萨班斯-奥克斯利法案404条款_合规性项目培训讲义.ppt_第1页
萨班斯-奥克斯利法案404条款_合规性项目培训讲义.ppt_第2页
萨班斯-奥克斯利法案404条款_合规性项目培训讲义.ppt_第3页
萨班斯-奥克斯利法案404条款_合规性项目培训讲义.ppt_第4页
萨班斯-奥克斯利法案404条款_合规性项目培训讲义.ppt_第5页
免费预览已结束,剩余35页可下载查看

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、无锡尚德太阳能电力有限公司萨班斯-奥克斯利法案404条款合规性项目培训(一),2005年12月21日,议程,简要介绍 甫瀚简介 本次培训的目标 萨班斯法案介绍 萨班斯法案实施概况 法案302 要求公司的首席执行官与财务总监对应SEC要求所做出的所有定期公司资料披露,包括财务资料的可靠性发表声明; 要求上市公司随首席执行官与财务总监的财务报告可靠性声明提供公司内部控制制度的评估报告(无论年报或者中报均有此要求)。 这一系列新要求的结果就是: 上市公司首席执行官与财务总监的工作质量被期望比以往任何时期都更为严格。即便是诚信度最高,最为审慎的管理者也不得不采取额外的措施将其各种为实现规范操作所做的内

2、控方面的努力都付诸于文字,以保证相关各方面的工作都已得到充分支持。以保证做到有据可依,形成重视职业道德的企业文化。 特别是,SOA 法案强调严厉禁止外部审计工作人员为上市公司提供非审计服务,如:代理记账,财务系统设计,资产评估,内部审计人员外包,人事管理及其它任何管理职能的参与,投资咨询经纪,法律服务等等。,萨班斯-奥克斯利法案实施概况(续),301条款:上市公司应建立一套程序使得员工能够在充分保密的条件下实现对可疑的会计或审计事项的匿名报告。 注意:此条款已生效。 302条款:管理层应每季度对其信息披露控制 / 流程的设计与执行有效性进行评价 (信息披露控制包括内部控制)。 注意:此条款已生

3、效。 404条款:管理曾应与年度财务报表同时递交内部控制报告。该报告应声明: 管理层有责任建立并维护针对财务报告工作的充分的内部控制与流程; 管理层在年末对其内部控制有效与否的结论; 公司的外部审计师已经验明并就管理层对公司财务报告方面内部控制有效性的评估结果发表意见。 注意:对于美国本土上市公司,此条款于2004年11月15日以后的报表截至日生效;对于美国本土以外的上市公司,此条款于2006年7月15日以后的报表截至日生效。 906条款:强调了如果公司的定期财务报告所含信息在所有重大方面不能公允地反映公司的财务状况和运营成果则公司将面临违规罚款。 注意: 此条款已生效,法案302 申明基于他

4、们的了解,信息已经被公允地报告且不包括误导信息或重大遗漏; 申明该高管建立、维护以及评价信息披露控制和程序的责任; 发现任何重大内控缺陷和重要内控弱点或员工舞弊案例均向审计师和审计委员会披露; 以及 披露内控的重大变更.,萨班斯法案要求 404条款,404条款要求管理层提出年度内控报告 管理层被要求随年报提出一份内控报告, 申明 管理层建立和维持基于财务报告的内部控制和流程的责任 管理层年末对内控有效性的结论 公司外部审计师已经就管理曾对基于财务报告内控的评价进行了测试和报告 管理层必须每季度(如果是外国公司,则每年度)评价基于财务报告的内部控制(以及其信息披露控制和流程)设计和实施的有效性

5、注: 最终的SEC法规规定这些404条款的相关要求于2004年11月15日后的财政年度生效.,萨班斯-奥克斯利法案对内控的评价,在SOA 法案问世之前,内部控制制度的设计及对其有效性的监控只是管理层人员的职责。而现在,根据该法案的要求,这一职责变成了上市公司所有员工的共同责任。 为使管理层达到法案的要求而收集公司的各种有关内部控制的信息/资料便成为一项重要的任务。这一搜集整理和归档工作必须服务于两大目标:首先,它必须支持管理人员关于公司内控的设计及有效性的判断。其次,这一工作成果必须能够方便外部审计人员对企业的内控制度进行审核与测试,从而验证管理层的判断。 SOA 法案的302条款要求公司的首

6、席执行官与财务总监以季报为基础,就公司财务报告流程的可靠性签署一份保证性声明。如果发现这部分内控存在重大缺陷,或者发生了重大变化,抑或管理层存在舞弊行为,公司的首席执行官与财务总监必须再将这些信息披露给外部审计人员及审计委员会。 SOA法案的404条款要求公司管理层应随同公司年报就公司财务报告流程的内部控制制度的认定提供一份报告。公司的外部审计者必须对管理层的认定发表审核意见,并在审计报告中予以说明。,为了符合 SOA 法案的要求,特别是404条款的要求,公司的管理层需要辅以专门的项目小组为公司的内控设定标准,将内控程序形诸文字与图形, 设计并评估内控制度,对内控制度进行测试并建立持续的评估办

7、法。 无论这些关键点是什么,管理层都必须能找出它们和与它们对应的流程责任人。这样一来,相关的流程责任人就可以在日常工作中对这些特定内控程序的有效性进行经常性的评估,为管理层在内控报告中的认定提供可靠的事实根据。 302条款已经生效。404条款的生效则被推迟,为的是给上市公司及其审计人员充分的准备时间。在404条款生效以前,各上市公司面临的工作将是把公司的内控流程书面化,确认存在财务数据错报漏报可能的内控缺陷环节,评估内控程序,测试内控有效性,寻找差距并采取措施缩短差距。 面临这一工作任务,许多公司采取了组织一个最佳实践揭示委员会的办法。该委员会的人员组成与内控报告所涉及的业务模块相对应,为各主

8、要业务流程的负责人,如负责生产的副总经理等。还包括公司的首席执行官,财务总监,高级顾问。部分公司的委员会还包括公司的内审主管人员。内审人员负责把公司各个流程的内控流程文件汇总的工作。也有公司聘用外部的内审人员来帮助完成这一工作。,萨班斯-奥克斯利法案对内控的评价 (续),COSO 框架,“In our opinion, managements assertion that Suntech maintained effective internal control over financial reporting as of December 31, 2006, is fairly stated

9、, in all material respects, based on criteria established in Internal Control Integrated Framework issued by the Committee of Sponsoring Organizations of the Treadway Commission (COSO).”,COSO框架从三维角度提供了评价内部控制的标准 要求在公司层面和流程层面的关注 包括三个目标: -经营的有效性和效率 - (包括资产的安全性) -财务报告的可靠性 -符合适用的法律法规 包括五个组成部分: -控制环境 -风险评

10、估 -控制活动 -信息与沟通 -监督,404条款的符合性战略,内控报告的内容 管理层在建立和维护与财务报表相关内控方面的责任 管理层用来评价内控的标准 管理层在年末对内控有效性作出结论 审计师出具报告评价管理层的结论 SEC 对管理层内控声明的限制 如果内控存在重大性弱点,管理层不允许作出公司财务内控是有效的结论。 实际上,管理层声明财务内控有效也就是声明公司内控没有重大性弱点。,404条款的符合性战略(续),SEC对内部控制的相关理解 与COSO 内部控制相符 完整的框架 将萨班斯-奥克斯利诠释为公司管理层最终对内控负责 提到在安全法中提及的对资产的维护和内部财务控制 未将公司经营和公司的合

11、规性包含在现行法律规章中。但是,公司必须符合与编制会计报表相关的法律和规章 与报表相关的内部控制和内控及流程披露的关系 302条款提到披露控制和程序;404条款重点论述与财务报表相关的内部控制。这两种类型的控制和程序有重叠之处。 因此404条款的符合性和302条款的证明有关。公司须尽力符合404条款,使管理层能签署302条款声明,证明其公司内控完善。如果要披露一系列的内控,那么与财务报表相关的内控需一季度评价一次。,在萨班斯-奥科斯利法案的要求下,外部审计师必须对其客户在财务报告方面的内部控制发表意见。 PCAOB 发布了第二号审计准则:“在对财务报表进行审计的同时,应对财务报告方面的内部控制

12、进行相应的审计。” 第二号审计准则的部分重点内容 重要性水平是一种标准 业务单位 流程/帐户 对内控记录的不足会导致审计范围受到限制 测试 每年的测试仅对该年有效 内控的重大不符应报告给审计委员会 重大的内控缺陷应公开报告 重大内控缺陷举例 财务报表重述 重大的审计调整 无效的审计委员会监控 无效的内审功能(针对较大的公司),外部审计的要求,法案规范对象和时间要求,所有向美国证监会提供年报的上市公司. 向美国证监会提供年报(如Form 10-K )的外国公司也无法豁免 美国公司必须在2004年11月15日后结束的财政年度符合并通过该法案. 外国公司(市值美元75m)必须在2006年7月15日后

13、结束的财政年度符合并通过该法案. 美国及外国公司(市值美元75m)必须在2007年7月15日后结束的财政年度符合并通过该法案. 尚德电力需要在2006年12月31日通过首次评估,萨班斯法案对尚德电力的影响,最终成果 . . .,尚德电力必须以所有控制实体为基础建立一套正式的,书面的,可承受的以及持续的流程来评价基于财务报告的内控有效性; 管理层必须每年发布一个内部控制报告; 德勤必须每年对尚德电力基于财务报告的内部控制发表意见,未合规可能产生的影响,未达到404合规性要求的后果是什么? 企业名誉和公共形象受损 外部审计师可能拒绝签署管理层关于控制结构的认定 可能导致美国证券交易委员会的调查或罚

14、款 投资者、债务人和客户的信心将遭到更深的打击,进而影响股价和现有的融资渠道,“正确地治理公司如同正确地治理国家,将会对世界经济产生至关重要的影响。” 詹姆士 D. 乌尔弗森, 世界银行总裁,SOA404条款合规性的严酷现实,SOA404条款要求对所有商业流程以及流程中的关键控制进行书面描述并归档,包括人工控制和系统控制。 SOA404条款要求对这些控制进行测试 包括管理层测试,以及之后外部审计师的再次测试。 SOA404条款合规性项目既不是一个竞赛项目,启动越早就能够结束越早;也不是一个“一劳永逸”的项目。对于SOA404条款合规性项目,管理层必须做好长期作战的思想准备。 “过程” vs.

15、“项目” 思想准备 该合规性项目将耗费企业大量的时间和金钱; 首席财务官杂志报道说,调查显示平均每一萨班斯-奥克斯利项目均超支60%以上,选择优先的要素,记录公司级控制 (“最高层的声音”) 选择优先的科目和披露内容 考虑对财务报告和误报风险的重要性,记录流程,记录对财务报告优先要素产生重大影响的交易流程,找寻风险和控制,使用财务报告认定来找出流程中“哪里会出错?”,什么是风险? 什么是控制? 谁对控制负责?,评价控制的设计,记录风险根源的控制(预防性)或者流程中下游的控制(发现性以及纠正性) 评价并记录公司级和流程级控制设计的有效性,控制设计如何评价?,验证控制的实施,测试并记录公司级以及流

16、程级控制实施的有效性,控制实施的怎样?,报告,结论 披露 报告,合规性流程简介,有无需要解决的问题?,弥补确定的差距,设计、建立、测试以及实施控制措施,面临的挑战,所有的SEC注册公司将面临重大的挑战: 我们如何保持记录的准确性和时效性? 我们如何保证全公司采用同样的记录标准? 我们如何保证记录的质量? 我们如何将控制记录与COSO框架联系? 我们如何能够有效率地利用信息来完成对控制的评价? 我们如何有效地为审计师作验证提供信息? 我们如何能随时间过去保持对控制评价的支持? 我们如何能够利用记录来推动公司内控制和流程的提升?,项目工作方法概述,技术,流程管理 (Sarbox Portal),评

17、估管理 (The Self Assessor),评估与识别 现有的流程,设定基础,项目管理,知识共享,沟通交流,后续完善,我们的方法,编制所设计和评价的主要流程及控制文档,为控制差异 设计解决方案,执行相关解决方案,出具报告,步骤一,步骤二,步骤三,步骤四,财务报表要求,相关流程,内部控制 报告,内部控制报告 构成要素,流程风险,控制设计,内控改善,控制运行,公司层面控制,成功因素,第一个月 第二个月 第三个月第四个月 第五个月第六个月,萨班斯诊断,一般项目 所需时间,项目实施方法,项目实施方法 设定基础,设定基础,项目组建 制定项目计划 协调项目目标和报告需求, 与客户达成一致,确定项目主导

18、人员 确定项目小组成员 分配任务和工作、确定相关责任 设定项目目标 建立关键途径 确定关键成功因素 确定重要事件和检查点 确定外部专家顾问 认同一般流程和风险类型 确定编制文档和评估的方法 决定公司层面检查要素和目标 确定辅助工具和技术 认同控制框架 协调与外部审计的关系,设定基础,1. 评估与识别 现有流程,2. 编制所设计和评估的流程与控制文档,3. 为控制差异设计 解决方案,出具报告,4. 执行相关解决方案,1.1理解会计准则和SEC报告要求 1.2 设定决策标准: - 财务报告构成要素 - 文档编制类型和详细程度 - 确认程度 1.3 识别并排序财务报表科目 1.4利用萨班斯诊断工具(

19、Sarbanes-Oxley Diagnostic), 创建记分卡和行动计划 1.5确认组织各业务流程 1.6 识别并排序相关流程,为进一步分析作准备 1.7确认流程负责人和其他主要联络人员 1.8明确可利用的内部控制文件 1.9记录财务关账程序 - 流程、数据信息和负责人 - 风险、控制和披露信息 1.10查阅许可证明等特殊流程文件 1.11协调与外部审计的关系 1.12为步骤二的实施制定行动计划,2.1识别财务报表关键科目的风险和认定 - 将其转换为控制目标 - 将每一个流程的目标制成文档 2.2记录目标流程 - 绘制输入信息、相关活动和输出信息流程图 - 查找风险所在 - 说明控制点 -

20、 获得流程负责人的确认签字 2.3 评估主要活动与业绩 2.4 评估所设计的控制的有效性 (是否与目标相一致) 2.5评估所应用的控制的有效性 (按设计所运行的控制) 2.6 记录职员相关的工作和责任 2.7 评价组织是否遵循会计准则和SEC报告要求 2.8 汇总结果并为步骤三的实施制定行动计划,4.1 编制培训指南和相关文档 4.2 提供培训 4.3 测试并持续改进意见 4.4 应用后续流程改进方法,步骤一: 评估与识别 现有的流程,步骤二:编制所设计和评价的主要流程及控制文档,步骤三: 为控制差异设计 解决方案,步骤四: 执行相关解决方案,3.1 修正流程图 3.2 设计流程,以便识别对控

21、制有重大影响的变化 3.3 记录已经修正的政策和相关程序 3.4 编制单位或流程负责人监督报告 3.5 编制重大问题汇总管理层报告,获得其证明和认可 3.6 为其他一些目标安排人员、工作和责任 3.7 安排其他补充行动 3.8 为步骤四编制实施计划和时间表,方法,步骤,设定基础,1. 评估与识别 现有的流程,2. 编制所设计和评价的主要流程及控制文档,3. 为控制差异设计 解决方案,出具报告,4. 执行相关解决方案,项目实施方法 具体实施 1 - 4,5.1 继续监督现有和后续发现的运营变化,并评估潜在的控制风险或不确定性影响 5.2 阐明内部控制对保证财务报告的可信赖性相关的结论 5.2 与

22、执行管理层、高级管理层、项目主导人和董事会沟通汇报 5.3 向外部审计师提供最终结果和文档,以协助其进行相关流程确认工作 5.4 对流程确认结果做出结论 5.5 书写内部控制报告,出具报告,设定基础,1.评估与识别 现有的流程,2.编制所设计和评价的主要流程及控制文档,3.为控制差异设计 解决方案,出具报告,4.执行相关解决方案,项目实施方法 具体实施 5,项目小组,甫瀚 服务团队,尚德电力 服务团队,Albert Lee,Helen Wang,Vincent Cai,Sabrina Guo,Charles Dong,Clare Ma,Wee Teong Cheah,尚德电力 首席执行官/首席

23、财务官,尚德电力 审计委员会,待决定,符合萨班斯法案404条款需要全公司参与及通力配合!,各部门的配合,人事部门,财务部门,销售部门,生产部门,行政部门,内审部门,首席执行官,审计委员会,时间安排,评价现状并认定 相关流程,设立基础,记录设计和评价关键 流程和控制,为控制差距设计 解决方案,为控制差距实施 解决方案,持续监控并评价相关流程,PHASE I,PHASE II,PHASE III,PHASE IV,2005,2006,2007,与 DTT的讨论点,发表内控报告和DTT测试2006年12月31日,DTT 测试 预演 2006年9月30日,公司404项目小组需完成以下任务: 对重要流程

24、的记录 流程图表 风险控制矩阵 守则/制度 及 流程/ 手册 评价控制设计的有效性 (整个项目期间) 记录控制和流程 评价控制实施的有效性 (TBD),公司需要完成的任务,IT 控制与测试,IT Process Level Control Evaluations,IT Organization and Structure,IT Entity Level Control Evaluations,Consider three levels: General IT processes Application and data owner processes Application-specific

25、processes,COSO* entity level “tone at the top” Entities for technology organization(s) Entities for application and data organizations Focus on IT controls, risk assessments and overall communications and monitoring,Understand: IT management and organization Business unit/geographical organization Strategy for technology and application management,Protiviti has a standardized methodology for Section 404 compliance related to IT risks and controls, which is integrated into our overall 404 methodology based on the COSO framework. The diagram below illustrates our approac

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论