404萨班斯法案.

1、美国萨班斯奥克斯法案 302 和 404 条款下内部审计师的职责（部分）一、综述 .二、目的 .三、背景 .四、 404404 遵循性工作中阶段、工作和主要职责的简述五、 审计委员会、管理层和外部审计师作用小结 .（一） 审计委员会 .（二） 管理层 .（三）外部审计师 .六、 建议性内部审计作用 .（一）项目监督 .（二） 咨询和项目支持 .（三） 持续的监督和测试（四） 项目审计 .七、 实践的判断（一）咨询的源泉 .（二）作为管理层完成记录或测试的有力助手 .（三）作为项目管理层 . .（四） 作为内部控制培训或信息提供者 .（五） 作为控制自我评估发起者 .（六）作为披露程序证明者 .

2、八、如何处理对内部审计客观性的妨害一、综述随着各个公司逐渐展开对萨班斯奥克斯法案（以下简称“soxsox法案”）的遵循性工作，内部审计也就其在遵循性工作中的地位 和工作遇到一系列问题。 根据 404404 条款的要求，管理层需要建立、 健全财务报告内部控制， 并对其进行评价， 同时外部审计师要对 上述评价进行再评价。302302 条款不仅要求管理层每季度对财务报 告相关内部控制进行评价， 而且对信息披露方面的控制和程序也 要进行评价。保证对 SOXSOX 法案 302302、 404404 及其他条款的遵循性是公司管理层不 可推卸的责任。 帮助管理层履行上述职责是内部审计的职责。 参 与公司

3、404404 遵循性工作是内部审计的重要工作， 但是上述工作要 与内部审计总体目标和章程相一致。 无论内部审计涉入 404404 遵循 性工作中的层次和性质是什么样的，都不应该违背内部审计的客 观性和其监督公司主要风险区域的职能。 由于404404 遵循性工作与 内部审计工作有本质的联系， 内部审计经常被迫全力融入 404404 遵 循性工作。国际内审协会对内部审计的定义是： 内部审计是一种独立客观的 保证与咨询活动，目的是为机构增加价值并提高机构的运作效 率，采取系统化、规范化的方法来对风险管理、内部控制及治理 程序进行评估和改善，以帮助机构实现目标。国际内部审计协会制定的内部审计职业实务国

4、际准则 （以下简称 “国际内审准则”）规定，首席审计执行官（以下简称“CAECAE”）要在与公司目标一致的前提下， 以风险为导向确定内部审计的工 作重点。内部审计在进行的风险评估以确定工作计划和工作重点 时，应将违反SOX法案的可能性作为风险之一进行考虑。内部审计应每年对该风险评估程序评估一次， 并与审计委员会讨论相关 的审计风险评估结果。CAECAE 应保证审计委员会实时了解内部审计在404404 遵循性工作中的职能和工作。 如果内部审计在遵循性工作中的某项职能会损害其 独立性或客观性，则这种情况必须事先上报审计委员会。此外， 由于参与 404404 遵循性工作而牵扯内部审计资源， 以至影响

5、现行或 未来的内部审计工作计划的情况也要及时上报审计委员会。 一旦 出现损害内部审计客观性的情况，CAECAE 及董事会应对该种情况对内部审计履行未来职责方面的影响程度进行判断。与国际内审准则的要求一致，SOXSOX 法案下内部审计也应该在不损害客观性和独立性的基础上提供保证和咨询， 以促进公司的风险 管理和公司治理。 管理层应负责建立使公司能够遵循萨班斯法案 的程序。内部审计理论上是通过咨询和保证提供支持。、目的 内部审计就其在 404404 遵循性工作中的地位和工作遇到一系列问题， 这些问题既包括短期问题， 也有长期性的问题。 本文的目的 是提供 CAE-CAE-些相关的指导，以帮助他们在

6、处理相关问题时既有 利于公司又满足国际内审准则对内部审计客观性和独立性的要 求。我们意识到不同企业对 SOXSOX 法案的披露要求的反应不一， 而且内 部审计在其中的职能也不尽相同。但是本文所描述是符合国际内审准则前提下最理想的内部审计 在遵循性工作中的职能。 本文的目的是提供一个实用的指南， 并 不要求强制执行。三、背景根据 404404 条款的要求， 管理层需要建立、 健全财务报告相关的内 部控制，并对其进行评价， 同时要求外部审计师对上述评价进行 再评价。而 30302 2条款不仅要求管理层每季度对财务报告相关内部 控制进行评价，而且对信息披露方面的控制和程序也要进行评 价。换而言之，S

7、OXSOX 法案对管理层和外部审计师都提出了要求。国际内部审计准则要求内部审计通过保证与咨询活动， 对风险管 理、内部控制及治理程序进行评估和改善。 内部审计工作程序应 合理保证：公司财务及经营信息的可靠、完整性；经营的效果、 效率性；资产安全性和对法律、法规、合同的遵循性。因此，内部审计在 404404 遵循性工作中的作用应该是通过咨询与保证活动 提供帮助，就像国际内审准则和实务指南中所要求的那样。虽然本文只就内部审计在 404404 遵循性工作中的作用进行指导，CAECAE 应该意识到内部审计的风险评估工作并不仅仅包含财务报告 和披露的程序。如果根据审计委员会和高级管理层的要求， CAEC

8、AE 需要对公司风险进行独立评估， 或按国际内审准则中要求的那样 对风险管理、 内部控制和公司治理进行评估和改善， 则内部审计 所必须获得并有效利用的资源要比帮助管理层实施其在财务报 告和披露的相关职能所需的资源更多。四、 404404 遵循性工作中阶段、工作和主要职责的简述 为满足 404404 条款的要求，公司需要制定一个包括若干阶段，及每 个阶段主要工作的计划。对于每项工作要指定相关的责任人。 下 面的表格列示了典型的阶段、 工作和责任人， 并简单对内部审计 的作用进行了建议性的描述：阶段/ /工作主要责任人建议内审作用计划阶段 计划项目发起人提供意见和建议；参与项目计划。确定范围项目组

9、提供意见和建议；参与项目计划。执行阶段记录部门经理；项目组；专业人员就管理层应采取的程序进行建议; 对项目质量进行监督。评价及测试部门经理；项目组；专业人员对管理层的记录进行独立评估；对内控进行有效性测试。处理问题部门经理；项目组;发现内控缺陷；帮助管理层就发现问题进行讨论。修正措施部门经理进行事后监督。监督高级管理层进行事后监督。报告阶段管理层报告高级管理和部门经理帮助确定报告内容；提供建议。外部审计报告外部审计师作为管理层和外部审计师的协调者。监督阶段持续性监督高级管理层执行跟进服务。定期评估项目组或部门经理 执行定期审计。五、审计委员会、管理层和外部审计师作用小结SOX法案明确了管理层、

10、审计委员会和外部审计师的各种作用， 但是该法案没有明确提出内审师的作用。（一）审计委员会尽管 SOXSOX 法案的 302302 和 404404 条款没有明确审计委员会的责任，301301 和 407407 条款对审计委员会的主要标准和信息披露进行了总体 的规定。301301 条款建立了某些要求审计委员会成员遵守的通用标准，这些 标准是：除了董事会费， 审计委员会成员不可以接受来自发行者或其分支 机构的咨询或其它补偿性费用， 也不能成为发行者或其分支机构 的关联人员；审计委员会对受雇于公司以编制、 出具审计报告或其它鉴证服务 为目的注册会计师事务所的聘用、酬金以及监督负直接责任； 审计委员会

11、必须设立程序以处理公司收到的关于其会计、 内部控 制和审计方面的投诉； 审计委员会认为履行职责必需时，有权聘请独立的顾问； 发行者必须提供审计委员会适当的资金以便于它履行职责。 407407 条款要求发行者在其年报中披露是否至少有一名财务专家在 审计委员会就职，如果是，该财务专家是否独立于管理层。对于 审计委员会中没有财务专家就职的发行公司， 必须披露这个事实 并解释原因。(二)管理层 302302 条款要求管理层在年度或季度报告中对披露有关的内部控制 和程序的有效性进行评价和报告。 首席执行官和财务总监必须保 证：他们已审阅过该报告，并相信报告中不存在重大的错报、漏报； 报告中的会计报表及其

12、他财务信息在所有重大方面， 公允地反映 了公司在该报告期末的财务状况及该报告期内的经营成果。他们对建立及保持内部控制负责； 设计了所需的内部控制， 以保 证他们能知道该公司的重要信息；评价公司的内部控制的有效 性；发布他们上述评价的结论。他们向公司的审计师和审计委员会披露如下内容： (1)(1) 内部控制 的设计或执行中，对公司记录、处理、汇总及编报财务数据的功 能产生负面影响的所有重大缺陷， 并向公司的审计师指出内部控 制的重大缺点； (2)(2) 在内部控制中担任重要职位的管理人员或其 他雇员的欺诈行为，而不论该行为的影响是否重大。 在报告中指明在他们对内部控制评价之后， 内部控制是否发生

13、了 重大变化，或是其他可能对内部控制产生重要影响因素的重大变化，包括对内部控制的重大缺陷或重要缺点的更正措施。SOXSOX 法案的 404404 条款要求管理层记录并评价其财务报告相关的内 部控制设计和运行， 并对其有效性进行报告。 内部控制报告必须 包含在年度报告中，并包括以下内容： 公司管理层认识到其建立和维护内部控制系统及相应控制程序 充分有效的责任； 管理层在评价中使用的框架； 公司对财务报告内部控制有效性的评价，以及管理层发现的内部 控制中重大弱点；表明外部审计师对管理层上述评价进行的再评价的报告； 外部审计师对财务报告内部控制有效性的报告。(三)外部审计师SOXSOX 法案的 40

14、4404 条款要求发行者的外部审计师对内部控制有效性 的管理层评价进行再评估，并发表报告。此外，SOX法案的第二 章对外部审计师的独立性进行了规定：201201 条款规定外部审计师向发行者执行审计服务的同时也提供非 审计服务的行为是非法的。203203 条款要求外部审计师每五年对其负责审计项目的合伙人或负 责复核该审计项目的合伙人进行轮换。204204 条款要求外部审计师向审计委员会报告：“ (1)(1) 使用的所有 关键性会计政策及会计惯例； (2)(2) 管理层讨论过的财务信息的所 有可供选择的处理方法 ( (这些方法在公认会计原则范围之内 ) ) ，使 用这些可选择的披露及处理方法的分歧

15、， 以及注册会计师事务所 优先采用的处理方法； (3)(3) 注册会计师事务所和公司管理层进行 沟通的其他书面材料，如管理建议书及未调整差异明细表。”六、建议性内部审计作用内部审计在执行 302302 和 404404 条款遵循性工作时， 不得违背国际内 审准则对内部审计独立性和客观性的要求。 国际内审准则建立了 一个有效的内审工作框架，而且内审在帮助公司满足 302302 和 404404 条款责任中起到的作用应该与国际内审准则的要求保持一致。 本 节所述的内部审计作用是与国际内部审计准则的要求一致的。 内部审计师在执行 302302 和 404404 条款遵循性工作时涉及的工作如 下： 项

16、目监督； 咨询和项目支持； 持续性监督和检查；项目审计。管理层有责任执行必要的程序以满足 SOXSOX 法案的管制要求。内部 审计应当起到支持管理层执行他们职责的作用。一）项目监督 . . 参与项目指导委员会，向项目组提供建议并监 督项目进度和方向。充当外部审计师和管理层间的沟通桥梁。（二）咨询和项目支持 对于范围内的程序提供存在的内部审计文档。 对最佳的实践文档标准，工具和测试战略提供建议。对管理层和程序的执行者提供项目、风险和控制知识的培训。 在递交外部审计师之前， 对程序文档和主要控制进行质量保证检 查。（三）持续的监督和测试 对执行测试的计划、范围和频率向管理层提出建议 独立地评估管理

17、层的测试和评估过程。 对管理层声明的基础进行测试。执行有效性测试（当外部审计师高度信赖时）。 帮助确认控制缺口，检查管理层改进控制缺口的计划。 执行后续检查以判断控制缺口是否已经被充分确定。 在测试计划和范围的讨论中， 在管理层和外部审计师之间扮演协调者的角色参与到信息披露委员会， 以确定持续的内部审计工作和其他检查 工作，如外部规章检查，提供给委员会以判断是否进行披露。 另外， 组织从内部审计的建议角色获得超额的利益， 这种建议包 括增强管理层关于风险和控制，有力的控制环境和外部审计费用 可能的下降的认识。内部审计可能要对高级管理层、 审计委员会、 董事会和其他利益 相关者等履行一个传统的保

18、证角色，即完成一个项目审计工作。（四）项目审计 帮助确信公司初始时是被很好管理的，有一个对组织的积极影 响。他们的保证角色支持高级高级管理层、审计委员会、董事会 和其他利益相关者。在计划对于项目审计可能使用的许多方式时， 使用一个以风险为 基础的方法。 审计最佳实践建议内部审计师应当介入到整个项目 的生命周期中，而不仅仅是事后审计。七、实践的判断 在帮助管理层遵守 soxsox 法案时，内部审计工作取得理想的角色并 不是经常可能或是现实的。每个组织将有它自己的一套内部控制 环境和自己的一套资源限制，如人力、时间、信息技术和地理的 分布。不同的情况和不同的资源限制可能导致内部审计工作的许 多角色

19、。 在判断内部审计工作的角色是否恰当时， 要考虑以下因 素： 对特定的作业负有责任是对作业的客观性的一种损害。 （属性标 准 1130.A11130.A1 ）。一个内部审计师对于特定的作业是否承担责任取 决于不同情况。 一般来说， 内部审计师积极参与制订或指导主要 管理决定将损害客观性。当内部审计师对系统建议控制标准或在它们运用前检查程序时， 内部审计师的客观性不受损害。如果内部审计师设计、安装、草 拟程序或操作这样的系统，他的客观性被认为是受到损害。 （实 务指南 1130.A11130.A1） 判断内部控制是内部审计师的一个正常角色， 并不影响独立性或 客观性。 但是，做出关键的管理决策损

20、害内部审计师的独立性或 客观性。（实务指南1000.C1-11000.C1-1 ）投入很大的力量到非保证行为可能不会损坏独立性； 但是，CAECAE应当做出以下判断， 即在完成其他的计划中的保证活动时执行非 保证工作的影响（包括风险）。剩下的部分讨论内部审计工作可能被要求执行的潜在服务和提 供这些服务的影响。（一） 咨询的源泉 内部审计师扮演一个咨询角色可能被要求帮助组织确认、评估和 运用风险和控制评价方式以及对确定的相关风险建议控制措施。 但是，决定采纳或运用建议， 这些建议是内部审计建议服务的结 果，应当由管理层做出。一个内部审计师可能被要求参与一个新程序的设计和运用过程， 帮助管理层评价

21、对于财务报告的内部控制。 如果内部审计师的行 为被限制在评价新的程序， 对确定的相关风险的控制定义一个参 考指南，内部审计师的客观性并不受到损害。另外，如果内部审 计师是项目组的一个成员， 该项目组是用来选择管理层准备使用 的评价方式和工具， 或定义档案标准时， 客观性不能被判断为受 到损害。另一方面， 如果内部审计师运用新的程序以弥补控制缺 口，内部审计师的客观性可能被认为受到损害。（二）作为管理层完成记录或测试的有力助手 如果管理层没有记录他们的控制环境， 或者因为没有足够的资源 在规定的时间里完成这项工作， 那么内部审计师就要帮助管理层 记录他们的内部控制。但如果内部审计在帮助管理层记录

22、他们的内控时关系过于紧密， 以至于承担了一定决策角色（例如在记录程序中去执行内部控 制），客观性将会受到妨害。404404 条款要求管理层测试财务报告内部控制的设计和运行有效 性，并就它们是否有效发表观点， 来支持他们因为法律需要而做 出的声明。理论上来讲，管理层应该设计测试程序来验证这些控制的有效 性，这些测试应该由某些中立人士而非所有者和运营者来做。 内 部审计可以帮助管理层来设计和执行这些对内控有效性的测试， 但其介入这种测试的程度应该被明确界定， 并被管理层、 内部审 计师和审计委员会认可。无论在何种情况下， 管理层都应该就控制设计和运行的有效性做 出最终决策，包括是否进行修正，怎样进

23、行修正，以及支持管理 层做出声明的信息是否充分。（三）作为项目管理层内部审计师一般在管理大型且复杂的项目、 保证关键成果及时提 供方面非常熟练。 因此，内部审计师可能被要求在与 404404 条款遵 循相关的所有工作中扮演项目管理层的角色。 项目管理层将对如下工作负责： 监督项目进程， 及时协调沟通项 目的阶段性结果， 及时监控当前工作和预定时间表的一致性。 如 果内部审计师的角色被严格限制在这些管理任务中， 客观性将不 大可能受到妨害。然而，如果项目管理者成为下列工作中起决定作用的角色， 如工 作成果是否可以接受， 项目的阶段性完成是否可以通过， 项目组 内的资源如何分配， 或者其他类似的管理活动， 内部审计的客观 性将会受到妨害。（四）作为内部控制培训或信息提供者 内部审计师可以提供培训以及内部控制界定和评估，风险管理， 测试计划开发（在不妨害独立性的前提下）方面的信息。作为公 司内部控制的专家，这是他们天然的角色。（五）作为控制自我评估发起者 内部审计师经常作为控制自我评估的发起者， 并对它有相当的促 进。控制自我评估经常被管理者作为记录或评估内部控制的有效 的、便利的手段。如果内