淺析日資企業(yè)J-SOX內(nèi)控體系建設(shè)

東芝信息機器(杭州)有限公司

一、J-SOX產(chǎn)生背景

在美國由于一連串的會計丑聞導(dǎo)致安然公司、世通公司破產(chǎn)，于2002年7月頒布了薩班斯-奧克斯利(SOX)法案。該法案404條款要求管理層評估對于財務(wù)報告的內(nèi)部控制并委托外部審計師進行審計。在日本也發(fā)生了一連串的會計丑聞，迫切需要構(gòu)建一套確保披露的財務(wù)信息可靠性的系統(tǒng)。2006年6月日本頒布了《金融商品交易法》，也要求管理層評估對于財務(wù)報告的內(nèi)部控制并委托外部審計師進行審計，被認為是日本版的薩班斯法案(J-SOX)。由于該法的頒布，日本所有上市公司每個財年有義務(wù)向首相提交“管理證明書”、“內(nèi)部控制報告”、“內(nèi)部控制審計報告”。該法從2008年4月1日起施行。

二、J-SOX實施要點

實施J-SOX的要點主要包括：(1)管理層對財務(wù)報告內(nèi)部控制的有效性進行評估，也就是確認對財務(wù)報告的內(nèi)部控制的設(shè)計和運行是否根據(jù)恰當?shù)膬?nèi)部控制框架并把評估結(jié)果披露出來。(2)評估內(nèi)部控制的有效性應(yīng)該從兩方面評價：設(shè)計有效性和運行有效性。內(nèi)部控制有效性評估的步驟：公司層面控制的評估、從全公司視角評估財務(wù)決算和報告流程、流程層面控制的評估、IT整體控制的評估、提交內(nèi)部控制報告。J-SOX要求對以下4種類型的內(nèi)部控制進行評估以確保財務(wù)報告的可靠性：①公司層面控制(ELC)：包括企業(yè)文化、管理層的態(tài)度、組織架構(gòu)、人力資源教育和培訓(xùn)；②財務(wù)決算和報告流程(FCR)、③流程層面控制(PLC)：包括銷售、收款、采購、生產(chǎn)/存貨控制、非合并和合并財務(wù)科目的決算等；④IT整體控制(ITGC)：包括程序變換控制、應(yīng)用訪問控制等。

三、J-SOX體系建設(shè)

筆者所在公司是日本東芝株式會社投資的規(guī)模較大的子公司，位于杭州出口加工區(qū)，主營業(yè)務(wù)是生產(chǎn)和銷售筆記本電腦，因交易金額較大，被東芝集團納入第一批導(dǎo)入J-SOX的子公司。公司重建和評估內(nèi)部控制經(jīng)歷如下階段：

(一)明確實施范圍及計劃

1.決定評估的范圍和方法：東芝集團總部定義了內(nèi)部控制的范圍并把旗下公司按定量(金額標準)和定性(重要性)劃分為4類。筆者所在公司屬于B類，即對合并財務(wù)報表的某一些科目占有重大比例并定性為重大影響的(財務(wù)地位、采購地位、大規(guī)模功能的子公司等)。然后從合并報表中篩選出B類公司有重大影響的會計科目、識別出提交J-SOX評估的組成內(nèi)部控制的流程(部分工作在第二階段完成)。集團J-SOX推進委員會識別出對合并財務(wù)報表有重大影響的流程并做出會計科目和流程矩陣。識別流程的重要性的主要表現(xiàn)為通過自上而下，以風(fēng)險為導(dǎo)向的方法事先識別出提交評估的流程，使認定對財務(wù)報告有重大影響的內(nèi)部控制應(yīng)該被評估成為可能(有效的評估)；通過重構(gòu)流程事先識別出提交評估的流程，防止幾個人重復(fù)工作(分析相同的流程)成為可能(消除浪費)。

2.制定具體明確的時間表：東芝集團總部制定了基本的時間表，各子公司參照基本時間表根據(jù)實際情況制定各自的時間表。

(二)梳理并建立流程

作為識別流程的開始，確認集團JSOX推進委員會指定的財務(wù)報表科目是否與我們公司相關(guān)。具體分為以下5個步驟：①確定個別公司科目(與合并報表科目對應(yīng))：用個別公司科目和合并報表科目對照表來確定個別公司科目(科目用于每個公司的會計系統(tǒng))與合并科目的對應(yīng)關(guān)系；②篩選有重大影響的個別公司科目：依據(jù)定量(貨幣金額)和定性的標準在個別公司科目中識別出重要的個別科目；③分析會計分錄類型：弄清楚上一步選擇的重要個別科目上年度的會計分錄類型和金額，是因為會計科目類型把個別科目和流程聯(lián)系起來，不同的會計分錄類型導(dǎo)致不同的產(chǎn)生會計分錄的流程；④確定重要的流程：選擇會計分錄類型的合計金額占總金額80%以上的流程；⑤創(chuàng)建科目流程矩陣：匯總以上第①步到第⑤步的分析結(jié)果創(chuàng)建科目流程矩陣。

(三)評價有效性

1.企業(yè)層面控制的文件編制并評估控制的有效性：首先對內(nèi)部控制進行文件編制，并以問卷形式評估設(shè)計有效性，對認定的控制缺陷采取糾正措施；其次檢查溝通、理解、培訓(xùn)、參與度和監(jiān)控等方面進行運行有效性的評估。

2.業(yè)務(wù)層面控制的文件編制并評估控制的有效性：需要準備用于分析的資料，比如風(fēng)險控制矩陣(RCM)，進行設(shè)計和運行有效性的評估。首先篩選評估范圍內(nèi)的業(yè)務(wù)流程，建立科目標題和流程的映射關(guān)系；其次每個業(yè)務(wù)流程需要編制4種文件：文字描述(Narrative)、流程圖(Flowchart)、風(fēng)險控制矩陣(RCM)、職責劃分矩陣(SDM)；再次對流程文件進行設(shè)計有效性評估后編制穿行性測試報告(Walk-through)，對認定的控制缺陷采取糾正措施。另外還要對各流程通過抽樣的方法進行運行有效性評估，對認定的控制缺陷也要采取糾正措施。特別是糾正對財務(wù)報告有重要影響的控制缺陷。

3.IT整體控制的文件編制并評估控制的有效性：首先編制IT整體控制匯總表及風(fēng)險控制矩陣兩類文件，然后進行設(shè)計有效性評估，并對認定的控制缺陷采取糾正措施。對運行有效性的評估也是采取抽樣的方式進行，如發(fā)現(xiàn)控制缺陷也要采取糾正措施。

(四)出具審計報告

1.準備內(nèi)部控制報告：管理層編制“內(nèi)部控制審計報告”，記錄財務(wù)報告內(nèi)部控制有效性的評價結(jié)果等，由總經(jīng)理和CFO簽字上報給母公司。

2.對內(nèi)部控制的審計：東芝集團委托“四大”之一的安永會計師事務(wù)所對公司進行內(nèi)控審計，該事務(wù)所同時也負責公司的財務(wù)報表審計，同一審計證據(jù)在兩種審計中可以使用，使得審計效率更高。首先，審計師審核管理層確定的評價范圍的合理性；其次，審核管理層進行的全面控制的評價和以全面控制評價為基礎(chǔ)的業(yè)務(wù)流程相關(guān)的內(nèi)部控制的評價。

四、推進J-SOX體系構(gòu)建的思考及建議

(一)管理層的支持和重視是J-SOX推進的重要保證

集團總部從項目一開始要求各子公司建立項目推進組織：首席內(nèi)部控制官(CICO)是各公司的總經(jīng)理，對推進公司的J-SOX負責，CICO可以指定內(nèi)部控制的負責人(一般是財務(wù)部長)。

公司在項目啟動會議上，總經(jīng)理作動員講話，財務(wù)部長向各部門負責人說明J-SOX項目的重要性，確保后續(xù)推進時相關(guān)部門的配合和支持。

(二)IT系統(tǒng)的支持為J-SOX項目推進提高效率

東芝開發(fā)了網(wǎng)頁版的IT支持系統(tǒng)以管理集團全球子公司J-SOX項目的推進。集團總部在該系統(tǒng)發(fā)布通知、文件格式、操作手冊等，各子公司可自行查看下載；各子公司可在系統(tǒng)中注冊各子流程的名稱、負責人，控制缺陷及對其的管理等，另外可分別注冊ELC、PLC、ITGC編制的文件及有效性評估的報告，總部和外部審計師不需要到各子公司就能一覽JSOX項目推進的狀態(tài)，效率大大提高。

(三)發(fā)揮外部咨詢公司的作用能確保J-SOX合規(guī)順利進行

東芝總部從J-SOX項目一開始，就聘請全球“四大”之一的安永作顧問，分大區(qū)對日本、亞洲、歐洲和美洲的各子公司項目負責人進行培訓(xùn)。后續(xù)安永在各國的審計師對各子公司編制的內(nèi)控文件、有效性自行評估報告進行審閱并出具指導(dǎo)意見。對于有效性評估過程中發(fā)現(xiàn)的控制缺陷，公司進行改善并重新評估，安永會再次進行審閱和指導(dǎo)，以確保內(nèi)控設(shè)計和運行符合J-SOX的要求。

(四)強化內(nèi)控體系持續(xù)建設(shè)

公司經(jīng)過上述4個階段的內(nèi)控體系構(gòu)建過程，順利取得了安永會計師事務(wù)所內(nèi)部控制審計“無控制缺陷”的審計結(jié)論。以后每個年度各流程負責人要確認流程是否有變化，如組織架構(gòu)的變化導(dǎo)致流程變更，如有變化流程負責人要更新內(nèi)控文件。財務(wù)部門會進行內(nèi)部控制的設(shè)計有效性和運行有效性評價，發(fā)現(xiàn)控制缺陷要求整改，然后再進行有效性評價，直到?jīng)]有控制缺陷為止。

總之，內(nèi)控體系建設(shè)是一項長期、復(fù)雜的工作，需要公司全體員工持續(xù)不斷地努力，按照PDCA循環(huán)去完善內(nèi)控體系，才能發(fā)揮應(yīng)有的作用。