如果让我用最直白的话描述：什么是内控？什么是SOX？那么我觉得内控就是人的免疫系统，而SOX就是免疫系统中对重大疾病免疫的那部分细胞。准确来说，SOX是内控的一部分，只不过SOX更多强调财务报告层面，确保财务报告的准确性，而内控除了强调财报准确性以外还会重点关注企业的运营效率和法律合规。为了让自己在工作过程中能够更好的沉淀SOX理论知识和实操经验，同时也希望能够对内控内审行业的小伙伴有一些帮助（最好的学习就是不断输出），阿Q打算以自己工作经验为基础，结合塞班斯法案的相关学习资料，输出一版属于自己的美股上市SOX执行指南，以一个产品经理的思维来做内控和内审。

今天的分享第一期主要包括以下3方面：SOX404萨班斯法案内容及实施方法、SOX404具体内容是什么?  COSO理论框架介绍，希望能够帮助大家弄明白SOX的为什么和是什么这两个问题。

1、SOX404萨班斯法案出台背景：

安然、世通等财务欺诈丑闻发生后,导致人们对金融市场信心丧失,并失去对公司会计记录和报告活动的信仼,为此,美国国会于2002年7月出台了《2002年公众公和投资者保护法案》。该法案要求上市公司建立关于法人治理和财务报告的新实务。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯一奥克斯利法案》 Sarbanes Oxley(2002)。萨班斯法案是对上市公司影响最广泛的法律之一。该法案旨在保护在美国证券交易所开展股票交易的公司股东,并加大对这些公司决策人的可查力度。

2、SOX404具体内容是什么?

《萨班斯法案》404条款要求证交会规定各发行人(注册投资公司除外)须提交一份内部控制 报告，其中须包含有公司管理层就财务报告内部控制结构及程序有效性做出的认定声明。此 外，404条款还要求公司独立公众会计师须根据PCAOB制定的准则，对公司财务报告内部控制的有效性进行鉴证。

根据证交会关于404条款的规则，内部控制报告必须明确地说明如下内容：

管理层在建立和维护充分的财务报告内部控制过程中的责任；

管理层评估财务报告内部控制有效性的标准时所采用的框架；

管理层在年末对公司财务报告内部控制有效性进行的评估(即适时评估)，包括披露管理层发现的公司财务报告内部控制中的任何实质性漏洞。

管理层报告还必须声明，负责审计年报的独立公众会计师就公司管理层对财务报告内部控制的评估已经进行了鉴证，并已出具了报告。

证交会的规则规定，如果公司内部控制存有一项或多项实质性漏洞，则管理层不得做出财务报告内部控制有效的结论，因而给做出内部控制是否有效的这样结论设定了一道“门槛”。因此，管理层如果声明财务报告内部控制程序在设计和执行上都有效，那么也就等于声明在公司内部控制中不存在任何实质性的漏洞。证交会规则要求公司向公众披露管理层在评估阶段发现的任何实质性漏洞。为了明确管理层的责任，证交会业已出台了一份基于原则的解释指引。该指引围绕两个重要原则展开：

1.管理层应当对公司已采用的各种控制的设计进行评估，以确定在财务报表中是否存在未能及时预防或发现的某种重大错报；

2.针对拟评估的控制，管理层应当根据对关联风险的评估结论，收集和分析有关这些控制执行情况的证据。

实质上，证交会的这个指引旨在说明“风险”既包括实质性错误或舞弊的风险，也包括控制失效的风险。这两部分风险称作“财务报告内部控制风险”。

3、 404条款对相关公司有哪些季度性工作要求？

就财务报告内部控制而言，证交会规定季度评估不必像年度评估一样面面俱到。委员会认为，管理层应在一个较充分的会计期间内对公司整个财务报告内部控制系统的设计及执行进行评估，从而使管理层能够在财务年度末就公司财务报告内部控制的设计及执行是否有效做出决定。

然而，若公司的控制在某个财务季度内发生任何变化，且有关变化已经或可能会对公司财务报告内部控制产生重大影响，则公司管理层应对有关变化进行披露。尽管最终规则并未明确要求公司必须就各财务季度(包括第四季度)内各项变化的原因做出披露或说明，但公司应根据相关事实及实际情况判断有关变化的原因或其他相关信息是否构成须披露的重大信息，以确保有关变化的信息披露不会产生误导。

4、COSO框架如何运用于SOX

“萨班斯法案第404条款”要求在公司年报中包含一份管理层对内部控制体系有效性的评估报告,无疑SOX是针对内部控制的美国证券交易委员会唯一推荐使用的内部控制框架是COSO内部控制框架,同时《萨班斯法案》第404条款的「最终细则」也明确表明COSO内部控制框架可以作为评估企业内部控制的标准。

COSO内部控制-综合框架将内部控制定义为“一套由董事会、管理层及其他相关人员实施的程序，以合理确保下列各项的目标得以实现：(a)财务报告的可靠性，(b)经营活动的有效性和效率，以及(c)适用法律法规的合规性。”综合框架利用一个三维立体为管理层提供评估内部控制的标准。

第一维是目标。内部控制的设计旨在确保下列各项的目标得以实现：经营活动的有效性和效率(包括资产保护)、财务报告的可靠性以及适用法律法规的合规性(图的顶部从左到右)。

COSO规定第二维是公司级、管理层面和活动（或流程）层面(图的右面从前到后)。内部控制必须从两个层面进行评估：公司层面，以及活动（或流程）层面。

第三维包括内部控制的五个组成部分：

(1) 控制环境-控制环境确定了整个最高层态度，影响员工的内控意识。该组成部分是内部控制所有其他组成部分的基础，提供了纪律要求和结构。

(2) 风险评估-风险评估是识别及分析相关风险及其对公司目标实现的影响的工作，为管理层决定如何对风险进行管理设定了标准。

(3) 控制活动-控制活动包括有助于确保管理层的指令得到贯彻执行的政策及程序。

(4) 信息与沟通-该组成部分包括若干程序和系统，以确保相关信息的确认、获取和交流必须在一定时间框架内进行，并使得员工能够各行其责。

(5) 监督-包括定期评估内部控制质量的流程。

这五个组成部分为有效的财务报告内部控制提供了框架，同时，也为信息披露控制及程序提供了一个普遍通用的框架。五个组成部分为财务报告内部控制的评估提供了依据。

上述三个层面代表了整个综合框架。该框架按下述方式运作：对于任何既定目标，例如财务报告的可靠性，管理层必须同时在公司层面和活动(或流程)层面两个层面对内部控制的五个要素进行评估。

5、COSO框架在404条款评估报告中是如何应用于公司层面的？

COSO框架适用于两个层面-公司层面和活动(或流程)层面。针对公司层面，内部控制的五个组成部分的每个部分都被进一步细分为若干有利于评估进行的属性（attributes）。“属性”界定每个组成部分的性质。正如下图所示，控制环境进一步采用七个属性进行界定。对于每一个属性，COSO都提供适当的“关注点”(pointsof focus)，代表与此属性有关的一些更为重要的事件，但并非所有关注点均适用于每间公司，或许其他的关注点更适合某些公司。就控制评估而言，COSO建议每个公司都应该根据其实际情况和环境制定合适的关注点。例如，管理层较多参与公司实际经营的小型公司跟管理层架构较复杂的大型公司比较起来，就需要采取不同的评估方法。

个人看法：关于COSO模型，我个人觉得COSO模型只是一个理论框架,这类框架只是解决理论边界问题，解释了内控的目标、层面、构成要素等内容，重在概念理解，但绝不是一个内控操作手册。COSO框架本身也缺乏对不同行业、不同管理方式、不同发展阶段的企业内部控制具体操作的详细指导。所以不论是COSO内控框架的5个部分还是COSO-ERP的8要素，对公司、包括需要满足SOX要求的公司，指导意义均局限在对内控的理解这个方面。

具体应用而言,通常是通过内控手册、风险控制手册等工具来实现的。RCM列明了各个业务流程的主要风险、与风险对应的控制点以及控制点的详细描述，其实对应的就是COSO框架中的控制活动。COSO的监督通常是通过执行内部控制审计，对内部控制的有效性进行评价，并对发现的缺陷推动整改。

以上就是关于SOX相关背景的介绍，对于内控和内审的同学们还是希望能够对SOX背景有一个全面的理解。SOX404具体的落地执行策略后期我会陆续更新，SOX系列我会先从宏观的方法论层面告诉大家搭建SOX的思路和方向，然后按照各流程和子流程去拆解风险控制矩阵的搭建步骤给大家，希望能让小伙伴们在美股上市SOX审计过程，无论是互联网企业、制造业、媒体行业等都能有一套行之有效的方法论。