《Sox内控审计规定》由会员分享,可在线阅读,更多相关《Sox内控审计规定(12页珍藏版)》请在金锄头文库上搜索。
1、Q1Q27,中国企业合规工作答疑之一 :关于萨班斯法案Q1.什么是萨班斯法案?A1.安然事件爆发后,为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈,美国 总统于2002年7月颁布了2002年萨班斯奥克斯法案(简称 SOA)。该法案第 404 条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否 有效岀具管理层自我评价报告,并且由公司的外部审计师审核并测试该等内部控制是否有效。Q2. 违反SOA法案要承担什么责任?A2.对虚假声明的刑事处罚:刑事处罚一一无论是谁一一(1)明知包括财务报告在内的定期报告未能满足本节提岀的全部要求,却签署了本节(a)条和(b)条
2、所述之证明的,应该被处以不多于100万美元的罚款,或不多于10年的监禁,或并罚;或 (2)明知包括财务报告在内的定期报告未能满足本节提岀的全部要求,却故意签署了本节条和(b)条所述之证明的,应该被处以不多于500万美元的罚款,或不多于20年的监禁,或并罚。(引自SOA法案906节)Q3. 为什么要遵守 SOA法案?A3.目前所有在美国上市的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,都必须遵守萨班斯法案。Q4. 目前的SOA项目主要做什么?A4.该项目主要是在审计师进行审计工作之前,企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷(定义请参见
3、Q20 ),对于存在重大控制缺陷的地方(即针对关键控制的控制设计失效、或者控制执行失效的地方)进行修改。Q5. SOA项目的目标是什么?A5. SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效,从而为财务报告可靠性目标提供有效支持。Q6. SOA项目主要包括哪些方面的工作?A6. SOA项目主要涉及三个层面的工作需要进行准备,包括:公司层面控制、流程层面控制、一般信息技术控制。Q7. SOA 项目中各级员工需要做什么?A7. 在这个SOA项目中,所有员工(各个级别;公司内各家子公司)要积极配合公司的工作和要求,及时按照要求提供所需的资料,以及对发现的内部控制缺陷实施修补措施。
4、最终,公司的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。Q8.什么是控制矩阵(Control Matrix ) ?A8.控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出存在与财务报告相关的内部控制“,并需要满足并达到的内部控制目标(Control Objective )和控制活动(Control Activities),公司通过控制矩阵这样一种形式,将一项控制活动有条理的、有重点地予以记录,从而便于据此遴选关键控制和进行测试。并且,该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。Q9.控制目标是如何确定的?A9.控制是风险的反面,因而控制目标的
5、设定是从分析“哪里会岀错“的角度,判断哪些因素会影响到财务报表中的某会计科目,或财务报告的某披露事项的完整性“、“存在或发生“、“估价与分摊“、权利与义务“、“表达与披露“等管理层的认定,从而划分风险的类型和性质,判定相应 的控制活动以达到实现 “管理层的认定的目标,即控制目标。Q10. 什么是控制活动?A10.控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的 人的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。Q11.公司层面控制有何重要性?要记录和验证哪些方面?A11.在萨班斯法案合
6、规方面,公司层面的控制是最为关键的。公司层面的控制措施反映了公 司的内部控制文化,并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。一旦在这个环节中出现了重大问题,将可能导致公司内部控制体系的执行效果出现重大控制缺 陷。记录公司层面的内部控制,我们主要采用以公司层面控制问卷的形式来协助管理层对公司的内部控制环境作出自我评价。在采用公司层面控制问卷对企业进行内部控制进行记录时,主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据 的收集。Q12. 什么是COSO ?A12. COSO, The Committee of Spon sori
7、ng Orga ni zati ons of The tread wayCommissi on. COSO是一个自发组建的私立机构,其宗旨是通过提升商业伦理、完善内部控制和企业管制,来改善财务报告的质量。在1985年COSO成立之初,其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。美国反财务报告舞弊调查委员会是由美国的主要5家专业人员从业协会所组建的,包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及美国全国会计人员协会(现更名为管理会计协会)。该反财务报告舞弊调查委 员会与其所有赞助其成立的各家机构之间,相互独立,且容纳了来自于产业界、公众会计师、投资银行以及
8、纽约证券交易所的人士。Q13. COSO 内部控制框架的主要内容是什么?A13. COSO内部控制框架主要包含以下内容:企业内部控制的目标、企业内部控制的要素、 企业内部控制的执行层次。Q14. 内部控制的主要目标是什么?A14.内部控制是一个过程。它受到公司的董事会、管理层以及其他人员的影响。COSO内部控制框架指内部控制的三大主要目标,即:经营的效率和效益, 财务报告的可靠性, 以及对相关法律和法规的遵循度。Q15. COSO 内部控制框架的要素是什么?A15. COSO内部控制整合框架把内部控制划分为五个相互关联的要素,分别是(1 )控制环境;(2 )风险评估;(3)控制活动;(4 )信
9、息与沟通;(5 )监控。每个要素均承载三个目标:(1 )经营目标;(2)财务报告目标;(3 )合规性目标。如今,在原有的1992年版的五个要素的基础上,COSO于2004年颁布的企业全面风险管理框架中,其构成要素增加到八个:(1)内部环境;(2 )目标设定:(3 )事项识别;(4 )风险评估;(5)风险应对;(6 )控制活动;(7 )信息与沟通;(8 )监控。八个要素相互关联, 贯穿于企业风险管理的过程中。于2007年9月,COSO内控框架的理论体系又有所发展,岀台了针对内控体系中“监督要素操作指引的讨论稿。Q16. 什么是控制缺陷?A16.当控制的设计或执行, 不足以使得管理层或雇员在正常执
10、行既定任务时,及时的预防或检查出与财务报告相关的错报或漏报事项,则此时即存在“与财务报告相关的内部控制 “的控制缺陷(详细请参照 PCAOB AS5 )。该等缺陷分两种:设计方面的缺陷;执行方面的缺陷。Q17.什么是控制的设计缺陷?A17.控制的设计缺陷包括:(a) 项本应用来满足控制目标的控制,不存在;或(b) 项已然存在的内部控制, 没有被正确的设计, 以致于即使该内部控制如预期般操作,仍不能保证控制目标总是能达到。Q18. 什么是控制的执行缺陷?A18.控制的执行缺陷是指,一项经过良好设计的控制未能如预期般地执行,或者执行该控制 活动的人员不具备相应权限、资质,以至于不能有效的操作该控制
11、活动。Q19. 什么是重要控制缺陷?A19. 一项重要控制缺陷,是指一项或一组与财务报告相关的内部控制的“控制缺陷“,其影响程 度较重大控制缺陷“为弱,但仍足以引起那些负责监督公司财务报告的人士注意的控制缺陷(详细请参照PCAOB AS5 )。Q20. 什么是重大控制缺陷?A20. 一项重大控制缺陷,是指一项或一组与财务报告相关的内部控制的“控制缺陷“,由于该缺陷的存在,将在合理的可能性基础之上导致公司的年度或季度财务报告的重大错报不能被及时地 预防或检查岀来(详细请参照PCAOB AS5 )。Q21.什么是 PCAOB ?A21.公众公司会计监察委员会(Public Company Acco
12、unting Oversight Board, PCAOB)是一家私营的非盈利机构,根据2002年的萨班斯奥克斯利法案创立,目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。Q22. 重大控制缺陷的因素包括什么?A22.依据PCAOB第五号审计准则(AS5 )的规定,表明“与财务报告相关的内部控制可能存在重大控制缺陷的因素包括:- 高级管理层的舞弊行为,无论其是否重大;- 针对以往财务报告的重大错报的会计差错更正或重新表述;- 审计师注意到的当期财务报告的重大错报,且该错报表明以公司的“与财务报告相关的内部控制“是无法检查出这样的错报的;以及- 公司
13、的审计委员会未能有效的对公司的外部财务报告和与财务报告相关的内部控制进 行监控。Q23.如何解决内部控制缺陷?A23.首先就识别出的内部控制缺陷与控制执行人员达成共识,然后实施相应的整改计划,例 如完善政策或程序的文档、加强职责分工等等; 针对IT控制,还需补充控制点或完善软件控制。另外,还要制定若干轮次的测试计划,以验证 1 )原有缺陷得到补救;2)没有发生新的缺陷。Q24. 404 条款对相关公司有哪些年度性工作要求?A24.萨班斯法案404条款要求SEC规定各发行人(注册投资公司除外)须提交一份内部控 制报告,其中须包含公司管理层关于与财务报告相关的内部控制的有效性做岀的认定声明。此外,
14、404条款也规定,公司审计师须根据公众公司会计监察委员会制定的准则对公司管理层关于与 财务报告相关的内部控制的评估进行验证并提供报告。Q25.公司层面和流程层面控制的本质区别是什么?A25.企业的内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通及监控五 大要素构成,从企业内部控制的评估层次来看又可分为公司层面控制和流程层面控制。具体的说,公司层面控制是指那些围绕整体组织层面的有普遍深入影响的控制,公司层面控制存在于所有五 要素内部控制之中。流程层面控制不同于公司层面控制,它是针对某一具体的业务流程而言的, 目的是能够降低流程运转过程中的风险和为实现流程目标提供保障。通过执行有效的
15、公司层面控制能够在组织整体层面上降低组织的风险,提高组织目标实现的可能性,但并不是仅执行有效的公司层面控制就足够起到降低风险的作用,还需要辅之以有效的、足够的流程层面控制。Q26.什么是小规模报告公司“A26. 家小规模报告公司“定义:不是一家投资公司,不是一家资产证券化的发行人(定义来源于美国联邦管理法规第17章第229.1101 条), 也不是一家由并非“小规模报告公司“的母公司控股的子公司。小规模报告公司“是指:(1)最近结束的第二财政季度的最后一个营业日其公 众持股金额低于7,500万美元,计算依据是非关联方持有的总计股数(包括拥有投票权和无投 票权的普通权益股票)乘以当日价格、或在主流市场中该股票的平均交易价格;或(2)如果是依据证券交易法首次注册登记,在注册登记后的30天内当公众持股金额低于7,500万美元,计算依据是总的非关联方持有的股数以及注册登记中包括的拟发行股票数之和乘以股票预计发 行价格;或(3)在条件(1)或(2)下,公众股数为零的发行人,其经审计过的财务报表显示最近 的财政年度收入不到5,000万美元的
