内部控制与萨班斯法案 - 2015年版.pdf

1 内部控制与萨班斯(SOX)法案 ——从项目到持续性改进 安然案安然案 2 安然的EVA表现 摘自安然公司2000年年报 无论从哪个角度去评估，安然公司在2000年的业绩都是无可 挑剔的2000年公司年度净利润达到历史最高安然公司非 常注重每股收益，预计公司未来收益会持续走强 19961997199819992000 净收益(mn) 600$100$700$880$990$ 每股收益1.2$0.18$1.15$1.40$1.20$ EVA-10$50$-200$-330$-650$ 数企业败局，祸起萧墙 法国兴业——巴林银行的“借尸还魂” “我不相信上级主管没有意识到我的交易金额，小额资金不可能取得如此巨大的利润日常交易中， 一个交易员根本无法通过正常的投资规模赚那么多钱这让我相信，只要盈利，我的上司就会对我 的交易手段和交易金额睁一只眼闭一只眼——Jeremy Cornell 历史重演历史重演——翻版的翻版的Nick，搞垮巴林银行，搞垮巴林银行 •Jeremy，极其优秀的学生，一个电脑天才 ——对银行的后台管理和信息系统极 为熟悉 •巨额仓位，串改数据和越权交易——惊天欺诈内幕 •通过出售股份紧急融资55亿欧元弥补损失 尘埃定内部控欧•尘埃落定，内部控制失灵，处罚400万欧元 ——对交易损失负责的交易员的第一层风险控制关出现严重失职——法国银行也检查委员 会发表声明 ——兴业银行的内部监控并未发挥应有的作用，而且没有得到管理层的足够重视。

这种 现象一旦蔓延，监管机制就会形同虚设——法国央行法兰西银行行长 3 销售舞弊案例分析 四川长虹与APEX的恩怨情仇 为挽救自己的利润率，四川长虹与2001年开始海外扩张之路截 至2004年，未经对账长虹继续向APEX发货3000万美元，而截至 2003年底APEX一家应收账款总额就达45亿元，占期末与余额90% 年川长虹披露的年报报出上市以来的首次损 析 2005年4月，四川长虹披露的年报报出上市以来的首次亏损， Apex事件让四川长虹经历了上市以来的约40亿元的首次巨亏，现 金流枯竭 内部控制的核心理念 4 内部控制的核心理念 定义的关键要素定义的关键要素 1、内部控制以组织目标为导向 定义的关键要素定义的关键要素 内部控制是一个动态过程，动态过程，2个证明：个证明： 1.内部控制本身不是目标，是实现组织目标的手段，是与组织目标 共存的动态行为 2.渗透在组织基础机构，是基础的组成部分 没有一个人可凌驾控制之上 内部控制不是由某个人或哪个层级 的人提出，专门针对某一个或某一 群特定层级的人的制度 它是为整个企业设计的系统，不专 门针对具体的哪层级或哪群人 内部控制提供合理保证合理保证而非绝对保证 门针对具体的哪一层级或哪一群人， 而是针对在该企业环境下的所有人。

没有人能脱离该系统而自由运作 内部控制框架的核心理念 COSO 内部控制定义内部控制定义COSO 内部控制定义内部控制定义 1、内部控制以组织目标为导向 为实现经营效率和效果、财务报告可信性以及相关法令的遵循等 组织目标组织目标而 提供合理保证合理保证的过程 内部控制的实施者实施者为企业董事会、管理层及其他员工 为实现经营效率和效果、财务报告可信性以及相关法令的遵循等 组织目标组织目标而 提供合理保证合理保证的过程 内部控制的实施者实施者为企业董事会、管理层及其他员工 基本规范基本规范 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全 体员工实施的旨在实现控制目标的过程 基本规范基本规范 第三条 本规范所称内部控制，是由企业董事会、监事会、经理层和全 体员工实施的旨在实现控制目标的过程体员工实施的、旨在实现控制目标的过程 内部控制的目标是合理保证企业经营管理合法合规、资产安全、 财务报告及相关信息真实完整，提高经营效率和效果，促进企业 实现发展战略 体员工实施的、旨在实现控制目标的过程 内部控制的目标是合理保证企业经营管理合法合规、资产安全、 财务报告及相关信息真实完整，提高经营效率和效果，促进企业 实现发展战略。

5 内部控制框架的核心理念 2、内部控制人人有责 基本规范第十二条 管理当局的责任管理当局的责任 •CEO负责建立有效的内部控制 在整个组织内倡导控制意识 基本规范第十二条 •董事会负责内部控制的建立健全和有效实施监事会对董事会建立与实 施内部控制进行监督经理层负责组织领导企业内部控制的日常运行 •企业应当成立专门机构或者指定适当的机构具体负责组织协调内部控制 的建立实施及日常工作 •CEO：负责建立有效的内部控制,在整个组织内倡导控制意识 •CFO：核心作用,设计,推行和监管组织的财务信息报告行为 •C- LEVEL：确保其分管活动的accountable 内部控制框架的核心理念 董事会与审计委员会的责任董事会与审计委员会的责任 2、内部控制人人有责2、内部控制人人有责 董事会与审计委员会的责任董事会与审计委员会的责任 董事会: 1.公司治理的监督责任 2.确认管理当局是否履行其建立和维护内部控制的责任 审计委员会,警惕下列行为并采取适当措施制止： 1.管理当局凌驾控制之上 2.财务欺诈行为 基本规范第十三条 企业应当在董事会下设立审计委员会 审计委员会负责审查企业内部控制， 监督内部控制的有效实施和内部控制 自我评价情况，协调内部控制审计及 其他相关事宜等。

6 2、内部控制人人有责 内部控制框架的核心理念 个子公司个子公司/分公司分公司/ 业务单位 各种集团职能部门内部审计 业务单位 各种集团职能部门内部审计 审计委员会审计委员会 • 辨识企业面临的风险 和机遇 • 监控新出现的风险点 • 向风险管理和内部审 计部门收集和汇报风 险数据 • 加总各企业/业务部门 的风险系数 • 统一工具和模板，给各 分公司/业务部门发布 最佳业务流程指南 • 把风险管理提为首要职 • 确保风险管理贯穿在各 业务流程中 （e.g., 战略计划, 预算流程等 ） • 把重大风险及其防御措 施传达给审计委员会和 董事会险数据 责，并与绩效管理挂钩 董事会 ■风险的第一道防线风险的第一道防线■风险的第二道防线风险的第二道防线■风险的第三道防线风险的第三道防线 3、内部控制框架的三维性质 内部控制框架的核心理念 监督 信息 交流 控制 监督 信息 交流 控制 行为行为行为行为 风险 评估 控制 环境 风险 评估 控制 环境 7 内部控制框架的核心理念 4、适应多层次风险的内部控制矩阵结构 内部控制要素操作设计的矩阵结构内部控制要素操作设计的矩阵结构 公司治理 公司管理 交易行为 控制环境风险评估控制行为监督 内部控制要素操作设计的矩阵结构内部控制要素操作设计的矩阵结构 交易行为 过程管理 信息系统与交流反馈机制信息系统与交流反馈机制 5、公司治理、委托受托契约责任、受托报告责任、会计行为 会计行为 •会计不是簿记 1是公司治理结构的基本要素 内部控制框架的核心理念 内部控制措施的 协调组合 业务流程控制 战略 会行为 1.是公司治理结构的基本要素 2.是组织与股东、社会交流的桥梁 3.是组织取信社会的通行证！ 政策实施 受托报告责任风险管理 遵循营运 8 管理者访谈管理者访谈 统一的风险管理和内部审计流程 ERM 风险驱动 风险调查风险调查风险分析风险分析 X X X X影响影响 力力 内部审计在管理层访谈中运用 风险的可能性和影响力分析 管理层标注企业面临的重大 风险 管理层审阅风险地图，确认或 修改风险 审计计划审计计划审计执行审计执行风险评估风险评估 ERM 评估结果汇报 力力 可能性可能性 计划 Audit Committee Approval 内部审计把识别出的风险点与公司 风险登记簿中可审计的风险匹配 审计部门组织审计工作，制定 审计步骤，进行合规性检测 内部审计完成风险评估，提议 进一步修正的方案 执行执行 制定相应的 流程控制点 COSO更新框架（2013） 1. 内部环境内部环境 2. 目标设定 3. 事件确认 4. 风险评估 5. 风险应对 6 控制活动6. 控制活动 7. 信息与交流 8. 监督 9 COSO更新框架（2013） 为什么要更新呢 1992 COSO内部控制框架？ Source - COSO’s survey of users and stakeholders, worldwide – January to September 2011 COSO更新框架（2013） 2013年框架清晰的指明出了有效内部控制的17个原则 10 2013 框架描述了每一个原则（principle）的关注点， 例如： COSO更新框架（2013） 关注点再次阐述了每个原则（（principle））的特点， for example… COSO更新框架（2013） 11 基于财务报告的内部控制（ICFR）继COSO 2013 更新的变化 ICFR 继COSO 2013更新的变化 SOX 404 过渡期时间表过渡期时间表 12 ICFR 继COSO 2013更新的变化 —— 计划 1. Reactions and responses will differ depending on circumstances ICFR 继COSO 2013更新的变化 对ICFR的潜在影响： 2. If 1992 Framework has been thoroughly applied to current ICFR, the transition should not result in significant changes or incremental effort 3. Preliminary assessment (i.e., mapping principles, considering points of focus, to controls) may reveal “gaps” in design or documentation of some controls •- Design—Controls are not designed to demonstrate a principle is present •- Documentation—Controls associated with the principle exist, but they ppy are not included in the SOX internal control documentation 4. Focus on the design of indirect entity level controls (ELCs) that affect the 14 principles associated with the “softer” components of internal control. (i.e., Control Environment, Risk Assessment, Information and Communication and Monitoring Activities). 13 When did start with transitioning ICFR to the 2013 Framework? A. Now ICFR 继COSO 2013更新的变化 B. In first quarter of 2014 C. In second quarter of 2014 D. In the second half of 2014 E. Not yet F. Don’t know yet 内部控制 14 证交会对“财务报告内部控制”的定义如下： 由发行人主要高管人员及主要财务人员或履行类似职能的其他人士设计 SOX 对“基于财务报告的内部控制”的定义 保存合理详细的记录，以准确及公允。