SOX404萨班斯法案内容和实施方法.docVIP

SOX404萨班斯法案内容及实施方法 1. SOX404萨班斯法案出台背景 安然、世通等财务欺诈丑闻发生后，导致人们对金融市场信心丧失，并失去对公司会计记录和报告活动的信任，为此，美国国会于2002年7月出台了《2002年公众公司会计改革和投资者保护法案》。该法案要求上市公司建立关于法人治理和财务报告的新实务。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》 Sarbanes Oxley (2002) Regulations 。萨班斯法案是对上市公司影响最广泛的法律之一。该法案旨在保护在美国证券交易所开展股票交易的公司股东，并加大对这些公司决策人的可查力度。 2. SOX404具体内容是什么？ 萨班斯法案404条款要求，所有在美国上市的公司必须在其年度报告中披露管理层对公司当年与财务报告相关的内部控制体系有效性的评估报告。同时外部审计师也需要对上市公司的财务报告相关的内部控制体系有效性发表审计意见。该评估报告要求包括以下内容： ● 管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。 ● 识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。 ● 对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。 ● 年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。 ● 管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。 ● 如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。 公司在对财务报告作出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。因此，所有企业构建IT内部控制至少都应具备以下三层通用要素：企业管理层、业务流程和共享服务。 3. SOX404项目怎么做？ “萨班斯法案第404条款”要求在公司年报中包含一份管理层对内部控制体系有效性的评估报告，无疑SOX是针对内部控制的。 美国证券交易委员会唯一推荐使用的内部控制框架是COSO内部控制框架，同时《萨 班斯法案》第 404 条款的「最终细则」也明确表明 COSO内部控制框架可以作为评估企业内部控制的标准。COSO框架对内控的定义是：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。COSO将内部控制划分为五个相互关联的要素：控制环境、风险评估、控制活动、信息与沟通、监控。内审只是监控的一个组成部分。 一提到控制，总让人不那么舒服，其实不然。表面看来，控制可能会拖慢了速度，影响了效率。 现代控制理念强调的是长远的效率与效果，假如我们可以预知出错的风险，而做出防范，出错的风险就可以降低，效率和效果将因适当的控制而提高，从而帮助你实现目标。这就是我们常说的内控“铁三角”，即“目标－风险－控制”。 举个生活中的例子：过马路。“过马路”的目标是“安全过去”；风险是“不能安全过去，过程中出现意外”；面对风险，你有选择：可以选择接受风险，不采取任何措施，结果呢？也许运气好，安全过去了，但也可能倒霉，跟车亲密接触了；当然，可以选择采取一些措施，来降低风险，实现目标，比如说每次过马路都遵循“一站、二看、三通过”的原则。比较起来，增加了一个小小的控制，提高了我们无数次过马路的成功率。但是不是万无一失呢？也不是。虽然你控制的不错，但可能天有不测风云，刚好碰上个酒后驾车的（不可控因素）；或者沉思中忘了执行“一站、二看、三通过”的控制（执行问题），被人鸣笛警示。可见，控制只是有效降低了风险，增加预期目标实现的可能性，而非100％防止风险。 对企业而言，内控是普遍存在的，无论你是否意识到。可以把企业看作许多人构成的一个系统，为了满足市场的需求，在竞争中立于不败之地，必然需要先制订战略，再将其转化为具体的目标。整体目标的实现需要层层分解，先是四大系统，再到各部门，再到各职能小组，最终落实到个人。实现公司下达的目标是每个管理者的职责，我想每个管理者都会担心目