萨班斯法案内部控制重点内容及美国本土上市公司执行情况(精)

5. 对通过信息技术控制风险有警觉性
6. 有更好的流程 / 控制文件用于培训和管理教育 7. 完善的风险和控制定义 8. 管理层和负责操作的人员更好地理解他们在控制方面的责任
9. 更好的审计追踪
10.重新落实基本的控制措施，如分工、授权流程、会计账目调节
资料来源：内部审计师协会 — 2005 年 7 月调查 — State of Regulatory Compliance Summit, Washington DC (监管合规高峰会的州 — 华盛顿市)
4.4 4.5 4.6 4.7 4.8
重要/关键控制点(Key Control Points)的确定 检查时间(Inspection Timing)的确定 测试样本量(Testing Sample Size)的确定 自我评价记录(Documentation)的要求 应当包括在评估过程中的经营场所和业务单位(Scope)
• COSO框架概述(在内控检查办法第八条和第十九条体现）：
监控
信息与沟通
控制活动 风险评估 控制环境
Hale Waihona Puke Baidu
控制环境：提供企业纪律与架构，塑造企 业文化和正确的价值观，并影响企业员工 的控制意识和工作能力是所有其它内部控 制组成要素的基础。控制环境的因素具体 包括：正直守德的价值取向、对员工胜任 能力的关注、董事会或审计委员会、管理 哲学和经营风格、公司组织结构、职权和 职责的分配、人力资源政策及实务。
信息系统的一般性控制包括以下四方面内容：
• • • •
程序和数据的进入 程序的修改 程序的开发 计算机的操作
18
4.2 信息系统的一般性控制的确定（续）
程序和数据的进入 (Access to programs and data)

实施有效的安全性措施。 对信息资源的接触应做实物与虚拟的限制，即防止未经授权的人接 近信息资源；防止未经授权的人利用网络技术侵入信息系统。
04年6月17日 05年5月16日 截至05年5月16日 05年11月30日 06年5月1日 PCAOB第2号审计准则 第2号审计准则的实施声明 第1至55条PCAOB职员对公众提问的回复 第2号审计准则的首年实施报告 PCAOB对内控审计于2006年的检查声明
参考网站： http://www.pcaobus.org/Standards/Standards_and_Related_Rules/index.aspx
4
2.2 首年执行萨班斯法案 – 出现负面意见的主要原因
1. 所得税问题 (Income tax matters)
2. 收入确认 (Revenue recognition)
3. 财务人员配置/专业知识 (Financial staffing/expertise) 4. 租赁会计处理方法 (Lease accounting)
评价。
注：COSO 是指美国反虚假财务报告委员会出版的《内部控制整体框架》
7
3.2 管理层自我评价流程
404条款：管理层对与财务报告相关的内部控制的报告
报告
内部控制设计的有效性
实质性漏 洞
内部控制运行的有效性 内部控制执行的有效性
评估： -自我评估 -独立评估
补充 修改
评估： -自我评估 -独立评估
风险评估：风险评估就是分析和识别威胁 所定目标实现的风险。经济、法律及管理 的环境等内外部因素不断变化，企业主动 地发现和处理由于情况变化所带来的风险 是很有必要的。
15
4.1 公司层面控制的确定（续）
• 控制活动：是确保管理层的指令得以执行的政策及程序，是管理层识别
和评估风险后，对控制这些风险所实行的针对性措施。控制活动包括授 权审批、核对、关键绩效指标、资产安全控制及职责分离等各种类型， 又可以分为人工控制和信息系统控制两大类。
1
1.1 内部控制 - 国内外资本市场监管要求
交易所 相关法规 主要差异 1 有非常详细的准则指引及对公众提问的回复 2 美国本土上市公司已经于2004及2005年执行 3 董事会在年度报告中披露“内部控制报告” 4 外部审计师对于管理层内部控制的评价进行评价 和独立测试，并在年报中出具内控审计报告 5 COSO内部控制框架(1992)五要素：控制环境、 风险评估、控制活动、信息和沟通、监督 6 只包含COSO框架内的“财务报告目标” 1 董事会在年度报告中披露“企业管治报告” 2 没有要求外部审计师对出具内控审计报告 3 包括财务、运作及合规监控以及风险管理功能 1 对上市公司内部控制操作规定比较详细 2 董事会在年度报告中披露“内控自我评价报告” 3 外部审计师对管理层的内控评价进行核实评价 ，并在年报中出具内控核实评价意见 4 COSO企业风险管理框架(2004)八要素：目标设定 、内部环境、风险确认、风险评估、风险管理策略 选择、控制活动、信息沟通、检查监督 5 包含财务信息目标、经营目标、合规目标
3. 建立统一规范的内部控制制度，使股份公司各项规 章制度成为系统性、可操作性和包容性很强的内部 管理制度，更为有效地体现股份公司管理理念
3
2.1 美国本土公司首年执行萨班斯法案 – 带来的主要好处
1. 董事会、审计委员会和管理层对内部控制有更多参与
2. 建立起监控和评价控制机制
3. 针对年结制定的结构和流程 4. 实施反诈骗控制
16
4.1 公司层面控制的确定（续）
PCAOB规定的公司层面的控制措施包括但不限于：
1.
控制环境（与COSO一致）内的控制措施，包括领导层的定调、权 责分工、贯彻一致的政策和程序和全公司的措施，例如专业操守和 防止诈骗这类适用于所有地区和业务单位的措施
2. 3. 4.
管理层的风险评估程序（与COSO一致）
有效性的评价, 包括一份公司与财务报告相关的内部控制是否有效的声 明。声明必须披露管理层发现的任何一项公司与财务报告相关的内部控 制的实质性漏洞。在公司与财务报告相关的内部控制存在某一或更多实 质性漏洞时，管理层不得做出公司与财务报告相关的内部控制有效的声 明；
10
3.5 PCAOB有关内控的详细指引文件
• SEC将考虑是否为小型上市公司应用COSO框架出台另外的
指南。
• SEC将与PCAOB紧密合作，修订PCAOB审计准则第2号。 • 中石化适用执行萨班斯404条款最后期限仍为2006年7月15日
或以后结束的财政年度。
12
4. 管理层自我评价具体问题讨论
4.1 公司层面控制(Company Level Controls) 的确定 4.2 信息系统一般性控制(IT General Controls)的确定 4.3 重要会计科目/披露(Significant Accounts/Disclosures)的确 定
11
3.6 SEC及PCAOB就执行萨班斯404条款的最新动态
2006年5月10日，SEC和PCAOB召开了圆桌会议，就关于如何 改进萨班斯404条款的实施进行了讨论。5月17日，SEC发表了 以下声明：
• SEC将就管理层如何按照自上而下、风险导向的方法完成
对财务报告内部控制的自我评价出台具体指南。
9
自 我 评 价
确认评价范围 评价控制有效性 评价缺陷严重性 沟通 形成结论
3.4 管理层报告要求
• 管理层须陈述为公司设立和维持足够的财务报告内部控制系统的责任； • 管理层须陈述为评价公司财务报告内部控制系统的有效性而采用的评价
架构;
• 管理层在公司最近的财政年度做出的对公司与财务报告相关的内部控制
• 信息与沟通：内部控制的全过程都需要高质量的信息以及顺畅的沟通。
高质量信息具有内容相关、正确、提供及时以及便于获取等特征。企业 不仅应当致力于提升内部沟通的有效性，还应关注与企业外部的沟通问 题。
• 监控：是由适当的人员，在适当及时的基础下，评价控制的设计和运作
情况的过程。这一活动由持续监督、个别评价所组成，其可确保企业内 部控制能持续有效的运作。
集中的处理和控制措施（与COSO一致） ，包括共用服务环境 监察经营业绩的控制措施，包括内部审计部门、审计委员会和自我 评价计划的工作
5.
6. 7.
监察其他控制措施（与COSO一致）的控制措施
期末财务报告程序 经董事会审批处理重大业务控制和风险管理的政策
17
4.2 信息系统的一般性控制(IT General Controls)的确定
？
评估什么
补充 修改
控制点的设计和运行情况 控制点的设计和执行情况
控制点的载体是什么？
内控手册
8
3.3 管理层自我评价应满足的基本要求
PCAOB规定审计师应当判断管理层的评价过程是否包含了下列内容：
确认评价对象 评价控制失效风险 确认需要测试的控制措施，包括对所有重要会计报表科 目及信息披露的相关会计认定所采取的控制措施； 评价由于控制措施失效而导致会计报表错记的可能性、 此类错记的严重性，以及其他控制措施实现相同控制目 标的程度； 确认应纳入评价范围的具体公司经营场所或业务单元 (针对拥有多个办公地点或业务单元的公司)； 对所有会计报表重要科目及信息披露的相关会计认定所 实施的控制措施在设计及运行方面的有效性进行评价； 确认在财务报告内部控制系统中所发现的不足是否会构 成重大缺陷或实质性漏洞； 就主要发现与有关方面进行沟通；及 评价主要发现是否与评价结果相一致。
5. 公认会计原则应用 (Application of GAAP)
6. 财务年度结算流程 (Financial Close process) 7. 监控 (Monitoring controls) 8. 职责分工 (Segregation of Duties)
9. 衍生工具 (Derivatives)
10.子公司/偏远地区 (Subsidiaries/Remote locations)
1. 毕马威第 404 条机构调查 — 2005 年 5 月
5
3. 萨班斯法案404条款及相关条例对管理层自我评价的要求
3.1 管理层的责任
3.2 管理层自我评价流程
3.3 管理层自我评价应满足的基本要求 3.4 管理层报告要求 3.5 PCAOB有关内控的详细指引文件 3.6 SEC及PCAOB就执行萨班斯404条款的最新动态
1.2 内部控制 - 股份公司管理要求
除了为满足国内外资本市场监管要求外，股份公司建 立内控制度是为了提高公司管理水平，具体表现为：
1. 建立现代企业制度，完善法人治理结构，实现经营 机制的转换，加强企业管理，提高企业经营业绩， 改善企业财务状况 2. 积极参与竞争、努力降低风险，以提高经营管理效 率和效果
2
纽约 1 萨班斯法案404条款 2 SEC的相关《最终规则》 3 PCAOB第2号审计准则 4 第1至55条PCAOB职员对公众提问的回复 5 PCAOB第2号审计准则的首年实施报告 6 PCAOB对内控审计于2006年的检查声明
香港 主板上市规则： 附录14《企业管治常规守则》C2条款 附录23《企业管治报告》3(d)条款 上海 《上交所上市公司内部控制指引》

职责分工，相关人员只能进入或修改职责范围内的信息。
程序的修改 (Program changes)
注：PCAOB 是指美国上市公司会计监督委员会
6
3.1 管理层的责任
• 承担公司财务报告内部控制有效性的责任；
• 采用适当的控制标准(比如COSO标准)，评价公司财务报
告内部控制的有效性（是否存在实际性漏洞）；
• 以充分的证据(包括文档文件，参看4.7)为评价结果提供
有力支持；
• 针对公司最近财年财务报告内部控制的有效性提交书面
中国石油化工股份有限公司
萨班斯法案关于内部控制重点内容
美国本土上市公司执行情况
2006年7月25日
主要内容：
1. 内部控制 - 国内外资本市场监管要求和股份公司管理要求
2. 美国本土公司首年执行萨班斯法案404条款
3. 萨班斯法案404条款及相关条例对管理层自我评价的要求 4. 管理层自我评价具体问题讨论 5. 中石化存在的潜在财务报告内部控制缺陷 6. 毕马威对中石化自我评价所能提供的帮助及建议
13
4.1 公司层面控制(Company Level Controls)的确定
• 公司层面的控制通常对控制活动在流程、交易过程中有普遍
深入的影响。
• PCAOB规定的公司层面的控制包含7个方面的内容，其中有4
点与COSO框架相一致。
• COSO框架是识别和评价公司层面的控制重要的参照。
14
4.1 公司层面控制的确定（续）