美国萨班斯·奥克斯法案--302和404条款下内部审计师的职责.ppt

美国萨班斯美国萨班斯 奥克斯法奥克斯法 案案-302-302和和404404条款条款 下内部审计师的职责下内部审计师的职责 cia1 美国萨班斯奥克斯法案-302和404条款下内部审计师的职责 一、综述 二、目的 三、背景 四、404遵循性工作中阶段、工作和主要职责的简述 五、审计委员会、管理层和外部审计师作用小结（一）审计委员会 （二）管理层 （三）外部审计师 六、建议性内部审计作用（一）项目监督（二）咨询和项目支持（ 三）持续的监督和测试 （四）项目审计 七、实践的判断 （一）咨询的源泉（二）作为管理层完成记录或测 试的有力助手（三）作为项目管理层. （四）作为内部控制培训 或信息提供者（五）作为控制自我评估发起者（六）作为披露程 序证明者 八、如何处理对内部审计客观性的妨害cia2 一、综述 随着各个公司逐渐展开对萨班斯奥克斯法案（以下简称“sox法案”）的遵循性工 作，内部审计也就其在遵循性工作中的地位和工作遇到一系列问题。根据404条款的要求 ，管理层需要建立、健全财务报告内部控制，并对其进行评价，同时外部审计师要对上述 评价进行再评价。 302条款不仅要求管理层每季度对财务报告相关内部控制进行评价，而且对信息 披露方面的控制和程序也要进行评价。 *cia 3 保证对sox法案302、404及其他条款的遵循性是公司管理层不可推卸的责任。 帮助管理层履行上述职责是内部审计的职责。参与公司404遵循性工作是内部审计的重要 工作，但是上述工作要与内部审计总体目标和章程相一致。无论内部审计涉入404遵循性 工作中的层次和性质是什么样的，都不应该违背内部审计的客观性和其监督公司主要风险 区域的职能。 由于404遵循性工作与内部审计工作有本质的联系，内部审计经常被迫全力融入 404遵循性工作。 *cia 4 国际内审协会对内部审计的定义是：内部审计是 一种独立客观的保证与咨询活动，目的是为机构增加价值 并提高机构的运作效率，采取系统化、规范化的方法来对 风险管理、内部控制及治理程序进行评估和改善，以帮助 机构实现目标。 国际内部审计协会制定的内部审计职业实务国际准 则（以下简称“国际内审准则”）规定，首席审计执行官（ 以下简称“cae”）要在与公司目标一致的前提下，以风险 为导向确定内部审计的工作重点。内部审计在进行的风险 评估以确定工作计划和工作重点时，应将违反sox法案 的可能性作为风险之一进行考虑。内部审计应每年对该风 险评估程序评估一次，并与审计委员会讨论相关的审计风 险评估结果。 *cia 5 cae应保证审计委员会实时了解内部 审计在404遵循性工作中的职能和工作。如 果内部审计在遵循性工作中的某项职能会损 害其独立性或客观性，则这种情况必须事先 上报审计委员会。此外，由于参与404遵循 性工作而牵扯内部审计资源，以至影响现行 或未来的内部审计工作计划的情况也要及时 上报审计委员会。一旦出现损害内部审计客 观性的情况，cae及董事会应对该种情况对 内部审计履行未来职责方面的影响程度进行 判断。 *cia 6 与国际内审准则的要求一致， sox法案下内部审计也应该在不损害客 观性和独立性的基础上提供保证和咨询 ，以促进公司的风险管理和公司治理。 管理层应负责建立使公司能够遵循萨班 斯法案的程序。内部审计理论上是通过 咨询和保证提供支持。 *cia 7 二、目的 内部审计就其在404遵循性工作中的地位和工作遇到一系列问题，这些问题既包括 短期问题，也有长期性的问题。目的是提供cae一些相关的指导，以帮助他们在处理相关 问题时既有利于公司又满足国际内审准则对内部审计客观性和独立性的要求。我们意识到 不同企业对sox法案的披露要求的反应不一，而且内部审计在其中的职能也不尽相同。 我们所描述是符合国际内审准则前提下最理想的内部审计在遵循性工作中的职能。目的是 提供一个实用的指南，并不要求强制执行 *cia 8 三、背景 根据404条款的要求，管理层需 要建立、健全财务报告相关的内部控制 ，并对其进行评价，同时要求外部审计 师对上述评价进行再评价。而302条款 不仅要求管理层每季度对财务报告相关 内部控制进行评价，而且对信息披露方 面的控制和程序也要进行评价。换而言 之，sox法案对管理层和外部审计师都 提出了要求。 *cia 9 国际内部审计准则要求内部审计 通过保证与咨询活动，对风险管理、内 部控制及治理程序进行评估和改善。内 部审计工作程序应合理保证：公司财务 及经营信息的可靠、完整性；经营的效 果、效率性；资产安全性和对法律、法 规、合同的遵循性。因此，内部审计在 404遵循性工作中的作用应该是通过咨 询与保证活动提供帮助，就像国际内审 准则和实务指南中所要求的那样。 *cia 10 虽然只就内部审计在404遵循性工作 中的作用进行指导，cae应该意识到内部审 计的风险评估工作并不仅仅包含财务报告和 披露的程序。如果根据审计委员会和高级管 理层的要求，cae需要对公司风险进行独立 评估，或按国际内审准则中要求的那样对风 险管理、内部控制和公司治理进行评估和改 善，则内部审计所必须获得并有效利用的资 源要比帮助管理层实施其在财务报告和披露 的相关职能所需的资源更多。 *cia 11 四、404遵循性工作中阶段、工作和主 要职责的简述 为满足404条款的要求，公司需 要制定一个包括若干阶段，及每个阶段 主要工作的计划。对于每项工作要指定 相关的责任人。下面的表格列示了典型 的阶段、工作和责任人，并简单对内部 审计的作用进行了建议性的描述： *cia 12 阶段/工作 主要责任人 建议内审作用 (表) 五、审计委员会、管理层和外部审计师作用 sox法案明确了管理层、审计委员会和外部 审计师的各种作用，但是该法案没有明确提 出内审师的作用。 *cia 13 （一）审计委员会 尽管sox法案的302和404条款没 有明确审计委员会的责任，但301和407条 款对审计委员会的主要标准和信息披露进行 了总体的规定。 301条款建立了某些要求审计委员会 成员遵守的通用标准，这些标准是： 除了董事会费，审计委员会成员不可 以接受来自发行者或其分支机构的咨询或其 它补偿性费用，也不能成为发行者或其分支 机构的关联人员； *cia 14 审计委员会对受雇于公司以编制、出 具审计报告或其它鉴证服务为目的注册会计 师事务所的聘用、酬金以及监督负直接责任 ； 审计委员会必须设立程序以处理公司 收到的关于其会计、内部控制和审计方面的 投诉； 审计委员会认为履行职责必需时，有 权聘请独立的顾问； 发行者必须提供审计委员会适当的资 金以便于它履行职责。 *cia 15 407条款要求发行者在其年报中披露是否至少有一名财务专家在审计委员会就职 ，如果是，该财务专家是否独立于管理层。对于审计委员会中没有财务专家就职的发行公 司，必须披露这个事实并解释原因。 （二）管理层 302条款要求管理层在年度或季度报告中对披露有关的内部控制和程序的有效性 进行评价和报告。首席执行官和财务总监必须保证： 他们已审阅过该报告，并相信报告中不存在重大的错报、漏报；报告中的会计报表 及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期 内的经营成果。 *cia 16 他们对建立及保持内部控制负责；设 计了所需的内部控制，以保证他们能知道该 公司的重要信息；评价公司的内部控制的有 效性；发布他们上述评价的结论。 他们向公司的审计师和审计委员会披 露如下内容：(1) 内部控制的设计或执行中 ，对公司记录、处理、汇总及编报财务数据 的功能产生负面影响的所有重大缺陷，并向 公司的审计师指出内部控制的重大缺点； (2)在内部控制中担任重要职位的管理人员 或其他雇员的欺诈行为，而不论该行为的影 响是否重大。 *cia 17 在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是其 他可能对内部控制产生重要影响因素的重大变化，包括对内部控制的重大缺陷或重要缺点 的更正措施。 sox法案的404条款要求管理层记录并评价其财务报告相关的内部控制设计和运 行，并对其有效性进行报告。内部控制报告必须包含在年度报告中，并包括以下内容： 公司管理层认识到其建立和维护内部控制系统及相应控制程序充分有效的责任； 管理层在评价中使用的框架； 公司对财务报告内部控制有效性的评价，以及管理层发现的内部控制中重大弱点； *cia 18 表明外部审计师对管理层上述评 价进行的再评价的报告； 外部审计师对财务报告内部控制 有效性的报告。 （三）外部审计师 sox法案的404条款要求发行 者的外部审计师对内部控制有效性的管 理层评价进行再评估，并发表报告。此 外，sox法案的第二章对外部审计师的 独立性进行了规定： *cia 19 201条款规定外部审计师向发行者执行审计服务的同时也提供非审计服务的行为是 非法的。 203条款要求外部审计师每五年对其负责审计项目的合伙人或负责复核该审计项目 的合伙人进行轮换。 204条款要求外部审计师向审计委员会报告：“(1)使用的所有关键性会计政策及 会计惯例；(2) 管理层讨论过的财务信息的所有可供选择的处理方法(这些方法在公认会 计原则范围之内)，使用这些可选择的披露及处理方法的分歧，以及注册会计师事务所优 先采用的处理方法；(3) 注册会计师事务所和公司管理层进行沟通的其他书面材料，如管 理建议书及未调整差异明细表。 *cia 20 六、建议性内部审计作用 内部审计在执行302和404 条款遵循性工作时，不得违背国际内 审准则对内部审计独立性和客观性的 要求。国际内审准则建立了一个有效 的内审工作框架，而且内审在帮助公 司满足302和404条款责任中起到 的作用应该与国际内审准则的要求保 持一致。本节所述的内部审计作用是 与国际内部审计准则的要求一致的。 *cia 21 内部审计师在执行302和404条 款遵循性工作时涉及的工作如下： 项目监督； 咨询和项目支持； 持续性监督和检查； 项目审计。 管理层有责任执行必要的程序以 满足sox法案的管制要求。内部审计应 当起到支持管理层执行他们职责的作用 。 *cia 22 （一）项目监督 参与项目指导委员会，向项目组提供 建议并监督项目进度和方向。 充当外部审计师和管理层间的沟通桥 梁。 *cia 23 （二）咨询和项目支持 对于范围内的程序提供存在 的内部审计文档。 对最佳的实践文档标准，工 具和测试战略提供建议。 对管理层和程序的执行者提 供项目、风险和控制知识的培训。 在递交外部审计师之前，对程 序文档和主要控制进行质量保证检查 。 *cia 24 （三）持续的监督和测试 对执行测试的计划、范围和频率 向管理层提出建议 独立地评估管理层的测试和评估 过程。 对管理层声明的基础进行测试。 执行有效性测试（当外部审计师 高度信赖时）。 帮助确认控制缺口，检查管理层 改进控制缺口的计划。 *cia 25 执行后续检查以判断控制缺口是否已 经被充分确定。 在测试计划和范围的讨论中，在管理 层和外部审计师之间扮演协调者的角色 参与到信息披露委员会，以确定持续 的内部审计工作和其他检查工作，如外部规 章检查，提供给委员会以判断是否进行披露 。 另外，组织从内部审计的建议角色获 得超额的利益，这种建议包括增强管理层关 于风险和控制，有力的控制环境和外部审计 费用可能的下降的认识。 *cia 26 （四）项目审计 帮助确信公司初始时是被很好管 理的，有一个对组织的积极影响。他们 的保证角色支持高级管理层、审计委员 会、董事会和其他利益相关者。 在计划对于项目审计可能使用的 许多方式时，使用一个以风险为基础的 方法。审计最佳实践建议内部审计师应 当介入到整个项目的生命周期中，而不 仅仅是事后审计。 *cia 27 七、实践的判断 在帮助管理层遵守sox法案 时，内部审计工作取得理想的角色并 不是经常可能或是现实的。每个组织 将有它自己的一套内部控制环境和自 己的一套资源限制，如人力、时间、 信息技术和地理的分布。 *cia 28 不同的情况和不同的资源限制可能导 致内部审计工作的许多角色。 在判断内部审计工作的角色是否恰当 时，要考虑以下因素：对特定的作业负有责 任是对作业的客观性的一种损害。（属性标 准1130.a1）。一个内部审计师对于特定 的作业是否承担责任取决于不同情况。一般 来说，内部审计师积极参与制订或指导主要 管理决定将损害客观性。 当内部审计师对系统建议控制标准或 在它们运用前检查程序时，内部审计师的客 观性不受损害。如果内部审计师设计、安装 、草拟程序或操作这样的系统，他的客观性 被认为是受到损害。（实务指南1130.a1 ） *cia 29 判断内部控制是内部审计师的一个 正常角色，并不影响独立性或客观性。但是 ，做出关键的管理决策损害内部审计师的独 立性或客观性。（实务指南1000.c1-1） 投入很大的力量到非保证行为可能不 会损坏独立性；但是，cae应当做出以下判 断，即在完成其他的计划中的保证活动时执 行非保证工作的影响（包括风险）。 剩下的部分讨论内部审计工作可能被 要求执行的潜在服务和提供这些服务的影响 。 *cia 30 （一）咨询的源泉 内部审计师扮演一个咨询角色可能被 要求帮助组织确认、评估和运用风险和控制 评价方式以及对确定的相关风险建议控制措 施。但是，决定采纳或运用建议，这些建议 是内部审计建议服务的结果，应当由管理层 做出。 *cia 31 一个内部审计师可能被要求参与一个 新程序的设计和运用过程，帮助管理层评价 对于财务报告的内部控制。如果内部审计师 的行为被限制在评价新的程序，对确定的相 关风险的控制定义一个参考指南，内部审计 师的客观性并不受到损害。 另外，如果内部审计师是项目组的一 个成员，该项目组是用来选择管理层准备使 用的评价方式和工具，或定义档案标准时， 客观性不能被判断为受到损害。另一方面， 如果内部审计师运用新的程序以弥补控制缺 口，内部审计师的客观性可能被认为受到损 害。 *cia 32 （二）作为管理层完成记录或测试的 有力助手 如果管理层没有记录他们的控制环境 ，或者因为没有足够的资源在规定的时间里 完成这项工作，那么内部审计师就要帮助管 理层记录他们的内部控制。 但如果内部审计在帮助管理层记录他 们的内控时关系过于紧密，以至于承担了一 定决策角色（例如在记录程序中去执行内部 控制），客观性将会受到妨害。 404条款要求管理层测试财务报告内 部控制的设计和运行有效性，并就它们是否 有效发表观点，来支持他们因为法律需要而 做出的声明。 *cia 33 理论上来讲，管理层应该设计测试程 序来验证这些控制的有效性，这些测试应该 由某些中立人士而非所有者和运营者来做。 内部审计可以帮助管理层来设计和执行这些 对内控有效性的测试，但其介入这种测试的 程度应该被明确界定，并被管理层、内部审 计师和审计委员会认可。 无论在何种情况下，管理层都应该就 控制设计和运行的有效性做出最终决策，包 括是否进行修正，怎样进行修正，以及支持 管理层做出声明的信息是否充分。 *cia 34 （三）作为项目管理层 内部审计师一般在管理大型且复杂 的项目、保证关键成果及时提供方面非常熟 练。因此，内部审计师可能被要求在与404 条款遵循相关的所有工作中扮演项目管理层 的角色。 项目管理层将对如下工作负责：监督 项目进程，及时协调沟通项目的阶段性结果 ，及时监控当前工作和预定时间表的一致性 。如果内部审计师的角色被严格限制在这些 管理任务中，客观性将不大可能受到妨害。 *cia 35 然而，如果项目管理者成为下列工作 中起决定作用的角色，如工作成果是否可以 接受，项目的阶段性完成是否可以通过，项 目组内的资源如何分配，或者其他类似的管 理活动，内部审计的客观性将会受到妨害。 （四）作为内部控制培训或信息提供 者 内部审计师可以提供培训以及内部控制界定 和评估，风险管理，测试计划开发（在不妨 害独立性的前提下）方面的信息。作为公司 内部控制的专家，这是他们天然的角色。 *cia 36 （五）作为控制自我评估发起者 内部审计师经常作为控制自我评估的 发起者，并对它有相当的促进。控制自我评 估经常被管理者作为记录或评估内部控制的 有效的、便利的手段。 如果内部审计师只是提供信息、培训 或促进一项控制自我评估，独立性可能不会 受到妨害。然