SOX 基本内容介绍

SOX基础培训

《萨班斯-奥克斯利法案》第404条

——管理层对与财务报告相关的内部控制评审工作介绍2007年8月3日

主要内容目录《SOX法案》简介

上市公司会计监督委员会第2号审计准则的主要内容

COSO内控框架介绍SOX与ISO9000系列比较

1《萨班斯-奥克斯利法案》简称《萨奥法》或《SOX法》2《SOX法》简介《SOX法》简介在安然、世界电讯等多家上市公司丑闻曝光后,美国参众两院通过了《萨奥法》,并且专门成立了上市公司会计监督委员会（PublicCompanyAccountingOversightBoard）以加强公司治理重建投资者信心提高上市公司按证券法或其它要求所作披露的准确性和可靠性《SOX法》不仅适用于美国公司,也适用于在美国证监会注册的外国公司(1.4万家公司)，Makita就是这样的公司——在美国纳斯达克股票市场上市在《SOX法》出台后，法国和日本都先后出台了类似的新法规强化监管。因此从长远来看，改革公司内部控制体系将是大势所趋。《SOX法》内容主要包括:上市公司会计监督委员会的责任和角色上市公司的责任审计师独立性加强财务信息披露3404条款是萨法中最难操作、最复杂、耗费成本最高的一个条款。SOX法是继20世纪30年代经济大萧条以来，继《1933年证券法》和《1934年证券交易法》以来的，

美国政府制定的涉及范围最广、处罚措施最严厉、最具影响力的公司法律。《SOX法》简介

——严刑峻法4被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”要求高，成本高昂据对321家企业调查，每家遵守SOX法的美国大型企业第一年实施404条款总成本平均超过460万美元。为达标404条款，全球著名的通用电气公司花费了3000万美元完善内部控制系统。将对上市公司高管及白领犯罪予以重罚，高达500万美元的罚款；可能被处以10年或20年监禁的重刑，量刑等级几乎等同于美国持枪抢劫的最高刑罚；上市公司高管为实行SOX法案，可能要额外投入30%的时间。银广夏Ａ股通过伪造购销合同、伪造出口报关单、虚开增值税专用发票、伪造免税文件和伪造金融票据等手段，虚构主营业务收入，虚构巨额利润７.45亿元。琼民源虚假财务会计报告，通过虚假利润及虚编资本公积金增加的，误导投资者。中国将在3年内出台中国式的SOX法案中国移动、中移动、中国电信、中网通、华能电力、中国石化和中国人寿等在内的44家已在美国上市的中国公司也在其列；包括互联网公司如百度和搜狐等中国公司在第一个年度里，中国公司因这部严法需付出的费用将直逼2亿美元中国人寿4000万用于404条款遵循工作第404条管理层对内部控制的评审管理层为公司设立和维持足够的财务报告内部控制系统的责任陈述管理层为评估公司财务报告内部控制系统的有效性而采用的评估架构陈述管理层就公司最近财政年度财务报告的内部控制系统的有效性作出的评审结果第302条企业对财务报告的责任签字人已审阅向证监会呈交的报告该报告不存在对重要事件的不实描述或遗漏确认财务报告和其它财务信息的披露在所有重要方面均公允地反映公司状况承担责任，建立、维护和评估内部控制，确保信息披露正确已经向外部审计师和审计委员会披露内部控制存在的显着缺陷之处、重大漏洞和重要岗位舞弊披露评估日后内部控制的重大变动和改善措施《萨奥法》各项条例中以第302条“企业对财务报告的责任”

(CorporateResponsibilityforFinancialReports)和第404条“管理层对内部控制的评审”

(ManagementAssessmentofInternalControls)影响最为深远《SOX法》简介首席财务官或首席執行官需签署书面声明上市公司年报里(Form20-F表格)必须附有管理层对内部控制的评审报告，其内容应包括另外，第404条还要求外部审计师对于与财务报告相关的内部控制和管理层对内部控制的评审进行审计，并出具审计意见5上市公司会计监督委员会第2号审计准则的主要内容6《SOX法》审计规则——PCAOB2号准则简介内部控制指为合理地保证企业在财务报告的可靠性、经营效率和效益及遵守适用的法律法规方面达成既定的目标而设计的措施与财务报告相关的内部控制包括指为合理地保证（合理但并非绝对地保证）企业财务报告的可靠性和企业编制及公允列示财务报表的流程而设计和实施的企业政策和程序。这些内部控制包括备存会计记录、收据和报销项目授权及保护资产等政策和程序上市公司会计监督委员会第2号审计准则的主要内容《SOX法》第404条要求管理层和外部审计师都必须对与财务报告相关的内部控制进行评审。上市公司会计监督委员会配合第404条要求颁布第2号审计准则，以明确规范公司管理层和外部审计师的评审范围和要求。7内部控制(Internalcontrols)与财务报告相关的内部控制(Internalcontrolsoverfinancialreporting)的定义上市公司会计监督委员会第2号审计准则的主要内容主要交易是如何启动，记录，处理和反映在财务报告中的用以防范或找出与重要账户、交易种类和披露相关的错误或舞弊的内部控制措施其它重要内控措施所依赖的内部控制，包括一般性控制，例如信息系统控制非经常性、非系统交易或财务估计的内控措施财务报表关账和汇总过程中的内控措施资产保护的控制措施8与财务报告相关的内部控制包括对影响主要交易的所有财务记录和披露的控制措施:涉及主要交易类型的交易启动、授权、处理以及最终在财务报表中的披露过程中各环节的主要内部控制财务报表明细账总账收入:通话费固定资产/支出现金/贷款/

货币投资财务估计(如坏账、折旧、固定资产减值)业务系统与来源资料对照检查记录有关财务估计的决定和审批流程与系统控制遵行监控

政策报表合并内部往来账分析判断业务流程交易网络建设客户服务及账务网络管理应收/应付账业务费用(如维修

费用、人工和行政费用等)与财务报告相关的内部控制涉及的范围9上市公司会计监督委员会第2号审计准则的主要内容

——经营回经营回报与风险报与风险经营回报风险风险是某一事件或行为对企业经济利益可能的威胁风险的后果竞争失败经营中断法律诉讼商业欺诈无益开支资产损失决策失误公司管理层内部控制如何降低风险？

暴露的金额发生的可能性风险的大小内部控制降低成功内部控制的重要性有效的内部控制风险与经营回报的良好平衡上市公司会计监督委员会第2号审计准则的主要内容对管理层的要求必须肩负公司财务报告相关的内部控制有效性的责任采用适当的内控枉架(例如COSO)，评审公司与财务报告相关的内部控制系统的有效性以充分的凭证(包括档案文件)支持评审结果文档记录的重要性-文档记录可以为控制程序的确定和控制的监管提供证据-内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷-缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷，并签发反对意见报告针对公司最近的年度财务报告的内部控制的有效性提交书面声明13管理层应采取全面措施履行其责任，当中包括全面的计划，以及对内部控制系统的评审。管理层确定重大控制措施后，必须记录有关措施，然后测试措施的成效。企业应有充裕的时间完成整个程序并且纠正发现的内控缺陷。越早发现缺陷，管理层便有越充裕的时间纠正缺陷，并确定新措施的运作成效。如果管理层未能履行上述责任，会导致审计师发出保留或不表示意见。内控缺陷可以源自设计或操作方面控制措施的缺漏（设计）控制措施未能达到预期的控制目标（设计）控制措施没有按设计原意操作（操作）负责操作控制措施的人员不具备操作控制措施所需的职权或资格（操作）内控缺陷的严重程度不同，可以是不重要、显著缼陷、和非常严重的重大漏洞显著缼陷指单一或多个内控缺陷的存在导致无法把预防或发现年报或中期报告中出现错漏的可能性降至很低重大漏洞指单一或多个显着缺陷的存在导致无法把预防或发现年报或中期报告中出现重大错漏的可能性降至很低

上市公司会计监督委员会第2号审计准则的主要内容内控缺陷（ControlDeficiency)-显著缺陷

(SignificantDeficiency)和重大漏洞(MaterialWeakness)的定义14审计师发现重大的错漏内部审计或风险评估措施对企业未能发挥效用发现高级管理层诈骗舞弊现象在相当一段时间内没有纠正过去已提出的严重内控缺陷监控环境未能发挥效用上市公司会计监督委员会第2号审计准则的主要内容显示存在重大漏洞的显著内控缺陷的情况包括：15管理层404评审报告建立及维持有效性内部控制系统记录测试根据上市公司会计监督委员会第2号审计准则的要求，对与财务报告相关的内部控制进行独立审计，并正式出具一份审计师404审计报告，当中包括两个评估意见上市公司会计监督委员会第2号审计准则的主要内容16对外部审计师的要求评估意见(1)对管理层评审结论的意见(1) 评审内部控制的有效性(2) 提交最近年度财务报告的内部控制系统有效性的声明评估意见(2)对公司与财务报告相关内部控制有效性的意见审计师出具保留意见或不表示意见的成因和影响股价下挫负面消息流传形象受损信贷评级下降客户失去信心保留意见审计报告或审计师不表示意见成因二：外部审计师发现一个/多个重大内控漏洞，例如：

（1）需要作出审计调整（2）没有足够的信息系统控制成因一：管理层对内部控制评审的支持凭证不足，例如：（1）没有确定评审范围的充分依据和记录（2）缺少测试主要内控措施的档案文件17上市公司会计监督委员会第2号审计准则的主要内容

没有建立内部交易和往来账对账的正式程序不及时或没有进行往来账的对账工作，对帐未经管理层充分审阅缺少一定的管道和程序供员工向适当的独立部门/单位反映他们在日常工作中发现的与内控有效性相关的可疑情况反映对会计报告的准确性复核不足未能完整和准确的记录特定业务流程中的内部控制缺乏清晰的职责分工和准确的岗位说明书曾在已经实行《SOX法》的上市公司中存在的内控缺陷例子18上市公司会计监督委员会第2号审计准则的主要内容

上市公司会计监督委员会第2号审计准则的主要内容37%23%8%10%6%9%7%流程不健全人员胜任能力不足书面记录不完备销售确认错误融资租赁会计处理错误税金会计处理错误其他06年上市公司中存在的内控缺陷统计营运财务报告合规性监控信息和沟通控制活动控制环境风险评估COSO内控框架介绍20营运财务报告合规性控制活动确保落实管理层的政策/流程措施包括审批、授权、

确认、建议、业绩考核、资产保全和权限分离监控评估内部控制系统整合及时独立的评估管理层和监控机构的

工作内部审计信息和沟通定期获取、确定并交流相关的信息评审内部和外部获取的信息信息流：

职责指导

管理层的总结

成功的措施控制环境营造企业环境，让公司员工建立内部控制因素包括正直、道德价值、能力、权威和责任是其它内部控制组成部分的基础风险评估风险评估是因应一些

决定性的内部控制活动和企业目标而确认和

分析相关风险的工作所有五大元素必须同时起作用才能让内部控制有效运作监控信息和沟通控制活动控制环境业务单位甲业务单位乙活动一活动二风险评估COSO内控框架介绍211、控制环境是任何企业的核心，是企业的人以及它所处的环境是推动企业的引擎，也是其他要素的基础控制环境的组成要素：管理哲学和经营风格组织结构董事会及其委员会职能职责分配和授权人事政策1、控制环境-MCCELC-generalA-1.CEO是否积极分发符合MJ基本政策的文件，如《道德规范》、《行为准则》和教育/培训资料，与经理和所有员工沟通公司的道德价值观和管理层的理念。A-3.如果公司目标或个人目标直接与报酬挂钩，是否有防止经理或员工不诚实或不道德行为的控制？F-1.

是否根据组织目标恰当地授予CEO、财务经理（CFO）和IT经理（CIO）权利与责任？职权分掌表是否清晰地定义这些职权？权利是否恰当？是否确保有胜任能力的财务报告人员？G-2.对财务报告关联员工的教育、培训、业绩、待遇是否有明确的政策和程序？J-5.是否存在将舞弊(包括管理层越权)风险减少到最小的预防性控制?L-1.是否有财务报告和IT活动所需的政策和程序？是否及时更新？N-2.是否有热线电话，允许员工直接报告可疑的舞弊或违规行为。2.控制活动——一些重要的内控方法职责分离控制授权批准控制内部报告控制电子信息技术控制……2.内部控制的实施1.管理层在内部控制中的地位和作用内部控制的主体:管理层（承担的职责是计划、组织、领导其组织的活动，即对组织的内部控制负责）文档记录的重要性文档记录可以为控制程序的确定和控制的监管提供证据内部控制设计若缺乏文档记录将可能导致内部控制的重大失效或重大缺陷缺乏足够的证据来支持公司的评估结果会在外部签证报告中列为质量的重大缺陷，并签发反对意见报告内部审计：对管理层组织的内部控制进行监督，以协助管理层有效地履行他们的职责。5、监督整个内部