SOX404培训资料_0220.pdf

《SOX404培训资料_0220.pdf》由会员分享，可在线阅读，更多相关《SOX404培训资料_0220.pdf（33页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、内部控制培训2008年年3月月13-78-1617-851.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码页码目录目录23-78-1617-851.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码页码目录目录3萨班斯法案概述萨班斯法案概述什么是萨班斯法案？什么是萨班斯法案？什么是萨班斯法案？什么是萨班斯法案？20022002年年7 7月月2525日日20022002年公众公司会计改革和年公众公司会计改革和投资者保护法案投资者保护法案20022002年公众公司会计改革和年公众公司会计改革和投资者保护法案投资者保护法案布什总统在白宫签署了该项布什总统在白宫签署

2、了该项布什总统在白宫签署了该项布什总统在白宫签署了该项法案，使其正式生效法案，使其正式生效法案，使其正式生效法案，使其正式生效20022002年年7 7月月3030日日4参议院银行委员参议院银行委员会主席会主席Sarbanes萨班斯萨班斯众议院金融服务众议院金融服务委员会主席委员会主席Oxley奥克斯利奥克斯利Sarbanes-Oxley Act萨班斯萨班斯奥克斯利法案奥克斯利法案SOX ActSOA萨班斯法案萨班斯法案攸关企业内部控制的相关规定中，以法案中第404条之影响为最404萨班斯法案概述（续）萨班斯法案概述（续）5美国国会在2002年7月通过了萨班斯-奥克斯利法案（“Sarbanes

3、-Oxley Act,SOX”），该法案对在美国上市的所有企业都具有重大的影响。其第404条款（SOX404）要求上市公司在年报中增加对公司当年财务报告内部控制机制的有效性进行评估的内容，同时外部审计师对上述评价发表意见。萨班斯法案概述（续）萨班斯法案概述（续）6?一项强制性法案强制性法案；?所有所有在美国资本市场（包括纽约证券交易所和纳斯达克）上市的企业均适用，包括企业的管理层和审计师；?CEO和和CFO必须签字确认公司内部控制的有效性并为此承担相必须签字确认公司内部控制的有效性并为此承担相应的民事和刑事责任应的民事和刑事责任，在提供年度财务报告之外还必须向美国证券交易委员会（SEC）提交内

4、控报告内控报告等等；?无论是美国本土的上市公司美国本土的上市公司，还是在美国上市的非美国公司在美国上市的非美国公司，包括目前的70余家在美国上市的中国企业中国企业，都必须符合萨班斯法案的规定。萨班斯法案概述（续）萨班斯法案概述（续）7第第906条条第第906条条Public Company Accounting Oversight BoardPublic Company Accounting Oversight Board上市上市公司会计公司会计监管监管委员会委员会上市公司会计监管委员会上市公司会计监管委员会I IAuditor IndependenceAuditor Independence

5、审审计计师师的的独立独立性性审计师的独立性审计师的独立性IIIICorporate ResponsibilityCorporate Responsibility公司责任公司责任公司责任公司责任IIIIIIEnhanced Financial DisclosuresEnhanced Financial Disclosures加加强强财财务务披露披露加强财务披露加强财务披露IVIVAnalyst Conflicts of InterestAnalyst Conflicts of Interest分析师分析师的利的利益冲突益冲突分析师的利益冲突分析师的利益冲突V VCommission Resour

6、ces and AuthorityCommission Resources and Authority监管监管委员会资委员会资源及职权源及职权监管委员会资源及职权监管委员会资源及职权VIVIStudies and ReportsStudies and Reports研究研究和和报告报告研究和报告研究和报告VIIVIICorporate and Criminal Fraud Accountability Corporate and Criminal Fraud Accountability 公司公司及欺诈及欺诈刑事责任刑事责任公司及欺诈刑事责任公司及欺诈刑事责任VIIIVIIICorporate

7、 Tax ReturnsCorporate Tax Returns公司公司纳税申报纳税申报公司纳税申报公司纳税申报X XCorporate Fraud and AccountabilityCorporate Fraud and Accountability公司公司欺诈及欺诈及责任责任公司欺诈及责任公司欺诈及责任XIXIWhiteWhite-collar Crime Penalty Enhancementscollar Crime Penalty Enhancements加大加大白白领犯罪处罚力度领犯罪处罚力度加大白领犯罪处罚力度加大白领犯罪处罚力度IXIX萨班斯法案萨班斯法案条款条款萨班斯法案

8、条款萨班斯法案条款第第404、409条条款款第第404、409条条款款第第302条条款款第第302条条款款萨班斯法案概述（续）萨班斯法案概述（续）83-78-16211.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码页码目录目录9?Committee of Sponsoring Organizations of The TreadwayCommission(COSO)；?由美国会计师协会、美国审计总署、美国内部审计师协会和管理会计师协会等7个团体共同赞助，专门研究内部控制问题。COSO框架框架概述概述合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风

9、险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位10内部控制内部控制由以下要素组成：由以下要素组成：控制环境 风险评估 控制活动 信息与沟通 监督内部控制为了确保内部控制为了确保：运营的效率和效益 财务报告的可靠性 对相关适用法律法规的遵循COSO框架框架概述（续）概述（续）合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位11COSO 将内部控制定义为以下的三维结构：COSO 将内部控制定义为以下的三维结构：?内部控制是为合理保证实现以下目标而设计的符合有关规章制度的规定，保证

10、实际操作的效率和有效性，以及提高财务报表的可靠性；?企业实体层次和具体经营活动层次的内部控制；?内部控制的5项内容控制环境、风险评估、控制活动、信息交流及督导。COSO框架框架概述（续）概述（续）合合规规性性操操作作财财政政报报告告功功能能单单位位业业务务单单位位监督监督信息与沟通信息与沟通控制控制活动活动风险评估风险评估控制控制环境环境法案法案第第404节以外节以外的的内控内控考虑因素考虑因素受受萨班斯法案萨班斯法案第第404节节主主导导的的考虑因素考虑因素萨班斯法案萨班斯法案第第404节节的主的主导实践范围导实践范围12控制控制环境环境控制控制环境环境公司管理活动执行人员的操守，以及管理人

11、员实施管理活动的环境 确立企业文化 树立诚信价值观 管理能力 审计委员会与董事会的影响 管理哲学以及管理风格COSO框架框架概述（续）概述（续）合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位13风险评估风险评估风险评估风险评估确立目标与机制以识别、分析和管理风险 评估可谨慎接受的风险程度 建立在总公司与分公司层面上识别与分析风险的程序 区分风险高低程度，计划控制活动COSO框架框架概述（续）概述（续）合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财

12、务报告财务报告功能单位功能单位业务单位业务单位14控制控制活动活动控制控制活动活动控制活动是使管理当局的指示得以贯彻执行的政策和程序。制定政策决定应进行工作 使政策生效的程序 与风险评估结合COSO框架框架概述（续）概述（续）合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位15信息与沟通信息与沟通信息与沟通信息与沟通信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制。及时准确的最新信息所有层次上对信息、期望和责任的沟通内部与外部的沟通COSO框架框架概述（续）概述（续）合

13、规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位16监督监督监督监督评价一定时期内内部控制执行质量，并在情况变化下对内控进行适当的修改。持续性的监控（如：监督、核对）单独性的监督（如：404评估项目）COSO框架框架概述（续）概述（续）合规性合规性操作操作监督监督信息与沟通信息与沟通控制活动控制活动风险评估风险评估控制环境控制环境财务报告财务报告功能单位功能单位业务单位业务单位173-78-1617-851.萨班斯法案概述2.COSO框架概述3.SOX404项目工作方法页码页码目录目录18SOX404

14、项目项目工工作作方方法法?404项目阶段总览?404项目工作步骤及方法?基本概念介绍?公司层面内部控制评估方法?公司层面内部控制评估步骤及工作成果?流程层面内部控制评估方法?流程层面内部控制评估步骤及工作成果19第一阶段：组织计划、了解业务流程、评估风险外部审计师独立评估报告项目项目开始开始日日Dec.31,20081、理解内部控制的定义，识别公司关键业务和固有风险2、组织项目小组实施评估工作3、评估公司层面的内部控制（包括IT控制）5、由管理层实施改进计划管理层关于内部控制的报告404404项目项目阶段阶段总总览览项目项目阶段阶段总总览览SOX404项目项目工工作作方方法（续）法（续）4、记

15、录流程层面内部控制及信息技术控制第二阶段:文档记录与评估第三阶段:实施改进计划第四阶段:测试与整改6、实施详细测试并改正控制缺陷7、评估整体的有效性，找出有待改进的方面并建立一个监控体系审计20404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风

16、险风险风险风险风险风险风险风险风险风险21404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?基本概念介绍什么是风险点？风险点是基于现有的内控系统无法防御、检查或更正与财务报表认定（如账户余额或交易分类）相关的重大的错报和漏报。和财务报表认定相关的风险主要包括以下几类：?完整性（“Completeness”）?存在或发生（“Existence/Occurrence”）?计价或衡量（“Valuation/Measurement”）?权力和义务（“Rights&Obligations”）?表达

17、和披露（“Presentation&Disclosure”）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险22404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）完整性（“C”）存在或发生（“E/O”）计价或衡量（“V/M”）权力和义务（“R&O”）表达

18、和披露（“P&D”）?当月所有发出的货物没有被全部计入当期的销售收入，导致当期销售收入少记?当月所有采购入库的存货没有全部入帐（由于发票未到），导致当期存货少记?在没有真实发货的情况下记录销售收入，导致销售收入虚增?资产负债表日，一些记录在存货账中的货物并不存在，导致存货虚增?固定资产入帐价值不准确（如在入账时漏计了相应的税费），导致折旧金额不准确?外币折算没有应用正确的汇率，导致折算金额不准确?账面上的固定资产并非为公司所有，导致固定资产价值高估?公司所列的应付账款并非为公司的债务，导致公司应付账款价值高估?应收帐款的贷方余额没有被正确的重分类至预收账款，导致报表披露不准确?没有按照会计准则

19、要求恰当的披露关联方交易，导致报表披露不准确?基本概念介绍什么是风险点？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险23404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?基本概念介绍什么是控制？（续）控制是在一个流程内可以防范或减轻风险的活动

20、点?例如，可以防止一个错误的发生，或者当错误发生时，将其影响降到最低。评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险24404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?控制的类型?控制的种类?控制的频率?控制的所有者?控制的有效性?基本概念介绍什么

21、是控制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险25404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?控制的类型?发生于差错出现之后?正常情况下适用于多笔交易?例如：通过编制银行余额调节表来发现未达帐项的性质，进而分析其合理性?发生于差错

22、出现之前?正常情况下 适用于单笔交易?例如：系统中设置的权限划分，只有有权限的人员，才能在系统中进行特定的操作发现型控制发现型控制预防型控制预防型控制?基本概念介绍什么是控制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险26404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项

23、目工工作作方方法（续）法（续）?控制的种类举例举例含义含义控制种类控制种类手工检查和跟进系统生成的每月异常情况报告和每月发现的重大异常情况手工依赖系统控制是人通过运用电脑生成的信息来进行的控制。电脑生成的信息通常都可以作为电子证据以作勾稽之用手工依赖手工依赖系统控制系统控制在销售时，对于超出信用额度的客户，销售订单会被系统自动冻结系统控制是指由计算机执行的内控程序系统控制系统控制记账凭证被复核岗会计复核后在记账凭证复核栏签字手工控制是被人执行的控制程序手工控制手工控制?基本概念介绍什么是控制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面

24、流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险27404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?控制的频率采购中采购订单、入库单及发票的三方匹配每天/每天多次防火墙实时审阅IT系统中的用户权限每季度审阅银行余额调节表每月审阅会计制度每年开立/变更/撤销银行账户的授权审批偶尔/每次/按需要发生举例举例控制的频率控制的频率?基本概念介绍什么是控

25、制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险28404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?控制的频率（续）理解控制的频率有助于我们判断：?控制设计是否有效；?进行控制测试时的样本数量。?基本概念介绍什么是控制？（续）评估评估公司公

26、司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险29404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?控制的所有者也可称为控制执行人，理解谁执行该控制，有助于我们判断：?控制设计是否有效；?执行该控制的人是否合适？?是否进行了适当的职责分离；?是否同一个人负责交易事

27、项的保管、授权及记录？?当想进一步理解并测试控制时，应该与谁联系。?基本概念介绍什么是控制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险30404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?控制的有效性对控制的评估一般从以下两个方面进行：?控

28、制的设计是否有效？?整个控制系统的设计是否恰当，如果按照设计来执行，控制是否可以有效地防范风险？?控制的执行是否有效？?在整个期间，控制是否被有效地执行？?基本概念介绍什么是控制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险31404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项

29、目项目工工作作方方法（续）法（续）?对于一个控制的描述要写明：?Who谁谁是该控制的执行者，控制活动主主体体?When控制在什么什么时间时间发生，或频率频率?Where控制体现在什么什么地方地方，系统执行还是手工执行?What控制涉及的操作对象，控制活动客体客体，表单或文档名称?Why该控制的目的目的?How如何如何执行控制活动，具体操作和控制执行过程过程当再读一遍该控制时，应该知道如何对该控制进行测试当再读一遍该控制时，应该知道如何对该控制进行测试?基本概念介绍什么是控制？（续）评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评

30、估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险32404404项目项目工工作作步骤步骤及及方方法（续）法（续）项目项目工工作作步骤步骤及及方方法（续）法（续）SOX404项目项目工工作作方方法（续）法（续）?关键控制是规避风险风险，实现控制目标的最有最有影响影响的一个或多个控制?关键控制的失效失效将直接导致直接导致不能及时防止或发现财务报表的错报或漏报?关键控制是流程所有控制的一部分所有控制的一部分?确认关键控制可以简化简化评估测试?基本概念介绍什么是关键控制？评估评估公司公司层面层面内部内部评估评估公司公司层面层面内部内部控制控制控制控制评估评估流程层面流程层面内部内部评估评估流程层面流程层面内部内部控制控制控制控制自自自自上上上上而而而而下下下下风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险风险