Embed Size (px)
DESCRIPTION
提纲. 背景 SOX 主要内容 SOX 对公众公司的主要影响 SOX 与 IT 控制 SOX 符合性实施. 背景. 背景 安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国上市公司深陷信用危机。 会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是导致管理层欺诈丑闻的根本原因。 重建公司信用,规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。 - PowerPoint PPT Presentation
Citation preview
背景 SOX 主要内容 SOX 对公众公司的主要影响 SOX 与 IT 控制 SOX 符合性实施
提纲
背景 安然,世通等知名公司相继暴露出严重的管理层欺诈丑闻,使美国上市公司深陷信
用危机。 会计系统的漏洞、管理层的失职、内部控制的缺乏以及外部审计人员的道德风险是
导致管理层欺诈丑闻的根本原因。 重建公司信用,规范高级管理层与注册会计师关系和职业道德的要求刻不容缓。 2002 年 6月,布什总统签署的萨班斯-奥克斯利法案正式生效,该法案由参议院银
行委员会主席萨班斯和众议院金融服务委员会主席奥克斯利联合提出,故简称《萨班斯-奥克斯利法案》。该法案对美国《 1933 年证券法》、《 1934 年证券交易法》作了不少修订,在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。
目的 重建公司信用,培育公众信心,振兴证券市场。 加强公司监管,规范业务运作。 增加财务报告与信息披露的透明度。 确保公司管理层可以从有效监控的系统中获取重要信息。 公司管理层必须对美国证券管理委员会要求存档的材料和向投资者公布的信息承担
责任
背景
背景 SOX 主要内容 SOX 对公众公司的主要影响 SOX 与 IT 控制 SOX 符合性实施
提纲
成立独立的公众公司会计监察委员会 (PCAOB) ,监管执行公众公司审计职业 PCAOB 是非赢利独立组织,接受 SEC 的监督。 执行或参与公众公司审计的会计师事务所须向 PCAOB注册登记,并接受 PCAOB 的检查与处罚。
PCAOB 有权制定或采纳有关会计师职业团体建议的审计标准。
SOX 主要内容
加强注册会计师的独立性 禁止执行公众公司审计的会计师事务所为审计客户提供列入禁止清单的非审计服务
审计合伙人和复核合伙人每 5年必须轮换。 如果公司首席执行官、财务总监、首席会计官等高级管理者在前一年内曾在会计师事务所任职,该事务所则被禁止为这家公司提供法定审计服务。
SOX 主要内容
加大公司的财务报告责任 要求公司的审计委员会负责选择和监督会计师事务所。
要求公司首席执行官和财务总监对呈报给 SEC 的财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以保证。对违反证券法规而重编会计报表后发放的薪酬和红利应予退回。
约束公司高层管理者及高级财务人员的行为, SEC有权对违反证券法规者担任公司的董事或管理人员采取禁入措施。
SOX 主要内容
强化财务信息披露 公众公司应进行实时披露,即要求及时披露导致公司经营和财务状况发生重大变化的信息。
强制要求公众公司年度报告中应包含内部控制报告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴证报告。
SOX 主要内容
加重对违法行为的处罚力度 故意进行证券欺诈的犯罪最高可判处 25年入狱。对
犯有欺诈罪的个人和公司的罚金最高分别可达 500万美元和 2500万美元。
起诉证券欺诈犯罪的诉讼时效由原来从违法行为发生起 3 年和被发现起 1 年分别延长为 5年和 2年。
SOX 主要内容
背景 SOX 主要内容 SOX 对公众公司的主要影响 SOX 与 IT 控制 SOX 符合性实施
提纲
董事会成员的责任 董事会成员和审计委员会有进行自我评估和接受后
续教育的责任。 职业操守和公司守法
法案要求公司对员工的职业道德作出书面规定。 要求审计委员会建立内部举报激励机制
透明度和信息披露 美国证券管理委员会建议成立信息披露委员会 强化内部审计部门的职责
风险管理和控制 建立内部控制制度与流程
对公司治理方面的影响
Assessment of the effectiveness of internal controls
over financial reporting with
external auditor attestation
Disclosure of material changes on a “rapid and current basis”
Focused representations by certifying officers linked to criminal
provisions of the Act
Expanded representations by certifying officers
re: disclosure controls
Section 302
Section 409
Section 906
Section 404
对公司管理层的影响
执行官及财务官对季报及年报有效性的提供保证 执行官及财务官对季报及年报有效性的提供法律保证
管理层需要在年报中评价涉及财务报告的内部控制的有效性,独立审计人员需要评价管理层的评价是否合理。
SOX 对财务报表的影响
背景 SOX 主要内容 SOX 对公众公司的主要影响 SOX 与 IT 控制 SOX 符合性实施
提纲
第 302 节 公司对财务报告的责任 要求公司首要官员及首要财务官在季度 /年度报告中保证:
• 对信息披露的控制和程序负责• 设计必要的内部控制手段并确保其执行可使高层及时获得重要信息• 对披露控制的有效性进行评估,评估结果需存档• 不可向审计委员会和外部审计人员隐瞒公司重大的内控失败和人员舞弊
行为• 存档描述内部控制的重大变化
第 404 节 管理层对内部控制的评价 要求公司管理层在年度财务报告中:
• 描述他们在建立和维护一个针对财务报告的内部控制程序中的责任• 对与财务报告相关的内部控制有效性以一个公认架构进行评价(例如 CO
SO 内控架构) 同时要求外部审计人员:对管理层评价的有效性进行评价
SOX 对内部控制的要求
内部控制被定义为一个过程,这个过程受企业的董事会、管理层及其他人员影响。设计这个过程是为达成下列目标提供合理的保证: 营运的效果和效率 财务报表的可靠性 相关法令的遵循
内部控制定义
内部控制框架— COSO
内控活动 确保管理活动付诸实施的政策 / 流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。
内控活动 确保管理活动付诸实施的政策 / 流程。措施包括审批、授权、确认、建议、业绩考核、资产安全和职责分离。
监控不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。
监控不断评估内部控制系统的表现。整合实时和独立的评估。管理层和监督活动。内部审计工作。
内控环境 营造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础
内控环境 营造单位气氛-让公司员工建立内部控制因素包括正直,道德价值,能力,权威和责任是其他内部控制组成部分的基础
信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流
信息和沟通及时地获取,确定并交流相关的信息从内部和外部获取信息使得形成从职责方面的指示到管理层有关管理行动的发现总结等各方面各类内部控制成功的措施的信息流
风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础
风险评估 风险评估是为了达到企业目标而确认和分析相关的风险-形成内部控制活动的基础
监控
信息和沟通
控制活动
风险评估
控制环境
营运财务报告
合规性
业务单位A
业务单位B
活动2
活动1
监控
信息和沟通
内控活动
风险评估
内控环境
营运财务报告
合规性
业务单位A
业务单位B
活动2
活动1
企业可能运用相互独立的系统支持某一特殊单元或运用复杂的高度集成化的系统来共享数据,支持企业的财务报告、财务运行等。
企业可能使用 IT系统去确认、计量、记录、报告企业所发生的交易。
随着企业信息处理“ e化”的发展,企业的业务流程也会随之变化。
在多数 IT系统中,内部控制都是人工和自动化的结合体,而且人工控制可能独立于 IT系统,需要从 IT系统中导入信息并监控该系统是否有效运行。
IT 如何影响财务报告
与财务报告相关的 IT 控制 IT控制的实施情况是与公司使用 IT系统的特
点有关。总的来说,大部分公司(尤其是大中型公司)的财务报告离不开 IT系统,因此 IT控制是财务报告内部控制的重要组成部分。
与财务报告相关的 IT控制包括: 一般控制( GCC):针对(与财务报告相关) IT系统的通用控制,如:系统开发、变更、运行、数据访问等。
应用控制( ABC):针对特定业务应用系统的控制,如:授权控制,有效性验证等。
Financial ApplicationsFinancial Applications
Application AApplication A Application BApplication B Application CApplication C
IT Infrastructure ServicesIT Infrastructure Services
Operating SystemOperating System NetworkNetworkDatabaseDatabase
Business Process/ Classes of Transactions Business Process/ Classes of Transactions
Significant Accounts in the Financial StatementsSignificant Accounts in the Financial Statements资产负债表
Balance Sheet资产负债表
Balance Sheet收益表
Income Statement收益表
Income Statement财务状况变动表
SCFP财务状况变动表
SCFP OtherOther
Process CProcess CProcess BProcess BProcess AProcess A
与财务报告相关的 IT 控制
General ComputerControls• Program development• Program changes• Computer operations• Access to programs and data• Control environment
ApplicationControls• Completeness• Accuracy• Validity• Authorization• Segregation ofduties
PCAOB 要求管理层依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性,在美国这个框架就是 COSO 。但 COSO只提供了一般性的指南,并没有特别针对 IT风险管理和控制,因此,具体 IT 活动的实施还需要其他的补充标准作为指导,如: Cobit、BS7799 、 ITIL等。
CobiT(Control objectives for information and related Technology)是由 ISACA( Information Systems Audit and Control Association )在 1996 年公布的、目前在国际上公认的最先进、最权威的安全与信息技术管理和控制标准。 CobiT 架构的主要目的是为业界提供关于 IT控制的一个清楚的政策和发展的良好的典范,这个架构共有 34个 IT程序,分成 4个领域: PO(Planning &Organization )、 AI ( Acquisition & Implementation )、 DS(Delivery and Support )、和 Monitoring,所有的程序中包含了 302个控制目标,全都提供了最佳的施行指导。
IT 控制框架— Cobit
Control Environment
Risk Assessment
Control Activities
Information and Communication
Monitoring
CO
SO
Co
mp
on
entsCobiT Objectives
Plannin
g and
Organ
izatio
n
Plannin
g and
Organ
izatio
n
Sectio
n 302
Sectio
n 302
Deliv
ery
and
Support
Deliv
ery
and
Support
Monito
ring
Monito
ring
Acquis
ition a
nd
Imple
men
tatio
n
Acquis
ition a
nd
Imple
men
tatio
n
Sectio
n 404
Sectio
n 404
Information Technology controls should consider the overall governance framework to support the quality and integrity of information
Competency in all 5 layers of COSO’s framework are necessary to achieve an integrated control program
Controls in Information Technology are relevant to both Financial Reporting and Disclosure requirements of Sarbanes-Oxley
IT 控制框架— Cobit
COSO Component
CobiT Control Objectives
Co
ntr
ol
En
vir
on
me
nt
Ris
k
As
se
ss
me
nt
Co
ntr
ol
Ac
tiv
itie
s
Info
rma
tio
n &
Co
mm
un
ica
tio
n
Mo
nit
ori
ng
Planning & Organization
Define a strategic IT plan Define the information architecture Determine technological direction Define the IT organization and relationships Manage the IT investment Communicate management aims and direction Manage human resources Ensure compliance with external requirements Assess risks Manage projects Manage quality
Acquisition & Implementation
Identify automated solutions Acquire and maintain application software Acquire and maintain technology infrastructure Develop and maintain procedures Install and accredit systems Manage changes
Delivery & Support
Define and manage service levels Manage third-party services Manage performance and capacity Ensure continuous service Ensure systems security Identify and allocate costs Educate and train users Assist and advise customers Manage the configuration Manage problems and incidents Manage data Manage facilities Manage operations
Monitoring
Monitor the processes Assess internal control adequacy Obtain independent assurance Provide for independent audit
IT 控制框架— Cobit
背景 SOX 主要内容 SOX 对公众公司的主要影响 SOX 与 IT 控制 SOX 符合性实施
提纲
SOX 符合性实施过程
Sarbanes-Oxley IT Compliance
1. Plan & Scope
• Financial reporting process
• Supporting systems
3. Identify Significant Controls
• Application controls - over initiating, recording, processing & reporting
• IT General Controls
5. Evaluate Control Design
• Mitigates control risk to an acceptable level
• Understood by users
8. Document Process & Results
• Coordination with Auditors• Internal sign-off (302, 404)• Independent sign-off (404)
7. Identify & Remediate Deficiencies
• Significant deficiencies• Material weakness• Remediation
6. Evaluate Operational Effectiveness
• Internal audit• Technical testing• Self assessment• Inquiry +• All locations and controls (annual)
4. Document Controls • Policy manuals• Procedures• Narratives• Flowcharts• Configurations• Assessment questionnaires
2. Perform Risk Assessment
• Probability & Impact to business
• Size / complexity
9. Build Sustainability
• Internal evaluation• External evaluation
Bu
sin
ess
Val
ue
IT 总体控制实施过程 >>> 第一阶段 制定计划、确定范围
主要任务 确定 GCC 的大体范围及对象,制定项目计划,组成项目组。
方法及步骤― 资料收集― 现场业务系统调研― 分析控制实体及控制系统― 撰写项目计划
输入― 《资料收集清单》― 《业务调查表(系列)》
输出― 《项目计划》― 《业务调查结果表(系列)》― 《项目范围(实体)及对象(系统)》― 《业务流程说明书》
IT 总体控制实施过程 >>> 第二阶段 GCC 现状调研与差距分析(或风险评估)
主要任务调查企业 GCC现状,参照 Cobit确定的控制目标,进行差距分析 。
方法及步骤― 资料收集与分析― 现场调研― 差距分析― 确定整改内容及计划
输入― 《 GCC调查表(系列)》
输出― 《调研文档清单》― 各调研文档― 《 GCC调查结果表(系列)》― 《 IT及 GCC现状报告》― 《 GCC差距分析报告》― 《 GCC整改计划》
IT 总体控制实施过程 >>> 第三阶段 GCC 体系设计
主要任务按照整改计划,进行 GCC 体系设计 。
方法及步骤― 设计控制体系
控制环境(实体层面) 风险评估(策略、流程、技术手段) 控制活动(策略、流程、技术手段) 信息与沟通(策略、流程、技术手段) 监控(策略、流程、技术手段)
― 控制体系讨论修改― 批准控制体系
输入― 《 GCC整改计划》
输出― 《 GCC文档(系列)》
IT 总体控制实施过程 >>> 第四阶段 培训与实施
主要任务对用户进行培训,实施已建立的 GCC 体系 。
方法及步骤― 体系培训― 体系实施― 实施总结
输入― 《 GCC文档(系列)》
输出― 《培训计划》― 《培训材料》― 《实施进度跟踪表》― 《实施问题汇总表》― 《实施报告》
IT 总体控制实施过程 >>> 第五阶段 控制测试
主要任务按照 IT审计标准及方法,测试 GCC 。
方法及步骤― 制定测试计划与方法― 测试培训― 实施测试― 测试总结
输入 输出
― 《测试计划》― 《测试方法及步骤(系列)》参见各种 AP― 《测试培训材料》― 《测试报告》测试结果总结― 《测试结果(系列)》单项测试结果― 《测试例外情况总结》
IT 总体控制实施过程 >>> 第六阶段 回顾调整
主要任务根据管理层测试及内控执行过程中遇到的问题,定期进行回顾,不断完善 GCC 。
