SOX法案内部控制矩阵培训资料.ppt

1 审计 税务 咨询 ADVISORY 中国移动 香港 有限公司 萨班斯 奥克斯利法案 第404条款内部控制项目 毕马威华振会计师事务所风险咨询服务部 2 记录与财务报告相关的内部控制如何编写内部控制矩阵如何进行地市公司的自我检查和缺陷修补 目录 3 记录与财务报告相关的内部控制 4 记录与财务报告相关的内部控制 总部 省公司 地市公司 标准化内部控制手册标准化内部控制矩阵缺陷汇总 省公司业务流程描述 或内部控制手册 省公司层面内部控制矩阵省公司层面穿行测试资料省公司缺陷汇总 地市公司层面内部控制点列表地市公司层面穿行测试资料地市公司缺陷汇总 对主要交易是如何发起 授权 记录 处理和报告在财务报告中的控制措施 与选用恰当的会计政策相关的控制措施 用以防范错误或舞弊的内部控制措施 其它重要内控措施所依赖的内部控制 例如信息系统控制措施 非经常性 非系统交易或财务估计的内控措施 公司层面的控制措施 与控制环境相关的控制措施 财务报表关账和汇总过程中的控制措施 5 与财务报告相关的内部控制包括针对与会计报表中所有重要科目和信息披露相关的所有会计认定所实施的内部控制 包括 与财务报告相关的内部控制 6 总部和省公司层面内部控制记录的基本框架和内容 按照COSO框架确定的与财务报告相关内控记录包括以下部分 信息技术整体控制内部控制框架资本性支出业务流程收入和计费业务流程存货管理流程营运支出业务流程货币资金管理流程固定资产和无形资产管理业务流程人工成本管理流程会计和财务报告筹资业务流程关联方业务流程法律法规遵循业务流程 7 省公司层面记录与财务报告相关的内部控制 对于每个与财务报告相关的业务流程 省公司业务流程描述中包括以下内容 8 流程和部门的关系 部门是业务流程的载体 因此需确定每一业务流程所涉及的部门 每一业务流程都由不同部门的活动构成 同时同一部门又可能涉及不同的业务流程 相对于以部门为基本单位 以业务流程为基本单位对内部控制进行记录和描述 可以更好地将内部控制程序与其所希望控制的风险 达到的目标和会计报表认定进行对应 以流程描述的方式记录控制活动 9 流程和部门的关系 计费账务部门 财务部门 网络部门 计费账务部门 财务部门 网络部门 目标 风险 会计报表认定 资本性支出流程 成本费用管理流程 特定的目标 风险和会计报表认定 特定的目标 风险和会计报表认定 按照业务流程按照部门 需求发起部门 工程建设部门 交易结果记录部门 费用支出部门 费用支出部门 费用记录部门 以流程描述的方式记录控制活动 续 10 如何编写内部控制矩阵 11 编写内部控制矩阵的目的 建立所有关键控制点与控制目标和风险的对应关系 建立所有关键控制点与会计报表中所有重要科目和信息披露相关的所有会计报表认定的对应关系 分析关键控制点的性质 以决定测试的方法和样本量 12 关键控制点关键控制点的设计和执行情况是决定内部控制有效性的关键因素之一 关键控制点是指在风险评估的基础上 经过具体分析比较各内部控制活动在实现其控制目标有效性的能力 确定的内部控制活动 仅仅执行这些关键内部控制活动而不执行其他内部控制活动或忽略控制环境 风险评估 信息与沟通和监控等其他控制元素的影响将不能够保证财务报告可靠性和相关披露准确性 完整性 但这些关键控制点在全部内部控制活动中的重中之重的地位 能够更有效地确保财务报告可靠性和相关披露准确性 完整性 提炼关键控制点并编制内部控制矩阵 13 提炼关键控制点并编制内部控制矩阵 14 会计报表认定 存在或发生 ExistenceorOccurrence 完整性 Completeness 权利和责任 RightsandObligations 计价或分摊 Valuationorallocation 表述和披露 PresentationandDisclosure 15 内部控制与会计报表认定 16 内部控制与会计报表认定 17 每年每半年每季每月每周每天频繁发生按需不定期 TransactionDriven 系统控制 控制的频率 18 控制的频率与样本量 测试内部控制时 所选取的样本量主要取决对于控制的性质 例如自动控制还是人工控制 控制发生的频率等 考虑控制发生的频率 通常建议对人工控制进行测试的样本量为 注 上述样本量仅供参考 实际测试应选取的样本量根据内审部出具的测评手册的要求执行 19 预防性控制 在交易 事件被记录以前发生的控制侦探性控制 在交易 事件被记录之后发生的控制 控制的类型 人工控制自动控制 系统访问权限 配置帐项映射控制 界面 转换控制等 20 资产保护控制 为预防或及时发现可能会对财务报告产生重大影响的未经授权地获得 使用或处置公司的资产提供合理保证的控制 反舞弊控制 用来控制至少存在合理可能性的 对公司的财务报告产生重大影响的舞弊风险的控制措施 控制的类型 21 控制的编号以及控制的描述均来自于流程记录中已提炼出的关键控制点 职责分工在内部控制矩阵中COSO组成部分选择为控制环境 其他控制通常都为控制活动 在是否为反舞弊控制 是否为资产保护控制两列中 应填写 是 或 否 而不应自动将空视为 否 以确保所有控制点已将此两列内容纳入考虑范围 影响会计报表认定 反舞弊控制 资产保护的控制不是非此即彼的关系 有可能复选 各个业务流程的控制矩阵编写完成之后 应由一名对内部控制具有一定认识 了解会计报表的人员统一对控制与会计报表认定之间的对应关系进行审阅 在控制矩阵中所涉及的会计科目为根据香港公认会计原则编制的会计报表中的会计科目 一些注意事项 22 如何进行地市公司的自我检查 23 由各地市公司比照省公司内部控制记录进行自我检查 缺陷汇总和缺陷修补 省公司管理层检查内部控制缺陷的改进情况并向总部进行报告 MonthI 完成内部控制记录以后的后续工作 省公司管理层批准省公司的内部控制记录 终稿记录 经省公司业务部门及地市公司确认 省公司管理层针对内部控制缺陷 制定内部控制缺陷修补计划和改进时间表 省公司及地市公司对内部控制有效性进行符合性测试 24 地市公司层面记录与财务报告相关的内部控制 省公司层面业务流程记录中的关键控制点 各地市公司各业务流程关键控制点列表 各地市公司缺陷汇总 差距分析 25 地市公司层面记录与财务报告相关的内部控制 续 省公司业务流程描述和缺陷汇总经省公司管理层确认审批后进行地市公司内部控制的自查工作可与省公司制定内部控制缺陷修补计划的相关工作并行开展地市公司对内部控制的设计有效性进行自查并报告内部控制缺陷的时间约为2周 26 地市公司层面记录与财务报告相关的内部控制 续 差距分析 省公司应要求下辖的所有地市公司开展内部控制自查工作 其中包括参与省公司业务流程记录的试点地市公司地市公司进行内部控制自查工作应涵盖的业务流程包括 中国移动 香港 有限公司内部控制手册 中涉及的除公司层面的控制以外的所有业务流程 公司层面的控制仅在省公司层面进行记录和评价如与财务报告相关的信息技术系统由省公司统一进行程序开发和变更的管理并负责系统的运行和维护 则地市公司无需将相关信息技术系统的信息技术整体控制纳入自我检查的范围 27 地市公司层面记录与财务报告相关的内部控制 续 参照省公司对内部控制进行记录的人员和组织结构设置 各地市公司建立自查工作的项目工作组 其中至少应包括 项目牵头部门 负责内部控制自查工作的总体协调工作业务流程主要负责部门和部门联系人 负责协调各业务流程相关部门的控制负责人 对业务流程中的主要控制点比照省公司的业务流程和内部控制记录 进行差距分析并汇总各业务流程的内部控制缺陷控制负责人 配合相关业务流程的主要负责部门 对省公司业务流程记录中的主要控制点进行一一对应和差距分析 28 地市公司层面记录与财务报告相关的内部控制 续 差距分析 就地市公司的内部控制记录和评价工作而言 应主要关注于控制点的落实 地市公司各业务流程主要负责部门协调各业务流程相关部门的控制负责人 参照省公司内部控制记录中所列示的主要控制点 对现有业务流程中存在的主要控制点进行分析和记录 并与省公司层面记录的主要控制点建立一一对应的关系 对主要控制点进行穿行测试 如某一控制点在地市公司不适用 则应列明原因 如某一控制点在地市公司缺失 则应记录对应相同控制目标及控制风险的替代性控制措施 如不存在任何替代性控制 则应将其归为地市公司内部控制缺陷 地市公司各业务流程主要负责部门根据省公司层面汇总的内部控制缺陷汇总 检查各内部控制缺陷在地市公司是否存在 并将适用的内部控制缺陷作为地市公司内部控制缺陷进行汇总 29 地市公司层面记录与财务报告相关的内部控制 续 差距分析 地市公司应在内部控制自查过程中 建立详细的工作底稿 工作底稿的目的是建立省公司业务流程记录中的主要控制点与地市公司主要控制点的对应关系 以便于进行差距分析 在工作底稿中 业务流程主要负责部门应列明省公司主要控制点 地市公司主要控制点或替代性控制以及地市公司缺陷 地市公司项目牵头部门汇总各业务流程主要负责部门提交的控制点记录以及内部控制缺陷汇总 上报省公司项目工作组 30 地市公司层面记录与财务报告相关的内部控制 续 差距分析 省公司项目工作组将经管理层确认并审批的内部控制记录和缺陷汇总下发至各地市公司 省公司各业务流程主要负责部门应在地市公司开展内部控制自查的过程中 提供足够的指导和监督 确保地市公司能够按照省公司记录的主要控制点进行差距分析 省公司项目工作组应考虑抽调对业务流程记录和业务流程本身较为熟悉的人员 前往重点地市公司进行现场指导 对于地市公司提交的控制点记录以及内部控制缺陷汇总 省公司项目工作组以及各业务流程主要负责部门进行审阅 对地市公司自我检查工作的完整性 地市公司记录的控制点和替代性控制的准确性以及内部控制缺陷的准确性进行复核 省公司的主导作用 31 参照省公司内部控制记录中所列示的主要控制点 地市公司记录与财务报告相关的内部控制点应关注的七要素 地市公司层面记录与财务报告相关的内部控制 续 32 穿行测试是一种常见的对内部控制的测试 评估方法 穿行测试的目的在于 穿行测试 穿行测试的目的 确认流程是否与记录相符 确认流程中与财务报告相关的内部控制的设计是否与记录相符 包括与发现或防止舞弊相关的控制 通过确定是否流程中可能出现的与每个财务报告认定相关的错报的风险点均被识别 来确认对于流程的记录是否完整 评价内部控制设计的有效性 确认相关内部控制程序是否已经被实施 穿行测试并不能保证内部控制得以有效 一贯的得到执行 这需要对内部控制进行符合性测试来确定 33 穿行测试的具体操作是选取最近会计期间 相关业务流程中一笔具有代表性的 能够证明相关控制存在的交易 跟踪交易从发起 授权 记录 处理和报告的全过程 复印该笔交易所涉及的全部文档单据资料穿行测试文档应选择能够证明相关控制得以执行的版本 而不是空白格式重点关注控制执行的痕迹 例如签字授权是否落实到位等穿行测试所复印的文件和单据应按照流程步骤进行的顺序汇总编号对核对 审批等控制点在文件和单据上所显示的信息 如执行人签名等 应用荧光笔高亮显示 穿行测试 续 穿行测试的方法 34 关键成功要素 人力资源省公司配备前期参与省公司业务流程记录的人员 对地市公司内部控制自查工作进行指导地市公司各业务部门和控制负责人的充分参与落实到位的培训 使地市公司人员了解工作步骤和方法 使相关人员了解内部控制矩阵的编写方法地市公司自查充分利用省公司的业务流程记录 包括其中对关键控制点的描述 建立完整的地市公司自查的工作底稿 包括穿行测试资料 在地市公司自查过程中建立处理例外事项的相关程序 确保内部控制缺陷的及时汇报及时监控内部控制自查工作的完成情况 确保对整体工作时间表的遵循 35 开始 确保修补措施一定时间内运行有效 记录 报告缺陷修补结果 结束 评价修补结果 修补 运行 报告结果 确定缺陷弥补的优先级 明确实施修补的人员的角色和责任 确定进行缺陷修补的时间表 对缺陷进行分类汇总 确定实施修补计划所需资源 制定缺陷修补计划 修补内部控制设计缺陷的基本步骤 落实修补措施 跟进修补 36 内部控制设计缺陷汇总和修补计划 37 关键成功要素 人力资源落实到位的培训足够的具有内部控制知识的人员 统一对缺陷修补工作进行指导制定修补计划针对流程层面的人工控制 自动控制以及信息技术整体控制的不同特点分别建立内部控制缺陷修补计划当地管理层的支持 确保管理层可及时确认在内部控制记录阶段发现的控制缺陷 从而及时制定修补计划对于涉及系统修改的控制缺陷 尽早确定修补计划进行缺陷修补按照既定时间表落实修补措施建立流程负责人 控制负责人的问责制对于普遍存在的内部控制缺陷 确保在不同的业务单元采取统一的修补措施对于可能导致流程层面显著缺陷或实质性漏洞 涉及系统修改的控制缺陷 要求可能存在类似问题的业务单元在记录工作开始前进行自查和修补由于时间紧迫 如不能如期 在2006年6月30日以前 落实修补措施 考虑制定应急措施并确保补偿性控制的有效性对于2006年12月31日仍不能得以修补的内部控制缺陷 按照既定的缺陷评价框架进行分类 包括一般缺陷 显著缺陷和实质性漏洞 并考虑缺陷的合并影响 38 毕马威华振会计师事务所 所载资料仅供一般参考用 并非针对任何个人或团体的个别情况而提供 虽然本所已致力提供准确和及时的资料 但本所不能保证这些资料在阁下收取时或日后仍然准确 任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载资料行事