萨班斯SOX404工作方法论培训

中国明阳风电集团SOX404工作方法论培训目录内容1、萨班斯法案背景简介►背景简介►PCAOB第五号审计准则概述2、风险种类及案例介绍3、SOX404项目工作方法解析►总述►项目范围确定►公司层面►流程层面Page11萨班斯法案背景简介Page2什么是萨班斯法案Page31、萨班斯法案背景简介§正式的名称是“公众公司会计改革与投资者保护法案”§于2002年7月30日由布什签署颁布§最受市场关注的是404条(SOX404)，即关于内部控制评估的规定§要求公司在年报里申明有关财务报告内部控制的有效性，以及审计师必须出具鉴证报告Page41、萨班斯法案背景简介（续）萨班斯法案诞生的原因及背景vvvPage5

安然事件–大震惊暴露了美国证券市场操作和监管体系的严重问题世界通讯–美国国会法案使命：重建投资者信心；提升透明度；改革会计行业1、萨班斯法案背景简介（续）v

《萨班斯-奥克斯利法

萨班斯法案的内容案》对在美国上市的公司须承担的责任建立了新的规范,并提出了新的财务报表要求

第一章第二章第三章第四章

上市公司会计监管委员会审计师独立性公司责任（第302节）对财务报告披露的加强（第404节）vv

明确了公司首席执行官、首席财务官和审计委员会的职责，要求其承担比以往更高层次的义务和更多的参与。在美国上市的外国公司

第五章第六章第七章第八章第九章第十章第十一章

分析师利益冲突委员会资源及权利研究与报告公司及刑事舞弊白领犯罪处罚（第906节）公司税务公司舞弊同样适用Page61、萨班斯法案背景简介－PCAOB第5号审计准则PCAOB第5号审计准则的主要内容美国PCAOB组织新颁布的第5号审计准则的最新审计要求如下：Page7关注最重要事项的审计删除不必要的流程对较小规模公司的审计方法简化准则及其要求►采用自上关注最重要事项的审计删除不必要的流程对较小规模公司的审计方法简化准则及其要求►采用自上而下，以风险为导向的审计方法►关注重大错报风险最大的领域►风险评估贯穿审计范围，包括决定了判断控制有效性所需证据的数量►强调舞弊风险、反舞弊控制和期末关帐程序的重要性。►外部审计师不需就管理层有关内控有效性的自我评价出具审计意见►在多地区审计的范围确定中，关注存在风险的地区而非审计覆盖面（废除“大部分地区”审计覆盖面的要求）►取消对依赖他人工作成果的限制（取消“主要证据”的要求）►根据公司规模确定审计工作范围的方法是以风险为导向的审计方法的自然延伸►根据公司规模确定审计工作范围的概念贯穿整个审计流程，但未要求对公司规模和复杂程度对审计的影响进行文档记录►保留对规模较小、复杂程度较低公司的审计工作的特征，他们也可能适用于对较大规模公司的某些商业实体的审计►简化准则►更加关注于总则而非具体要求►对某些关键术语和概念的定义更加清晰►与美国证监会的规则和管理层指引中的关键术语和概念保持一致1、萨班斯法案背景简介－PCAOB第5号审计准则PCAOB第5号审计准则的影响对管理层内控评估的影响►应充分利用以风险为导向的评估方法框定404工作范围，针对高风险的业务和流程进行内控评估，从而节省和更有效运用资源及成本。►致力建立一个有效的公司层面内控制度，短期效益（本年度）是减低对流程层面内控的测试，减低所需工作时间及成本；长远来说，稳健的公司层面内部制度是公司健康成长的根基。►外部审计师将不需就管理层有关内控有效性的自我评价出具审计意见，使管理层能更自主地使用最适合本身情况的方法进行评估，增加项目的灵活性。与外部审计师合作的影响►由于第5号审计准则容许外部审计师依赖第三方评估的证据，外部审计师能根据管理层准备的评估资料作为审计证据，此能减少审计师的工作时数，为公司与外部审师商讨审计费用时提供更多的筹码。Page82风险种类及案例介绍Page93、风险种类及案例介绍什么是风险风险是指能够对企业目标产生负面（威胁）或正面（机会）影响的不确定性。联系上市公司遵循萨班斯（SOX）法案的相关要求，风险主要是指基于现有的内控系统无法防御、检查或更正与财务报表认定（如账户余额或交易分类）相关的重大的错报和漏报。Page102、风险种类及案例介绍企业的风险一般可以分为四大类：►战略风险►运营风险►财务风险►合规风险Page112、风险种类及案例介绍（续）战略风险是指企业在战略的制订和实施上出现错误，或因未能随环境的改变而作出适当的调整，从而导致经济上的损失。►企业经营目标与方针制定、业务范围►投资与融资策略►市场定位、品牌及形象的建立►并购风险►控制环境及高层管理风格Page122、风险种类及案例介绍（续）战略风险案例-香港百富勤公司(Peregrine)►90年代，百富勤原是亚洲(除日本外)的最大投资银行。►90年代末，百富勤没有充分意识到新兴金融市场的风险，并且低估了利率和汇率波动的风险，集中大量投资于印尼和泰国市场。►在亚洲金融风暴的冲击下，百富勤在短短一年内出现入不敷出，至1999年1月宣布破产。Page132、风险的种类及案例（续）运营风险是指企业内部流程和系统、人为或外部因素而给企业造成的经济损失。►产品设计、质量不达标或不合市场需求►交易流程中出现错误，如销售流程中（包括定价、记录、确认、出货等环节）出错而导致损失►系统出错是指系统失灵、数据的存取和处理、系统的安全性和可用性、系统的非法接入而使用导致损失►人为因素，如员工缺乏知识和能力、诚信及道德操守而导致损失Page142、风险的种类及案例（续）运营风险案例-英国巴林银行(BaringsBank)►巴林银行在90年代前是英国最大的银行之一，有超过200年的历史。►1992-1994年期间，由于缺乏足够的职责划分以及上级对下级从事业务的监控机制，巴林银行新加坡分行总经理里森(NickLeeson)在从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动中，累计亏损超过10亿美元。►巴林银行因此于1995年2月破产。Page152、风险的种类及案例（续）合规风险是指企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失的风险。►►►►►Page16

国内外政治法律环境与政策员工道德操守重大协议与合同的遵守与履行法律纠纷知识产权2、风险的种类及案例（续）合规风险案例–家乐福原告路易威登马利蒂公司诉称：其为法国公司，在中国注册了“ＬＶ”等五个商标。２００６年上半年，原告发现被告“家乐福”武宁店以特价促销的方式销售的三款女式包使用了与原告５个注册商标相同或近似标识。原告认为，被告的上述行为给原告的商标权和商誉造成了严重的损害，构成商标侵权。判决被告停止侵权，赔偿原告经济损失共计人民币３０万元。Page172、风险的种类及案例（续）财务风险包括会计核算及财务报告失误而造成的损失。►成本计算方法不正确►资金管理出现问题，导致资金挪用或贪污►会计及财务报告风险►税务风险►资本结构及流动性风险，如负债过多，资金周转困难Page182、风险的种类及案例（续）财务风险案例–四川长虹►四川长虹是中国最大的家电制造商之一►由于在对外贸易中过多关注争夺客户和市场份额，2002年前后，在无法收回海外代理商货款的情况下，仍然向海外发货，忽视应收账款坏账风险►四川长虹在1998年至2003年间创造利润人民币33亿元，却有39亿元的海外欠款，最终不得不于2004年在美国向海外代理商提起诉讼，开始了长达一年半的跨国诉讼►2006年4月四川长虹为尽早结束无休止的跨国诉讼与代理商签订和解协议，可收回应收账款金额仅为人民币13.6亿元Page193SOX404项目工作方法解析Page203、SOX404项目工作方法解析－总述SOX404项目的工作内容对公司层面内控和在流程层面与财务报告相关的内控措施的记录以及对其有效性（包括设计上和操作上）的评估。在公司层面内控的评审方面，广深确定以美国TheCommitteeofSponsoringOrganizationsoftheTreadwayCommission所颁布的对于内部控制框架的相关指引为依据（以下简称“COSO”）工作目标为管理层能对公司与财务报告相关的内部控制系统作满意的评价结论打下基础。Page213、SOX404项目工作方法解析－总述SOX404实施方法1.制定项目范围

2.评估内控设计有效性

3.测试内控操作有效性

4.汇总报告评估阶段理解内部控制的定义

组织项目小组实施评估工作

在全公司层面评估内部控制

在流程、交易和应用层面，理解和评估内控设计有效性

评估整体的有效性，找出有待改进的方面并建立一个监控体系

管理层关于内部控制的报告·COSO报告中的·选择适当人员·着眼于全公·记录和理解交易流程和定义是评估工组成工作组,司层面的内相关内控是一个复杂、作的最佳起点并建立一些基控来开展评耗费时间的过程本要求估工作

·对内控的持续实施进行测试和监督·建立一个监控程序组织整个流程、项目小组和项目的时间Page22

准备文档记录、实施详细的测试并改正控制缺陷

审计师检验管理层的结论3、SOX404项目工作方法解析－项目范围确定制定项目范围的过程包括主要以下几个步骤：一、决定合并财务报表层次的重要性水平二、识别合并财务报表层次的重要会计科目及披露信息三、识别关键业务流程并将其与重要会计科目配对四、决定多业务单元或工作地点的覆盖比例五、关键业务流程与重要工作地点及业务单元配对Page233、SOX404项目工作方法解析－项目范围确定一、决定合并财务报表层次的重要性水平1.1、决定计划重要性水平及可容忍误差（所谓金额重大）►采用年度化的合并财务报表作为主要基准►以税前利润作为判断计划重要性水平的依据►计划重要性水平=税前利润*5%►以计划重要性水平的75%作为可容忍误差►报表里的会计科目金额超过可容忍误差的即被视为重要会计科目Page243、SOX404项目工作方法解析－项目范围确定一、决定合并财务报表层次的重要性水平（续）1.2、识别可以影响重要性水平的性质因素（所谓性质重大）►科目由复杂的成分组成►易受人为操纵或损失►会计科目的性质特殊►发生交易量大►牵涉复杂的会计处理和披露要求►账户余额牵涉主观判断►存在关联方交易►当期外部环境或报告的要求变化，及►会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。Page253、SOX404项目工作方法解析－项目范围确定二、识别合并财务报表层次的重要会计科目►根据已计算的财务报表层次的重要性水平，识别金额重大的重要会计科目►根据会计科目余额的性质识别性质重大的重要会计科目Page263、SOX404项目工作方法解析－项目范围确定二、识别合并财务报表层次的重要会计科目（续）对财务报表认定进行风险评估根据财务报表认定的五个方面（参见第81-85页）分别对财务报表各会计科目进行风险评分，评分标准如下：高-3分；中-2分；低-1分►平均分大于2.33者为"高";►平均分大于或等于1.67但小于或等于2.33者为"中"►平均分小于1.67者为"低"Page273、SOX404项目工作方法解析－项目范围确定二、识别合并财务报表层次的重要会计科目（续）例如，对固定资产的风险评估如下：固定资产在本次项目中被认定为高风险会计科目。►此外，财务报表认定风险评估结果可用于制作风险控制矩阵中对关键控制的判断，如在本评估表中反映为“低”风险的财务报表认定，其相关的控制将不被列为“关键控制”。Page28会计科目完整性存在或会计科目完整性存在或发生估价与分摊权利与义务表达与披露平均分固定资产233322.64、SOX404项目工作方法解析－项目范围确定（续）三、识别关键业务流程并将其与重要会计科目配对►将识别的业务流程/业务循环根据其业务种类及操作逻辑划分为子流程。（对流程的划分需要基于公司业务的理解来进行，因此执行此项工作的人员需要对公司业务具有较全面地了解）►将识别出的各业务流程与其产生直接影响的会计科目进行配对，见下表例：Page29主流程子流程主流程子流程销售与主流程子流程主流程子流程销售与收款收款现金与资金管理库存现金管理销售与收款呆坏账计提现金与资金管理银行存款管理采购与付款供应商选择固定资产采购申请及审批采购与付款采购合同与采购订单审批固定资产固定资产折旧采购与付款收货固定资产固定资产盘点采购与付款应付账款管理固定资产资产维护与处置采购与付款付款固定资产在建工程核算采购与付款供应商主档案维护固定资产减值准备3、SOX404项目工作方法解析－项目范围确定四、决定多业务单元或工作地点的覆盖比例4.1通过评估每个业务单元或工作地点的重要性及对每一个业务单元或工作地点进行分类,识别要测试的业务单元或工作地点并评估覆盖比例：►由于业务单元规模巨大而被个别视为重要►由于业务单元面对特定风险而被视为重要►个别规模不大，但与其他规模不大的业务单元加起来总规模巨大►个别规模不大，与其他规模不大的业务单元加起来总规模仍然不大Page303、SOX404项目工作方法解析－项目范围确定四、决定多业务单元或工作地点的覆盖比例（续）4.2根据规模决定重要的业务单元和工作地点：单个重要的业务单元或工作地点应满足以下一个或一个以上的条件：►总收入的5%►税前利润的5%►总资产的5%►总所有者权益的5%4.3根据以下标准决定哪一个业务单元或工作地点面对特定风险：►会计科目余额大于计划重要性水平的视为重要会计科目，相关的流程进入覆盖范围。►根据对明阳风电业务的了解进行判断。Page313、SOX404项目工作方法解析－项目范围确定四、决定多业务单元或工作地点的覆盖比例（续）4.4决定哪一家个别规模不大，但与其他规模不大的子公司加起来总规模大4.5决定哪一家个别规模不大，其他规模不大的子公司加起来总规模仍然不大Page323、SOX404项目工作方法解析－项目范围确定五、关键业务流程和重要工作地点及业务单元配对►根据重要性水平及风险评估结果识别出各重要业务单元的重要业务流程►将重要业务流程、重要会计科目及重要业务单位配对，得出我们将要进行评估和测试工作的具体范围Page334、SOX404项目工作方法解析－项目范围确定（续）五、关键业务流程和重要工作地点及业务单元配对（续）Page343、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法审计及企业咨询服务内部监控评估ConsiderationsforEvaluatingInternalControlattheentityLevelPage35方面需考虑的因素控制环境§企业的管理文方面需考虑的因素控制环境§企业的管理文化，对员工诚信、道德和行为的要求§控制意识和经营风格§董事会或审计委员会的监管§组织结构、权限和责任风险评估§风险评估流程§对重要事件的预测、识别和反应机制控制活动§重要流程的政策和程序手册§明确的财务目标，并对其主动监控§合理的职责分离§预算与实际情况的定期比较§对文件、记录和财产的适当保管信息和沟通§清晰的沟通渠道和汇报路线§完整、详细和及时的财务和管理报告§持续开发、测试和监控计算机系统和程序§计算机业务持续性系统和应急计划监控§对内部控制的定期评估和监督§实施改进建议§建立内部审计职能以实施监控3、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法（续）控制环境：反映公司董事会、管理当局和其他相关主体对控制重要性的总体态度、意识和行为，以及对有关公司政策、日常程序、方法和组织结构的控制的重视程度。是公司管理活动执行人员的操守，以及管理人员实施管理活动的环境，主要内容包括：►诚信与道德价值►致力于能力的承诺►董事会或审计委员会的参与►管理哲学以及管理风格►公司结构与权威和责任的分配►人事政策与惯例Page363、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法（续）风险评估：确立目标与机制以识别、分析和管理风险，主要内容包括：►评估可谨慎接受的风险程度►建立在总公司与分公司层面上识别与分析风险的程序►区分风险高低程度，计划控制活动Page373、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法（续）控制活动：控制活动是使管理当局的指示得以贯彻执行的政策和程序。►制定政策决定应进行工作►使政策生效的程序►与风险评估结合Page383、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法（续）信息与沟通：信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制。►及时准确的最新信息►所有层次上对信息、期望和责任的沟通►内部与外部的沟通Page393、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法（续）监控：►评价一定时期内内部控制执行质量，并在情况变化下对内控进行适当的修改。►监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。►考虑并记录是否定期对内部控制进行评价；管理当局是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理当局进行监控。Page403、SOX404项目工作方法解析－公司层面公司层面的内部控制评估方法（续）主要涉及的领域：►员工行为守则►反舞弊程序►人力资源程序►风险识别、评估与管理►经营计划与经营业绩分析►内部审计►审计委员会及董事会Page41

►管理层基调与态度►公司政策与流程►内部控制活动►信息与沟通►风险评估（财务）►投资策略管理3、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果公司层面内部控制评价通常首先通过设计针对公司层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行。在公司层面所进行的内控评价可以按照下面图示列明的程序来进行：评估步骤

访谈

文档检查/穿行测试

控制测试

内控缺陷汇总

整改

再测试Page423、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）►访谈前►获取背景资料，了解相关信息►准备访谈清单，确定访谈时间►访谈中►与被访谈者面对面沟通，语气平缓，避免过激或消极►记录被访谈者提到的关键信息►访谈后►及时整理访谈记录，归纳需要再次访谈确认的问题或第一次访谈中遗漏的问题►获取被访谈者提到的文档►将访谈结果记录内部控制评估文件中Page433、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）访谈并记录公司层面的内部控制：Page443、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）对控制的详细解释/描述：►►

将访谈得到的信息进行整理，获取其中有用的信息，并按照关注点中提到的内容，将相关控制进行详细的描述采用书面语的形式记录与问题最直接相关的关键内容Page453、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）访谈并记录公司层面的内部控制：Page463、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）相关负责部门：►记录接受访谈人员的相关部门和职务是否关键控制：►在SOX404项目中，仅与财务报告和舞弊风险有直接相关的内容控制才被认定为关键控制控制是否有效：►根据访谈得到的相关信息评估该控制是否有效是否需要进行控制测试：►按照控制的发生频率确定是否需要进行控制测试►公司层面的绝大部分测试可以通过穿行测试完成Page473、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）穿行测试：►选取一个样本验证访谈过程中了解到的控制设计是否切实存在►复印留存相关文档，并做好交叉索引工作内部控制测试表：►公司层面的内控测试模版与流程层面的一致►内部控制测试表范例及解析参见第89－95页Page483、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）汇总内控缺陷并进行整改：内控缺陷汇总：►将访谈过程中发现的控制设计差异予以汇总，并提出改进建议►将穿行测试和控制测试过程中发现的控制设计差异予以汇总，并提出改进建议►公司层面的内控缺陷汇总表与流程层面的一致►内控缺陷汇总表范例及解析参见第96页管理层整改：►管理层根据发现的问题制定整改计划/改进计划►管理层按照制定的整改计划/改进计划实施整改Page493、SOX404项目工作方法解析－公司层面公司层面的内部控制步骤及工作成果（续）对内部控制缺陷进行再测试：再测试：►整改完成后对之前有问题的领域再次进行穿行测试及控制测试；►更新公司层面调查问卷内的相关内容。Page503、SOX404项目工作方法解析－公司层面常见的公司层面问题发现：控制环境►►

缺乏反舞弊和举报机制审计委员会没有有效监督对财务报告相关的内部控制风险评估►

缺乏正式的企业风险管理流程/程序控制活动►►►

缺乏有效运行并记录完整的公司层面控制未有效披露及编制财务报告和信息不有效控制分支机构信息和沟通►►

缺乏对在财务报告中使用的终端用户应用程序和数据的控制缺乏对信息系统的有效控制监督►

缺乏正式的对财务结帐流程的控制或监督Page513、SOX404项目工作方法解析－流程层面流程层面的内控评估活动

确认财务帐户及其相关系统

记录系统及控制

评估/监督从财务角度2006FinancialStatements步骤

财务报告

重要科目

?从程序角度

关键流程

可能发生的错误

控制

评估/监督关键业务风险

管理层对财主要关注点

和固有风险选出容易发生重大差错的关键账项*

务报表的认定·存在与发生·完整性·计价与衡量·权利与义务·表达与披露

类型:·交易流程·常规·非常规·估计

对每一种认定应考虑：·在流程的哪一交易环节容易发生错误？·例如:帐户:现金或应付程序:支付认定:估价是否有人工或自动的程序确

检验:对差错的监督防止:防止出现差错由何人来执行?是否有程序自动控制?·识别处理系统

评估因素:·竞争力、完整性、员工的忠诚度及管理层的监管能力·管理层之间的摩擦·职责分离·控制的稳定性保支票或转账的数目与审批的付款数目一致？*单项差错或几项差错如不被发现，可能对财务报表造成重大影响，或导致非法行为或利益冲突。即使造成非重大影响，也会对公司的信誉、与客户及投资者的关系，以及公众形象造成负面作用。Page523、SOX404项目工作方法解析－流程层面流程图►流程图是用图形符号和有限的文字叙述来描述步骤性质、流程和关键路径的图表。流程图被用在多个不同领域以记录处理步骤►工作步骤、相关文件、与本流程前后接续的其他流程等均由特定的图形表示►流程的相应控制在流程图中以红色三角标识Page533、SOX404项目工作方法解析－流程层面为什么使用流程图？►►►

使用流程图记录会计系统及其监控该系统的关键内部控制有助于内部会计系统控制的研究和评估。流程图可以使我们更加充分地理解一个流程，从起点到终点（即一项业务的流程），并且使我们更加容易识别控制的薄弱领域及其改进的机会。流程图可以更加方便地描述复杂的关系，因为流程图可以形象地传达文件流转、程序和控制，以及发生的先后次序。流程图，连同运用标准符号和图形转换，有效地降低了详细的文字性解释的需要性。流程图也提供了一个全面的系统描述，从而可以被有效地运用在(1)识别关键的会计控制；(2)评估系统程序并识别系统中易发生错误的环节；(3)定义责任范围；(4)向新员工解释系统以及相关控制。Page543、SOX404项目工作方法解析－流程层面流程图包含那些要素？因为流程图主要了解处理步骤的关键路径，所以流程图识别了业务的主要流程，即业务的发生、记录、处理和报告。这些业务流程的关键要素包括：►主要的输入资料来源►重要的数据档案、文件记录►重要的处理程序，包括纠正和再处理程序►重要的输出文件、报告和记录►功能性的职责分离Page554、SOX404项目工作方法解析－流程层面（续）流程图包含那些要素？（续）►流程图包含标准的流程图符号，用于说明系统文件和信息，以及相关处理程序。连接点Page563、SOX404项目工作方法解析－流程层面流程图包含那些要素？（续）►流程图的另外两个基本要素分别是文件和信息以及程序。当文件及信息在系统中流转时，组织单位运用特定的程序对其进行处理。►流程图应该尽量包括所有相关的处理步骤（手工或系统）。►虽然不需要对数据流转的所有细节进行描述，但应在流程描述中识别并标识出风险点（R1..）以及对应的控制点（C1..）。►访谈与沟通技巧►►►Page57

尽量与“适当”的人展开访谈访谈前要先大致熟悉流程，理清思路，罗列提问要点访谈前访谈过程中要尽量保证被访谈人叙述完整的流程，从起点至终点3、SOX404项目工作方法解析－流程层面控制矩阵►控制矩阵中列示了本流程的主要风险、控制目标及与该风险对应的内部控制等信息►列示了各内部控制的发生频率、控制负责人、控制类型（自动化/手工操作）、是否关键控制、是否存在缺陷等要素►控制矩阵中列示的内部控制与流程图中的红色标识一一对应Page583、SOX404项目工作方法解析－流程层面控制矩阵的作用►将“什么地方可能出错”，即风险与相关控制联系起来►提供一个严谨的架构、帮助确保所有相关内控都得到充分的记录►为确认内控缺陷提供了一个结构性的机制►有利于内控的标准记录的使用►有利于审计师的审核►充分显示现有控制及显示现有控制是否充分，及任何可能出错的地方并没能由于现存的内部控制而减少导致的控制缺失Page593、SOX404项目工作方法解析－流程层面Page603、SOX404项目工作方法解析－流程层面风险的定义风险是基于现有的内控系统无法防御、检查或更正与财务报表认定（如账户余额或交易分类）相关的重大的错报和漏报。例如：固定资产未经适当授权审批则被处置，导致公司利益受损。Page613、SOX404项目工作方法解析－流程层面Page623、SOX404项目工作方法解析－流程层面控制目标:►针对所发现的风险点最终要达到的控制标准例如：确保所有被处置的固定资产都已得到适当的授权。Page633、SOX404项目工作方法解析－流程层面Page643、SOX404项目工作方法解析－流程层面Page653、SOX404项目工作方法解析－流程层面控制是什么，为什么要控制►控制–一种可以减轻企业风险的活动►为何我们要在汽车上安装制动系统Page663、SOX404项目工作方法解析－流程层面内部控制能：►有效地传递企业的宗旨、目标和目的►规范员工权责范围►适当和高效率地运用企业资源►遵循法律与规章制度-合法、守法地经营►准确地评估业绩与提供反馈信息►保护资产的安全性与完整性例如：固定资产处置的控制程序如下：►公司组织专业技术人员组成鉴定小组确定《固定资产拆除、报废申请单》内提及的固定资产是否应当报废，并在《固定资产拆除、报废申请单》上写明意见、签字或盖章。Page673、SOX404项目工作方法解析－流程层面对于一个控制点，要描述出五个方面内容（5W）：►►►►►

WhoWhenWhereWhatWhy

谁是该控制的执行者控制在什么时间发生控制体现在什么地方如何实施该控制该控制的目的例如：销售部经理（谁）每月末（什么时间）将本月实际销售收入与预算进行比较分析（如何实施），并在分析报告上签字（什么地方），以确保当月销售收入无重大错误和遗漏（目的）。Page683、SOX404项目工作方法解析－流程层面关键控制►关键控制是规避风险、实现控制目标的最有影响的一个或多个控制。关键控制的失效将直接导致不能及时防止或发现财务报表的错报或漏报。►关键控制对财务报表具有深入的影响，对达到财务报表认定直接相联系。►典型的关键控制有：职责分离、系统与数据的接触限制、变更控制（即对所有变更都有相应的控制，确保变更得到授权且准确；变更后有人复核）、物理安全、授权批准、输入控制（对于输入者的授权，输入数据的复核等）、审阅等等。►例如：“票据（支票）与银行印鉴分开保管”通常为资金流程中资金安全性的一个关键控制点，如果此控制实效，将很难防止银行存款被挪用或窃取。Page693、SOX404项目工作方法解析－流程层面Page703、SOX404项目工作方法解析－流程层面控制的类型按实现的方式分类►手工操作►自动化►手工操作依赖IT系统Page71

按功能分类►预防性控制►发现性控制3、SOX404项目工作方法解析－流程层面控制的类型（续）手工操作►不由计算机系统执行的，而被人执行的控制程序►不依赖计算机系统生成的信息例如:►人工的签署采购订单►人工的对收到的清单进行核对等(例如,手工核对或者在电子邮箱通过收到的邮件进行核对）并且留下手工标记。Page723、SOX404项目工作方法解析－流程层面控制的类型（续）自动化自动化是指由计算机执行的内控程序例如:在销售时，对超出信用额度的客户，销售订单会被糸统自动冻结。Page733、SOX404项目工作方法解析－流程层面控制的类型（续）手工操作依赖IT系统►手工操作依赖IT系统是人通过运用电脑生成的信息来进行控制，因此它是人与电脑相结合的产物。►电脑生成的信息通常都可以作为电子证据以作勾稽之用。例如：►人工检查由电脑根据银行存款支付的情况自动编制的银行余额调节表►人工检查和跟进管理层编制的每月由电脑产生的异常情况报告和每月发现的重大异常情况►由于手工操作依赖IT系统很大程度上依赖电脑系统生成的信息报告，保证电脑系统生成信息的完整性和准确性尤为重要Page743、SOX404项目工作方法解析－流程层面控制的类型（续）对比预防性控制和发现性控制Page75预防性控制发现性控制►发生预防性控制发现性控制►发生于差错出现之前►正常情况下适用于单笔交易例:电脑系统中设置的权限划分，只有有权限的人员才能在系统中进行特定操作►发生于差错出现之后►正常情况下适用于多笔交易例:通过编制银行余额调节表来发现未达帐项的性质，进行分析其合理性3、SOX404项目工作方法解析－流程层面控制活动举例►政策与程序►审批►资产实物的安全►信息系统控制►职务分离Page763、SOX404项目工作方法解析－流程层面控制活动举例（续）政策与程序►政策-为了达成公司的长远发展，公司应向那个方面走？►程序-使政策实际化，以达到政策的要求与规定审批►►►►►►Page77

你的审批意味着什么？检查文件资料的准确性及适当性同意资料上所述事务你的同意是有根据的专人复核相关的资料承担完全的责任3、SOX404项目工作方法解析－流程层面控制活动举例（续）资产实物的安全例如：►档案上锁►安全系统/警铃►资料数据库的安全►保安人员►员工身份证►机器上的标识►隐型录相机Page783、SOX404项目工作方法解析－流程层面控制活动举例（续）职务分离►相互制约的控制，以减少出错，逾越控制的情况；►不能由同一人申请、授权、签发、记录一宗交易；►不能由同一人保管、记录资产；►定期轮换职责，在日常运作中的主要控制点应有高层管理者的参与或由公司以外的人员作出审查。Page793、SOX404项目工作方法解析－流程层面Page803、SOX404项目工作方法解析－流程层面财务报表认定存在与发生（ExistenceorOccurrence）资产负债表所列的各项资产、负债、权益在资产负债表日是否存在，损益表所列的各项收入和费用在会计期间是否确实发生。需要注意的是“存在或发生”认定所需要解决的问题是，管理当局是否把那些不应包括的项目（如不存在的项目或不曾发生的交易结果）记入了会计报表，并不涉及所报告的金额是否正确。例如:在没有真实发货的情况下记录销售收入资产负债表日，一些记录在存货账中的货物并不存在Page813、SOX404项目工作方法解析－流程层面财务报表认定（续）完整性（Completeness）在会计报表中应列示的所有交易和项目是否都列入了。这里需注意，有关“完整性”的认定所要解决的问题是，管理当局是否把应包括的项目给遗漏或省略了，并不涉及所报告的金额是否正确。可见，“完整性”认定与“存在与发生”认定正好相反，它主要与会计报表的组成要素的低估（也称“缩小错误”）有关。即“该记帐的没记”。例如：当月所有发出的货物没有被全部计入当期的销售收入当月所有采购入库的存货没有全部入帐（由于发票未到）Page823、SOX404项目工作方法解析－流程层面财务报表认定（续）估价或分摊（ValuationorMeasurement）各项资产、负债、所有者权益、收入和费用等要素是否按适当的金额列入会计报表中。例如:固定资产入帐价值不准确（如在入账时漏计了相应的税费）外币折算没有应用正确的汇率Page833、SOX404项目工作方法解析－流程层面财务报表认定（续）权利和义务（Rights&Obligations）在某一特定日期，各项资产是否确属公司的权利，各项负债是否确属公司的义务，需注意该认定只与资产负债表的组成要素有关。例如:账面上的固定资产并非为公司所有公司所列的应付账款并非为公司的债务Page843、SOX404项目工作方法解析－流程层面财务报表认定（续）表达和披露（Presentation&Disclosure）会计报表上的特定组成要素是否被适当地加以分类、说明和披露。例如:应收帐款的贷方余额没有被正确的重分类至预收账款没有按照会计准则要求恰当的披露关联方交易Page853、SOX404项目工作方法解析－流程层面穿行测试的含义在穿行测试中，对每类重大交易中选择一笔交易，从其起始进行追溯，通过公司的财务与信息系统，以及财务报表编制流程，一直到其反映在公司的财务报表上。需要注意的是，我们选择一个样本，应从头至尾穿行，也就是要保证在流程各个环节获取的文档要能勾稽起来。穿行测试的目的通过流程穿行测试，找出流程描述与风险文档的内容与实际执行情况的差异，分析差异产生的原因，并提出整改完善建议，使内控文档与实际情况保持一致，为顺利通过公司管理层测试和外部审计师测试提供保障。Page863、SOX404项目工作方法解析－流程层面执行穿行测试的具体步骤：►选取样本，获取原始单据、跟踪交易全过程。例如：销售流程通常包括：月度销售计划－合同－开具提货单－计量－发货－收款－编制结算凭证－账务处理－对账；►记录测试过程、复印留存相关文档并在复印件上逐一编号；►撰写穿行测试报告；►将穿行测试报告及复印的相关文档妥善归档；►每个流程（子流程、模块）都必