1、中國石油化工股份薩班斯法案關于內部控制重點內容美國外鄉上市公司執行情況 2006年7月25日.主要內容：1.內部控制 - 國內外資本市場監管要求和股份公司管理要求 2.美國外鄉公司首年執行薩班斯法案404條款3. 薩班斯法案404條款及相關條例對管理層自我評價的要求4.管理層自我評價詳細問題討論5.中石化存在的潛在財務報告內部控制缺陷6.畢馬威對中石化自我評價所能提供的協助及建議.1.1 內部控制 - 國內外資本市場監管要求.1.2 內部控制 - 股份公司管理要求除了為滿足國內外資本市場監管要求外，股份公司建立內控制度是為了提高公司管理程度，詳細表現為：1.建立現代企業制度，完善法人治理構造，

2、實現運營機制的轉換，加強企業管理，提高企業運營業績，改善企業財務情況2.積極參與競爭、努力降低風險，以提高運營管理效率和效果3.建立一致規范的內部控制制度，使股份公司各項規章制度成為系統性、可操作性和包容性很強的內部管理制度，更為有效地表達股份公司管理理念.2.1 美國外鄉公司首年執行薩班斯法案 帶來的主要益處1.董事會、審計委員會和管理層對內部控制有更多參與2.建立起監控和評價控制機制3.針對年結制定的構造和流程4.實施反詐騙控制5.對經過信息技術控制風險有警惕性6.有更好的流程 / 控制文件用于培訓和管理教育7.完善的風險和控制定義8.管理層和擔任操作的人員更好地了解他們在控制方面的責任9

3、.更好的審計追蹤10.重新落實根本的控制措施，如分工、授權流程、會計賬目調理資料來源：內部審計師協會 2005 年 7 月調查 State of Regulatory Compliance Summit, Washington DC (監管合規頂峰會的州 華盛頓市).2.2 首年執行薩班斯法案 出現負面意見的主要緣由1.所得稅問題 (Income tax matters)2.收入確認 (Revenue recognition)3.財務人員配置/專業知識 (Financial staffing/expertise)4.租賃會計處置方法 (Lease accounting)5.公認會計原那么運用

4、(Application of GAAP)6.財務年度結算流程 (Financial Close process)7.監控 (Monitoring controls)8.職責分工 (Segregation of Duties)9.衍生工具 (Derivatives)10.子公司/偏遠地域 (Subsidiaries/Remote locations) 1. 畢馬威第 404 條機構調查 2005 年 5 月.3. 薩班斯法案404條款及相關條例對管理層自我評價的要求3.1管理層的責任3.2管理層自我評價流程3.3管理層自我評價應滿足的根本要求3.4管理層報告要求3.5 PCAOB有關內控的詳細

5、指引文件3.6 SEC及PCAOB就執行薩班斯404條款的最新動態注：PCAOB 是指美國上市公司會計監視委員會.3.1 管理層的責任承當公司財務報告內部控制有效性的責任；采用適當的控制規范(比如COSO規范)，評價公司財務報告內部控制的有效性能否存在實踐性破綻；以充分的證據(包括文檔文件，參看4.7)為評價結果提供有力支持；針對公司最近財年財務報告內部控制的有效性提交書面評價。 注：COSO 是指美國反虛偽財務報告委員會出版的.3.2 管理層自我評價流程404條款：管理層對與財務報告相關的內部控制的報告內部控制設計的有效性內部控制運轉的有效性控制點的設計和運轉情況？評價什么補充修正補充修正本

6、質性漏洞控制點的載體是什么？報告評價：-自我評價-獨立評價評價：-自我評價-獨立評價404條款：管理層對與財務報告相關的內部控制的報告內部控制設計的有效性內部控制運轉的有效性內部控制設計的有效性內部控制執行的有效性控制點的設計和執行情況內控手冊？評價什么？評價什么補充修正補充修正補充修正補充本質性漏洞控制點的載體是什么？控制點的載體是什么？報告報告評價：-自我評價-獨立評價評價：-自我評價-獨立評價評價：-自我評價-獨立評價評價：-自我評價-獨立評價.3.3 管理層自我評價應滿足的根本要求PCAOB規定審計師該當判別管理層的評價過程能否包含了以下內容：確認需要測試的控制措施，包括對所有重要會計

7、報表科目及信息披露的相關會計認定所采取的控制措施；評價由于控制措施失效而導致會計報表錯記的可能性、此類錯記的嚴重性，以及其他控制措施實現相同控制目標的程度；確認應納入評價范圍的具體公司經營場所或業務單元(針對擁有多個辦公地點或業務單元的公司)；對所有會計報表重要科目及信息披露的相關會計認定所實施的控制措施在設計及運行方面的有效性進行評價；確認在財務報告內部控制系統中所發現的不足是否會構成重大缺陷或實質性漏洞；就主要發現與有關方面進行溝通；及評價主要發現是否與評價結果相一致。自我評價確認評價對象評價控制失效風險確認評價范圍評價控制有效性評價缺陷嚴重性溝通構成結論.3.4 管理層報告要求管理層須陳

8、說為公司設立和維持足夠的財務報告內部控制系統的責任；管理層須陳說為評價公司財務報告內部控制系統的有效性而采用的評價架構;管理層在公司最近的財政年度做出的對公司與財務報告相關的內部控制有效性的評價, 包括一份公司與財務報告相關的內部控制能否有效的聲明。聲明必需披露管理層發現的任何一項公司與財務報告相關的內部控制的本質性破綻。在公司與財務報告相關的內部控制存在某一或更多本質性破綻時，管理層不得做出公司與財務報告相關的內部控制有效的聲明；.3.5 PCAOB有關內控的詳細指引文件04年6月17日PCAOB第2號審計準那么05年5月16日第2號審計準那么的實施聲明截至05年5月16日第1至55條PCA

9、OB職員對公眾提問的回復05年11月30日第2號審計準那么的首年實施報告06年5月1日PCAOB對內控審計于2006年的檢查聲明參考網站：/Standards/Standards_and_Related_Rules/index.aspx.3.6 SEC及PCAOB就執行薩班斯404條款的最新動態2006年5月10日，SEC和PCAOB召開了圓桌會議，就關于如何改良薩班斯404條款的實施進展了討論。5月17日，SEC發表了以下聲明：SEC將就管理層如何按照自上而下、風險導向的方法完成對財務報告內部控制的自我評價出臺詳細指南。SEC將思索能否為小型上市公司運用COSO框架出臺

10、另外的指南。SEC將與PCAOB嚴密協作，修訂PCAOB審計準那么第2號。中石化適用執行薩班斯404條款最后期限仍為2006年7月15日或以后終了的財政年度。.4. 管理層自我評價詳細問題討論4.1公司層面控制(Company Level Controls) 確實定4.2信息系統普通性控制(IT General Controls)確實定4.3重要會計科目/披露(Significant Accounts/Disclosures)確實定4.4重要/關鍵控制點(Key Control Points)確實定4.5檢查時間(Inspection Timing)確實定4.6測試樣本量(Testing Sa

11、mple Size)確實定4.7自我評價記錄(Documentation)的要求4.8 該當包括在評價過程中的運營場所和業務單位(Scope).4.1 公司層面控制(Company Level Controls)確實定公司層面的控制通常對控制活動在流程、買賣過程中有普遍深化的影響。PCAOB規定的公司層面的控制包含7個方面的內容，其中有4點與COSO框架相一致。COSO框架是識別和評價公司層面的控制重要的參照。.4.1 公司層面控制確實定續COSO框架概述(在內控檢查方法第八條和第十九條表達：控制環境：提供企業紀律與架構，塑造企業文化和正確的價值觀，并影響企業員工的控制認識和任務才干是一切其它

12、內部控制組成要素的根底。控制環境的要素詳細包括：耿直守德的價值取向、對員工勝任才干的關注、董事會或審計委員會、管理哲學和運營風格、公司組織構造、職權和職責的分配、人力資源政策及實務。 風險評價：風險評價就是分析和識別要挾所定目的實現的風險。經濟、法律及管理的環境等內外部要素不斷變化，企業自動地發現和處置由于情況變化所帶來的風險是很有必要的。 控制環境風險評價控制活動信息與溝通監控.4.1 公司層面控制確實定續控制活動：是確保管理層的指令得以執行的政策及程序，是管理層識別和評價風險后，對控制這些風險所實行的針對性措施。控制活動包括授權審批、核對、關鍵績效目的、資產平安控制及職責分別等各種類型，又

13、可以分為人工控制和信息系統控制兩大類。信息與溝通：內部控制的全過程都需求高質量的信息以及順暢的溝通。高質量信息具有內容相關、正確、提供及時以及便于獲取等特征。企業不僅該當努力于提升內部溝通的有效性，還應關注與企業外部的溝通問題。監控：是由適當的人員，在適當及時的根底下，評價控制的設計和運作情況的過程。這一活動由繼續監視、個別評價所組成，其可確保企業內部控制能繼續有效的運作。.4.1 公司層面控制確實定續PCAOB規定的公司層面的控制措施包括但不限于：控制環境與COSO一致內的控制措施，包括指點層的定調、權責分工、貫徹一致的政策和程序和全公司的措施，例如專業操守和防止詐騙這類適用于一切地域和業務

14、單位的措施管理層的風險評價程序與COSO一致集中的處置和控制措施與COSO一致 ，包括共用效力環境監察運營業績的控制措施，包括內部審計部門、審計委員會和自我評價方案的任務監察其他控制措施與COSO一致的控制措施期末財務報告程序經董事會審批處置艱苦業務控制和風險管理的政策.4.2 信息系統的普通性控制(IT General Controls)確實定信息系統的普通性控制包括以下四方面內容：程序和數據的進入程序的修正程序的開發計算機的操作.4.2 信息系統的普通性控制確實定續程序和數據的進入 (Access to programs and data)實施有效的平安性措施。對信息資源的接觸應做實物與虛

15、擬的限制，即防止未經授權的人接近信息資源；防止未經授權的人利用網絡技術侵入信息系統。職責分工，相關人員只能進入或修正職責范圍內的信息。程序的修正 (Program changes)程序的修正需經過授權，記錄及測試。系統及運用程序的配置應及時晉級。.4.2 信息系統的普通性控制確實定續程序的開發 (Program development)新系統及運用程序的開發及運用需求經過授權及測試。計算機的操作 (Computer operations)對系統信息應定期備份，并進展恢復性測試以保證備份信息的可用性。應設置相應的應急程序，以防系統出現缺點。對系統信息的錄入或操作應做到準確、完好和及時。.4.2

16、信息系統的普通性控制確實定續終端用戶計算 (End-user computing)指與財務報告數據生成有關、并對數據按公式進展加工處置的Excel、Access、VB等電子表格、小程序等，進展有關授權制度、公式訪問維護、測試、備份、文檔等管理.4.3 重要會計科目/披露Significant Accounts/Disclosures)確實定定義：假設某科目或披露事項中出現能夠對財務報表產生艱苦影響(因少報或多報)的單個錯報(或多個錯報的共同作用)的能夠性并非微小，那么這一科目或披露事項就是重要的會計科目或披露事項。確定重要科目時該當思索：定性與定量的思索見下頁合并報表層面的重要性程度普通為稅前

17、利潤3-5%除個別會計科目如所得稅外，內控手冊根本涵蓋了一切重要會計科目/披露；內控測試需求補充有關內容內控辦需求整理重要會計科目/披露與內控手冊的對應關系.4.4 重要/關鍵控制點(Key Control Points)確實定對于重要/關鍵控制點確實定，PCAOB要求至少該當包括以下方面的控制：與重要科目/披露及財務報告所包含相關認定的啟動、審批、記錄、處置或匯報有關的控制留意為從“啟動到“會計記錄全過程均屬于與財務報告相關的重要/關鍵控制點范圍；選擇和運用符合公認會計準那么要求的會計政策的控制；反舞弊程序和控制；各種控制，包括其他重要控制所依賴的信息技術的普通性控制；對非經常性和非程序化的

18、買賣的控制例如需求判別和估計的科目；及公司層面的內部控制.4.5 檢查時間Inspection Time確實定管理層在確定測試時間時的思索：管理層對內控發表意見的基準日2006年12月31日； 流程的活動發生的時間； 例如：銷售活動每天發生；年報及中報財務數據的上報流程就只在年中及年末發生因此不能太早開展，另外年底過后需求對年末才發生的關鍵控制點/需求整改的控制點進展補充檢查。流程的活動發生的頻密程度； 例如：銀行付款每天發生；編制銀行調理表那么每月/季發生因此不能太晚開展，否那么對需求整改的控制點在年底前沒有足夠的樣本量3個月供補充檢查 。.4.6 測試樣本量(Testing Sample

19、Size)確實定畢馬威進展財務報告內部控制有效性測試時，按照不少于以下規范確定樣本量：管理層實施財務報告內部控制有效性測試時，可參照以上規范，但不應少于以上規范。對重要會計科目如銷售、采購、費用、資本支出、資金等流程應添加樣本量。.4.7 自我評價記錄Documentation的要求管理層評價必需保管一切評價任務的底稿，其中應包括：評價方案文件包括范圍制定設計有效性測試底稿包括穿行測試的記錄建議一個流程至少應復印、存檔一份樣本資料執行有效性測試底稿：包括測試地點，測試時間，測試人，復核人，測試流程，控制點，測試方法，測試結果，測試結論及改善建議等。其中測試結果應包括：所選樣本，控制的設計/執行

20、情況；匯總、分析各企業的內控缺陷并構成書面評價報告，及與外部審計師及審計委員會等溝通的文件記錄注：根據上交所要求，檢查監視部門的任務資料，包括內部控制檢查監視任務報告、任務底稿及相關資料，保管時間不少于十年。.4.8 該當包括在評價過程中的運營場所和業務單位管理層的自我評價范圍該當包括“大部分的運營場所和業務單位，其范圍應不少于審計師的內控審計范圍。普通而言，“大部分的運營場所和業務單位須至少代表該企業70%的總收入或總資產；據調查，美國外鄉上市公司的內控評價范圍占總收入或總資產90%以上。其中，管理層必需對以下的運營場所和業務單位進展自我評價：財務艱苦單位占企業百分之五以上的總收入或總資產，

21、例如：勝利油田、大型上市子公司、廣東石油公司)應覆蓋“大部分二級單位存在特殊風險單位例如：國際事業/結合石化的石油期貨風險.5.1 中石化存在的潛在財務報告內控缺陷基于畢馬威對中石化的審計閱歷，結合美國上市公司已披露的內控缺陷，我們在此舉例闡明了中石化潛在的公司層面及信息系統層面的潛在財務內控缺陷，以提請管理層關注。對于詳細業務流程層面的潛在內控缺陷，可參考畢馬威過去數年給管理層的管理建議書，畢馬威將在測試完成后與管理層做進一步溝通。.5.2 畢馬威2005年給管理層的管理建議書關于中石化信息系統的幾點問題與建議加強對ERP硬件的管理規范暫估在建工程的會計處置建立備品備件系統注重應收款項的帳齡

22、分析規范其他應收款中長期投資款的核算規范應付工資的會計處置清點時分開擺放已否驗收的存貨并編制詳細的存貨清點差別分析表.5.2 畢馬威2005年給管理層的管理建議書(續加強對已完工在建工程工程轉入固定資產科目的管理注重往來單位根底信息的管理及時更新關聯方根底信息及其買賣清單及時準確地進展遞延稅款的會計核算和所得稅的納稅調整加強財務部門與業務部門的溝通規范費用核算規范轉供電損失的會計核算完善產量統計體系規范季節性停工損失的會計處置.5.2 畢馬威2005年給管理層的管理建議書(續根據原油采購價錢的變動定期修正煉油企業的規范本錢指引對不同原油種類本錢結轉的建議規范固定資產運用年限變卦后的會計處置方法

23、規范損益表科目的帳務處置加強對待儲存貨的管理以防止“紅字庫存的發生正確核算長等待攤費用攤銷要求銷售企業嚴厲執行以“加權平均法作為存貨計價方法改善暫時用工管理制度和勞務費結算制度.5.3 美國上市公司已披露的內控缺陷舉例.5.4 控制缺陷 定義控制缺陷(Control Deficiency)能夠是由于以下方面出現破綻所致： 設計(Design)；或 執行(Operation)。 .5.4 控制缺陷 定義續顯著缺陷(Significant Deficiency)是指一個或一組控制缺陷，這個或這組缺陷會對公司按照公認會計原那么可靠地啟動、審批、記錄、處置或匯報外部財務數據的才干構成負面的影響，從而導

24、致年度或中期財務報告中的并非無關緊要的錯漏(Misstatement that is more than inconsequential) 普通達稅前利潤1%或總收入與總資產孰高0.1%無法被預防或偵測出來的能夠性并非非常微小本質性破綻(Material Weakness)是指一個或一組嚴重缺陷，這個或這組缺陷會導致年度或中期財務報告中的艱苦錯漏(Material Misstatement)普通達稅前利潤5%或總收入與總資產孰高0.5%無法被預防或偵測出來的能夠性并非非常微小嚴重顯著缺陷 = 本質性破綻存在本質性破綻時，管理層不得作出內部控制有效的聲明.5.5 控制缺陷 評價控制缺陷的框架需求

25、思索的要素 有沒有存在：互為補足的控制措施 (Complementary Controls) 一組控制措施一同發揚作用以到達一樣的目的多余的控制措施 (Redundant Controls) 達致一樣目的的控制措施補充的控制措施 (Compensating Controls) 精細準確地運轉的控制措施，可以防止或發現嚴重的錯報情況即使存在其他控制措施也不能把缺陷消除，但可減低其嚴重性假設上述任何控制措施有助減低所發現缺陷的嚴重性，那么，該控制措施就必需加以驗證，并進展測試 .5.5 控制缺陷 評價控制缺陷的框架續以下領域出現的缺陷至少是財務報告內部控制中的顯著缺陷 對于能否根據普通公認會計原那

26、么對會計政策進展選擇和運用的控制點； 反舞弊程序和控制； 對于非常規和非系統買賣的控制；和 對于期末財務報告過程的控制，包括對將買賣總數過入總帳；初始、授權、記錄和處置總帳中的日記帳分錄；和記錄財務報表中反復發生和非反復發生的調整的控制。 .5.5 控制缺陷 評價控制缺陷的框架續以下情況的發生顯示企業內至少出現了顯著缺陷，甚至是本質性破綻的明顯征兆：財務報表由于以前年度的錯誤需求重新列報；由審計師而非管理層首先發現的財務報表錯報；無效的審計委員會審閱及監控；以前期間曾經向管理層及審計委員會溝經過，但是在合理時間內依然沒有修正的顯著缺陷；管理層的欺詐及舞弊行為；無效的控制環境。.5.6 控制缺陷

27、 評價測試的例外情況第 1 步：審查及了解例外情況的成因和結果。測試能否到達目的 (例如：實踐的偏向率是不是低于或相等于方案的偏向率) ？ 第 2 步：思索管理層及審計師的測試結果和從方格 1 所獲得的資料。額外的測試如加10個樣本或50%能否證明偏向率或留意到的例外情況并不代表整體情況？第 3 步：擴展測試范圍，并重新進展評價。測試能否到達目的？ 內部控制缺陷 (Internal Control Deficiency)是可以是不可以不是不是這種例外情況并不重要，不是控制缺陷.5.7 控制缺陷 評價控制缺陷方格 1 潛在的嚴重性能否對財務報表而言并不重要？是不是不會方格 2 有沒有經測試及評價

28、的互補或多余控制措施可以到達一樣的控制目的呢？方格 3 有沒有經測試及評價的補充控制措施可以把財務報表內錯報的嚴重性減至不重要的程度？方格 7 就財務報表而言，謹慎的任務人員會否以為這至少是一個顯著缺陷(Significant Deficiency)？有有缺陷(Deficiency)會見方格 4 (下頁)第 1 步：確定能否存在顯著缺陷(Significant Deficiency)沒有沒有.5.7 控制缺陷 評價控制缺陷續方格 4 潛在的嚴重性能否對財務報表而言低于艱苦程度？不會方格 5 有沒有經測試及評價的補充控制措施可以把財務報表內錯報的嚴重性減至低于艱苦程度？方格 6 額外的評價任務能否確定財務報表出現艱苦錯報的能夠性不大？方格 7 就財務報表而言，謹慎的任務人員會否以為這是一