1、美國薩班斯奧克斯法案 302 和 404 條款下內部審計師的職責（部分）一、綜述 .二、目的 .三、背景 .四、 404404 遵循性工作中階段、工作和主要職責的簡述五、 審計委員會、管理層和外部審計師作用小結 .（一） 審計委員會 .（二） 管理層 .（三）外部審計師 .六、 建議性內部審計作用 .（一）項目監督 .（二） 咨詢和項目支持 .（三） 持續的監督和測試（四） 項目審計 .七、 實踐的判斷（一）咨詢的源泉 .（二）作為管理層完成記錄或測試的有力助手 .（三）作為項目管理層 . .（四） 作為內部控制培訓或信息提供者 .（五） 作為控制自我評估發起者 .（六）作為披露程序證明者 .

2、八、如何處理對內部審計客觀性的妨害一、綜述隨著各個公司逐漸展開對薩班斯奧克斯法案（以下簡稱“soxsox法案”）的遵循性工作，內部審計也就其在遵循性工作中的地位 和工作遇到一系列問題。 根據 404404 條款的要求，管理層需要建立、 健全財務報告內部控制， 并對其進行評價， 同時外部審計師要對 上述評價進行再評價。302302 條款不僅要求管理層每季度對財務報 告相關內部控制進行評價， 而且對信息披露方面的控制和程序也 要進行評價。保證對 SOXSOX 法案 302302、 404404 及其他條款的遵循性是公司管理層不 可推卸的責任。 幫助管理層履行上述職責是內部審計的職責。 參 與公司

3、404404 遵循性工作是內部審計的重要工作， 但是上述工作要 與內部審計總體目標和章程相一致。 無論內部審計涉入 404404 遵循 性工作中的層次和性質是什么樣的，都不應該違背內部審計的客 觀性和其監督公司主要風險區域的職能。 由于404404 遵循性工作與 內部審計工作有本質的聯系， 內部審計經常被迫全力融入 404404 遵 循性工作。國際內審協會對內部審計的定義是： 內部審計是一種獨立客觀的 保證與咨詢活動，目的是為機構增加價值并提高機構的運作效 率，采取系統化、規范化的方法來對風險管理、內部控制及治理 程序進行評估和改善，以幫助機構實現目標。國際內部審計協會制定的內部審計職業實務國

4、際準則 （以下簡稱 “國際內審準則”）規定，首席審計執行官（以下簡稱“CAECAE”）要在與公司目標一致的前提下， 以風險為導向確定內部審計的工 作重點。內部審計在進行的風險評估以確定工作計劃和工作重點 時，應將違反SOX法案的可能性作為風險之一進行考慮。內部審計應每年對該風險評估程序評估一次， 并與審計委員會討論相關 的審計風險評估結果。CAECAE 應保證審計委員會實時了解內部審計在404404 遵循性工作中的職能和工作。 如果內部審計在遵循性工作中的某項職能會損害其 獨立性或客觀性，則這種情況必須事先上報審計委員會。此外， 由于參與 404404 遵循性工作而牽扯內部審計資源， 以至影響

5、現行或 未來的內部審計工作計劃的情況也要及時上報審計委員會。 一旦 出現損害內部審計客觀性的情況，CAECAE 及董事會應對該種情況對內部審計履行未來職責方面的影響程度進行判斷。與國際內審準則的要求一致，SOXSOX 法案下內部審計也應該在不損害客觀性和獨立性的基礎上提供保證和咨詢， 以促進公司的風險 管理和公司治理。 管理層應負責建立使公司能夠遵循薩班斯法案 的程序。內部審計理論上是通過咨詢和保證提供支持。、目的 內部審計就其在 404404 遵循性工作中的地位和工作遇到一系列問題， 這些問題既包括短期問題， 也有長期性的問題。 本文的目的 是提供 CAE-CAE-些相關的指導，以幫助他們在

6、處理相關問題時既有 利于公司又滿足國際內審準則對內部審計客觀性和獨立性的要 求。我們意識到不同企業對 SOXSOX 法案的披露要求的反應不一， 而且內 部審計在其中的職能也不盡相同。但是本文所描述是符合國際內審準則前提下最理想的內部審計 在遵循性工作中的職能。 本文的目的是提供一個實用的指南， 并 不要求強制執行。三、背景根據 404404 條款的要求， 管理層需要建立、 健全財務報告相關的內 部控制，并對其進行評價， 同時要求外部審計師對上述評價進行 再評價。而 30302 2條款不僅要求管理層每季度對財務報告相關內部 控制進行評價，而且對信息披露方面的控制和程序也要進行評 價。換而言之，S

7、OXSOX 法案對管理層和外部審計師都提出了要求。國際內部審計準則要求內部審計通過保證與咨詢活動， 對風險管 理、內部控制及治理程序進行評估和改善。 內部審計工作程序應 合理保證：公司財務及經營信息的可靠、完整性；經營的效果、 效率性；資產安全性和對法律、法規、合同的遵循性。因此，內部審計在 404404 遵循性工作中的作用應該是通過咨詢與保證活動 提供幫助，就像國際內審準則和實務指南中所要求的那樣。雖然本文只就內部審計在 404404 遵循性工作中的作用進行指導，CAECAE 應該意識到內部審計的風險評估工作并不僅僅包含財務報告 和披露的程序。如果根據審計委員會和高級管理層的要求， CAEC

8、AE 需要對公司風險進行獨立評估， 或按國際內審準則中要求的那樣 對風險管理、 內部控制和公司治理進行評估和改善， 則內部審計 所必須獲得并有效利用的資源要比幫助管理層實施其在財務報 告和披露的相關職能所需的資源更多。四、 404404 遵循性工作中階段、工作和主要職責的簡述 為滿足 404404 條款的要求，公司需要制定一個包括若干階段，及每 個階段主要工作的計劃。對于每項工作要指定相關的責任人。 下 面的表格列示了典型的階段、 工作和責任人， 并簡單對內部審計 的作用進行了建議性的描述：階段/ /工作主要責任人建議內審作用計劃階段 計劃項目發起人提供意見和建議；參與項目計劃。確定范圍項目組

9、提供意見和建議；參與項目計劃。執行階段記錄部門經理；項目組；專業人員就管理層應采取的程序進行建議; 對項目質量進行監督。評價及測試部門經理；項目組；專業人員對管理層的記錄進行獨立評估；對內控進行有效性測試。處理問題部門經理；項目組;發現內控缺陷；幫助管理層就發現問題進行討論。修正措施部門經理進行事后監督。監督高級管理層進行事后監督。報告階段管理層報告高級管理和部門經理幫助確定報告內容；提供建議。外部審計報告外部審計師作為管理層和外部審計師的協調者。監督階段持續性監督高級管理層執行跟進服務。定期評估項目組或部門經理 執行定期審計。五、審計委員會、管理層和外部審計師作用小結SOX法案明確了管理層、

10、審計委員會和外部審計師的各種作用， 但是該法案沒有明確提出內審師的作用。（一）審計委員會盡管 SOXSOX 法案的 302302 和 404404 條款沒有明確審計委員會的責任，301301 和 407407 條款對審計委員會的主要標準和信息披露進行了總體 的規定。301301 條款建立了某些要求審計委員會成員遵守的通用標準，這些 標準是：除了董事會費， 審計委員會成員不可以接受來自發行者或其分支 機構的咨詢或其它補償性費用， 也不能成為發行者或其分支機構 的關聯人員；審計委員會對受雇于公司以編制、 出具審計報告或其它鑒證服務 為目的注冊會計師事務所的聘用、酬金以及監督負直接責任； 審計委員會

11、必須設立程序以處理公司收到的關于其會計、 內部控 制和審計方面的投訴； 審計委員會認為履行職責必需時，有權聘請獨立的顧問； 發行者必須提供審計委員會適當的資金以便于它履行職責。 407407 條款要求發行者在其年報中披露是否至少有一名財務專家在 審計委員會就職，如果是，該財務專家是否獨立于管理層。對于 審計委員會中沒有財務專家就職的發行公司， 必須披露這個事實 并解釋原因。(二)管理層 302302 條款要求管理層在年度或季度報告中對披露有關的內部控制 和程序的有效性進行評價和報告。 首席執行官和財務總監必須保 證：他們已審閱過該報告，并相信報告中不存在重大的錯報、漏報； 報告中的會計報表及其

12、他財務信息在所有重大方面， 公允地反映 了公司在該報告期末的財務狀況及該報告期內的經營成果。他們對建立及保持內部控制負責； 設計了所需的內部控制， 以保 證他們能知道該公司的重要信息；評價公司的內部控制的有效 性；發布他們上述評價的結論。他們向公司的審計師和審計委員會披露如下內容： (1)(1) 內部控制 的設計或執行中，對公司記錄、處理、匯總及編報財務數據的功 能產生負面影響的所有重大缺陷， 并向公司的審計師指出內部控 制的重大缺點； (2)(2) 在內部控制中擔任重要職位的管理人員或其 他雇員的欺詐行為，而不論該行為的影響是否重大。 在報告中指明在他們對內部控制評價之后， 內部控制是否發生

13、了 重大變化，或是其他可能對內部控制產生重要影響因素的重大變化，包括對內部控制的重大缺陷或重要缺點的更正措施。SOXSOX 法案的 404404 條款要求管理層記錄并評價其財務報告相關的內 部控制設計和運行， 并對其有效性進行報告。 內部控制報告必須 包含在年度報告中，并包括以下內容： 公司管理層認識到其建立和維護內部控制系統及相應控制程序 充分有效的責任； 管理層在評價中使用的框架； 公司對財務報告內部控制有效性的評價，以及管理層發現的內部 控制中重大弱點；表明外部審計師對管理層上述評價進行的再評價的報告； 外部審計師對財務報告內部控制有效性的報告。(三)外部審計師SOXSOX 法案的 40

14、4404 條款要求發行者的外部審計師對內部控制有效性 的管理層評價進行再評估，并發表報告。此外，SOX法案的第二 章對外部審計師的獨立性進行了規定：201201 條款規定外部審計師向發行者執行審計服務的同時也提供非 審計服務的行為是非法的。203203 條款要求外部審計師每五年對其負責審計項目的合伙人或負 責復核該審計項目的合伙人進行輪換。204204 條款要求外部審計師向審計委員會報告：“ (1)(1) 使用的所有 關鍵性會計政策及會計慣例； (2)(2) 管理層討論過的財務信息的所 有可供選擇的處理方法 ( (這些方法在公認會計原則范圍之內 ) ) ，使 用這些可選擇的披露及處理方法的分歧

15、， 以及注冊會計師事務所 優先采用的處理方法； (3)(3) 注冊會計師事務所和公司管理層進行 溝通的其他書面材料，如管理建議書及未調整差異明細表?！绷?、建議性內部審計作用內部審計在執行 302302 和 404404 條款遵循性工作時， 不得違背國際內 審準則對內部審計獨立性和客觀性的要求。 國際內審準則建立了 一個有效的內審工作框架，而且內審在幫助公司滿足 302302 和 404404 條款責任中起到的作用應該與國際內審準則的要求保持一致。 本 節所述的內部審計作用是與國際內部審計準則的要求一致的。 內部審計師在執行 302302 和 404404 條款遵循性工作時涉及的工作如 下： 項

16、目監督； 咨詢和項目支持； 持續性監督和檢查；項目審計。管理層有責任執行必要的程序以滿足 SOXSOX 法案的管制要求。內部 審計應當起到支持管理層執行他們職責的作用。一）項目監督 . . 參與項目指導委員會，向項目組提供建議并監 督項目進度和方向。充當外部審計師和管理層間的溝通橋梁。（二）咨詢和項目支持 對于范圍內的程序提供存在的內部審計文檔。 對最佳的實踐文檔標準，工具和測試戰略提供建議。對管理層和程序的執行者提供項目、風險和控制知識的培訓。 在遞交外部審計師之前， 對程序文檔和主要控制進行質量保證檢 查。（三）持續的監督和測試 對執行測試的計劃、范圍和頻率向管理層提出建議 獨立地評估管理

17、層的測試和評估過程。 對管理層聲明的基礎進行測試。執行有效性測試（當外部審計師高度信賴時）。 幫助確認控制缺口，檢查管理層改進控制缺口的計劃。 執行后續檢查以判斷控制缺口是否已經被充分確定。 在測試計劃和范圍的討論中， 在管理層和外部審計師之間扮演協調者的角色參與到信息披露委員會， 以確定持續的內部審計工作和其他檢查 工作，如外部規章檢查，提供給委員會以判斷是否進行披露。 另外， 組織從內部審計的建議角色獲得超額的利益， 這種建議包 括增強管理層關于風險和控制，有力的控制環境和外部審計費用 可能的下降的認識。內部審計可能要對高級管理層、 審計委員會、 董事會和其他利益 相關者等履行一個傳統的保

18、證角色，即完成一個項目審計工作。（四）項目審計 幫助確信公司初始時是被很好管理的，有一個對組織的積極影 響。他們的保證角色支持高級高級管理層、審計委員會、董事會 和其他利益相關者。在計劃對于項目審計可能使用的許多方式時， 使用一個以風險為 基礎的方法。 審計最佳實踐建議內部審計師應當介入到整個項目 的生命周期中，而不僅僅是事后審計。七、實踐的判斷 在幫助管理層遵守 soxsox 法案時，內部審計工作取得理想的角色并 不是經?？赡芑蚴乾F實的。每個組織將有它自己的一套內部控制 環境和自己的一套資源限制，如人力、時間、信息技術和地理的 分布。不同的情況和不同的資源限制可能導致內部審計工作的許 多角色

19、。 在判斷內部審計工作的角色是否恰當時， 要考慮以下因 素： 對特定的作業負有責任是對作業的客觀性的一種損害。 （屬性標 準 1130.A11130.A1 ）。一個內部審計師對于特定的作業是否承擔責任取 決于不同情況。 一般來說， 內部審計師積極參與制訂或指導主要 管理決定將損害客觀性。當內部審計師對系統建議控制標準或在它們運用前檢查程序時， 內部審計師的客觀性不受損害。如果內部審計師設計、安裝、草 擬程序或操作這樣的系統，他的客觀性被認為是受到損害。 （實 務指南 1130.A11130.A1） 判斷內部控制是內部審計師的一個正常角色， 并不影響獨立性或 客觀性。 但是，做出關鍵的管理決策損

20、害內部審計師的獨立性或 客觀性。（實務指南1000.C1-11000.C1-1 ）投入很大的力量到非保證行為可能不會損壞獨立性； 但是，CAECAE應當做出以下判斷， 即在完成其他的計劃中的保證活動時執行非 保證工作的影響（包括風險）。剩下的部分討論內部審計工作可能被要求執行的潛在服務和提 供這些服務的影響。（一） 咨詢的源泉 內部審計師扮演一個咨詢角色可能被要求幫助組織確認、評估和 運用風險和控制評價方式以及對確定的相關風險建議控制措施。 但是，決定采納或運用建議， 這些建議是內部審計建議服務的結 果，應當由管理層做出。一個內部審計師可能被要求參與一個新程序的設計和運用過程， 幫助管理層評價

21、對于財務報告的內部控制。 如果內部審計師的行 為被限制在評價新的程序， 對確定的相關風險的控制定義一個參 考指南，內部審計師的客觀性并不受到損害。另外，如果內部審 計師是項目組的一個成員， 該項目組是用來選擇管理層準備使用 的評價方式和工具， 或定義檔案標準時， 客觀性不能被判斷為受 到損害。另一方面， 如果內部審計師運用新的程序以彌補控制缺 口，內部審計師的客觀性可能被認為受到損害。（二）作為管理層完成記錄或測試的有力助手 如果管理層沒有記錄他們的控制環境， 或者因為沒有足夠的資源 在規定的時間里完成這項工作， 那么內部審計師就要幫助管理層 記錄他們的內部控制。但如果內部審計在幫助管理層記錄

22、他們的內控時關系過于緊密， 以至于承擔了一定決策角色（例如在記錄程序中去執行內部控 制），客觀性將會受到妨害。404404 條款要求管理層測試財務報告內部控制的設計和運行有效 性，并就它們是否有效發表觀點， 來支持他們因為法律需要而做 出的聲明。理論上來講，管理層應該設計測試程序來驗證這些控制的有效 性，這些測試應該由某些中立人士而非所有者和運營者來做。 內 部審計可以幫助管理層來設計和執行這些對內控有效性的測試， 但其介入這種測試的程度應該被明確界定， 并被管理層、 內部審 計師和審計委員會認可。無論在何種情況下， 管理層都應該就控制設計和運行的有效性做 出最終決策，包括是否進行修正，怎樣進

23、行修正，以及支持管理 層做出聲明的信息是否充分。（三）作為項目管理層內部審計師一般在管理大型且復雜的項目、 保證關鍵成果及時提 供方面非常熟練。 因此，內部審計師可能被要求在與 404404 條款遵 循相關的所有工作中扮演項目管理層的角色。 項目管理層將對如下工作負責： 監督項目進程， 及時協調溝通項 目的階段性結果， 及時監控當前工作和預定時間表的一致性。 如 果內部審計師的角色被嚴格限制在這些管理任務中， 客觀性將不 大可能受到妨害。然而，如果項目管理者成為下列工作中起決定作用的角色， 如工 作成果是否可以接受， 項目的階段性完成是否可以通過， 項目組 內的資源如何分配， 或者其他類似的管理活動， 內部審計的客觀 性將會受到妨害。（四）作為內部控制培訓或信息提供者 內部審計師可以提供培訓以及內部控制界定和評估，風險管理， 測試計劃開發（在不妨害獨立性的前提下）方面的信息。作為公 司內部控制的專家，這是他們天然的角色。（五）作為控制自我評估發起者 內部審計師經常作為控制自我評估的發起者， 并對它有相當的促 進?？刂谱晕以u估經常被管理者作為記錄或評估內部控制的有效 的、便利的手段。如果內