Sox内控审计规定.pdfVIP

Q1~Q27,中国企业合规工作答疑之一:关于萨班斯法案

Q1.什么是萨班斯法案？

安然安然事件爆发后，为了防止类似的由于企业内部控制失效造成的公司舞弊和欺诈，美国

总统于2002年7月颁布了《2002年萨班斯·奥克斯法案》（简称奥克斯法案》（简称）。该法案第404条款

要求在美国上市的上市公司的管理层在每一年都对公司的与财务报告相关的内部控制是否有效

出具管理层自我评价报告，并且由公司的外部审计师审核并测试该等内部控制是否有效。

Q2.违反SOA法案要承担什么责任？

A2.对虚假声明的刑事处罚：刑事处罚——无论是谁——明知包括财务报告在内的定

期报告未能满足本节提出的全部要求，却签署了本节(a)条和(b)条所述之证明的，应该被处以不

多于100万美元的罚款，或不多于10年的监禁，或并罚；或(2)明知包括财务报告在内的定

期报告未能满足本节提出的全部要求，却故意签署了本节(a)条和(b)条所述之证明的，应该被处

以不多于500万美元的罚款，或不多于20年的年的监禁监禁，，或或并罚。并罚。（引自SOA法案906节）

Q3.为什么要遵守SOA法案？

A3.目前所有在美国上市的公司，包括在美国注册的上市公司和在外国注册而于美国上市的

公司，都必须遵守萨班斯法案。

Q4.目前的SOA项目主要做什么？

A4.该项目主要是在审计师进行审计工作之前，企业的合规工作项目小组应检查公司目前的

与财务报告相关的内部控制是否存在重大控制缺陷（定义请参见Q20），对于存在重大控制缺

陷的地方（即针对关键控制的控制设计失效、或者控制执行失效的地方）进行修改。

Q5.SOA项目的目标是什么？

A5.SOA项目的目标在于通过验证企业的与财务报告相关的内部控制是否有效，从而为财务

报告可靠性目标提供有效支持。

Q6.SOA项目主要包括哪些方面的工作？

A6.SOA项目主要涉及三个层面的工作需要进行准备，包括：公司层面控制、流程层面控制、

一般信息技术控制。

Q7.SOA项目中各级员工需要做什么？

A7.在这个SOA项目中，所有员工（各个级别；公司内各家子公司）要积极配合公司的工作

和要求，及时按照要求提供所需的资料，以及对发现的内部控制缺陷实施修补措施。最终，公司

的管理层和员工将承担记录和测试内部控制以及补救内部控制缺陷的责任。

1/8

Q8.什么是控制矩阵（ControlMatrix）？

A8.控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出控制矩阵是记录内部控制过程的一种形式。在控制矩阵里面记录了公司要体现出存在与

财务报告相关的内部控制财务报告相关的内部控制，并需要满足并达到的内部控制目标（ControlObjective）和控制活动

(ControlActivities)，公司通过控制矩阵这样一种形式，将一项控制活动有条理的、有重点地予

以记录，从而便于据此遴选关键控制和进行测试。并且，该控制矩阵中所列示的关键控制活动将

成为审计师的测试重点。

Q9.控制目标是如何确定的？

A9.控制是风险的反面，因而控制目标的设定是从分析因而控制目标的设定是从分析哪里会出错哪里会出错的角度，判断哪些因素会

影响到财务报表中的某会计科目，或财务报告的某披露事项的或财务报告的某披露事项的完整性完整性、、存在或发生存在或发生、、估价与

分摊分摊、、权权利利与与义义务务、、表达与披露表达与披露等管理层的认定，从而划分风险的类型和性质，判定相应的

控制活动以达到控制活动以达到实实现现管管理理层层的的认认定定的目标，即控制目标。

Q10.什么是控制活动？

A10.控制活动是建立的有助于确保管理层的指令得到实施的政策和程序以及参与其中的

人的活动。控制活动在整个机构内所有级别和所有职能部门内进行。控制活动包括批准、授权、

验证、核对、评价工作业绩、资产的安全性以及职责分工。

Q11.公司层面控制有何重要性？要记录和验证哪些方面？

A11.在萨班斯法案合规方面，公司层面的控制是最为关键的。公司层面的控制措施反映了公司

的内部控制文化，并最终影响到每个雇员的职业操守和其对于公司规章制度的遵循