谈萨班斯法案下企业内部控制评价.docVIP

谈萨班斯法案下企业内部控制评价2002年7月25日，美国国会通过了《2002年萨班斯――奥克斯利法案》(也称《萨班斯法案》或《SOX法案》 根据《萨班斯法案》404条款，所有在美上市公司的管理当局,都必须在其年度报告中包括一个公司财务报告内部控制有效性的评估报告，同时还要求公司独立的外部审计师对此评估报告进行审计，并发表鉴证意见。该法案要求上市公司要保证在对交易进行财务记录的每一个环节,都有相应的内部控制制度，以便能够实时而系统地向管理当局提供业绩信息，指出内部控制的缺陷所在，甚至自行检举违法违规行为，以满足企业员工、股东和政府的期望与要求。因此，公司管理层和外部审计师的评价,成为所有在美上市公司满足萨班斯法案必须的步骤和条件。 一、萨班斯法案下管理层和审计师的职责 SOX法案404条管理层对内部控制的评价明确了管理层及审计师的职责，其中管理层在执行SOX法案中的职责主要是:1.采用适当标准对财务报告相关内控进行设计和评价。2.对评价过程及结果提供充分的证据。3.期末对财务报告相关内部控制出具评价报告。 审计师在执行SOX法案中的职责主要是：1.评估管理层的评估范围制定是否足够。2.采用测试方法对内控运行的有效性进行评估。3.评估内控缺陷的重要性（一般缺陷、重要缺陷、实质性漏洞）。4.报告审计意见。 二、企业内部控制评价的方法 对内部控制评价涉及两个方面：一是内部控制设计的有效性，即：内部控制的设计是否能够满足管理需要;二是内部控制执行的有效性，即：设计的内部控制是否得到一贯执行，以达到控制目的。常用的评价方法主要包括： 1．询问。通过访谈形式，了解控制活动的流程。询问本身并不能提供充分证据来证明一个内控是否在有效运行，只能帮助评价者了解公司的业务活动及控制要素。 2．观察。与询问相比，观察提供了更高程度的保证，通常用于评估自动化的内控。例如，通过对计算机应用情况的查看，了解管理层是否对公司计算机应用的内控进行详细的实施前和实施后审核，是否存在程序变动的内控较差情况，管理层有责任来确保自动内控如设计那样运行。对于量身定做的内部的应用软件，可能需要更多程序来验证这个内控设计是有效的。 3．检查。有效的测试通常需要在不同的业务情况下检查某个特定的经营场所或业务单位的内控(称为“选样”)。虽然管理层可能在选样中没有发现任何问题，从而得出内控在有效运行的结论，但是风险在选样中是固有的，内控不一定在任何时候都在有效地运行。对检查流程中涉及的重要步骤、控制中涉及的表单、记录、文件、部门组织架构、规章制度、实地查看系统操作情况等资料，需索取相关证据予以保留。 4．重新执行。即根据测试需要抽取一定数量的样本，从头到尾执行一遍流程，以验证控制点是否实际存在。重新执行某个内控能够提供最高程度的保证。将两种或多种测试结合起来使用,比只使用一种测试能提供更高程度的保证。会计科目，披露事项和业务流程越重要，包含的风险也就越大，而采用多种测试方法来获得证据就显得更加重要。 三、企业内部控制评价的步骤 内部控制的评价,主要包括内部控制设计的有效性和运行的有效性两个方面。可以采取下列步骤展开测试： （一）评估管理层的范围制定是否足够 范围界定是404条款项目的重要环节之一，也是评估内控设计有效性的基础。公司管理层有责任对范围进行界定，而外部审计师则需要对有关界定进行评估以确保其足够性。范围确认主要包括：1.确认重要会计科目和披露事项。2．确定业务流程/子流程，并与重要会计科目和披露事项确认应对关系。3．会计报表认定：每项重要会计科目和披露事项的会计报表认定,都应该被全面地认定及测试，以确保内控措施能把相关的错报防止及发现。4．业务流程/子流程的风险评估。 此步骤的目的是评估各领域的测试工作的性质、时间和范围。一些风险的考虑因素为:对财务报告的影响程度；流程的复杂性；交易量；流程的集中化；流程固有的风险。5．经营场所的覆盖率。可以从定量和定性两方面进行，如5％税前利润/总收入;对财务的重要性、业务流程的集中程度、交易的性质和数量、发生错报的记录等。6．其它特别范围，如企业层面控制；反舞弊需考虑建立的机制;内外部双位并举的监督机制；微观与宏观双层并重的管理机制;奖励与惩罚双向并进的考评机制；治表与治本双轨并行的教育机制等。 （二）评估内控设计的有效性 对设计有效性的评估说明了一个内控系统的设计是否恰当，是否可以及时地防止或发现重要会计科目和披露事项中的重大错报。这个评估应该包含公司层面上普遍的内控和范围内流程的与所有相关认定有关的特定交易层面上的内控活动。这个过程需要结合内控记录的完整性进行。确认内控设计的有效性主要包括：1．确认控制目标及确认是否有足够及有效的内