Sox内控审计规定..doc

Q1~Q27, 中国企业合规工作答疑之一: 关于萨班斯法案 Q1.???? 什么是萨班斯法案？ A1.????安然事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》（简称SOA）。该法案第404条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效出具管理层自我评价报告，并且由公司的外部审计师审核并测试该等内部控制是否有效。?? Q2.???? 违反SOA法案要承担什么责任？ A2.???? 对虚假声明的刑事处罚：刑事处罚 ——无论是谁—— …(1)? 明知包括财务报告在内的定期报告未能满足本节提出的全部要求，却签署了本节(a)条和(b)条所述之证明的，应该被处以不多于100万美元的罚款，或不多于10年的监禁，或并罚；或 (2)? 明知包括财务报告在内的定期报告未能满足本节提出的全部要求，却故意签署了本节(a)条和(b)条所述之证明的，应该被处以不多于500万美元的罚款，或不多于20年的监禁，或并罚。…（引自SOA法案906节）?? Q3.???? 为什么要遵守SOA法案？ A3.???? 目前所有在美国上市的公司，包括在美国注册的上市公司和在外国注册而于美国上市的公司，都必须遵守萨班斯法案。?? Q4.???? 目前的SOA项目主要做什么？ A4.???? 该项目主要是在审计师进行审计工作之前，企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷（定义请参见Q20），对于存在重大控制缺陷的地方（即针对关键控制的控制设计失效、或者控制执行失效的地方）进行修改。?? Q5.???? SOA项目的目标是什么？ A5.???? SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效，从而为财务报告可靠性目标提供有效支持。?? Q6.???? SOA项目主要包括哪些方面的工作？ A6.???? SOA项目主要涉及三个层面的工作需要进行准备，包括：公司层面控制、流程层面控制、一般信息技术控制。?? Q7.???? SOA项目中各级员工需要做什么？ A7.???? 在这个SOA项目中，所有员工（各个级别；公司内各家子公司）要积极配合公司的工作和要求，及时按照要求提供所需的资料，以及对发现的内部控制缺陷实施修补措施。最终，公司的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。?? Q8.???? 什么是控制矩阵（Control Matrix）？ A8.???? 控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出存在与财务报告相关的内部控制，并需要满足并达到的内部控制目标（Control Objective）和控制活动(Control Activities)，公司通过控制矩阵这样一种形式，将一项控制活动有条理的、有重点地予以记录，从而便于据此遴选关键控制和进行测试。并且，该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。?? Q9.???? 控制目标是如何确定的？ A9.???? 控制是风险的反面，因而控制目标的设定是从分析哪里会出错的角度，判断哪些因素会影响到财务报表中的某会计科目，或财务报告的某披露事项的完整性、存在或发生、估价与分摊、权利与义务、表达与披露等管理层的认定，从而划分风险的类型和性质，判定相应的控制活动以达到实现管理层的认定的目标，即控制目标。?? Q10. 什么是控制活动？ A10.? 控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的人? 的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。Q11. 公司层面控制有何重要性？要记录和验证哪些方面？ A11.? 在萨班斯法案合规方面，公司层面的控制是最为关键的。公司层面的控制措施反映了公司的内部控制文化，并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。一旦在这个环节中出现了重大问题，将可能导致公司内部控制体系的执行效果出现重大控制缺陷。记录公司层面的内部控制，我们主要采用以公司层面控制问卷的形式来协助管理层对公司的内部控制环境作出自我评价。在采用公司层面控制问卷对企业进行内部控制进行记录时，主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据的收集。Q12. 什么是COSO？ A12.? COSO, The Committee of Sponsoring Organizations of The tread way Commissi