Sarbanes-Oxley_Act体系

Click to edit Master title style,Click to edit Master text styles,Second level,Third level,内部控制和萨宾斯法案,一、基本概念阐述,二、内控系统整体架构,三、内部控制的实施,走进,内部控,制,-,主要内容,内部控制,-,被定义为一个过程，这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证：,营运的效果和效率,财务报表的可靠性,相关法令的遵循,内部控制的定义,COSO,www.,coso,.org,管理风险,管理风险习惯上分为以下五类：,财务和经营信息不足,政策、计划、程序、法律和标准贯彻失败,资产流失,资源浪费和无效使用,不能达到企业的目的和目标,风险的后果？,竞争失败,经营中断,法律诉讼,商业欺诈,无益开支,资产损失,决策失误,风险如何最小化？,风险最小化,加强系统的内部控制,对可能的损失投保,当可能的风险较大时，寻求较大的回报,内部控制如何降低风险？,暴露的金额,发生的,可能性,风险的大小,内部控制,降低,成 功,内部控制的重要性,有效的,内部控制,风险与经营回报的良好平衡,内部控制的重要性（续）,COSO,报告内部控制整体架构,AICPA,审计准则公告第78号,会计法（第四章第27条）,财政部内部会计控制规范,证监会证券公司内部控制指引,证监会商业银行内部控制指引征求意见稿,.,内控系统的整体架构,控制环境,是任何企业的核心，是企业的人以及它所处的环境,是推动企业的引擎，也是其他要素的基础,控制环境的组成要素：,管理哲学和经营风格,组织结构,董事会及其委员会职能,职责分配和授权,人事政策,控制环境管理哲学和经营风格,审计署对23家企业的调查结果,金额（亿元）,资产不实,10.39%,负债不实,7.89%,利润不实,38.87,其中：虚报,94.98%,36.92,隐瞒,52.89%,20.53,潜亏,92.77%,36.06,独立董事,专门委员会,设立审计委员会，及委员会成员资格要求,审计委员会职责,专门委员会与外部中介机构,监事会,监事会职责,监事会与外部中介机构,控制环境董事会及委员会职能,风险评估,企业必须了解它所面临的风险，并加以控制。即设立可辨识、分析和管理相关风险的机制,风险评估就是分析和辨识为实现企业目标所可能发生的风险。,目标,风险,控制行为,控制活动,环境变化后的管理,评估和更新,如何有效地进行风险管理,各行业的前10种最主要的风险因素,次序,银行/保险业/证券,制造业,其他,1,内部控制的质量,内部控制的质量,内部控制的质量,2,管理人员的能力,管理人员的能力,管理人员的能力,3,管理人员的正直程度,管理人员的正直程度,管理人员的正直程度,4,会计系统的近期变动,单位的规模,会计系统的近期变动,5,单位的规模,经济环境恶化,业务的复杂性,6,资产的流动性,业务的复杂性,资产的流动性,7,重要人员的变动,重要人员的变动,单位的规模,8,业务的复杂性,会计系统的近期变动,经济环境恶化,9,快速的增长,快速的增长,重要人员的变动,10,政府法规,管理人员对完成目标的压力,快速的增长,控制活动,企业必须基于风险评估的结果订立控制风险的政策及程序，并予以执行。,通常可以按业务分别进行制定。,现金管理,资本性采购,采购和付款,人事和薪金,营销和销售,存货管理,控制活动的类型,1,预防性控制,2,检查性控制,3,纠正性控制,4,补偿性控制,事前事中事后,一些重要的内控方法,职责分离控制,授权批准控制,内部报告控制,电子信息技术控制,不相容职务相互分离控制示例,工作职责,存在的风险,同时负责现金的收取和应收账款的会计记录,可能会通过注销应收账款和截留应收账款等调节账簿的方法来私自挪用现金,同时负责购货订单的审批和货物的收取,可能以组织的名义为个人购入货物，在收取货物时利用职务之便将货物占为己有，同时不向会计部门递交原始凭证或者在原始凭证上反映虚假信息,同时负责付款的审批和购货订单签发与审核,可能会伪造购货业务并支付货款，从而贪污现金,授权批准控制,在开展任何业务之前都应进行授权,授权以后，为了避免滥用权力，还要经常对业务流程进行审查,按性质的不同分为综合授权和特别授权,要对授权做好记录，并提供证明文件,避免两个极端：“层层审批”和“一支笔”,内部报告控制,完善内部管理报告系统,内部报告上报时间及报告路线,内部报告的分发控制,内部报告的分析和跟进,信息系统控制目标,提高资源使用效率,有效达到企业目标,保持数据完整,维护资产安全,信息系统控制目标,符合相关的法律、法规和政策,一般信息系统控制,信息系统的组织和管理,信息系统操作,外包厂商管理,数据安全,危机处理与业务持续计划,应用系统安装与维护,数据库安装与支持,网络支持,系统软件支持,硬件支持,提高企业信息系统的整体可信赖程度的控制,信息与沟通,贯穿在风险评估和控制活动过程中,这些系统使企业内的人员能取得他们在执行、管理和控制企业营运时必须的资讯，并交换这些资讯,信息系统：内部、外部,沟通：使员工知悉其在业务经营、财务报告及法律遵循方面的责任,监督,整个内部控制的执行过程必须被监督,确保内部控制制度随情况的改变而作出动态的反应,应建立检查和报告体制,监督是谁的职责?,管理层应对内控执行情况进行持续监督,内部审计部门应进行定期、不定期的个别评估,内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）,内部审计对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。,管理层在内部控制中的地位和作用,实施内部控制制度,逐项复核内控是否存在于现有流程中，是否有效,必要时进一步制定具体政策和管理报告,考虑成本效益原则,强化对内控的监督与评估,最,有效,的,办法,业绩考核,实施控制时的成本效益原则,实施内控时常出现的误区,管理层在实施内控中未承担应有职责,过分强调控制成本,片面强调人员素质,认为内控包治百病,调查结果总会计师职责分布,中国：,80组织日常财务工作,70审核财务报表及管理报表,60制定投融资决策,55制定内控,30制定公司长远规划,美国：,财务管理及内部控制,收购与兼并,制定公司长远规划,信息技术规划,与各经营部门协调,实施内控时常出现的误区,管理层在实施内控中未承担应有职责,过分强调控制成本,片面强调人员素质,认为内控包治百病,实施内控时常出现的误区,管理层在实施内控中未承担应有职责,过分强调控制成本,片面强调人员素质,认为内控包治百病,实施内控时常出现的误区,管理层在实施内控中未承担应有职责,过分强调控制成本,片面强调人员素质,认为内控包治百病,包治百病？内控的固有局限性,人为因素使内控失效,对控制责任的误解,执行时的大意,疲劳,舞弊,时间推移使控制措施逐渐失效,其它影响内控实施效果的因素,管理层违规,形式主义,利益的冲突,法律法规的意外变化,竞争对手的行动,经济环境变化等,萨班斯奥克斯利法案概述,美国的萨宾斯法案（,Sarbanes,-,Oxley,Act),所有在美国上市的公司均需遵行,强调外部会计师的独立性,关注公司内部治理及对外信息透明、完整与正确性,以强化内部控制为核心的要求,法案产生之背景,安然，世通等知名公司相继暴露出严重的管理层欺诈丑闻，使美国上市公司深陷信用危机。会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。重建公司信用，规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。,2002年6月，布什总统签署的萨班斯奥克斯利法案正式生效，该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，故简称萨班斯奥克斯利法案。该法案对美国1933年证券法、1934年证券交易法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。,法案出台之目的,-,重建公司信用，培育公众信心，振兴证券市场。,-,加强公司监管，规范业务运作。,-,增加财务报告与信息披露的透明度。,-,确保公司管理层可以从有效监控的系统中获取重要信息。,-,公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担责任。,萨班斯奥克斯利法案概述,法案之主要内容,-,成立独立的公众公司会计监察委员会，监管执行上市公司审计职业,-,要求加强注册会计师的独立性,-,要求加大公司的财务报告责任,-,要求强化财务披露义务,-,加重了违法行为的处罚措施,-,增加经费拨款，强化美国证券管理委员会的监管职能,-,要求美国审计总署加强调查研究,其中与上市公司管理层直接相关的是：,第302节 公司对财务报告的责任,第404节 管理层对内部控制的评价,萨班斯奥克斯利法案概述,(,续,),第302节 公司对财务报告的责任,-,要求公司首要官员及首要财务官在季度/年度报告中保证,-,对信息披露的控制和程序负责（含刑事责任）,-,设计必要的内部控制手段并确保其执行可使高层及时获得重要信息,-,对披露控制的有效性进行评估，评估结果需存档,-,不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊行为,-,存档描述内部控制的重大变化,-,介绍信息披露的控制和程序,-,强调财务人员的正直和财务报告系统控制的完整性,-,需披露的非财务信息包括：重要合同的签署，战略合作关系的解除以及法律诉讼,-,美国证券管理委员会要求,-,扩大信息披露的控制和财务报告系统内部控制程序的认证,-,将内控评估日改为财务报告截止日,萨班斯奥克斯利法案概述,(,续,),萨班斯奥克斯利法案概述,(,续,),第,404,节 管理层对内部控制的评价,-,要求公司管理层在年度报告中：,-,描述他们在建立和维护一个针对财务报告职能行之有效的内部控制程序中的责任,-,对财务报告系统内部控制有效性以一个公认架构进行评估（例如,COSO,内控架构）,-,同时要求外部审计人员：,-,对管理层评估结果进行签证,-,美国证券管理委员会要求,-,扩大信息披露的控制和财务报告系统内部控制程序的认证,-,将内控评估日改为财务报告截止日,在美国上市的公司，不论规模，均需遵守萨班斯奥克斯利法案的有关规定。,即使上一年注册会计师出具的是无保留意见的审计报告，也不表示公司现有的内控系统已经符合法案的规定。,根据法案的规定，独立审计人员还需另外证明客户公司的内部控制系统是有效的。,美国国会清楚地规定，公司对其财务报告和信息披露的公允性、充分性和正确性负有责任。法案规定独立审计人员的主要职责为：证明管理层对公司财务报告系统的内部控制程序是否有效的评估是合理的。换句话说，,管理层必须独立地评估，执行和监控内部控制程序（但是可以聘请独立审计人员以外的咨询人员协助就绪及评估工作）,。独立审计人员则可以在一个限定的范围内对公司已有的内部控制程序提出优化建议和协助。,法案对上市公司的规定和影响,主要体现在公司治理、管理层责任,方面的规定。,法案对于在美国上市公司的规定与影响,董事会成员的责任,风险管理和控制,职业操守和公司守法,透明度和信息披露,法案对于在美国上市公司的规定与影响,公司治理,董事会成员和审计委员会有进行自我评估和接受后续教育的责任,纽约证券交易所和纳斯达克证券交易所的规定,公司治理的要求,公司内控的失败提高了董事会接受相关培训，改进内控程序的重要性,法案要求公司对员工的职业道德作出书面规定,要求审计委员会建立内部举报激励机制,职业操守和公司守法,董事会成员的责任,美国证券管理委员会公布了以下新的规定,管理层信息与分析,非通用会计准则下的财务处理,资产负债表表外事项,美国证券管理委员会建议成立信息披露委员会,透明度和信息披露,公司财务报告系统内部控制报告书的规定,必须陈述下列情况以评估公司内部控制程序：,管理层承认对公司内部控制有效性负有责任,公司必须使用适当的控制标准（例如,COSO),来评估内部控制的有效性,公司必须提供充分的证据来支持其评估结果,公司必须书面记录与提交