薩奧法案條款簡介及海外經(jīng)驗

1、,內(nèi)控體系建設(shè)工作座談會： 薩奧法案404條款簡介及海外經(jīng)驗 2004年12月9日,此處列述的信息和觀點不代表任何法律或其他形式的專業(yè)意見。有關(guān)2002年薩 奧法案和相關(guān)證券交易（SEC）法規(guī)及條例所規(guī)定的公司職責(zé)和合規(guī)性要求，建議公司向法律顧問進行咨詢。,PwC,議題, 法案要求, 外部審計師測試方案, 美國404 項目經(jīng)驗,PwC,薩班斯奧克斯利法案背景,2001-2002安然、世通及其他美國企業(yè)會計丑聞,2002.7.30薩班斯奧克斯利法案簽署生效,2003.1.09上市公司會計監(jiān)管委員會（PCAOB）正式成立,2003.10.07,PCAOB發(fā)布建議審計準(zhǔn)則與財務(wù)報表的審計協(xié)同進行的對

2、于財務(wù)報告的內(nèi)部控制的審計,2004.3.09,PCAOB發(fā)布第二號審計準(zhǔn)則與財務(wù)報表的審計協(xié)同進行的對于財務(wù)報告的內(nèi)部控制的審計,2004.6.18SEC批準(zhǔn)通過第二號審計準(zhǔn)則,2003-2004SEC發(fā)布一系列有關(guān)實施薩班斯奧克斯利法案的“最終細(xì)則”,2004.11.15,對會計年度結(jié)束于2004年11月15日或之后的美國境內(nèi)上市公司，法案404條款開始生效,2005.7.15,對會計年度結(jié)束于2005年7月15日或之后的境外注冊的上市公司，法案404條款開始生效,薩班斯奧克斯利法案介紹 旨在建立并恢復(fù)公眾對公司財 務(wù)報告的信心 設(shè)立上市公司會計監(jiān)管委員會（PCAOB） 明確了以下各方的責(zé)

3、任: 管理層 外部審計師 審計委員會 更新財務(wù)披露的要求, 設(shè)立了犯罪懲戒條款并進一步 加強了白領(lǐng)犯罪的懲罰措施 對在美國上市的境外公司(FPI) 并無重大豁免 對在中國大陸及香港的FPI (大約50個)和海外跨國公司的子公司有重大影響 美國證監(jiān)會（“SEC”）承諾進 行定期的審閱和強制執(zhí)行,薩班斯奧克斯利法案的重點 404條款要求企業(yè)管理層建立對財務(wù)報告的內(nèi)部控制 提出美國國內(nèi)上市公司和外國上市公司遵循404條款的時間表；對于在美國上市的外國公司，404條款將于2005年7月15日或以后的財政年度末生效?；谥袊偷呢斦甓龋?04條款將于2005年財政年度開始生效 企業(yè)管理層必須每年對影

4、響財務(wù)報告的有關(guān)內(nèi)部控制 的有效性進行評價并發(fā)表年度聲明 要求獨立審計師對影響財務(wù)報告的有關(guān)內(nèi)部控制進行 審計,對控制缺陷的評估 重大缺陷 Significant Deficiency（SD） 該缺陷會導(dǎo)致年報或中期報告中的并非無關(guān)緊要的錯漏無法被預(yù)防或偵測出來的可能性大于微小,實質(zhì)性漏洞 Material Weakness （MW） 該缺陷或缺陷集合會導(dǎo)致年報或中期報告中的重大錯漏無法被預(yù)防或偵測出來的可能性大于微小, 需要作個別和整體的評估 必需向?qū)徲嬑瘑T會報告 一個單獨的重大漏洞會導(dǎo)致否定意見,重大缺陷(SD) PCAOB規(guī)定，以下方面的缺陷通常被描述為重大的缺陷 ： 對會計準(zhǔn)則的選擇和

5、實施的控制與公認(rèn)會計準(zhǔn)則相一致 反舞弊程序和控制 對非正常或非系統(tǒng)交易的控制 期末財務(wù)報告流程的控制, 包括將交易合計錄入總帳程序的控制；交易的發(fā)生、授權(quán)、記錄以及將分錄登記入帳的控制；還包括記錄例行和非例行的財務(wù)報表調(diào)整的控制,實質(zhì)性漏洞(MW)的重要跡象 可能存在實質(zhì)性漏洞的跡象，包括: 重述以前年度的財務(wù)報告以糾正錯報 審計師在當(dāng)期審計中發(fā)現(xiàn)了財務(wù)報告中的重大錯報, 但 該錯報并未被公司的內(nèi)部控制發(fā)現(xiàn) 審計委員會對財務(wù)報告和相關(guān)的內(nèi)部控制缺乏有效的監(jiān) 管 無效的內(nèi)部審計和風(fēng)險評估職能 發(fā)現(xiàn)任何程度的高層舞弊行為 無效的控制環(huán)境,審計意見分類 需要對以下三方面發(fā)表審計意見： 對財務(wù)報表的審

6、計意見 對財務(wù)報告相關(guān)控制的審計意見 對管理層評估的審計意見,審計意見分類 內(nèi)部控制審計意見的種類：,無保留意見：,審計范圍不存在任何限制及沒有實質(zhì)性 漏洞,否定意見：,存在一個或以上的實質(zhì)性漏洞，并描述每個實質(zhì)性漏洞及說明其對財務(wù)審計工作的影響,保留意見：審計范圍在較小程度上受到限制,拒絕表示意見： 審計范圍在很大程度上受到限制,管理層無法及時完成評估所產(chǎn)生的影響 外部審計師將會拒絕發(fā)表審計意見 美國SEC將認(rèn)定此公司為有缺陷的申報者 影響其在資本市場再次進行融資的能力,無效的內(nèi)控系統(tǒng)會對公司產(chǎn)生何種影響？ 股價的影響 資本成本 投資者的反應(yīng)排名很有可能會受實質(zhì)性漏洞性質(zhì)的影 響 SEC的反

7、應(yīng)無效的內(nèi)部控制并不妨礙公司成為一個及 時申報者,內(nèi)控缺陷可能導(dǎo)致違反美國海外貪污行為法(Foreign Corrupt Practices Act) 如果未實施內(nèi)部會計控制系統(tǒng)，或者故意偽造任何帳簿 、記錄或者分錄，就要負(fù)以下的刑事法律責(zé)任: 個人 最高被處以一百萬美元及十年的監(jiān)禁 公司 最高被處以二百五十萬美元的罰款,外部審計師將對各主要交易進行跟單作業(yè) 外部審計師將通過跟單作業(yè)搜集證據(jù)，以便： 確認(rèn)外部審計師對交易流程的理解 確認(rèn)外部審計師對內(nèi)部控制設(shè)計的理解 確定流程中所有對與財務(wù)報表會計認(rèn)定相關(guān)的錯報風(fēng)險 已被鑒別，以確認(rèn)外部審計師對流程的理解是完整的 評估內(nèi)部控制設(shè)計的有效性 確認(rèn)

8、內(nèi)部控制是否已運用于經(jīng)營 資料來源：PCAOBAS-2s79,外部審計師將測試關(guān)鍵控制的執(zhí)行的有效性, 外部審計師將進行測試,以取得與財務(wù)報告中所有重要會計科目和披露相關(guān)會計認(rèn)定有關(guān)的內(nèi)控有效性的證據(jù) 測試方法將包括： 詢問 適當(dāng)?shù)膯T工 觀察 公司的運營 檢查 相關(guān)文件 再執(zhí)行 內(nèi)部控制的應(yīng)用, 樣本量: 自動控制：可能一個樣本就 足夠 人工控制：樣本量基于控制的執(zhí)行頻率（例如：日控制需抽樣30至60個） 資料來源：PCAOBAS-2s93，美國會計行業(yè)指引,外部審計師將評估并測試期末財務(wù)報告流程 外部審計師將評估期末財務(wù)報告流程，包括： 公司生成年度和年中國際會計準(zhǔn)則財務(wù)報告的過程中的 輸入

9、，執(zhí)行程序及輸出 在各年終財務(wù)報告流程要素中信息技術(shù)的含量 參與流程的管理層人員 測試涉及的地區(qū)公司的數(shù)量 調(diào)整科目的類型 相關(guān)方如管理層，董事會及審計委員會, 進行的監(jiān)管的 性質(zhì)和范圍 資料來源：PCAOBAS-2s77,外部審計師將評估并測試企業(yè)的總體信息系統(tǒng)控制 如果存在自動控制，外部審計師也需測試總體信息系統(tǒng) 控制，以確保自動控制的可靠性 主要測試以下四個方面的內(nèi)部控制： 程序開發(fā) 程序變動 計算機操作 對程序和數(shù)據(jù)的訪問 資料來源：PCAOBAS-2s50,外部審計師將評估并測試COSO框架的“軟”要素 用來測試COSO“軟”要素最基本方法是詢問和檢查 針對控制環(huán)境進行的測試包括：

10、通過詢問，觀察，重點關(guān)注及/或民意調(diào)查來評估“高層 管理基調(diào)” 觀察和評估違反公司行為準(zhǔn)則的案例的處理程序 復(fù)核書面授權(quán)標(biāo)準(zhǔn)并評定其合理性 檢查進行財務(wù)報告和風(fēng)險評估的各關(guān)鍵崗位的職責(zé)描述 資料來源：PCAOBAS-2s77,外部審計師將評估并測試COSO框架的“軟”要素 對風(fēng)險評估進行的測試包括： 復(fù)核管理層進行風(fēng)險評估的流程，包括評定發(fā)生的可能性和決定 必需的行動 評估管理層是否充分的表達(dá)了他們將如何確定和分析財務(wù)報表中 的重大估計記錄 對信息和溝通進行的測試包括： 高級管理層和董事會在信息系統(tǒng)發(fā)展的戰(zhàn)略計劃上做出的影響 了解新的會計公告是如何在會計政策手冊中得到更新的，以及這 些更新材料

11、是如何在相關(guān)范圍內(nèi)分發(fā)的 跟蹤貴行業(yè)或公司的關(guān)鍵信息的傳達(dá),外部審計師將評估并測試COSO框架的“軟”要素 對監(jiān)督進行的測試包括： 了解月度財務(wù)報告分析流程，并觀察重大或不尋常的科 目是如何被調(diào)查和解決的 評估內(nèi)部審計職能的有效性以及對已確認(rèn)的內(nèi)部控制缺 陷采取的報告和后續(xù)措施,外部審計師將對中石油各地區(qū)公司進行測試 財務(wù)方面重要的地區(qū)公司覆蓋企業(yè)經(jīng)營和財務(wù)的大 部分（覆蓋率為60-70%） 具有特殊風(fēng)險,可能影響整個機構(gòu)的地區(qū)公司 集合之后達(dá)到重要性的地區(qū)公司或營運單位 測試的性質(zhì)和范圍將根據(jù)地區(qū)公司的類型來確定,美國公司實施404項目通常涉及到的人員,企業(yè)內(nèi)部人員： 404項目領(lǐng)導(dǎo)班子 財

12、務(wù)總監(jiān) 404項目總部核心小組 項目委員會 財務(wù)主任或總會 計師、內(nèi)部審計部、法律部 信息系統(tǒng)管理部門 分支機構(gòu)的業(yè)務(wù)及財務(wù)管理主 管 流程和控制主管或負(fù)責(zé)人,企業(yè)外部人員： 404項目顧問 外部審計師 法律顧問,針對404項目, 美國公司如何進行職責(zé)分工？ 流程主管：證實控制的設(shè)計和運行有效性; 對控制進行書 面記錄并任命控制主管 控制主管：測試并評估控制有效性；負(fù)責(zé)整改計劃,管理層：,本地的、地區(qū)的以及公司層面的業(yè)務(wù)和財務(wù) 主管證實控制設(shè)計和運行的有效性,美國公司對404項目進行的內(nèi)部復(fù)核及驗證的過程,復(fù)核，匯報， 驗證,管理層內(nèi)控報告 總裁、財務(wù)總監(jiān) 披露委員會 業(yè)務(wù)單位總經(jīng)理 業(yè)務(wù)單位

13、財務(wù)主管 當(dāng)?shù)仳炞C 當(dāng)?shù)乜偨?jīng)理 當(dāng)?shù)刎攧?wù)主管 當(dāng)?shù)氐臉I(yè)務(wù)流程主管,復(fù)核，匯報， 驗證,美國404項目進行中遇到的問題: 1.公司發(fā)現(xiàn)內(nèi)控缺陷比預(yù)期多 在評估工作中發(fā)現(xiàn)大量的控制缺陷 有些客戶有40或更高比率的控制不合格而需要進行改 進，并進行再測試 需要處理大量的文檔記錄,美國404項目進行中遇到的問題: 2.必需的改進工作比預(yù)期的范圍廣并且耗時 根據(jù)普華永道2004年7月的調(diào)查，79%高級主管認(rèn)為為了符合薩奧法案404條款的規(guī)定，他們的公司需要對以下方面進行改進： 內(nèi)部審計有效性 計算機控制 (不包括安全性) 計算機安全控制反舞弊的程序財務(wù)報告流程 審計委員會的監(jiān)督,美國404項目進行中遇到

14、的問題: 3.管理層的評估工作比預(yù)期的時間長 根據(jù)美國的普華永道于9月30日對美國本土的客戶做的 初步評估: 10的客戶年底之前不可能完成審計之前的準(zhǔn)備工作 ，從而一定不會通過審計 40左右的客戶,項目有明顯滯后 50的客戶能夠在規(guī)定的時間內(nèi)完成準(zhǔn)備工作 外部審計師擔(dān)憂，由于管理層評估工作的延期，他們將 沒有足夠時間完成對公司內(nèi)部控制的審計,美國公司仍需完成的重要任務(wù) 年底前進行更新測試 匯總所有的控制缺陷并評估他們的重要性，包括對缺陷 結(jié)合之后所產(chǎn)生的總體影響進行測試 由外部審計師審計內(nèi)部控制 準(zhǔn)備管理層對內(nèi)部控制的報告 與高級管理層及審計委員會對缺陷進行溝通 對外部審計師申明所有的內(nèi)部控制

15、缺陷已向其披露,美國404項目帶給我們的啟示 有效的項目管理非常重要 建立認(rèn)可的詳細(xì)工作時間表并進行監(jiān)督工作進展, 時間 表中包括角色, 責(zé)任和工作成果 無論對管理層還是對外部審計師來說，必須認(rèn)識到404 條款的工作是一個長期重要的任務(wù) 在項目組與外部審計師之間要有清晰、持續(xù)的溝通,美國404項目帶給我們的啟示 總體系統(tǒng)控制的缺陷將可能導(dǎo)致問題的發(fā)生 對補償性控制的評估需要管理層和外部審計師的判斷 內(nèi)控缺陷的評估是個耗時的過程 將控制弱點確認(rèn)為“重要缺陷(SD)” 或 “實質(zhì)性漏洞 (MW)”的標(biāo)準(zhǔn)比預(yù)期的嚴(yán)格,404項目將要面臨的挑戰(zhàn) 創(chuàng)造一個能夠持續(xù)維護的機制 確認(rèn)對流程與控制進行維護的責(zé)任與主管人