【文章內(nèi)容簡介】 月 15日或以后的財務年度 (此日期已再次延后 )。 SOA404法案總體要求 63 SOA 404 的要求 要求年度報告中要包括 “內(nèi)部控制報告 ” , 其具體內(nèi)容為 : ? 管理層責任 的聲明：管理層有責任建立和維護健全的內(nèi)部控制制度以確保財務報表的合理和準確性； ? 管理層的評價 的聲明：關(guān)于在財政年度末有關(guān)財務報表的內(nèi)部控制有效性的評價； ? 評價框架 的說明：明確指出管理層適用于評價有關(guān)財務報表的內(nèi)部控制有效性的框架； ? 關(guān)于外部審計師已出具關(guān)于管理層評價的鑒定報告的聲明。 該準則不允許管理層在已發(fā)現(xiàn)內(nèi)部控制制度有一處或多處 “ 重大缺陷 ” 時，作出有關(guān)財務報表內(nèi)部控制有效的認定。該準則同時要求管理層 披露 評價過程中發(fā)現(xiàn)的任何 “ 重大缺陷 ” 。 盡管準則中沒有明確說明，但是通常認為，財政年度中已發(fā)現(xiàn)并已糾正的 “ 重大缺陷 ” 不影響管理當局在財政年度末作出有關(guān)財務報表的內(nèi)部控制有效的評價。 64 SOA 404 要求 (續(xù) ) ? 合理地保證會計記錄合理、準確、詳細并公允地反映公司的日常交易和資產(chǎn)處理； ? 合理地保證對所有交易都作了必要適當?shù)挠涗浺员阌诎凑展J會計準則編制財務報表，并且收入和支出活動均經(jīng)管理當局和董事會的適當授權(quán)； ? 合理地保證防止或及時發(fā)現(xiàn)對財務報表有重大影響的未經(jīng)授權(quán)的資產(chǎn)采購、使用或處臵。 準則對 “ 有關(guān)財務報表的內(nèi)部控制 ” 的定義為： “ 公司主要的管理人員或者主要的財務管理人員設計內(nèi)控政策和控制程序，并監(jiān)督其執(zhí)行，以便對財務報告是按照公認會計準則編制以及財務報表的可靠程度做出合理的保證。 ” 該控制政策和控制程序主要包括： 65 ? 對形成、記錄、處理和調(diào)節(jié)賬戶余額、交易的分類和披露以及財務報表的相關(guān)認定的控制。 ? 對形成和處理 非常規(guī)交易和非系統(tǒng)化交易 的控制； ? 對防止、確認和發(fā)現(xiàn) 舞弊 的控制。 評價有關(guān)財務報表的內(nèi)部控制： 準則強調(diào)指出管理層必須制定并保存有關(guān)內(nèi)部控制的書面文件 , 包括關(guān)于內(nèi)部控制 設計 和 測試程序 的文件 , 從而為管理當局評價有關(guān)財務報表的內(nèi)部控制有效性提供合理的保證。這些 書面文件 是有效的內(nèi)部控制的首要條件。 管理當局的評價必須基于評價內(nèi)部控制設計的有效性和測試其執(zhí)行的有效性的程序。 詢問本身 并 不能 為內(nèi)部控制的評價提供足夠的基礎。 有關(guān)評價的內(nèi)部控制包括： SOA 404 要求 (續(xù) ) 66 如何建立內(nèi)控以滿足索克斯法的要求 67 評估階段 : 管理層出具 內(nèi)部控制 報告 制定程序，確立項目小組，項目進度 時間進度： 方法 ? COSO 中對內(nèi)部控制的定義是一個很好的開端。 ?選擇適合的項目小組以及制定詳細的項目計劃是項目成功的關(guān)鍵。 ?以評估公司層面的控制作為評估工作的開始。 ?此階段是一個復雜而費時的階段，需要記錄并理解各交易環(huán)節(jié)的流程及其相關(guān)的控制。 ?最后的階段是根據(jù)評估結(jié)果形成總體評價。 ?制訂監(jiān)督程序。 準備資料，進行詳細測試，并修正控制的不足。 審計師對管理層聲明的審驗 項目計劃 準備資料并評估控制 測試并監(jiān)督控制 報告 理解內(nèi)部控制的概念 組織項目小組進行評估 評估公司層面的控制 理解并分別評估程序、交易及應用層面的風險 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 建立符合 404法案要求的內(nèi)控框架 68 COSO內(nèi)控框架 ? Committee of Sponsoring Organisation of The Treadway Commission (COSO)為內(nèi)控開發(fā)了一個全面的框架 ? 這個內(nèi)控框架是唯一被美國證監(jiān)會確認為完整、全面和不偏依的內(nèi)控框架 ? 構(gòu)建內(nèi)部控制須分兩個層 面 ： ? 公司層面 ? 流程、交易及資訊科技應用層 面 COSO 內(nèi)控框架 內(nèi)控環(huán)境 風險評估 控制活動 信息和溝通 監(jiān)控 業(yè)務部門 業(yè)務功能 整體 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 69 組織項目小組進行評估 ? 高層參與 ? 各業(yè)務部門之參與 ? 財務、內(nèi)審、計算機管理部門之參與 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 70 方面 需考慮的因素 ? 高管層的誠信、道德和行為 ? 控制意識和經(jīng)營風格 ? 勝任能力和承擔 ? 董事會或?qū)徲嬑瘑T會的監(jiān)管 ? 組織結(jié)構(gòu)、權(quán)限和責任 ? 人力資源政策和程序 ? 風險評估流程 ? 對重要事件的預測、識別和反應機制 ? 識別會計準則差異、業(yè)務操作和內(nèi)部控制變化的程序 ? 提供完整的業(yè)績報告 ? 與業(yè)務策略相聯(lián)系 ? 持續(xù)開發(fā)、測試和監(jiān)控計算機系統(tǒng)和程序 ? 計算機業(yè)務持續(xù)性系統(tǒng)和應急計劃 ? 便于職員履行職責而建立的溝通渠道 ? 有必要的政策和程序 ? 有明確的財務目標，并對其主動監(jiān)控 ? 合理的職責分離 ? 預算與實際情況的定期比較 ? 對文件、記錄和財產(chǎn)的適當保管 ? 對內(nèi)部控制的定期評估 ? 實施改進建議 ? 建立內(nèi)部審計職能以實施監(jiān)控 控制環(huán)境 風險評估 信息和溝通 控制活動 監(jiān)控 如何構(gòu)建內(nèi)部控制 —公司層面的評估 管理層關(guān)于內(nèi)部控制 的報告 評估內(nèi)控的整體的有效性，找出有待改進的地方，并建立一個監(jiān)控體系 在流程、交易和應用層面，理解和評估內(nèi)部控制 在全公司層面評估內(nèi)部控制 組織項目小組實施評估工作 理解內(nèi)部控制的定義 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 71 公司層面的 內(nèi)控 ─控 制 環(huán)境 ? 企業(yè)道德規(guī)范與價值觀 ? 員工的行為操守與企業(yè)文化 ? 公 司治理結(jié)構(gòu)和政策 ? 董事會及各委員會的構(gòu)成 ? 企業(yè)規(guī)章制度 ? 董事會與管理層之間的關(guān)系、權(quán)力和職責 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 72 公司層面的 內(nèi)控 ─風險評估 ? 企業(yè) 是 否 擁有 既定的程序 以 確定、評估和度量影響企業(yè)達標的風險？ ? 先進的內(nèi)審部門？ ? 風險管 理 部門？ ? 全面 風 險評估？ ? 企業(yè)有否詳細記錄評估風險的結(jié)果？有否進行詳細的討論和溝通？ 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 73 公司層面的 內(nèi)控 ─信息和溝通 ? 企業(yè)的架構(gòu)是否能夠令各部門及業(yè)務單位明確各自的職責及 促進 溝通 ? 企業(yè) 是 否擁有 一 個 合適的電子平臺 ? 處理管理信息和數(shù)據(jù) ? 確保信息能夠及時發(fā) 放 ? 確 保各類信息和報告的準確性和可用性 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 74 ? 規(guī)章制度 ? 審批 程 序 ? 資產(chǎn)實物的安全 ? 特殊 報告 ? 表現(xiàn)指標 ? 信息系統(tǒng)控制 ? 職 責劃 分 公司層面的 內(nèi)控 ─控制活動 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 75 公司層面的 內(nèi)控 ─ 控制活動 規(guī)章制度 ? 董事會及各委員會的章程 ? 企業(yè)風險政策 ? 員工招聘守則 ? 企業(yè)采購政策 ? 會計及財務管理守則 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 76 公司層面的 內(nèi)控 ─ 控制活動 審批程序 ? 一種預防性的控制措施 ? 確保規(guī)章制度得以落實執(zhí)行 ? 知識與經(jīng)驗分享 ? 責任的承擔 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 77 公司層面的 內(nèi)控 ─ 控制活動 資產(chǎn)實物的安全 ? 檔案 /庫存上鎖 ? 減少利用現(xiàn)金交易 ? 辦工室 安全系統(tǒng) / 警鈴 ? 資料數(shù)據(jù)庫進入的限制 ? 保安人員 ? 員工身份證 ? 機器上的標 記 ? 隱型錄相機 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 78 公司層面的 內(nèi)控 ─ 控制活動 特殊報告 ? 逾期應收款報告 ? 工作超時完成報告 ? 原材料不合格報告 ? 機器故障報告 ? 產(chǎn)品不合格或退貨報告 ? 存貨臺帳紅字報告 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 79 0500100015002022Q1 Q2 Q3 Q4公司層面的 內(nèi)控 ─ 控制活動 表現(xiàn)指標 ? 預算與實際比較 ? 項目管理報告 ? 財務指 標報告 ? 系統(tǒng)可用性報告 ? 員工利用率 報告 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 80 公司層面的 內(nèi)控 ─ 控制活動 職責劃分 ? 一種員工之間相互制約的控制， 以減少出錯或越權(quán)的情況 ? 不能由同一人發(fā)起、批準和記錄一宗交易 ? 不能由同一人保管和記錄資產(chǎn) ? 定期輪換職責，在日常運作中的主要控制點應有高管人員的參與或由獨立的人員作出審查 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程序、交易及應用層面的風險 評估公司層面的控制 組織項目小組進行評估 理解內(nèi)部控制的概念 81 公司層面的 內(nèi)控 ─ 控制活動 風險控制 平衡的區(qū)域 高 低 過份控制 低 高 風險程度 控制效果 控制 不夠 管理層出具 內(nèi)部控制 報告 評估整體控制的有效性，確定應改進的地方并建立監(jiān)督系統(tǒng) 理解并分別評估程