企业全面风险管理框架.pptVIP

第404节(a) 要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序的有效性管理报告。 第404节(b) 要求审计师就管理层内控报告出具验证意见。 SOA404生效日期： 美国本土上市公司：于2004年11月15日或以后的财务年度； 非美国本土上市公司：于2006年7月15日或以后的财务年度(此日期已再次延后)。 SOA404法案总体要求 SOA 404 的要求 要求年度报告中要包括“内部控制报告”, 其具体内容为: 管理层责任的声明：管理层有责任建立和维护健全的内部控制制度以确保财务报表的合理和准确性； 管理层的评价的声明：关于在财政年度末有关财务报表的内部控制有效性的评价； 评价框架的说明：明确指出管理层适用于评价有关财务报表的内部控制有效性的框架； 关于外部审计师已出具关于管理层评价的鉴定报告的声明。 该准则不允许管理层在已发现内部控制制度有一处或多处“重大缺陷”时，作出有关财务报表内部控制有效的认定。该准则同时要求管理层披露评价过程中发现的任何“重大缺陷”。 尽管准则中没有明确说明，但是通常认为，财政年度中已发现并已纠正的“重大缺陷”不影响管理当局在财政年度末作出有关财务报表的内部控制有效的评价。 . http: // .. .. SOA 404 要求(续) 合理地保证会计记录合理、准确、详细并公允地反映公司的日常交易和资产处理； 合理地保证对所有交易都作了必要适当的记录以便于按照公认会计准则编制财务报表，并且收入和支出活动均经管理当局和董事会的适当授权； 合理地保证防止或及时发现对财务报表有重大影响的未经授权的资产采购、使用或处置。 准则对“有关财务报表的内部控制”的定义为： “公司主要的管理人员或者主要的财务管理人员设计内控政策和控制程序，并监督其执行，以便对财务报告是按照公认会计准则编制以及财务报表的可靠程度做出合理的保证。” 该控制政策和控制程序主要包括： 对形成、记录、处理和调节账户余额、交易的分类和披露以及财务报表的相关认定的控制。 对形成和处理非常规交易和非系统化交易的控制； 对防止、确认和发现舞弊的控制。 评价有关财务报表的内部控制： 准则强调指出管理层必须制定并保存有关内部控制的书面文件, 包括关于内部控制设计和测试程序的文件, 从而为管理当局评价有关财务报表的内部控制有效性提供合理的保证。这些书面文件是有效的内部控制的首要条件。 管理当局的评价必须基于评价内部控制设计的有效性和测试其执行的有效性的程序。询问本身并不能为内部控制的评价提供足够的基础。 有关评价的内部控制包括： SOA 404 要求(续) 如何建立内控以满足索克斯法的要求 评估阶段: 管理层出具 内部控制 报告 制定程序，确立项目小组，项目进度 时间进度： 方法 COSO 中对内部控制的定义是一个很好的开端。 选择适合的项目小组以及制定详细的项目计划是项目成功的关键。 以评估公司层面的控制作为评估工作的开始。 此阶段是一个复杂而费时的阶段，需要记录并理解各交易环节的流程及其相关的控制。 最后的阶段是根据评估结果形成总体评价。 制订监督程序。 准备资料，进行详细测试，并修正控制的不足。 审计师对管理层声明的审验 项目计划 准备资料并评估控制 测试并监督控制 报告 理解内部控制的概念 组织项目小组进行评估 评估公司层面的控制 理解并分别评估程序、交易及应用层面的风险 评估整体控制的有效性，确定应改进的地方并建立监督系统 建立符合404法案要求的内控框架 COSO内控框架 Committee of Sponsoring Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面： 公司层面 流程、交易及资讯科技应用层面 COSO 内控框架 内控环境 风险评估 控制活动 信息和沟通 监控 业务部门 业务功能 整体 营运 财务报告 合规 管理层出具 内部控制 报告 评估整体控制的有效性，确定应改进的地方并建立监督系统 理解并分别评估程序、交易及应用层面的风险 评估公司层面的控制 组织项目小组进行评估 理解内部控制的概念 . http: // .. .. 组织项目小组进行评估 高层参与 各业务部门之参与 财务、内审、计算机管理部门之参与 管理层出具 内部控制 报告 评估整体控制的有效性，确定应改进的地方并建立监督系统 理解并分别评估程序、交易及应用层面的风险 评估公司层面的控制 组织项目小组进行评估 理解内部控制的概念 方面 需考虑的因素 高管层的诚信、道德和行为 控制意识和经营风格 胜任能力和承担 董事会或审计委员会的监管 组织结构、权限和责任 人力资