SOX404萨班斯法案内容及实施方法

SOX404萨班斯法案内容及实施方法

1. SOX404萨班斯法案出台背景

安然、世通等财务欺诈丑闻发生后，导致人们对金融市场信心丧失，并失去对公司会计记录和报告活动的信任，为此，美国国会于2002年7月出台了《2002年公众公司会计改革和投资者保护法案》。该法案要求上市公司建立关于法人治理和财务报告的新实务。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出，又被称作《2002年萨班斯—奥克斯利法案》Sarbanes Oxley (2002) Regulations 。萨班斯法案是对上市公司影响最广泛的法律之一。该法案旨在保护在美国证券交易所开展股票交易的公司股东，并加大对这些公司决策人的可查力度。

2. SOX404具体内容是什么？

萨班斯法案404条款要求，所有在美国上市的公司必须在其年度报告中披露管理层对公司当年与财务报告相关的内部控制体系有效性的评估报告。同时外部审计师也需要对上市公司的财务报告相关的内部控制体系有效性发表审计意见。该评估报告要求包括以下内容：

●管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。

●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。

●对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。

●年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。

●管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。

●如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。

公司在对财务报告作出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。因此，所有企业构建IT内部控制至少都应具备以下三层通用要素：企业管理层、业务流程和共享服务。

3. SOX404项目怎么做？

“萨班斯法案第404条款”要求在公司年报中包含一份管理层对内部控制体系有效性的评估报告，无疑SOX是针对内部控制的。

美国证券交易委员会唯一推荐使用的内部控制框架是COSO内部控制框架，同时《萨班斯法案》第404 条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。COSO框架对内控的定义是：由一个企业的董事会、管理层和其他人员实现

的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。COSO将内部控制划分为五个相互关联的要素：控制环境、风险评估、控制活动、信息与沟通、监控。内审只是监控的一个组成部分。

一提到控制，总让人不那么舒服，其实不然。表面看来，控制可能会拖慢了速度，影响了效率。现代控制理念强调的是长远的效率与效果，假如我们可以预知出错的风险，而做出防范，出错的风险就可以降低，效率和效果将因适当的控制而提高，从而帮助你实现目标。这就是我们常说的内控“铁三角”，即“目标－风险－控制”。

举个生活中的例子：过马路。“过马路”的目标是“安全过去”；风险是“不能安全过去，过程中出现意外”；面对风险，你有选择：可以选择接受风险，不采取任何措施，结果呢？也许运气好，安全过去了，但也可能倒霉，跟车亲密接触了；当然，可以选择采取一些措施，来降低风险，实现目标，比如说每次过马路都遵循“一站、二看、三通过”的原则。比较起来，增加了一个小小的控制，提高了我们无数次过马路的成功率。但是不是万无一失呢？也不是。虽然你控制的不错，但可能天有不测风云，刚好碰上个酒后驾车的（不可控因素）；或者沉思中忘了执行“一站、二看、三通过”的控制（执行问题），被人鸣笛警示。可见，控制只是有效降低了风险，增加预期目标实现的可能性，而非100％防止风险。

对企业而言，内控是普遍存在的，无论你是否意识到。可以把企业看作许多人构成的一个系统，为了满足市场的需求，在竞争中立于不败之地，必然需要先制订战略，再将其转化为具体的目标。整体目标的实现需要层层分解，先是四大系统，再到各部门，再到各职能小组，最终落实到个人。实现公司下达的目标是每个管理者的职责，我想每个管理者都会担心目标无法实现，风险就这样来了（风险即是目标不能实现的可能性），怎么办？采取措施。

广义来看，把偏离目标的行为拉到正轨上的行动都可以视为控制。从公司制订的各项规章制度、到付款的授权审批、到不相容职务分离、到工作的交叉复核、再到个人的时间管理，控制可谓无处不在。但如何先识别风险，再建立有效的内控，并确保其有效执行，以促成目标的实现，是每个管理者都应该、也一定在思考的问题（又称为“流程负责人”，Process Owner，以下简称PO），只是各自采用的方式不同。

SOX404项目就是提供了这样一个工具，一套系统的方法：首先，通过流程图直观的描述流程（流程图，Flow Chart）；其次，设立流程目标，考虑影响目标实现的诸多风险，再设计控制来有效降低风险（风险控制矩阵，Risk Control Matrix，以下简称RCM）；最后，监督控制方法的有效执行。其中最关键的是目标的设立，我们“遵循萨班斯法案第404条款”的SOX项目，可以将主要目标集中在财务报告的可靠性，相关的控制自然也主要针对于此；但COSO提出的其他两个内控目标：合规和经营目标，也许并没有完全体现在我们现在的RCM中，但这几个方面流程负责人在经营管理中自然会加以考虑，可见，目前我们的SOX 包括的范围是有限的，相关内控也是最基本的要求，有效管理的范围是大于它的。但PO可借助这一方法，实现其更广阔的目标（因为目标是可增减的），因为风险管理应该有意识的嵌套进PO的日常管理之中，实际控制可以超越SOX，因为提供真实可靠的财务报告是投资者希望的；守法经营、持续健康发展，更是投资者所期望。

内控其实挺有趣。

首先，这个领域充满了判断，主观性较强。目标的确定、风险的识别、如何设计控制、多少足够；设计好了，开始运行，又如何评价运行的有效性；每个人都会有不同想法。举个例子：为了确保应收账款的真实准确，PO设计了一个控制“每季度，由分公司抽查客户，发对帐单，对账结果记录在《抽查登记表》，电邮财务部和销售管理部”，这个内控怎样才算