如何达到萨班斯要求

公司应该成立专门的项目小组进行相关的工作，以项目形式进行管理

如何符合SOA404，对在美国上市的中国公司来说是很重要的任务，公司应该就此成立专门的项目小组进行相关的工作，以项目形式进行管理。由于公司需要在外部审计师开始年度审计工作之前就改进公司内部控制系统，因此迫切需要有关工作尽快展开。

以下是企业在符合SOA404项目上的关键工作步骤：

第1步：建立项目基础

主要工作包括确定项目组织，制订项目计划，确定项目实施的方法与范围等。

1．组织项目

管理层在组建项目队伍时必须保证全面均衡。项目组成员应当包括：

一个项目总协调人（project sponsor），他能指导整个项目小组的工作方向，并能顺利协调项目组成员与公司内其它部门就该项目进行沟通。签字确认的CEO或CFO可以履行这一职能；

一个项目负责人(team leader),可以是财务主管；

来自公司主要业务和营运部门代表、会计与内部审计代表；

在某方面有专长的专家（例如在信息技术、金融衍生工具与其它需要专业知识领域工作的风险控制与评估专家）；

作重要决策所需的其他人。

在组建项目队伍时，管理层应当考虑记录内部控制程序的范围和内部资源的可获得程度。如果可以很方便地获得流程和内部控制的相关资料，那么项目完成的时间就会缩短，独立审计师也可以更快地开始审计查核工作。

如果不方便使用内部资源或者工作量很大时，就有必要采用外部资源，即选择外部顾问，找出帮助按计划完成项目的内部资源。在聘用外部顾问时，应清楚地表明对他们工作成果的期望和要求。

2．制订项目计划

公司在制订项目计划时，应该确定目标，建立关键路径，设定主要成功因素，决定重点和主要步骤，选择外部顾问等。

■ 确定目标 首先要了解项目主要相关方如项目发起人、高层管理人员与审计委员会的预期。决定是否将评估范围限定在财务报告内，或是将其扩展到其它领域，例如经营运作的效率和有效性、合规程度、风险管理目标或是更细化的信息系统目标。

■ 建立关键路径 找出实现项目目标所需采取的主要行动。制订一项详细的工作计划，内容包括项目内容、任务、排序、时间安排与进度安排等。在确定项目时间表时必须非常仔细，以确保有足够的时间执行所有的项目任务，包括给流程负责人足够的时间来完善内部控制。最后，必须保证独立审计师有足够的时间来完成证明工作。

■ 设定关键成功因素 设定主要的绩效指标，找出成功的关键因素，并将这些指标与因素纳入项目计划。征得项目总协调人与行政管理人员的认可。绩效指标包括行政管理人员预期目标的实现、预期里程碑的完成、预设各点上的工作完成、部门经理的参与、流程负责人的参与、与财务报告控制有关的内部审计计划的完成、尽可能少地重新制作文档、在与独立审计师约定的日期前及时完成项目、及时完成证明工作等。

■ 确立里程碑和检查点 以时间为标尺定义项目里程碑（milestones）和检查点（checkpoints），以便定期评估项目进度。找出在各检查点共同工作的责任各方，如高层管理人员、审计委员会、独立会计师、项目外部顾问等。

3.确定项目实施方法与范围

对于项目实施方法与范围要求，应当预先征得管理层与内外部审计者的同意。这对项目的成功至关重要。

■ 在财务报告风险的判断认知方面达成一致，将会有效支持内部控制的评估。项目人员可以通过分布图的方式把整个业务划分为核心业务流程和辅助业务流程。

■ 确定关键的财务报告要素（销售、成本、固定资本等）。确定时需考虑以下因素：

可能出现的错误和遗漏的性质与种类，即“会出现什么问题？”

某一账目或某组账目的性质、大小与组成（例如销售额与应收账款）

某一账目或某组账目所显示的单项交易的数额、大小、复杂程度与相似性

可能出现的错误和遗漏的重要性，和对投资者的影响

易出现错误、遗漏、篡改和缺失的机率

往年出现过问题、在评估时需要特别注意的领域

关联方交易的性质与影响

是否存在ERP或是其它一些将影响整个组织或是组织内重要部门的应用系统

业务变化的程度与预期的结果

财务报表中的潜在重大错误或遗漏之外的风险，如非法行为、利益冲突、未经管理层授权动用公司资产等

独立审计师的期望与要求

■ 将关键的财务报告要素与核心业务流程联系起来，例如：销售核心业务流程应与现金、应收款、存货、销售收入、销售成本、销售费用等关键的财务报告联系起来；

■ 确定流程记录的类型与深入程度，以及管理层评估流程控制设计与实施有效性的程度等；

■ 选择合适的流程记录与评估方法来支持管理层对内部控制的判断和认定，同时也为独立审计师的审核与测试提供基础；

■ 确定管理层评估所需要的方法、工具与技术。这些方法、工具与技术应具备足够的力度，以保证其在公司各部门实施的一致性；

■ 与独立审计师确认做法与要求，保证意见一致。

第2步：评估关键流程与控制

该部分的主要工作是对关键的内部控制流程进行记录和评估：

1.记录内部控制的流程、风险和控制；

对关键的内部控制流程进行详细的描述，编制流程文件和流程图等

确定风险控制的目标

定义风险及风险源

找出风险控制点、控制活动和风险管理责任人

获得流程责任人的确认

2.评价有关内部控制设计的有效性；

3.验证并测试内部控制执行的有效性；

4.记录内部控制存在的缺陷。

第3步：漏洞解决方案

项目小组将为改进内部控制提出修改方案，并对新的改进方案进行测试和推广，及制订相关的培训指引和文档。

第4步：报告

将有关工作结果与高层管理人员和董事会沟通，将内部控制的记录和测试文档等工作成果提交给外部审计师进行验证，并编写内部控制报告。

在进行项目时，必须认识到SOA404对持续评估的要求。在进行初次评估之后的各年里，管理层都必须每季度对财务报告内部控制做出评估。这说明，企业内部控制体系的完善远不是一次性通过SOA的要求那么简单，它是一个不断自我完善的长期过程。

对于在美国上市或即将到美国上市的企业来说，要在美国资本市场上立足和发展，就必须了解和遵守游戏规则，并以此为契机，建立有效的内部控制体系，从而改善公司的形象，更有利于公司长远健康发展。