萨班斯法案内部控制重点内容及美国本土上市公司执行情况

中国石油化工股份

萨班斯法案关于内部控制重点内容

美国外乡上市公司执行情况

2006年7月25日0主要内容：1. 内部控制-国内外资本市场监管要求和股份公司管理要求2. 美国外乡公司首年执行萨班斯法案404条款3. 萨班斯法案404条款及相关条例对管理层自我评价的要求4. 管理层自我评价详细问题讨论5. 中石化存在的潜在财务报告内部控制缺陷6. 毕马威对中石化自我评价所能提供的协助及建议11.1内部控制-国内外资本市场监管要求21.2内部控制-股份公司管理要求除了为满足国内外资本市场监管要求外，股份公司建立内控制度是为了提高公司管理程度，详细表现为：1. 建立现代企业制度，完善法人治理构造，实现运营机制的转换，加强企业管理，提高企业运营业绩，改善企业财务情况2. 积极参与竞争、努力降低风险，以提高运营管理效率和效果3. 建立一致规范的内部控制制度，使股份公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度，更为有效地表达股份公司管理理念32.1美国外乡公司首年执行萨班斯法案–带来的主要益处1. 董事会、审计委员会和管理层对内部控制有更多参与2. 建立起监控和评价控制机制3. 针对年结制定的构造和流程4. 实施反诈骗控制5. 对经过信息技术控制风险有警惕性6. 有更好的流程/控制文件用于培训和管理教育7. 完善的风险和控制定义8. 管理层和担任操作的人员更好地了解他们在控制方面的责任9. 更好的审计追踪10.重新落实根本的控制措施，如分工、授权流程、会计账目调理资料来源：内部审计师协会—2005年7月调查—StateofRegulatoryComplianceSummit,WashingtonDC(监管合规顶峰会的州—华盛顿市)42.2首年执行萨班斯法案–出现负面意见的主要缘由1. 所得税问题(Incometaxmatters)2. 收入确认(Revenuerecognition)3. 财务人员配置/专业知识(Financialstaffing/expertise)4. 租赁会计处置方法(Leaseaccounting)5. 公认会计原那么运用(ApplicationofGAAP)6. 财务年度结算流程(FinancialCloseprocess)7. 监控(Monitoringcontrols)8. 职责分工(SegregationofDuties)9. 衍生工具(Derivatives)10.子公司/偏远地域(Subsidiaries/Remotelocations)1.毕马威第404条机构调查—2005年5月53.萨班斯法案404条款及相关条例对管理层自我评价的要求3.1 管理层的责任3.2 管理层自我评价流程3.3 管理层自我评价应满足的根本要求3.4 管理层报告要求3.5PCAOB有关内控的详细指引文件3.6 SEC及PCAOB就执行萨班斯404条款的最新动态注：PCAOB是指美国上市公司会计监视委员会63.1管理层的责任承当公司财务报告内部控制有效性的责任；采用适当的控制规范(比如COSO规范)，评价公司财务报告内部控制的有效性〔能否存在实践性破绽〕；以充分的证据(包括文档文件，参看4.7)为评价结果提供有力支持；针对公司最近财年财务报告内部控制的有效性提交书面评价。注：COSO是指美国反虚伪财务报告委员会出版的<内部控制整体框架>73.2管理层自我评价流程404条款：管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运转的有效性控制点的设计和运转情况？评价什么补充修正补充修正本质性漏洞控制点的载体是什么？报告评价：-自我评价-独立评价评价：-自我评价-独立评价404条款：管理层对与财务报告相关的内部控制的报告内部控制设计的有效性内部控制运转的有效性内部控制设计的有效性内部控制执行的有效性控制点的设计和执行情况内控手册？评价什么？评价什么补充修正补充修正补充修正补充本质性漏洞控制点的载体是什么？控制点的载体是什么？报告报告评价：-自我评价-独立评价评价：-自我评价-独立评价评价：-自我评价-独立评价评价：-自我评价-独立评价83.3管理层自我评价应满足的根本要求PCAOB规定审计师该当判别管理层的评价过程能否包含了以下内容：确认需要测试的控制措施，包括对所有重要会计报表科目及信息披露的相关会计认定所采取的控制措施；评价由于控制措施失效而导致会计报表错记的可能性、此类错记的严重性，以及其他控制措施实现相同控制目标的程度；确认应纳入评价范围的具体公司经营场所或业务单元(针对拥有多个办公地点或业务单元的公司)；对所有会计报表重要科目及信息披露的相关会计认定所实施的控制措施在设计及运行方面的有效性进行评价；确认在财务报告内部控制系统中所发现的不足是否会构成重大缺陷或实质性漏洞；就主要发现与有关方面进行沟通；及评价主要发现是否与评价结果相一致。自我评价确认评价对象评价控制失效风险确认评价范围评价控制有效性评价缺陷严重性沟通构成结论93.4管理层报告要求管理层须陈说为公司设立和维持足够的财务报告内部控制系统的责任；管理层须陈说为评价公司财务报告内部控制系统的有效性而采用的评价架构;管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制有效性的评价,包括一份公司与财务报告相关的内部控制能否有效的声明。声明必需披露管理层发现的任何一项公司与财务报告相关的内部控制的本质性破绽。在公司与财务报告相关的内部控制存在某一或更多本质性破绽时，管理层不得做出公司与财务报告相关的内部控制有效的声明；103.5PCAOB有关内控的详细指引文件04年6月17日 PCAOB第2号审计准那么05年5月16日 第2号审计准那么的实施声明截至05年5月16日 第1至55条PCAOB职员对公众提问的回复05年11月30日 第2号审计准那么的首年实施报告06年5月1日 PCAOB对内控审计于2006年的检查声明参考网站：/Standards/Standards_and_Related_Rules/index.aspx113.6SEC及PCAOB就执行萨班斯404条款的最新动态2006年5月10日，SEC和PCAOB召开了圆桌会议，就关于如何改良萨班斯404条款的实施进展了讨论。5月17日，SEC发表了以下声明：SEC将就管理层如何按照自上而下、风险导向的方法完成对财务报告内部控制的自我评价出台详细指南。SEC将思索能否为小型上市公司运用COSO框架出台另外的指南。SEC将与PCAOB严密协作，修订PCAOB审计准那么第2号。中石化适用执行萨班斯404条款最后期限仍为2006年7月15日或以后终了的财政年度。124.管理层自我评价详细问题讨论4.1 公司层面控制(CompanyLevelControls)确实定4.2 信息系统普通性控制(ITGeneralControls)确实定4.3 重要会计科目/披露(SignificantAccounts/Disclosures)确实定4.4 重要/关键控制点(KeyControlPoints)确实定4.5 检查时间(InspectionTiming)确实定4.6 测试样本量(TestingSampleSize)确实定4.7 自我评价记录(Documentation)的要求4.8该当包括在评价过程中的运营场所和业务单位(Scope)134.1公司层面控制(CompanyLevelControls)确实定公司层面的控制通常对控制活动在流程、买卖过程中有普遍深化的影响。PCAOB规定的公司层面的控制包含7个方面的内容，其中有4点与COSO框架相一致。COSO框架是识别和评价公司层面的控制重要的参照。144.1公司层面控制确实定〔续〕COSO框架概述(在内控检查方法第八条和第十九条表达〕：控制环境：提供企业纪律与架构，塑造企业文化和正确的价值观，并影响企业员工的控制认识和任务才干是一切其它内部控制组成要素的根底。控制环境的要素详细包括：耿直守德的价值取向、对员工胜任才干的关注、董事会或审计委员会、管理哲学和运营风格、公司组织构造、职权和职责的分配、人力资源政策及实务。

风险评价：风险评价就是分析和识别要挟所定目的实现的风险。经济、法律及管理的环境等内外部要素不断变化，企业自动地发现和处置由于情况变化所带来的风险是很有必要的。控制环境风险评价控制活动信息与沟通监控154.1公司层面控制确实定〔续〕控制活动：是确保管理层的指令得以执行的政策及程序，是管理层识别和评价风险后，对控制这些风险所实行的针对性措施。控制活动包括授权审批、核对、关键绩效目的、资产平安控制及职责分别等各种类型，又可以分为人工控制和信息系统控制两大类。信息与沟通：内部控制的全过程都需求高质量的信息以及顺畅的沟通。高质量信息具有内容相关、正确、提供及时以及便于获取等特征。企业不仅该当努力于提升内部沟通的有效性，还应关注与企业外部的沟通问题。监控：是由适当的人员，在适当及时的根底下，评价控制的设计和运作情况的过程。这一活动由继续监视、个别评价所组成，其可确保企业内部控制能继续有效的运作。164.1公司层面控制确实定〔续〕PCAOB规定的公司层面的控制措施包括但不限于：控制环境〔与COSO一致〕内的控制措施，包括指点层的定调、权责分工、贯彻一致的政策和程序和全公司的措施，例如专业操守和防止诈骗这类适用于一切地域和业务单位的措施管理层的风险评价程序〔与COSO一致〕集中的处置和控制措施〔与COSO一致〕，包括共用效力环境监察运营业绩的控制措施，包括内部审计部门、审计委员会和自我评价方案的任务监察其他控制措施〔与COSO一致〕的控制措施期末财务报告程序经董事会审批处置艰苦业务控制和风险管理的政策174.2信息系统的普通性控制(ITGeneralControls)确实定信息系统的普通性控制包括以下四方面内容：程序和数据的进入程序的修正程序的开发计算机的操作184.2信息系统的普通性控制确实定〔续〕程序和数据的进入(Accesstoprogramsanddata)实施有效的平安性措施。对信息资源的接触应做实物与虚拟的限制，即防止未经授权的人接近信息资源；防止未经授权的人利用网络技术侵入信息系统。职责分工，相关人员只能进入或修正职责范围内的信息。程序的修正(Programchanges)程序的修正需经过授权，记录及测试。系统及运用程序的配置应及时晋级。194.2信息系统的普通性控制确实定〔续〕程序的开发(Programdevelopment)新系统及运用程序的开发及运用需求经过授权及测试。计算机的操作(Computeroperations)对系统信息应定期备份，并进展恢复性测试以保证备份信息的可用性。应设置相应的应急程序，以防系统出现缺点。对系统信息的录入或操作应做到准确、完好和及时。204.2信息系统的普通性控制确实定〔续〕终端用户计算(End-usercomputing)指与财务报告数据生成有关、并对数据按公式进展加工处置的Excel、Access、VB等电子表格、小程序等，进展有关授权制度、公式访问维护、测试、备份、文档等管理214.3重要会计科目/披露〔SignificantAccounts/Disclosures)确实定定义：假设某科目或披露事项中出现能够对财务报表产生艰苦影响(因少报或多报)的单个错报(或多个错报的共同作用)的能够性并非微小，那么这一科目或披露事项就是重要的会计科目或披露事项。确定重要科目时该当思索：定性与定量的思索〔见下页〕合并报表层面的重要性程度〔普通为税前利润3-5%〕除个别会计科目〔如所得税〕外，内控手册根本涵盖了一切重要会计科目/披露；内控测试需求补充有关内容内控办需求整理重要会计科目/披露与内控手册的对应关系224.4重要/关键控制点(KeyControlPoints)确实定对于重要/关键控制点确实定，PCAOB要求至少该当包括以下方面的控制： 与重要科目/披露及财务报告所包含相关认定的启动、审批、记录、处置或汇报有关的控制〔留意为从“启动〞到“会计记录〞全过程均属于与财务报告相关的重要/关键控制点范围〕；选择和运用符合公认会计准那么要求的会计政策的控制；反舞弊程序和控制；各种控制，包括其他重要控制所依赖的信息技术的普通性控制；对非经常性和非程序化的买卖的控制〔例如需求判别和估计的科目〕；及公司层面的内部控制234.5检查时间〔InspectionTime〕确实定管理层在确定测试时间时的思索：管理层对内控发表意见的基准日〔2006年12月31日〕；流程的活动发生的时间；例如：销售活动每天发生；年报及中报财务数据的上报流程就只在年中及年末发生〔因此不能太早开展，另外年底过后需求对年末才发生的关键控制点/需求整改的控制点进展补充检查〕。流程的活动发生的频密程度；例如：银行付款每天发生；编制银行调理表那么每月/季发生〔因此不能太晚开展，否那么对需求整改的控制点在年底前没有足够的样本量〔3个月〕供补充检查〕。244.6测试样本量(TestingSampleSize)确实定毕马威进展财务报告内部控制有效性测试时，按照不少于以下规范确定样本量：管理层实施财务报告内部控制有效性测试时，可参照以上规范，但不应少于以上规范。对重要会计科目〔如销售、采购、费用、资本支出、资金〕等流程应添加样本量。254.7自我评价记录〔Documentation〕的要求管理层评价必需保管一切评价任务的底稿，其中应包括：评价方案文件〔包括范围制定〕设计有效性测试底稿〔包括穿行测试的记录［建议一个流程至少应复印、存档一份样本资料］〕执行有效性测试底稿：包括测试地点，测试时间，测试人，复核人，测试流程，控制点，测试方法，测试结果，测试结论及改善建议等。其中测试结果应包括：所选样本，控制的设计/执行情况；汇总、分析各企业的内控缺陷并构成书面评价报告，及与外部审计师及审计委员会等沟通的文件记录注：根据上交所<内控指引>要求，检查监视部门的任务资料，包括内部控制检查监视任务报告、任务底稿及相关资料，保管时间不少于十年。264.8该当包括在评价过程中的运营场所和业务单位管理层的自我评价范围该当包括“大部分〞的运营场所和业务单位，其范围应不少于审计师的内控审计范围。普通而言，“大部分〞的运营场所和业务单位须至少代表该企业70%的总收入或总资产；据调查，美国外乡上市公司的内控评价范围占总收入或总资产90%以上。其中，管理层必需对以下的运营场所和业务单位进展自我评价：财务艰苦单位〔占企业百分之五以上的总收入或总资产，例如：胜利油田、大型上市子公司、广东石油公司)应覆盖“大部分〞二级单位存在特殊风险单位〔例如：国际事业/结合石化的石油期货风险〕275.1中石化存在的潜在财务报告内控缺陷基于毕马威对中石化的审计阅历，结合美国上市公司已披露的内控缺陷，我们在此举例阐明了中石化潜在的公司层面及信息系统层面的潜在财务内控缺陷，以提请管理层关注。对于详细业务流程层面的潜在内控缺陷，可参考毕马威过去数年给管理层的管理建议书，毕马威将在测试完成后与管理层做进一步沟通。285.2毕马威2005年给管理层的管理建议书关于中石化信息系统的几点问题与建议 加强对ERP硬件的管理 规范暂估在建工程的会计处置建立备品备件系统 注重应收款项的帐龄分析规范其他应收款中长期投资款的核算 规范应付工资的会计处置 清点时分开摆放已否验收的存货并编制详细的存货清点差别分析表295.2毕马威2005年给管理层的管理建议书(续〕加强对已完工在建工程工程转入固定资产科目的管理注重往来单位根底信息的管理及时更新关联方根底信息及其买卖清单及时准确地进展递延税款的会计核算和所得税的纳税调整加强财务部门与业务部门的沟通规范费用核算规范转供电损失的会计核算完善产量统计体系规范季节性停工损失的会计处置305.2毕马威2005年给管理层的管理建议书(续〕根据原油采购价钱的变动定期修正炼油企业的规范本钱指引对不同原油种类本钱结转的建议规范固定资产运用年限变卦后的会计处置方法规范损益表科目的帐务处置加强对待储存货的管理以防止“红字〞库存的发生正确核算长等待摊费用摊销要求销售企业严厉执行以“加权平均法〞作为存货计价方法 改善暂时用工管理制度和劳务费结算制度315.3美国上市公司已披露的内控缺陷举例325.4控制缺陷–定义控制缺陷(ControlDeficiency)能够是由于以下方面出现破绽所致：设计(Design)；或执行(Operation)。335.4控制缺陷–定义〔续〕显著缺陷(SignificantDeficiency)是指一个或一组控制缺陷，这个或这组缺陷会对公司按照公认会计原那么可靠地启动、审批、记录、处置或汇报外部财务数据的才干构成负面的影响，从而导致年度或中期财务报告中的并非无关紧要的错漏(Misstatementthatismorethaninconsequential)〔普通达税前利润1%或总收入与总资产孰高0.1%〕无法被预防或侦测出来的能够性并非非常微小本质性破绽(MaterialWeakness)是指一个或一组严重缺陷，这个或这组缺陷会导致年度或中期财务报告中的艰苦错漏(MaterialMisstatement)〔普通达税前利润5%或总收入与总资产孰高0.5%〕无法被预防或侦测出来的能够性并非非常微小严重显著缺陷=本质性破绽存在本质性破绽时，管理层不得作出内部控制有效的声明345.5控制缺陷–评价控制缺陷的框架需求思索的要素——有没有存在：互为补足的控制措施(ComplementaryControls)——一组控制措施一同发扬作用以到达一样的目的多余的控制措施(RedundantControls)——达致一样目的的控制措施补充的控制措施(CompensatingControls)——精细准确地运转的控制措施，可以防止或发现严重的错报情况即使存在其他控制措施也不能把缺陷消除，但可减低其严重性假设上述任何控制措施有助减低所发现缺陷的严重性，那么，该控制措施就必需加以验证，并进展测试355.5控制缺陷–评价控制缺陷的框架〔续〕以下领域出现的缺陷至少是财务报告内部控制中的显著缺陷

对于能否根据普通公认会计原那么对会计政策进展选择和运用的控制点；反舞弊程序和控制；对于非常规和非系统买卖的控制；和对于期末财务报告过程的控制，包括对将买卖总数过入总帐；初始、授权、记录和处置总帐中的日记帐分录；和记录财务报表中反复发生和非反复发生的调整的控制。365.5控制缺陷–评价控制缺陷的框架〔续〕以下情况的发生显示企业内至少出现了显著缺陷，甚至是本质性破绽的明显征兆：财务报表由于以前年度的错误需求重新列报；由审计师而非管理层首先发现的财务报表错报；无效的审计委员会审阅及监控；以前期间曾经向管理层及审计委员会沟经过，但是在合理时间内依然没有修正的显著缺陷；管理层的欺诈及舞弊行为；无效的控制环境。375.6控制缺陷–评价测试的例外情况第1步： 审查及了解例外情况的成因和结果。测试能否到达目的(例如：实践的偏向率是不是低于或相等于方案的偏向率)？第2步： 思索管理层及审计师的测试结果和从方格1所获得的资料。额外的测试〔如加10个样本或50%〕能否证明偏向率或留意到的例外情况并不代表整体情况？第3步： 扩展测试范围，并重新进展评价。测试能否到达目的？内部控制缺陷(InternalControlDeficiency)是可以是不可以不是不是这种例外情况

并不重要，不是控制缺陷385.7控制缺陷–评价控制缺陷方格1——潜在的严重性能否对财务报表而言并不重要？是不是不会方格2——有没有经测试及评价的互补或多余控制措施可以到达一样的控制目的呢？方格3有没有经测试及评价的补充控制措施可以把财务报表内错报的严重性减至不重要的程度？方格7——就财务报表而言，谨慎的任务人员会否以为这至少是一个显著缺陷(SignificantDeficiency)？有有缺陷(Deficiency)会见方格4(下页)第1步：确定能否存在显著缺陷(SignificantDeficiency)没有没有395.7控制缺陷–评价控制缺陷〔续〕方格4——潜在的严重性能否对财务报表而言低于艰苦程度？不会方格5——有没有经测试及评价的补充控制措施可以把财务报表内错报的严重性减至低于艰苦程度？方格6——额外的评价任务能否确定财务报表出现艰苦错报的能够性不大？方格7——就财务报表而言，谨慎的任务人员会否以为这是一个本质性破绽