Q1~Q27, 中国企业合规工作答疑之一: 关于萨班斯法案
Q1. 什么是萨班斯法案?
A1. "安然"事件爆发后,为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈,美国总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》(简称"SOA")。该法案第404条款要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效出具管理层自我评价报告,并且由公司的外部审计师审核并测试该等内部控制是否有效。
Q2. 违反SOA法案要承担什么责任?
A2. 对虚假声明的刑事处罚:刑事处罚 ——无论是谁—— "…(1) 明知包括财务报告在内的定期报告未能满足本节提出的全部要求,却签署了本节(a)条和(b)条所述之证明的,应该被处以不多于100万美元的,或不多于10年的监禁,或并罚;或 (2) 明知包括财务报告在内的定期报告未能满足本节提出的全部要求,却故意签署了本节(a)条和(b)条所述之证明的,应该被处以不多于500万美元的,或不多于20年的监禁,或并罚。…"(引自SOA法案906节)
Q3. 为什么要遵守SOA法案?
A3. 目前所有在美国上市的公司,包括在美国注册的上市公司和在外国注册而于美国上市的公司,都必须遵守萨班斯法案。
Q4. 目前的SOA项目主要做什么?英语三级
A4. 该项目主要是在审计师进行审计工作之前,企业的合规工作项目小组应检查公司目前的与财务报告相关的内部控制是否存在重大控制缺陷(定义请参见Q20),对于存在重大控制缺陷的地方(即针对关键控制的控制设计失效、或者控制执行失效的地方)进行修改。
Q5. SOA项目的目标是什么?
A5. SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效,从而为财务报告可靠性目标提供有效支持。
Q6. SOA项目主要包括哪些方面的工作?
A6. SOA项目主要涉及三个层面的工作需要进行准备,包括:公司层面控制、流程层面控制、一般信息技术控制。
Q7. SOA项目中各级员工需要做什么?
A7. 在这个SOA项目中,所有员工(各个级别;公司内各家子公司)要积极配合公司的工作和要求,及时按照要求提供所需的资料,以及对发现的内部控制缺陷实施修补措施。最终,公司的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。
Q8. 什么是控制矩阵(Control Matrix)?
A8. 控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出"存在与财务报告相关的内部控制",并需要满足并达到的内部控制目标(Control Objective)和控制活动(Control Activities),公司通过控制矩阵这样一种形式,将一项控制活动有条理的、有重点地予以记录,从而便于据此遴选关键控制和进行测试。并且,该控制矩阵中所列示的关键控制活动将成为审计师的测试重点。
Q9. 控制目标是如何确定的?
A9. 控制是风险的反面,因而控制目标的设定是从分析"哪里会出错"的角度,判断哪些因素会影响到财务报表中的某会计科目,或财务报告的某披露事项的"完整性"、"存在或发生"、"估价与分摊"、"权利与义务"、"表达与披露"等管理层的认定,从而划分风险的类型和性质,判定相应的控制活动以达到实现"管理层的认定"的目标,即控制目标。
Q10. 什么是控制活动?
A10. 控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的人 的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、验证、核对、评价工作业绩、资产的安全性以及职责分工。
Q11. 公司层面控制有何重要性?要记录和验证哪些方面?
A11. 在萨班斯法案合规方面,公司层面的控制是最为关键的。公司层面的控制措施反映了公司的内部控制文化,并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循、执行程度。一旦在这个环节中出现了重大问题,将可能导致公司内部控制体系的执行效果出现重大控制缺陷。记录公司层面的内部控制,我们主要采用以公司层面控制问卷的形式
来协助管理层对公司的内部控制环境作出自我评价。在采用公司层面控制问卷对企业进行内部控制进行记录时,主要对公司的控制环境、风险评估、控制活动、信息与沟通及监控等内部控制活动进行记录和相应证据的收集。
Q12. 什么是COSO?
A12. COSO, The Committee of Sponsoring Organizations of The tread way Commission. COSO是一个自发组建的私立机构,其宗旨是通过提升商业伦理、完善内部控制和企业管制,来改善财务报告的质量。在1985年COSO成立之初,其目的是为了支持对于美国反财务报告舞弊调查委员会的工作。 美国反财务报告舞弊调查委员会是由美国的主要5家专业人员从业协会所组建的,包括美国会计事务协会、美国注册会计师协会、金融管理协会、内部审计师协会以及[美国]全国会计人员协会(现更名为管理会计协会)。该反财务报告舞弊调查委员会与其所有赞助其成立的各家机构之间,相互独立,且容纳了来自于产业界、公众会计师、投资银行以及纽约证券交易所的人士。
Q13. COSO内部控制框架的主要内容是什么?
告别时刻A13. COSO内部控制框架主要包含以下内容:企业内部控制的目标、企业内部控制的要素、企业内部控制的执行层次。
日本动画片推荐Q14. 内部控制的主要目标是什么?
A14. 内部控制是一个过程。它受到公司的董事会、管理层以及其他人员的影响。COSO内部控制框架指内部控制的三大主要目标,即:经营的效率和效益,财务报告的可靠性,以及对相关法律和法规的遵循度。
Q15. COSO内部控制框架的要素是什么?
A15. COSO内部控制整合框架把内部控制划分为五个相互关联的要素,分别是(1)控制环境;(2)风险评估;(3)控制活动;(4)信息与沟通;(5)监控。每个要素均承载三个目标:(1)经营目标;(2)财务报告目标;(3)合规性目标。
如今,在原有的1992年版的五个要素的基础上,COSO于2004年颁布的企业全面风险管理框架中,其构成要素增加到八个:(1)内部环境;(2)目标设定:(3)事项识别;(4)风险评估;(5)风险应对;(6)控制活动;(7)信息与沟通;(8)监控。八个
要素相互关联,贯穿于企业风险管理的过程中。
于2007年9月,COSO内控框架的理论体系又有所发展,出台了针对内控体系中"监督"要素操作指引的讨论稿。
Q16. 什么是控制缺陷?
A16. 当控制的设计或执行,不足以使得管理层或雇员在正常执行既定任务时,及时的预防或检查出与财务报告相关的错报或漏报事项,则此时即存在"与财务报告相关的内部控制"的控制缺陷(详细请参照PCAOB AS5)。该等缺陷分两种:设计方面的缺陷;执行方面的缺陷。
Q17. 什么是控制的设计缺陷?
A17. 控制的设计缺陷包括:(a) 一项本应用来满足控制目标的控制,不存在;或 (b) 一项已然存在的内部控制,没有被正确的设计,以致于即使该内部控制如预期般操作,仍不能保证控制目标总是能达到。
Q18. 什么是控制的执行缺陷? 谭希杰
A18. 控制的执行缺陷是指,一项经过良好设计的控制未能如预期般地执行,或者执行该控制活动的人员不具备相应权限、资质,以至于不能有效的操作该控制活动。
Q19. 什么是重要控制缺陷?
A19. 一项重要控制缺陷,是指一项或一组与财务报告相关的内部控制的"控制缺陷",其影响程度较"重大控制缺陷"为弱,但仍足以引起那些负责监督公司财务报告的人士注意的控制缺陷(详细请参照PCAOB AS5)。
Q20. 什么是重大控制缺陷?
A20. 一项重大控制缺陷,是指一项或一组与财务报告相关的内部控制的"控制缺陷",由于该缺陷的存在,将在合理的可能性基础之上导致公司的年度或季度财务报告的重大错报不能被及时地预防或检查出来(详细请参照PCAOB AS5)。
Q21. 什么是PCAOB?
中国少年先锋队歌词A21. 公众公司会计监察委员会(Public Company Accounting Oversight Board, "PCAOB")是一家私营的非盈利机构,根据2002年的《萨班斯·奥克斯利法案》创立,目的是监督公众公司的审计师编制信息量大、公允和独立的审计报告,以保护投资者利益并增进公众利益。
Q22. 重大控制缺陷的因素包括什么?
A22. 依据PCAOB第五号审计准则(AS5)的规定,表明"与财务报告相关的内部控制"可能存在重大控制缺陷的因素包括:
- 高级管理层的舞弊行为,无论其是否重大;
- 针对以往财务报告的重大错报的会计差错更正或重新表述;
恶之花姚晨是什么意思- 审计师注意到的当期财务报告的重大错报,且该错报表明以公司的"与财务报告相关的内部控制"是无法检查出这样的错报的;以及
- 公司的审计委员会未能有效的对公司的外部财务报告和与财务报告相关的内部控制进行监控。
Q23. 如何解决内部控制缺陷?
A23. 首先就识别出的内部控制缺陷与控制执行人员达成共识,然后实施相应的整改计划,例如完善政策或程序的文档、加强职责分工等等;针对IT控制,还需补充控制点或完善软件控制。另外,还要制定若干轮次的测试计划,以验证1)原有缺陷得到补救;2)没有发生新的缺陷。
Q24. 404条款对相关公司有哪些年度性工作要求?
A24. 萨班斯法案404条款要求SEC规定各发行人(注册投资公司除外)须提交一份内部控制报告,其中须包含公司管理层关于与财务报告相关的内部控制的有效性做出的认定声明。此外,404条款也规定,公司审计师须根据公众公司会计监察委员会制定的准则对公司管理层关于与财务报告相关的内部控制的评估进行验证并提供报告。
发布评论