SOX基礎(chǔ)培訓

《薩班斯-奧克斯利法案》第404條

——管理層對與財務報告相關(guān)的內(nèi)部控制評審工作介紹2007年8月3日

主要內(nèi)容目錄《SOX法案》簡介

上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容

COSO內(nèi)控框架介紹SOX與ISO9000系列比較

1《薩班斯-奧克斯利法案》簡稱《薩奧法》或《SOX法》2《SOX法》簡介《SOX法》簡介在安然、世界電訊等多家上市公司丑聞曝光后,美國參眾兩院通過了《薩奧法》,并且專門成立了上市公司會計監(jiān)督委員會（PublicCompanyAccountingOversightBoard）以加強公司治理重建投資者信心提高上市公司按證券法或其它要求所作披露的準確性和可靠性《SOX法》不僅適用于美國公司,也適用于在美國證監(jiān)會注冊的外國公司(1.4萬家公司)，Makita就是這樣的公司——在美國納斯達克股票市場上市在《SOX法》出臺后，法國和日本都先后出臺了類似的新法規(guī)強化監(jiān)管。因此從長遠來看，改革公司內(nèi)部控制體系將是大勢所趨?！禨OX法》內(nèi)容主要包括:上市公司會計監(jiān)督委員會的責任和角色上市公司的責任審計師獨立性加強財務信息披露3404條款是薩法中最難操作、最復雜、耗費成本最高的一個條款。SOX法是繼20世紀30年代經(jīng)濟大蕭條以來，繼《1933年證券法》和《1934年證券交易法》以來的，

美國政府制定的涉及范圍最廣、處罰措施最嚴厲、最具影響力的公司法律?！禨OX法》簡介

——嚴刑峻法4被美國總統(tǒng)布什稱為“自羅斯?？偨y(tǒng)以來美國商業(yè)界影響最為深遠的改革法案”要求高，成本高昂據(jù)對321家企業(yè)調(diào)查，每家遵守SOX法的美國大型企業(yè)第一年實施404條款總成本平均超過460萬美元。為達標404條款，全球著名的通用電氣公司花費了3000萬美元完善內(nèi)部控制系統(tǒng)。將對上市公司高管及白領(lǐng)犯罪予以重罰，高達500萬美元的罰款；可能被處以10年或20年監(jiān)禁的重刑，量刑等級幾乎等同于美國持槍搶劫的最高刑罰；上市公司高管為實行SOX法案，可能要額外投入30%的時間。銀廣夏Ａ股通過偽造購銷合同、偽造出口報關(guān)單、虛開增值稅專用發(fā)票、偽造免稅文件和偽造金融票據(jù)等手段，虛構(gòu)主營業(yè)務收入，虛構(gòu)巨額利潤７.45億元。瓊民源虛假財務會計報告，通過虛假利潤及虛編資本公積金增加的，誤導投資者。中國將在3年內(nèi)出臺中國式的SOX法案中國移動、中移動、中國電信、中網(wǎng)通、華能電力、中國石化和中國人壽等在內(nèi)的44家已在美國上市的中國公司也在其列；包括互聯(lián)網(wǎng)公司如百度和搜狐等中國公司在第一個年度里，中國公司因這部嚴法需付出的費用將直逼2億美元中國人壽4000萬用于404條款遵循工作第404條管理層對內(nèi)部控制的評審管理層為公司設(shè)立和維持足夠的財務報告內(nèi)部控制系統(tǒng)的責任陳述管理層為評估公司財務報告內(nèi)部控制系統(tǒng)的有效性而采用的評估架構(gòu)陳述管理層就公司最近財政年度財務報告的內(nèi)部控制系統(tǒng)的有效性作出的評審結(jié)果第302條企業(yè)對財務報告的責任簽字人已審閱向證監(jiān)會呈交的報告該報告不存在對重要事件的不實描述或遺漏確認財務報告和其它財務信息的披露在所有重要方面均公允地反映公司狀況承擔責任，建立、維護和評估內(nèi)部控制，確保信息披露正確已經(jīng)向外部審計師和審計委員會披露內(nèi)部控制存在的顯著缺陷之處、重大漏洞和重要崗位舞弊披露評估日后內(nèi)部控制的重大變動和改善措施《薩奧法》各項條例中以第302條“企業(yè)對財務報告的責任”

(CorporateResponsibilityforFinancialReports)和第404條“管理層對內(nèi)部控制的評審”

(ManagementAssessmentofInternalControls)影響最為深遠《SOX法》簡介首席財務官或首席執(zhí)行官需簽署書面聲明上市公司年報里(Form20-F表格)必須附有管理層對內(nèi)部控制的評審報告，其內(nèi)容應包括另外，第404條還要求外部審計師對于與財務報告相關(guān)的內(nèi)部控制和管理層對內(nèi)部控制的評審進行審計，并出具審計意見5上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容6《SOX法》審計規(guī)則——PCAOB2號準則簡介內(nèi)部控制指為合理地保證企業(yè)在財務報告的可靠性、經(jīng)營效率和效益及遵守適用的法律法規(guī)方面達成既定的目標而設(shè)計的措施與財務報告相關(guān)的內(nèi)部控制包括指為合理地保證（合理但并非絕對地保證）企業(yè)財務報告的可靠性和企業(yè)編制及公允列示財務報表的流程而設(shè)計和實施的企業(yè)政策和程序。這些內(nèi)部控制包括備存會計記錄、收據(jù)和報銷項目授權(quán)及保護資產(chǎn)等政策和程序上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容《SOX法》第404條要求管理層和外部審計師都必須對與財務報告相關(guān)的內(nèi)部控制進行評審。上市公司會計監(jiān)督委員會配合第404條要求頒布第2號審計準則，以明確規(guī)范公司管理層和外部審計師的評審范圍和要求。7內(nèi)部控制(Internalcontrols)與財務報告相關(guān)的內(nèi)部控制(Internalcontrolsoverfinancialreporting)的定義上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容主要交易是如何啟動，記錄，處理和反映在財務報告中的用以防范或找出與重要賬戶、交易種類和披露相關(guān)的錯誤或舞弊的內(nèi)部控制措施其它重要內(nèi)控措施所依賴的內(nèi)部控制，包括一般性控制，例如信息系統(tǒng)控制非經(jīng)常性、非系統(tǒng)交易或財務估計的內(nèi)控措施財務報表關(guān)賬和匯總過程中的內(nèi)控措施資產(chǎn)保護的控制措施8與財務報告相關(guān)的內(nèi)部控制包括對影響主要交易的所有財務記錄和披露的控制措施:涉及主要交易類型的交易啟動、授權(quán)、處理以及最終在財務報表中的披露過程中各環(huán)節(jié)的主要內(nèi)部控制財務報表明細賬總賬收入:通話費固定資產(chǎn)/支出現(xiàn)金/貸款/

貨幣投資財務估計(如壞賬、折舊、固定資產(chǎn)減值)業(yè)務系統(tǒng)與來源資料對照檢查記錄有關(guān)財務估計的決定和審批流程與系統(tǒng)控制遵行監(jiān)控

政策報表合并內(nèi)部往來賬分析判斷業(yè)務流程交易網(wǎng)絡(luò)建設(shè)客戶服務及賬務網(wǎng)絡(luò)管理應收/應付賬業(yè)務費用(如維修

費用、人工和行政費用等)與財務報告相關(guān)的內(nèi)部控制涉及的范圍9上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容

——經(jīng)營回經(jīng)營回報與風險報與風險經(jīng)營回報風險風險是某一事件或行為對企業(yè)經(jīng)濟利益可能的威脅風險的后果競爭失敗經(jīng)營中斷法律訴訟商業(yè)欺詐無益開支資產(chǎn)損失決策失誤公司管理層內(nèi)部控制如何降低風險？

暴露的金額發(fā)生的可能性風險的大小內(nèi)部控制降低成功內(nèi)部控制的重要性有效的內(nèi)部控制風險與經(jīng)營回報的良好平衡上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容對管理層的要求必須肩負公司財務報告相關(guān)的內(nèi)部控制有效性的責任采用適當?shù)膬?nèi)控枉架(例如COSO)，評審公司與財務報告相關(guān)的內(nèi)部控制系統(tǒng)的有效性以充分的憑證(包括檔案文件)支持評審結(jié)果文檔記錄的重要性-文檔記錄可以為控制程序的確定和控制的監(jiān)管提供證據(jù)-內(nèi)部控制設(shè)計若缺乏文檔記錄將可能導致內(nèi)部控制的重大失效或重大缺陷-缺乏足夠的證據(jù)來支持公司的評估結(jié)果會在外部簽證報告中列為質(zhì)量的重大缺陷，并簽發(fā)反對意見報告針對公司最近的年度財務報告的內(nèi)部控制的有效性提交書面聲明13管理層應采取全面措施履行其責任，當中包括全面的計劃，以及對內(nèi)部控制系統(tǒng)的評審。管理層確定重大控制措施后，必須記錄有關(guān)措施，然后測試措施的成效。企業(yè)應有充裕的時間完成整個程序并且糾正發(fā)現(xiàn)的內(nèi)控缺陷。越早發(fā)現(xiàn)缺陷，管理層便有越充裕的時間糾正缺陷，并確定新措施的運作成效。如果管理層未能履行上述責任，會導致審計師發(fā)出保留或不表示意見。內(nèi)控缺陷可以源自設(shè)計或操作方面控制措施的缺漏（設(shè)計）控制措施未能達到預期的控制目標（設(shè)計）控制措施沒有按設(shè)計原意操作（操作）負責操作控制措施的人員不具備操作控制措施所需的職權(quán)或資格（操作）內(nèi)控缺陷的嚴重程度不同，可以是不重要、顯著缼陷、和非常嚴重的重大漏洞顯著缼陷指單一或多個內(nèi)控缺陷的存在導致無法把預防或發(fā)現(xiàn)年報或中期報告中出現(xiàn)錯漏的可能性降至很低重大漏洞指單一或多個顯著缺陷的存在導致無法把預防或發(fā)現(xiàn)年報或中期報告中出現(xiàn)重大錯漏的可能性降至很低

上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容內(nèi)控缺陷（ControlDeficiency)-顯著缺陷

(SignificantDeficiency)和重大漏洞(MaterialWeakness)的定義14審計師發(fā)現(xiàn)重大的錯漏內(nèi)部審計或風險評估措施對企業(yè)未能發(fā)揮效用發(fā)現(xiàn)高級管理層詐騙舞弊現(xiàn)象在相當一段時間內(nèi)沒有糾正過去已提出的嚴重內(nèi)控缺陷監(jiān)控環(huán)境未能發(fā)揮效用上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容顯示存在重大漏洞的顯著內(nèi)控缺陷的情況包括：15管理層404評審報告建立及維持有效性內(nèi)部控制系統(tǒng)記錄測試根據(jù)上市公司會計監(jiān)督委員會第2號審計準則的要求，對與財務報告相關(guān)的內(nèi)部控制進行獨立審計，并正式出具一份審計師404審計報告，當中包括兩個評估意見上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容16對外部審計師的要求評估意見(1)對管理層評審結(jié)論的意見(1) 評審內(nèi)部控制的有效性(2) 提交最近年度財務報告的內(nèi)部控制系統(tǒng)有效性的聲明評估意見(2)對公司與財務報告相關(guān)內(nèi)部控制有效性的意見審計師出具保留意見或不表示意見的成因和影響股價下挫負面消息流傳形象受損信貸評級下降客戶失去信心保留意見審計報告或?qū)徲嫀煵槐硎疽庖姵梢蚨和獠繉徲嫀煱l(fā)現(xiàn)一個/多個重大內(nèi)控漏洞，例如：

（1）需要作出審計調(diào)整（2）沒有足夠的信息系統(tǒng)控制成因一：管理層對內(nèi)部控制評審的支持憑證不足，例如：（1）沒有確定評審范圍的充分依據(jù)和記錄（2）缺少測試主要內(nèi)控措施的檔案文件17上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容

沒有建立內(nèi)部交易和往來賬對賬的正式程序不及時或沒有進行往來賬的對賬工作，對帳未經(jīng)管理層充分審閱缺少一定的管道和程序供員工向適當?shù)莫毩⒉块T/單位反映他們在日常工作中發(fā)現(xiàn)的與內(nèi)控有效性相關(guān)的可疑情況反映對會計報告的準確性復核不足未能完整和準確的記錄特定業(yè)務流程中的內(nèi)部控制缺乏清晰的職責分工和準確的崗位說明書曾在已經(jīng)實行《SOX法》的上市公司中存在的內(nèi)控缺陷例子18上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容

上市公司會計監(jiān)督委員會第2號審計準則的主要內(nèi)容37%23%8%10%6%9%7%流程不健全人員勝任能力不足書面記錄不完備銷售確認錯誤融資租賃會計處理錯誤稅金會計處理錯誤其他06年上市公司中存在的內(nèi)控缺陷統(tǒng)計營運財務報告合規(guī)性監(jiān)控信息和溝通控制活動控制環(huán)境風險評估COSO內(nèi)控框架介紹20營運財務報告合規(guī)性控制活動確保落實管理層的政策/流程措施包括審批、授權(quán)、

確認、建議、業(yè)績考核、資產(chǎn)保全和權(quán)限分離監(jiān)控評估內(nèi)部控制系統(tǒng)整合及時獨立的評估管理層和監(jiān)控機構(gòu)的

工作內(nèi)部審計信息和溝通定期獲取、確定并交流相關(guān)的信息評審內(nèi)部和外部獲取的信息信息流：

職責指導

管理層的總結(jié)

成功的措施控制環(huán)境營造企業(yè)環(huán)境，讓公司員工建立內(nèi)部控制因素包括正直、道德價值、能力、權(quán)威和責任是其它內(nèi)部控制組成部分的基礎(chǔ)風險評估風險評估是因應一些

決定性的內(nèi)部控制活動和企業(yè)目標而確認和

分析相關(guān)風險的工作所有五大元素必須同時起作用才能讓內(nèi)部控制有效運作監(jiān)控信息和溝通控制活動控制環(huán)境業(yè)務單位甲業(yè)務單位乙活動一活動二風險評估COSO內(nèi)控框架介紹211、控制環(huán)境是任何企業(yè)的核心，是企業(yè)的人以及它所處的環(huán)境是推動企業(yè)的引擎，也是其他要素的基礎(chǔ)控制環(huán)境的組成要素：管理哲學和經(jīng)營風格組織結(jié)構(gòu)董事會及其委員會職能職責分配和授權(quán)人事政策1、控制環(huán)境-MCCELC-generalA-1.CEO是否積極分發(fā)符合MJ基本政策的文件，如《道德規(guī)范》、《行為準則》和教育/培訓資料，與經(jīng)理和所有員工溝通公司的道德價值觀和管理層的理念。A-3.如果公司目標或個人目標直接與報酬掛鉤，是否有防止經(jīng)理或員工不誠實或不道德行為的控制？F-1.

是否根據(jù)組織目標恰當?shù)厥谟鐲EO、財務經(jīng)理（CFO）和IT經(jīng)理（CIO）權(quán)利與責任？職權(quán)分掌表是否清晰地定義這些職權(quán)？權(quán)利是否恰當？是否確保有勝任能力的財務報告人員？G-2.對財務報告關(guān)聯(lián)員工的教育、培訓、業(yè)績、待遇是否有明確的政策和程序？J-5.是否存在將舞弊(包括管理層越權(quán))風險減少到最小的預防性控制?L-1.是否有財務報告和IT活動所需的政策和程序？是否及時更新？N-2.是否有熱線電話，允許員工直接報告可疑的舞弊或違規(guī)行為。2.控制活動——一些重要的內(nèi)控方法職責分離控制授權(quán)批準控制內(nèi)部報告控制電子信息技術(shù)控制……2.內(nèi)部控制的實施1.管理層在內(nèi)部控制中的地位和作用內(nèi)部控制的主體:管理層（承擔的職責是計劃、組織、領(lǐng)導其組織的活動，即對組織的內(nèi)部控制負責）文檔記錄的重要性文檔記錄可以為控制程序的確定和控制的監(jiān)管提供證據(jù)內(nèi)部控制設(shè)計若缺乏文檔記錄將可能導致內(nèi)部控制的重大失效或重大缺陷缺乏足夠的證據(jù)來支持公司的評估結(jié)果會在外部簽證報告中列為質(zhì)量的重大缺陷，并簽發(fā)反對意見報告內(nèi)部審計：對管理層組織的內(nèi)部控制進行監(jiān)督，以協(xié)助管理層有效地履行他們的職責。5、監(jiān)督整個內(nèi)部