SOX404萨班斯法案内容及实施方法

SOX404萨班斯法案内容及实施方法1.SOX404萨班斯法案出台背景安然、世通等财务欺诈丑闻发生后，导致人们对金融市场信心丧失，并失去对公司会计记录和报告活动的信任，为此，美国国会于2002年7月出台了《2002年公众公司会计改革和投资者保护法案》。该法案要求上市公司建立关于法人治理和财务报告的新实务。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》SarbanesOxley(2002)Regulations。萨班斯法案是对上市公司影响最广泛的法律之一。该法案旨在保护在美国证券交易所开展股票交易的公司股东，并加大对这些公司决策人的可查力度。2.SOX404具体内容是什么？萨班斯法案404条款要求，所有在美国上市的公司必须在其年度报告中披露管理层对公司当年与财务报告相关的内部控制体系有效性的评估报告。同时外部审计师也需要对上市公司的财务报告相关的内部控制体系有效性发表审计意见。该评估报告要求包括以下内容：●管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。●对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。●年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。●管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。●如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。公司在对财务报告作出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。因此，所有企业构建IT内部控制至少都应具备以下三层通用要素：企业管理层、业务流程和共享服务。3.SOX404项目怎么做？“萨班斯法案第404条款”要求在公司年报中包含一份管理层对内部控制体系有效性的评估报告，无疑SOX是针对内部控制的。美国证券交易委员会唯一推荐使用的内部控制框架是COSO内部控制框架，同时《萨班斯法案》第404条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。COSO框架对内控的定义是：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。COSO将内部控制划分为五个相互关联的要素：控制环境、风险评估、控制活动、信息与沟通、监控。内审只是监控的一个组成部分。一提到控制，总让人不那么舒服，其实不然。表面看来，控制可能会拖慢了速度，影响了效率。现代控制理念强调的是长远的效率与效果，假如我们可以预知出错的风险，而做出防范，出错的风险就可以降低，效率和效果将因适当的控制而提高，从而帮助你实现目标。这就是我们常说的内控“铁三角”，即“目标－风险－控制”。举个生活中的例子：过马路。“过马路”的目标是“安全过去”；风险是“不能安全过去，过程中出现意外”；面对风险，你有选择：可以选择接受风险，不采取任何措施，结果呢？也许运气好，安全过去了，但也可能倒霉，跟车亲密接触了；当然，可以选择采取一些措施，来降低风险，实现目标，比如说每次过马路都遵循“一站、二看、三通过”的原则。比较起来，增加了一个小小的控制，提高了我们无数次过马路的成功率。但是不是万无一失呢？也不是。虽然你控制的不错，但可能天有不测风云，刚好碰上个酒后驾车的（不可控因素）；或者沉思中忘了执行“一站、二看、三通过”的控制（执行问题），被人鸣笛警示。可见，控制只是有效降低了风险，增加预期目标实现的可能性，而非100％防止风险。对企业而言，内控是普遍存在的，无论你是否意识到。可以把企业看作许多人构成的一个系统，为了满足市场的需求，在竞争中立于不败之地，必然需要先制订战略，再将其转化为具体的目标。整体目标的实现需要层层分解，先是四大系统，再到各部门，再到各职能小组，最终落实到个人。实现公司下达的目标是每个管理者的职责，我想每个管理者都会担心目标无法实现，风险就这样来了（风险即是目标不能实现的可能性），怎么办？采取措施。广义来看，把偏离目标的行为拉到正轨上的行动都可以视为控制。从公司制订的各项规章制度、到付款的授权审批、到不相容职务分离、到工作的交叉复核、再到个人的时间管理，控制可谓无处不在。但如何先识别风险，再建立有效的内控，并确保其有效执行，以促成目标的实现，是每个管理者都应该、也一定在思考的问题（又称为“流程负责人”，ProcessOwner，以下简称PO），只是各自采用的方式不同。SOX404项目就是提供了这样一个工具，一套系统的方法：首先，通过流程图直观的描述流程（流程图，FlowChart）；其次，设立流程目标，考虑影响目标实现的诸多风险，再设计控制来有效降低风险（风险控制矩阵，RiskControlMatrix，以下简称RCM）；最后，监督控制方法的有效执行。其中最关键的是目标的设立，我们“遵循萨班斯法案第404条款”的SOX项目，可以将主要目标集中在财务报告的可靠性，相关的控制自然也主要针对于此；但COSO提出的其他两个内控目标：合规和经营目标，也许并没有完全体现在我们现在的RCM中，但这几个方面流程负责人在经营管理中自然会加以考虑，可见，目前我们的SOX包括的范围是有限的，相关内控也是最基本的要求，有效管理的范围是大于它的。但PO可借助这一方法，实现其更广阔的目标（因为目标是可增减的），因为风险管理应该有意识的嵌套进PO的日常管理之中，实际控制可以超越SOX，因为提供真实可靠的财务报告是投资者希望的；守法经营、持续健康发展，更是投资者所期望。内控其实挺有趣。首先，这个领域充满了判断，主观性较强。目标的确定、风险的识别、如何设计控制、多少足够；设计好了，开始运行，又如何评价运行的有效性；每个人都会有不同想法。举个例子：为了确保应收账款的真实准确，PO设计了一个控制“每季度，由分公司抽查客户，发对帐单，对账结果记录在《抽查登记表》，电邮财务部和销售管理部”，这个内控怎样才算执行有效性呢？财务部收到所有的《抽查登记表》可以了吗？如何判断？这时，可以反问自己控制的目标是什么，做到这一步能降低风险实现目标吗？回答是，还差点。财务部还会审阅分公司电邮《抽查登记表》的对账结果：是不是都发了但没一个客户回？若回了，与我们记录的一致吗？若不一致，原因何在？查明原因后，是否需要调账？一般认为，做到这一步，控制才基本到位了。但可能另一个人会提出，不行，还要抽几个客户的《对帐单回函》看看，是不是跟分公司电邮的结果一致；或者全部回函都要看。可见，对控制运行有效性的评价是充满主观判断的；但基本标准也是存在的。其次，内控是充满变化的。流程图画好了不是铁定不可改，它只是个描述流程的工具而已，PO也有责任根据管理的需要和环境的改变不断优化流程，以促进自己承担目标的实现。在做出决策时，可以参考现存的流程图以及对现有流程目标、风险和控制的描述；一旦做好了改变的决策，自然需要更新相关文档，以有效指导实际操作；这可能就引起了内控的改变。举个例子，以前发货后，从ERP系统中逐张打印纸质《待开发票登记簿》，经PO签字审核后，再由财务审核过账。后来，ERP新增了“订单审核功能”，PO共同决定改逐张打印纸质的《待开发票登记簿》，为分批导出电子的《待开发票清单》；因为新增IT系统控制后，已经可以有效降低未经授权修改订单的风险了。我们可以看到，改变后，即有效控制了风险，又提高了流程的效率、节约了资源，是合理的。最后，内控遵循的一个原则是：看形式，但更看重实质。这里有个正副经理之争的有趣问题。每个月总部HR都会导出各部门的异常刷卡报表，由员工本人和部门经理签字确认。PO之所以设计“员工和部门经理签字确认异常刷卡报表”这个控制，是为了降低考勤记录、扣款不真实、不准确的风险，确保员工工作时间记录没有争议。在执行这个控制时，有一个问题出现了：经理出差不在，副经理签字，该控制运行是否有效？SOX强调签字，强调对制度的遵循，有时到了近乎苛刻、让人恼火的程度；似乎很形式，很表面，其实是有理由的，签字是为了留下控制的证据，强调制度化以及制度的执行是为了确立一些内控的依据、标准、维持传承性；这只是良好内控的基本要求，还需要看实质，即签字是否真正达到了控制的目标（究竟检查、审核了哪些方面？），是否实质上遵循了制度。由此看来，正副经理之争就不成问题了，只要能降低考勤记录出错、扣款不真实、不准确的风险，实现“确保员工工作时间记录没有争议”的目标即可。其实，涉及内控的方面还有很多，以上只是目前感触比较深的几个方面，希望能引起你对内控方面的兴趣，增加一些内控意识，运用控制的思想和方法来降低身边的风险、实现既定目标。向其成2013-9-7周六于北京