美国萨班斯·奥克斯法案302和404条款下内部审计师的职责（部分）一、综述............二、目的............三、背景............四、404遵循性工作中阶段、工作和主要职责的简述五、审计委员会、管理层和外部审计师作用小结........ （一）审计委员会...........（二）管理层...................（三）外部审计师...........六、建议性内部审计作用................（一）项目监督...............（二）咨询和项目支持...（三）持续的监督和测试（四）项目审计...............七、实践的判断（一）咨询的源泉...........（二）作为管理层完成记录或测试的有力助手...（三）作为项目管理层.（四）作为内部控制培训或信息提供者............. （五）作为控制自我评估发起者.....（六）作为披露程序证明者.............八、如何处理对内部审计客观性的妨害..........一、综述随着各个公司逐渐展开对萨班斯·奥克斯法案（以下简称“SOX 法案”）的遵循性工作，内部审计也就其在遵循性工作中的地位和工作遇到一系列问题。

根据404条款的要求，管理层需要建立、健全财务报告内部控制，并对其进行评价，同时外部审计师要对上述评价进行再评价。

302条款不仅要求管理层每季度对财务报告相关内部控制进行评价，而且对信息披露方面的控制和程序也要进行评价。

保证对SOX法案302、404及其他条款的遵循性是公司管理层不可推卸的责任。

帮助管理层履行上述职责是内部审计的职责。

参与公司404遵循性工作是内部审计的重要工作，但是上述工作要与内部审计总体目标和章程相一致。

无论内部审计涉入404遵循性工作中的层次和性质是什么样的，都不应该违背内部审计的客观性和其监督公司主要风险区域的职能。

由于404遵循性工作与内部审计工作有本质的联系，内部审计经常被迫全力融入404遵循性工作。

国际内审协会对内部审计的定义是：内部审计是一种独立客观的保证与咨询活动，目的是为机构增加价值并提高机构的运作效率，采取系统化、规范化的方法来对风险管理、内部控制及治理程序进行评估和改善，以帮助机构实现目标。

国际内部审计协会制定的内部审计职业实务国际准则（以下简称“国际内审准则”）规定，首席审计执行官（以下简称“CAE”）要在与公司目标一致的前提下，以风险为导向确定内部审计的工作重点。

内部审计在进行的风险评估以确定工作计划和工作重点时，应将违反SOX法案的可能性作为风险之一进行考虑。

内部审计应每年对该风险评估程序评估一次，并与审计委员会讨论相关的审计风险评估结果。

CAE应保证审计委员会实时了解内部审计在404遵循性工作中的职能和工作。

如果内部审计在遵循性工作中的某项职能会损害其独立性或客观性，则这种情况必须事先上报审计委员会。

此外，由于参与404遵循性工作而牵扯内部审计资源，以至影响现行或未来的内部审计工作计划的情况也要及时上报审计委员会。

一旦出现损害内部审计客观性的情况，CAE及董事会应对该种情况对内部审计履行未来职责方面的影响程度进行判断。

与国际内审准则的要求一致，SOX法案下内部审计也应该在不损害客观性和独立性的基础上提供保证和咨询，以促进公司的风险管理和公司治理。

管理层应负责建立使公司能够遵循萨班斯法案的程序。

内部审计理论上是通过咨询和保证提供支持。

二、目的内部审计就其在404遵循性工作中的地位和工作遇到一系列问题，这些问题既包括短期问题，也有长期性的问题。

本文的目的是提供CAE一些相关的指导，以帮助他们在处理相关问题时既有利于公司又满足国际内审准则对内部审计客观性和独立性的要求。

我们意识到不同企业对SOX法案的披露要求的反应不一，而且内部审计在其中的职能也不尽相同。

但是本文所描述是符合国际内审准则前提下最理想的内部审计在遵循性工作中的职能。

本文的目的是提供一个实用的指南，并不要求强制执行。

三、背景根据404条款的要求，管理层需要建立、健全财务报告相关的内部控制，并对其进行评价，同时要求外部审计师对上述评价进行再评价。

而302条款不仅要求管理层每季度对财务报告相关内部控制进行评价，而且对信息披露方面的控制和程序也要进行评价。

换而言之，SOX法案对管理层和外部审计师都提出了要求。

国际内部审计准则要求内部审计通过保证与咨询活动，对风险管理、内部控制及治理程序进行评估和改善。

内部审计工作程序应合理保证：公司财务及经营信息的可靠、完整性；经营的效果、效率性；资产安全性和对法律、法规、合同的遵循性。

因此，内部审计在404遵循性工作中的作用应该是通过咨询与保证活动提供帮助，就像国际内审准则和实务指南中所要求的那样。

虽然本文只就内部审计在404遵循性工作中的作用进行指导，CAE应该意识到内部审计的风险评估工作并不仅仅包含财务报告和披露的程序。

如果根据审计委员会和高级管理层的要求，CAE 需要对公司风险进行独立评估，或按国际内审准则中要求的那样对风险管理、内部控制和公司治理进行评估和改善，则内部审计所必须获得并有效利用的资源要比帮助管理层实施其在财务报告和披露的相关职能所需的资源更多。

四、404遵循性工作中阶段、工作和主要职责的简述为满足404条款的要求，公司需要制定一个包括若干阶段，及每个阶段主要工作的计划。

对于每项工作要指定相关的责任人。

下面的表格列示了典型的阶段、工作和责任人，并简单对内部审计的作用进行了建议性的描述：阶段/工作主要责任人建议内审作用计划阶段计划项目发起人提供意见和建议；参与项目计划。

确定范围项目组提供意见和建议；参与项目计划。

执行阶段记录部门经理；项目组；专业人员就管理层应采取的程序进行建议；对项目质量进行监督。

评价及测试部门经理；项目组；专业人员对管理层的记录进行独立评估；对内控进行有效性测试。

处理问题部门经理；项目组；发现内控缺陷；帮助管理层就发现问题进行讨论。

修正措施部门经理进行事后监督。

监督高级管理层进行事后监督。

报告阶段管理层报告高级管理和部门经理帮助确定报告内容；提供建议。

外部审计报告外部审计师作为管理层和外部审计师的协调者。

监督阶段持续性监督高级管理层执行跟进服务。

定期评估项目组或部门经理执行定期审计。

五、审计委员会、管理层和外部审计师作用小结SOX法案明确了管理层、审计委员会和外部审计师的各种作用，但是该法案没有明确提出内审师的作用。

（一）审计委员会尽管SOX法案的302和404条款没有明确审计委员会的责任，但301和407条款对审计委员会的主要标准和信息披露进行了总体的规定。

301条款建立了某些要求审计委员会成员遵守的通用标准，这些标准是：除了董事会费，审计委员会成员不可以接受来自发行者或其分支机构的咨询或其它补偿性费用，也不能成为发行者或其分支机构的关联人员；审计委员会对受雇于公司以编制、出具审计报告或其它鉴证服务为目的注册会计师事务所的聘用、酬金以及监督负直接责任；审计委员会必须设立程序以处理公司收到的关于其会计、内部控制和审计方面的投诉；审计委员会认为履行职责必需时，有权聘请独立的顾问；发行者必须提供审计委员会适当的资金以便于它履行职责。

407条款要求发行者在其年报中披露是否至少有一名财务专家在审计委员会就职，如果是，该财务专家是否独立于管理层。

对于审计委员会中没有财务专家就职的发行公司，必须披露这个事实并解释原因。

（二）管理层302条款要求管理层在年度或季度报告中对披露有关的内部控制和程序的有效性进行评价和报告。

首席执行官和财务总监必须保证：他们已审阅过该报告，并相信报告中不存在重大的错报、漏报；报告中的会计报表及其他财务信息在所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成果。

他们对建立及保持内部控制负责；设计了所需的内部控制，以保证他们能知道该公司的重要信息；评价公司的内部控制的有效性；发布他们上述评价的结论。

他们向公司的审计师和审计委员会披露如下内容：(1) 内部控制的设计或执行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺点；(2)在内部控制中担任重要职位的管理人员或其他雇员的欺诈行为，而不论该行为的影响是否重大。

在报告中指明在他们对内部控制评价之后，内部控制是否发生了重大变化，或是其他可能对内部控制产生重要影响因素的重大变化，包括对内部控制的重大缺陷或重要缺点的更正措施。

SOX法案的404条款要求管理层记录并评价其财务报告相关的内部控制设计和运行，并对其有效性进行报告。

内部控制报告必须包含在年度报告中，并包括以下内容：公司管理层认识到其建立和维护内部控制系统及相应控制程序充分有效的责任；管理层在评价中使用的框架；公司对财务报告内部控制有效性的评价，以及管理层发现的内部控制中重大弱点；表明外部审计师对管理层上述评价进行的再评价的报告；外部审计师对财务报告内部控制有效性的报告。

（三）外部审计师SOX法案的404条款要求发行者的外部审计师对内部控制有效性的管理层评价进行再评估，并发表报告。

此外，SOX法案的第二章对外部审计师的独立性进行了规定：201条款规定外部审计师向发行者执行审计服务的同时也提供非审计服务的行为是非法的。

203条款要求外部审计师每五年对其负责审计项目的合伙人或负责复核该审计项目的合伙人进行轮换。

204条款要求外部审计师向审计委员会报告：“(1)使用的所有关键性会计政策及会计惯例；(2) 管理层讨论过的财务信息的所有可供选择的处理方法(这些方法在公认会计原则范围之内)，使用这些可选择的披露及处理方法的分歧，以及注册会计师事务所优先采用的处理方法；(3) 注册会计师事务所和公司管理层进行沟通的其他书面材料，如管理建议书及未调整差异明细表。

”六、建议性内部审计作用内部审计在执行302和404条款遵循性工作时，不得违背国际内审准则对内部审计独立性和客观性的要求。

国际内审准则建立了一个有效的内审工作框架，而且内审在帮助公司满足302和404条款责任中起到的作用应该与国际内审准则的要求保持一致。

本节所述的内部审计作用是与国际内部审计准则的要求一致的。

内部审计师在执行302和404条款遵循性工作时涉及的工作如下：项目监督；咨询和项目支持；持续性监督和检查；项目审计。

管理层有责任执行必要的程序以满足SOX法案的管制要求。

内部审计应当起到支持管理层执行他们职责的作用。

（一）项目监督.参与项目指导委员会，向项目组提供建议并监督项目进度和方向。

充当外部审计师和管理层间的沟通桥梁。

（二）咨询和项目支持对于范围内的程序提供存在的内部审计文档。