精品资料（2021-2022年收藏的）萨班斯SOX404工作方法论培训.

1、 中国明阳风电集团SOX404目录内容1、萨班斯法案背景简介背景简介PCAOB 第五号审计准则概述2、风险种类及案例介绍3、SOX404项目工作方法解析总述项目范围确定公司层面流程层面Page 11萨班斯法案背景简介Page 2什么是萨班斯法案Page 3 1、萨班斯法案背景简介§正式的名称是“公众公司会计改革与投资者保护法案”§于2002年7月30日由布什签署颁布§最受市场关注的是404条(SOX404，即关于内部控制评估的规定§要求公司在年报里申明有关财务报告内部控制的有效性，以及审计师必须出具鉴证报告Page 4萨班斯法案诞生的原因及背景v安然事件

2、大震惊暴露了美国证券市场操作和监管体系的严重问题v世界通讯美国国会法案v使命：重建投资者信心；提升透明度；改革会计 行业Page 51、萨班斯法案背景简介（续）v萨班斯-奥克斯利法案对在美国上市的公司须承担的责任建立了新的规范, 并提出了新的财务报表要求明确了公司首席执行官、首席财务官和审计委员会的职责，要求其承担比以往更高层次的义务和更多的参与。在美国上市的外国公司同样适用萨班斯法案的内容第一章第二章第三章第四章第五章第六章第七章第八章第九章第十章第十一章上市公司会计监管委员会审计师独立性公司责任（第302节）对财务报告披露的加强（第404节）分析师利益冲突委员会资源及权利研究与报告公司及刑

3、事舞弊白领犯罪处罚（第906节）公司税务公司舞弊vvPage 61、萨班斯法案背景简介PCAOB 第5号审计准则PCAOB 第5号审计准则的主要内容美国PCAOB 组织新颁布的第5号审计准则的最新审计要求如下：关注最重要事项的审计采用自上而下，以风险删除不必要的流程外部审计师不需就管理对较小规模公司的审计方法根据公司规模确定审计简化准则及其要求简化准则更加关注于总则而非具为导向的审计方法关注重大错报风险最大的领域风险评估贯穿审计范围，包括决定了判断控制有效性所需证据的数量强调舞弊风险、反舞弊控制和期末关帐程序的重要性。层有关内控有效性的自我评价出具审计意见在多地区审计的范围确定中，关注存在风险

4、的地区而非审计覆盖面（废除“大部分地区”审计覆盖面的要求）取消对依赖他人工作成果的限制（取消“主要证据”的要求）工作范围的方法是以风险为导向的审计方法的自然延伸根据公司规模确定审计工作范围的概念贯穿整个审计流程，但未要求对公司规模和复杂程度对审计的影响进行文档记录保留对规模较小、复杂程度较低公司的审计工作的特征，他们也可能适用于对较大规模公司的某些商业实体的审计体要求对某些关键术语和概念的定义更加清晰与美国证监会的规则和管理层指引中的关键术语和概念保持一致Page 71、萨班斯法案背景简介PCAOB 第5号审计准则PCAOB 第5号审计准则的影响对管理层内控评估的影响应充分利用以风险为导向的评

5、估方法框定404工作范围，针对高风险的业务和流程进行内控评估，从而节省和更有效运用资源及成本。致力建立一个有效的公司层面内控制度，短期效益（本年度）是减低对流程层面内控的测试，减低所需工作时间及成本；长远来说，稳健的公司层面内部制度是公司健康成长的根基。外部审计师将不需就管理层有关内控有效性的自我评价出具审计意见，使管理层能更自主地使用最适合本身情况的方法进行评估，增加项目的灵活性。与外部审计师合作的影响由于第5号审计准则容许外部审计师依赖第三方评估的证据，外部审计师能根据管理层准备的评估资料作为审计证据，此能减少审计师的工作时数，为公司与外部审师商讨审计费用时提供更多的筹码。Page 82风

6、险种类及案例介绍Page 93、风险种类及案例介绍什么是风险是指能够对企业目标产生负面（威胁）或正面（机会）影响的不确定性。联系上市公司遵循萨班斯（SOX ）法案的相关要求，风险主要是指基于现有的内控系统无法防御、检查或更正与财务报表认定（如账户余额或交易分类）相关的重大的错报和漏报。Page 102、风险种类及案例介绍企业的风险一般可以分为四大类：战略风险运营风险财务风险合规风险Page 112、风险种类及案例介绍（续）战略风险是指企业在战略的制订和实施上出现错误，或因未能随环境的改变而作出适当的调整，从而导致经济上的损失。企业经营目标与方针制定、业务范围投资与融资策略市场定位、品牌及形象的

7、建立并购风险控制环境及高层管理风格Page 122、风险种类及案例介绍（续）战略风险案例-香港百富勤公司(Peregrine90年代，百富勤原是亚洲(除日本外 的最大投资银行。90年代末，百富勤没有充分意识到新兴金融市场的风险，并且低估了利率和汇率波动的风险，集中大量投资于印尼和泰国市场。在亚洲金融风暴的冲击下，百富勤在短短一年内出现入不敷出，至1999年1月宣布破产。Page 132、风险的种类及案例（续）运营风险是指企业内部流程和系统、人为或外部因素而给企业造成的经济损失。产品设计、质量不达标或不合市场需求交易流程中出现错误，如销售流程中（包括定价、记录、确认、出货等环节）出错而导致损失系

8、统出错是指系统失灵、数据的存取和处理、系统的安全性和可用性、系统的非法接入而使用导致损失人为因素，如员工缺乏知识和能力、诚信及道德操守而导致损失Page 142、风险的种类及案例（续）运营风险案例-英国巴林银行(Barings Bank巴林银行在90年代前是英国最大的银行之一，有超过200年的历史。1992-1994年期间，由于缺乏足够的职责划分以及上级对下级从事业务的监控机制，巴林银行新加坡分行总经理里森(Nick Leeson在从事日本大阪及新加坡交易所之间的日经指数期货套期对冲和债券买卖活动中，累计亏损超过10亿美元。巴林银行因此于1995年2月破产。Page 152、风险的种类及案例（

9、续）合规风险是指企业因违反法律、法规或规定，或侵害其他利益相关者的权益，而导致企业遭受经济或声誉损失的风险。国内外政治法律环境与政策员工道德操守重大协议与合同的遵守与履行法律纠纷知识产权Page 162、风险的种类及案例（续）合规风险案例家乐福原告路易威登马利蒂公司诉称：其为法国公司，在中国注册了“”等五个商标。年上半年，原告发现被告“家乐福”武宁店以特价促销的方式销售的三款女式包使用了与原告个注册商标相同或近似标识。原告认为，被告的上述行为给原告的商标权和商誉造成了严重的损害，构成商标侵权。判决被告停止侵权，赔偿原告经济损失共计人民币万元。Page 172、风险的种类及案例（续）财务风险包括

10、会计核算及财务报告失误而造成的损失。成本计算方法不正确资金管理出现问题，导致资金挪用或贪污会计及财务报告风险税务风险资本结构及流动性风险，如负债过多，资金周转困难Page 182、风险的种类及案例（续）财务风险案例四川长虹四川长虹是中国最大的家电制造商之一由于在对外贸易中过多关注争夺客户和市场份额，2002年前后，在无法收回海外代理商货款的情况下，仍然向海外发货，忽视应收账款坏账风险四川长虹在1998年至2003年间创造利润人民币33亿元，却有39亿元的海外欠款，最终不得不于2004年在美国向海外代理商提起诉讼，开始了长达一年半的跨国诉讼2006年4月四川长虹为尽早结束无休止的跨国诉讼与代理商

11、签订和解协议，可收回应收账款金额仅为人民币13.6亿元Page 193SOX404项目工作方法解析Page 203、SOX404项目工作方法解析总述SOX404项目的工作内容对公司层面内控和在流程层面与财务报告相关的内控措施的记录以及对其有效性（包括设计上和操作上）的评估。在公司层面内控的评审方面，广深确定以美国The Committee of Sponsoring Organizations of the Treadway Commission所颁布的对于内部控制框架的相关指引为依据（以下简称“COSO ”）工作目标为管理层能对公司与财务报告相关的内部控制系统作满意的评价结论打下基础。Pag

12、e 213、SOX404项目工作方法解析总述SOX404实施方法1. 制定项目范围2. 评估内控设计有效性3. 测试内控操作汇总报告有效性评估阶段理解内部控制的定义组织项目小组实施评估工作在全公司层面评估内部控制在流程、交易和应用层面，理解和评估内控设计有效性评估整体的有效性，找出有待改进的方面并建立一个监控体系管理层关于内部控制的报告COSO 报告中的选择适当人员着眼于全公记录和理解交易流程和定义是评估工组成工作组, 司层面的内相关内控是一个复杂、作的最佳起点并建立一些基控来开展评耗费时间的过程本要求估工作组织整个流程、项目小组和项目的时间准备文档记录、实施详细的测试并改正控制缺陷对内控的持

13、续实施进行测试和监督建立一个监控程序审计师检验管理层的结论Page 223、SOX404项目工作方法解析项目范围确定制定项目范围的过程包括主要以下几个步骤：一、决定合并财务报表层次的重要性水平二、识别合并财务报表层次的重要会计科目及披露信息三、识别关键业务流程并将其与重要会计科目配对四、决定多业务单元或工作地点的覆盖比例五、关键业务流程与重要工作地点及业务单元配对Page 233、SOX404项目工作方法解析项目范围确定一、决定合并财务报表层次的重要性水平1.1、决定计划重要性水平及可容忍误差（所谓金额重大）采用年度化的合并财务报表作为主要基准以税前利润作为判断计划重要性水平的依据计划重要性水

14、平=税前利润*5%以计划重要性水平的75%作为可容忍误差报表里的会计科目金额超过可容忍误差的即被视为重要会计科目Page 243、SOX404项目工作方法解析项目范围确定一、决定合并财务报表层次的重要性水平（续）1.2、识别可以影响重要性水平的性质因素（所谓性质重大）科目由复杂的成分组成易受人为操纵或损失会计科目的性质特殊发生交易量大牵涉复杂的会计处理和披露要求账户余额牵涉主观判断存在关联方交易当期外部环境或报告的要求变化，及会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。Page 253、SOX404项目工作方法解析项目范围确定二、识别合并财务报表层次的重要会计科目根据已计算的财

15、务报表层次的重要性水平，识别金额重大的重要会计科目根据会计科目余额的性质识别性质重大的重要会计科目Page 263、SOX404项目工作方法解析项目范围确定二、识别合并财务报表层次的重要会计科目（续）对财务报表认定进行风险评估根据财务报表认定的五个方面（参见第81-85页）分别对财务报表各会计科目进行风险评分，评分标准如下：高-3分；中-2分；低-1分平均分大于2.33者为" 高"平均分大于或等于1.67但小于或等于2.33者为" 中" 平均分小于1.67者为" 低"Page 273、SOX404项目工作方法解析项目范围确定二、识别合

16、并财务报表层次的重要会计科目（续）例如，对固定资产的风险评估如下：会计科目固定资产完整性2存在或发生3估价与分摊3权利与义务3表达与披露2平均分2.6固定资产在本次项目中被认定为高风险会计科目。此外，财务报表认定风险评估结果可用于制作风险控制矩阵中对关键控制的判断，如在本评估表中反映为“低”风险的财务报表认定，其相关的控制将不被列为“关键控制”。Page 284、SOX404项目工作方法解析项目范围确定（续）三、识别关键业务流程并将其与重要会计科目配对将识别的业务流程/业务循环根据其业务种类及操作逻辑划分为子流程。（对流程的划分需要基于公司业务的理解来进行，因此执行此项工作的人员需要对公司业务

17、具有较全面地了解）将识别出的各业务流程与其产生直接影响的会计科目进行配对，见下表例：主流程销售与收款子流程收款呆坏账计提采购与付款供应商选择采购合同与采购订单审批收货应付账款管理付款供应商主档案维护Page 29主流程现金与资金管理固定资产子流程库存现金管理银行存款管理采购申请及审批固定资产折旧固定资产盘点资产维护与处置在建工程核算减值准备3、SOX404项目工作方法解析项目范围确定四、决定多业务单元或工作地点的覆盖比例4.1 通过评估每个业务单元或工作地点的重要性及对每一个业务单元或工作地点进行分类, 识别要测试的业务单元或工作地点并评估覆盖比例：由于业务单元规模巨大而被个别视为重要由于业务

18、单元面对特定风险而被视为重要个别规模不大，但与其他规模不大的业务单元加起来总规模巨大个别规模不大，与其他规模不大的业务单元加起来总规模仍然不大Page 303、SOX404项目工作方法解析项目范围确定四、决定多业务单元或工作地点的覆盖比例（续）4.2 根据规模决定重要的业务单元和工作地点：单个重要的业务单元或工作地点应满足以下一个或一个以上的条件：总收入的5%税前利润的5%总资产的5%总所有者权益的5%4.3 根据以下标准决定哪一个业务单元或工作地点面对特定风险：会计科目余额大于计划重要性水平的视为重要会计科目，相关的流程进入覆盖范围。根据对明阳风电业务的了解进行判断。Page 313、SOX

19、404项目工作方法解析项目范围确定四、决定多业务单元或工作地点的覆盖比例（续）4.4 决定哪一家个别规模不大，但与其他规模不大的子公司加起来总规模大4.5 决定哪一家个别规模不大，其他规模不大的子公司加起来总规模仍然不大Page 323、SOX404项目工作方法解析项目范围确定五、关键业务流程和重要工作地点及业务单元配对根据重要性水平及风险评估结果识别出各重要业务单元的重要业务流程将重要业务流程、重要会计科目及重要业务单位配对，得出我们将要进行评估和测试工作的具体范围Page 33 4、SOX404项目工作方法解析项目范围确定（续）五、关键业务流程和重要工作地点及业务单元配对（续）Page 3

20、43、SOX404项目工作方法解析公司层面公司层面的内部控制评估 方法方面控制环境审计及企业咨询服务需考虑的因素§§§§企业的管理文化，对员工诚信、道德和行为的要求控制意识和经营风格董事会或审计委员会的监管组织结构、权限和责任风险评估§风险评估流程§对重要事件的预测、识别和反应机制§§§§§§§§§重要流程的政策和程序手册明确的财务目标，并对其主动监控合理的职责分离预算与实际情况的定期比较对文件、记录和财产的适当保管清晰的沟通渠道和汇报路线完整、

21、详细和及时的财务和管理报告持续开发、测试和监控计算机系统和程序计算机业务持续性系统和应急计划控制活动内部监控评估Considerations for Evaluating Internal Controlat the entity Level信息和沟通监控§对内部控制的定期评估和监督§实施改进建议§建立内部审计职能以实施监控Page 353、SOX404项目工作方法解析公司层面公司层面的内部控制评估方法（续）控制环境：反映公司董事会、管理当局和其他相关主体对控制重要性的总体态度、意识和行为，以及对有关公司政策、日常程序、方法和组织结构的控制的重视程度。是公司管理活

22、动执行人员的操守，以及管理人员实施管理活动的环境，主要内容包括：诚信与道德价值致力于能力的承诺董事会或审计委员会的参与管理哲学以及管理风格公司结构与权威和责任的分配人事政策与惯例Page 363、SOX404项目工作方法解析公司层面公司层面的内部控制评估方法（续）风险评估：确立目标与机制以识别、分析和管理风险，主要内容包括：评估可谨慎接受的风险程度建立在总公司与分公司层面上识别与分析风险的程序区分风险高低程度，计划控制活动Page 373、SOX404项目工作方法解析公司层面公司层面的内部控制评估方法（续）控制活动：控制活动是使管理当局的指示得以贯彻执行的政策和程序。制定政策决定应进行工作使政

23、策生效的程序与风险评估结合Page 383、SOX404项目工作方法解析公司层面公司层面的内部控制评估方法（续）信息与沟通：信息与沟通是获取和交换信息的程序，以使企业能够正常运行，并得到适当的管理及控制。及时准确的最新信息所有层次上对信息、期望和责任的沟通内部与外部的沟通Page 393、SOX404项目工作方法解析公司层面公司层面的内部控制评估方法（续）监控：评价一定时期内内部控制执行质量，并在情况变化下对内控进行适当的修改。监控是对一定时期内内部控制执行质量的评价程序，考虑相关内部控制是否能够满足最初设计的目标，并保证在不同情况下进行适当的修改。考虑并记录是否定期对内部控制进行评价；管理当

24、局是否采纳内部和外部审计师关于内部控制的建议；是否存在内部审计部门以协助管理当局进行监控。Page 403、SOX404项目工作方法解析公司层面公司层面的内部控制评估方法（续）员工行为守则反舞弊程序人力资源程序风险识别、评估与管理经营计划与经营业绩分析内部审计审计委员会及董事会管理层基调与态度公司政策与流程内部控制活动信息与沟通风险评估（财务）投资策略管理Page 41 3、SOX404项目工作方法解析公司层面公司层面的内部控制步骤及工作成果公司层面内部控制评价通常首先通过设计针对公司层面重要控制内容的调查问卷，进行高级管理层的访谈，根据访谈结果撰写访谈纪要并完善问卷内容，然后获取相关资料进行审阅和测试，进行评价与反馈，形成缺陷报告并制定整改计划及实施整改来进行。在公司层面所进行的内控评价可以按照下面图示列明的程序来进行：文档检查/穿行测试内控缺陷汇总再测试Page 42 3、SOX404项目工作方法解析公司层面公司层面的内部控制步骤及工作成果（续）访谈前获取背景资料，了解相关信息准备访谈清单，确定访谈时间访谈中与被访谈者面对面沟通，语气平缓，避免过激或消极记录被访谈者提到的关键信