Sox内控审计规定.docx

1、E3q1Q27,中国企业合规工作答疑之一：关于萨班斯法案Q1.什么是萨班斯法案？A1.安然事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国总统于2002年7月颁布了2002年萨班斯奥克斯法案（简称SOA）。该法案第404条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效岀具管理层自我评价报告，并且由公司的外部审计师审核并测试该等内部控制是否有效。Q2.违反SOA法案要承担什么责任？A2.对虚假声明的刑事处罚：刑事处罚一一无论是谁一一（1）明知包括财务报告在内的定期报告未能满足本节提岀的全部要求，却签署了本节（a）条和（b）条所述之证明

2、的，应该被处以不多于100万美元的罚款，或不多于10年的监禁，或并罚；或（2）明知包括财务报告在内的定期报告未能满足本节提岀的全部要求，却故意签署了本节条和（b）条所述之证明的，应该被处以不多于500万美元的罚款，或不多于20年的监禁，或并罚。（引自SOA法案906节）Q3.为什么要遵守SOA法案？A3.目前所有在美国上市的公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，都必须遵守萨班斯法案。Q4.目前的SOA项目主要做什么？A4.该项目主要是在审计师进行审计工作之前，企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷（定义请参见Q20），对于存在

3、重大控制缺陷的地方（即针对关键控制的控制设计失效、或者控制执行失效的地方）进行修改。Q5.SOA项目的目标是什么？A5.SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效，从而为财务报告可靠性目标提供有效支持。Q6.SOA项目主要包括哪些方面的工作？A6.SOA项目主要涉及三个层面的工作需要进行准备，包括：公司层面控制、流程层面控制、一般信息技术控制。Q7.SOA项目中各级员工需要做什么？A7.在这个SOA项目中，所有员工（各个级别；公司内各家子公司）要积极配合公司的工作和要求，及时按照要求提供所需的资料，以及对发现的内部控制缺陷实施修补措施。最终，公司的管理层和员工将承担记录

4、和测试内部控制以及补救内部控制缺陷的责任。Q8.什么是控制矩阵(ControlMatrix)?A8.控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出存在与财务报告相关的内部控制“，并需要满足并达到的内部控制目标(ControlObjective)和控制活动(ControlActivities)，公司通过控制矩阵这样一种形式，将一项控制活动有条理的、有重点地予以记录，从而便于据此遴选关键控制和进行测试。并且，该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。Q9.控制目标是如何确定的？A9.控制是风险的反面，因而控制目标的设定是从分析“哪里会岀错“的角度，判断哪些因素

5、会影响到财务报表中的某会计科目，或财务报告的某披露事项的完整性“、“存在或发生“、“估价与分摊、权利与义务“、“表达与披露“等管理层的认定，从而划分风险的类型和性质，判定相应的控制活动以达到实现“管理层的认定的目标，即控制目标。Q10.什么是控制活动？A10.控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的人的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。Q11.公司层面控制有何重要性？要记录和验证哪些方面？A11.在萨班斯法案合规方面，公司层面的控制是最为关键的。公司层面的控制措施反

6、映了公司的内部控制文化，并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。一旦在这个环节中出现了重大问题，将可能导致公司内部控制体系的执行效果出现重大控制缺陷。记录公司层面的内部控制，我们主要采用以公司层面控制问卷的形式来协助管理层对公司的内部控制环境作出自我评价。在采用公司层面控制问卷对企业进行内部控制进行记录时，主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据的收集。Q12.什么是COSO?A12.COSO,TheCommitteeofSponsoringOrganizationsofThetreadwayCommission.C

7、OSO是一个自发组建的私立机构，其宗旨是通过提升商业伦理、完善内部控制和企业管制，来改善财务报告的质量。在1985年COSO成立之初，其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。美国反财务报告舞弊调查委员会是由美国的主要5家专业人员从业协会所组建的，包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及美国全国会计人员协会(现更名为管理会计协会)。该反财务报告舞弊调查委员会与其所有赞助其成立的各家机构之间，相互独立，且容纳了来自于产业界、公众会计师、投资银行以及纽约证券交易所的人士。Q13.COSO内部控制框架的主要内容是什么？A13.COSO内部控制框架主要包

8、含以下内容：企业内部控制的目标、企业内部控制的要素、企业内部控制的执行层次。Q14.内部控制的主要目标是什么？A14.内部控制是一个过程。它受到公司的董事会、管理层以及其他人员的影响。COSO内部控制框架指内部控制的三大主要目标，即：经营的效率和效益，财务报告的可靠性，以及对相关法律和法规的遵循度。Q15.COSO内部控制框架的要素是什么？A15.COSO内部控制整合框架把内部控制划分为五个相互关联的要素，分别是（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。如今，在原有的1992年版的

9、五个要素的基础上，COSO于2004年颁布的企业全面风险管理框架中，其构成要素增加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中。于2007年9月，COSO内控框架的理论体系又有所发展，岀台了针对内控体系中“监督“要素操作指引的讨论稿。Q16.什么是控制缺陷？A16.当控制的设计或执行，不足以使得管理层或雇员在正常执行既定任务时，及时的预防或检查出与财务报告相关的错报或漏报事项，则此时即存在“与财务报告相关的内部控制“的控制缺陷（详细请参照PCAOBAS5）。该等

10、缺陷分两种：设计方面的缺陷；执行方面的缺陷。Q17.什么是控制的设计缺陷？A17.控制的设计缺陷包括：（a）项本应用来满足控制目标的控制，不存在；或（b）项已然存在的内部控制，没有被正确的设计，以致于即使该内部控制如预期般操作，仍不能保证控制目标总是能达到。Q18.什么是控制的执行缺陷？A18.控制的执行缺陷是指，一项经过良好设计的控制未能如预期般地执行，或者执行该控制活动的人员不具备相应权限、资质，以至于不能有效的操作该控制活动。Q19.什么是重要控制缺陷？A19.一项重要控制缺陷，是指一项或一组与财务报告相关的内部控制的“控制缺陷“，其影响程度较重大控制缺陷“为弱，但仍足以引起那些负责监督

11、公司财务报告的人士注意的控制缺陷（详细请参照PCAOBAS5）Q20.什么是重大控制缺陷？A20.一项重大控制缺陷，是指一项或一组与财务报告相关的内部控制的“控制缺陷“，由于该缺陷的存在，将在合理的可能性基础之上导致公司的年度或季度财务报告的重大错报不能被及时地预防或检查岀来（详细请参照PCAOBAS5）。Q21.什么是PCAOB?A21.公众公司会计监察委员会（PublicCompanyAccountingOversightBoard,PCAOB）是一家私营的非盈利机构，根据2002年的萨班斯奥克斯利法案创立，目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告，以保护投资者利益并增

12、进公众利益。Q22.重大控制缺陷的因素包括什么？A22.依据PCAOB第五号审计准则（AS5）的规定，表明“与财务报告相关的内部控制可能存在重大控制缺陷的因素包括：- 高级管理层的舞弊行为，无论其是否重大；针对以往财务报告的重大错报的会计差错更正或重新表述；审计师注意到的当期财务报告的重大错报，且该错报表明以公司的与财务报告相关的内部控制“是无法检查出这样的错报的；以及公司的审计委员会未能有效的对公司的外部财务报告和与财务报告相关的内部控制进行监控。Q23.如何解决内部控制缺陷？A23.首先就识别出的内部控制缺陷与控制执行人员达成共识，然后实施相应的整改计划，例如完善政策或程序的文档、加强职责

13、分工等等；针对IT控制，还需补充控制点或完善软件控制。另外，还要制定若干轮次的测试计划，以验证1）原有缺陷得到补救；2）没有发生新的缺陷。Q24.404条款对相关公司有哪些年度性工作要求？A24.萨班斯法案404条款要求SEC规定各发行人（注册投资公司除外）须提交一份内部控制报告，其中须包含公司管理层关于与财务报告相关的内部控制的有效性做岀的认定声明。此外，404条款也规定，公司审计师须根据公众公司会计监察委员会制定的准则对公司管理层关于与财务报告相关的内部控制的评估进行验证并提供报告。Q25.公司层面和流程层面控制的本质区别是什么？A25.企业的内部控制整体框架主要由控制环境、风险评估、控制

14、活动、信息与沟通及监控五大要素构成，从企业内部控制的评估层次来看又可分为公司层面控制和流程层面控制。具体的说，公司层面控制是指那些围绕整体组织层面的有普遍深入影响的控制，公司层面控制存在于所有五要素内部控制之中。流程层面控制不同于公司层面控制，它是针对某一具体的业务流程而言的，目的是能够降低流程运转过程中的风险和为实现流程目标提供保障。提高组织目标实现的可能还需要辅之以有效的、足通过执行有效的公司层面控制能够在组织整体层面上降低组织的风险,性，但并不是仅执行有效的公司层面控制就足够起到降低风险的作用,够的流程层面控制。Q26.什么是“小规模报告公司“A26.家小规模报告公司“定义：不是一家投资

15、公司，不是一家资产证券化的发行人（定义来源于美国联邦管理法规第17章第229.1101条），也不是一家由并非“小规模报告公司“的母公司控股的子公司。小规模报告公司是指：（1）最近结束的第二财政季度的最后一个营业日其公众持股金额低于7,500万美元，计算依据是非关联方持有的总计股数（包括拥有投票权和无投票权的普通权益股票）乘以当日价格、或在主流市场中该股票的平均交易价格；或（2）如果是依据证券交易法首次注册登记，在注册登记后的30天内当公众持股金额低于7,500万美元，计算依据是总的非关联方持有的股数以及注册登记中包括的拟发行股票数之和乘以股票预计发行价格；或（3）在条件（1）或（2）下，公众股

16、数为零的发行人，其经审计过的财务报表显示最近的财政年度收入不到5,000万美元的。Q27.小规模报告公司和,非加速申报人有什么不同？A27.参见美国联邦管理法规第17章第240.12b-2条，虽然在小规模报告公司的定义与“非加速申报人“（仅因为该公司是不符合“加速申报人“和大型加速备案“定义的非加速申报人）的定义有重叠，小规模报告公司“和非加速申报人“并不等同。例如，一家公司已公开发行了债券，但没有发行股票，这家公司则会被认定为一个非加速申报人，尽管它可能不符合“小规模报告公司的定义。许多公司是仅仅是债券发行人，却也是满足加速申报人或大型加速申报人的条件的大型上市公司的子公司。Abbrevia

17、tionEnglishChinese10-K年报10-Q季报8-K重大事项公告Acceleratedfilers加速申报人AMEXAmericanStockExchange全美证券交易所/美国证券交易所Anti-fraud反舞弊Audittrail审计轨迹AuditingCommittee审计委员会AS2AuditingStandardNo.2审计准则第2号AS5AuditingStandardNo.5审计准则第5号Automaticcontrols系统控制Businessunit业务单元Changecontrol（针对系统变更的）控制Checklist检查事项清单CodeofConduct员

18、工行为准则CompensationCommittee薪酬委员会C,A,V,RCompleteness.Accuracy,Validity,Accessrestriction完整，准确，有效，访冋限制C,EO,RO,VA,PDCompleteness,ExisteneeorOccurrenee,RightsandObligations,ValuationorAllocation,PresentationandDisclosure完整性，存在或发生，权利与义务，估价或分摊，表达与披露Complianee合规Complianeetest符合性测试Complianeeyear合规年度ControlAc

19、tivities控制活动ControlEnvironment控制环境Controlfrequency控制频率Controlobjectives控制目标CobitControlobjectivesforinformationandrelatedtechnologies信息及相关技术控制目标COSOinternaleontrolframeworkcosO部控制框架Deficiency般控制缺陷Designdeficiency控制的设计缺陷Disclosurecommittee披露委员会ERPEnterpriseresourceplan企业资源规划ERMEnterpriseriskmanagemen

20、t企业风险管理Entitylevel公司层面FASBFinancialaccountingstandardsboard美国财务会计准则委员会Financialreport财务报告Financialstatement财务报表Flowchart流程图Gapsummary缺陷汇总表Gapsidentified缺陷识别Independenceletter独立性声明Independentdirectors独立重事Information&communication信息与沟通Inputeontrol（关于数据的）输入控制inquiry询问Inspection检杳Internalauditcommittee内

21、部审计委员会Internalcontrol内部控制ICFRInternalcontroloverfinancialreporting与财务报告相关的内部控制IFRSInternationalfinancialreportingstandards国际财务报告准则ITGCITgeneralcontrolIT一般控制Keycontrol关键控制点KPIKeyperformaneeindicator绩效考核Managementassertions管理层（关于财务报表）的认定Managementself-assessment管理层自我评估Manualcontrols手工控制Materialweaknes

22、s重大控制缺陷Monitoring监控Narrative流程描述NASDAQNationalassociationofsecuritiesdealersautomatedquotations全美证券商协会自动报价系统，简称“纳斯达克”NYSENewYorkstockexchange纽约证券交易所Nominatingandgovernancecommittee提名及公司管治委员会Non-acceleratedfiler非加速申报人Observation观察OAOfficeautomation办公自动化系统Operationdeficiency控制的执行缺陷Operationprocessleve

23、l业务流程层面Outstandinglist未决事项清单OTCBBOverthecounterbulletinboard场外柜台交易系统Publiccompany公众公司PCAOBPubliccompanyaccountingoversightboard（美国）公众公司会计监察委员会Remediationaction整改方案Re-performanee重新执行Reversemerger反向收购Riskassessment风险评估Riskcontrolmatrix风险控制矩阵Samplesize样本量Scoping工作范围Segregationofduties不相容职责的分离SOA/SOXThe

24、sarbanes-oxleyactof20022002年萨班斯奥克斯法案SecuritiesActThesecuritiesactof19331933年证券法Thesecuritiesactof19341934年证券交易法SECTheunitedstatessecuritiesandexchangecommission美国证券交易委贝会Significantdeficiency重要控制缺陷Spreadsheet电子表单Stockoption股票期权Sub-process子流程Supportingdocuments支撑文件Testplan测试计划Testsummary测试结果汇总Testtemplate测试控制的模板Testingperiod测试期间Testingstrategies测试方法Theboardofdirectors重事会COSOThecommitteeofsponsoringorganizationsofthetreadwaycommission全美反虚假财务报告委员会的发起组织委员会USGAAPThegenerallyacceptedaccountingprinciplesoftheunitedstates美国一般公认会计原则Versioncontrol版本控制Walk-throughtest穿行测试Whistleblowersystem举报系统