文档介绍:谈萨班斯法案下企业内部控制的评价
于慧萍 于 岩 2002年7月25日,美国国会通过了《2002年萨班斯――奥克斯利法案》(也称《萨班斯法案》或《SOX法案》
根据《萨班斯法案》404条款,所有在美上市公司的管个特定的经营场所或业务单位的内控(称为“选样”)。虽然管理层可能在选样中没有发现任何问题,从而得出内控在有效运行的结论,但是风险在选样中是固有的,内控不一定在任何时候都在有效地运行。对检查流程中涉及的重要步骤、控制中涉及的表单、记录、文件、部门组织架构、规章制度、实地查看系统操作情况等资料,需索取相关证据予以保留。
。即根据测试需要抽取一定数量的样本,从头到尾执行一遍流程,以验证控制点是否实际存在。重新执行某个内控能够提供最高程度的保证。将两种或多种测试结合起来使用,比只使用一种测试能提供更高程度的保证。会计科目,披露事项和业务流程越重要,包含的风险也就越大,而采用多种测试方法来获得证据就显得更加重要。
三、企业内部控制评价的步骤
内部控制的评价,主要包括内部控制设计的有效性和运行的有效性两个方面。可以采取下列步骤展开测试:
(一)评估管理层的范围制定是否足够
范围界定是404条款项目的重要环节之一,也是评估内控设计有效性的基础。公司管理层有责任对范围进行界定,而外部审计师则需要对有关界定进行评估以确保其足够性。范围确认主要包括:。,并与重要会计科目和披露事项确认应对关系。:每项重要会计科目和披露事项的会计报表认定,都应该被全面地认定及测试,以确保内控措施能把相关的错报防止及发现。。 此步骤的目的是评估各领域的测试工作的性质、时间和范围。一些风险的考虑因素为:对财务报告的影响程度;流程的复杂性;交易量;流程的集中化;流程固有的风险。。可以从定量和定性两方面进行,如5%税前利润/总收入;对财务的重要性、业务流程的集中程度、交易的性质和数量、发生错报的记录等。,如企业层面控制;反舞弊需考虑建立的机制;内外部双位并举的监督机制;微观与宏观双层并重的管理机制;奖励与惩罚双向并进的考评机制;治表与治本双轨并行的教育机制等。
(二)评估内控设计的有效性
对设计有效性的评估说明了一个内控系统的设计是否恰当,是否可以及时地防止或发现重要会计科目和披露事项中的重大错报。这个评估应该包含公司层面上普遍的内控和范围内流程的与所有相关认定有关的特定交易层面上的内控活动。这个过程需要结合内控记录的完整性进行。确认内控设计的有效性主要包括:;;、风险、控制活动是否彼此协同;。在评估某个特定内控提供的保证程度时,管理层应该考虑内控的性质,实施内控的方式,内控实施的一致性和由谁来实施内控。
(三)以测试方法评估内控运行的有效性
主要步骤如下::管理层必须证明,对于所有的重要会计科目、流程和经营场所,