萨班斯法案与内控讲义课件

萨班斯法案与内部控制专项培训11目录一.风险、内部控制与公司治理二.内部控制框架－COSO三.萨班斯法案简介四.萨班斯法案的最新发展五.萨班斯法案的实施六.萨班斯法案对优化内部控制体系的借鉴2目录2第一部分：第一天课程（9:00to17:00)33SECTIONONE:

风险、内部控制与公司治理

4SECTIONONE:

风险、内部控制与风险55风险的定义普遍定义：风险是未来发生损失和伤 害的可能性；

对企业风险管理而言，风险通常可以定义为对公司实现目标的威胁；具有危害程度和发生可能性两个基本要素。6风险的定义6在企业中风险是什么？

举例：没有按公司政策的要求及时关账；未及时与供应商、顾客进行对账；定期的财务报告未完整、及时披露：AP经理未对付款进行审阅、批准；

对您而言，何为风险。。。。7在企业中风险是什么？举例：7面对风险的办法面对风险，企业通常有四个选择：避免风险降低风险——内部控制转移风险接受风险8面对风险的办法面对风险，企业通常有四个选择：8回避风险

降低风险接受风险

风险转移风险

发生的可能性

企业的风险偏好

成本效益原则

风险的破坏力

进行决定风险回应9回避风险降低风险接受风险风险转移风险发生的可能性企业内部控制1010什么是内部控制？

内部控制是由公司董事会、管理层和其他员工实施的，为实现经营的效果性和效率性（包括保护资产的完整）、财务报告的可靠性以及适用法律、法规的遵循性等目标提供合理保证的一个过程。

——COSO报告11什么是内部控制？11混沌理论与内部控制什么是混沌理论？

--微小的计算错误可能导致巨大的灾难性的后果；

--洛伦茨试验与蝴蝶效应；混沌理论在内部控制中的应用--对于预期要达到的目标而言，内部控制可被依赖的程度是有其固有局限的；--小错误经过时间的发展，并于其他异常现象相互作用，有可能导致重大灾难；

巴林银行案

大和银行案--作为对策，努力达到最好的内部控制，以尽可能减少遭遇灾难的可能性；

12混沌理论与内部控制什么是混沌理论？12内部控制的措施举例独立复核授权审批职责分离实物安全控制关键绩效指标分析管理层审阅交叉核对异常情况报告信息系统控制内部审计13内部控制的措施举例13目标、策略、风险和控制的关系目标策略风险内控14目标、策略、风险和控制的关系目标策略风险内控14总结：内部控制的重要意义COMPLIANCEwithapplicablelaws/policies确保企业遵循法律法规ACCOMPLISHMENToftheentity’smission协助企业达成目标和使命RELEVANTandRELIABLEdata确保企业获得并报告相关而可靠的信息ECONOMICALandEFFECTIVEuseofResources协助企业经济、有效的运用资源SAFEGUARDtheassets保护企业资产企业价值提升15总结：内部控制的重要意义COMPLIANCEwitha风险和控制是如何搭档工作的？没有按公司政策的要求及时关账；未及时与供应商、顾客进行对账；定期的财务报告未完整、及时披露：AP经理未对付款进行审阅、批准；企业制定关账政策，财务管理层对关账程序进行持续监控；财务部门制定政策，监控对账程序；财务负责人定期对所发布的财务报表进行审阅；企业制定相应政策，系统设置相应程序，确保AP经理对每一笔付款均已审阅批准；16风险和控制是如何搭档工作的？没有按公司政策的要求及时关账；企练习1—风险与控制（30分钟）练习内容：对于已经设立的控制，风险何在？对于已知的风险，如何设置控制？练习一17练习1—风险与控制（30分钟）练习内容：17公司治理1818公司治理的概念公司管理层、董事会、股东以及其他利益相关者之间的一整套关系。--巴塞尔协议公司治理是关于增进公司的公平、透明和责任—世界银行总裁狭义上，公司治理是公司对股东的关系；广义上，则是公司对社会的关系—英国金融时报公司与股东的关系—标准普尔指导和控管公司的制度，其架构明定权责分配给公司内的不同参与者—经济合作发展组织（OPEC）19公司治理的概念19内部控制与公司治理的关系公司治理的目的是保证各相关方的利益员工相关利益方政府债权人股东20内部控制与公司治理的关系公司治理的目的是保证各相关内部控制与公司治理的关系股东董事会管理层主要经营活动利益关系者汇报任命/监控公司治理股东、董事会、管理层以及其他其他利益关系者之间的管理控制关系及职权利划分。内部控制董事会、管理层和员工实施的对企业生产经营和财务报告产生过程的控制。21内部控制与公司治理的关系股东董事会管理层主要经营活动利益关系给良好公司治理组织结构化个图董事会风险管理部门财务部门法律法规遵循部门首席执行官最终责任评估企业的内部控制监督责任支撑、执行

和反馈审计委员会内部审计部门业务部门22给良好公司治理组织结构化个图董事会风险管理部门财务部门法律法如何建立完善的内部控制机制董事会在处理重大业务问题方面的有效性调查49%43%24%21%16%15%查明问题，解决争议监控财务状况建立领导权并保持

经营规划的持续性指导战略实施监控风险及时发现经营中的预警信号数据来源：A.T.Kearney于2004年进行的独立董事调查23如何建立完善的内部控制机制董事会在处理重大业务问题方面的有效

SECTIONTWO:

内部控制框架－COSO

24

SECTIONTWO:

内部控制框架－内部控制框架概况2525内部控制框架对于内部控制的框架，不同机构对其有着不同的理解,主流框架有：美国反欺骗性财务报告委员会－COSO内部控制框架英格兰及威尔斯特许会计师公会－内部控制：综合守则的董事指引（坎特伯雷报告）加拿大特许会计师公会－内部控制指引(CoCo)26内部控制框架对于内部控制的框架，不同机构26内部控制框架美国COSO内部控制框架监控业务单位A信息和沟通控制活动风险评估控制环境业务单位B活动1活动2营运财务报告合规性27内部控制框架美国COSO内部控制框架监控业信息和沟通控制活动企业内部控制的发展历程1999年9月英格兰及威尔斯特许会计师公会：《内部控制：综合守则的董事指引》

加拿大特许会计师公会：《内部控制指引》9月11月1995年

美国反欺骗性财务报告委员会：《COSO内部控制框架》1992年时间7月2003年美国反欺骗性财务报告委员会：《COSO企业风险管理框架》征求意见稿28企业内部控制的发展历程1999年9月英格兰及威尔斯特许会计师框架和法律的区别框架方法论，指导人们如何做事；不强迫执行，因为方法论本身十分讲究个人的领悟和运用，很有可能由于使用的不同导致不同的结果；法律强迫执行，但是定义很清晰明确，不会对使用者产生误导；如：COSO—框架萨班斯法案—法律

坎特伯雷报告—框架CombinedCode—法律29框架和法律的区别框架29控制环境的两个层次第一层次：抽象层次，着重介绍道德文化层次的内容第二层次：具体层次，公司架构方面的硬件设置，如审计委员会，内部审计功能等30控制环境的两个层次第一层次：30COSO内部控制要素控制环境－诚信的原则和道德价值观

企业最高管理层还是其他成员都应当做到：严格一致地保持诚信行为和道德标准加强企业的内部审核制度发挥董事会和审计委员会的职能，使其客观监督企业的高级管理层提供道德方面的指导，使所有员工在一般和特定环境下能够保持正确的判断使行为准则和政策声明文字化，并将其传达给全体员工31COSO内部控制要素控制环境－诚信的原则和道德价值观31COSO内部控制要素控制环境－董事会和审计委员会

组成这两个机构须考虑的因素主要包括：成员的经验相对于管理层的独立性；外部董事的比例；其成员参与管理的程度所采取措施的适宜性对管理层提出问题的深度和广度与内部、外部审计人员之间的关系

32COSO内部控制要素控制环境－董事会和审计委员会32COSO内部控制要素控制环境－公司组织结构

组织结构的适当性，及其提供管理企业所需信息的能力；各主管人员所负责任的适当性；按照主管人员所担负的责任，判断其是否具备足够的知识及丰富的经验；当环境改变时，企业配合改变其组织结构的程度员工，尤其是负责管理及监督职能的员工人数的充足程度。33COSO内部控制要素控制环境－公司组织结构33COSO内部控制要素风险评估

(Riskassessment)

包括公司面对的所有风险—内部+外部公司应建立良好内控系统，随时记录、分析风险变化企业的风险评估程序应能够确认企业层次和经营活动层次的相关风险并考虑其影响应考虑针对每一重要的经营活动层次的目标，有什么重要风险影响其实现34COSO内部控制要素风险评估(RiskassessmenCOSO内部控制要素控制活动(Controlactivity)确保内部控制程序的执行得到监控的程序针对每个内部控制点设计包括：核准、授权、验证、调节、复核业务绩效、保障资产安全及职责分工等。检查与考核35COSO内部控制要素控制活动(ControlactivCOSO内部控制要素信息与沟通(Informationandcommunication)各方面信息的收集（企业内部与外部）及时将信息传递

（从上到下，从下到上）管理层对开发信息系统的支持反映发现可疑情况的渠道

36COSO内部控制要素信息与沟通36

COSO内部控制要素监督(Monitoring)监督活动由持续监督、个别评价所组成，其可确保企业内部控制能持续有效的运作持续监督活动包括例行的管理和监督活动，以及其他员工为履行其职务所采取的行动。个别评价以直接监视控制系统的有效性37COSO内部控制要素监督(Monitoring)37

COSO在404条款评价报告中的应用—公司层面COSO组成部分要素风险评估机构的目标活动层面的目标风险识别及评估控制变动控制环境诚信及道德观对工作能力的承诺董事会或审计委员会管理层的理念及经营风格组织框架权限及职责分配人力资源政策及惯例信息与沟通确认、收集、处理及申报企业外部和内部信息公司上下全面有效的交流控制活动针对妨碍目标实现的风险所制定之政策、程序和措施监督持续监督独立评估汇报缺陷38COSO在404条款评价报告中的应用—公司层面COSO组

COSO在404条款评价报告中的应用—流程层面COSO组成要素39COSO在404条款评价报告中的应用—流程层面COSO组成COSO在404条款评价报告中的应用举例—风险评估（一）流程责任人是否已确定了与报告机构或业务单位管理层所制定的整体目标相一致的流程目标？流程目标是否清楚并足够详细地说明流程的设计宗旨？该目标与其他流程的目标是否一致（且不冲突）？管理层是否参与了流程目标的制定，尤其是那些对报告机构或业务单位的成功起关键作用的目标？流程责任人是否拥有充足的资源以实现上述目标？40COSO在404条款评价报告中的应用举例—风险评估（一）COSO在404条款评价报告中的应用举例—风险评估（二）流程责任人是否拥有有效的程序，以(a)识别来自内部和外部会影响主要目标实现的重大风险；(b)评估风险的重要性和这些风险出现的可能性；及(c)评估可将这些风险降低到可接受水平的其他措施？流程责任人是否会持续的预测、确认可能影响流程目标实现的常规及不断变化的环境和其他因素，并对其作出反应？流程活动是否依赖已识别、处理及呈报的信息的完整性和可用性?如果是，那么流程责任人是否对有关信息的完全性，完整性和可用性的风险进行评估？41COSO在404条款评价报告中的应用举例—风险评估（二）练习内容：控制如何与COSO要素一一对应..\练习二--MatchingCOSOwithControl.doc练习2—COSO如何作用于控制

（30分钟）42练习内容：练习2—COSO如何作用于控制（30分钟）42SECTIONTHREE:

萨班斯法案简介

43SECTIONTHREE:

萨班斯法目录

萨班斯法案简介302，404

及906条款萨班斯法案对公司治理及内部控制的影响44目录

萨班斯法案简介44《萨班斯－奥克斯利法案》简介美国能源巨子安然公司(Enron)于2001年12月2日宣告破产，成为美国历史上第二大破产案。美国国会下属的八个委员会，美国证券监督管理委员会（“证监会”）及美国司法部等对此案件及牵涉其中的公司高层管理人员进行调查并提出法律起诉。45《萨班斯－奥克斯利法案》简介美国能源巨子安然公司(Enr若干管理高层已被定罪，此案件对美国以至国际间的公司治理及公司监管起了重大的启示作用：美国历史上第二大的破产案企业的公司治理结构存在漏洞企业财务报告的可信性受到投资者及监管机构的质疑《萨班斯－奥克斯利法案》简介46若干管理高层已被定罪，此案件对美国以至国际《萨班斯－奥克斯利《萨班斯－奥克斯利法案》简介47《萨班斯－奥克斯利法案》简介47《萨班斯－奥克斯利法案》简介

从安然事件开始，陆续引发出许多重大财务丑闻，著名的例子包括：公司主要财务问题举例安然(Enron)重大账外或有负债，引发财务报表合并会计办法的改革世界通讯(Worldcom)将营业费用不恰当的资本化帕玛拉特

(Parmalat)包括现金等虚假资产(QwestCommunications)不恰当的收入确认方法48《萨班斯－奥克斯利法案》简介从安然事件开始，陆续引发出许多《萨班斯－奥克斯利法案》简介萨班斯法案投票赞成522反对3弃权9Paul.SSarbanesMichaelG.Oxley49《萨班斯－奥克斯利法案》简介萨班斯法案投票Paul.S《萨班斯－奥克斯利法案》简介犯罪处罚越狱1-2年涉嫌敲诈的绑架案3-5年二级谋杀11-14年萨班斯-奥克斯利遵循10-20年持枪抢劫20年

50《萨班斯－奥克斯利法案》简介犯罪处罚50《萨班斯－奥克斯利法案》简介《萨班斯奥克斯利法案》的目标及措施法案的目标提高公司根据证券法或其他要求做出披露的准确性和可靠性加强公司治理，重建投资者信心51《萨班斯－奥克斯利法案》简介《萨班斯奥克斯利法案》的目《萨班斯－奥克斯利法案》简介萨班斯法案生效的时间第一类:国内公司须从2004年11月15日或之后借结束得财政年度开始提交管理层有关财务报告内部控制得报告。不属于加速编报公司的大型国外私人发行人则必须从截至2006年7月15日或之后为止的首个财政年度开始遵守404条款的报告要求第二类：小企业发行人及不属于加速编报公司的国外私人发行人，应从截至2007年7月15日或之后的会计年度开始执行该条款。E.g.按公历年提交报告的公司应于2008年3月提交其2007年度第一份内部控制报告52《萨班斯－奥克斯利法案》简介萨班斯法案生效的时间52《萨班斯－奥克斯利法案》简介证交会为何推迟404条款的合规生效日期？证交会为公司提供机会完成合规流程所需要的准备工作审计人员需要熟悉新的规定证交会力争为规模较小的美国上市公司及国外私人发行人提供更多的时间以应对该等规定上市公司会计监管委员会还需要更多的时间制定右端对立审计师鉴定流程规定，同时还要考虑是否需要制定其他标准或指引。

53《萨班斯－奥克斯利法案》简介证交会为何推迟404条款的合规生《萨班斯－奥克斯利法案》简介第302条－公司对财务报告的责任54《萨班斯－奥克斯利法案》简介54《萨班斯－奥克斯利法案》简介第302条－公司对财务报告的责任

上市公司的首要官员（们）及首要财务官（们）（或担任同等职务的人员）在每一年度报告或季度报告中保证如下内容：

(1)

签字的官员已审阅过该报告；(2)

该官员认为报告中不存在重大的错报、漏报；(3)

该官员认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。

55《萨班斯－奥克斯利法案》简介第302条－公司对财务报告的责任《萨班斯－奥克斯利法案》简介第404条－管理层对内部控制的评价56《萨班斯－奥克斯利法案》简介56《萨班斯－奥克斯利法案》简介第404条－管理层对内部控制的评价

(a)

内部控制方面的要求——SEC应当相应的规定，要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告，包括：

(1)

强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；

(2)

发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；

57《萨班斯－奥克斯利法案》简介第404条－管理层对内部控制的评《萨班斯－奥克斯利法案》简介第404条－管理层对内部控制的评价(b)

内部控制评价报告 对于本节(a)中要求的管理层对内部控制的评价，担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。58《萨班斯－奥克斯利法案》简介第404条－管理层对内部控制的评《萨班斯－奥克斯利法案》简介第906条－公司对财务报告的责任59《萨班斯－奥克斯利法案》简介59《萨班斯法案》第404条对控制缺陷的评估(一）

显著缺陷

SignificantDeficiency单一或多重缺陷的存在导致无法预防或发现年报或中期报告中的并非无关紧要错报的可能性并非十分微小。60《萨班斯法案》第404条对控制缺陷的评估(一）60《萨班斯法案》第404条对控制缺陷的评估(二)重大漏洞MaterialWeakness单一或多重缺陷的存在导致无法预防或发现年报或中期报告中的重大错报的可能性并非十分微小。严重显著缺陷=

重大漏洞61《萨班斯法案》第404条对控制缺陷的评估(二)61

萨班斯法案对公司治理及内部控制的影响财务合并建立一套标准的企业数据模型，包括会计科目，作为企业通用的报告语言。这个数据模型将成为应用合并规则的财务合并平台基础。

应用系统整合新型的财务管理解决方案使整个流程自动化，比如提取、转化和导入，包括验证所提取的数据和导入的数据以及余额。这种类型的审计数据整合方式，可以确保公司的源系统数据与财务合并结果的一致。

流程管理当前，金融企业所采用的流程无法保证财务数据的正确加载、合并以及数据验证。问题往往是在数据的初步合并后才会发现，这时需要数据重新加载和合并。

例外报告金融企业和业务部门控制者往往需要花费大量的时间，对会计区间的数据进行详细的解释，包括澄清非正常的变化或需管理层注意的特殊项目。

62

萨班斯法案对公司治理及内部控制的影响财务合并建立第二部分：第二天课程（9:00to17:00)6363SECTIONFOUR:

萨班斯法案的最新发展

64SECTIONFOUR:

萨班斯法案的最新发展来自美国证监会的最新发展1）美国证监会将对萨班斯法案进行修订—尤其是第404条款的修订，此项修订旨在降低美国众多上市公司遵循法案的成本；

2）对“萨班斯法案”的调整主要集中在404条款上，包括具体界定公司的那些方面属于需要公开披露的“重大问题”，这样可以让公司更好的利用内部审计和管理层的作用，减少了外部会计师事务所的重复性工作，降低上市公司的成本；

3）之前的404条款，要求上市企业要建立内部控制体系，内部控制活动的记录不仅要细化到像产品付款时间这样的细节，而且对重大缺陷都要予以披露。

65来自美国证监会的最新发展1）美国证监会将对萨班斯法案进行修订来自上市公司会计监督委员会的最新发展

（PCAOB）（1）

PCAOB于近日发表公告，评价萨班斯法案执行两年以来会计师在进行与财务报表相关的内部控制的审计过程中的进展、不足及新要求。--（2007年4月18日）66来自上市公司会计监督委员会的最新发展

（PCAOB）（1）来自上市公司会计监督委员会的最新发展（PCAOB）（2）-发展

Inthe2006inspections,theinspectorsfoundevidencethatmostfirmshadmadeprogressinintegratingtheiraudits：

byusingthesameengagementteamtoperformboththefinancialstatementauditandtheauditofinternalcontroloverfinancialreporting；

moreinstancesinwhichauditorsapproachedtheauditofinternalcontrolfromthetopdownandthusdidabetterjoboffocusingtheirtestingandevaluationontherelevantcompany-levelcontrols；Severalofthefirmsachievedgreaterefficienciesbyvaryingtheextentoftheirtestingcommensuratewiththelevelofriskand,generally,auditorsusedtheworkofothersmoreinthesecondyearofimplementingASNo.2thaninthefirstyear.

67来自上市公司会计监督委员会的最新发展（PCAOB）（2）-发来自上市公司会计监督委员会的最新发展（PCAOB）（3）-不足

Someauditorsdidnotfullyintegratetheiraudits.Someauditorsfailedtoapplyatop-downapproachtotestingcontrols.Someauditorsassessedthelevelofriskonlyattheaccountlevelandnotattheassertionlevel.Asaresult,thoseauditorslikelyexpendedmoreeffortthannecessarywhentestingcontrolsforassertionsthatwerelowerrisk.Inafewcases,auditorstestedthesamecontrolsthattheissuerhadtested,withoutassessingwhetherthiswasnecessarytosufficientlyaddresstheriskthatarelevantassertionmightbemisstated.Someauditorscouldhaveincreasedtheiruseoftheworkofothers.

68来自上市公司会计监督委员会的最新发展（PCAOB）（3）-不来自上市公司会计监督委员会的最新发展（PCAOB）（4）-不足

Someauditorsspentasignificantamountoftimetestingmanagement'sprocess,althoughtheydidnotneedtodosoinordertosupporttheiropiniononmanagement'sassessment,andyetdidnotusethatworktoreducetheircontroltesting.Inperformingtestsofcontrols,someauditorsdidnottestautomated,ratherthanmanual,controls,wherepossible,ordidnotconsiderbenchmarkingstrategiesforautomatedapplicationcontrolstheyweretestingforthesecondorsubsequentyear.69来自上市公司会计监督委员会的最新发展（PCAOB）（4）-不来自上市公司会计监督委员会的最新发展（PCAOB）（5）-不足

Engagementteamsoftenstatedthattheissuer'scircumstancescontributedtotheneedtodomoreworktocompletetheauditofinternalcontrol.Whiletheissuer'scircumstancescanincreasetheamountofworkthattheauditorneedstoperform,theBoardencouragesauditorstoengageindiscussionswithissuerclientsandtheirauditcommitteesasearlyaspossibleinordertoidentifyandaddressissuer-specificobstaclestoefficiency.70来自上市公司会计监督委员会的最新发展（PCAOB）（5）-不来自上市公司会计监督委员会的最新发展（PCAOB）（6）-新要求

Inspectorsevaluatedthefirms'approachesto:--integratingtheauditofinternalcontrolwiththeauditofthefinancialstatements,--usingatop-downapproachtotheinternalcontrolaudit,--usingarisk-basedapproach,and--usingtheworkofothers.71来自上市公司会计监督委员会的最新发展（PCAOB）（6）-新SECTIONFIVE:

萨班斯大考-管理层自我评估

考前准备临阵磨磨枪答卷子交卷前的检查72SECTIONFIVE:

萨班斯大考-管理层自

考前准备

-建立项目基础7373工欲善其事，必先利其器(1)对本公司的业务运营进行文档记录（地理布局、运营单位及子公司；合作伙伴，共享服务以及其它相关联之公司）创建公司规章、程序、政策、手册图表及流程描述；对存货计划、员工福利计划、分红计划等进行归档；建立监督委员会；建立披露委员会；成立内部控制项目小组；74工欲善其事，必先利其器(1)对本公司的业务运营进行文档记录（工欲善其事，必先利其器(2)成立项目核心小组

(coreteam)；确定内部审计的职责；与外部审计师会谈；与高级管理层、披露委员会、审计委员会和董事会进行会谈；确定IT的职责；对项目小组进行培训；确定各流程负责人；（ProcessOwner）对404条款遵循项目计划和项目预算进行审核；确定适当技术；75工欲善其事，必先利其器(2)成立项目核心小组(coret

工欲善其事，必先利其器(3)

-给项目参与者的关系画个图76

工欲善其事，必先利其器(3)

-给项目参与者的关系画工欲善其事，必先利其器(4)

--关系图的现实举例SponsorDisclosureCommitteeSteeringCommitteeProjectDirectorSECTORTEAMSCORPTEAMSMCASKPMGPCS:SPS:GTSS:CGISS:IESS:BCS:GFSS:77工欲善其事，必先利其器(4)

--关系图的现实举例Spons工欲善其事，必先利其器(5)成立内部控制项目小组--兼顾各个职能部门；（财务、运营、IT、内部审计）--有财务背景；--对流程有深刻理解；--交流沟通能力；78工欲善其事，必先利其器(5)成立内部控制项目小组78工欲善其事，必先利其器(6)确定内部审计的职责；即使内部审计的参与顺理成章，但是SOX仍然有无法兼顾的风险需要内部审计负责。内部审计在本项目中的作用：

培训指导审阅79工欲善其事，必先利其器(6)确定内部审计的职责；79工欲善其事，必先利其器(7)与外部审计师会谈；(con‘t)1）为什麽要与审计师会谈？外部审计师是最终管理层自我评价报告的审阅者；外部审计师是内部控制评价报告的出具者；外部审计师对于自我评价的要求应理解；80工欲善其事，必先利其器(7)与外部审计师会谈；(con‘t)工欲善其事，必先利其器(8)2)与外部审计师会谈什麽？（1）就财务报告风险或认定达成共识，来为内部控制的评估工作提供依据。采纳一种有用的模式，将业务分解为核心部分和辅助部分。就重要的范围决策设立标准，例如，主要的财务报告因素，程序文件的类型及详尽程度，以及管理层对控制设计及执行有效性的评估深度确定文件记录及评估方法，以支持管理层对内部控制的认定，并为独立公众会计师的审阅和测试提供一个基础为评估公司层面控制和流程层面控制而定义控制单元81工欲善其事，必先利其器(8)2)与外部审计师会谈什麽？（1工欲善其事，必先利其器(8)2)与外部审计师会谈什麽？（2）确定必须的工具及技术，以支持管理层的控制评估过程。有关方法、工具及技术应足够稳健，以确保其在公司内的统一使用。当评估技术解决方案时，管理层必须考虑有关方法所需的协作性、合作要求，以及不同个体所需信息的获取范围就管理层用以评估有效性的控制框架达成一致就有关方法及要求向独立公众会计师进行确认，以确保得到他们的认可。定义内部交流计划，以供管理层在项目实施阶段执行。82工欲善其事，必先利其器(8)2)与外部审计师会谈什麽？（2工欲善其事，必先利其器(9)与外部审计师会谈；3）外部审计师都看什麽？关键财务报表帐户及披露；归档的规则，如归档的深度和类型；文档的格式；流程归档的广度；确认的广度和深度；运营单位级别的评估结果；IT评估结果；已归档的运营单位层次的控制缺陷、IT控制缺陷以及流程层次的缺陷；财务报告流程评估结果；83工欲善其事，必先利其器(9)与外部审计师会谈；83

临阵磨磨枪

-划定范围与项目计划84临阵磨磨枪84临阵磨什麽？(1)第一层次重要账户或科目；重大披露/报表组成部分；运营流程/循环及子流程/子循环第二层次选定的参加评估的地点（子公司）；运营流程/循环及子流程/子循环85临阵磨什麽？(1)第一层次85临阵磨什麽？(2)

--第一层次(以重要账户为基础)86临阵磨什麽？(2)

--第一层次(以重要账户为基础)86临阵磨什麽？(4)

--第一层次87临阵磨什麽？(4)

--第一层次87临阵磨什麽？(5)

--第一层次判断标准

“如果该账户的余额重大到无论单独的或是合并的，其产生的错漏或误报均对财务报告产生了重大影响，该账户即可被认定为重大账户。”2）设定方法

企业可考虑根据公司的实际情况，设定一个重要性水平，绝对值超过此设定的账户均为重大账户；对于绝对值未超过该设定的账户，再根据账户的性质判断该账户是否属于“重大账户”步骤一：何为重大账户及披露？88临阵磨什麽？(5)

--第一层次步骤一：何为重大账户及披露？临阵磨什麽？(6)

--第一层次何为重大账户及披露？假设某公司设定USD10,000为重要性水平财务报表项目账户余额（USD）是否为重大账户？现金30,000Y应收账款60,000Y存货100,000Y其他资产80,000Y固定资产120,000Y预付账款1,000N应付账款-10,000Y长期借款-100000Y所有者权益-50000Y89临阵磨什麽？(6)

--第一层次何为重大账户及披露？财务报表临阵磨什麽？(7)

--第一层次衡量账户重要性的相对标准账户的构成；易由于错漏及误报而引起损失的账户；该账户处理之业务的业务量、复杂程度；账户的性质；（例如suspenseaccount)自该账户交易衍生出的重大或有负债的可能性；该账户的交易中包含关联性交易；账户性质发生改变；90临阵磨什麽？(7)

--第一层次衡量账户重要性的相对标准90临阵磨什麽？(8)

--第一层次采购循环（例一)供应商主档案的维护循环采购需求循环采购订单循环收货循环发票循环付款循环步骤二：如何设置运营流程/循环？91临阵磨什麽？(8)

--第一层次采购循环（例一)临阵磨什麽？(9)

--第一层次销售循环顾客主系统维护循环价格及订单循环发票开具循环信用及收款循环退货循环收入确认循环循环步骤二：如何设置运营流程/循环？92临阵磨什麽？(9)

--第一层次销售循环顾客主临阵磨什麽？(10)

--第一层次步骤三:

对每一重大账户或披露辨别相关财务报告认定；存在及发生完整性估价与分摊权利与义务表达与披露93临阵磨什麽？(10)

--第一层次步骤三:对每一重大账户或临阵磨什麽？(10)

--第一层次步骤四:

对运营流程/循环及子流程/子循环进行风险评估;如何进行风险评估？

确定在每个子流程需评估的重大风险因素；

在每个子流程中，将每个风险因素的风险水平评为高、中和低；

在该子流程单独风险因素的平均水平之上，对该子流程评定一个风险指标（高、中或低）94临阵磨什麽？(10)

--第一层次步骤四:对运营流程/循环临阵磨什麽？(10)

--第一层次步骤四:

对运营流程/循环及子流程/子循环进行风险评估;风险等级评判的标准

高：错报的机率很高，或者余额对财务报告产生了重要的影响；

中：错报的机率中等，或者该流程发生错误的机率中等；

低：该流程程序简单，或者发生对财务报告产生影响的机率很低；95临阵磨什麽？(10)

--第一层次步骤四:对运营流程/循环临阵磨什麽？(11)

--第一层次步骤四:

对运营流程/循环及子流程/子循环进行风险评估;

对财务报告的影响程序的复杂程度业务量流程的固有风险综合评价收入流程

客户主文档MMLMM产品定价HMLMM发运HMMML采购流程

采购商维护LMMHH采购订单HMHHH96临阵磨什麽？(11)

--第一层次步骤四:对运营流程/循环临阵磨什麽？(12)

--第二层次(以运营单位地点为基础）97临阵磨什麽？(12)

--第二层次(以运营单位地点为基础）9临阵磨什麽？(13)

--第二层次(以运营单位地点为基础）一个运营单位的定义应依照公司的管理结构而定；一个运营单位有可能是一个法人实体（例如子公司）、分支机构、或是一个运营机构（例如工厂或者销售部）正确选定运营单位，乃是为了确保每个控制均在其发生的层面被测试或评估；步骤一:获得一个运营单位布局清单。98临阵磨什麽？(13)

--第二层次(以运营单位地点为基础）一临阵磨什麽？(14)

--第二层次(以运营单位地点为基础）管理层应评估每个在财务上相对重要的经营地点及该地点发生重大误报的风险；如果某个个体经营地点很重要，管理层应记录并测试该地点所有重大账户和披露相对应的控制；一般说来，总是少数数量的经营单位所覆盖的运营占公司的大部分；公司管理层应对该少数数量的经营单位进行测试；步骤二:辨别需要进行测试的运营单位地点，评估是否覆盖率足够；99临阵磨什麽？(14)

--第二层次(以运营单位地点为基础）管临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步骤二:辨别需要进行测试的运营单位地点，评估是否覆盖率足够；100临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步骤二:辨别需要进行测试的运营单位地点，评估是否覆盖率足够；何谓个体上重要的经营单位？个人认为，至少应满足以下设定(以下比例均指个体经营单位占合并报表的权重)〉5%年度销售收入；〉5%税前利润；〉5%总资产；〉5%所有者权益；评价标准至少应涵盖一个资产负债表上的科目，一个利润表上的科目；101临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步骤二:辨别需要进行测试的运营单位地点，评估是否覆盖率足够；最小覆盖率经营单位的位置计划措施60%-70%重要的个体单位

具有特定风险的账户对该经营单位的重大账户或披露所涉及的控制进行详细评价与测试25%-35%比较重要对公司层次的控制进行评估，如该层次的控制不存在，则考虑对该经营单位的其他控制进行测试<5%不重要无需测试102临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步骤三:将选定参加测试的运营单位地点与先前辨别的运营流程/循环和子流程/子循环进行一一映射；

在该选定的运营单位，对其涉及的子流程/子循环进行文档记录，并对控制进行测试；制造工厂有可能涉及的控制仅限于收货，存货及生产子流程；配送中心有可能涉及的控制为公司发货等关联交易；公司管理中心则有可能涉及应付工资、资金管理及统一采购；103临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）步临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）

流程运营单位子流程-1子流程-2子流程-3子流程-4子流程-5资金管理管理总部现金管理投资管理保险法律环境

欧洲分布现金管理

保险

环境104临阵磨什麽？(15)

--第二层次(以运营单位地点为基础）答卷子

-记录控制105答卷子105答卷子（1）--内部控制评估项目

证交会就评估财务报告的控制向管理层提出的指导意见

进行财务报告内部控制评估的方法应该针对不同公司的具体特点而定。例如，公司测试活动的性质主要取决于公司的实际情况和控制的重要性水平。对公司财务报告的内部控制进行评估必须基于充分的程序，以评估内部控制的设计及测试内部控制执行有效性。需要进行测试的控制包括（但不限于）－与建立、授权、记录、处理和调节报表科目余额、交易分类及披露事项以及财务报表中包含的相关认定有关控制－与建立和处理非常规及费系统化业务交易相关的控制－与选择和应用适当的跨机政策相关的控制－与防止、确认和检测舞弊行为相关的控制单独的询问工作一般不能为管理层进行评估提供充分的证据106答卷子（1）--内部控制评估项目证交会就评估财答卷子（1）--内部控制评估项目

内部控制评估框架评价风险“哪里有可能出问题？”象个骗子一样思考分析和记录流程用流程图或文字描述记录流程；与流程或政策有关的参考信息应包含于流程图或文字描述中；辨别控制以减轻风险在已记录的文档中清除标注控制；审阅公司程序/政策已和辨别的控制相映射；

107答卷子（1）--内部控制评估项目内部控制评估框架107答卷子（2）风险可被定义成因为程序或行动未按照预先设计执行而导致的可能后果；风险评估被用来辨别、衡量和分析一个程序中被披露的金额；评估通过“控制”帮助决定减轻风险的方法；REMINDER:SOX404isfocusedonFinancialRisk

辨别风险108答卷子（2）风险可被定义成因为程序或行动未按照预先设计执行而答卷子（3）风险评估可以作为记录文档和来源的指引公司的内部控制文件可以依照循环，对于风险提供另一角度的参考；寻找其他可以用来帮助评估的涉及流程的标准；如控制不起作用，则应评估影响什麽是程序中的财务风险？萨班斯法案404条款关注财务报告的完整性；

辨别风险109答卷子（3）风险评估可以作为记录文档和来源的指引辨别风险10分析和记录流程答卷子（4）适当的文字记录格式应包括：流程图利于审阅（准备者、审阅者和外部审计师）文字记录利于记录细节，可以将流程描述清楚问卷调查利于通过调查结果总结规律

110分析和记录流程答卷子（4）适当的文字记录格式应包括：110分析和记录流程答卷子（5）每种形式均应包括：测试方法；测试结果；结论应简单，即易于测试；

111分析和记录流程答卷子（5）每种形式均应包括：111答卷子（6）分析和记录流程何时使用流程图？何时使用文字描述？

流程图或文字描述文字描述或内部控制指引清单机构评估测试要求层次一

系统及流程测试层次二

访谈/观察层次三

观察112答卷子（6）分析和记录流程何时使用流程图？何时使用文字描述？答卷子（7）分析和记录流程第一、二、三层次地点、程序和系统第一层次：该地点占资产负债表账户70%以上该地点具有重大风险因素；对于财务报告而言，程序或系统足够重大；第二层次：该地点、程序和系统的重要性稍差一些；第三层次：该地点、程序和系统不重要；

113答卷子（7）分析和记录流程第一、二、三层次地点、程序和系统1答卷子（8）分析和记录流程影响第一层次账户的交易应用流程图表示例如：

收入循环；采购循环；生产循环；交易中心；对于其他影响第一层次与第二层次的账户，亦应选用流程图及文字描述表述114答卷子（8）分析和记录流程影响第一层次账户的交易应用流程图表答卷子（9）分析和记录流程所有的文档均应列明是否：程序记录了所有的交易；财务报告中记录了所有正确信息；控制被正确报告；与公司管理层的沟通渠道顺畅；日常业务遵循公司内部控制章程或公司章程；115答卷子（9）分析和记录流程所有的文档均应列明是否：115答卷子（10）分析和记录流程记录的内容流程图或文字描述应包括：--描述的是什麽流程？--流程循环的频繁度？--在该流程中应用了什麽系统？--流程中涉及哪些政策或程序？--涉及哪些第一层级与第二层级的文件？--谁来运行该流程？（人或部门？）--在该流程中有哪些控制，它们都在何处起作用？--控制发生的频度是什麽？--该流程是如何影响财务报告的？--该流程都影响了哪些账户或交易？116答卷子（10）分析和记录流程记录的内容流程图或文字描述应包括答卷子（11）分析和记录流程如何画一幅漂亮的流程图？画成横的；从顶到底画；从流程的起点画；总的来说，流程信息的流入方应在顶部或左边；信息的流出方应在流程图的底部或右边；如果流程图需要进一步的说明，文字描述是个不错的办法；如果描述的流程图很复杂，应该将其分解成若干个子流程，再进行分层次描述；很好用的画图工具--VISIO117答卷子（11）分析和记录流程如何画一幅漂亮的流程图？画成横的答卷子（12）分析和记录流程找到流程负责人—访谈；和流程负责人合作，画出第一层次（highlevelflow)和第二层次（subprocess)的流程图；辨别控制点，将控制点标注于流程图上；标注该控制点是systeminherentcontrol,systemconfigurablecontrol还是manualcontrol?和流程负责人一起审阅画好的流程图是否完整、准确？用流程图来辅助设计测试步骤；将画好的流程图完好归档；画流程图的步骤118答卷子（12）分析和记录流程找到流程负责人—访谈；画流程图的答卷子（13）分析和记录流程119答卷子（13）分析和记录流程119答卷子（14）分析和记录流程120答卷子（14）分析和记录流程120答卷子（15）流程图举例-收入-订单管理第一层次121答卷子（15）流程图举例-收入-订单管理121答卷子（16）流程图举例-收入-信用管理第二层次122答卷子（16）流程图举例-收入-信用管理122练习三—控制及风险的判断练习三—销售流程—orderentry123练习三—控制及风险的判断练习三—销售流程—orderent答卷子（17）分析和记录流程文字描述简介对于运营流程的文字描述，勾画内部控制框架；总体程序与流程图很相似，亦须对流程负责人进行访谈；对特定政策及程序进行描述，并勾画程序之间的关系；文字描述常用于流程图不适用的地方，例如：

--描述账目之间调整的程序；124答卷子（17）分析和记录流程文字描述简介对于运营流程的文字描答卷子（18）分析和记录流程流程图和文字描述的优点列明了对所属流程的理解；很方便的归档方式：

--创建、应用、理解和重复操作很容易；可以对风险和控制进行快速评价；可以帮助审阅者或是外部使用者—外部审计师更好更快的了解该程序；无论选用哪一种形式—流程图或者是文字描述，均应完整包括基础信息；125答卷子（18）分析和记录流程流程图和文字描述的优点列明了对所答卷子（19）分析和记录流程还有一点想法要交待认真审阅公司已有的内部控制程序或政策是个很好的起点。内部控制政策建立的越完善，SOX遵循工作需要的额外努力就越少；从已有的政策或程序中找到完成SOX项目的基础；评估一下如果控制不能起作用的影响--财务风险都包括什麽？--萨班斯404条款只关注与财务报表相关的风险与控制；文字记录的文档应该尽量细化，以保证在一个流程中的所有控制都已被披露；126答卷子（19）分析和记录流程还有一点想法要交待认真审阅公司已答卷子（20）辨别/记录控制什麽是控制？组织、机构所采取的用以达到以下目的的所有方法、措施：

--保护资产；

--检查会计数据的准确性和可靠性；--提高运营效率；--鼓励对既定管理政策的遵循；该定义含义广泛，超出了会计和财务报告领域；控制可以使预先设计好的流程按照管理层设计时的期望实施；--AICPADefinition127答卷子（20）辨别/记录控制什麽是控制？组织、机构所采取的用答卷子（21）辨别/记录控制三级控制都是什麽意思？InherentControl--系统中的控制是固有的；--预防性控制--例如：没有任何输入的明细账无法过账；ConfigurableControl--可在系统中设置的选项；--预防性的控制；--例如：系统中的费用报告必须被直属经理审批；ManualControl--系统之外的控制。当系统中的控制不能提供必要控制的时候，补偿性的控制就必须相应建立；--保护性控制--例如：应付账款经理必须每周审批应付货款。并在相应文档上签字；

128答卷子（21）辨别/记录控制三级控制都是什麽意思？Inher答卷子（22）辨别/记录控制举例说说控制目标、控制和控制类型控制目标控制控制类型只有你的家庭成员可以进家门只有你的家人才有钥匙；每年都换锁；ManualControlConfigurableControl只有经授权的人才可以进入销售的明细账套系统进入安全程序只将此权限授权给3个人ConfigurableControl只有经过授权的采购才能用于生产经理必须批准采购订单ConfigurableControl129答卷子（22）辨别/记录控制举例说说控制目标、控制和控制类型控制目标控制控制类型只有收到货物了才可以付款只有核对了订单和收货文件之后，才能准备支票？存货记录可以准确地反映库存的存货余额每月都要进行存货的盘点？明细账必须准确反映交易对于所有明细账来说均需一个有效的账号？答卷子（23）辨别/记录控制举例说说控制目标、控制和控制类型130控制目标控制控制类型只有收到货物了才可以付款只有核对了订单和答卷子（24）辨别/记录控制控制的总特性

可靠--控制应可以一贯执行，可靠以及便于管理层实行

独立

--控制的执行应与被控制的行动的执行区分开；可证实的--控制的执行可测131答卷子（24）辨别/记录控制控制的总特性可靠131练习四—根据流程绘制流程图/标注控制（50分钟）练习要求：题目给出的控制点均为该循环所涉及的主要控制点，请根据控制点的提示及流程图的基本要求画出该循环的流程图。图中需标明（1）控制对应的风险；

（2）控制的类型（manual,configurable,Inherent)132练习四—根据流程绘制流程图/标注控制（50分钟）练习要交卷前的检查

-穿行测试与遵循性测试133交卷前的检查133交卷前的检查-(1)穿行性测试

对已记录的流程从头到尾穿行一遍；目的是确认已记录的控制点确实：

--存在；

--起作用；每个控制点只需选用一个样本；134交卷前的检查-(1)穿行性测试对已记录的流程从头到尾穿行一交卷前的检查-(2)—穿行测试的格式135交卷前的检查-(2)—穿行测试的格式135交卷前的检查-(3)—Tips

最好选用一个连贯的例子：

例如：如果想要对固定资产循环进行穿行测试，可以从固定资产明细账中选取一个例子：从固定资产的采购开始记录，一直贯穿至该项固定资产的处置。（如未处置，则贯穿至该项固定资产的日常管理）每个审阅过的文件都应完整归档；（每个文件都应附在穿行测试工作底稿之后）一般来讲重大问题不会在穿行测试流程发现。（前提是该公司日常的内部控制设置完整，有定期的内部控制检查。）做完穿行测试之后应和已归档的流程图或文字描述核对，确保对流程的理解和对控制点的理解正确无误；136交卷前的检查-(3)—Tips最好选用一个连贯的例子：13运用练习四中所涉及的采购流程说明穿行测试所需归档之文件。

交卷前的检查—实例分析—采购流程137运用练习四中所涉及的采购流程说明穿行测试所需归档之文遵循性测试交卷前的检查-(4)提前应根据已归档的控制点和相应的公司内部控制手册设计测试程序；（很多做SOX项目的公司均已在公司的系统中对于控制的编号、控制的描述、风险的层级、控制起作用的频度等内容均已作了很详尽的规定，作为全球各个分支公司遵循萨班斯法案时的行动指南，在实务中，以上所述的内容均无需自己独立判断。）决定样本量；决定测试方法；和流程负责人沟通，确定测试时间；

138遵循性测试交卷前的检查-(4)提前应根据已归档的控制点和相应交卷前的检查-(5)遵循性测试—决定测试程序控制的索引号；（如果贵公司已经有了一个完备的控制手册）控制的描述；风险的层级；控制发生的频度；样本量；样本的描述；（根据对控制和流程的描述决定）控制类型的描述；(ManualConfigurable&Inherent)测试程序；风险；会计认定；139交卷前的检查-(5)遵循性测试—决定测试程序控制的索引号；（交卷前的检查-(6)-样本量的决定140交卷前的检查-(6)-样本量的决定140交卷前的检查-(7)遵循性测试—需要准备得工作底稿1）样本测试底稿；2）控制测试底稿；3）测试例外(exception)的证据；4）测试例外记录表(issuelog)141交卷前的检查-(7)遵循性测试—需要准备得工作底稿1）样本测交卷前的检查-(8)1）样本测试底稿；测试目标测试目标对应的循环；样本：

样本总体

样本选择方法

样本单位

样本量控制频率以控制点为单位，进行测试，每个控制点的测试均应涵盖以上样本的描述142交卷前的检查-(8)1）样本测试底稿；测试目标142交卷前的检查-练习5（20minutes)练习目标：根据给定的控制目标设计测试程序

143交卷前的检查-练习5（20minutes)练习目标：14交卷前的检查-(9)2）控制测试底稿；该底稿的目的：对每个控制点的归档均应进行记录频率：每一个归档范围内的控制点其他的相关各点：测试例外(Exception)必须由证据支持;formalevidence所有归档的证据都须cross-reference工作底稿的索引号也必须包括在内所有发现均应与管理层进行交流

144交卷前的检查-(9)2）控制测试底稿；该底稿的目的：对每个控交卷前的检查-(10)3）测试例外(exception)的证据；证据应为纸质文件(hardcopy)所有发现的支持性文件应cross-reference测试例外应在工作底稿中以清楚、明白的字句表述

145交卷前的检查-(10)3）测试例外(exception)的证交卷前的检查-(11)4）测试例外记录表(issuelog)-con’t目的：将所有发现的测试例外均进行归档；频率：每周与管理层更新一次；相关点：

--每个测试流程均应准备该表：--对于测试例外的进一步延伸记录；--测试问题应清晰列示；

--测试问题应详细描述；--应使他人亦能明白描述问题及修补计划；146交卷前的检查-(11)4）测试例外记录表(issuelog交卷前的检查-(12)4）测试例外记录表(issuelog)

根据严重程度的不同及404条款的要求，所记录的测试发现问题被分为三个层次：

第一层次：观察及口头意见表述在测试过程中注意到的将有可能成为测试问题、需提高的领域—控制目标未被影响第二层次：归档差异(papergap)

已归档的流程需进一步细化、提高第三层次：测试意外

控制未有效发生或起作用，控制目标未达到。需进行进一步的分析以决定进一步的测试是否需要，再决定该测试意外是否属于重大缺陷147交卷前的检查-(12)4）测试例外记录表(issuelog交卷前的检查-(13)4）测试例外记录表(issuelog)

SpecialTips必须应使一个对流程不熟悉的人亦能对所描述的例外有所理解；发现的标题应醒目；应有一个简要介绍；应标明发生频率及样本量；应列明特别的流程编号；应包括金额的影响；举例：归档的控制未被执行：2of10fixedassetspurchasesselectedforreviewwerenotauthorizedinaccordancewiththestatementofauthority(SOA).Thesetwopurchaseswereforplantequipmentandvaluedat$XXX,XXXand$XXX,XXX,respectively,andrequireapprovalbytheRegionalVicePresident,thesepurchaseswereauthorizedbyaRegionalDirector.(Asset#11111111,22222222)148交卷前的检查-(13)4）测试例外记录表(issuelog交卷前的检查-(14)项目进程报告每周对测试结果进行讨论就新问题与项目总协调人进行沟通每周与首席财务官就测试进程进行沟通；对已经完成的测试与外部审计师进行沟通；149交卷前的检查-(14)项目进程报告每周对测试结果进行SECTIONSIX:

萨班斯法案对优化内部控制体系的借鉴150SECTIONSIX:

萨班斯法案对优化内部控制体系的萨班斯法案之于其他内控法案的特点（一）

扫射不是点射

鸡蛋羹里挑骨头151萨班斯法案之于其他内控法案的特点（一）扫射不是点射15萨班斯法案之于其他内控法案的特点（二）举例说明：1）Controlactivity:

MEreviewsspecstoensureaccuracyofmaterialsinfo.Othercontrolframework:Interviewtheprocess,checkthesignature(Ifapplicable)SOX:Signatureisnotenough,e-mailwhichhavethewording“havebeenreviewed”willbeexpected.

152萨班斯法案之于其他内控法案的特点（二）举例说明：152萨班斯法案之于其他内控法案的特点（三）举例说明：2）Controlactivity:

Obtainevidencethatwhethertaxaccountanthasdouble-checkedtaxreceiptandactualpayment.Othercontrolframework:Interviewrelatedpeople;