《萨班斯法案与》PPT课件.ppt

萨班斯法案与AIS,萨班斯法案产生背景,2001年12月，美国最大的能源公司安然公司,突然申请破产保护，此后，公司丑闻不断，规模也屡创新高,特别是2002年6月的世界通信会计丑闻事件，彻底打击了（美国）投资者对（美国）资本市场的信心(Congressreport,2002).世通公司也出现了类似的财务诈欺事件。为了改变这一局面，美国国会和政府加速通过了萨班斯法案（以下简称SOX法案）萨班斯法案（SOX法案）于2002年7月30日由美国总统布什在签署生效，旨在建立并恢复公众对财务报告的信心，并对上市公司审计委员会、管理层和审计师各自的职责及相互的制约机制带来根本性的变化。,主要内容,1.成立独立的公众公司会计监察委员会,监管执行公众公司审计职业。2.加强注册会计师的独立性。禁止为公众公司执行审计的会计师事务所为其审计客户提供非审计类服务.3.加大了公司的财务报告责任。要求公司首席执行官和财务总监书面承诺对呈报给证券交易委员会SEC的财务报告完全符合证券交易法。4.健全内部控制体系，并披露内部控制报告。5.加重了违法行为的处罚措施。6.增加对SEC的拨款，加强风险管理、市场监管与投资管理。7.责成美国审计总署就会计师事务所竞争受限的因素等方面加强调查研究并分别向参议院银行委员会和众议院金融服务委员会报告。,302,向公众迅速、及时的披露有关财务状况与经营成果的重大变动。,906,409,404,在每个季度，如906条款所要求的，公司签署内部控制声明的官员（首席执行官和首席财务官）需以格式化的声明阐释其关于“对外披露”的控制与程序，以及反舞弊系统。,管理层需保证其定期报告中财务信息符合1934年证券交易法的要求，公允的反映其财务状况与经营成果，以及相应的法则。,萨班斯法案的主要条款概要,公司需每年对“与财务报告相关的内部控制”的有效性进行自我评价，并取得外部审计师的审计报告。,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。,404条款,萨班斯法案中最重要的条款,上市公司必须在年报中提供内部控制报告和内部控制评价报告,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。,上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价。,404条款的遵照执行有四个区分明星的阶段,公司应制定内部控制详细目录，确定内部控制是否足够，然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照。.,2,3,4,公司被要求记录控制措施评估方式，以及未来将被用来弥补控制缺陷的政策和流程。,管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告,公司必须进行测试工作，以确保控制措施和补救手段起到预期作用,1,实行萨班斯法案的执行成本,间接成本,直接成本,01,02,03,强化的内外审计环节，也给企业增加额外的审计费用,在完善内控机制过程中，强调控制的过程，这也要求各个环节的过程文件填列内容更加明细化，增加每个环节的工作量。,404条款要求建立有效的内部控制体系，企业要明确各个岗位职责并使岗位设置细化，相关岗位要发挥互相监督、职能分离的作用。同时增加心得岗位。岗位的增加使得雇佣员工增加。每个公司都要将任何一个岗位的职务、职责描述的一目了然。而这项工作需要大量的材料和文件支持,直接成本,为达到该法案的合规要求，按照法案规定重新设计财务流程和实施内部控制，以及委托审计师审计等各种经济活动而担负的耗费。,间接成本,2,4,3,间接成本,1,由于法案中加大了对企业高管违法行为的惩罚力度，使得企业高管对法案反应过度，体现在经营上愈加变得保守；,为了避免招到起诉或背负制造虚假账目的嫌疑，一些原本应该投资的项目被拖延或取消。,萨班斯法案中，注册会计师事务所不能为被审计的上市公司从事各种非审计业务，而且外部审计的注册会计师事务所要每五年更换。原本注册会计师事务所与企业开展长期业务活动中获得经济上的规模效应，由干定期更换制度而减少，从而增加上市公司的成本；,CEO和CFO对公司的内部控制和财务报告的有效性负责，使得CEO和CFO不得不从经营活动中抽取部分时间和精力来关注该法案的合规工作。,AIS（会计信息系统）,关于会计信息系统的内部控制问题,Addyourtitleinhere,会计内部控制是企业经营者为维护企业资产的完整性，确保会计记录的正确性和可靠性，以及对经济活动进行综合的计划、调整和评价而制定的制度、组织方法和手续的总称。,会计电算化内部控制按控制实施的范围分为：,一般控制,1、组织与管理控制。基本要求是权责的划分和职能的分离。包括电算部门与用户部门的职责分离，电算部门内部的职责分离，人事控制，业务授权。2、应用系统开发与维护控制。为保证计算机AIS开发过程中各项活动的合法性和有效性而设计的控制。3、计算机操作控制。用于控制系统的操作，其目的是通过标准的计算机操作来保证信息处理的高质量、减少差错的发生和未经批准而使用数据和程序的机会。包括操作计划、机房守则、操作规程、上机日志记录。4、硬件和软件控制。通过硬件、软件控制来尽可能发现错误。5、系统安全控制。是指防止影响系统安全的因素危及系统的安全，发现系统中的安全问题，并解决这些问题使系统恢复正常的措施及实施。包括硬件安全控制、程序与数据的安全控制、环境安全控制、防病毒的软件接触系统等。6、系统文档控制。要建立文档管理制度及安全保密制度。应用控制是系统会计应用方面的具体控制。目的是对会计应用建立具体控制过程，从而确保全部的经济业务都经过授权和记录，并进行完整、准确和及时的处理。,1,2,3,4,5,6,应用控制,计算机处理与数据文件控制,输入控制,输入控制,数据采集控制,数据输入控制,措施有用户部门内部的职责分离、标准化的凭证格式、制定凭证编制程序、凭证审核、手续控制、凭证更正规程、批量控制等。,注意凭证输入过程中可能出现的错误及相应的控制措施。,计算机处理与数据文件控制,数据有效性检验。措施主要有文件标签校验、业务编码校验、顺序校验。程序化处理有效性检验。发现错误的方法有：计算正确性测试、数据合理性检验、交叉汇总检查、错误更正控制、数据点技术。账务处理系统中可采用以下控制方法：余额合理性检查、试算平衡检查、总账和明细账核对检查。,输出控制,二,三,一,输出控制用于确保：,计算机处理的输出结果准确无误,输出及时地提供给适当的经过批准的人员,输出结果仅限于经过准的批人员,主要控制措施有：,输出授权控制。输入过程的控制总数与输出得到的控制总数相核对。审校输出结果，检查正确性、完整性。将正常业务报告与例外报告中有关数据进行分析对比。设置输出报告改送登记簿，记录报告恬送份数、时间、接受人等事项。制定输出错误纠正和对重要数据进行处理的规定。,萨班斯法案与AIS,的联系,萨班斯法案与AIS的联系,世通公司造假案件和安然、安达信事件震惊了整个世界，美国政府认为这是公司上下串通、内外勾结的严重结果，所以法案对公司治理、内部控制及外部审计同时做出了严格的要求。明确规定要求建立独立称职的审计委员会，管理层要负责内控系统的完善和落实，并对财务报告的真实性负刑事责任.综观整个法案，最主要的是对公司内控系统的要求。,以中国联通公司为例,会计信息系统内部建设对公司的意义,会计信息系统的内部控制主要内容,会计信息系统内部控制持续有效的保障机制,会计信息系统内部建设对公司的意义,公司管理层要披露与财务报告相关的内控评价报告;外部审计师要对管理层披露发表验证报告,并对公司内控的有效性发表独立评价报告。会计信息系统内控是公司整体内控的重要组成部分,是通过萨班斯法案404条款外部审计必不可少的重要内容。会计信息系统就是用计算机信息技术代替了人工记账、算账、报账,以及替代部分由人工完成的对会计信息的分析和判断的过程。会计报表的完整性极大地依赖于系统中传输的信息的完整性、准确性和及时性。另外,财务报表认定的自动控制直接取决于相关应用程序以及为应用程序提供支持的信息技术基础设施的稳定和正常运行。,会计信息系统的内部控制主要内容,5、会计信息系统开发、变更和维护控制,6、会计信息系统的会计档案管理,4、硬件管理,2、明确职责分工,1、前期工作,3、会计信息系统访问安全控制,1、前期工作,基于内外部发展形势的需要,按照萨班斯法案的要求完善公司内控制度,围绕经营的效益及效率性、财务信息真实性和法律法规遵循性目标,全面实施内控建设,切实防范和控制经营风险。为实施会计信息系统内部控制建设,中国联通首先对会计政策、业务流程进行全面梳理,制定了统一的会计政策、会计制度、会计文档,实现会计信息系统的统一升级,同时对报表生成、报送软件也通过系统建设实现统一规范,并最终形成统一的会计信息系统内控规范。,2、明确职责分工,公司明确规定信息化部门是系统的维护建设归口管理部门,财务部门是用户部门,在保证系统正常安全运行过程中各自承担的职责。会计信息系统岗位一般包括:系统所有者、系统开发/变更审批人、程序开发/变更人员、程序验收/上线/割接人员、安全管理员、应用系统管理员、数据库管理员/操作系统管理员、最终用户。按照信息系统总体控制规范职责分工管理标准落实不相容岗位职责。,3、会计信息系统访问安全控制,对会计信息系统操作权限和操作规范、信息使用、信息管理进行明确规定,建立账号审批制度,形成分工牵制的控制形式。对于发生岗位变化或离岗的用户,及时调整其在系统中的访问权限。财务负责人或经授权的人员需定期对系统中的账号进行审阅,避免有授权不当或冗余账号存在。利用系统自身提供的安全性能,设置安全参数,以加强系统访问安全。定期检测系统运行情况,及时进行计算机病毒的预防检查工作。按照信息安全管理规范中数据密级分类标准对数据密级进行分类设定,明确涉密岗位人员名单。要求操作人员在权限范围内进行操作,不得利用他人的口令和密码进入系统。更换操作人员或密码泄密后,须及时更改密码,每3个月必须对密码进行更换。操作人员离开工作现场,必须退出已运行的程序,防止其他人员越权操作。,4、硬件管理,会计信息系统硬件设备统一放置在信息化部机房管理,指定专人负责管理和检查,其他任何人经授权不得接触系统硬件设备。硬件设备的更新、扩充、修复等工作需由相关人员提出申请,报上级主管负责人审批。未经允许,不得擅自拆装硬件设备。,5、会计信息系统开发、变更和维护控制,公司指定信息化部门对会计信息系统实施归口管理,负责系统开发、变更、运行、维护等工作。开发系统时考虑业务和信息的集成性,优化流程,将相应的处理规则嵌入到系统程序中,以预防、检查、纠正错误和舞弊行为,确保会计信息系统数据的真实性、合规性。倡导全体财务人员积极参与系统建设,正确理解和使用系统,提高系统运作效率。对涉及新旧会计信息系统切换的情形,在上线计划中明确系统回退计划,保证新系统一旦失效,能够顺利回退到原来的系统状态。系统在投入使用前应至少完成整体测试和用户验收测试,以确保系统的正常运转。上线后发生的系统源代码等方面的变更,应参照系统开发的审批和上线程序执行。对正在使用的会计信息系统进行修改、升级和对硬件进行更换时,需通过书面审批流程,并采取替代性措施确保会计数据的连续性。,6、会计信息系统的会计档案管理,会计信息系统的会计档案主要是存储在计算机硬盘或其他磁性介质或光盘存储和打印出来的书面等形式的会计数据。公司指定专人负责电算化会计档案的管理,做好防消磁、防火、防潮和防尘等工作;建立数据信息定期备份制度和数据批处理或实时处理的处理前自动备份制度(交易日志)。对磁性介质存放的数据进行双备份,在远离计算机设备和操作的地方保存一套备份和交易日志。,包括记账凭证、会计账簿、会计报表等数据,会计信息系统内部控制持续有效的保障机制,要满足萨班斯法案要求,实现长效机制,在做好会计信息系统内部控制建设的同时,还必须落实好后续的维护保障机制,这样才能真正构建一套系统化、标准化、可审计、可持续改进的会计信息系统内部控制体系。,主要有四个方面的内容（如下）,1、建立良好的内部控制环境,建立反舞弊机制和加强职业道德行为规范教育,防止个人与公司经济利益冲突,防止不正确业绩观驱使虚假报告。提高全体员工的风险识别和控制能力,建立和维护安全可靠的财务信息系统控制,培养和考核员工自觉履行内控职责的工作胜任能力。,2、建立风险评估机制,设立风险评估组织(委员会)和日常管理机构,定期(中期、年度)组织对现有风险管理状况进行评估,分析其剩余风险、控制缺陷既预见的未来风险揭示将有哪些风险,根据评估揭示的风险,针对不同风险分别设计出相关控制措施和可接受的风险控制目标,组织制度的完善和按设计的控制措施监督实施。,3、建立良好的信息沟通环境,在广泛的范围内进行有效的沟通,包括自上而下、机构内部及自上而下的沟通。管理层必须清楚的告知所有员工他们必须严格执行的各自内控职责。员工必须理解他们在内控系统中的职责以及他们自身的活动与其他人的工作之间的互动关系,并使得员工能够各行其责。,4、加强会计信息系统内控的内部审计监督,内部审计既是公司内部控制系统的重要组成部分,也是强化内控监督的制度安排。根据萨班斯法案相关的条款要求有足够的证据证明内部控制的有效性,通过内部审计检查企业是否有完善的内部控制流程及审计轨迹,在控制发挥作用的同时是否形成相应的文档记录。通过对会计资料定期进行内部审计,审查会计信息系统账务处理是否正确,是否遵照会计法及有关法律、法规的规定,审核费用签字是否符合有关内完整等;审查电子数据与书面资料的一致性,对不妥或错误的账表处理应及时调整并有书面记录;监督数据保存方式的安全、合法性,防止发生非法修改历史数据的现象;对系统运行各环节进行审查,防止存在漏洞。,如财务系统账号申请审批表、系统帐号权限检查表等,ThankYou!,