SOX404薩班斯法案內(nèi)容及實施方法

SOX404薩班斯法案內(nèi)容及實施方法1.SOX404薩班斯法案出臺背景安然、世通等財務(wù)欺詐丑聞發(fā)生后，導(dǎo)致人們對金融市場信心喪失，并失去對公司會計記錄和報告活動的信任，為此，美國國會于2002年7月出臺了《2002年公眾公司會計改革和投資者保護法案》。該法案要求上市公司建立關(guān)于法人治理和財務(wù)報告的新實務(wù)。該法案由美國眾議院金融服務(wù)委員會主席奧克斯利和參議院銀行委員會主席薩班斯聯(lián)合提出，又被稱作《2002年薩班斯—奧克斯利法案》SarbanesOxley(2002)Regulations。薩班斯法案是對上市公司影響最廣泛的法律之一。該法案旨在保護在美國證券交易所開展股票交易的公司股東，并加大對這些公司決策人的可查力度。2.SOX404具體內(nèi)容是什么？薩班斯法案404條款要求，所有在美國上市的公司必須在其年度報告中披露管理層對公司當(dāng)年與財務(wù)報告相關(guān)的內(nèi)部控制體系有效性的評估報告。同時外部審計師也需要對上市公司的財務(wù)報告相關(guān)的內(nèi)部控制體系有效性發(fā)表審計意見。該評估報告要求包括以下內(nèi)容：●管理層有責(zé)任為企業(yè)建立和維護恰當(dāng)?shù)呐c財務(wù)報告有關(guān)的內(nèi)部控制?！褡R別管理層所采用的內(nèi)部控制框架以便按要求評估公司與財務(wù)報告有關(guān)的內(nèi)部控制的有效性。●對從一上個會計年度末以來與財務(wù)報告有關(guān)的內(nèi)部控制的有效性予以評估，其內(nèi)容也包括有關(guān)與財務(wù)報告有關(guān)的內(nèi)部控制是否有效的公開聲明?！衲甓葘徲媹蟾嬷?，注冊會計師事務(wù)所發(fā)表的財務(wù)審計報告，包括管理層對與財務(wù)報告有關(guān)的內(nèi)部控制有效性評估的證明報告?！窆芾韺雨P(guān)于公司針對財務(wù)報告內(nèi)部控制有效性評估的書面結(jié)論，應(yīng)包含在其對財務(wù)報告內(nèi)部控制的報告和其對審計師的信函中。這一書面結(jié)論可采取多種形式，但是管理層對公司面向財務(wù)報告的內(nèi)部控制的有效性必須發(fā)表直接意見?！袢绻c財務(wù)報告有關(guān)的內(nèi)部控制中有一個或多個重要缺陷，管理層將不能對財務(wù)報告的內(nèi)部控制有效性作出評估結(jié)論，而且，管理層應(yīng)該披露自最近一個會計年度末以來財務(wù)報告內(nèi)部控制方面的所有重要缺陷。公司在對財務(wù)報告作出確認時需要借助于企業(yè)的IT系統(tǒng)。為了識別管理層對財務(wù)報告所作的相關(guān)認定，審計師應(yīng)考慮每個重要賬戶潛在錯報、漏報產(chǎn)生的原因。在決定一個認定是否與某一重要賬戶余額或其披露相關(guān)時，審計師應(yīng)該評價IT系統(tǒng)的性質(zhì)、復(fù)雜程度以及企業(yè)IT的使用狀況。因此，所有企業(yè)構(gòu)建IT內(nèi)部控制至少都應(yīng)具備以下三層通用要素：企業(yè)管理層、業(yè)務(wù)流程和共享服務(wù)。3.SOX404項目怎么做？“薩班斯法案第404條款”要求在公司年報中包含一份管理層對內(nèi)部控制體系有效性的評估報告，無疑SOX是針對內(nèi)部控制的。美國證券交易委員會唯一推薦使用的內(nèi)部控制框架是COSO內(nèi)部控制框架，同時《薩班斯法案》第404條款的「最終細則」也明確表明COSO內(nèi)部控制框架可以作為評估企業(yè)內(nèi)部控制的標(biāo)準(zhǔn)。COSO框架對內(nèi)控的定義是：由一個企業(yè)的董事會、管理層和其他人員實現(xiàn)的過程，旨在為下列目標(biāo)提供合理保證：財務(wù)報告的可靠性；經(jīng)營的效果和效率；符合適用的法律和法規(guī)。COSO將內(nèi)部控制劃分為五個相互關(guān)聯(lián)的要素：控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通、監(jiān)控。內(nèi)審只是監(jiān)控的一個組成部分。一提到控制，總讓人不那么舒服，其實不然。表面看來，控制可能會拖慢了速度，影響了效率?，F(xiàn)代控制理念強調(diào)的是長遠的效率與效果，假如我們可以預(yù)知出錯的風(fēng)險，而做出防范，出錯的風(fēng)險就可以降低，效率和效果將因適當(dāng)?shù)目刂贫岣?，從而幫助你實現(xiàn)目標(biāo)。這就是我們常說的內(nèi)控“鐵三角”，即“目標(biāo)－風(fēng)險－控制”。舉個生活中的例子：過馬路?！斑^馬路”的目標(biāo)是“安全過去”；風(fēng)險是“不能安全過去，過程中出現(xiàn)意外”；面對風(fēng)險，你有選擇：可以選擇接受風(fēng)險，不采取任何措施，結(jié)果呢？也許運氣好，安全過去了，但也可能倒霉，跟車親密接觸了；當(dāng)然，可以選擇采取一些措施，來降低風(fēng)險，實現(xiàn)目標(biāo)，比如說每次過馬路都遵循“一站、二看、三通過”的原則。比較起來，增加了一個小小的控制，提高了我們無數(shù)次過馬路的成功率。但是不是萬無一失呢？也不是。雖然你控制的不錯，但可能天有不測風(fēng)云，剛好碰上個酒后駕車的（不可控因素）；或者沉思中忘了執(zhí)行“一站、二看、三通過”的控制（執(zhí)行問題），被人鳴笛警示?？梢?，控制只是有效降低了風(fēng)險，增加預(yù)期目標(biāo)實現(xiàn)的可能性，而非100％防止風(fēng)險。對企業(yè)而言，內(nèi)控是普遍存在的，無論你是否意識到?？梢园哑髽I(yè)看作許多人構(gòu)成的一個系統(tǒng)，為了滿足市場的需求，在競爭中立于不敗之地，必然需要先制訂戰(zhàn)略，再將其轉(zhuǎn)化為具體的目標(biāo)。整體目標(biāo)的實現(xiàn)需要層層分解，先是四大系統(tǒng)，再到各部門，再到各職能小組，最終落實到個人。實現(xiàn)公司下達的目標(biāo)是每個管理者的職責(zé)，我想每個管理者都會擔(dān)心目標(biāo)無法實現(xiàn)，風(fēng)險就這樣來了（風(fēng)險即是目標(biāo)不能實現(xiàn)的可能性），怎么辦？采取措施。廣義來看，把偏離目標(biāo)的行為拉到正軌上的行動都可以視為控制。從公司制訂的各項規(guī)章制度、到付款的授權(quán)審批、到不相容職務(wù)分離、到工作的交叉復(fù)核、再到個人的時間管理，控制可謂無處不在。但如何先識別風(fēng)險，再建立有效的內(nèi)控，并確保其有效執(zhí)行，以促成目標(biāo)的實現(xiàn)，是每個管理者都應(yīng)該、也一定在思考的問題（又稱為“流程負責(zé)人”，ProcessOwner，以下簡稱PO），只是各自采用的方式不同。SOX404項目就是提供了這樣一個工具，一套系統(tǒng)的方法：首先，通過流程圖直觀的描述流程（流程圖，F(xiàn)lowChart）；其次，設(shè)立流程目標(biāo)，考慮影響目標(biāo)實現(xiàn)的諸多風(fēng)險，再設(shè)計控制來有效降低風(fēng)險（風(fēng)險控制矩陣，RiskControlMatrix，以下簡稱RCM）；最后，監(jiān)督控制方法的有效執(zhí)行。其中最關(guān)鍵的是目標(biāo)的設(shè)立，我們“遵循薩班斯法案第404條款”的SOX項目，可以將主要目標(biāo)集中在財務(wù)報告的可靠性，相關(guān)的控制自然也主要針對于此；但COSO提出的其他兩個內(nèi)控目標(biāo)：合規(guī)和經(jīng)營目標(biāo)，也許并沒有完全體現(xiàn)在我們現(xiàn)在的RCM中，但這幾個方面流程負責(zé)人在經(jīng)營管理中自然會加以考慮，可見，目前我們的SOX包括的范圍是有限的，相關(guān)內(nèi)控也是最基本的要求，有效管理的范圍是大于它的。但PO可借助這一方法，實現(xiàn)其更廣闊的目標(biāo)（因為目標(biāo)是可增減的），因為風(fēng)險管理應(yīng)該有意識的嵌套進PO的日常管理之中，實際控制可以超越SOX，因為提供真實可靠的財務(wù)報告是投資者希望的；守法經(jīng)營、持續(xù)健康發(fā)展，更是投資者所期望。內(nèi)控其實挺有趣。首先，這個領(lǐng)域充滿了判斷，主觀性較強。目標(biāo)的確定、風(fēng)險的識別、如何設(shè)計控制、多少足夠；設(shè)計好了，開始運行，又如何評價運行的有效性；每個人都會有不同想法。舉個例子：為了確保應(yīng)收賬款的真實準(zhǔn)確，PO設(shè)計了一個控制“每季度，由分公司抽查客戶，發(fā)對帳單，對賬結(jié)果記錄在《抽查登記表》，電郵財務(wù)部和銷售管理部”，這個內(nèi)控怎樣才算執(zhí)行有效性呢？財務(wù)部收到所有的《抽查登記表》可以了嗎？如何判斷？這時，可以反問自己控制的目標(biāo)是什么，做到這一步能降低風(fēng)險實現(xiàn)目標(biāo)嗎？回答是，還差點。財務(wù)部還會審閱分公司電郵《抽查登記表》的對賬結(jié)果：是不是都發(fā)了但沒一個客戶回？若回了，與我們記錄的一致嗎？若不一致，原因何在？查明原因后，是否需要調(diào)賬？一般認為，做到這一步，控制才基本到位了。但可能另一個人會提出，不行，還要抽幾個客戶的《對帳單回函》看看，是不是跟分公司電郵的結(jié)果一致；或者全部回函都要看?？梢姡瑢刂七\行有效性的評價是充滿主觀判斷的；但基本標(biāo)準(zhǔn)也是存在的。其次，內(nèi)控是充滿變化的。流程圖畫好了不是鐵定不可改，它只是個描述流程的工具而已，PO也有責(zé)任根據(jù)管理的需要和環(huán)境的改變不斷優(yōu)化流程，以促進自己承擔(dān)目標(biāo)的實現(xiàn)。在做出決策時，可以參考現(xiàn)存的流程圖以及對現(xiàn)有流程目標(biāo)、風(fēng)險和控制的描述；一旦做好了改變的決策，自然需要更新相關(guān)文檔，以有效指導(dǎo)實際操作；這可能就引起了內(nèi)控的改變。舉個例子，以前發(fā)貨后，從ERP系統(tǒng)中逐張打印紙質(zhì)《待開發(fā)票登記簿》，經(jīng)PO簽字審核后，再由財務(wù)審核過賬。后來，ERP新增了“訂單審核功能”，PO共同決定改逐張打印紙質(zhì)的《待開發(fā)票登記簿》，為分批導(dǎo)出電子的《待開發(fā)票清單》；因為新增IT系統(tǒng)控制后，已經(jīng)可以有效降低未經(jīng)授權(quán)修改訂單的風(fēng)險了。我們可以看到，改變后，即有效控制了風(fēng)險，又提高了流程的效率、節(jié)約了資源，是合理的。最后，內(nèi)控遵循的一個原則是：看形式，但更看重實質(zhì)。這里有個正副經(jīng)理之爭的有趣問題。每個月總部HR都會導(dǎo)出各部門的異常刷卡報表，由員工本人和部門經(jīng)理簽字確認。PO之所以設(shè)計“員工和部門經(jīng)理簽字確認異常刷卡報表”這個控制，是為了降低考勤記錄、扣款不真實、不準(zhǔn)確的風(fēng)險，確保員工工作時間記錄沒有爭議。在執(zhí)行這個控制時，有一個問題出現(xiàn)了：經(jīng)理出差不在，副經(jīng)理簽字，該控制運行是否有效？SOX強調(diào)簽字，強調(diào)對制度的遵循，有時到了近乎苛刻、讓人惱火的程度；似乎很形式，很表面，其實是有理由的，簽字是為了留下控制的證據(jù)，強調(diào)制度化以及制度的執(zhí)行是為了確立一些內(nèi)控的依據(jù)、標(biāo)準(zhǔn)、維持傳承性；這只是良好內(nèi)控的基本要求，還需要看