内部控制与SOX(萨班斯)法案入门

标准sox方案一、背景介绍在当今全球化时代，企业面临着日益复杂的内部控制挑战。

为了确保财务报表的可靠性和透明度，许多企业开始采用SOX（萨班斯·奥克斯法案）方案进行内部控制的规范管理。

本文将详细介绍标准SOX 方案的具体内容和实施步骤。

二、SOX方案的基本原理SOX是美国国会于2002年通过的一项法案，旨在增强上市公司的内部控制和财务报告的透明度。

SOX方案的基本原理包括以下几点：1. 独立的审计委员会：上市公司必须设立独立的审计委员会来监督内部控制和财务报告的准确性。

2. 内部控制报告：上市公司必须每年对其内部控制进行评估，并提供一份内部控制报告。

3. 独立审计：上市公司的财务报表必须由独立的注册会计师事务所进行审计，以确保报表的准确性和透明度。

三、实施标准SOX方案的步骤实施标准SOX方案需要经历以下几个重要的步骤：1. 确定关键控制点：企业需要识别和确定影响财务报表准确性的关键控制点。

这些控制点可能涉及到财务报表的编制、内部审计程序、交易授权等方面。

2. 设计合适的内部控制流程：企业需要根据所确定的关键控制点设计相应的内部控制流程。

这包括明确责任、制定政策和程序、确保控制的有效性等。

3. 内部控制自评：企业需要对其内部控制进行自评。

通过自评，企业可以评估内部控制流程的有效性，并及时发现和纠正存在的问题。

4. 外部审计：企业需要聘请独立的注册会计师事务所对其财务报表进行审计。

审计机构将评估企业的内部控制流程，并出具审计报告。

5. 内部控制报告：企业需要按照规定的格式编制内部控制报告，并及时向审计委员会和股东披露。

内部控制报告应包括对内部控制流程的评估结果、存在的问题以及改进计划等内容。

四、标准SOX方案的益处实施标准SOX方案可以为企业带来多方面的益处，包括以下几点：1. 提升财务报表的准确性和可靠性，增强投资者对企业的信任。

2. 减少潜在的欺诈行为和风险，保护企业和投资者的利益。

建立符合SOX法案以及企业内部控制基本规范的内部审计思路2009-10-19 17:18 文鸿义【大中小】【打印】【我要纠错】随着企业规模的扩大以及社会经济环境的要求，对企业内部控制的制度建设正日益受到广泛关注，而作为内部控制最基本的一个环节内部审计，也正逐渐提上日程，并越来越多受到重视。

本文根据美国颁布的《萨班斯－奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求，来探讨建立企业内部审计的思路。

一、SOX法案的产生背景及缘由SOX法案即《萨班斯－奥克斯利法案》。

在一般人眼中，美国一直是一个法治比较完备，企业管理相对规范、高效，社会诚信良好的国家。

但是, 2001年出现的安然事件，以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题，引发了美国社会特别是经济界、金融界的诚信危机。

安然公司的造假主要依靠三种途径，一是通过资本重组，建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系，以便使公司进行大规模违规融资活动。

二是通过内部各类公司之间的复杂的关联交易，随意制造营业收入和利润。

三是创造出一套非常复杂的公司财务结构，使用了被称为SPE（特殊目的主体）的金融工具和其他资产负债表进行表外融资。

首先，我们从安然的故事中看到了一个缺乏责任的董事会。

如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。

此外，公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同，还向独立董事任职的非盈利机构大量捐款。

这种利益交织的情况下独立董事对公司管理层的监督形同虚设。

在缺乏监督和制约的条件下，公司就会被个人操纵和利用成为内部人牟取个人利益的手段。

另一个扮演着不光彩角色的是安达信公司。

安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。

这样，安达信一手为安然作帐，用另一手为其查帐。

当会计师事务所为同一个客户同时提供审计和咨询两种服务时，其审计的独立性就可能因此受到影响。

SarbanesOxley法案–美国公司治理法案Sarbanes-Oxley法案–美国公司治理法案引言美国是世界上最大的经济体之一，其独特的市场机制和法律体系为全球企业提供了广阔的发展空间。

为了维持市场的公正与透明，保护投资者利益，美国政府于2002年通过了《萨班斯-奥克斯利法案》（Sarbanes-Oxley Act），简称SOX法案，以加强对公众公司的监管和治理。

一、内部控制要求SOX法案的核心是要求公众公司建立健全的内部控制机制，以确保财务报告的准确性和可靠性。

公司必须审慎评估其内部控制的有效性，并报告是否存在任何缺陷或弱点。

此外，法案还要求执法部门对公司的内部控制系统进行审计。

二、财务报告透明度为了提高财务报告的透明度，SOX法案要求公众公司及其审计师必须严格遵守会计准则并公开财务报告。

此外，法案还要求公司披露其内部控制的评估结果，并对任何重大改变作出解释。

三、董事会独立性SOX法案强调董事会的独立性，要求至少有一半的董事会成员是独立董事。

独立董事必须没有与公司的业务或管理层存在任何利益冲突，以确保董事会能够无私地履行其监督职责。

四、会计师事务所审计独立性为了保证审计工作的独立性和公正性，SOX法案对会计师事务所的选择和审计工作实施了一系列的规范。

按照法案规定，公司必须定期更换其审计师事务所，以避免审计师与公司之间形成过于亲密的关系。

五、举报制度设立为了保护举报者的权益，SOX法案提供了一个匿名举报制度，称为“举报者保护计划”。

该计划允许员工报告公司内的任何违法行为或不当行为，同时保护其免受报复或诉讼。

六、法律责任和处罚SOX法案不仅对公司本身有严格的法律责任，对个人也设置了相应的处罚措施。

违反法案规定的公司及个人将面临罚款、监禁甚至被剥夺资格的风险。

结语通过SOX法案，美国政府旨在提高公众公司的治理水平，维护投资者权益，保护市场的公正和透明。

该法案的出台为全球公司提供了参考和借鉴，推动了国际公司治理标准的提升。

行业发展研究资料（№.2003-4）美国萨班斯法案──────────────────────────────针对安然、世通等财务欺诈事件，美国国会出台了《2002年公众公司会计改革和投资者保护法案》。

该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案）。

法案对美国《1933年证券法》、《1934年证券交易法》作了不少修订，在会计职业监管、公司治理、证券市场监管等方面作出了许多新的规定。

为便于相关领域的研究，中注协组织翻译了萨班斯法案。

为方便阅读，译本前编写了摘要；另外，译本对章节顺序作了必要的调整，特予说明。

译文定稿前，参考了中国证监会首席会计师办公室、财政部财政科学研究所会计研究室编译的相关文献，谨致谢意。

──────────────────────────────中国注册会计师协会编二ＯＯ三年十一月十一日目录萨班斯法案摘要萨班斯法案一、萨班斯法案正文目录二、萨班斯法案正文三、萨班斯法案关于SEC的规定及执行四、萨班斯法案有关定义萨班斯法案摘要萨班斯法案主要包括以下几个方面的内容：一、成立独立的公众公司会计监察委员会，监管执行公众公司审计职业公众公司会计监察委员会（以下简称PCAOB）负责监管执行公众公司审计的会计师事务所及注册会计师。

法案规定：（一）PCAOB拥有注册、检查、调查和处罚权限，保持独立运作，自主制定预算和进行人员管理，不应作为美国政府的部门或机构，遵从哥伦比亚非赢利公司法，其成员、雇员及所属机构不应视为联邦政府的官员、职员或机构。

（二）授权美国证券交易委员会（以下简称SEC）对PCAOB实施监督。

PCAOB由5名专职委员组成，由SEC与美国财政部长和联邦储备委员会主席商议任命，任期5年。

5名委员应熟悉财务知识，其中可以有2名是或曾经是执业注册会计师，其余3名必须是代表公众利益的非会计专业人士。

萨班斯法案及SOX合规工作简介萨班斯法案是一部2002年由美国颁布的旨在提高在美国上市公司披露的准确性和可靠性从而保护投资者的一部法案。

它由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，所以又被称作《2002年萨班斯—奥克斯利法案》（简称萨班斯法案），我们通常简称为SOX。

一、法案颁布的背景2001年10月16日，安然公司公布第三季度财务状况，宣布公司亏损总计达到6.18亿美元。

2001年11月8日，安然向美国证监会递交文件，承认做了假账，从1997年到2001年间共虚报利润5.86亿美元，并且未将巨额债务入账。

2002年6月25日，美国第二大长途电话公司世界通信发表声明，承认自2001年初至2002年第一季度，通过将大量费用支出计入资本支出的手法，共虚增收入38亿美元，虚增利润16亿多美元。

2002年6月、7月，复印机巨头施乐、全球第三大制药公司默克相继被曝巨额财务造假丑闻。

一时间，美国上市公司的信誉一落千丈，投资者信心饱受打击，为了提升投资者信心，重振美国股市，美国于2002年颁布了美国国会出台了《2002年公众公司会计改革和投资者保护法案》，由于其由奥克斯利与萨班斯联合提出，所以通常被称为萨班斯法案。

二、法案的目标及主要条款（针对上市公司）从法案本身及其背景可以看出，萨班斯法案的主要目标包括：增加对上市公司管理的职责，改善公司的治理，从而促进投资者恢复对资本市场的信心。

其中：对公司层面的目标包括：1、所有报告准确且没有重大遗漏；2、所有应该在信息披露工作中应该被考虑的事项都已与管理层进行充分、及时的沟通；3、所有交易都按照会计准则及美国证券证券交易委员会的规定被记录、总结和报告；4、存在实物资产与会计记录的比较；5、资产安全有保证。

对流程的目标（认定）包括：完整性、存在于发生（包括授权）、估价与计量（包括准确性）、分类、对会计记录（资产）权限的控制。

法案共分十一章，但是对于上市公司及管理层来说，真正重要的条款（或者说具有重要的分量的条款）主要包括下面几条：第302节公司对财务报告的责任该条款要求公司首席执行官和首席财务官向证交会提交经确认的年度和季度财务报告，并就一下事项作出保证：(1) 签字的官员已审阅过该报告；(2) 该官员认为报告中不存在重大的错报、漏报；(3) 该官员认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。

SOX404萨班斯法案内容及实施方法萨班斯法案，即美国《企业改革与投资保护法案》（Sarbanes-Oxley Act，简称SOX），是由美国国会在2002年通过的一项重要法案。

该法案的主要目的是增强公司治理、加强财务报告透明度以及改善上市公司的内部控制制度，以保护投资者利益，防范金融诈骗行为。

一、萨班斯法案的主要内容1. 强化财务报告透明度：萨班斯法案要求上市公司的财务报表必须真实、准确地反映公司的经营状况和财务状况。

为了实现这一目标，法案要求公司的董事、高级管理人员要对财务报表的准确性承担更多的责任，并且规定了相关的惩罚措施。

2. 加强内部控制制度：为了保证公司内部控制的有效性，萨班斯法案要求上市公司建立健全的内部控制制度，并且每年进行审计。

此外，法案还规定了一系列要求，如禁止高级管理人员与公司实施突破性的交易、禁止会计师事务所为审计客户提供一些特定的非审计服务等。

3. 加强监管机构的权威：萨班斯法案增加了监管机构的权威和调查力度。

该法案设立了公共会计监督委员会（Public Company Accounting Oversight Board，简称PCAOB），负责监管会计师事务所，并对其进行注册、审计质量检查等。

此外，法案还规定了针对违法行为的惩罚力度，提出了严厉的刑事制裁措施。

二、萨班斯法案的实施方法1. 加强内部控制制度：公司应当成立独立的审计委员会，由独立董事组成，并承担监督内部控制的职责。

审计委员会应当定期与内部审计部门进行沟通，共同制定和完善内部控制制度。

2. 加强财务报表透明度：公司应当确保财务报表的真实、准确和完整。

为了实现这一目标，公司应当加强内部审计工作，确保内部审计部门的独立性和专业性。

同时，公司应当建立健全的信息披露制度，及时向投资者、监管机构等披露必要的信息。

3. 规范审计行为：会计师事务所应当严格按照相关法律法规和审计准则履行审计职责，确保审计工作的准确和独立性。

萨班斯(SOX)法案对我国内部控制的影响研究随着经济的快速发展,企业经营的过程中不可避免地会遭遇内部和外部的风险,从而不断对企业的内部控制提出要求。

而在安然、世通事件之后,美国更是颁布了《萨班斯法案》对企业的内部控制进行苛刻的限定。

首先从该法案出台的背景介绍萨班斯法案404条款的内容,接着探讨了SOX法案对我国企业的影响,提出了完善我国企业内部控制的建议。

标签：SOX法案;内部控制1 SOX法案及其404条款美国安然会计丑闻曝光后,资本市场诚信危机震撼了美国及整个国际社会。

为了提高民众对美国资本市场及政府经济政策的信心,美国国会在2002年出台了《萨班斯——奥克斯利法案》。

该法案强调完善上市公司的内控治理结构,加大了公司管理层的责任,404条款(针对内部控制)是其中的精华。

该法案的第404条款,以及美国证券交易委员会SEC的相应实施标准,要求公众公司的管理层除对内部控制系统的有效性进行报告外,还须负责保持内部控制系统的有效运行。

总体而言,SOX404的目的在于促进企业责任感,完善内部控制,加强信息向公众的披露,提高财务报告和审计的质量及透明度,对违反证券法律和其他法规的行为加大惩罚力度及加重其刑事责任。

但是,与此同时,SOX提出的改革公司内部治理的要求使上市公司花费了不少时间、精力和金钱,尤其是针对SOX 404节——“管理层对内部控制的评价”的要求建立的有关财务报告的内部控制系统,许多公司估算建立一套合规的内部控制系统的成本高达7位数字的美元之多,每年需要花的维护成本也不会是一个小数目。

然而,SEC认为,从长远角度看,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本,因而针对SOX的合规性备案工作能够带给美国公司的利益远大于现在公司所耗费的成本,尽管代价高昂但也是必要的。

另外,该法案突出了内部管理者的法律责任,一旦出了问题,管理者不但要在经济上受到处罚,而且要追究刑事责任。

也改变了过去公司治理方面的理念或规定,以往董事或COE、CFO有权依赖公司职能部门和外部专家提供的信息,而法案则要求CEO和CFO们作出个人保证,自己审阅了(而不是根据公司职能部门或外部专家的结论)定期报告,并且有责任建立和维持一个有效的公司内部控制机制,确保公司的重要信息能被及时、准确、充分地反映。

sox管理流程SOX（萨珊斯-奥克斯利法案，Sarbanes-Oxley Act）是为了增强公司财务报告的准确性和透明度而制定的美国法律。

该法案要求上市公司建立一套有效的SOX管理流程，以确保财务报告的可靠性和真实性。

以下是SOX管理流程的主要内容和步骤：1. 内部控制评估：公司应建立一个内部控制评估体系，用以检查并评估公司内部控制的有效性。

这包括审核公司的财务报表、风险评估和规章制度的合规性。

内部控制评估通常由内部审计部门或外部专业机构负责进行。

2. 风险识别和评估：公司应识别和评估与财务报告相关的潜在风险和弊端。

这可能包括财务造假、未能遵守法规、信息技术系统漏洞等。

识别风险后，公司需要采取相应的控制措施来减少或消除这些风险的影响。

3. 流程优化和改进：SOX法案要求公司优化其财务流程，并采取必要的改善措施。

这包括重新设计公司财务流程，强化内部控制措施，提高财务报告的准确性和及时性。

4. 内部审计：公司应建立一个独立的内部审计机构或部门，负责监督和审计公司的财务报告过程。

内部审计师将审查公司的财务记录、流程和内控制度，确保其符合SOX法案的要求。

5. 报告和披露：公司应向投资者和监管机构提供准确、透明、可靠的财务报告。

SOX法案要求公司披露公司和高层管理人员的潜在风险，同时要求公司内部控制的独立审计报告。

6. 惩罚和处罚：SOX法案规定了各种违反规定的行为的处罚和后果。

这些处罚可以包括罚款、法律上的追究和监管机构对公司的制裁。

通过惩罚机制，SOX法案推动了企业在财务报告和内部控制方面的合规性。

通过遵守SOX管理流程，公司可以增强对财务风险的识别和管理，提高财务报告的准确性和可靠性。

SOX法案的贯彻落实有助于建立一个稳健的管理体系，促进投资者信心的增强，同时也保护了公司和投资者的利益。

/课程特色内部控制体系被称为企业的“免疫系统”，而萨班斯法案则无疑成为了这个“免疫系统”的一针“强心剂”，本课程将展示萨班斯法案的出台背景、法案目标和法案要求，重点讲解法案中302、404、409、906主要条款的合规要求以及条款背后牵扯着的公司整体内控流程和财务体系的重整，并结合多年的实战经验，将公司整体战略、经营环节、财务报告和评估串联起来，从而指导企业更有效的依照萨班斯法案进行内控分析、设计、建立与评价，最终形成企业风险从战略到营运的立体防控格局。

2002年，针对安然、世通等财务欺诈事件，美国国会出台了《萨班斯-奥克斯利法案》，对美国公司加强企业财务报告责任、管理层对内部控制的评价等重要方面做出了硬性的规定，该法案也对已经在美国上市的公司和拟在美国上市的公司做出了同样的要求。

内控已经被越来越成为企业加强风险管理提高竞争优势的有效工具，萨班斯(SOX)法案则是工具中的利器。

课程收益了解萨班斯法案背景和内容明确萨班斯法案的规章以及实施要点了解302、404、409、906条款最新合规要求，并重点掌握404条款在工作中的具体应用掌握首年、次年和之后的SOX合规方法论与项目管理通过案例了解中国企业普遍存在的内控不足和其解决之道了解内控理论框架、内控记录与测试内部控制理论源于美国国会颁布的“萨班斯法案”，内部控制体系的建立应该源于理论但又要高于理论，做到具体问题具体分析，因此课程秉承全面性系统培训特征，提供最全、最新的理论与工具，还原理论的原始面貌，让您真正把握内控的真谛，找到适合您的利器。

课程大纲第1天萨班斯法案介绍萨班斯法案的由来和主要条款介绍萨班斯法案的由来萨班斯法案的目标萨班斯法案概览萨班斯法案的要求未遵循萨班斯法案可能导致的后果萨班斯法案主要条款S302、S404、S409、S906财务报告内部控制实质性漏洞萨班斯法案404条款合规要求的最新修改遵循SOX404条款对公司的益处SOX404条款的合规期限核证官员对404条款要保持两项关注整体目标不变：透明度和平衡PCAOB审计准则的变化PCAOB审计准则第五号《多德-弗兰克法案》的影响首年SOX合规的方法论与项目管理——“兼顾效果与效率”SOX合规项目建立的六个阶段阶段一：建立基础阶段二：评估现状/识别关键流程及流程责任人阶段三：记录关键流程与控制的设计并进行评价阶段四：进行控制测试并评价其执行有效性阶段五：对缺陷的整改进行再测试并进行文档更新阶段六：报告内部控制报告的要素阶段二：财务报告的要求、公司层面的控制、相关流程阶段三：流程风险、控制的设计、控制的执行阶段四、五：控制的改善阶段六：内控报告IT控制阶段一：IT组织及结构阶段二：IT公司层面的控制评估、IT流程层面的控制评估阶段三至六：IT控制要考虑因素工具与技术阶段一：SOX诊断阶段二至五：流程管理阶段三至六：评估管理阶段二至六：知识管理第2天萨班斯法案的运用次年或之后SOX合规的方法论与项目管理——“从项目固化为流程”第二年及以后的合规方法组织架构责任与可靠性对变化的认知流程其他的改进空间从项目到流程的理论与现实建议的次年项目方案重新设立基础确定组织基础架构明确职责设计变更确认流程识别改善机会并排列其优先次序确定并实施方案从项目到流程：持续改进的“征途”SOX合规成功的经验分享普遍存在于中国企业的内部控制缺陷经验之谈高级管理层的支持合规工作越早开始越好全方位开展沟通自上而下、以风险为基础的方式各种情况都适用的解决方案不存在考虑及时弥补措施的性质与范围内部控制COSO框架内部控制简介内部控制记录内部控制测试课程对象公司总经理等管理层，中高层管理人员财务与其他职能部门的经理和管理人员内部控制总监、内审总监内控部、内审部相关人员各部门主管以及部门内控、内审人员会计事务所相关工作人员具体开课计划请电话咨询【中华品牌管理网】更多管理课程: /course/public_22.html。

内部控制与SOX（萨班斯）法案入门《赌场风云》（英文名Casino）是罗伯特德尼罗和莎朗斯通在1995主演的电影。

这是一部精彩的以拉斯维加斯为背景的赌博电影。

片中，罗伯特德尼罗扮演一个叫爱司的职业赌场经理人。

电影开始的时候，爱司的画外音在介绍赌场的内部监控体系：“在拉斯维加斯，每一个人都在监视别人。

发牌的人时刻监视着赌客，小领班坐在场中间监视发牌手，楼层领班站在身后监视小领班，大堂领班监视楼层领班，当值领班监视大堂领班，赌场经理监视当值领班，我监视赌场经理。

空中的眼睛监视我们所有人。

”镜头转向楼上的电视监视室。

同时楼上还有一些人手持望远镜在观察。

爱司的画外音继续：“还有更厉害的，我们雇了十几个人，这些家伙都是些老千前辈，对赌场中的所有骗术都了如指掌。

”公司治理的人盯人企业的内部控制思想在原理上与赌场中古老的内控体系一样。

在40年代的美国，内部控制制度出现的初期，它就是以一种“内部牵制制度”的形式出现的。

它的出发点很简单，就是将一项由一个人做让人不放心的业务，同时交给两位或两位以上的人去实施，客观上造成实施人之间的一种相互牵制关系，从而预防可能发生的差错。

最常见的牵制规则是管钱、管物、管账分工负责，相互制约。

付款的人不能负责记账，采购的人不能负责收货，做销售的不可以自定信用额。

到了ERP的信息时代，变成系统操作人员不可以修改系统，修改系统的人不可以操作，以及不同等级的人被授予不同的权限等等。

这些方法是企业内部控制的硬方法。

随着商业的发展，内部控制的软技巧也开始多起来，比如业绩评估奖惩，培训，流程和制度，以及员工的行为规范等等。

内部控制开始从单纯的财务审计问题转化为企业内部管理问题，尽管在许多企业控制长(Contr oller)一职还是由财务担任。

1992年，美国五家会计协会（注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会）组成了一个委员会叫COSO （Committee of Sponsoring Organizations）。

SOXandinternalcontrol（萨班斯法案及内控）在内部控制的章节，我们看到了两个SOX法案：Sarbanes-Oxley Act of 2002 Section 404，Sarbanes-Oxley Act of 2002 Section 302，他们与内部控制之间是什么关系呢？下面我们讲讲1 SOX主要规定In July 2002, the US government pronounced the Sarbanes-Oxley Act, which included eleven chapters and 68 clauses.Major requirements of SOXSarbanes-Oxley Act of 2002CorporateresponsibilityCorporateresponsibility forfinancial reports(Section 302)Improperinfluence on conduct of audits Public CompanyAccountingOversight Board(PCAOB)AccountingstandardsAuditing,qualitycontrol, andindependencestandards andrulesEnhanced financial disclosures Enhanced conflict of interest provisions Management assessment of internal controls (Section 404) White-collar crimeAttempts and conspiracies to commit criminal fraud offenses Criminal penalties for failure to certify financial reports (Section 906) Auditor independencePre-approval requirements Services outside the scope of practice of auditorsAudit partnerrotationSections 302 and 404 emphasize good corporate governance practices through increasing theaccuracy and the reliability of information disclosure to meet its reporting obligationsCEOs and CFOs have to sign and declareSection 906 emphasizes on criminal penalties2 Sarbanes-Oxley Act of 2002 required Chief Executive Officers and Chief FinancialOfficers to sign an agreement upon the management responsibilities imposed by Sections 302and 404:（1）S 302–Management responsibilities over Financial ReportingIssuer has reviewed the report;The report does not contain any untrue statement of or omit to state a material fact;The financial statements, and other financial information are fairly presented in all material respects the company;Responsible for establishing and maintaining over internal controls;Ensure proper information disclosure;Disclose to the company’s auditors and the audit committee all significant deficiencies,material weakness and any fraud that involves any employee who have a significant rolein the company;Disclose and evaluate significant changes and improvements in the internal controls（2）Fore ign issuers were required to comply with SOX404requirements on management…sreport and auditor?s attestation since annual reports for fiscal years ending on or after July2006.The focus of SOX404 is on“internal control over financial reporting”.S 404 - Internal Control Report of ManagementManagement’s responsibility for establishing and maintaining adequate internal controlover financial reporting for the company;Identify the framework used by management to conduct the required evaluation of the effectiveness of the company’s internal control over financial reporting;Management’s assess ment of the effectiveness of the company’s internal control overfinancial reporting as of the end of the company’s most recent fiscal yearManagement’s opinion that there were no material weaknesses in ICFR based on management's assessment following a recognized framework for evaluation.要求公司的管理层通過对财务报告上的内部控制进行评估, 就财务报告上的内部控制(ICFR)没有实质的弱点, 发表意见An Auditor's opinion that there were no material weaknesses in the company's ICFR外部审计师必需对公司内部控制没有弱点的评估状况作审核及报告An opinion by the Auditor’s of the work performed b y management to issue it’s opinion (1 above)要求外部审计师对管理层在年报中的自我评价进行验证3 SOX and Information SecurityFinancial reporting system heavily dependent on well controlled IT environmentInternal controls include information security controlsSecurity controls required by SOX in the following areas are identified:-Security policySecurity standardsAccess and authenticationNetwork securityMonitoringSegregation of dutiesPhysical securityCompanies required to assess and report the effectiveness of these controls to becompliantExamples of Common Controls on ITNetwork Security –Firewalls, secure network configuration including 802.11xVirus Protection –anti-virus and anti-spyware updated regularlyBackups & Restore – Regularly tested proceduresIT Continuity – Disaster Recovery ProceduresFiles Access Privilege ControlsIdentity Management – password strength/age and access. Who has access and is that appropriate now?Management support/buy in – Executive level oversight of projects related to IT. ? IT as part of strategic planning –The business must be supported by technologies。

分析内外部风险的重大性
制定处理风险的政策和程序
分配内部资源以降低风险
支持有效的信息分享和交流
监控企业主要部分的业绩表现
案例研究：CAO，中国的智慧，世界的经验
经营环节层面的内部控制
环节控制的设计
案例研究：LP在中国子公司LC的控制描述
从战略到环节控制设计的比较
案例研究：北大纵横为某公司制作的关键绩效考核指标德勤为某公司做的内部控制的自我测试
内部控制向企业风险管理的发展以战略管理为基础！控制设计要把握总体，但也要精确到局部！
有没有更好的，或可改进的方法？
对财务报告的内部控制设计与评估
手工信息系统与自动化信息系统
会计政策的选择与应用
业绩检查
案例分析：预算与实际的比较.
业绩指标指标必须与风险相联系
职务分离理解内部控制体系
GAAS审计
案例：LP的ICOFR
中国移动
总结案例：中国石油"零缺陷'内控样本。

构建符合萨班斯法案的IT内部控制体系的思路引言萨班斯法案对于IT内部控制提出了更高的要求，企业需要构建符合法案要求的内部控制体系。

本文将介绍构建这样一个体系的思路，并提供一些建议和指导。

萨班斯法案简介萨班斯法案（Sarbanes-Oxley Act，简称SOX）是美国国会为了加强企业内部控制和公司治理而制定的法案。

法案要求企业确保其财务报告的准确性和真实性，并提出了对IT内部控制的特定要求。

因此，构建符合萨班斯法案的IT内部控制体系成为企业必须面对的挑战。

了解法规要求在构建符合萨班斯法案的IT内部控制体系之前，首先需要详细了解法规对IT 控制的要求。

这包括萨班斯法案的具体条款和相关的执行指南。

了解法规要求将有助于明确构建控制体系的方向和重点。

确定控制目标和范围在开始构建控制体系之前，需要明确控制的目标和范围。

根据萨班斯法案的要求，这些目标可能包括财务报告准确性、信息系统可靠性、数据完整性等。

确定这些目标将有助于定义控制的范围，并在后续的工作中进行有针对性的设计和实施。

分析和评估现有控制在构建控制体系之前，对现有的控制进行全面的分析和评估是必要的。

这包括对IT内部控制的各个方面进行评估，如访问控制、变更管理、数据备份等。

通过评估现有控制的有效性和缺陷，可以为构建控制体系提供指导，并确保新的控制能够填补现有控制的空白。

设计和实施新的控制根据分析和评估的结果，设计和实施新的控制是构建符合萨班斯法案的IT内部控制体系的关键步骤。

在设计控制时，应考虑到法规对控制的要求，同时结合企业的实际情况进行具体设计。

在实施控制时，应该充分考虑控制的有效性，并确保能够有效监控和管理这些控制的执行情况。

建立监控和持续改进机制构建控制体系仅仅是第一步，企业应该建立监控和持续改进机制，以确保控制体系的有效性和持续性。

这包括建立监控机制对控制的执行情况进行监测，并建立持续改进机制对控制进行优化和调整。

培训和意识提升在构建IT内部控制体系的过程中，培训和意识提升是至关重要的。

遵循萨氏法案建内控制度的联通经验引言随着企业内部管理的日益复杂以及监管要求的增加，建立健全的内控制度已成为企业发展的重要环节。

其中，萨氏法案（Sarbanes-Oxley Act，以下简称SOX法案）是美国国会于2002年通过的一项法案，旨在增强上市公司的财务报告的透明度和可靠性。

联通作为中国最大的电信运营商之一，在遵循SOX法案建立内控制度方面积累了丰富的经验。

本文将介绍联通遵循萨氏法案建立内控制度的经验，并分享一些关键的实践。

萨氏法案的背景和要求SOX法案是为了加强对公众公司财务报告的监管而制定的法律。

该法案在通过后，对美国证券交易委员会（SEC）和公众公司的内部控制提出了一系列要求。

其中包括确保公司管理层对内部控制的有效性进行定期评估，并向外部审计师和投资者提供有关公司内部控制的声明。

根据萨氏法案的规定，公众公司需要建立内部控制制度，以确保公司内部的财务报告真实、准确、可靠。

这些内部控制制度需要包括一系列的控制活动，如风险评估、风险控制、内部审计等。

联通遵循萨氏法案的实施步骤第一步：建立内部控制委员会为了确保内控制度的顺利实施，联通成立了内部控制委员会。

该委员会由公司高层管理人员、内部审计部门和法律部门的成员组成。

委员会的主要职责包括制定内部控制策略、监督内控制度的执行情况，并向公司管理层和董事会报告。

第二步：制定内部控制政策和程序联通根据萨氏法案的要求，制定了一系列内部控制政策和程序。

这些政策和程序覆盖了公司的关键业务流程和财务报告过程。

例如，联通明确规定了风险评估的方法和周期，建立了内部审计程序，以及确保财务报告的真实性和准确性的流程等。

第三步：开展内部控制自评和审计联通定期进行内部控制自评和审计，以确保内控制度的有效性和合规性。

自评和审计的内容包括检查关键控制活动的执行情况，评估控制活动是否满足法律和监管要求，并提出改进意见和建议。

第四步：建立内部控制培训计划为了确保公司内部员工对内控制度的理解和遵守，联通制定了一系列内部控制培训计划。