萨班斯法案及SOX合规工作简介

萨班斯法案及SOX合规工作简介

萨班斯法案是一部2002年由美国颁布的旨在提高在美国上市公司披露的准确性和可靠性从而保护投资者的一部法案。一、

二、法案的目标及主要条款（针对上市公司）

从法案本身及其背景可以看出，萨班斯法案的主要目标包括：增加对上市公司管理的职责，改善公司的治理，从而促进投资者恢复对资本市场的信心。其中：

对公司层面的目标包括：

1、所有报告准确且没有重大遗漏；

2、所有应该在信息披露工作中应该被考虑的事项都已与管理层进行充分、及时的沟通；

3、所有交易都按照会计准则及美国证券证券交易委员会的规定被记录、总结和报告；

4、存在实物资产与会计记录的比较；

5、资产安全有保证。

对流程的目标（认定）包括：完整性、存在于发生（包括授权）、估价与计量（包括准确性）、分类、对会计记录（资产）权限的控制。

法案共分十一章，但是对于上市公司及管理层来说，真正重要的条款（或者说具有重要的分量的条款）主要包括下面几条：

第302节

公司对财务报告的责任

该条款要求公司首席执行官和首席财务官向证交会提交经确认的年度和季度财务报告，并就一下事项作出保证：(1) 签字的官员已审阅过该报告；(2) 该官员认为报告中不存在重大的错报、漏报；(3) 该官员认为报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。(4) 签字官员：(A) 对建立及保持内部控制负责；(B) 设计了所需的内部控制，以保证这些官员能知道该公司及其并表子公司的所有重大信息，尤其是报告期内的重大信息；(C) 评价公司的内部控制在签署报告前90天内的有效性；(D) 在该定期报告中发布他们上述评价的结论；(5) 签字官员已向公司的审计师及董事会下属的审计委员会（或担任同等职务的人员）披露了如下内容：

(A) 内部控制的设计或执行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。以及向公司的审计师指出内部控制的重大缺点；(B)在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为，而不论该行为的影响是否重大；(6) 签字官员应在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。

第404节

管理层对内部控制的评价

要求管理层在年度报告中包括内部控制报告，包括：

(1) 强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任；(2) 发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价；(3)担任公司年报审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。

第409节

实时信息披露

要求提供报告的公司应更加实时、快捷地向公众披露附加信息。该信息应简单明了，并关注公司在财务状况及经营上的重大变化。另外，303、402、403分别对影响审计师、内部融资限制及管理层和主要股东交易的披露做了规定，也属比较重要的条款。当然，法案还有一块

就是对董事、首席执行官、首席财务官及高级管理层的法律额责任也是广受关注，但这块主要不是针对上市公司的，所以作为公司内部控制方面就不予赘述。

三、近年SOX未合规的主要原因：

据统计，近年来SOX合规问题主要出自以下方面：财务处理上的问题：

四、上市公司在SOX合规方面的主要工作步骤

为了满足萨班斯法案的相关要求，公司需要开展一系列的工作，以证明公司已建立合理的内部控制，并顺利通过会计师事务所的审计。正常来说，主要包括以下步骤的工作：

1、范围界定：这一步骤主要适用于集团整体上市的公司，在实施合规工作前先要厘定纳入合规范畴的子公司数量。一般纳入合并报表的公司都应该纳入合规工作范畴。

2、风险评估：对纳入合规范畴的公司进行风险评估，以确定合规需要关注的重点。

3、穿行测试：这一步骤主要是基于掌握的风险信息梳理现存的控制是否完整、准确以及得到妥善执行。该步骤是合规工作进入实行工作的关键步骤之一，执行良好的穿行测试可以减少很多合规工作的重复、无效劳动。穿行测试一般根据业务循环对业务完整流程进行梳理，列出整个业务循环中的控制点，并经过测试确定现存控制的完整、准确和执行效果，为后面的工作打下坚实的基础。如果穿行测试不到位，可能会导致对控制识别不足或者忽略一些关键控制，这样在后面控制文档更新、测试都可能会忽略一些重要控制，导致最终审计发现控制缺陷。

4、控制更新和确认：穿行测试结束后，合规人员应该根据测试结果分析控制的完整、有效、准确性，更新控制文档和风险矩阵，对无效控制进行更新，同时弥补控制缺陷。更新后的控制文档是内部控制（但现实工作中，很多公司的实际控制不一定与SOX的要求一致，因为有些公司仅仅把合规看成是合规而不是公司的实际管理需要，因此，没有把合规与公司实际管

理融为一体，这样就会存在两个标准的尴尬现象）和合规工作的依据，因此，需要得到业务循环或各部门分责任的确认，以便控制能得到有效执行。

5、年中测试：根据最终更新的控制文档按照抽样原则抽取足够的样本进行完整测试（一般基于上半年的数据、样本），以确认控制执行情况。

6、整改：分析测试中发现的不符点（缺陷）的根本原因，相应地提出整改建议，并督促、检查业务部门的整改。

7、年末测试：对年中发现的问题进行特别测试，确认整改效果，这里需要注意的是要确保整改后流程运行期符合合规要求（一般不短于一个季度）。完成下半年内新样本的测试工作。

8、综合评估：根据截至年末未整改完毕的的缺陷的数量和重要性程度综合评估合规有效性：一般缺陷、重大缺陷、实质性漏洞。

合规的最终确认需要会计师事务所审计确认，一般会计师事务所的测试会与公司内部的测试有重复，很多时候事务所会对公司的内部测试进行复核并可能直接利用内部测试。

合规工作是一项长期的、系统的工作，需要公司各阶层员工的配合及高层的有效协调，否则，会变成一份讨厌的、无趣的和无效的工作。由于上市公司财务报告需要CEO及CFO签署承诺，因此，SOX合规工作一般都会上升到一定的高度，至少会是CEO或CFO作为合规工作的总召集人，所以只要认真去做，合规一般不会是问题。