Sox内控审计规定.docx
- 文档编号:12189311
- 上传时间:2023-04-17
- 格式:DOCX
- 页数:12
- 大小:22.35KB
Sox内控审计规定.docx
《Sox内控审计规定.docx》由会员分享,可在线阅读,更多相关《Sox内控审计规定.docx(12页珍藏版)》请在冰豆网上搜索。
Sox内控审计规定
Q1~Q27,中国企业合规工作答疑之一:
关于萨班斯法案
Q1. 什么是萨班斯法案?
A1. "安然"事件爆发后,为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈,美国总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》(简称"SOA")。
该法案第404条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效出具管理层自我评价报告,并且由公司的外部审计师审核并测试该等内部控制是否有效。
Q2. 违反SOA法案要承担什么责任?
A2. 对虚假声明的刑事处罚:
刑事处罚——无论是谁——"…
(1) 明知包括财务报告在内的定期报告未能满足本节提出的全部要求,却签署了本节(a)条和(b)条所述之证明的,应该被处以不多于100万美元的罚款,或不多于10年的监禁,或并罚;或
(2) 明知包括财务报告在内的定期报告未能满足本节提出的全部要求,却故意签署了本节(a)条和(b)条所述之证明的,应该被处以不多于500万美元的罚款,或不多于20年的监禁,或并罚。
…"(引自SOA法案906节)
Q3. 为什么要遵守SOA法案?
A3. 目前所有在美国上市的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,都必须遵守萨班斯法案。
Q4. 目前的SOA项目主要做什么?
A4. 该项目主要是在审计师进行审计工作之前,企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷(定义请参见Q20),对于存在重大控制缺陷的地方(即针对关键控制的控制设计失效、或者控制执行失效的地方)进行修改。
Q5. SOA项目的目标是什么?
A5. SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效,从而为财务报告可靠性目标提供有效支持。
Q6. SOA项目主要包括哪些方面的工作?
A6. SOA项目主要涉及三个层面的工作需要进行准备,包括:
公司层面控制、流程层面控制、一般信息技术控制。
Q7. SOA项目中各级员工需要做什么?
A7. 在这个SOA项目中,所有员工(各个级别;公司内各家子公司)要积极配合公司的工作和要求,及时按照要求提供所需的资料,以及对发现的内部控制缺陷实施修补措施。
最终,公司的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。
Q8. 什么是控制矩阵(ControlMatrix)?
A8. 控制矩阵是记录内部控制过程的一种形式。
在控制矩阵里面记录了公司要体现出"存在与财务报告相关的内部控制",并需要满足并达到的内部控制目标(ControlObjective)和控制活动(ControlActivities),公司通过控制矩阵这样一种形式,将一项控制活动有条理的、有重点地予以记录,从而便于据此遴选关键控制和进行测试。
并且,该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。
Q9. 控制目标是如何确定的?
A9. 控制是风险的反面,因而控制目标的设定是从分析"哪里会出错"的角度,判断哪些因素会影响到财务报表中的某会计科目,或财务报告的某披露事项的"完整性"、"存在或发生"、"估价与分摊"、"权利与义务"、"表达与披露"等管理层的认定,从而划分风险的类型和性质,判定相应的控制活动以达到实现"管理层的认定"的目标,即控制目标。
Q10.什么是控制活动?
A10. 控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的人 的活动。
控制活动在整个机构内所有级别和所有职能部门内进行。
控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。
Q11.公司层面控制有何重要性?
要记录和验证哪些方面?
A11. 在萨班斯法案合规方面,公司层面的控制是最为关键的。
公司层面的控制措施反映了公司的内部控制文化,并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。
一旦在这个环节中出现了重大问题,将可能导致公司内部控制体系的执行效果出现重大控制缺陷。
记录公司层面的内部控制,我们主要采用以公司层面控制问卷的形式来协助管理层对公司的内部控制环境作出自我评价。
在采用公司层面控制问卷对企业进行内部控制进行记录时,主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据的收集。
Q12.什么是COSO?
A12. COSO,TheCommitteeofSponsoringOrganizationsofThetreadwayCommission.COSO是一个自发组建的私立机构,其宗旨是通过提升商业伦理、完善内部控制和企业管制,来改善财务报告的质量。
在1985年COSO成立之初,其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。
美国反财务报告舞弊调查委员会是由美国的主要5家专业人员从业协会所组建的,包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及[美国]全国会计人员协会(现更名为管理会计协会)。
该反财务报告舞弊调查委员会与其所有赞助其成立的各家机构之间,相互独立,且容纳了来自于产业界、公众会计师、投资银行以及纽约证券交易所的人士。
Q13.COSO内部控制框架的主要内容是什么?
A13. COSO内部控制框架主要包含以下内容:
企业内部控制的目标、企业内部控制的要素、企业内部控制的执行层次。
Q14.内部控制的主要目标是什么?
A14. 内部控制是一个过程。
它受到公司的董事会、管理层以及其他人员的影响。
COSO内部控制框架指内部控制的三大主要目标,即:
经营的效率和效益,财务报告的可靠性,以及对相关法律和法规的遵循度。
Q15.COSO内部控制框架的要素是什么?
A15. COSO内部控制整合框架把内部控制划分为五个相互关联的要素,分别是
(1)控制环境;
(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。
每个要素均承载三个目标:
(1)经营目标;
(2)财务报告目标;(3)合规性目标。
如今,在原有的1992年版的五个要素的基础上,COSO于2004年颁布的企业全面风险管理框架中,其构成要素增加到八个:
(1)内部环境;
(2)目标设定:
(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。
八个要素相互关联,贯穿于企业风险管理的过程中。
于2007年9月,COSO内控框架的理论体系又有所发展,出台了针对内控体系中"监督"要素操作指引的讨论稿。
Q16.什么是控制缺陷?
A16. 当控制的设计或执行,不足以使得管理层或雇员在正常执行既定任务时,及时的预防或检查出与财务报告相关的错报或漏报事项,则此时即存在"与财务报告相关的内部控制"的控制缺陷(详细请参照PCAOBAS5)。
该等缺陷分两种:
设计方面的缺陷;执行方面的缺陷。
Q17.什么是控制的设计缺陷?
A17. 控制的设计缺陷包括:
(a)一项本应用来满足控制目标的控制,不存在;或(b)一项已然存在的内部控制,没有被正确的设计,以致于即使该内部控制如预期般操作,仍不能保证控制目标总是能达到。
Q18.什么是控制的执行缺陷?
A18. 控制的执行缺陷是指,一项经过良好设计的控制未能如预期般地执行,或者执行该控制活动的人员不具备相应权限、资质,以至于不能有效的操作该控制活动。
Q19.什么是重要控制缺陷?
A19. 一项重要控制缺陷,是指一项或一组与财务报告相关的内部控制的"控制缺陷",其影响程度较"重大控制缺陷"为弱,但仍足以引起那些负责监督公司财务报告的人士注意的控制缺陷(详细请参照PCAOBAS5)。
Q20.什么是重大控制缺陷?
A20. 一项重大控制缺陷,是指一项或一组与财务报告相关的内部控制的"控制缺陷",由于该缺陷的存在,将在合理的可能性基础之上导致公司的年度或季度财务报告的重大错报不能被及时地预防或检查出来(详细请参照PCAOBAS5)。
Q21.什么是PCAOB?
A21.公众公司会计监察委员会(PublicCompanyAccountingOversightBoard,"PCAOB")是一家私营的非盈利机构,根据2002年的《萨班斯·奥克斯利法案》创立,目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。
Q22.重大控制缺陷的因素包括什么?
A22. 依据PCAOB第五号审计准则(AS5)的规定,表明"与财务报告相关的内部控制"可能存在重大控制缺陷的因素包括:
- 高级管理层的舞弊行为,无论其是否重大;
- 针对以往财务报告的重大错报的会计差错更正或重新表述;
- 审计师注意到的当期财务报告的重大错报,且该错报表明以公司的"与财务报告相关的内部控制"是无法检查出这样的错报的;以及
- 公司的审计委员会未能有效的对公司的外部财务报告和与财务报告相关的内部控制进行监控。
Q23.如何解决内部控制缺陷?
A23. 首先就识别出的内部控制缺陷与控制执行人员达成共识,然后实施相应的整改计划,例如完善政策或程序的文档、加强职责分工等等;针对IT控制,还需补充控制点或完善软件控制。
另外,还要制定若干轮次的测试计划,以验证1)原有缺陷得到补救;2)没有发生新的缺陷。
Q24.404条款对相关公司有哪些年度性工作要求?
A24. 萨班斯法案404条款要求SEC规定各发行人(注册投资公司除外)须提交一份内部控制报告,其中须包含公司管理层关于与财务报告相关的内部控制的有效性做出的认定声明。
此外,404条款也规定,公司审计师须根据公众公司会计监察委员会制定的准则对公司管理层关于与财务报告相关的内部控制的评估进行验证并提供报告。
Q25.公司层面和流程层面控制的本质区别是什么?
A25. 企业的内部控制整体框架主要由控制环境、风险评估、控制活动、信息与沟通及监控五大要素构成,从企业内部控制的评估层次来看又可分为公司层面控制和流程层面控制。
具体的说,公司层面控制是指那些围绕整体组织层面的有普遍深入影响的控制,公司层面控制存在于所有五要素内部控制之中。
流程层面控制不同于公司层面控制,它是针对某一具体的业务流程而言的,目的是能够降低流程运转过程中的风险和为实现流程目标提供保障。
通过执行有效的公司层面控制能够在组织整体层面上降低组织的风险,提高组织目标实现的可能性,但并不是仅执行有效的公司层面控制就足够起到降低风险的作用,还需要辅之以有效的、足够的流程层面控制。
Q26.什么是"小规模报告公司"
A26.一家"小规模报告公司"定义:
不是一家投资公司,不是一家资产证券化的发行人(定义来源于美国联邦管理法规第17章第229.1101条),也不是一家由并非"小规模报告公司"的母公司控股的子公司。
"小规模报告公司"是指:
(1)最近结束的第二财政季度的最后一个营业日其公众持股金额低于7,500万美元,计算依据是非关联方持有的总计股数(包括拥有投票权和无投票权的普通权益股票)乘以当日价格、或在主流市场中该股票的平均交易价格;或
(2)如果是依据证券交易法首次注册登记,在注册登记后的30天内当公众持股金额低于7,500万美元,计算依据是总的非关联方持有的股数以及注册登记中包括的拟发行股票数之和乘以股票预计发行价格;或(3)在条件
(1)或
(2)下,公众股数为零的发行人,其经审计过的财务报表显示最近的财政年度收入不到5,000万美元的。
Q27."小规模报告公司"和"非加速申报人"有什么不同?
A27.参见美国联邦管理法规第17章第240.12b-2条,虽然在小规模报告公司的定义与"非加速申报人"(仅因为该公司是不符合"加速申报人"和"大型加速备案"定义的非加速申报人)的定义有重叠,"小规模报告公司"和"非加速申报人"并不等同。
例如,一家公司已公开发行了债券,但没有发行股票,这家公司则会被认定为一个非加速申报人,尽管它可能不符合"小规模报告公司"的定义。
许多公司是仅仅是债券发行人,却也是满足加速申报人或大型加速申报人的条件的大型上市公司的子公司。
Abbreviation
English
Chinese
10-K
年报
10-Q
季报
8-K
重大事项公告
Acceleratedfilers
加速申报人
AMEX
AmericanStockExchange
全美证券交易所/美国证券交易所
Anti-fraud
反舞弊
Audittrail
审计轨迹
AuditingCommittee
审计委员会
AS2
AuditingStandardNo.2
审计准则第2号
AS5
AuditingStandardNo.5
审计准则第5号
Automaticcontrols
系统控制
Businessunit
业务单元
Changecontrol
(针对系统变更的)控制
Checklist
检查事项清单
CodeofConduct
员工行为准则
CompensationCommittee
薪酬委员会
C,A,V,R
Completeness,Accuracy,Validity,Accessrestriction
完整,准确,有效,访问限制
C,EO,RO,VA,PD
Completeness,ExistenceorOccurrence,RightsandObligations,ValuationorAllocation,PresentationandDisclosure
完整性,存在或发生,权利与义务,估价或分摊,表达与披露
Compliance
合规
Compliancetest
符合性测试
Complianceyear
合规年度
ControlActivities
控制活动
ControlEnvironment
控制环境
Controlfrequency
控制频率
Controlobjectives
控制目标
Cobit
Controlobjectivesforinformationandrelatedtechnologies
信息及相关技术控制目标
COSOinternalcontrolframework
COSO内部控制框架
Deficiency
一般控制缺陷
Designdeficiency
控制的设计缺陷
Disclosurecommittee
披露委员会
ERP
Enterpriseresourceplan
企业资源规划
ERM
Enterpriseriskmanagement
企业风险管理
Entitylevel
公司层面
FASB
Financialaccountingstandardsboard
美国财务会计准则委员会
Financialreport
财务报告
Financialstatement
财务报表
Flowchart
流程图
Gapsummary
缺陷汇总表
Gapsidentified
缺陷识别
Independenceletter
独立性声明
Independentdirectors
独立董事
Information&communication
信息与沟通
Inputcontrol
(关于数据的)输入控制
inquiry
询问
Inspection
检查
Internalauditcommittee
内部审计委员会
Internalcontrol
内部控制
ICFR
Internalcontroloverfinancialreporting
与财务报告相关的内部控制
IFRS
Internationalfinancialreportingstandards
国际财务报告准则
ITGC
ITgeneralcontrol
IT一般控制
Keycontrol
关键控制点
KPI
Keyperformanceindicator
绩效考核
Managementassertions
管理层(关于财务报表)的认定
Managementself-assessment
管理层自我评估
Manualcontrols
手工控制
Materialweakness
重大控制缺陷
Monitoring
监控
Narrative
流程描述
NASDAQ
Nationalassociationofsecuritiesdealersautomatedquotations
全美证券商协会自动报价系统,简称“纳斯达克”
NYSE
NewYorkstockexchange
纽约证券交易所
Nominatingandgovernancecommittee
提名及公司管治委员会
Non-acceleratedfiler
非加速申报人
Observation
观察
OA
Officeautomation
办公自动化系统
Operationdeficiency
控制的执行缺陷
Operationprocesslevel
业务流程层面
Outstandinglist
未决事项清单
OTCBB
Overthecounterbulletinboard
场外柜台交易系统
Publiccompany
公众公司
PCAOB
Publiccompanyaccountingoversightboard
(美国)公众公司会计监察委员会
Remediationaction
整改方案
Re-performance
重新执行
Reversemerger
反向收购
Riskassessment
风险评估
Riskcontrolmatrix
风险控制矩阵
Samplesize
样本量
Scoping
工作范围
Segregationofduties
不相容职责的分离
SOA/SOX
Thesarbanes-oxleyactof2002
《2002年萨班斯·奥克斯法案》
SecuritiesAct
Thesecuritiesactof1933
1933年证券法
Thesecuritiesactof1934
1934年证券交易法
SEC
Theunitedstatessecuritiesandexchangecommission
美国证券交易委员会
Significantdeficiency
重要控制缺陷
Spreadsheet
电子表单
Stockoption
股票期权
Sub-process
子流程
Supportingdocuments
支撑文件
Testplan
测试计划
Testsummary
测试结果汇总
Testtemplate
测试控制的模板
Testingperiod
测试期间
Testingstrategies
测试方法
Theboardofdirectors
董事会
COSO
Thecommitteeofsponsoringorganizationsofthetreadwaycommission
全美反虚假财务报告委员会的发起组织委员会
USGAAP
Thegenerallyacceptedaccountingprinciplesoftheunitedstates
美国一般公认会计原则
Versioncontrol
版本控制
Walk-throughtest
穿行测试
Whistleblowersystem
举报系统
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Sox 内控 审计 规定