1、0,第七章 萨班斯法案 与企业内部控制体系,1,第一节 萨班斯法案第二节企业内部控制体系,2,第一节 萨班斯法案,1、出台背景 2、主要内容 3、欧洲各国的安然事件及 各国的反思和应对 4、萨班斯法案的争论 5、对我国的启示,3,导入案例: 安然 世通 回顾事件发生的经过 了解引致公司倒闭或严重损失的内控缺陷 从案例中吸取的教训,4,案例一:美国安然公司 (Enron),2002年,安然是美国最大的石油和天然气企业之一 2001年末,安然宣布第三季度录得6.4亿美元的亏损,美国证监会对该公司进行调查,发现该公司在1997以来虚报利润5.8亿美元 2001年末,安然申请破产保护令,但在之前10个
2、月内,公司却因股票价格超越预期目标而向董事及高级管理人员发放3.2亿美元的红利,5,调查发现: 安然的董事会及审计委员会均采取不干预(“hands-off”) 监控政策 事件发生之后,部分董事表示不太了解安然的财务状况、 期货及期权的业务 安然重视短期的业绩指标 安然管理高层常常藐视或推翻公司制定的内控制度,6,案例二:美国世通公司 (Worldcom),世通是美国第二大电信公司 2002年,世通被发现利用把营运性开支反映为资本性开支等弄虚作假的方法,多年来虚报利润735亿美元 世通于2002年末申请破产保护令,成为美国历史上最大的破产个案 世通的四名主管(包括公司的CEO和CFO) 承认串谋
3、讹诈,被联邦法院刑事起诉,7,调查发现: 世通的董事会持续赋予公司的CEO(Bernard Ebbers) 绝对的权力,让他一人独揽大权 美国证监会的调查报告指出:世通完全没有制衡机制 世通的董事会并没有负起监督管理层的责任 世通为公司的高级管理层提供丰厚(不合理)的薪酬和奖金,8,案例三:日本八百伴 (Yohan),在90年代,八百伴是日本最大的百货公司之一 1997年9月,八百伴宣布破产,向法院申请“公司更生法”保护,当时八百伴的负债额达1,613亿日元,是日本战后最大的一宗企业破产案,9,调查发现: 八百伴低估经营非核心业务的风险 八百伴低估扩张业务的风险 八百伴低估了开发新兴市场的风险
4、,10,在90年代,百富勤原是亚洲除日本外的最大投资银行 金融风暴冲击下,百富勤在短短一年内出现入不敷出,至1999年1月宣布破产,案例四:香港百富勤公司 (Peregrine),11,调查发现: 香港政府在调查百富勤的报告中表示,百富勤倒闭的原因主要是由于缺乏有效风险管理、内控体制和完善的财会报告系统 百富勤虽然设立了信贷委员会和风险管理部门,但却未能制衡业务部门强大的权力 百富勤忽略发展新兴市场的风险 百富勤低估了利率和汇率波动的风险,12,教训与启示 常言:智者从别人失败经验中吸取教训,聪明者从自己失败经验中吸取教训,愚者则永不懂从经验中学习。,13,我们可以从上述案例中吸取什么教训?
5、1. 熟悉企业本身的业务与相关风险 切记:避免制定不切实际的目标或盲目扩展投资,使企业承受无谓的风险 2.建立内控和相互制衡的机制 切记:权力过分集中就会出现腐败的情况,14,3.紧盯着现金 所有犯案、挪用公款和偷窃行为均与现金有关 常言:“会计数字只是参考意见,现金才真正令你感到踏实。”,15,4.合理制定绩效评估与激励机制 “如果你发现精明的员工做出蠢事,你应意识到这可能是因为他们受到公司的绩效与激励机制的诱导而产生的结果。”,16,5. 建立规范和健全的财务报告系统 财务报告系统必须有能力为企业提供及时、准确和具高分析性的财务资料,以帮助管理层管理业务和赢取股东的信心,17,6. 深化企
6、业风险管理文化 要建立健康的企业文化及价值观,企业必须: 由上而下,身体力行,建立严谨的“风 纪” ,使员工能上行下效 订立管理原则和行为规范 通过绩效管理方法,鼓励正确的行为和态度,18,加强培训和沟通 企业必须建立有效机制,使员工能从企业本身或其他企业所犯的错误(或接近犯错)的经验中,吸取教训,19,2、主要内容,详细见教材P253页美国索克斯法的主要规定及要求,20,第404节(a) 要求企业在提交年报时(20-F)一并提交内部控制及财务报告程序的有效性管理报告。 第404节(b) 要求审计师就管理层内控报告出具验证意见。,SOA404法案总体要求,21,SOA404生效日期: 美国本土
7、上市公司:于2004年11月15日或以后的财务年度; 非美国本土上市公司:于2006年7月15日或以后的财务年度(此日期已再次延后)。,SOA404法案总体要求,22,SOA 404 的要求,要求年度报告中要包括“内部控制报告”, 其具体内容为: 管理层责任的声明:管理层有责任建立和维护健全的内部控制制度以确保财务报表的合理和准确性; 管理层的评价的声明:关于在财政年度末有关财务报表的内部控制有效性的评价; 评价框架的说明:明确指出管理层适用于评价有关财务报表的内部控制有效性的框架; 关于外部审计师已出具关于管理层评价的鉴定报告的声明。,23,该准则不允许管理层在已发现内部控制制度有一处或多处
8、“重大缺陷”时,作出有关财务报表内部控制有效的认定。该准则同时要求管理层披露评价过程中发现的任何“重大缺陷”。 尽管准则中没有明确说明,但是通常认为,财政年度中已发现并已纠正的“重大缺陷”不影响管理当局在财政年度末作出有关财务报表的内部控制有效的评价。,24,准则对“有关财务报表的内部控制”的定义为:“公司主要的管理人员或者主要的财务管理人员设计内控政策和控制程序,并监督其执行,以便对财务报告是按照公认会计准则编制以及财务报表的可靠程度做出合理的保证。”,25,该控制政策和控制程序主要包括: 合理地保证会计记录合理、准确、详细并公允地反映公司的日常交易和资产处理; 合理地保证对所有交易都作了必
9、要适当的记录以便于按照公认会计准则编制财务报表,并且收入和支出活动均经管理当局和董事会的适当授权; 合理地保证防止或及时发现对财务报表有重大影响的未经授权的资产采购、使用或处置。,26,评价有关财务报表的内部控制: 准则强调指出管理层必须制定并保存有关内部控制的书面文件, 包括关于内部控制设计和测试程序的文件, 从而为管理当局评价有关财务报表的内部控制有效性提供合理的保证。这些书面文件是有效的内部控制的首要条件。 管理当局的评价必须基于评价内部控制设计的有效性和测试其执行的有效性的程序。询问本身并不能为内部控制的评价提供足够的基础。,27,有关评价的内部控制包括: 对形成、记录、处理和调节账户
10、余额、交易的分类和披露以及财务报表的相关认定的控制。 对形成和处理非常规交易和非系统化交易的控制; 对防止、确认和发现舞弊的控制。,28,3、欧洲各国的安然事件及各国的反思和应对,1、德国版“安然”Comroad2、法国版“安然”维旺帝3、意大利版“安然”帕玛拉特,29,萨班斯法案的争论,1、法案是否能从根本上改善财务信息失真状况 2、法案是否具有政治性 3、如何在使用法案时体现成本效益原则,30,评论与启示,SOX法案标志着美国证券法律根本思想的转变:从披露转向实质性管制。尽管该法案出台匆忙,但它仍然经历了将近20次的公开听证,同时,美国国会相关人员对该法案展开了较充分地争论,并尽可能地限制
11、该法案对经济运行的负面影响。比如,针对Gramm提出的小企业问题,法案保留了由PCAOB按个案审批豁免的权力(第201节)。,31,SOX法案及随后的相关事件带给我国很多启示,首先,法律重在执行。 第二,建立一种合理,稳定的预期。 第三,政府适度管制。,32,第二节企业内部控制体系,1、企业内部控制概念 2、萨班斯法案下的企业内部控制体系 3、COSO框架 4、企业内部控制体系的构建,33,企业内部控制五个阶段:,1、内部牵制阶段 2、内部控制制度阶段 3、内部控制结构阶段 4、内部控制整体框架阶段 5、风险管理框架阶段,34,COSO内控框架,Committee of Sponsoring
12、Organisation of The Treadway Commission (COSO)为内控开发了一个全面的框架 这个内控框架是唯一被美国证监会确认为完整、全面和不偏依的内控框架 构建内部控制须分两个层面: 公司层面 流程、交易及资讯科技应用层面,35,COSO内控框架,36,COSO内控框架,37,标题,内控环境,风险评估,控制活动,信息与沟通,监控,COSO 1,COSO 2,COSO 1COSO2(内部控制企业风险管理),38,组织项目小组进行评估,高层参与 各业务部门之参与 财务、内审、计算机管理部门之参与,39,公司层面的内控控制环境,企业道德规范与价值观 员工的行为操守与企业
13、文化 公司治理结构和政策 董事会及各委员会的构成 企业规章制度 董事会与管理层之间的关系、权力和职责,40,公司层面的内控风险评估,企业是否拥有既定的程序以确定、评估和度量影响企业达标的风险? 先进的内审部门? 风险管理部门? 全面风险评估? 企业有否详细记录评估风险的结果?有否进行详细的讨论和沟通?,41,公司层面的内控信息和沟通,企业的架构是否能够令各部门及业务单位明确各自的职责及促进沟通 企业是否拥有一个合适的电子平台 处理管理信息和数据 确保信息能够及时发放 确保各类信息和报告的准确性和可用性,42,规章制度 审批程序 资产实物的安全 特殊报告 表现指标 信息系统控制 职责划分,公司层
14、面的内控控制活动,43,公司层面的内控控制活动,规章制度 董事会及各委员会的章程 企业风险政策 员工招聘守则 企业采购政策 会计及财务管理守则,44,公司层面的内控控制活动,审批程序 一种预防性的控制措施 确保规章制度得以落实执行 知识与经验分享 责任的承担,45,公司层面的内控控制活动,资产实物的安全 档案/库存上锁 减少利用现金交易 办公室安全系统 / 警铃 资料数据库进入的限制 保安人员 员工身份证 机器上的标记 隐型录相机,46,公司层面的内控控制活动,特殊报告 逾期应收款报告 工作超时完成报告 原材料不合格报告 机器故障报告 产品不合格或退货报告 存货台帐红字报告,47,公司层面的内
15、控控制活动,表现指标 预算与实际比较 项目管理报告 财务指标报告 系统可用性报告 员工利用率报告,48,公司层面的内控控制活动,职责划分 一种员工之间相互制约的控制, 以减少出错或越权的情况 不能由同一人发起、批准和记录一宗交易 不能由同一人保管和记录资产 定期轮换职责,在日常运作中的主要控制点应有高管人员的参与或由独立的人员作出审查,49,公司层面的内控控制活动,50,监控是对一定时期内内部控制执行质量的评价程序,考虑相关内部控制是否能够满足最初设计的目标,并保证在不同情况下进行适当的修改。 考虑并记录是否定期对内部控制进行评价;管理层是否采纳内部和外部审计师关于内部控制的建议;是否存在内部
16、审计部门以协助管理层进行监控。,公司层面的内控监控,51,程序、交易及资讯科技应用层面,评估因素: 竞争力、完整性、员工的忠诚度及管理层的监管能力 管理层之间的摩擦 职责划分 控制的稳定性,关键账项,管理层对财务报表的认定,?,可能发生的错误,控制,关键流程,固有风险及主 要经营风险,财务报告,从财务角度,从程序角度,选出容易发生重大差错的关键 账 项*,存在 (资产负债表)与发生(利润表) 完整性(资产负债表/利润表 ) 估价(资产负债表)与计量 (利润表) 权利与义务 (资产负债表),类型: 交易流程 惯例 特殊 估计,对每一种认定应考虑: 在流程的哪一交易环节容易发生错误? 例如: 帐户
17、:现金或应付程序:支付认定:估价是否有人工或自动的程序确保支票或转账的数目与审批的付款数目一致?,检验: 对差错的监督 防止: 防止出现差错 由何人来执行? 是否有程序自动控制? 识别处理系统,评估/监督,*单项差错或几项差错如不被发现,可能对财务报表造成重大影响,或导致非法行为或利益冲突。即使造成非重大影响,也会对公司的信誉、与客户及投资者的关系,以及公众形象造成负面影响。,确认财务帐户及其相关系统,记录系统及控制,评估/监督,步骤,行为,主要关注点,52,评估整体控制的有效性,确定应改进的地方并建立监督系统,内控设计缺陷之弥补 业务流程之穿行测试 主要内控点之测试策略 主要内控点实际操作之
18、测试 内控实际操作缺陷之弥补及再测试 评估整体财务报告内控的有效性,管理层出具 内部控制 报告,评估整体控制的有效性,确定应改进的地方并建立监督系统,理解并分别评估程序、交易及应用层面的风险,评估公司层面的控制,组织项目小组进行评估,理解内部控制的概念,53,挑战成本和效益,管理层面对的挑战 为了进行评价和支持其声明,管理层必须了解、记录、评估、测试和监督公司内部控制的有效性; 管理层须要在公司层面以及每个重要程序层面(影响所有重要科目的程序)开展广泛的内控文档化及评估程序,并建立监督该些控制的程序。 目前大部分公司在这些方面并不具备详细程度足够的文档; 大量的初期和持续资源投入。,54,使管
19、理层能将注意力集中在影响财务报告的关键风险范畴; 确保存在于不同层面的所有关键风险范畴均得到处理; 向所有员工传达关键风险的概念,提高其控制意识; 提高公司的形象和加强投资者的信心。,挑战成本和效益,除了法规的遵循,公司应考虑从404项目的实施实现其他效益,其中可能包括:,55,原则: 1、相互牵制原则 授权批准职务与执行业务职务相分离; 执行业务职务与监督审核职务相分离; 执行业务职务与会计记录职务相分离; 财产保管职务与会计记录职务相分离; 执行业务职务与财产保管职务相分离 2、授权控制原则 授权批准的范围、授权层次、授权责任、授权批准程序 3、成本效益原则 4、整体结构原则,56,本章推荐阅读:P175 本章案例讨论:P169-175 小组讨论:中石油,
