SOX_基本内容介绍

1、0 SOX基础培训基础培训 萨班斯萨班斯 - 奥克斯利法案奥克斯利法案 第第404条条管理层对管理层对与与财务报告相关的内部控制评审工作介绍财务报告相关的内部控制评审工作介绍2007年年8月月3日日 主要内容目录主要内容目录 SOX法案 简介上市公司会计监督委员会第2号审计准则的主要内容COSO 内控框架介绍SOX与ISO9000系列比较1 萨班斯萨班斯 - 奥克斯利法案奥克斯利法案 简称简称 萨奥法萨奥法或或SOX法法2SOX法法简介简介SOX法法简介简介在安然、世界电讯等多家上市公司丑闻曝光后, 美国参众两院通过了萨奥法,并且专门成立了上市公司会计监督委员会（Public Company

2、Accounting Oversight Board）以加强公司治理重建投资者信心提高上市公司按证券法或其它要求所作披露的准确性和可靠性SOX法不仅适用于美国公司, 也适用于在美国证监会注册的外国公司(1.4万家公司)，Makita就是这样的公司在美国纳斯达克股票市场上市在SOX法出台后，法国和日本都先后出台了类似的新法规强化监管。因此从长远来看，改革公司内部控制体系将是大势所趋。SOX法内容主要包括:上市公司会计监督委员会的责任和角色上市公司的责任审计师独立性加强财务信息披露3404条款是萨法中最难操作、最复杂、耗费成本最高的一个条款。 SOX法是继20世纪30年代经济大萧条以来，继1933

3、年证券法和1934年证券交易法以来的， 美国政府制定的涉及范围最广、处罚措施最严厉、最具影响力的公司法律。 SOX法法简介简介 严刑峻法严刑峻法4被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”要求高，成本高昂 据对321家企业调查，每家遵守SOX法的美国大型企业第一年实施404条款总成本平均超过460万美元。 为达标404条款，全球著名的通用电气公司花费了3000万美元完善内部控制系统。 将对上市公司高管及白领犯罪予以重罚，高达500万美元的罚款； 可能被处以10年或20年监禁的重刑，量刑等级几乎等同于美国持枪抢劫的最高刑罚 ； 上市公司高管为实行SOX法案，可能要额外

4、投入30%的时间。银广夏股通过伪造购销合同、伪造出口报关单、虚开增值税专用发票、伪造免税文件和伪造金融票据等手段，虚构主营业务收入，虚构巨额利润.45亿元。琼民源虚假财务会计报告，通过虚假利润及虚编资本公积金增加的，误导投资者。 中国将在3年内出台中国式的SOX法案中国移动、中移动、中国电信、中网通、华能电力、中国石化和中国人寿等在内的44家已在美国上市的中国公司也在其列； 包括互联网公司如百度和搜狐等中国公司 在第一个年度里，中国公司因这部严法需付出的费用将直逼2亿美元 中国人寿4000万用于404条款遵循工作 第第 404 条条管理层对内部控制的评审管理层对内部控制的评审管理层为公司设立和

5、维持足够的财务报告内部控制系统的责任陈述管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述管理层就公司最近财政年度财务报告的内部控制系统的有效性作出的评审结果第第 302 条条企业对财务报告的责任企业对财务报告的责任签字人已审阅向证监会呈交的报告该报告不存在对重要事件的不实描述或遗漏确认财务报告和其它财务信息的披露在所有重要方面均公允地反映公司状况承担责任，建立、维护和评估内部控制，确保信息披露正确已经向外部审计师和审计委员会披露内部控制存在的显着缺陷之处、重大漏洞和重要岗位舞弊披露评估日后内部控制的重大变动和改善措施萨奥法各项条例中以第302条“企业对财务报告的责任” (Cor

6、porate Responsibility for Financial Reports) 和第404条“管理层对内部控制的评审” (Management Assessment of Internal Controls) 影响最为深远SOX法法简介简介首席财务官或首席執行官需签署书面声明上市公司年报里 (Form 20-F 表格) 必须附有管理层对内部控制的评审报告，其内容应包括另外 ，第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评审进行审计，并出具审计意见5上市公司会计监督委员会上市公司会计监督委员会第第2号审计准则的主要内容号审计准则的主要内容6SOX法法审计规

7、则审计规则PCAOB 2号准则号准则简介简介内部控制指内部控制指为合理地保证企业在财务报告的可靠性、经营效率和效益及遵守适用的法律法规方面达成既定的目标而设计的措施与财务报告相关的内部控制包括指与财务报告相关的内部控制包括指为合理地保证（合理但并非绝对地保证）企业财务报告的可靠性和企业编制及公允列示财务报表的流程而设计和实施的企业政策和程序。这些内部控制包括备存会计记录、收据和报销项目授权及保护资产等政策和程序上市公司会计监督委员会第上市公司会计监督委员会第2号审计准则号审计准则的主要内容的主要内容SOX法第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评审。上市公司会计监

8、督委员会配合第404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师的评审范围和要求。7内部控制内部控制(Internal controls)(Internal controls)与财务报告相关的内部控制与财务报告相关的内部控制 (Internal controls (Internal controls over financial reporting)over financial reporting)的定义的定义上市公司会计监督委员会第上市公司会计监督委员会第2号审计准号审计准则的主要内容则的主要内容主要交易是如何启动，记录，处理和反映在财务报告中的用以防范或找出与重要账户、交易种

9、类和披露相关的错误或舞弊的内部控制措施其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制非经常性、非系统交易或财务估计的内控措施财务报表关账和汇总过程中的内控措施资产保护的控制措施8与财务报告相关的内部控制与财务报告相关的内部控制包括对影响主要交易的所有财务记录和披露的控制措施:涉及主要交易类型的交易涉及主要交易类型的交易、以及以及过程过程中各环节的主要内部控制中各环节的主要内部控制财财务务报报表表明明细细账账总总账账收入: 通话费固定资产 / 支出现金 /贷款/货币投资财务估计(如坏账、折旧、固定资产减值)业业务务系系统统l与来源资料对照检查与来源资料对照检查l记录有关财务估

10、计的记录有关财务估计的决定和审批决定和审批流程与系统流程与系统控制控制遵行遵行监控监控政策政策l报表合并l内部往来账l分析l判断业务流程业务流程交易交易网络建设客户服务及账务网络管理应收 / 应付账业务费用 (如维修费用、人工和行政费用等)与财务报告相关的内部控制涉及的范围与财务报告相关的内部控制涉及的范围9上市公司会计监督委员会第上市公司会计监督委员会第2号审计准则的主要内容号审计准则的主要内容经营回经营回报与风险报与风险经营回报经营回报风险风险风险是某一事件或行为对风险是某一事件或行为对企业经济利益可企业经济利益可能的威胁能的威胁风险的后果风险的后果竞争失败竞争失败经营中断经营中断法律诉讼

11、法律诉讼商业欺诈商业欺诈无益开支无益开支资产损失资产损失决策失误决策失误公司管理层公司管理层内部控制如何降低风险？ 暴露的金额暴露的金额发生的发生的可能性可能性风险的大小风险的大小内部控制内部控制降降低低成成 功功内部控制的重要性有效的有效的内部控制内部控制风险与经营回风险与经营回报的良好平衡报的良好平衡上市公司会计监督委员会第上市公司会计监督委员会第2号审计准则的主要内容号审计准则的主要内容对管理层的要求对管理层的要求必须肩负公司财务报告相关的内部控制有效性的责任采用适当的内控枉架 (例如COSO) ，评审公司与财务报告相关的内部控制系统的有效性以充分的凭证 (包括档案文件) 支持评审结果

12、文档记录的重要性 -文档记录可以为控制程序的确定和控制的监管提供证据 -内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷 -缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷，并签发反对意见报告针对公司最近的年度财务报告的内部控制的有效性提交书面声明13管理层应采取全面措施履行其责任，当中包括全面的计划，以及对内部控制系统的评审。管理层确定重大控制措施后，必须记录有关措施，然后测试措施的成效。企业应有充裕的时间完成整个程序并且纠正发现的内控缺陷。越早发现缺陷，管理层便有越充裕的时间纠正缺陷，并确定新措施的运作成效。如果管理层未能履行上述责任，会导致审计师发出

13、保留或不表示意见。内控缺陷可以源自设计或操作方面内控缺陷可以源自设计或操作方面控制措施的缺漏（设计）控制措施未能达到预期的控制目标（设计）控制措施没有按设计原意操作（操作）负责操作控制措施的人员不具备操作控制措施所需的职权或资格（操作）内控缺陷的严重程度不同，可以是不重要、显著缼陷、和非常严重的重大漏洞内控缺陷的严重程度不同，可以是不重要、显著缼陷、和非常严重的重大漏洞显著显著缼陷缼陷指单一或多个内控缺陷的存在导致无法把预防或发现年报或中期报告中出现错漏的可能性降至很低重大漏洞重大漏洞指单一或多个显着缺陷的存在导致无法把预防或发现年报或中期报告中出现重大错漏的可能性降至很低上市公司会计监督委员

14、会第上市公司会计监督委员会第2号审计准号审计准则的主要内容则的主要内容内控内控缺陷（缺陷（Control Deficiency)Control Deficiency) - 显著显著缺陷缺陷 (Significant Deficiency) (Significant Deficiency) 和和重大漏重大漏洞洞 (Material Weakness)(Material Weakness)的定义的定义14审计师发现重大的错漏内部审计或风险评估措施对企业未能发挥效用发现高级管理层诈骗舞弊现象在相当一段时间内没有纠正过去已提出的严重内控缺陷监控环境未能发挥效用上市公司会计监督委员会第上市公司会计监督委

15、员会第2号审计准则号审计准则的主要内容的主要内容显示存在重大漏洞的显著内控缺陷的情况包括：显示存在重大漏洞的显著内控缺陷的情况包括：15管理层管理层404404评审报告评审报告建立及维持有效性建立及维持有效性内部控制系统内部控制系统记记录录测试测试根据上市公司会计监督委员会第2号审计准则的要求，对与财务报告相关的内部控制进行独立审计，并正式出具一份审计师404审计报告，当中包括两个评估意见上市公司会计监督委员会第上市公司会计监督委员会第2 2号审计准则的号审计准则的主要内容主要内容16对外部审计师的要求对外部审计师的要求评估意见 (1)对管理层评审结论的意见(1)评审内部控制的有效性(2)提交

16、最近年度财务报告的内部控制系统有效性的声明评估意见 (2)对公司与财务报告相关内部控制有效性的意见审计师出具保留意见或不表示意见的成因和影响审计师出具保留意见或不表示意见的成因和影响股价下挫股价下挫负面消息流传负面消息流传形象受损形象受损信贷评级下降信贷评级下降客户失去信心客户失去信心保留意见审计报告或保留意见审计报告或审计师不表示意见审计师不表示意见成因二：成因二：外部审计师发现一个外部审计师发现一个/多个重大内控漏洞，多个重大内控漏洞， 例如：例如： （1） 需要作出需要作出审计调整审计调整 （2）没有足够的信息系统控制）没有足够的信息系统控制成因一：成因一：管理层对内部控制评审的支持凭证

17、不足，例如：管理层对内部控制评审的支持凭证不足，例如：（1）没有确定评审范围的充分依据和记录）没有确定评审范围的充分依据和记录（2）缺少测试主要内控措施的档案）缺少测试主要内控措施的档案文件文件 17上市公司会计监督委员会第上市公司会计监督委员会第2 2号审计准则的主要内容号审计准则的主要内容没有建立内部交易和往来账对账的正式程序不及时或没有进行往来账的对账工作，对帐未经管理层充分审阅缺少一定的管道和程序供员工向适当的独立部门/单位反映他们在日常工作中发现的与内控有效性相关的可疑情况反映对会计报告的准确性复核不足未能完整和准确的记录特定业务流程中的内部控制缺乏清晰的职责分工和准确的岗位说明书曾

18、在已经实行曾在已经实行SOX法法 的上市公司中存在的内控的上市公司中存在的内控缺陷例子缺陷例子18上市公司会计监督委员会第上市公司会计监督委员会第2 2号审计准则的主要内容号审计准则的主要内容上市公司会计监督委员会第上市公司会计监督委员会第2 2号审计准则的主要内容号审计准则的主要内容37%23%8%10%6%9%7%06年上市公司中存在的内控年上市公司中存在的内控缺陷缺陷统计统计营运营运财务报告财务报告合规性合规性监控监控信息和沟通信息和沟通控制活动控制活动控制环境控制环境风险评估风险评估COSO COSO 内控框架介绍内控框架介绍20营运营运财务报告财务报告合规性合规性控制活动控制活动l确

19、保落实管理层的政策 / 流程l措施包括审批、授权、确认、建议、业绩考核、资产保全和权限分离监控监控l评估内部控制系统l整合及时独立的评估l管理层和监控机构的工作l内部审计信息和沟通信息和沟通l定期获取、确定并交流相关的信息l评审内部和外部获取的信息l信息流：职责指导 管理层的总结 成功的措施控制环境控制环境l营造企业环境，让公司员工建立内部控制l因素包括正直、道德价值、能力、权威和责任l是其它内部控制组成部分的基础风险评估风险评估l风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作所有五大元素必须同时起作用才能让内部控制有效运作所有五大元素必须同时起作用才能让内部控制有

20、效运作监控监控信息和沟通信息和沟通控制活动控制活动控制环境控制环境业务单位甲业务单位甲业务单位乙业务单位乙活动一活动一活动二活动二风险评估风险评估COSO COSO 内控框架介绍内控框架介绍211、控制环境是任何企业的核心，是企业的人以及它所处的环境是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础是推动企业的引擎，也是其他要素的基础控制环境的组成要素：控制环境的组成要素： 管理哲学和经营风格管理哲学和经营风格 组织结构组织结构 董事会及其委员会职能董事会及其委员会职能 职责分配和授权职责分配和授权 人事政策人事政策1、控制环境-MCC ELC-generalA-

21、1.CEO是否积极分发符合MJ基本政策的文件，如道德规范、行为准则和教育/培训资料，与经理和所有员工沟通公司的道德价值观和管理层的理念。A-3.如果公司目标或个人目标直接与报酬挂钩，是否有防止经理或员工不诚实或不道德行为的控制？F-1. 是否根据组织目标恰当地授予CEO、财务经理（CFO）和IT经理（CIO）权利与责任？职权分掌表是否清晰地定义这些职权？权利是否恰当？是否确保有胜任能力的财务报告人员？G-2.对财务报告关联员工的教育、培训、业绩、待遇是否有明确的政策和程序？J-5.是否存在将舞弊(包括管理层越权)风险减少到最小的预防性控制?L-1.是否有财务报告和IT活动所需的政策和程序？是否

22、及时更新？N-2.是否有热线电话，允许员工直接报告可疑的舞弊或违规行为。2.控制活动 一些重要的内控方法职责分离控制职责分离控制授权批准控制授权批准控制内部报告控制内部报告控制电子信息技术控制电子信息技术控制2. 内部控制的实施1.管理层在内部控制中的地位和作用管理层在内部控制中的地位和作用内部控制的主体内部控制的主体: 管理层（承担的职责是计划、组织、领导其组织的活动，即对组管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）织的内部控制负责）文档记录的重要性 文档记录可以为控制程序的确定和控制的监管提供证据内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷，并签发反对意见报告内部审计：内部审计： 对管理层组织的内部控制进行监督，以协助管理层有效地履行他对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。们的职责。5、监督整个内部控制的执行过程必须