SOX法案302、404条款

cuitaiqi

◆302条款的要求：该条款要求由首席执行官和财务主管在内的企业管理层，对公司财务报告的内部控制按季度和年度就以下事项发表声明（予以证实）：


●对建立和维护与财务报告有关的内部控制负责。


●设计所需的内部控制，以保证这些官员能知道该公司及其子公司的所有重大信息，尤其是报告期内的重大信息。


●与财务报告有关的内部控制的任何变更都已得到恰当的披露，这里的变更指最近一个会计季度已经产生，或者合理预期将对于财务报告有关的内部控制产生重大影响的变更。


在当前环境下，IT系统驱动着财务报告流程。诸如ERP之类的IT系统紧密地贯穿于企业经济业务的开始、授权、记录、处理和报告一整套过程中。就其本身而言，IT系统和整个财务报告流程也是紧密联系的，为了遵循萨班斯法案，也要对IT内部控制的有效性予以评估。


◆404条款的要求：萨班斯法案404条款要求，管理层在其年度文件中提供关于与财务报告有关的内部控制的年度评估报告。管理层的年度报告要求包括以下内容：


●管理层有责任为企业建立和维护恰当的与财务报告有关的内部控制。


●识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。


●对从一上个会计年度末以来与财务报告有关的内部控制的有效性予以评估，其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。


●年度审计报告中，注册会计师事务所发表的财务审计报告，包括管理层对与财务报告有关的内部控制有效性评估的证明报告。


●管理层关于公司针对财务报告内部控制有效性评估的书面结论，应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式，但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。


●如果与财务报告有关的内部控制中有一个或多个重要缺陷，管理层将不能对财务报告的内部控制有效性作出评估结论，而且，管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。


公司在对财务报告作出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定，审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时，审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。因此，所有企业构建IT内部控制至少都应具备以下三层通用要素：企业管理层、业务流程和共享服务。