東芝信息機(jī)器(杭州)有限公司

一、J-SOX產(chǎn)生背景

在美國(guó)由于一連串的會(huì)計(jì)丑聞導(dǎo)致安然公司、世通公司破產(chǎn)，于2002年7月頒布了薩班斯-奧克斯利(SOX)法案。該法案404條款要求管理層評(píng)估對(duì)于財(cái)務(wù)報(bào)告的內(nèi)部控制并委托外部審計(jì)師進(jìn)行審計(jì)。在日本也發(fā)生了一連串的會(huì)計(jì)丑聞，迫切需要構(gòu)建一套確保披露的財(cái)務(wù)信息可靠性的系統(tǒng)。2006年6月日本頒布了《金融商品交易法》，也要求管理層評(píng)估對(duì)于財(cái)務(wù)報(bào)告的內(nèi)部控制并委托外部審計(jì)師進(jìn)行審計(jì)，被認(rèn)為是日本版的薩班斯法案(J-SOX)。由于該法的頒布，日本所有上市公司每個(gè)財(cái)年有義務(wù)向首相提交“管理證明書(shū)”、“內(nèi)部控制報(bào)告”、“內(nèi)部控制審計(jì)報(bào)告”。該法從2008年4月1日起施行。

二、J-SOX實(shí)施要點(diǎn)

實(shí)施J-SOX的要點(diǎn)主要包括：(1)管理層對(duì)財(cái)務(wù)報(bào)告內(nèi)部控制的有效性進(jìn)行評(píng)估，也就是確認(rèn)對(duì)財(cái)務(wù)報(bào)告的內(nèi)部控制的設(shè)計(jì)和運(yùn)行是否根據(jù)恰當(dāng)?shù)膬?nèi)部控制框架并把評(píng)估結(jié)果披露出來(lái)。(2)評(píng)估內(nèi)部控制的有效性應(yīng)該從兩方面評(píng)價(jià)：設(shè)計(jì)有效性和運(yùn)行有效性。內(nèi)部控制有效性評(píng)估的步驟：公司層面控制的評(píng)估、從全公司視角評(píng)估財(cái)務(wù)決算和報(bào)告流程、流程層面控制的評(píng)估、IT整體控制的評(píng)估、提交內(nèi)部控制報(bào)告。J-SOX要求對(duì)以下4種類(lèi)型的內(nèi)部控制進(jìn)行評(píng)估以確保財(cái)務(wù)報(bào)告的可靠性：①公司層面控制(ELC)：包括企業(yè)文化、管理層的態(tài)度、組織架構(gòu)、人力資源教育和培訓(xùn)；②財(cái)務(wù)決算和報(bào)告流程(FCR)、③流程層面控制(PLC)：包括銷(xiāo)售、收款、采購(gòu)、生產(chǎn)/存貨控制、非合并和合并財(cái)務(wù)科目的決算等；④IT整體控制(ITGC)：包括程序變換控制、應(yīng)用訪(fǎng)問(wèn)控制等。

三、J-SOX體系建設(shè)

筆者所在公司是日本東芝株式會(huì)社投資的規(guī)模較大的子公司，位于杭州出口加工區(qū)，主營(yíng)業(yè)務(wù)是生產(chǎn)和銷(xiāo)售筆記本電腦，因交易金額較大，被東芝集團(tuán)納入第一批導(dǎo)入J-SOX的子公司。公司重建和評(píng)估內(nèi)部控制經(jīng)歷如下階段：

(一)明確實(shí)施范圍及計(jì)劃

1.決定評(píng)估的范圍和方法：東芝集團(tuán)總部定義了內(nèi)部控制的范圍并把旗下公司按定量(金額標(biāo)準(zhǔn))和定性(重要性)劃分為4類(lèi)。筆者所在公司屬于B類(lèi)，即對(duì)合并財(cái)務(wù)報(bào)表的某一些科目占有重大比例并定性為重大影響的(財(cái)務(wù)地位、采購(gòu)地位、大規(guī)模功能的子公司等)。然后從合并報(bào)表中篩選出B類(lèi)公司有重大影響的會(huì)計(jì)科目、識(shí)別出提交J-SOX評(píng)估的組成內(nèi)部控制的流程(部分工作在第二階段完成)。集團(tuán)J-SOX推進(jìn)委員會(huì)識(shí)別出對(duì)合并財(cái)務(wù)報(bào)表有重大影響的流程并做出會(huì)計(jì)科目和流程矩陣。識(shí)別流程的重要性的主要表現(xiàn)為通過(guò)自上而下，以風(fēng)險(xiǎn)為導(dǎo)向的方法事先識(shí)別出提交評(píng)估的流程，使認(rèn)定對(duì)財(cái)務(wù)報(bào)告有重大影響的內(nèi)部控制應(yīng)該被評(píng)估成為可能(有效的評(píng)估)；通過(guò)重構(gòu)流程事先識(shí)別出提交評(píng)估的流程，防止幾個(gè)人重復(fù)工作(分析相同的流程)成為可能(消除浪費(fèi))。

2.制定具體明確的時(shí)間表：東芝集團(tuán)總部制定了基本的時(shí)間表，各子公司參照基本時(shí)間表根據(jù)實(shí)際情況制定各自的時(shí)間表。

(二)梳理并建立流程

作為識(shí)別流程的開(kāi)始，確認(rèn)集團(tuán)JSOX推進(jìn)委員會(huì)指定的財(cái)務(wù)報(bào)表科目是否與我們公司相關(guān)。具體分為以下5個(gè)步驟：①確定個(gè)別公司科目(與合并報(bào)表科目對(duì)應(yīng))：用個(gè)別公司科目和合并報(bào)表科目對(duì)照表來(lái)確定個(gè)別公司科目(科目用于每個(gè)公司的會(huì)計(jì)系統(tǒng))與合并科目的對(duì)應(yīng)關(guān)系；②篩選有重大影響的個(gè)別公司科目：依據(jù)定量(貨幣金額)和定性的標(biāo)準(zhǔn)在個(gè)別公司科目中識(shí)別出重要的個(gè)別科目；③分析會(huì)計(jì)分錄類(lèi)型：弄清楚上一步選擇的重要個(gè)別科目上年度的會(huì)計(jì)分錄類(lèi)型和金額，是因?yàn)闀?huì)計(jì)科目類(lèi)型把個(gè)別科目和流程聯(lián)系起來(lái)，不同的會(huì)計(jì)分錄類(lèi)型導(dǎo)致不同的產(chǎn)生會(huì)計(jì)分錄的流程；④確定重要的流程：選擇會(huì)計(jì)分錄類(lèi)型的合計(jì)金額占總金額80%以上的流程；⑤創(chuàng)建科目流程矩陣：匯總以上第①步到第⑤步的分析結(jié)果創(chuàng)建科目流程矩陣。

(三)評(píng)價(jià)有效性

1.企業(yè)層面控制的文件編制并評(píng)估控制的有效性：首先對(duì)內(nèi)部控制進(jìn)行文件編制，并以問(wèn)卷形式評(píng)估設(shè)計(jì)有效性，對(duì)認(rèn)定的控制缺陷采取糾正措施；其次檢查溝通、理解、培訓(xùn)、參與度和監(jiān)控等方面進(jìn)行運(yùn)行有效性的評(píng)估。

2.業(yè)務(wù)層面控制的文件編制并評(píng)估控制的有效性：需要準(zhǔn)備用于分析的資料，比如風(fēng)險(xiǎn)控制矩陣(RCM)，進(jìn)行設(shè)計(jì)和運(yùn)行有效性的評(píng)估。首先篩選評(píng)估范圍內(nèi)的業(yè)務(wù)流程，建立科目標(biāo)題和流程的映射關(guān)系；其次每個(gè)業(yè)務(wù)流程需要編制4種文件：文字描述(Narrative)、流程圖(Flowchart)、風(fēng)險(xiǎn)控制矩陣(RCM)、職責(zé)劃分矩陣(SDM)；再次對(duì)流程文件進(jìn)行設(shè)計(jì)有效性評(píng)估后編制穿行性測(cè)試報(bào)告(Walk-through)，對(duì)認(rèn)定的控制缺陷采取糾正措施。另外還要對(duì)各流程通過(guò)抽樣的方法進(jìn)行運(yùn)行有效性評(píng)估，對(duì)認(rèn)定的控制缺陷也要采取糾正措施。特別是糾正對(duì)財(cái)務(wù)報(bào)告有重要影響的控制缺陷。

3.IT整體控制的文件編制并評(píng)估控制的有效性：首先編制IT整體控制匯總表及風(fēng)險(xiǎn)控制矩陣兩類(lèi)文件，然后進(jìn)行設(shè)計(jì)有效性評(píng)估，并對(duì)認(rèn)定的控制缺陷采取糾正措施。對(duì)運(yùn)行有效性的評(píng)估也是采取抽樣的方式進(jìn)行，如發(fā)現(xiàn)控制缺陷也要采取糾正措施。

(四)出具審計(jì)報(bào)告

1.準(zhǔn)備內(nèi)部控制報(bào)告：管理層編制“內(nèi)部控制審計(jì)報(bào)告”，記錄財(cái)務(wù)報(bào)告內(nèi)部控制有效性的評(píng)價(jià)結(jié)果等，由總經(jīng)理和CFO簽字上報(bào)給母公司。

2.對(duì)內(nèi)部控制的審計(jì)：東芝集團(tuán)委托“四大”之一的安永會(huì)計(jì)師事務(wù)所對(duì)公司進(jìn)行內(nèi)控審計(jì)，該事務(wù)所同時(shí)也負(fù)責(zé)公司的財(cái)務(wù)報(bào)表審計(jì)，同一審計(jì)證據(jù)在兩種審計(jì)中可以使用，使得審計(jì)效率更高。首先，審計(jì)師審核管理層確定的評(píng)價(jià)范圍的合理性；其次，審核管理層進(jìn)行的全面控制的評(píng)價(jià)和以全面控制評(píng)價(jià)為基礎(chǔ)的業(yè)務(wù)流程相關(guān)的內(nèi)部控制的評(píng)價(jià)。

四、推進(jìn)J-SOX體系構(gòu)建的思考及建議

(一)管理層的支持和重視是J-SOX推進(jìn)的重要保證

集團(tuán)總部從項(xiàng)目一開(kāi)始要求各子公司建立項(xiàng)目推進(jìn)組織：首席內(nèi)部控制官(CICO)是各公司的總經(jīng)理，對(duì)推進(jìn)公司的J-SOX負(fù)責(zé)，CICO可以指定內(nèi)部控制的負(fù)責(zé)人(一般是財(cái)務(wù)部長(zhǎng))。

公司在項(xiàng)目啟動(dòng)會(huì)議上，總經(jīng)理作動(dòng)員講話(huà)，財(cái)務(wù)部長(zhǎng)向各部門(mén)負(fù)責(zé)人說(shuō)明J-SOX項(xiàng)目的重要性，確保后續(xù)推進(jìn)時(shí)相關(guān)部門(mén)的配合和支持。

(二)IT系統(tǒng)的支持為J-SOX項(xiàng)目推進(jìn)提高效率

東芝開(kāi)發(fā)了網(wǎng)頁(yè)版的IT支持系統(tǒng)以管理集團(tuán)全球子公司J-SOX項(xiàng)目的推進(jìn)。集團(tuán)總部在該系統(tǒng)發(fā)布通知、文件格式、操作手冊(cè)等，各子公司可自行查看下載；各子公司可在系統(tǒng)中注冊(cè)各子流程的名稱(chēng)、負(fù)責(zé)人，控制缺陷及對(duì)其的管理等，另外可分別注冊(cè)ELC、PLC、ITGC編制的文件及有效性評(píng)估的報(bào)告，總部和外部審計(jì)師不需要到各子公司就能一覽JSOX項(xiàng)目推進(jìn)的狀態(tài)，效率大大提高。

(三)發(fā)揮外部咨詢(xún)公司的作用能確保J-SOX合規(guī)順利進(jìn)行

東芝總部從J-SOX項(xiàng)目一開(kāi)始，就聘請(qǐng)全球“四大”之一的安永作顧問(wèn)，分大區(qū)對(duì)日本、亞洲、歐洲和美洲的各子公司項(xiàng)目負(fù)責(zé)人進(jìn)行培訓(xùn)。后續(xù)安永在各國(guó)的審計(jì)師對(duì)各子公司編制的內(nèi)控文件、有效性自行評(píng)估報(bào)告進(jìn)行審閱并出具指導(dǎo)意見(jiàn)。對(duì)于有效性評(píng)估過(guò)程中發(fā)現(xiàn)的控制缺陷，公司進(jìn)行改善并重新評(píng)估，安永會(huì)再次進(jìn)行審閱和指導(dǎo)，以確保內(nèi)控設(shè)計(jì)和運(yùn)行符合J-SOX的要求。

(四)強(qiáng)化內(nèi)控體系持續(xù)建設(shè)

公司經(jīng)過(guò)上述4個(gè)階段的內(nèi)控體系構(gòu)建過(guò)程，順利取得了安永會(huì)計(jì)師事務(wù)所內(nèi)部控制審計(jì)“無(wú)控制缺陷”的審計(jì)結(jié)論。以后每個(gè)年度各流程負(fù)責(zé)人要確認(rèn)流程是否有變化，如組織架構(gòu)的變化導(dǎo)致流程變更，如有變化流程負(fù)責(zé)人要更新內(nèi)控文件。財(cái)務(wù)部門(mén)會(huì)進(jìn)行內(nèi)部控制的設(shè)計(jì)有效性和運(yùn)行有效性評(píng)價(jià)，發(fā)現(xiàn)控制缺陷要求整改，然后再進(jìn)行有效性評(píng)價(jià)，直到?jīng)]有控制缺陷為止。

總之，內(nèi)控體系建設(shè)是一項(xiàng)長(zhǎng)期、復(fù)雜的工作，需要公司全體員工持續(xù)不斷地努力，按照PDCA循環(huán)去完善內(nèi)控體系，才能發(fā)揮應(yīng)有的作用。