报告相关的内部控制的主要类型（续）,49,提炼主要控制点,记录与财务报告相关的内部控制的七个要素,r,50,记录与财务报告相关的内部控制的七个要素（续）,控制点：财务部定期进行盘点。,a,提炼主要控制点,注：盘点报告报管理层审批需要单独作为一个控制点描述。,返回,51,组织架构和工作方式,项目管理委员会,项目牵头部门,流程主要负责部门,流程参与部门,流程主要负责部门负责人,项目牵头部门负责人,流程参与部门负责人,流程主要负责部门联络人,项目总协调人,流程参与部门联络人,项目工作小组为项目管理委员会下设的执行机构，具体由各流程的项目牵头部门、流程主要负责部门、流程参与部门的负责人员、联络人组成,52,组织架构和工作方式,项目牵头部门负责人、流程主要负责部门负责人和流程参与部门负责人领导本部门完成本项目工作，具体工作可授权项目总协调人和联络人执行,53,组织架构和工作方式,小组讨论按业务流程分为若干小组进行讨论和访谈，每个子流程对应专门的小组每个子流程/小组配备执笔人，负责主持讨论并根据讨论结果对流程进行记录每一小组配备一名毕马威项目人员，负责在确定流程范围、关键控制点方面提供协助每个小组配备一名资料收集负责人，负责根据讨论结果收集整理穿行测试资料,54,小组讨论方法,执笔人主持讨论，并按中国移动内部控制手册引导讨论方向；与会人员积极发言，根据本身所处的部门职责将流程的具体内容进行详细叙述；如果对于流程中某些环节有不确定之处，可以由相关部门人员通过电话等形式现场确认；如果不确定之处过多，则执笔人应先行记录，会后通过电话、统一另行安排面谈等形式确认；在讨论过程中毕马威工作人员随时提供咨询，协助确定流程的描述范围和关键控制点；执笔人负责将讨论结果记录整理成标准格式的书面文稿,组织架构和工作方式,55,执笔人职责,组织架构和工作方式,主持和引导流程访谈小组开展讨论，并控制讨论的时间进度；在总部下发的流程记录模板中对访谈小组成员的讨论内容进行记录，记录内容包括流程现状、主要控制点、发现的缺陷和初步改进建议；协调和解决小组访谈过程中产生的分歧；根据收集到的穿行测试资料，对流程记录进行修改；根据毕马威协助人员的审阅意见，对流程记录进行进一步修改。,56,组织架构和工作方式,在流程访谈的过程中根据访谈小组共同明确的穿行测试资料，对在准备阶段确定的本子流程穿行测试资料初步清单进行更新；组织访谈小组成员根据更新的穿行测试资料清单收集穿行测试资料；对收集的穿行测试资料进行整理编号，并按照穿行测试资料收集要求进行审阅；如收集到的穿行测试资料发现流程记录与现状不符，提醒执笔人修改流程记录；完成穿行测试工作底稿；全程参加子流程访谈，同时负有流程参与访谈人员的职责。,穿行测试资料收集人职责,57,组织架构和工作方式,准时参加相关流程的访谈；访谈时积极发言，在执笔人的主持下对负责的子流程进行详细的描述、发表自己对主要控制点、所发现缺陷和改进建议的意见；积极配合穿行测试资料收集人收集资料；对流程执笔人整理后的流程记录初稿进行审阅并反馈意见。,流程参与访谈人员职责,返回目录,58,穿行测试是一种常见的对内部控制程序的测试、评估方法。穿行测试的目的在于：,穿行测试工作,穿行测试的目的,确认流程是否与记录相符；确认流程中与财务报告相关的内部控制的设计是否与记录相符，包括与发现或防止舞弊相关的控制；通过确定是否流程中可能出现的与每个财务报告认定相关的错报的风险点均被识别，来确认对于流程的记录是否完整；评价内部控制设计的有效性；确认相