萨班斯法案内部控制重点及美国本土上市公司执行情况课件

1、中国石油化工股份有限公司萨班斯法案关于内部控制重点内容美国本土上市公司执行情况 2006年7月25日0主要内容：1.内部控制 - 国内外资本市场监管要求和股份公司管理要求 2.美国本土公司首年执行萨班斯法案404条款3. 萨班斯法案404条款及相关条例对管理层自我评价的要求4.管理层自我评价具体问题讨论5.中石化存在的潜在财务报告内部控制缺陷6.毕马威对中石化自我评价所能提供的帮助及建议11.1 内部控制 - 国内外资本市场监管要求21.2 内部控制 - 股份公司管理要求除了为满足国内外资本市场监管要求外，股份公司建立内控制度是为了提高公司管理水平，具体表现为：1.建立现代企业制度，完善法人治

2、理结构，实现经营机制的转换，加强企业管理，提高企业经营业绩，改善企业财务状况2.积极参与竞争、努力降低风险，以提高经营管理效率和效果3.建立统一规范的内部控制制度，使股份公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度，更为有效地体现股份公司管理理念32.1 美国本土公司首年执行萨班斯法案 带来的主要好处1.董事会、审计委员会和管理层对内部控制有更多参与2.建立起监控和评价控制机制3.针对年结制定的结构和流程4.实施反诈骗控制5.对通过信息技术控制风险有警觉性6.有更好的流程 / 控制文件用于培训和管理教育7.完善的风险和控制定义8.管理层和负责操作的人员更好地理解他们在控制方面

3、的责任9.更好的审计追踪10.重新落实基本的控制措施，如分工、授权流程、会计账目调节资料来源：内部审计师协会 2005 年 7 月调查 State of Regulatory Compliance Summit, Washington DC (监管合规高峰会的州 华盛顿市)42.2 首年执行萨班斯法案 出现负面意见的主要原因1.所得税问题 (Income tax matters)2.收入确认 (Revenue recognition)3.财务人员配置/专业知识 (Financial staffing/expertise)4.租赁会计处理方法 (Lease accounting)5.公认会计原则

4、应用 (Application of GAAP)6.财务年度结算流程 (Financial Close process)7.监控 (Monitoring controls)8.职责分工 (Segregation of Duties)9.衍生工具 (Derivatives)10.子公司/偏远地区 (Subsidiaries/Remote locations) 1. 毕马威第 404 条机构调查 2005 年 5 月53. 萨班斯法案404条款及相关条例对管理层自我评价的要求3.1管理层的责任3.2管理层自我评价流程3.3管理层自我评价应满足的基本要求3.4管理层报告要求3.5 PCAOB有关内控

5、的详细指引文件3.6 SEC及PCAOB就执行萨班斯404条款的最新动态注：PCAOB 是指美国上市公司会计监督委员会63.1 管理层的责任承担公司财务报告内部控制有效性的责任；采用适当的控制标准(比如COSO标准)，评价公司财务报告内部控制的有效性（是否存在实际性漏洞）；以充分的证据(包括文档文件，参看4.7)为评价结果提供有力支持；针对公司最近财年财务报告内部控制的有效性提交书面评价。 注：COSO 是指美国反虚假财务报告委员会出版的内部控制整体框架73.2 管理层自我评价流程404条款：管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运行的有效性控制点的设计和运行情况？

6、评估什么补充修改补充修改实质性漏洞控制点的载体是什么？报告评估：-自我评估-独立评估评估：-自我评估-独立评估404条款：管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运行的有效性内部控制设计的有效性内部控制执行的有效性控制点的设计和执行情况内控手册？评估什么？评估什么补充修改补充修改补充修改补充实质性漏洞控制点的载体是什么？控制点的载体是什么？报告报告评估：-自我评估-独立评估评估：-自我评估-独立评估评估：-自我评估-独立评估评估：-自我评估-独立评估83.3 管理层自我评价应满足的基本要求PCAOB规定审计师应当判断管理层的评价过程是否包含了下列内容：确认需要测试的控

7、制措施，包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施；评价由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性，以及其他控制措施实现相同控制目标的程度；确认应纳入评价范围的具体公司经营场所或业务单元(针对拥有多个办公地点或业务单元的公司)；对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及运行方面的有效性进行评价；确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞；就主要发现与有关方面进行沟通；及评价主要发现是否与评价结果相一致。自我评价确认评价对象评价控制失效风险确认评价范围评价控制有效性评价缺陷严重性沟通形成结论93.4

8、 管理层报告要求管理层须陈述为公司设立和维持足够的财务报告内部控制系统的责任；管理层须陈述为评价公司财务报告内部控制系统的有效性而采用的评价架构;管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评价, 包括一份公司与财务报告相关的内部控制是否有效的声明。声明必须披露管理层发现的任何一项公司与财务报告相关的内部控制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更多实质性漏洞时，管理层不得做出公司与财务报告相关的内部控制有效的声明；103.5 PCAOB有关内控的详细指引文件04年6月17日PCAOB第2号审计准则05年5月16日第2号审计准则的实施声明截至05年5月

9、16日第1至55条PCAOB职员对公众提问的回复05年11月30日第2号审计准则的首年实施报告06年5月1日PCAOB对内控审计于2006年的检查声明参考网站：/Standards/Standards_and_Related_Rules/index.aspx113.6 SEC及PCAOB就执行萨班斯404条款的最新动态2006年5月10日，SEC和PCAOB召开了圆桌会议，就关于如何改进萨班斯404条款的实施进行了讨论。5月17日，SEC发表了以下声明：SEC将就管理层如何按照自上而下、风险导向的方法完成对财务报告内部控制的自我评价出台具体指南。SEC将考虑是否为小型上市公司应用COSO框架出

10、台另外的指南。SEC将与PCAOB紧密合作，修订PCAOB审计准则第2号。中石化适用执行萨班斯404条款最后期限仍为2006年7月15日或以后结束的财政年度。124. 管理层自我评价具体问题讨论4.1公司层面控制(Company Level Controls) 的确定4.2信息系统一般性控制(IT General Controls)的确定4.3重要会计科目/披露(Significant Accounts/Disclosures)的确定4.4重要/关键控制点(Key Control Points)的确定4.5检查时间(Inspection Timing)的确定4.6测试样本量(Testing S

11、ample Size)的确定4.7自我评价记录(Documentation)的要求4.8 应当包括在评估过程中的经营场所和业务单位(Scope)134.1 公司层面控制(Company Level Controls)的确定公司层面的控制通常对控制活动在流程、交易过程中有普遍深入的影响。PCAOB规定的公司层面的控制包含7个方面的内容，其中有4点与COSO框架相一致。COSO框架是识别和评价公司层面的控制重要的参照。144.1 公司层面控制的确定（续）COSO框架概述(在内控检查办法第八条和第十九条体现）：控制环境：提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制意识和工作能

12、力是所有其它内部控制组成要素的基础。控制环境的因素具体包括：正直守德的价值取向、对员工胜任能力的关注、董事会或审计委员会、管理哲学和经营风格、公司组织结构、职权和职责的分配、人力资源政策及实务。 风险评估：风险评估就是分析和识别威胁所定目标实现的风险。经济、法律及管理的环境等内外部因素不断变化，企业主动地发现和处理由于情况变化所带来的风险是很有必要的。 控制环境风险评估控制活动信息与沟通监控154.1 公司层面控制的确定（续）控制活动：是确保管理层的指令得以执行的政策及程序，是管理层识别和评估风险后，对控制这些风险所实行的针对性措施。控制活动包括授权审批、核对、关键绩效指标、资产安全控制及职责

13、分离等各种类型，又可以分为人工控制和信息系统控制两大类。信息与沟通：内部控制的全过程都需要高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。企业不仅应当致力于提升内部沟通的有效性，还应关注与企业外部的沟通问题。监控：是由适当的人员，在适当及时的基础下，评价控制的设计和运作情况的过程。这一活动由持续监督、个别评价所组成，其可确保企业内部控制能持续有效的运作。164.1 公司层面控制的确定（续）PCAOB规定的公司层面的控制措施包括但不限于：控制环境（与COSO一致）内的控制措施，包括领导层的定调、权责分工、贯彻一致的政策和程序和全公司的措施，例如专业操守和防止

14、诈骗这类适用于所有地区和业务单位的措施管理层的风险评估程序（与COSO一致）集中的处理和控制措施（与COSO一致） ，包括共用服务环境监察经营业绩的控制措施，包括内部审计部门、审计委员会和自我评价计划的工作监察其他控制措施（与COSO一致）的控制措施期末财务报告程序经董事会审批处理重大业务控制和风险管理的政策174.2 信息系统的一般性控制(IT General Controls)的确定信息系统的一般性控制包括以下四方面内容：程序和数据的进入程序的修改程序的开发计算机的操作184.2 信息系统的一般性控制的确定（续）程序和数据的进入 (Access to programs and data)实

15、施有效的安全性措施。对信息资源的接触应做实物与虚拟的限制，即防止未经授权的人接近信息资源；防止未经授权的人利用网络技术侵入信息系统。职责分工，相关人员只能进入或修改职责范围内的信息。程序的修改 (Program changes)程序的修改需经过授权，记录及测试。系统及应用程序的配置应及时升级。194.2 信息系统的一般性控制的确定（续）程序的开发 (Program development)新系统及应用程序的开发及应用需要经过授权及测试。计算机的操作 (Computer operations)对系统信息应定期备份，并进行恢复性测试以保证备份信息的可用性。应设置相应的应急程序，以防系统出现故障。对

16、系统信息的录入或操作应做到准确、完整和及时。204.2 信息系统的一般性控制的确定（续）终端用户计算 (End-user computing)指与财务报告数据生成有关、并对数据按公式进行加工处理的Excel、Access、VB等电子表格、小程序等，进行有关授权制度、公式访问保护、测试、备份、文档等管理214.3 重要会计科目/披露（Significant Accounts/Disclosures)的确定定义：如果某科目或披露事项中出现可能对财务报表产生重大影响(因少报或多报)的单个错报(或多个错报的共同作用)的可能性并非微小，那么这一科目或披露事项就是重要的会计科目或披露事项。确定重要科目时应

17、当考虑：定性与定量的考虑（见下页）合并报表层面的重要性水平（一般为税前利润3-5%）除个别会计科目（如所得税）外，内控手册基本涵盖了所有重要会计科目/披露；内控测试需要补充有关内容内控办需要整理重要会计科目/披露与内控手册的对应关系224.4 重要/关键控制点(Key Control Points)的确定对于重要/关键控制点的确定，PCAOB要求至少应当包括以下方面的控制：与重要科目/披露及财务报告所包含相关认定的启动、审批、记录、处理或汇报有关的控制（注意为从“启动”到“会计记录”全过程均属于与财务报告相关的重要/关键控制点范围）；选择和应用符合公认会计准则要求的会计政策的控制；反舞弊程序和

18、控制；各种控制，包括其他重要控制所依赖的信息技术的一般性控制；对非经常性和非程序化的交易的控制（例如需要判断和估计的科目）；及公司层面的内部控制234.5 检查时间（Inspection Time）的确定管理层在确定测试时间时的考虑：管理层对内控发表意见的基准日（2006年12月31日）； 流程的活动发生的时间； 例如：销售活动每天发生；年报及中报财务数据的上报流程就只在年中及年末发生（因此不能太早开展，另外年底过后需要对年末才发生的关键控制点/需要整改的控制点进行补充检查）。流程的活动发生的频密程度； 例如：银行付款每天发生；编制银行调节表则每月/季发生（因此不能太晚开展，否则对需要整改的控

19、制点在年底前没有足够的样本量（3个月）供补充检查） 。244.6 测试样本量(Testing Sample Size)的确定毕马威进行财务报告内部控制有效性测试时，按照不少于以下标准确定样本量：管理层实施财务报告内部控制有效性测试时，可参照以上标准，但不应少于以上标准。对重要会计科目（如销售、采购、费用、资本支出、资金）等流程应增加样本量。254.7 自我评价记录（Documentation）的要求管理层评价必须保留所有评价工作的底稿，其中应包括：评价计划文件（包括范围制定）设计有效性测试底稿（包括穿行测试的记录建议一个流程至少应复印、存档一份样本资料）执行有效性测试底稿：包括测试地点，测试时

20、间，测试人，复核人，测试流程，控制点，测试方法，测试结果，测试结论及改善建议等。其中测试结果应包括：所选样本，控制的设计/执行情况；汇总、分析各企业的内控缺陷并形成书面评价报告，及与外部审计师及审计委员会等沟通的文件记录注：根据上交所内控指引要求，检查监督部门的工作资料，包括内部控制检查监督工作报告、工作底稿及相关资料，保存时间不少于十年。264.8 应当包括在评估过程中的经营场所和业务单位管理层的自我评价范围应当包括“大部分”的经营场所和业务单位，其范围应不少于审计师的内控审计范围。一般而言，“大部分”的经营场所和业务单位须至少代表该企业70%的总收入或总资产；据调查，美国本土上市公司的内控

21、评价范围占总收入或总资产90%以上。其中，管理层必须对以下的经营场所和业务单位进行自我评价：财务重大单位（占企业百分之五以上的总收入或总资产，例如：胜利油田、大型上市子公司、广东石油公司)应覆盖“大部分”二级单位存在特殊风险单位（例如：国际事业/联合石化的石油期货风险）275.1 中石化存在的潜在财务报告内控缺陷基于毕马威对中石化的审计经验，结合美国上市公司已披露的内控缺陷，我们在此举例说明了中石化潜在的公司层面及信息系统层面的潜在财务内控缺陷，以提请管理层关注。对于具体业务流程层面的潜在内控缺陷，可参考毕马威过去数年给管理层的管理建议书，毕马威将在测试完成后与管理层做进一步沟通。285.2

22、毕马威2005年给管理层的管理建议书关于中石化信息系统的几点问题与建议加强对ERP硬件的管理规范暂估在建工程的会计处理建立备品备件系统重视应收款项的帐龄分析规范其他应收款中长期投资款的核算规范应付工资的会计处理盘点时分开摆放已否验收的存货并编制详细的存货盘点差异分析表295.2 毕马威2005年给管理层的管理建议书(续）加强对已完工在建工程项目转入固定资产科目的管理重视往来单位基础信息的管理及时更新关联方基础信息及其交易清单及时准确地进行递延税款的会计核算和所得税的纳税调整加强财务部门与业务部门的沟通规范费用核算规范转供电损失的会计核算完善产量统计体系规范季节性停工损失的会计处理305.2 毕

23、马威2005年给管理层的管理建议书(续）根据原油采购价格的变动定期修改炼油企业的标准成本指引对不同原油品种成本结转的建议规范固定资产使用年限变更后的会计处理方法规范损益表科目的帐务处理加强对待储存货的管理以避免“红字”库存的发生正确核算长期待摊费用摊销要求销售企业严格执行以“加权平均法”作为存货计价方法改善临时用工管理制度和劳务费结算制度315.3 美国上市公司已披露的内控缺陷举例325.4 控制缺陷 定义控制缺陷(Control Deficiency)可能是由于以下方面出现漏洞所致： 设计(Design)；或 执行(Operation)。 335.4 控制缺陷 定义（续）显著缺陷(Signi

24、ficant Deficiency)是指一个或一组控制缺陷，这个或这组缺陷会对公司按照公认会计原则可靠地启动、审批、记录、处理或汇报外部财务数据的能力构成负面的影响，从而导致年度或中期财务报告中的并非无关紧要的错漏(Misstatement that is more than inconsequential) （一般达税前利润1%或总收入与总资产孰高0.1%）无法被预防或侦测出来的可能性并非十分微小实质性漏洞(Material Weakness)是指一个或一组严重缺陷，这个或这组缺陷会导致年度或中期财务报告中的重大错漏(Material Misstatement)（一般达税前利润5%或总收入与

25、总资产孰高0.5%）无法被预防或侦测出来的可能性并非十分微小严重显著缺陷 = 实质性漏洞存在实质性漏洞时，管理层不得作出内部控制有效的声明345.5 控制缺陷 评估控制缺陷的框架需要考虑的因素 有没有存在：互为补足的控制措施 (Complementary Controls) 一组控制措施一起发挥作用以达到相同的目标多余的控制措施 (Redundant Controls) 达致相同目标的控制措施补充的控制措施 (Compensating Controls) 精密准确地运行的控制措施，可以避免或发现严重的错报情况即使存在其他控制措施也不能把缺陷消除，但可减低其严重性如果上述任何控制措施有助减低所发

26、现缺陷的严重性，那么，该控制措施就必须加以验证，并进行测试 355.5 控制缺陷 评估控制缺陷的框架（续）下列领域出现的缺陷至少是财务报告内部控制中的显著缺陷 对于是否根据一般公认会计原则对会计政策进行选择和应用的控制点； 反舞弊程序和控制； 对于非常规和非系统交易的控制；和 对于期末财务报告过程的控制，包括对将交易总数过入总帐；初始、授权、记录和处理总帐中的日记帐分录；和记录财务报表中重复发生和非重复发生的调整的控制。 365.5 控制缺陷 评估控制缺陷的框架（续）以下情况的发生显示企业内至少出现了显著缺陷，甚至是实质性漏洞的明显征兆：财务报表因为以前年度的错误需要重新列报；由审计师而非管理

27、层首先发现的财务报表错报；无效的审计委员会审阅及监控；以前期间已经向管理层及审计委员会沟通过，但是在合理时间内仍然没有修正的显著缺陷；管理层的欺诈及舞弊行为；无效的控制环境。375.6 控制缺陷 评估测试的例外情况第 1 步：审查及了解例外情况的成因和结果。测试是否达到目的 (例如：实际的偏差率是不是低于或相等于计划的偏差率) ？ 第 2 步：考虑管理层及审计师的测试结果和从方格 1 所获得的资料。额外的测试（如加10个样本或50%）能否证实偏差率或注意到的例外情况并不代表整体情况？第 3 步：扩大测试范围，并重新进行评价。测试是否达到目的？ 内部控制缺陷 (Internal Control

28、Deficiency)是能够是不能够不是不是这种例外情况并不重要，不是控制缺陷385.7 控制缺陷 评估控制缺陷方格 1 潜在的严重性是否对财务报表而言并不重要？是不是不会方格 2 有没有经测试及评价的互补或多余控制措施可以达到相同的控制目标呢？方格 3 有没有经测试及评价的补充控制措施可以把财务报表内错报的严重性减至不重要的程度？方格 7 就财务报表而言，审慎的工作人员会否认为这至少是一个显著缺陷(Significant Deficiency)？有有缺陷(Deficiency)会见方格 4 (下页)第 1 步：确定是否存在显著缺陷(Significant Deficiency)没有没有395.7 控制缺陷 评估控制缺陷（续）方格 4 潜在的严重性是否对财务报表而言低于重大程度？不会方格 5 有没有经测试及评价的补充控制措施可以把财务报表内错报的严重性减至低于重大程度？方格 6 额外的评价工作能否确定财务报表出现重大错报的可能性不大？方格 7 就财务报表而言，审慎的工作人员会否认为这是一个