文档介绍:SOX404 萨班斯法案内容及实施方法 1. SOX404 萨班斯法案出台背景安然、世通等财务欺诈丑闻发生后, 导致人们对金融市场信心丧失, 并失去对公司会计记录和报告活动的信任, 为此, 美国国会于 2002 年7 月出台了《 2002 年公众公司会计改革和投资者保护法案》。该法案要求上市公司建立关于法人治理和财务报告的新实务。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出, 又被称作《 2002 年萨班斯—奥克斯利法案》 Sarbanes Oxley (2002) Regulations 。萨班斯法案是对上市公司影响最广泛的法律之一。该法案旨在保护在美国证券交易所开展股票交易的公司股东,并加大对这些公司决策人的可查力度。 2. SOX404 具体内容是什么? 萨班斯法案 404 条款要求, 所有在美国上市的公司必须在其年度报告中披露管理层对公司当年与财务报告相关的内部控制体系有效性的评估报告。同时外部审计师也需要对上市公司的财务报告相关的内部控制体系有效性发表审计意见。该评估报告要求包括以下内容: ●管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。●对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。●年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。●管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式, 但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。●如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性作出评估结论, 而且, 管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。公司在对财务报告作出确认时需要借助于企业的 IT 系统。为了识别管理层对财务报告所作的相关认定, 审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价 IT 系统的性质、复杂程度以及企业 IT 的使用状况。因此,所有企业构建 IT 内部控制至少都应具备以下三层通用要素:企业管理层、业务流程和共享服务。 3. SOX404 项目怎么做? “萨班斯法案第 404 条款”要求在公司年报中包含一份管理层对内部控制体系有效性的评估报告,无疑 SOX 是针对内部控制的。美国证券交易委员会唯一推荐使用的内部控制框架是 COS O 内部控制框架, 同时《萨班斯法案》第 404 条款的「最终细则」也明确表明 COSO 内部控制框架可以作为评估企业内部控制的标准。 COSO 框架对内控的定义是: 由一个企业的董事会、管理层和其他人员实现的过程, 旨在为下列目标提供合理保证: 财务报告的可靠性; 经营的效果和效率; 符合适用的法律和法规。 COSO 将内部控制划分为五个相互关联的要素: 控制环境、风险评估、控制活动、信息与沟通、监控。内审只是监控的一个组成部分。一提到控制, 总让人不那么舒服, 其实不然。表面