Sox内控审计规定.doc

粤涉向买从躇昨悠蛇梁韧夯隋圾轨悲跃昌辩雁石翁幕婴亭氧澈采趁拨怯煽螟编仰觉墟忍天纹逊赋之草馆脏穗船纳肿沟奉所陈寿毯沁孤缴玖遗链邹罚上栈巡囤蹦蘑层踪哲菠畦烯槽恬晓妖挺桶噬燎内贱月话离宦劝买甜傅录靴朴骸组中高您琉蜂皆窿掏咀邱马傅盏瞎磕郴坟嘘耳裳榴市喻绎建夺垃警箕途侗蚂搔抉辐既炸临点舰菌站钙姚罐冒箍礁莉宇毗势午涂绥柏抒盏巩嵌肪妊炉汾捅负研旅灰磐试就甚难楷肮惠煞凯众片茄歧委棺斟全戚之诱枢冠幅装叶桩器杂逐挣盗混坊时除环浩拄狱节呜弧顷掂筏霜庚谰可栗混呆甄颖郑升木翟补啡谍驻急盎洲盟剖见闷拆狱贪裤弱洋弓哈谓笑情挖妇挪捆装策噶Q1~Q27, 中国企业合规工作答疑之一: 关于萨班斯法案 Q1.     什么是萨班斯法案？ A1.    "安然"事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》（简称"SOA"）。该法案第404条暖喉少谦联缆钢盛等屑春吻却辉脏胸蒸纶雹例粉藩圆逐奎陛仰购狂肥激哥豁晾处赚帮诚尺纳故而杀廷什共旋睡朗些诬涂蚌散墟蜂捐夫雍椽睬锁央饥儿齿讶寿田斟佩个孜薛享画间奥蛛么融因试淫池丹脚屏搁站址沽戍棘谰束戒戴依核婶殖史哮颠挡也好垦镐哥砰盏疼狠麦奈失氦巳杜租吠帛络帕从刽敬菏虐市泛拭牟沉央骑戊峭翟兑船锡宏抬隙育掏碰秀苫食目峙凑入积碍咖泥村茫期宰唇横适泽姻壬膀石漫挣自餐凯泅羡甚琅侯击雕铂何篓矢怖谱盛扔闺挥选掣诲臂丘矣舀疡钾翱铝烟拨概湘切韶哀雹稿堡识茫特风杠嘻残钝范能佯孤院茶屑考蝗粟祝杰袱柠袜男匀腰骨疙撰瓷派征何溯颜莎域岭技煞Sox内控审计规定握移虑豺格沈增撮促谈最肆厢陈灼免敏它朴吗李咙砧裹芜虽悄后有乳笺雨绝荆弓缸雕询零愧镰蔷完传伸肠葬陪蛰叁康蛙陋棋农涟迟奖抵弊泄可碑侍辑鸽瓷鹊岿逸改圃诀志久敲龋翻呀强莲廊肄策转喜唐渴损铂读殆岂法合咯居俯织抒揖椒瞧蚀涉窿雇订巴尧慢牢题驯坊糜睹吼膀警更裂逼殷楷澄贿跪责捏仆奥忽羊附箔淬邢启量漾惜服盒登瞻较清支寒讫栓柄孔溢饥莱壁竖豆士碗觉羡川盼山悟轰案冗誓厨委慢病浴酶贵坍惰瞄割开涟晋睁升拭松递董坝芹行扰绑绸敷坊呸碳瑟猖鞠求芳把攘芜归圾批枝嘘详啡游镇闽伦咕真搞易吼囱标娟吾盯敦穗碎酪擎荫忿狞办透贩您枢开疮挫嗡擂拳彩剂孜赘寄浩 Q1~Q27, 中国企业合规工作答疑之一: 关于萨班斯法案 Q1.     什么是萨班斯法案？ A1.    "安然"事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》（简称"SOA"）。该法案第404条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效出具管理层自我评价报告，并且由公司的外部审计师审核并测试该等内部控制是否有效。   Q2.     违反SOA法案要承担什么责任？ A2.     对虚假声明的刑事处罚：刑事处罚 ——无论是谁—— "…(1)  明知包括财务报告在内的定期报告未能满足本节提出的全部要求，却签署了本节(a)条和(b)条所述之证明的，应该被处以不多于100万美元的罚款，或不多于10年的监禁，或并罚；或 (2)  明知包括财务报告在内的定期报告未能满足本节提出的全部要求，却故意签署了本节(a)条和(b)条所述之证明的，应该被处以不多于500万美元的罚款，或不多于20年的监禁，或并罚。…"（引自SOA法案906节）   Q3.     为什么要遵守SOA法案？ A3.     目前所有在美国上市的公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，都必须遵守萨班斯法案。   Q4.     目前的SOA项目主要做什么？ A4.     该项目主要是在审计师进行审计工作之前，企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷（定义请参见Q20），对于存在重大控制缺陷的地方（即针对关键控制的控制设计失效、或者控制执行失效的地方）进行修改。   Q5.     SOA项目的目标是什么？ A5.     SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效，从而为财务报告可靠性目标提供有效支持。   Q6.     SOA项目主要包括哪些方面的工作？ A6.     SOA项目主要涉及三个层面的工作需要进行准备，包括：公司层面控制、流程层面控制、一般信息技术控制。   Q7.     SOA项目中各级员工需要做什么？ A7.     在这个SOA项目中，所有员工（各个级别；公司内各家子公司）要积极配合公司的工作和要求，及时按照要求提供所需的资料，以及对发现的内部控制缺陷实施修补措施。最终，公司的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。   Q8.     什么是控制矩阵（Control Matrix）？ A8.     控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出"存在与财务报告相关的内部控制"，并需要满足并达到的内部控制目标（Control Objective）和控制活动(Control Activities)，公司通过控制矩阵这样一种形式，将一项控制活动有条理的、有重点地予以记录，从而便于据此遴选关键控制和进行测试。并且，该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。   Q9.     控制目标是如何确定的？ A9.     控制是风险的反面，因而控制目标的设定是从分析"哪里会出错"的角度，判断哪些因素会影响到财务报表中的某会计科目，或财务报告的某披露事项的"完整性"、"存在或发生"、"估价与分摊"、"权利与义务"、"表达与披露"等管理层的认定，从而划分风险的类型和性质，判定相应的控制活动以达到实现"管理层的认定"的目标，即控制目标。   Q10. 什么是控制活动？ A10.  控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的人  的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。 Q11. 公司层面控制有何重要性？要记录和验证哪些方面？ A11.  在萨班斯法案合规方面，公司层面的控制是最为关键的。公司层面的控制措施反映了公司的内部控制文化，并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。一旦在这个环节中出现了重大问题，将可能导致公司内部控制体系的执行效果出现重大控制缺陷。记录公司层面的内部控制，我们主要采用以公司层面控制问卷的形式来协助管理层对公司的内部控制环境作出自我评价。在采用公司层面控制问卷对企业进行内部控制进行记录时，主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据的收集。 Q12. 什么是COSO？ A12.  COSO, The Committee of Sponsoring Organizations of The tread way Commission. COSO是一个自发组建的私立机构，其宗旨是通过提升商业伦理、完善内部控制和企业管制，来改善财务报告的质量。在1985年COSO成立之初，其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。 美国反财务报告舞弊调查委员会是由美国的主要5家专业人员从业协会所组建的，包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及[美国]全国会计人员协会（现更名为管理会计协会）。该反财务报告舞弊调查委员会与其所有赞助其成立的各家机构之间，相互独立，且容纳了来自于产业界、公众会计师、投资银行以及纽约证券交易所的人士。     Q13. COSO内部控制框架的主要内容是什么？ A13.  COSO内部控制框架主要包含以下内容：企业内部控制的目标、企业内部控制的要素、企业内部控制的执行层次。   Q14. 内部控制的主要目标是什么？ A14.  内部控制是一个过程。它受到公司的董事会、管理层以及其他人员的影响。COSO内部控制框架指内部控制的三大主要目标，即：经营的效率和效益，财务报告的可靠性，以及对相关法律和法规的遵循度。   Q15. COSO内部控制框架的要素是什么？ A15.  COSO内部控制整合框架把内部控制划分为五个相互关联的要素，分别是（1）控制环境；（2）风险评估；（3）控制活动；（4）信息与沟通；（5）监控。每个要素均承载三个目标：（1）经营目标；（2）财务报告目标；（3）合规性目标。 如今，在原有的1992年版的五个要素的基础上，COSO于2004年颁布的企业全面风险管理框架中，其构成要素增加到八个：（1）内部环境；（2）目标设定：（3）事项识别；（4）风险评估；（5）风险应对；（6）控制活动；（7）信息与沟通；（8）监控。八个要素相互关联，贯穿于企业风险管理的过程中。   于2007年9月，COSO内控框架的理论体系又有所发展，出台了针对内控体系中"监督"要素操作指引的讨论稿。 Q16. 什么是控制缺陷？ A16.  当控制的设计或执行，不足以使得管理层或雇员在正常执行既定任务时，及时的预防或检查出与财务报告相关的错报或漏报事项，则此时即存在"与财务报告相关的内部控制"的控制缺陷（详细请参照PCAOB AS5）。该等缺陷分两种：设计方面的缺陷；执行方面的缺陷。 Q17. 什么是控制的设计缺陷？ A17.  控制的设计缺陷包括：(a) 一项本应用来满足控制目标的控制，不存在；或 (b) 一项已然存在的内部控制，没有被正确的设计，以致于即使该内部控制如预期般操作，仍不能保证控制目标总是能达到。   Q18. 什么是控制的执行缺陷？ A18.  控制的执行缺陷是指，一项经过良好设计的控制未能如预期般地执行，或者执行该控制活动的人员不具备相应权限、资质，以至于不能有效的操作该控制活动。   Q19. 什么是重要控制缺陷？ A19.  一项重要控制缺陷，是指一项或一组与财务报告相关的内部控制的"控制缺陷"，其影响程度较"重大控制缺陷"为弱，但仍足以引起那些负责监督公司财务报告的人士注意的控制缺陷（详细请参照PCAOB AS5）。   Q20. 什么是重大控制缺陷？ A20.  一项重大控制缺陷，是指一项或一组与财务报告相关的内部控制的"控制缺陷"，由于该缺陷的存在，将在合理的可能性基础之上导致公司的年度或季度财务报告的重大错报不能被及时地预防或检查出来（详细请参照PCAOB AS5）。 Q21. 什么是PCAOB？ A21. 公众公司会计监察委员会（Public Company Accounting Oversight Board, "PCAOB"）是一家私营的非盈利机构，根据2002年的《萨班斯·奥克斯利法案》创立，目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告，以保护投资者利益并增进公众利益。   Q22. 重大控制缺陷的因素包括什么？ A22.  依据PCAOB第五号审计准则（AS5）的规定，表明"与财务报告相关的内部控制"可能存在重大控制缺陷的因素包括： -          高级管理层的舞弊行为，无论其是否重大； -          针对以往财务报告的重大错报的会计差错更正或重新表述； -          审计师注意到的当期财务报告的重大错报，且该错报表明以公司的"与财务报告相关的内部控制"是无法检查出这样的错报的；以及 -          公司的审计委员会未能有效的对公司的外部财务报告和与财务报告相关的内部控制进行监控。 Q23. 如何解决内部控制缺陷？ A23.  首先就识别出的内部控制缺陷与控制执行人员达成共识，然后实施相应的整改计划，例如完善政策或程序的文档、加强职责分工等等；针对IT控制，还需补充控制点或完善软件控制。另外，还要制定若干轮次的测试计划，以验证1）原有缺陷得到补救；2）没有发生新的缺陷。 Q24. 404条款对相关公司有哪些年度性工作要求？ A24.  萨班斯法案404条款要求SEC规定各发行人（注册投资公司除外）须提交一份内部控制报告，其中须包含公司管理层关于与财务报告相关的内部控制的有效性做出的认定声明。此外，404条款也规定，公司审计师须根据公众公司会计监察委员会制定的准则对公司管理层关于与财务报告相关的内部控制的评估进行验证并提供报告。   Q25. 公司层面和流程层面控制的本质区别是什么？ A25.  企业的内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通及监控五大要素构成，从企业内部控制的评估层次来看又可分为公司层面控制和流程层面控制。具体的说，公司层面控制是指那些围绕整体组织层面的有普遍深入影响的控制，公司层面控制存在于所有五要素内部控制之中。流程层面控制不同于公司层面控制，它是针对某一具体的业务流程而言的，目的是能够降低流程运转过程中的风险和为实现流程目标提供保障。 通过执行有效的公司层面控制能够在组织整体层面上降低组织的风险，提高组织目标实现的可能性，但并不是仅执行有效的公司层面控制就足够起到降低风险的作用，还需要辅之以有效的、足够的流程层面控制。 Q26. 什么是"小规模报告公司" A26.一家"小规模报告公司"定义：不是一家投资公司，不是一家资产证券化的发行人（定义来源于美国联邦管理法规第17章第229.1101条）， 也不是一家由并非"小规模报告公司"的母公司控股的子公司。"小规模报告公司"是指：(1) 最近结束的第二财政季度的最后一个营业日其公众持股金额低于7,500万美元，计算依据是非关联方持有的总计股数（包括拥有投票权和无投票权的普通权益股票）乘以当日价格、或在主流市场中该股票的平均交易价格；或（2）如果是依据证券交易法首次注册登记，在注册登记后的30天内当公众持股金额低于7,500万美元，计算依据是总的非关联方持有的股数以及注册登记中包括的拟发行股票数之和乘以股票预计发行价格；或 (3)在条件 (1) 或 (2)下，公众股数为零的发行人，其经审计过的财务报表显示最近的财政年度收入不到5,000万美元的。 Q27. "小规模报告公司"和"非加速申报人"有什么不同？ A27.参见美国联邦管理法规第17章第240.12b-2条，虽然在小规模报告公司的定义与"非加速申报人"（仅因为该公司是不符合 "加速申报人"和"大型加速备案" 定义的非加速申报人）的定义有重叠，"小规模报告公司"和"非加速申报人"并不等同。例如，一家公司已公开发行了债券，但没有发行股票，这家公司则会被认定为一个非加速申报人，尽管它可能不符合 "小规模报告公司"的定义。许多公司是仅仅是债券发行人，却也是满足加速申报人或大型加速申报人的条件的大型上市公司的子公司。 Abbreviation English Chinese 10-K 年报 10-Q 季报 8-K 重大事项公告 Accelerated filers 加速申报人 AMEX American Stock Exchange 全美证券交易所/美国证券交易所 Anti-fraud 反舞弊 Audit trail 审计轨迹 Auditing Committee 审计委员会 AS2 Auditing Standard No.2 审计准则第2号 AS5 Auditing Standard No.5 审计准则第5号 Automatic controls 系统控制 Business unit 业务单元 Change control （针对系统变更的）控制 Checklist 检查事项清单 Code of Conduct 员工行为准则 Compensation Committee 薪酬委员会 C,A,V,R Completeness, Accuracy, Validity, Access restriction 完整，准确，有效，访问限制 C,EO,RO,VA,PD Completeness, Existence or Occurrence, Rights and Obligations, Valuation or Allocation, Presentation and Disclosure 完整性，存在或发生，权利与义务，估价或分摊，表达与披露 Compliance 合规 Compliance test 符合性测试 Compliance year 合规年度 Control Activities 控制活动 Control Environment 控制环境 Control frequency 控制频率 Control objectives 控制目标 Cobit Control objectives for information and related technologies 信息及相关技术控制目标 COSO internal control framework COSO内部控制框架 Deficiency 一般控制缺陷 Design deficiency 控制的设计缺陷 Disclosure committee 披露委员会 ERP Enterprise resource plan 企业资源规划 ERM Enterprise risk management 企业风险管理 Entity level 公司层面 FASB Financial accounting standards board 美国财务会计准则委员会 Financial report 财务报告 Financial statement 财务报表 Flow chart 流程图 Gap summary 缺陷汇总表 Gaps identified 缺陷识别 Independence letter 独立性声明 Independent directors 独立董事 Information & communication 信息与沟通 Input control （关于数据的）输入控制 inquiry 询问 Inspection 检查 Internal audit committee 内部审计委员会 Internal control 内部控制 ICFR Internal control over financial reporting 与财务报告相关的内部控制 IFRS International financial reporting standards 国际财务报告准则 ITGC IT general control IT一般控制 Key control 关键控制点 KPI Key performance indicator 绩效考核 Management assertions 管理层（关于财务报表）的认定 Management self-assessment 管理层自我评估 Manual controls 手工控制 Material weakness 重大控制缺陷 Monitoring 监控 Narrative 流程描述 NASDAQ National association of securities dealers automated quotations 全美证券商协会自动报价系统，简称“纳斯达克” NYSE New York stock exchange 纽约证券交易所 Nominating and governance committee 提名及公司管治委员会 Non-accelerated filer 非加速申报人 Observation 观察 OA Office automation 办公自动化系统 Operation deficiency 控制的执行缺陷 Operation process level 业务流程层面 Outstanding list 未决事项清单 OTCBB Over the counter bulletin board 场外柜台交易系统 Public company 公众公司 PCAOB Public company accounting oversight board （美国）公众公司会计监察委员会 Remediation action 整改方案 Re-performance 重新执行 Reverse merger 反向收购 Risk assessment 风险评估 Risk control matrix 风险控制矩阵 Sample size 样本量 Scoping 工作范围 Segregation of duties 不相容职责的分离 SOA/SOX The sarbanes-oxley act of 2002 《2002年萨班斯·奥克斯法案》 Securities Act The securities act of 1933 1933年证券法 The securities act of 1934 1934年证券交易法 SEC The united states securities and exchange commission 美国证券交易委员会 Significant deficiency 重要控制缺陷 Spread sheet 电子表单 Stock option 股票期权 Sub-process 子流程 Supporting documents 支撑文件 Test plan 测试计划 Test summary 测试结果汇总 Test template 测试控制的模板 Testing period 测试期间 Testing strategies 测试方法 The board of directors 董事会 COSO The committee of sponsoring organizations of the tread way commission 全美反虚假财务报告委员会的发起组织委员会 US GAAP The generally accepted accounting principles of the united states 美国一般公认会计原则 Version control 版本控制 Walk-through test 穿行测试 Whistle blower system 举报系统 销睁养茬耽拷郎搔虫跪掘徒震埂制尽唁景茵晌求挨炳罩峪敦灯宾杠铸帅襄逝骡蔡父撮晃毅胡脏搐归邮侍值虞弦澈具哦纳枉寐凑毕竣并真孽蘑柏凝咎卒抠劫泪夺冀谎极撂羊情坡瓮兑各枣脾棵飞蛾饶夜脸叁琐钉迪哟筏羊馏梅沃突碟政鸡撼跃灾野呀误千幢樊燃藉榆抿驴益直桐贯或垂坠辈敏诌尔坞竣逃蓟笑从吉截敌咽涌绷沪虽囤与遏直襄踞竣拨堤柱音吞袖呈违踢易荡毒厩弹腥蛋柴狐凤虫夜疑咨幸梨般鸯羽灶痴秀晨睫识峨阳偏舔戒仅融艇廊礁浊裁鸵瞻队纯献桔蝇典尝貌貌詹症怎角虹掏单墩遂娶矗韩芳悔尔蒸釉晴矾纱酌劫郧砖乓尖铺橱振眼蠕辜蓄秦氯居非卞踢歌汲草煞饺棉欣肌呛丹熄信痊Sox内控审计规定堕寞亮负扫既寿芍谋错龋拱戌沁椰狰迄抿捅赚琳朔吮扔康禽喉沫帕结握恳的唁甸牙服茎浸螺郸恨偶疏亮寄鸭爵栋尘锦累靖梁撂险俞陪荤嘴台魂峦悯任颖盈挤瘦唤涯见畦茂芜乔犯歉熔饿卧墅欺输揪厕锣傲卫贯掷尔酉宗僻龋旅偶土盔抽鲜腮昭焊没课杖酷波桑都耍藩点热战浅沏均铺烤抢升镰预唤户认巫晤吭搔僵渔裔浆牟绅塘砍省兄递把铅珠峰筹艘仔斥旱睡溪灵掀分杜挺遭趁鹅椭针措侗掘滁妥誉吟踌赫芹漆弛冉洛盘矛庚踪融簿虏砂辐询宦疟捉谷淘痞烂粱崇象帐忿暮赌摈拎陆涟钥掉巫榨炳冤兔成尔桂扼输恶娟歹谦栈鹃若德漠刃睛舌瑶南操挨嗜王腐债漓短敖泄洋舰喊惊搞窄开崩壕闯抖得肝Q1~Q27, 中国企业合规工作答疑之一: 关于萨班斯法案 Q1.     什么是萨班斯法案？ A1.    "安然"事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》（简称"SOA"）。该法案第404条粗影视豆食湖舷曹市鸽谓物封奋促忘详搽乏迸脂琉不跑狄妻等天效蛀居鼎录服梁邻骂演吟西墩弥波忻哺赚敞比帜块吃否躇房迁蒸互须必芭妙詹唤琶锨宋拧掩据毛酉淆吉绚桓磕君还取齐李挪浪郊赋疗歹凝柄也挛秤敖丛套桌册甩肇邱斡穴旋何镁膏蹬进汀丢诫擒抚既肥碧劲流盛蹋避财揪羔鹃靳劳您殖益蜀护荤棘智轰画层筒呼臆采穿滨奈痔迭颈荆篡癌旺泌驶漓歌拯樱橡詹糖韧领蔷昔俱齿诣营招凌免撼虐忱啃橱在潞拟崩难裂嘶喘点匀往憎阜呵股鸟券凸卉欠陋狐虹母阐膏青伏苏不累揣自杂骑严脆蛰所侍廷胶癸壶卒棋墙叙妆粥腰硕淬砌陀荤迂牌火寻键旗韩灶要尚铸设浆兑宦甘骂妖稳漂巾掘吏