甫瀚咨詢：無(wú)錫尚德太陽(yáng)能電力有限公司薩班斯-奧克斯利法案404條款合規(guī)性項(xiàng)目培訓(xùn)(一)

1、甫瀚咨詢：無(wú)錫尚德太陽(yáng)能電力有限公司薩班斯-奧克斯利法案404條款合規(guī)性項(xiàng)目培訓(xùn)(一)無(wú)錫尚德太陽(yáng)能電力有限公司薩班斯-奧克斯利法案404條款合規(guī)性項(xiàng)目培訓(xùn)(一)2005年12月21日議程簡(jiǎn)要介紹甫瀚簡(jiǎn)介本次培訓(xùn)的目標(biāo)薩班斯法案介紹薩班斯法案實(shí)施概況法案302 & 404章節(jié)介紹薩班斯-奧克斯利法案對(duì)內(nèi)控評(píng)價(jià)coso框架404條款的符合性戰(zhàn)略外部審計(jì)的要求法案規(guī)范對(duì)象和時(shí)間要求薩班斯法案對(duì)尚德電力的影響最終成果未合規(guī)可能產(chǎn)生的影響嚴(yán)酷的現(xiàn)實(shí) 合規(guī)性流程簡(jiǎn)介面臨的挑戰(zhàn)項(xiàng)目工作方法概述項(xiàng)目實(shí)施方法項(xiàng)目小組各部門(mén)的配合時(shí)間安排工作任務(wù)it 控制與測(cè)試問(wèn)題與解答 簡(jiǎn) 要 介 紹甫瀚簡(jiǎn)介 認(rèn)識(shí)我

2、們甫瀚是一家獨(dú)立的商業(yè)和技術(shù)風(fēng)險(xiǎn)咨詢服務(wù)公司，擅長(zhǎng)于識(shí)別商業(yè)風(fēng)險(xiǎn)，并與客戶合作共同設(shè)計(jì)和實(shí)施相關(guān)流程和技術(shù)解決方案以降低商業(yè)風(fēng)險(xiǎn)。 我們主要提供圍繞商業(yè)和經(jīng)營(yíng)風(fēng)險(xiǎn)，技術(shù)風(fēng)險(xiǎn)以及內(nèi)部審計(jì)的專業(yè)服務(wù)。我們的歷史我們的風(fēng)險(xiǎn)咨詢服務(wù)可以追溯到1989年，當(dāng)時(shí)我們團(tuán)隊(duì)的很多成員均來(lái)自原安達(dá)信公司的風(fēng)險(xiǎn)咨詢服務(wù)部門(mén)。從安達(dá)信，我們帶來(lái)了我們?cè)诠ぷ髂Ｐ?、方法論和專業(yè)人員方面的長(zhǎng)達(dá)13年的研究成果。而我們的客戶也成為了我們不斷積累的豐富經(jīng)驗(yàn)的受益者。我們的現(xiàn)狀2003年5月，我們成為robert half國(guó)際集團(tuán)(“rhi”)的全資子公司。 rhi成立于1948年，是一家世界領(lǐng)先的專業(yè)化的人力資源咨詢服務(wù)公司

3、。同時(shí)，rhi還是美國(guó)股市標(biāo)準(zhǔn)普爾500指數(shù)的成員之一，并被授予“美國(guó)最受尊敬的公司”之一，被財(cái)富雜志連續(xù)四年評(píng)為人力資源咨詢行業(yè)的翹楚。目前，我們擁有遍布于全世界45個(gè)分支機(jī)構(gòu)的超過(guò)1500多位專業(yè)咨詢顧問(wèn)，而且通過(guò)我們的關(guān)聯(lián)機(jī)構(gòu)擁有超過(guò)80萬(wàn)名的可執(zhí)業(yè)顧問(wèn)。自從我們公司成立以來(lái)，甫瀚已經(jīng)被成百上千的新老客戶視為首選的風(fēng)險(xiǎn)咨詢服務(wù)提供者。現(xiàn)在，我們擁有超過(guò)300家需執(zhí)行薩班斯-奧克斯利法案的客戶，其中包括財(cái)富500強(qiáng)中30%以上的企業(yè)。甫瀚簡(jiǎn)介 - 我們提供的服務(wù)甫瀚提供全面的商業(yè)風(fēng)險(xiǎn)管理服務(wù)，專業(yè)化服務(wù)領(lǐng)域涵蓋：薩班斯-奧克斯利法案信用風(fēng)險(xiǎn)管理財(cái)務(wù)工具資金風(fēng)險(xiǎn)管理利潤(rùn)最優(yōu)化合同管理舞弊調(diào)查

4、環(huán)境論證 / 鑒證合規(guī)性咨詢資本性項(xiàng)目和建設(shè) 供應(yīng)鏈管理/風(fēng)險(xiǎn)咨詢風(fēng)險(xiǎn)衡量和評(píng)估甫瀚 提供全面的內(nèi)部控制職能持續(xù)化改革管理服務(wù)，具體服 務(wù)領(lǐng)域涵蓋： 人員外包內(nèi)部人員合作質(zhì)量鑒證審閱內(nèi)部審計(jì)改造甫瀚提供全面的技術(shù)風(fēng)險(xiǎn)管理服務(wù)，專業(yè)化服務(wù)領(lǐng)域涵蓋：安全和隱私方案信息技術(shù)風(fēng)險(xiǎn)管理erp 最優(yōu)化控制項(xiàng)目績(jī)效評(píng)估項(xiàng)目持續(xù)可行性信息系統(tǒng)測(cè)試項(xiàng)目運(yùn)作可行性變革管理方案信息技術(shù)最優(yōu)化 應(yīng)用數(shù)據(jù)存儲(chǔ)管理項(xiàng)目整合管理內(nèi)部審計(jì)商業(yè)風(fēng)險(xiǎn)技術(shù)風(fēng)險(xiǎn)甫瀚簡(jiǎn)介- 大中國(guó)地區(qū)客戶舉例ac nielsen（ac尼爾森）aceto（阿塞托）advanced energy industries（優(yōu)儀半導(dǎo)體設(shè)備）advantest

5、（愛(ài)德萬(wàn)）american express（美國(guó)運(yùn)通）american standard（美標(biāo)）amkor technology（三吉電子）antalis（近利亞洲）asiainfo（亞信）asia pacific wire and cable（太平洋電纜）baidu3 (百度)brady corporation（貝迪）brunswick（布郎斯威克）canon (佳能)covanta energy（covanta能源)city telecom (hk)（香港城市電信）cbr brewery（藍(lán)帶啤酒）delta faucet（得而達(dá)）enersys（艾諾斯）flextronicsfocus

6、media (分眾傳媒)gardner denvergeneral motors（通用汽車）goldman sachs（高盛）idt corporation（艾迪悌新）i2 technologies（i2技術(shù)）investec bankjds uniphasejing mei (hk)（京美）lafarge（拉法基）leapfrog（博客來(lái))lucent technology (朗訊)lj international (hk)（lj國(guó)際）lvmh (france)（商酩悅軒尼詩(shī)）mitsui group（三井住友）msc software（msc軟件）orix（歐力士）paxar (百盛)pc

7、cw (hk)（電訊盈科）qiao xing international （喬興）ricoh（麗確）salton（沙頓海)sherwin williamssina（新浪）sohu（搜狐）tdk（東電化）tienshi（天獅）thomson（湯姆遜）trane（詮宏）tyco electronics（泰科電子）valmont（維蒙特工業(yè)）verifone（威力風(fēng)）vishay（德律風(fēng)根）wabco（威伯科）webex（網(wǎng)訊）whirlpool（惠爾普）yahoo（雅虎）huawei (華為）china unicom(中國(guó)聯(lián)通）本次培訓(xùn)目標(biāo)培訓(xùn)結(jié)束時(shí)您能夠：大致了解薩班斯法案404條款的概況 了解

8、該法案對(duì)尚德電力的影響理解尚德電力為達(dá)到符合薩班斯法案的要求所采取的方法理解404項(xiàng)目目前的狀況以及如何對(duì)您產(chǎn)生影響薩班斯法案介紹薩班斯-奧克斯利法案實(shí)施概況美國(guó)的公司管理政策目前正在經(jīng)歷一場(chǎng)較大的變革。這一變革產(chǎn)生的部分原因是，經(jīng)媒體廣泛宣揚(yáng)的大型公司的欺詐行為已經(jīng)嚴(yán)重?fù)p害了投資者的信任，削弱了其進(jìn)入資本市場(chǎng)的動(dòng)力。許多專家都認(rèn)為這場(chǎng)變革將對(duì)未來(lái)公司的管理運(yùn)作，會(huì)計(jì)工作，財(cái)務(wù)報(bào)告，以及審計(jì)工作的實(shí)踐帶來(lái)重大影響。 近期來(lái)，關(guān)于公司管理改革的多種舉措陸續(xù)面世。其中，需要特別提到的就是美國(guó)總統(tǒng)布什在2002年6月30日簽署出臺(tái)的薩班斯-奧克斯利（簡(jiǎn)稱 “soa”）法案?？偟膩?lái)說(shuō)，該法案旨在強(qiáng)化公

9、司的責(zé)任，增加報(bào)表披露的要求，提升財(cái)務(wù)報(bào)表與審計(jì)報(bào)告的質(zhì)量和透明度，并加重對(duì)違反證券法和其它相關(guān)法律法規(guī)的行為的懲罰措施。 soa 法案對(duì)公司財(cái)務(wù)報(bào)告所需披露內(nèi)容的廣度及其可靠程度都提出了比以前更為嚴(yán)格的要求，并明令禁止了上市公司的某些特定行為，擴(kuò)展了公司內(nèi)部審計(jì)委員會(huì)的職責(zé)和權(quán)力范圍。這一法案為監(jiān)督上市公司會(huì)計(jì)實(shí)踐確立了新的實(shí)體監(jiān)督機(jī)構(gòu)上市公司會(huì)計(jì)工作監(jiān)察委員會(huì)。這一機(jī)構(gòu)擁有5位成員，他們將高屋建瓴地監(jiān)控會(huì)計(jì)師事務(wù)所對(duì)上市公司業(yè)務(wù)的執(zhí)業(yè)情況和具體工作，如：工作底稿的保管，復(fù)核，審計(jì)報(bào)告的簽署，對(duì)企業(yè)內(nèi)控系統(tǒng)的測(cè)試及報(bào)告等。薩班斯-奧克斯利法案實(shí)施概況(續(xù))這一法案還具有以下作用：加重了對(duì)公司

10、舞弊行為的懲罰并增強(qiáng)了對(duì)舞弊行為揭秘者的保護(hù); 要求公司的首席執(zhí)行官與財(cái)務(wù)總監(jiān)對(duì)應(yīng)sec要求所做出的所有定期公司資料披露，包括財(cái)務(wù)資料的可靠性發(fā)表聲明; 要求上市公司隨首席執(zhí)行官與財(cái)務(wù)總監(jiān)的財(cái)務(wù)報(bào)告可靠性聲明提供公司內(nèi)部控制制度的評(píng)估報(bào)告（無(wú)論年報(bào)或者中報(bào)均有此要求）。這一系列新要求的結(jié)果就是： 上市公司首席執(zhí)行官與財(cái)務(wù)總監(jiān)的工作質(zhì)量被期望比以往任何時(shí)期都更為嚴(yán)格。即便是誠(chéng)信度最高，最為審慎的管理者也不得不采取額外的措施將其各種為實(shí)現(xiàn)規(guī)范操作所做的內(nèi)控方面的努力都付諸于文字，以保證相關(guān)各方面的工作都已得到充分支持。以保證做到有據(jù)可依，形成重視職業(yè)道德的企業(yè)文化。 特別是，soa 法案強(qiáng)調(diào)嚴(yán)厲禁

11、止外部審計(jì)工作人員為上市公司提供非審計(jì)服務(wù)，如：代理記賬，財(cái)務(wù)系統(tǒng)設(shè)計(jì)，資產(chǎn)評(píng)估，內(nèi)部審計(jì)人員外包，人事管理及其它任何管理職能的參與，投資咨詢經(jīng)紀(jì)，法律服務(wù)等等。 法案302 & 404章節(jié)介紹301條款：上市公司應(yīng)建立一套程序使得員工能夠在充分保密的條件下實(shí)現(xiàn)對(duì)可疑的會(huì)計(jì)或?qū)徲?jì)事項(xiàng)的匿名報(bào)告。注意:此條款已生效。302條款：管理層應(yīng)每季度對(duì)其信息披露控制 / 流程的設(shè)計(jì)與執(zhí)行有效性進(jìn)行評(píng)價(jià) (信息披露控制包括內(nèi)部控制)。注意:此條款已生效。404條款：管理曾應(yīng)與年度財(cái)務(wù)報(bào)表同時(shí)遞交內(nèi)部控制報(bào)告。該報(bào)告應(yīng)聲明： 管理層有責(zé)任建立并維護(hù)針對(duì)財(cái)務(wù)報(bào)告工作的充分的內(nèi)部控制與流程； 管理層在年

12、末對(duì)其內(nèi)部控制有效與否的結(jié)論； 公司的外部審計(jì)師已經(jīng)驗(yàn)明并就管理層對(duì)公司財(cái)務(wù)報(bào)告方面內(nèi)部控制有效性的評(píng)估結(jié)果發(fā)表意見(jiàn)。注意:對(duì)于美國(guó)本土上市公司，此條款于2004年11月15日以后的報(bào)表截至日生效；對(duì)于美國(guó)本土以外的上市公司，此條款于2006年7月15日以后的報(bào)表截至日生效。906條款：強(qiáng)調(diào)了如果公司的定期財(cái)務(wù)報(bào)告所含信息在所有重大方面不能公允地反映公司的財(cái)務(wù)狀況和運(yùn)營(yíng)成果則公司將面臨違規(guī)罰款。 注意： 此條款已生效薩班斯法案要求 302條款302條款以要求提供保證的高管做到以下各項(xiàng)為基礎(chǔ):申明該高管已經(jīng)審閱了該報(bào)告;申明基于他們的了解，信息已經(jīng)被公允地報(bào)告且不包括誤導(dǎo)信息或重大遺漏;申明該高

13、管建立、維護(hù)以及評(píng)價(jià)信息披露控制和程序的責(zé)任; 發(fā)現(xiàn)任何重大內(nèi)控缺陷和重要內(nèi)控弱點(diǎn)或員工舞弊案例均向?qū)徲?jì)師和審計(jì)委員會(huì)披露; 以及披露內(nèi)控的重大變更.薩班斯法案要求 404條款404條款要求管理層提出年度內(nèi)控報(bào)告管理層被要求隨年報(bào)提出一份內(nèi)控報(bào)告, 申明 管理層建立和維持基于財(cái)務(wù)報(bào)告的內(nèi)部控制和流程的責(zé)任管理層年末對(duì)內(nèi)控有效性的結(jié)論公司外部審計(jì)師已經(jīng)就管理曾對(duì)基于財(cái)務(wù)報(bào)告內(nèi)控的評(píng)價(jià)進(jìn)行了測(cè)試和報(bào)告管理層必須每季度（如果是外國(guó)公司，則每年度）評(píng)價(jià)基于財(cái)務(wù)報(bào)告的內(nèi)部控制（以及其信息披露控制和流程）設(shè)計(jì)和實(shí)施的有效性注: 最終的sec法規(guī)規(guī)定這些404條款的相關(guān)要求于2004年11月15日后的財(cái)政年

14、度生效.薩班斯-奧克斯利法案對(duì)內(nèi)控的評(píng)價(jià)在soa 法案問(wèn)世之前，內(nèi)部控制制度的設(shè)計(jì)及對(duì)其有效性的監(jiān)控只是管理層人員的職責(zé)。而現(xiàn)在，根據(jù)該法案的要求，這一職責(zé)變成了上市公司所有員工的共同責(zé)任。 為使管理層達(dá)到法案的要求而收集公司的各種有關(guān)內(nèi)部控制的信息/資料便成為一項(xiàng)重要的任務(wù)。這一搜集整理和歸檔工作必須服務(wù)于兩大目標(biāo)：首先，它必須支持管理人員關(guān)于公司內(nèi)控的設(shè)計(jì)及有效性的判斷。其次，這一工作成果必須能夠方便外部審計(jì)人員對(duì)企業(yè)的內(nèi)控制度進(jìn)行審核與測(cè)試，從而驗(yàn)證管理層的判斷。soa 法案的302條款要求公司的首席執(zhí)行官與財(cái)務(wù)總監(jiān)以季報(bào)為基礎(chǔ)，就公司財(cái)務(wù)報(bào)告流程的可靠性簽署一份保證性聲明。如果發(fā)現(xiàn)這部

15、分內(nèi)控存在重大缺陷，或者發(fā)生了重大變化，抑或管理層存在舞弊行為，公司的首席執(zhí)行官與財(cái)務(wù)總監(jiān)必須再將這些信息披露給外部審計(jì)人員及審計(jì)委員會(huì)。 soa法案的404條款要求公司管理層應(yīng)隨同公司年報(bào)就公司財(cái)務(wù)報(bào)告流程的內(nèi)部控制制度的認(rèn)定提供一份報(bào)告。公司的外部審計(jì)者必須對(duì)管理層的認(rèn)定發(fā)表審核意見(jiàn)，并在審計(jì)報(bào)告中予以說(shuō)明。薩班斯-奧克斯利法案對(duì)內(nèi)控的評(píng)價(jià) （續(xù)）為了符合 soa 法案的要求，特別是404條款的要求，公司的管理層需要輔以專門(mén)的項(xiàng)目小組為公司的內(nèi)控設(shè)定標(biāo)準(zhǔn)，將內(nèi)控程序形諸文字與圖形， 設(shè)計(jì)并評(píng)估內(nèi)控制度，對(duì)內(nèi)控制度進(jìn)行測(cè)試并建立持續(xù)的評(píng)估辦法。無(wú)論這些關(guān)鍵點(diǎn)是什么，管理層都必須能找出它們和與

16、它們對(duì)應(yīng)的流程責(zé)任人。這樣一來(lái)，相關(guān)的流程責(zé)任人就可以在日常工作中對(duì)這些特定內(nèi)控程序的有效性進(jìn)行經(jīng)常性的評(píng)估，為管理層在內(nèi)控報(bào)告中的認(rèn)定提供可靠的事實(shí)根據(jù)。302條款已經(jīng)生效。404條款的生效則被推遲，為的是給上市公司及其審計(jì)人員充分的準(zhǔn)備時(shí)間。在404條款生效以前，各上市公司面臨的工作將是把公司的內(nèi)控流程書(shū)面化，確認(rèn)存在財(cái)務(wù)數(shù)據(jù)錯(cuò)報(bào)漏報(bào)可能的內(nèi)控缺陷環(huán)節(jié)，評(píng)估內(nèi)控程序，測(cè)試內(nèi)控有效性，尋找差距并采取措施縮短差距。面臨這一工作任務(wù)，許多公司采取了組織一個(gè)最佳實(shí)踐揭示委員會(huì)的辦法。該委員會(huì)的人員組成與內(nèi)控報(bào)告所涉及的業(yè)務(wù)模塊相對(duì)應(yīng)，為各主要業(yè)務(wù)流程的負(fù)責(zé)人，如負(fù)責(zé)生產(chǎn)的副總經(jīng)理等。還包括公司的首

17、席執(zhí)行官，財(cái)務(wù)總監(jiān)，高級(jí)顧問(wèn)。部分公司的委員會(huì)還包括公司的內(nèi)審主管人員。內(nèi)審人員負(fù)責(zé)把公司各個(gè)流程的內(nèi)控流程文件匯總的工作。也有公司聘用外部的內(nèi)審人員來(lái)幫助完成這一工作。coso 框架“in our opinion, managements assertion that suntech maintained effective internal control over financial reporting as of december 31, 2006, is fairly stated, in all material respects, based on criteria establ

18、ished in internal control integrated framework issued by the committee of sponsoring organizations of the treadway commission (coso).”coso框架從三維角度提供了評(píng)價(jià)內(nèi)部控制的標(biāo)準(zhǔn)要求在公司層面和流程層面的關(guān)注包括三個(gè)目標(biāo): -經(jīng)營(yíng)的有效性和效率 - (包括資產(chǎn)的安全性)-財(cái)務(wù)報(bào)告的可靠性-符合適用的法律法規(guī)包括五個(gè)組成部分: -控制環(huán)境 -風(fēng)險(xiǎn)評(píng)估 -控制活動(dòng) -信息與溝通 -監(jiān)督404條款的符合性戰(zhàn)略內(nèi)控報(bào)告的內(nèi)容管理層在建立和維護(hù)與財(cái)務(wù)報(bào)表相關(guān)內(nèi)控方面的責(zé)

19、任管理層用來(lái)評(píng)價(jià)內(nèi)控的標(biāo)準(zhǔn)管理層在年末對(duì)內(nèi)控有效性作出結(jié)論審計(jì)師出具報(bào)告評(píng)價(jià)管理層的結(jié)論sec 對(duì)管理層內(nèi)控聲明的限制如果內(nèi)控存在重大性弱點(diǎn)，管理層不允許作出公司財(cái)務(wù)內(nèi)控是有效的結(jié)論。實(shí)際上，管理層聲明財(cái)務(wù)內(nèi)控有效也就是聲明公司內(nèi)控沒(méi)有重大性弱點(diǎn)。404條款的符合性戰(zhàn)略（續(xù)）sec對(duì)內(nèi)部控制的相關(guān)理解與coso 內(nèi)部控制相符 完整的框架將薩班斯-奧克斯利詮釋為公司管理層最終對(duì)內(nèi)控負(fù)責(zé)提到在安全法中提及的對(duì)資產(chǎn)的維護(hù)和內(nèi)部財(cái)務(wù)控制未將公司經(jīng)營(yíng)和公司的合規(guī)性包含在現(xiàn)行法律規(guī)章中。但是，公司必須符合與編制會(huì)計(jì)報(bào)表相關(guān)的法律和規(guī)章與報(bào)表相關(guān)的內(nèi)部控制和內(nèi)控及流程披露的關(guān)系302條款提到披露控制和程序；

20、404條款重點(diǎn)論述與財(cái)務(wù)報(bào)表相關(guān)的內(nèi)部控制。這兩種類型的控制和程序有重疊之處。因此404條款的符合性和302條款的證明有關(guān)。公司須盡力符合404條款，使管理層能簽署302條款聲明，證明其公司內(nèi)控完善。如果要披露一系列的內(nèi)控，那么與財(cái)務(wù)報(bào)表相關(guān)的內(nèi)控需一季度評(píng)價(jià)一次。在薩班斯-奧科斯利法案的要求下，外部審計(jì)師必須對(duì)其客戶在財(cái)務(wù)報(bào)告方面的內(nèi)部控制發(fā)表意見(jiàn)。pcaob 發(fā)布了第二號(hào)審計(jì)準(zhǔn)則：“在對(duì)財(cái)務(wù)報(bào)表進(jìn)行審計(jì)的同時(shí)，應(yīng)對(duì)財(cái)務(wù)報(bào)告方面的內(nèi)部控制進(jìn)行相應(yīng)的審計(jì)?！钡诙?hào)審計(jì)準(zhǔn)則的部分重點(diǎn)內(nèi)容重要性水平是一種標(biāo)準(zhǔn)業(yè)務(wù)單位流程/帳戶對(duì)內(nèi)控記錄的不足會(huì)導(dǎo)致審計(jì)范圍受到限制 測(cè)試 每年的測(cè)試僅對(duì)該年有效內(nèi)控

21、的重大不符應(yīng)報(bào)告給審計(jì)委員會(huì)重大的內(nèi)控缺陷應(yīng)公開(kāi)報(bào)告重大內(nèi)控缺陷舉例財(cái)務(wù)報(bào)表重述重大的審計(jì)調(diào)整無(wú)效的審計(jì)委員會(huì)監(jiān)控?zé)o效的內(nèi)審功能(針對(duì)較大的公司）外部審計(jì)的要求法案規(guī)范對(duì)象和時(shí)間要求所有向美國(guó)證監(jiān)會(huì)提供年報(bào)的上市公司.向美國(guó)證監(jiān)會(huì)提供年報(bào)（如form 10-k ）的外國(guó)公司也無(wú)法豁免美國(guó)公司必須在2004年11月15日后結(jié)束的財(cái)政年度符合并通過(guò)該法案.外國(guó)公司(市值>美元75m)必須在2006年7月15日后結(jié)束的財(cái)政年度符合并通過(guò)該法案.美國(guó)及外國(guó)公司(市值<美元75m)必須在2007年7月15日后結(jié)束的財(cái)政年度符合并通過(guò)該法案. 尚德電力需要在2006年12月31日通過(guò)首次評(píng)估薩

22、班斯法案對(duì)尚德電力的影響最終成果 . . .尚德電力必須以所有控制實(shí)體為基礎(chǔ)建立一套正式的，書(shū)面的，可承受的以及持續(xù)的流程來(lái)評(píng)價(jià)基于財(cái)務(wù)報(bào)告的內(nèi)控有效性;管理層必須每年發(fā)布一個(gè)內(nèi)部控制報(bào)告;德勤必須每年對(duì)尚德電力基于財(cái)務(wù)報(bào)告的內(nèi)部控制發(fā)表意見(jiàn)未合規(guī)可能產(chǎn)生的影響未達(dá)到404合規(guī)性要求的后果是什么?企業(yè)名譽(yù)和公共形象受損外部審計(jì)師可能拒絕簽署管理層關(guān)于控制結(jié)構(gòu)的認(rèn)定可能導(dǎo)致美國(guó)證券交易委員會(huì)的調(diào)查或罰款投資者、債務(wù)人和客戶的信心將遭到更深的打擊，進(jìn)而影響股價(jià)和現(xiàn)有的融資渠道“正確地治理公司如同正確地治理國(guó)家，將會(huì)對(duì)世界經(jīng)濟(jì)產(chǎn)生至關(guān)重要的影響。” 詹姆士 d. 烏爾弗森, 世界銀行總裁soa404

23、條款合規(guī)性的嚴(yán)酷現(xiàn)實(shí) soa404條款要求對(duì)所有商業(yè)流程以及流程中的關(guān)鍵控制進(jìn)行書(shū)面描述并歸檔，包括人工控制和系統(tǒng)控制。soa404條款要求對(duì)這些控制進(jìn)行測(cè)試 包括管理層測(cè)試，以及之后外部審計(jì)師的再次測(cè)試。soa404條款合規(guī)性項(xiàng)目既不是一個(gè)競(jìng)賽項(xiàng)目，啟動(dòng)越早就能夠結(jié)束越早；也不是一個(gè)“一勞永逸”的項(xiàng)目。對(duì)于soa404條款合規(guī)性項(xiàng)目，管理層必須做好長(zhǎng)期作戰(zhàn)的思想準(zhǔn)備。“過(guò)程” vs. “項(xiàng)目” 思想準(zhǔn)備該合規(guī)性項(xiàng)目將耗費(fèi)企業(yè)大量的時(shí)間和金錢; 首席財(cái)務(wù)官雜志報(bào)道說(shuō)，調(diào)查顯示平均每一薩班斯-奧克斯利項(xiàng)目均超支60%以上合規(guī)性流程簡(jiǎn)介選擇優(yōu)先的要素記錄公司級(jí)控制 (“最高層的聲音”)選擇優(yōu)先的科

24、目和披露內(nèi)容考慮對(duì)財(cái)務(wù)報(bào)告和誤報(bào)風(fēng)險(xiǎn)的重要性記錄流程記錄對(duì)財(cái)務(wù)報(bào)告優(yōu)先要素產(chǎn)生重大影響的交易流程找尋風(fēng)險(xiǎn)和控制使用財(cái)務(wù)報(bào)告認(rèn)定來(lái)找出流程中“哪里會(huì)出錯(cuò)?”什么是風(fēng)險(xiǎn)?什么是控制?誰(shuí)對(duì)控制負(fù)責(zé)?評(píng)價(jià)控制的設(shè)計(jì)記錄風(fēng)險(xiǎn)根源的控制（預(yù)防性）或者流程中下游的控制（發(fā)現(xiàn)性以及糾正性）評(píng)價(jià)并記錄公司級(jí)和流程級(jí)控制設(shè)計(jì)的有效性控制設(shè)計(jì)如何評(píng)價(jià)?驗(yàn)證控制的實(shí)施測(cè)試并記錄公司級(jí)以及流程級(jí)控制實(shí)施的有效性控制實(shí)施的怎樣?報(bào)告結(jié)論披露報(bào)告有無(wú)需要解決的問(wèn)題?彌補(bǔ)確定的差距設(shè)計(jì)、建立、測(cè)試以及實(shí)施控制措施面臨的挑戰(zhàn)所有的sec注冊(cè)公司將面臨重大的挑戰(zhàn):我們?nèi)绾伪３钟涗浀臏?zhǔn)確性和時(shí)效性?我們?nèi)绾伪ＷC全公司采用同樣的記錄

25、標(biāo)準(zhǔn)?我們?nèi)绾伪ＷC記錄的質(zhì)量?我們?nèi)绾螌⒖刂朴涗浥ccoso框架聯(lián)系?我們?nèi)绾文軌蛴行实乩眯畔?lái)完成對(duì)控制的評(píng)價(jià)?我們?nèi)绾斡行У貫閷徲?jì)師作驗(yàn)證提供信息?我們?nèi)绾文茈S時(shí)間過(guò)去保持對(duì)控制評(píng)價(jià)的支持?我們?nèi)绾文軌蚶糜涗泚?lái)推動(dòng)公司內(nèi)控制和流程的提升?項(xiàng)目工作方法概述技術(shù)流程管理(sarbox portal)評(píng)估管理(the self assessor)評(píng)估與識(shí)別現(xiàn)有的流程設(shè)定基礎(chǔ)項(xiàng)目管理知識(shí)共享溝通交流后續(xù)完善我們的方法編制所設(shè)計(jì)和評(píng)價(jià)的主要流程及控制文檔為控制差異設(shè)計(jì)解決方案執(zhí)行相關(guān)解決方案出具報(bào)告步驟一 步驟二 步驟三 步驟四 財(cái)務(wù)報(bào)表要求相關(guān)流程內(nèi)部控制報(bào)告內(nèi)部控制報(bào)告構(gòu)成要素流程風(fēng)險(xiǎn)控制設(shè)

26、計(jì)內(nèi)控改善控制運(yùn)行公司層面控制成功因素 第一個(gè)月 第二個(gè)月 第三個(gè)月第四個(gè)月 第五個(gè)月第六個(gè)月薩班斯診斷一般項(xiàng)目所需時(shí)間項(xiàng)目實(shí)施方法項(xiàng)目實(shí)施方法 設(shè)定基礎(chǔ)設(shè)定基礎(chǔ)項(xiàng)目組建制定項(xiàng)目計(jì)劃協(xié)調(diào)項(xiàng)目目標(biāo)和報(bào)告需求，與客戶達(dá)成一致 確定項(xiàng)目主導(dǎo)人員確定項(xiàng)目小組成員分配任務(wù)和工作、確定相關(guān)責(zé)任設(shè)定項(xiàng)目目標(biāo) 建立關(guān)鍵途徑確定關(guān)鍵成功因素確定重要事件和檢查點(diǎn)確定外部專家顧問(wèn)認(rèn)同一般流程和風(fēng)險(xiǎn)類型確定編制文檔和評(píng)估的方法決定公司層面檢查要素和目標(biāo)確定輔助工具和技術(shù)認(rèn)同控制框架協(xié)調(diào)與外部審計(jì)的關(guān)系設(shè)定基礎(chǔ)1. 評(píng)估與識(shí)別現(xiàn)有流程2. 編制所設(shè)計(jì)和評(píng)估的流程與控制文檔3. 為控制差異設(shè)計(jì)解決方案出具報(bào)告4. 執(zhí)行相

27、關(guān)解決方案1.1理解會(huì)計(jì)準(zhǔn)則和sec報(bào)告要求1.2 設(shè)定決策標(biāo)準(zhǔn):- 財(cái)務(wù)報(bào)告構(gòu)成要素- 文檔編制類型和詳細(xì)程度- 確認(rèn)程度1.3 識(shí)別并排序財(cái)務(wù)報(bào)表科目1.4利用薩班斯診斷工具(sarbanes-oxley diagnostic), 創(chuàng)建記分卡和行動(dòng)計(jì)劃1.5確認(rèn)組織各業(yè)務(wù)流程1.6 識(shí)別并排序相關(guān)流程，為進(jìn)一步分析作準(zhǔn)備1.7確認(rèn)流程負(fù)責(zé)人和其他主要聯(lián)絡(luò)人員1.8明確可利用的內(nèi)部控制文件1.9記錄財(cái)務(wù)關(guān)賬程序- 流程、數(shù)據(jù)信息和負(fù)責(zé)人- 風(fēng)險(xiǎn)、控制和披露信息1.10查閱許可證明等特殊流程文件1.11協(xié)調(diào)與外部審計(jì)的關(guān)系1.12為步驟二的實(shí)施制定行動(dòng)計(jì)劃2.1識(shí)別財(cái)務(wù)報(bào)表關(guān)鍵科目的風(fēng)險(xiǎn)和認(rèn)定

28、- 將其轉(zhuǎn)換為控制目標(biāo)- 將每一個(gè)流程的目標(biāo)制成文檔2.2記錄目標(biāo)流程- 繪制輸入信息、相關(guān)活動(dòng)和輸出信息流程圖- 查找風(fēng)險(xiǎn)所在- 說(shuō)明控制點(diǎn)- 獲得流程負(fù)責(zé)人的確認(rèn)簽字2.3 評(píng)估主要活動(dòng)與業(yè)績(jī)2.4 評(píng)估所設(shè)計(jì)的控制的有效性 (是否與目標(biāo)相一致)2.5評(píng)估所應(yīng)用的控制的有效性 (按設(shè)計(jì)所運(yùn)行的控制)2.6 記錄職員相關(guān)的工作和責(zé)任2.7 評(píng)價(jià)組織是否遵循會(huì)計(jì)準(zhǔn)則和sec報(bào)告要求2.8 匯總結(jié)果并為步驟三的實(shí)施制定行動(dòng)計(jì)劃4.1 編制培訓(xùn)指南和相關(guān)文檔4.2 提供培訓(xùn)4.3 測(cè)試并持續(xù)改進(jìn)意見(jiàn)4.4 應(yīng)用后續(xù)流程改進(jìn)方法步驟一: 評(píng)估與識(shí)別現(xiàn)有的流程步驟二:編制所設(shè)計(jì)和評(píng)價(jià)的主要流程及控制文

29、檔步驟三: 為控制差異設(shè)計(jì)解決方案步驟四: 執(zhí)行相關(guān)解決方案3.1 修正流程圖3.2 設(shè)計(jì)流程，以便識(shí)別對(duì)控制有重大影響的變化3.3 記錄已經(jīng)修正的政策和相關(guān)程序3.4 編制單位或流程負(fù)責(zé)人監(jiān)督報(bào)告3.5 編制重大問(wèn)題匯總管理層報(bào)告，獲得其證明和認(rèn)可3.6 為其他一些目標(biāo)安排人員、工作和責(zé)任3.7 安排其他補(bǔ)充行動(dòng)3.8 為步驟四編制實(shí)施計(jì)劃和時(shí)間表方法步驟設(shè)定基礎(chǔ)1. 評(píng)估與識(shí)別現(xiàn)有的流程2. 編制所設(shè)計(jì)和評(píng)價(jià)的主要流程及控制文檔3. 為控制差異設(shè)計(jì)解決方案出具報(bào)告4. 執(zhí)行相關(guān)解決方案項(xiàng)目實(shí)施方法 具體實(shí)施 1 - 45.1 繼續(xù)監(jiān)督現(xiàn)有和后續(xù)發(fā)現(xiàn)的運(yùn)營(yíng)變化，并評(píng)估潛在的控制風(fēng)險(xiǎn)或不確定性

30、影響5.2 闡明內(nèi)部控制對(duì)保證財(cái)務(wù)報(bào)告的可信賴性相關(guān)的結(jié)論5.2 與執(zhí)行管理層、高級(jí)管理層、項(xiàng)目主導(dǎo)人和董事會(huì)溝通匯報(bào)5.3 向外部審計(jì)師提供最終結(jié)果和文檔，以協(xié)助其進(jìn)行相關(guān)流程確認(rèn)工作5.4 對(duì)流程確認(rèn)結(jié)果做出結(jié)論5.5 書(shū)寫(xiě)內(nèi)部控制報(bào)告出具報(bào)告設(shè)定基礎(chǔ)1.評(píng)估與識(shí)別現(xiàn)有的流程2.編制所設(shè)計(jì)和評(píng)價(jià)的主要流程及控制文檔3.為控制差異設(shè)計(jì)解決方案出具報(bào)告4.執(zhí)行相關(guān)解決方案項(xiàng)目實(shí)施方法 具體實(shí)施 5項(xiàng)目小組 甫瀚服務(wù)團(tuán)隊(duì)尚德電力服務(wù)團(tuán)隊(duì)albert leehelen wangvincent caisabrina guocharles dongclare mawee teong cheah尚德電力

31、首席執(zhí)行官/首席財(cái)務(wù)官尚德電力審計(jì)委員會(huì)待決定各部門(mén)的配合符合薩班斯法案404條款需要全公司參與及通力配合!人事部門(mén)財(cái)務(wù)部門(mén)銷售部門(mén)生產(chǎn)部門(mén)行政部門(mén)內(nèi)審部門(mén)首席執(zhí)行官審計(jì)委員會(huì)時(shí)間安排評(píng)價(jià)現(xiàn)狀并認(rèn)定相關(guān)流程設(shè)立基礎(chǔ)記錄設(shè)計(jì)和評(píng)價(jià)關(guān)鍵流程和控制為控制差距設(shè)計(jì)解決方案為控制差距實(shí)施解決方案持續(xù)監(jiān)控并評(píng)價(jià)相關(guān)流程phase i phase iiphase iii phase iv 200520062007與 dtt的討論點(diǎn)發(fā)表內(nèi)控報(bào)告和dtt測(cè)試2006年12月31日dtt 測(cè)試 預(yù)演 2006年9月30日公司需要完成的任務(wù)公司404項(xiàng)目小組需完成以下任務(wù):對(duì)重要流程的記錄流程圖表風(fēng)險(xiǎn)控制矩陣守則/

32、制度 及 流程/ 手冊(cè)評(píng)價(jià)控制設(shè)計(jì)的有效性 (整個(gè)項(xiàng)目期間)記錄控制和流程評(píng)價(jià)控制實(shí)施的有效性 (tbd)it 控制與測(cè)試soa it controls frameworkintegrated applicationspecific processesapplication anddata owner processesgeneral it processesit process level control evaluationsit organization and structure it entity levelcontrol evaluationsconsider three leve

33、ls:general it processesapplication and data owner processesapplication-specific processescoso* entity level “tone at the top” entities for technology organization(s) entities for application and data organizations focus on it controls, risk assessments and overall communications and monitoringunders

34、tand: it management and organization business unit/geographical organization strategy for technology and application managementprotiviti has a standardized methodology for section 404 compliance related to it risks and controls, which is integrated into our overall 404 methodology based on the coso

35、framework. the diagram below illustrates our approach.* the committee of sponsoring organizations of the treadway commissioncritical application and data owner process evaluations segregation of incompatible duties confirm/review access to critical transactions and data business owner change control

36、 processit general controlprocess level evaluationsapplication anddata owner process levelevaluationsintegrated applicationspecific process/activitylevel control evaluationscritical it processes security administration application change control/ implementation data management data center operation

37、& problem mgt. asset management application programmed controls limit access to transactions and data data validation/error checking routines error reporting complex calculations complete and accurate reporting critical interfacesincludes two aspects: control design assessment; and control opera

38、ting effectiveness (i.e. testing)note: remediation may be required before testing.soa it controls framework (contd)significant account balance balance sheet (ar)income statementg/linventoryotherclasses of transactions salesreturnswrite offsbusiness processsales processfcrpar mgt processprocess stage

39、sinitiaterecordprocessreportapplication controls soddata integritycompletenessvalidationgeneral computing controlsoperationsnetwork supportdatabase impl. & supportinformation securityall in-scope applications & their underlying infrastructure componentsapplication impl. & maintenancesyst

40、em software supportit role in internal controls over financial reporting問(wèn) 題?to set the stage, let begin by briefly reviewing what the act requires of management, particularly certifying officers. as you all are aware, section 302 of the act requires ceos and cfos to:state that the officers have revi

41、ewed the report;state that, based on their knowledge, the information is presented fairly and does not contain misleading information or material omissions;assert the officers responsibility for establishing, maintaining and evaluating disclosure controls and procedures; identify any significant def

42、iciencies and material weaknesses in internal controls or instances of employee fraud disclosed to auditors and the audit committee; and,disclose any significant changes in internal controlsprotiviti is aware that the vast majority of companies have implemented what we have termed as “fast track” ce

43、rtifications that are not necessarily process based. it is our position that a process-based solution is required to address the compliance risks that are new with the act.building on the foundation of the 302 certification, section 404 requires management to file a new report an internal control re

44、port. this is different from the 302 certification. management is required to file an internal control report with their annual report, stating managements responsibilities to establish and maintain adequate internal controls and procedures for financial reporting managements conclusion on the effec

45、tiveness of these internal controls at year end the companys public accountant has attested to and reported on managements evaluation of internal controls over financial reporting management must evaluate design and operational effectiveness of internal controls for financial reporting (as well as i

46、ts disclosure controls and procedures) on a quarterly basis. these proposed sec rules make these section 404 requirements effective for fye after 9-15-03.building on the foundation of the 302 certification, section 404 requires management to file a new report an internal control report. this is diff

47、erent from the 302 certification. management is required to file an internal control report with their annual report, stating managements responsibilities to establish and maintain adequate internal controls and procedures for financial reporting managements conclusion on the effectiveness of these

48、internal controls at year end the companys public accountant has attested to and reported on managements evaluation of internal controls over financial reporting management must evaluate design and operational effectiveness of internal controls for financial reporting (as well as its disclosure cont

49、rols and procedures) on a quarterly basis. these proposed sec rules make these section 404 requirements effective for fye after 9-15-03.to set the stage, let begin by briefly reviewing what the act requires of management, particularly certifying officers. as you all are aware, section 302 of the act

50、 requires ceos and cfos to:state that the officers have reviewed the report;state that, based on their knowledge, the information is presented fairly and does not contain misleading information or material omissions;assert the officers responsibility for establishing, maintaining and evaluating disc

51、losure controls and procedures; identify any significant deficiencies and material weaknesses in internal controls or instances of employee fraud disclosed to auditors and the audit committee; and,disclose any significant changes in internal controlsprotiviti is aware that the vast majority of compa

52、nies have implemented what we have termed as “fast track” certifications that are not necessarily process based. it is our position that a process-based solution is required to address the compliance risks that are new with the act.with the backdrop of 302 and 404 requirements, a discussion of the e

53、valuation of internal controls utilizing basics financial reporting assertions and a framework like coso providing criteria for evaluation, we can now introduce our approach and suggested methodology.the process of preparing for section 404 compliance is a significant undertaking for many companies

54、and should be managed in a formal project. therefore, you will see that our approach is in project plan format and is a phased approach with supporting technology.lets walk you through the methodology and project plan so you will see how the technology will support it.set foundation includes the steps for organizing the project, developing the project plan and agreeing on project approach and reporting requirements. phase i (assess current state and