Sox内控审计规定.doc

Q1Q27, 中国企业合规工作答疑之一: 关于萨班斯法案Q1. 什么是萨班斯法案？ A1.安然事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国总统于2002年7月颁布了2002年萨班斯奥克斯法案（简称SOA）。该法案第404条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效出具管理层自我评价报告，并且由公司的外部审计师审核并测试该等内部控制是否有效。 Q2. 违反SOA法案要承担什么责任？ A2. 对虚假声明的刑事处罚：刑事处罚 无论是谁 (1) 明知包括财务报告在内的定期报告未能满足本节提出的全部要求，却签署了本节(a)条和(b)条所述之证明的，应该被处以不多于100万美元的罚款，或不多于10年的监禁，或并罚；或 (2) 明知包括财务报告在内的定期报告未能满足本节提出的全部要求，却故意签署了本节(a)条和(b)条所述之证明的，应该被处以不多于500万美元的罚款，或不多于20年的监禁，或并罚。（引自SOA法案906节） Q3. 为什么要遵守SOA法案？ A3. 目前所有在美国上市的公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，都必须遵守萨班斯法案。 Q4. 目前的SOA项目主要做什么？ A4. 该项目主要是在审计师进行审计工作之前，企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷（定义请参见Q20），对于存在重大控制缺陷的地方（即针对关键控制的控制设计失效、或者控制执行失效的地方）进行修改。 Q5. SOA项目的目标是什么？ A5. SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效，从而为财务报告可靠性目标提供有效支持。 Q6. SOA项目主要包括哪些方面的工作？ A6. SOA项目主要涉及三个层面的工作需要进行准备，包括：公司层面控制、流程层面控制、一般信息技术控制。 Q7. SOA项目中各级员工需要做什么？ A7. 在这个SOA项目中，所有员工（各个级别；公司内各家子公司）要积极配合公司的工作和要求，及时按照要求提供所需的资料，以及对发现的内部控制缺陷实施修补措施。最终，公司的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。 Q8. 什么是控制矩阵（Control Matrix）？ A8. 控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出存在与财务报告相关的内部控制，并需要满足并达到的内部控制目标（Control Objective）和控制活动(Control Activities)，公司通过控制矩阵这样一种形式，将一项控制活动有条理的、有重点地予以记录，从而便于据此遴选关键控制和进行测试。并且，该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。 Q9. 控制目标是如何确定的？ A9. 控制是风险的反面，因而控制目标的设定是从分析哪里会出错的角度，判断哪些因素会影响到财务报表中的某会计科目，或财务报告的某披露事项的完整性、存在或发生、估价与分摊、权利与义务、表达与披露等管理层的认定，从而划分风险的类型和性质，判定相应的控制活动以达到实现管理层的认定的目标，即控制目标。 Q10. 什么是控制活动？ A10. 控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的人 的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。Q11. 公司层面控制有何重要性？要记录和验证哪些方面？ A11. 在萨班斯法案合规方面，公司层面的控制是最为关键的。公司层面的控制措施反映了公司的内部控制文化，并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。一旦在这个环节中出现了重大问题，将可能导致公司内部控制体系的执行效果出现重大控制缺陷。记录公司层面的内部控制，我们主要采用以公司层面控制问卷的形式来协助管理层对公司的内部控制环境作出自我评价。在采用公司层面控制问卷对企业进行内部控制进行记录时，主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据的收集。Q12. 什么是COSO？ A12. COSO, The Committee of Sponsoring Organizations of The tread way Commission. COSO是一个自发组建的私立机构，其宗旨是通过提升商业伦理、完善内部控制和企业管制，来改善财务报告的质量。在1985年COSO成立之初，其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。 美国反财务报告舞弊调查委员会是由美国的主要5家专业人员从业协会所组建的，包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及美国全国会计人员协会（现更名为管理会计协会）。该反财务报告舞弊调查委员会与其所有赞助其成立的各家机构之间，相互独立，且容纳了来自于产业界、公众会计师、投资银行以及纽约证券交易所的人士。 Q13. COSO内部控制框架的主要内容是什么？ A13. COSO内部控制框架主要包含以下内容：企业内部控制的目标、企业内部控制的要素、企业内部控制的执行层次。 Q14. 内部控制的主要目标是什么？ A14. 内部控制是一个过程。它受到公司的董事会、管理层以及其他人员的影响。COSO内部控制框架指内部控制的三大主要目标，即：经营的效率和效益，财务报告的可靠性，以及对相关法律和法规的遵循度。 Q15. COSO内部控制框架的要素是什么？ A15. COSO内部控制整合框架把内部控制划分为五个相互关联的要素，分别是（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。如今，在原有的1992年版的五个要素的基础上，COSO于2004年颁布的企业全面风险管理框架中，其构成要素增加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中。于2007年9月，COSO内控框架的理论体系又有所发展，出台了针对内控体系中监督要素操作指引的讨论稿。Q16. 什么是控制缺陷？ A16.当控制的设计或执行，不足以使得管理层或雇员在正常执行既定任务时，及时的预防或检查出与财务报告相关的错报或漏报事项，则此时即存在与财务报告相关的内部控制的控制缺陷（详细请参照PCAOB AS5）。该等缺陷分两种：设计方面的缺陷；执行方面的缺陷。Q17. 什么是控制的设计缺陷？ A17. 控制的设计缺陷包括：(a) 一项本应用来满足控制目标的控制，不存在；或 (b) 一项已然存在的内部控制，没有被正确的设计，以致于即使该内部控制如预期般操作，仍不能保证控制目标总是能达到。 Q18. 什么是控制的执行缺陷？ A18. 控制的执行缺陷是指，一项经过良好设计的控制未能如预期般地执行，或者执行该控制活动的人员不具备相应权限、资质，以至于不能有效的操作该控制活动。 Q19. 什么是重要控制缺陷？ A19. 一项重要控制缺陷，是指一项或一组与财务报告相关的内部控制的控制缺陷，其影响程度较重大控制缺陷为弱，但仍足以引起那些负责监督公司财务报告的人士注意的控制缺陷（详细请参照PCAOB AS5）。Q20. 什么是重大控制缺陷？ A20. 一项重大控制缺陷，是指一项或一组与财务报告相关的内部控制的控制缺陷，由于该缺陷的存在，将在合理的可能性基础之上导致公司的年度或季度财务报告的重大错报不能被及时地预防或检查出来（详细请参照PCAOB AS5）。Q21. 什么是PCAOB？ A21. 公众公司会计监察委员会（Public Company Accounting Oversight Board, PCAOB）是一家私营的非盈利机构，根据2002年的萨班斯奥克斯利法案创立，目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告，以保护投资者利益并增进公众利益。 Q22. 重大控制缺陷的因素包括什么？ A22. 依据PCAOB第五号审计准则（AS5）的规定，表明与财务报告相关的内部控制可能存在重大控制缺陷的因素包括： - 高级管理层的舞弊行为，无论其是否重大； - 针对以往财务报告的重大错报的会计差错更正或重新表述； - 审计师注意到的当期财务报告的重大错报，且该错报表明以公司的与财务报告相关的内部控制是无法检查出这样的错报的；以及 - 公司的审计委员会未能有效的对公司的外部财务报告和与财务报告相关的内部控制进行监控。 Q23. 如何解决内部控制缺陷？ A23. 首先就识别出的内部控制缺陷与控制执行人员达成共识，然后实施相应的整改计划，例如完善政策或程序的文档、加强职责分工等等；针对IT控制，还需补充控制点或完善软件控制。另外，还要制定若干轮次的测试计划，以验证1）原有缺陷得到补救；2）没有发生新的缺陷。Q24. 404条款对相关公司有哪些年度性工作要求？ A24. 萨班斯法案404条款要求SEC规定各发行人（注册投资公司除外）须提交一份内部控制报告，其中须包含公司管理层关于与财务报告相关的内部控制的有效性做出的认定声明。此外，404条款也规定，公司审计师须根据公众公司会计监察委员会制定的准则对公司管理层关于与财务报告相关的内部控制的评估进行验证并提供报告。 Q25. 公司层面和流程层面控制的本质区别是什么？A25. 企业的内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通及监控五大要素构成，从企业内部控制的评估层次来看又可分为公司层面控制和流程层面控制。具体的说，公司层面控制是指那些围绕整体组织层面的有普遍深入影响的控制，公司层面控制存在于所有五要素内部控制之中。流程层面控制不同于公司层面控制，它是针对某一具体的业务流程而言的，目的是能够降低流程运转过程中的风险和为实现流程目标提供保障。通过执行有效的公司层面控制能够在组织整体层面上降低组织的风险，提高组织目标实现的可能性，但并不是仅执行有效的公司层面控制就足够起到降低风险的作用，还需要辅之以有效的、足够的流程层面控制。Q26. 什么是小规模报告公司A26.一家小规模报告公司定义：不是一家投资公司，不是一家资产证券化的发行人（定义来源于美国联邦管理法规第17章第229.1101条）， 也不是一家由并非小规模报告公司的母公司控股的子公司。小规模报告公司是指：(1) 最近结束的第二财政季度的最后一个营业日其公众持股金额低于7,500万美元，计算依据是非关联方持有的总计股数（包括拥有投票权和无投票权的普通权益股票）乘以当日价格、或在主流市场中该股票的平均交易价格；或（2）如果是依据证券交易法首次注册登记，在注册登记后的30天内当公众持股金额低于7,500万美元，计算依据是总的非关联方持有的股数以及注册登记中包括的拟发行股票数之和乘以股票预计发行价格；或 (3)在条件 (1) 或 (2)下，公众股数为零的发行人，其经审计过的财务报表显示最近的财政年度收入不到5,000万美元的。Q27. 小规模报告公司和非加速申报人有什么不同？A27.参见美国联邦管理法规第17章第240.12b-2条，虽然在小规模报告公司的定义与非加速申报人（仅因为该公司是不符合 加速申报人和大型加速备案 定义的非加速申报人）的定义有重叠，小规模报告公司和非加速申报人并不等同。例如，一家公司已公开发行了债券，但没有发行股票，这家公司则会被认定为一个非加速申报人，尽管它可能不符合 小规模报告公司的定义。许多公司是仅仅是债券发行人，却也是满足加速申报人或大型加速申报人的条件的大型上市公司的子公司。AbbreviationEnglishChinese10-K年报10-Q季报8-K重大事项公告Accelerated filers加速申报人AMEXAmerican Stock Exchange全美证券交易所/美国证券交易所Anti-fraud反舞弊Audit trail审计轨迹Auditing Committee审计委员会AS2Auditing Standard No.2审计准则第2号AS5Auditing Standard No.5审计准则第5号Automatic controls系统控制Business unit业务单元Change control（针对系统变更的）控制Checklist检查事项清单Code of Conduct员工行为准则Compensation Committee薪酬委员会C,A,V,RCompleteness, Accuracy, Validity, Access restriction完整，准确，有效，访问限制C,EO,RO,VA,PDCompleteness, Existence or Occurrence, Rights and Obligations, Valuation or Allocation, Presentation and Disclosure完整性，存在或发生，权利与义务，估价或分摊，表达与披露Compliance合规Compliance test符合性测试Compliance year合规年度Control Activities控制活动Control Environment控制环境Control frequency控制频率Control objectives控制目标CobitControl objectives for information and related technologies信息及相关技术控制目标COSO internal control frameworkCOSO内部控制框架Deficiency一般控制缺陷Design deficiency控制的设计缺陷Disclosure committee披露委员会ERPEnterprise resource plan企业资源规划ERMEnterprise risk management企业风险管理Entity level公司层面FASBFinancial accounting standards board美国财务会计准则委员会Financial report财务报告Financial statement财务报表Flow chart流程图Gap summary缺陷汇总表Gaps identified缺陷识别Independence letter独立性声明Independent directors独立董事Information & communication信息与沟通Input control（关于数据的）输入控制inquiry询问Inspection检查Internal audit committee内部审计委员会Internal control内部控制ICFRInternal control over financial reporting与财务报告相关的内部控制IFRSInternational financial reporting standards国际财务报告准则ITGCIT general controlIT一般控制Key control关键控制点KPIKey performance indicator绩效考核Management assertions管理层（关于财务报表）的认定Management self-assessment管理层自我评估Manual controls手工控制Material weakness重大控制缺陷Monitoring监控Narrative流程描述NASDAQNational association of securities dealers automated quotations全美证券商协会自动报价系统，简称“纳斯达克”NYSENew York stock exchange纽约证券交易所Nominating and governance committee提名及公司管治委员会Non-accelerated filer非加速申报人Observation观察OAOffice automation办公自动化系统Operation deficiency控制的执行缺陷Operation process level业务流程层面Outstanding list未决事项清单OTCBBOver the counter bulletin board场外柜台交易系统Public company公众公司PCAOBPublic company accounting oversight board（美国）公众公司会计监察委员会Remediation action整改方案Re-perfor