•第 404 条 管理层对内部控制的评价
管理层需为公司建立和维持足够的与财务报告相关 的内部控制
管理层还需每年报告： 管理层建立和维持足够的与财务报告相关的内 部控制的责任 评估公司与财务报告相关的内部控制的有效性
•另外，第404条还要求外部审计师对于与财务报告相关
的内部控制和管理层对内部控制的评价进行审计，并出 具审计意见
主要交易是如何启动、记录、处理和反映在财务报告中 用以防范或找出与重要账户、交易种类和披露相关的错误或舞
弊的内部控制措施 其它重要内控措施所依赖的内部控制，包括一般性控制，例如
信息系统控制 非经常性、非系统交易或财务估计的内控措施 财务报表关账和汇总过程中的内控措施 资产保护的控制措施 公司层面的控制措施
计费账务部门对修改后的费率或优惠套餐进行测试，生成测试报 告并提交给经适当授权的人员审阅，核对修改无误后，方能投入 计费。
在计费周期终了，与其他电信运营商就网间结算金额进行核对。
存在性、完整性、价 值
价值
权利和义务、存在性 、完整性、价值
前台业务受理工作人员无权对收费系统中的话费数据进行修改， 价值 而只能进行权限范围内的查询。
委员会已与管理层对内控缺陷作出沟通
•《 萨班斯-奥克斯利法案 》第 404 条不仅要求公司财务报表没有
重大错报(significant misstatement) ，还要把这种可能性降至最 低的水平。而公司的内部控制无法把财务报表出现错报的可能性减 至最低已经足以令审计师出具保留意见或不表示意见。
•16
•内部控制的基本概念
COSO (The Committee of Sponsoring Organizations of the Treadway Commission，即美国反对虚假财务报告委员会的发起组织委员会) 把内部控制 定义为一种过程，受到企业董事会、管理当局和其它职员的影响，旨在为企业 的经营效果和效率、财务报告的可靠性、遵循适当的法规等而提供合理保证。
•《萨班斯-奥克斯利法案》第404条款要求进行评价的 内部控制
•确定需要评价的内部控制 -- 业务流程举例 （收入和计费流程）
内部控制点描述
对应会计报表认定
在营业账务系统中对每个用户建立唯一的识别标志，与其话费账 存在性、价值 单进行索引并据以对其欠费进行统计和账龄分析。
计费账务系统对计费数据的有效性进行检查，将结果与历史数据 进行比较，当重单、无效话单和错单的发生量超过一定数量时， 产生系统预警。
工作 内部审计
信息和沟通
定期获取、确定并交流 相关的信息
评审内部和外部获取的 信息
信息流： 职责指导 管理层的总 结 成功的措施
•监控
•信息和沟通 •控制活动 •风险评估 •控制环境
风险评估
风险评估是因应一些决 定性的内部控制活动和 企业目标而确认和分析 相关风险的工作
•活动二 •活动一
•业务单位乙 •业务单位甲
•重
》
点 •管理当局报告 •董事会治
领
理
域
•管理层和董事 会行为
•强制执行与惩 罚
•审计师的独立性
•关 • 管理层声 键 明 (302条款)
条
款
•审计委员会 的标准
•管理层关于内 •禁止向董事和 部控制的报告 官员贷款
• (404条款)
•加强对内部 交易的报告
•上市公司会计监 管委员会 (PCAOB)
省公司在推广记录阶段工作步骤
•流程记录和改进建议确认步骤具体工作内容 流程参与部门负责人确认流程记录和改进建议 省公司管理层确认流程记录和改进建议
省公司在推广记录阶段工作步骤图解
•项目准备
•《中 国移动 内部控 制手册
》
•工作小组讨论
•《XX省内部控制手册》
•与财 务报告
相关的
内控记 录框架
2002 年 8 月 29 日 2003 年 6 月 5 日 2004 年 3 月 9 日
美国证券交易委员会根据《萨班斯-奥克斯利法 案》第 302 条的要求颁布对有关条款的最终条 例
美国证券交易委员会根据《萨班斯-奥克斯利法 案》第 404 条的要求颁布对有关条款的最终条 例和对第 302 条的补充修订
•6
•《萨班斯－奥克斯利法案》第404条（续）
•《萨班斯 奥克斯利法案》第 404 条的文件内容
1. 管理层为公司建立和维持足够的与财务报告相关的 内部控制的责任陈述
2. 管理层为评估公司与财务报告相关的内部控制的有 效性而采用的评估架构陈述
3. 管理层就公司最近财政年度与财务报告相关的内部 控制的有效性作出的评价
，评价公司与财务报告相关的内部控制系统的有效性 以充分的凭证 (包括档案文件) 支持评价结果 针对公司最近年度财务报告的内部控制有效性提交书面报告
•全面计划
•记录内部 •控制
•测试有效性
•纠正缺陷
•做出声明
•14
上市公司会计监管委员会第2号审计准则（续）
•对外部审计师的要求
• (1) 评价内部控制的有
效性 •记录
•测试
•内部控制系 统
• (2) 提交最近年度财务报 告的内部控制系统有效性的 声明
•建立及维持有效性
•根据上市公司会计监管委员会第 2 号审计 准则的要求，对与财务报告相关的内部控 制进行独立审计，并正式出具一份审计师 404 审计报告，当中包括两个评价意见
•评价意见 (1) •对管理层评价结论的意见
•流程记 录
•穿行 测试资
料
•确认 程序
•返回目录
流程记录阶段工作方法
• 记录什么？---财务报告相关内部控制记录的基本框
•
架和内容
•
---确定与财务报告相关的内部控制
• 如何记录？---以流程描述的方式记录控制活动
•
---记录与财务报告相关的内部控制的工作底稿
•---Biblioteka 用流程记录模版•---提炼主要控制点
控制活动
确保落实管理层的政策 / 流程
措施包括审批、授权、 确认、建议、业绩考核、 资产保全和权限分离
控制环境
管理哲学和经营风格 因素包括正直、道德价值
、能力、权威和责任 董事会和审计委员会 人力资源政策和实务 是其它内部控制组成部分
的基础
•所有五大元素必须同时发挥作用，才能让内部控制有效地运作 •返回目录
•18
项目具体工作方法介绍
• 项目总体时间表 • 省公司在推广记录阶段工作步骤
➢ 流程记录阶段工作方法 ➢ 穿行测试工作 • 省公司在内部控制设计缺陷改进阶段工作步骤 • 省公司在测试和评价阶段工作步骤 • 省公司在持续跟进和评价阶段工作步骤
•项目总体时间表
•制定评估计划和范围阶段 •试点记录阶段
者对上市公司治理制度的有效性产生怀疑；
• 中介机构缺乏处理利益冲突的有效机制，使投资者对
中介机构的独立性产生怀疑；
• 美国证监会未能及时发现错误披露和市场欺诈行为，
使投资者对监管机构监督市场运作的能力产生怀疑。
与财务报告相关的重要法案、法规一览表
2002 年 7 月 30 日
布什总统签发了《萨班斯-奥克斯利法案 》
•审计委员会事先 批准所有审计师
提供的服务
•向财务官员颁布 行为准则
•对故意发表不 实声明的刑事处
罚 (906条款)
•禁止审计师 提供某些服务
•保护举报人
•5年强制轮换 审计主管合伙
人
•第302条款和第404条款强调通过内部控制加强公司治理。第906条款强调刑事 处罚。
•《萨班斯－奥克斯利法案》第404条
上市公司会计监管委员会发布第 2 号审计准则
2004 年 6 月 17 日
美国证交会批准上市公司会计监管委员会发布 第 2 号审计准则
2004年6月至2005年5月期间 上市公司会计监管委员会连续五次发布一系列 关于与财务报告相关的内部控制问答
•《萨班斯－奥克斯利法案》的内容
《萨班斯-奥克斯利法案
•《萨班斯-奥克斯利法案》第404条要求管理层和外部审 计师都必须对与财务报告相关的内部控制进行评价。
•上市公司会计监管委员会配合第404条要求颁布第2号审 计准则，以明确规范公司管理层和外部审计师对内部控 制进行评价的范围和要求。
•13
上市公司会计监管委员会第2号审计准则（续）
•对管理层的要求
必须承担与公司财务报告相关的内部控制有效性的责任 采用适当的内控框架 (例如 COSO，国际认可的内部控制框架)
•8
•《萨班斯-奥克斯利法案》第404条款要求进行评价的 内部控制
•核心业务流程
•交
•网络建造和管理 易
•财
•业
•计
•务
•收入和计费
•务
•费
•核
•系
•系
•算
•统
•统
•系
•采购和存货管理
•统
•涉及主要交易类型的交易启动、授权、处理以及最终在财务 报表中的披露过程中各环节的主要内部控制
•收入
•业务费用
•
• 谁记录？ ---内部控制记录工作的人员组织架构
•固定资产
•现金/贷款 •/货币资金 •应收账款 •应付账款
•财务报告
•9
会计认定
• 存在或发生（Existence or Occurrence） • 完整性（Completeness) • 权利和责任（Rights and Obligations ） • 价值（Valuation ） • 表述和披露（Presentation and Disclosure）
《萨班斯奥克斯利法案》第 404条款遵循项目
主要内容
• 项目背景及内部控制基本概念 • 项目具体工作方法介绍