COSO 框架 与 SOX
主要内容
COSO框架
SOX法案
PCAOB审计准则
全球内控法案趋势
国内内控法案的发展
后萨班斯时代公司治理的发展趋势
将合规工作由成本负担转化为竞争优势
SOX法案下的信息技术风险及控制常见疑问
COSO框架
什么是COSO框架 ?
COSO : The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting
全国虚假财务报告委员会下属的发起人委员会
目的:
COSO内部控制框架是美国证券交易委员会(SEC)唯一推荐使用的内部控制框架,同时《萨班斯-奥克斯利法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。作为纽约证交所上市的公司,需要按照法案要求,引进COSO内部控制框架,整合现有内部控制,满足法案的要求。
什么是内部控制?
内部控制被定义 (在COSO 与 美国审计准则 – AU 319) 为一种程序, 由一个实体的董事会、管理层和其他员工来实现,并且为了提供实现下列目标的合理保证而设计:
运作的效力和效率
财务报告可靠性
适用法律规章的遵循情况
企业战略(COSO2)
COSO定义了为实现上述目标所需要存在和综合的五个内部控制组成部分,COSO2在此基础上增加了三个内部控制组成部分。
所有五大元素必须同时发挥作用,才能让内部控制有效地运作
控制活动
确保落实管理层的政策 / 流程
措施包括审批、授权、 确认、建议、业绩考核、资产保全和权限分离
监控
评估内部控制系统
整合及时独立的评估
管理层和监控机构的 工作
内部审计
信息和沟通
定期获取、确定并交流相关的信息
评审内部和外部获取的信息
信息流: 职责指导 管理层的总结 成功的措施
控制环境
管理哲学和经营风格
因素包括正直、道德价值、能力、权威和责任
董事会和审计委员会
人力资源政策和实务
是其它内部控制组成部分的基础
风险评估
风险评估是因应一些决定性的内部控制活动和企业目标而确认和分析相关风险的工作
营运
财务报告
合规性
监控
信息和沟通
控制活动
控制环境
企业层面
业务部门
操作弹元
操作子弹元
风险评估
COSO 内部控制框架
COSO 2 新框架 – 企业风险评估
在COSO的基础上,COSO 2 新框架增加了以下内容
控制目标纬度
企业战略
控制元素
控制目标设定
风险事件确认
风险处理方式
SOX法案
什么是SOX ?
SOX: Sarbanes-Oxley Act,简称SOX , 或萨班斯 -奥克斯利法案
SOX法案要求组织机构使用文档化的财务政策和流程来改善可审计性,并更快地拿出财务报告。要求企业针对产生财务交易的所有作业流程,都做到能见度/透明度、控制、通讯、风险管理和诈欺防治,且这些流程必须详加记录到可追查交易源头的地步。
SOX法案不仅适用美国的所有在市场上进行公开交易的公司,还适用于在美国证券交易所登记的非美国公司。凡在美国上市的公司都要受此法案约束。
管理层声明 (302条款)
管理层关于内部控制的报告
(404条款)
重点领域
关键条款
审计委员会的标准
禁止向董事和官员贷款
加强对内部交易的报告
向财务官员颁布行为准则
上市公司会计监管委员会 (PCAOB)
对故意发表不实声明的刑事处罚 (906条款)
审计委员会事先批准所有审计师提供的服务
禁止审计师提供某些服务
5年强制轮换审计主管合伙人
保护举报人
第302条款和第404条款强调通过内部控制加强公司治理。第906条款强调刑事处罚。
管理当局报告
董事会治理
管理层和董事会行为
强制执行与惩罚
审计师的独立性
《萨班斯-奥克斯利法案》的内容
《萨班斯-奥克斯利法案》
《萨班斯 奥克斯利法案》第 404 条的文件内容
管理层为公司建立和维持足够的与财务报告相关的内部控制的责任陈述
管理层为评估公司与财务报告相关的内部控制的有效性而采用的评估架构陈述
管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价
陈述外部审计师已发出对《管理层就公司最近财政年度与财务报告相关的内部控制的有效性作出的评价》的审计意见
《萨班斯-奥克斯利法案》第404条
另外,第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评价进行审计,并出具审计意见
《萨班斯-奥克斯利法案》第404条
第 404 条 管理层对内部控制的评价
管理层需为公司建立和维持足够的与财务报告相关的内部控制
每年报告
管理层建立和维持足够的与财务报告相关的内部控制的责任
评估公司与财务报告相关的内部控制的有效性
IT需要对Sarbanes-Oxley第302项和第404项的规定做出相应的行动。IT需要参与并在开发流程和应用技术中起到带头作用
IT扮演了什么角色?
基础设施
外围网络、内部网络、系统
访问限制、IT总体环境控制
安全 (前端管理、行政、系统级政策)
运作 (批处理、备份/恢复、运行监控等等)
应用控制
应用与数据库
可配置控制 (工资计算、折旧、存货成本等等)
完整性、精确性、有效性、访问限制与责权分离、IT总体环境控制
已有应用维护
与业务结合以确保控制在整个机构有效运行
COSO 整合与遵循
流程、技术和控制的文档记录
帮助确认内控有效性
新应用
确保精确性、完整性、交易有效性以及应用受相应限制的控制
PCAOB审计准则
上市公司会计监管委员会第2号审计准则
《萨班斯-奥克斯利法案》第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评价。
《萨班斯-奥克斯利法案》第404条与上市公司会计监管委员会第 2 号审计准则
上市公司会计监管委员会PCAOB配合第404条要求颁布第2号审计准则,以明确规范公司管理层和外部审计师对内部控制进行评价的范围和要求。
必须承担与公司财务报告相关的内部控制有效性的责任
采用适当的内控框架 (例如 COSO,国际认可的内部控制框架) ,评价公司与财务报告相关的内部控制系统的有效性
以充分的凭证 (包括档案文件) 支持评价结果
针对公司最近年度财务报告的内部控制有效性提交书面声明
上市公司会计监管委员会第2号审计准则
对管理层的要求
测试有效性
记录内部
控制
全面计划
纠正缺陷
做出声明
上市公司会计监管委员会第5号审计准则(2007年7月取代原有的第2号审计准则)
为独立审计师减少解释性细节的程度。
鼓励独立审计师使用专业判断。
更强调评估舞弊风险的显著重要性,包括管理层越权;以及反舞弊控制。
解释了各类公司整体层面控制对选择及测试其他控制的影响。
要求独立审计师满足恰当的穿行测试目标,而不是对所有情况都进行穿行测试。
为小规模企业审计提供了指引。
遵循以原则为基础的方式来决定独立审计师在什么时候以及什么程度上利用第三方的工作。
第5号和第2号审计准则的主要区别
管理层 404 评价报告
建立及维持有效性
内部控制系统
记录
测试
(1) 评价内部控制的有效性
(2) 提交最近年度财务报告的内部控制系统有效性的声明
根据上市公司会计监管委员会第 2 号审计准则的要求,对与财务报告相关的内部控制进行独立审计,并正式出具一份审计师 404 审计报告,当中包括两个评价意见
评价意见 (1)
对管理层评价结论的意见
评价意见 (2)
对公司与财务报告相关 内部控制有效性的独立意见
上市公司会计监管委员会第2号审计准则
对外部审计师的要求
与公司必要的沟通
以书面向审计委员会报告已发现的所有内部控制显著缺陷和重大漏洞
必须在公布审计报告前进行沟通
通知管理层已发现的所有与财务报告相关的内控缺陷并通知审计委员会已与管理层对内控缺陷作出沟通
《 萨班斯-奥克斯利法案 》第 404 条不仅要求公司财务报表没有重大错报(significant misstatement) ,还要把这种可能性降至最低的水平。而公司的内部控制无法把财务报表出现错报的可能性减至最低已经足以令审计师出具保留意见或不表示意见。
对外部审计师的要求
上市公司会计监管委员会第2号审计准则
上市公司会计监管委员会第5号审计准则(2007年7月取代原有的第2号审计准则)
审计准则 #36
审计准则 #27
作为对年度财务报表评估流程的一部分,审计人员需评估信息技术在年度财务报表出具过程中的使用程度。
审计人员同样需要理解信息技术是如何影响公司的业务流程。AU sec. 319讨论了信息技术对内部控制的影响和需评估的风险。
审计准则 #37
在执行穿行测试的过程中,审计人员将使用与公司员工相同的文档和信息技术来追踪一条交易:从其起源,经过整个业务流程,包括信息系统,直到其反应在了公司的财务记录中。穿行测试步骤通常包括一系列的询问,观察,相关文档审阅,以及控制点的重新执行。
审计准则 #47
审计准则 #41
是否将一个控制纳入审计范围进行测试将取决于这个控制或和其它控制的结合是否足以覆盖某相关流程控制失效所导致的风险,而不是取决于此控制的性质,如公司层面控制、流程层面控制、控制行为、监控控制、预防性控制或发现性控制等。
影响控制有效施行的风险的因素包括:此控制的施行依赖于个人或是自动控制。在进行信息技术审计时,审计师可能关注于管理层为实现其控制目标所依赖的、对应用控制有效运行有重要影响的应用控制和信息技术一般性控制。
审计准则 #68
在决定某控制缺陷或某些控制缺陷是否有重大影响时,审计人员需评估补偿性控制是否有效。
审计准则附录 A8
与财务报表有关的内部控制可以分为预防性控制和发现性控制。对于财务报表而言,有效的内部控制常常包括预防性控制和发现性控制的结合。
.
审计师出具保留意见或不表示意见的成因和影响
成因一:
管理层对内部控制评审的支持凭证不足,
例如:
(1) 没有确定评审范围的充分依据和记录
(2) 缺少测试主要内控措施的档案文件
成因二:
外部审计师发现一个 / 多个重大内控漏洞,
例如:
(1) 需要作出审计调整
(2) 没有足够的信息系统控制
保留意见审计报告或
审计师不表示意见
管理层对内部控制的评价和外部审计师的意见
全球内控法案趋势
内部控制相关法规及指南的发展
2月 美国蓝丝带委员会:《改善企业审计委员会有效性的报告》
6月财政部、证监会、审计署、银监会、保监会《企业内部控制基本规范 》
2005
1999
2000
2001
2002
2003
2004
2006
5月 国际经济合作暨发展组织:《公司管治原则》
6月 世界银行:《公司治理:实施的框架》
9月 英格兰及韦尔斯特许会计师公会:《内部控制:综合守则的董事会指引》
8月 中国证券监督管理委员会:《关于在上市公司建立独立董事制度的指导意见》
1月 中国银行业监督管理委员会:《上市公司治理准则》
7月 美国国会《 萨班斯 – 奥克斯利法案》
7月 英国财务报告协会:《公司治理综合守则》
3月 香港交易所:《上市规则》有关公司治理事宜条文的修订
11月
香港交易所:有关《公司治理常规守则》以及《公司治理报告》
规则的《上市规则》定稿
4月 国际经济合作暨发展组织:关于国有企业公司治理指引
6/9月 上海证券交易所/深圳证券交易所 《上市公司内部控制指引》
5月 中国银行业监督管理委员会:《国有商业银行公司治理及相关监管指引》
2月 香港会计师公会:《审核委员会有效远作指引》
11月 中国银行业监督管理委员会:《信息科技风险内部和外部评价审计》
2007
1月 中国证券监督管理委员会:《上市公司信息披露管理办法 》
4月 上海证券交易所《上海证券交易所上市公司信息披露事务管理制度指引》
12月 上海证券交易所《中小企业板上市公司内部审计工作指引 》
2008
国际经济合作暨发展组织:《公司管治原则》修订稿
6月 中国财务部:关于征求《企业内部控制评价指引》《企业内部控制应用指引》《企业内部控制鉴证指引》意见的通知
全球内控法案趋势
继美国颁布萨班斯-奥克斯利法案(SOX)之后,全球掀起了内控法案的风潮:
日本金融厅企业会计审议会于2006年2月颁布了《关于财务报告相关内部控制制度的管理层评估及审计准则》以及《财务报告相关内部控制的管理层评估及审计实施标准》(称为“日本版萨班斯-奥克斯利法案”或J-SOX);
欧盟正在实施的《提高法定审计质量的重点议程》(Priorities for Improving the Quality of Statutory Audits)及《经济合作与发展组织公司治理原则》》(Organization for Economic Cooperation and Development‘s Principles of Corporate Governance)中均强调了企业治理及内控的重要性
国内内控法案
国内内控法案的发展
沪深两市均发布了上市公司内部控制指引,要求上市公司对本公司的内部控制状况定期进行披露:
证监会2007年9月下发了《上市公司监督管理条例(征求意见稿)》,有望很快正式颁布;
2007年12月深圳证券交易所发布了《中小企业板上市公司内部审计工作指引》;
2008年6月28日财政部联合证监会、审计署、银监会以及保监会五部委发布了《企业内部控制基本规范》。
《企业内部控制基本规范》
中国版萨班斯-奥克斯利法案
国内最权威的内部控制技术标准及明确的实施要求
适用于中华人民共和国境内的大型企业、上市公司和其他涉及重大公众利益的企业
中小企业和其他有关单位可以作为参照建立健全本单位的内部控制
《企业内部控制基本规范》 - 五大基本要素
内部环境
风险评估
控制措施
信息与沟通
监督检查
《企业内部控制基本规范》 - 七大原则
合法性原则
全面性原则
重要性原则
有效性原则
制衡性原则
适应性原则
成本效益原则
后萨班斯时代公司治理的发展趋势
遵循《萨班斯-奥克斯利法案》第404条对上市公司
的裨益
不断改进
《萨班斯——奥克斯利法案》的生命周期
改进原有控制程序
不间断的记录与修正
不断进行控制与测试
满足要求
实现价值
自我检测是否已达到标准
初期努力使自身满足要求
企业的工作重心要由现阶段的短期目标向长期持续生命周期转变,以实现企业的价值。
企业第一年符合《萨班斯—奥克斯利法案》第404条的要求实现目标并不意味着以后的各年仍然符合要求。
展望未来的控制-- 《萨班斯—奥克斯利法案》第404条及相关法规要求企业内部存在适当且有效的控制
对《萨班斯—奥克斯利法案》第404条的遵循应成为一项日常的流程
现在
以项目为导向
存在不一致性
以文档为中心
人工控制
作为支持业务的一种方式存在
但是当遇到以下情况时, 企业会怎样?
关键人员离职
对程序做出改进
应用新系统
销售原有业务/购买新业务
程序外包
将来
企业经营之道
与业务流程相结合
以数据为中心
动态控制
构成经营的一部分
遵循《萨班斯-奥克斯利法案》第404条对上市公司 的裨益 (续)
信息系统(IT)治理的概念
关注点:
战略及规划,
组织架构,
政策, 和
内部流程
公司治理
IT治理
公司业务
信息系统
IT治理的意义:
控制风险,
合规,
绩效评估, 和
提升价值
信息系统治理的定义:
信息系统治理是公司治理的一个有机组成部分,它包含领导力、组织结构和流程等制度和机制,其确保信息系统维续和扩展组织的战略和目标。
—国际信息系统审计与控制联合会(ISACA)
信息系统治理与IT审计
COSO提供了内部控制设计和风险管理的框架要求。 COBIT对信息技术管理域、处理过程和相关活动以及控制目标进行了定义,是信息系统治理的基础。
IT审计是按照一定的IT审计规范,对IT内部控制的有效性进行评估。
信息系统治理是建立在COSO和COBIT之上的IT运作以及管理的机制。
IT审计
信息系统治理
COBIT标准
COSO内部框架
评估IT内部控制
评估IT运作
和管理状况
内审部参与度
公司治理的定义
公司治理是被管理人员、投资者、会计、董事会广泛使用的一个概念。 狭义的公司治理是指,公司股东直接或间接(通过董事会)对公司管理层进行监督和评价其表现行为;广义的公司治理则包括了公司的整个内部控制系统,它通过自上而下地分配和行使责权、监督、评价和激励董事会、管理层以及员工实现公司目标,以保障包括股东在内的利益关系人的权益。公司治理的实质是确保经营者的行为符合利益相关者的利益。
公司治理四大“基石” (关键要素)
董事会 - 确保有效的内部控制系统,确定并监控经营风险和绩效指标;
高级管理层 - 实施风险管理和内部控制,日常计划、组织安排;
外部审计师 - 应保持独立性,审计与咨询业务分开;
审计委员会(内部审计师)- 增强报告关系上的独立性。
公司治理发展趋势
重视投资者利益,尊重股东价值;
重新构建激励约束机制;
全球各国公司治理模式趋同化。
理想的公司治理架构
业务及策略风险管理
第一防线:
每个业务单位均有其管理和内部控制职能,在业务的最前线建立程序减低风险,如授权审批程序
董事会
业务一
业务二
财务
支持功能
企业风险管理功能
第二防线
风险委员会*
内部审计
审计委员会**
第三防线
* 成员一般包括执行董事/高级管理人员
** 成员一般包括非执行董事
企业各职能部门,如会计及财务等
风险管理
第二防线 风险管理功能:
成立专责委员会监控有关业务的整体情况,建立高层管理控制程序减低风险,如定期审阅有关部门的业务报告
第三防线 内部审计:
对于企业已建立的控制程序,审计委员会辖下的内审部门会进行独立监控,测试其设计及运作的有效性
理想的公司治理架构是由以下三道防线组成的:
将合规工作由成本负担转化为竞争优势
合规工作不只是一次性工作
在合规工作的时代,在合规工作的时代,企业面临特有的机会,可借助合规工作立可持续的和增值的控制措和流程,从而取得竞争优建施势。
截至目前为止,只有为数不多的企业能这样正面地利用这个机会,而那些认识到可将合规工作作为获得竟争优势的一个改革驱动力的公司,已经开始获得稗益。
发现提升价值的机会
很多企业现未能利用合规工作而获取稗益,更有甚者,许多企业实际上发现有关合规的成本正不断上升,这表明这些企业未能汲取教训,或在不断重蹈覆辙。
很多行政人员仍然觉得遵守 SOX 的工作大大增加了成本,但所带来的价值则相对甚少。改变企业的心态是一个挑战。心态的转变必须由最高层做起。董事会和管理层均须率先认识到,合规工作可以通过提供企业流程和控制措施的效率而为企业提供一个增值的机会。
制定战略性控制措施
观念的转变可以通过四个营运阶段而实现,分别是初始合规、达至共识、整合状态和融入状态。每个阶段均反映企业对合规工作所采取的方法的不同成熟程度。对于企业来说,所面临的挑战是了解它们目前处于哪一个阶段,以及希望达到何种成熟程度。
初始合规
这个阶段是指一家企业首次作出应对工作,以履行合规的义务。合规工作被视为一个须要克服的障碍,企业几乎不考虑可能带来的潜在业务改进或风险管理稗益。这项工作被视为是一个项目,一般由财务部推动,而项目团队则由跨业务部门的代表组成。公司往往会聘请一个第三方去完成大部分合规工作,这可节省该公司因此将主要员工调离日常工作的机会成本。
这些初始工作的特微是由一支规模庞大的项目团队负责,以及缺乏自动化。其目标是尽可能以最快的速度及最低廉的成本完成该工作,从而令所有人都可以继续做其他工作。这个短期、靠人工的方案令企业难以充分利用所获得的经验以及在以后年度更有效率地完成合规工作。
达至共识
在这个阶段,企业开始了解到将合规工作视为一个非正式、孤立的项目是不符合成本效益的。因此,企业开始建立一支专责团队,以监督持续进行中的合规义务的完成情况。
公司管理层意识到,由于在合规工作上投放的时间和资源而获得了大量信息。他们第一次了解到谁在负责执行控制措施,以及这些措施和流程如何影响业务。因此,他们认识到有关控制组合可能须要作出更改,使他们可以在风险管理与业务绩效之间保持适当的平衡。领导层开始改善他们的控制措施和流程,并因应所进行的合规工作而开始为企业提升价值。
整合状况
当管理层充分了解控制组合的潜力能带动企业进行改革时,便踏入了另一阶段。管理层会将控制措施及对控制组合的了解作为新的管理工具,藉以确定最具效力和效率的资源运用方式。企业认识到整合技术风险和控制措施是一个强有力的工具来管理风险以及改革流程。
融入状况
合规演变的最终阶段,是合规思维成为企业文化根深蒂固的一部分。这些企业非常重视外界对其积极拥护最佳业务模式的认同。各公司均视合规工作为良好的公司治理的主要元素,并因而将合规工作视为吸引主要管理人才、投资者和潜在合彩人的方法。在这个融入状况,公司支持合规工作的原因不再是为满足法律规定,而是因为相信合规工作会带来业务改进。
管理层已将其控制组合整合为一个包含企业风险管理框架和流程优化的体系。因此,改善了的风险管理和业务绩效为企业建立了可持续的价值以及企业内外利益相关者对企业的信心。
SOX法案下的信息技术风险及控制常见疑问
常见疑问
Q:在进行财务报告内部控制的评估时考虑IT部分为何如此重要?
A:业务流程对信息技术的依赖程度逐年增加,使得业务的执行更加及时、全面及准确。财务报告流程及其他流程,即财务报告所载之交易的获取、记录、累积、总结及呈报,大部分都需依靠信息系统来完成。
常见疑问(续)
Q:管理层如何识别IT风险及对IT风险进行优先排序?
A:IT风险的识别和优先排序的框架和方法与跟那些影响财务报告要素的关键流程的风险的识别是相同的。一般来说,风险的识别是基于其与具体财务报表认定的相关性而进行的,而有关风险的识别是对内部环境做出概括性结论的基础。风险的优先排序是根据他们对财务报表的影响大小和发生的可能性而进行。
常见疑问(续)
Q:IT组织及应用系统和数据负责人应进行多少文档记录,以为应用系统的控制和运行提供证据?
A:该问题需从两方面予以考虑,首先要考虑的是需要作什么记录,以为系统的运行和控制提供证据;其次是需进行哪些记录,以确保应用系统的运行能够使控制的可靠性得到保证。
常见疑问(续)
Q:管理层如何解决IT控制的缺陷和差距?
A:管理层有两种解决IT 控制缺陷的可行方法。第一个方法,也是最显著的方法,是对设计或运行无效的流程或控制进行差距分析,并制定行动计划弥补差距。另一个可行方法(至少适合短期施行),是要确保对缺陷风险及相关补偿控制(如有)的进行透彻的分析,从而判断对财务报告认定的风险范围,以及有关风险是否已被充分降低。该方法于短期来说或许十分重要,原因是对差距的分析及弥补可能需花费较长一段时间方能改善 lT 控制。在很多情况下,对人工发现控制的需求可能会大幅增加,以识别和纠正那些可导致业务流程层面上的错误或遗漏的具体项目。
Questions?
*
*
*
*
COSO是一个三维的内部控制框架,三维包括控制控制目标、控制元素和组织架构。它为公司内控建设提供了一个框架
*
COSO内部控制组成部分,具体的在后面解释
*
详细解释COSO框架:三大控制目标、五大元素和四大操作单元:
审计主则第2号指出管理层应选择一个合适和公认的控制框架并以此作为评价内部控制的依据。 尽管准则第2号明示管理层可以选择适用的内部控制框架,但准则中的各项要求均明显围绕着美国COSO内部控制框架而制定。因此COSO成为绝大部分美国上市公司评价内控的标准。
COSO是指美国反欺骗性财务报告委员会的发起委员会,由5个美国专业学会在80年代发起成立的一个独立委员会研究开发的一个有关内控的综合框架的报告。
内部控制被COSO定义为一个由董事会、管理层和其他员工实施的流程,旨在为企业运营的效率和效益、财务报告的可靠性和法规的遵循三方面提供合理的保证。内部控制包括3个目标和5个组成部分。
控制环境:由于多么良好的内部控制都是由个人来实施和监控,因此影响个人行为和价值观的内控环境成为良好控制的根基。
风险评价:企业面对不同的风险,风险影响企业竞争生存的能力。制定企业目标----评价影响达到目标的风险---制定行动以管理风险
控制活动:控制活动是管理层为了确保适当的行为亦应对影响企业目标的风险而制定的政策和程序
信息与沟通:企业通常通过信息系统识别、采集、加工及汇报信息,信息系统生成满足评价风险和实施控制活动所需要的报告和与运营,财务汇报和法规遵循相关的信息。
*
审计准则第5号是基于COSO2,更注重于风险的评估和处理,给管理层更多的自主性和灵活性。并突出和企业战略的联系性,使内控融入企业经营,而不是独立的一个流程。
COSO是指美国反欺骗性财务报告委员会的发起委员会,由5个美国专业学会在80年代发起成立的一个独立委员会研究开发的一个有关内控的综合框架的报告。
内部控制被COSO定义为一个由董事会、管理层和其他员工实施的流程,旨在为企业运营的效率和效益、财务报告的可靠性和法规的遵循三方面提供合理的保证。内部控制包括3个目标和5个组成部分。
控制环境:由于多么良好的内部控制都是由个人来实施和监控,因此影响个人行为和价值观的内控环境成为良好控制的根基。
风险评价:企业面对不同的风险,风险影响企业竞争生存的能力。制定企业目标----评价影响达到目标的风险---制定行动以管理风险
控制活动:控制活动是管理层为了确保适当的行为亦应对影响企业目标的风险而制定的政策和程序
信息与沟通:企业通常通过信息系统识别、采集、加工及汇报信息,信息系统生成满足评价风险和实施控制活动所需要的报告和与运营,财务汇报和法规遵循相关的信息。
*
*
在本世纪初,全球(尤其是美国)发生了多起大型企业倒闭的事件,象ERON, Global Crossing, Arthur Anderson,许多投资者和公司员工损失惨重。主要是因为一些财务报告的欺诈行为,没被及时发现。因此,美国政府决定对上市公司增强监控,而导致了萨班斯法的通过。
*
逐项介绍,注重新增对审计师的要求、PCAOB、管理当局报告(302和404)
*
前三项由管理层出具,第四项为外部审计师独立发表的审计意见。管理层不光要建立和维持内控体系,还要对此体系做年度测试评估。
*
*
新一代企业的自动化程度日见提高,对信息系统的依赖性也日局上升,IT对整个公司的运作和合规也越来越重要。Use new technology to increase control effectiveness and efficiency (IT in the lead).
*
*
尽管第2号审计准则的对象的审计师,但由于它明确了审计师对管理层的要求,因此也成为管理层如何满足萨班斯法案404条款要求的指南。
*
国际认可的内部控制框架包括:
美国反欺骗性财务报告委员会:《COSO内部控制框架》
英格兰及威尔斯特许会计师公会:《内部控制:综合守则的董事指引》
加拿大特许会计师公会:《内部控制指引》
尽管准则第2号明示管理层可以选择适用的内部控制框架,但准则中的各项要求均明显围绕着美国COSO内部控制框架而制定。因此COSO成为绝大部分美国上市公司评价内控的标准。
管理层应采取全面措施履行其责任,当中包括全面的计划,以及对内部控制系统的评价。管理层确定重大控制措施后,必须记录有关措施,然后测试措施的成效。企业应有充裕的时间完成整个程序并且纠正发现的内控缺陷。越早发现缺陷,管理层便有越充裕的时间纠正缺陷,并确定新措施的运作成效。如果管理层未能履行上述责任,会导致审计师发出保留或不表示意见。
*
Less prescriptive
More professional judgment
More emphasis on anti-fraud control
Link entity-level control to other controls
Selective walkthrough
Small business guide
More use of work of others
*
*
*
尽管第2号审计准则的对象的审计师,但由于它明确了审计师对管理层的要求,因此也成为管理层如何满足萨班斯法案404条款要求的指南。
*
*
*
Japan, Eruope, Hong Kong, Now C-SOX
*
J-SOX and European laws
*
*
*
*
建立有效的内部控制,至少应当考虑以下基本要素:
(一)内部环境。内部环境是影响、制约企业内部控制建立与执行的各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
(二)风险评估。风险评估是及时识别、科学分析和评价影响企业内部控制目标实现的各种不确定因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定、风险识别、风险分析和风险应对。
(三)控制措施。控制措施是根据风险评估结果、结合风险应对策略所采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制措施结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
(四)信息与沟通。信息与沟通是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关方面的沟通机制等。
(五)监督检查。监督检查是企业对其内部控制的健全性、合理性和有效性进行监督检查与评估,形成书面报告并作出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行持续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
*
From compliance to value.
*
Static to dynamic
*
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
企业建立和实施内部控制,应当遵循以下基本原则:
(一)合法性原则。内部控制应当符合法律、行政法规的规定和有关政府监管部门的监管要求。
(二)全面性原则。内部控制在层次上应当涵盖企业董事会、管理层和全体员工,在对象上应当覆盖企业各项业务和管理活动,在流程上应当渗透到决策、执行、监督、反馈等各个环节,避免内部控制出现空白和漏洞。
(三)重要性原则。内部控制应当在兼顾全面的基础上突出重点,针对重要业务与事项、高风险领域与环节采取更为严格的控制措施,确保不存在重大缺陷。
(四)有效性原则。内部控制应当能够为内部控制目标的实现提供合理保证。企业全体员工应当自觉维护内部控制的有效执行。内部控制建立和实施过程中存在的问题应当能够得到及时地纠正和处理。
(五)制衡性原则。企业的机构、岗位设置和权责分配应当科学合理并符合内部控制的基本要求,确保不同部门、岗位之间权责分明和有利于相互制约、相互监督。履行内部控制监督检查职责的部门应当具有良好的独立性。任何人不得拥有凌驾于内部控制之上的特殊权力。
(六)适应性原则。内部控制应当合理体现企业经营规模、业务范围、业务特点、风险状况以及所处具体环境等方面的要求,并随着企业外部环境的变化、经营业务的调整、管理要求的提高等不断改进和完善。
(七)成本效益原则。内部控制应当在保证内部控制有效性的前提下,合理权衡成本与效益的关系,争取以合理的成本实现更为有效的控制。
*
Ask the audience first!
*
Increased IT reliance.
*
IT risk related to ICOFR only.
*
Documentation of control evidence.
*
Redesign vs. compensating control. Risk-based.
*
