東芝信息機器(杭州)有限公司

一、J-SOX產生背景

在美國由于一連串的會計丑聞導致安然公司、世通公司破產，于2002年7月頒布了薩班斯-奧克斯利(SOX)法案。該法案404條款要求管理層評估對于財務報告的內部控制并委托外部審計師進行審計。在日本也發(fā)生了一連串的會計丑聞，迫切需要構建一套確保披露的財務信息可靠性的系統(tǒng)。2006年6月日本頒布了《金融商品交易法》，也要求管理層評估對于財務報告的內部控制并委托外部審計師進行審計，被認為是日本版的薩班斯法案(J-SOX)。由于該法的頒布，日本所有上市公司每個財年有義務向首相提交“管理證明書”、“內部控制報告”、“內部控制審計報告”。該法從2008年4月1日起施行。

二、J-SOX實施要點

實施J-SOX的要點主要包括：(1)管理層對財務報告內部控制的有效性進行評估，也就是確認對財務報告的內部控制的設計和運行是否根據(jù)恰當?shù)膬炔靠刂瓶蚣懿言u估結果披露出來。(2)評估內部控制的有效性應該從兩方面評價：設計有效性和運行有效性。內部控制有效性評估的步驟：公司層面控制的評估、從全公司視角評估財務決算和報告流程、流程層面控制的評估、IT整體控制的評估、提交內部控制報告。J-SOX要求對以下4種類型的內部控制進行評估以確保財務報告的可靠性：①公司層面控制(ELC)：包括企業(yè)文化、管理層的態(tài)度、組織架構、人力資源教育和培訓；②財務決算和報告流程(FCR)、③流程層面控制(PLC)：包括銷售、收款、采購、生產/存貨控制、非合并和合并財務科目的決算等；④IT整體控制(ITGC)：包括程序變換控制、應用訪問控制等。

三、J-SOX體系建設

筆者所在公司是日本東芝株式會社投資的規(guī)模較大的子公司，位于杭州出口加工區(qū)，主營業(yè)務是生產和銷售筆記本電腦，因交易金額較大，被東芝集團納入第一批導入J-SOX的子公司。公司重建和評估內部控制經歷如下階段：

(一)明確實施范圍及計劃

1.決定評估的范圍和方法：東芝集團總部定義了內部控制的范圍并把旗下公司按定量(金額標準)和定性(重要性)劃分為4類。筆者所在公司屬于B類，即對合并財務報表的某一些科目占有重大比例并定性為重大影響的(財務地位、采購地位、大規(guī)模功能的子公司等)。然后從合并報表中篩選出B類公司有重大影響的會計科目、識別出提交J-SOX評估的組成內部控制的流程(部分工作在第二階段完成)。集團J-SOX推進委員會識別出對合并財務報表有重大影響的流程并做出會計科目和流程矩陣。識別流程的重要性的主要表現(xiàn)為通過自上而下，以風險為導向的方法事先識別出提交評估的流程，使認定對財務報告有重大影響的內部控制應該被評估成為可能(有效的評估)；通過重構流程事先識別出提交評估的流程，防止幾個人重復工作(分析相同的流程)成為可能(消除浪費)。

2.制定具體明確的時間表：東芝集團總部制定了基本的時間表，各子公司參照基本時間表根據(jù)實際情況制定各自的時間表。

(二)梳理并建立流程

作為識別流程的開始，確認集團JSOX推進委員會指定的財務報表科目是否與我們公司相關。具體分為以下5個步驟：①確定個別公司科目(與合并報表科目對應)：用個別公司科目和合并報表科目對照表來確定個別公司科目(科目用于每個公司的會計系統(tǒng))與合并科目的對應關系；②篩選有重大影響的個別公司科目：依據(jù)定量(貨幣金額)和定性的標準在個別公司科目中識別出重要的個別科目；③分析會計分錄類型：弄清楚上一步選擇的重要個別科目上年度的會計分錄類型和金額，是因為會計科目類型把個別科目和流程聯(lián)系起來，不同的會計分錄類型導致不同的產生會計分錄的流程；④確定重要的流程：選擇會計分錄類型的合計金額占總金額80%以上的流程；⑤創(chuàng)建科目流程矩陣：匯總以上第①步到第⑤步的分析結果創(chuàng)建科目流程矩陣。

(三)評價有效性

1.企業(yè)層面控制的文件編制并評估控制的有效性：首先對內部控制進行文件編制，并以問卷形式評估設計有效性，對認定的控制缺陷采取糾正措施；其次檢查溝通、理解、培訓、參與度和監(jiān)控等方面進行運行有效性的評估。

2.業(yè)務層面控制的文件編制并評估控制的有效性：需要準備用于分析的資料，比如風險控制矩陣(RCM)，進行設計和運行有效性的評估。首先篩選評估范圍內的業(yè)務流程，建立科目標題和流程的映射關系；其次每個業(yè)務流程需要編制4種文件：文字描述(Narrative)、流程圖(Flowchart)、風險控制矩陣(RCM)、職責劃分矩陣(SDM)；再次對流程文件進行設計有效性評估后編制穿行性測試報告(Walk-through)，對認定的控制缺陷采取糾正措施。另外還要對各流程通過抽樣的方法進行運行有效性評估，對認定的控制缺陷也要采取糾正措施。特別是糾正對財務報告有重要影響的控制缺陷。

3.IT整體控制的文件編制并評估控制的有效性：首先編制IT整體控制匯總表及風險控制矩陣兩類文件，然后進行設計有效性評估，并對認定的控制缺陷采取糾正措施。對運行有效性的評估也是采取抽樣的方式進行，如發(fā)現(xiàn)控制缺陷也要采取糾正措施。

(四)出具審計報告

1.準備內部控制報告：管理層編制“內部控制審計報告”，記錄財務報告內部控制有效性的評價結果等，由總經理和CFO簽字上報給母公司。

2.對內部控制的審計：東芝集團委托“四大”之一的安永會計師事務所對公司進行內控審計，該事務所同時也負責公司的財務報表審計，同一審計證據(jù)在兩種審計中可以使用，使得審計效率更高。首先，審計師審核管理層確定的評價范圍的合理性；其次，審核管理層進行的全面控制的評價和以全面控制評價為基礎的業(yè)務流程相關的內部控制的評價。

四、推進J-SOX體系構建的思考及建議

(一)管理層的支持和重視是J-SOX推進的重要保證

集團總部從項目一開始要求各子公司建立項目推進組織：首席內部控制官(CICO)是各公司的總經理，對推進公司的J-SOX負責，CICO可以指定內部控制的負責人(一般是財務部長)。

公司在項目啟動會議上，總經理作動員講話，財務部長向各部門負責人說明J-SOX項目的重要性，確保后續(xù)推進時相關部門的配合和支持。

(二)IT系統(tǒng)的支持為J-SOX項目推進提高效率

東芝開發(fā)了網頁版的IT支持系統(tǒng)以管理集團全球子公司J-SOX項目的推進。集團總部在該系統(tǒng)發(fā)布通知、文件格式、操作手冊等，各子公司可自行查看下載；各子公司可在系統(tǒng)中注冊各子流程的名稱、負責人，控制缺陷及對其的管理等，另外可分別注冊ELC、PLC、ITGC編制的文件及有效性評估的報告，總部和外部審計師不需要到各子公司就能一覽JSOX項目推進的狀態(tài)，效率大大提高。

(三)發(fā)揮外部咨詢公司的作用能確保J-SOX合規(guī)順利進行

東芝總部從J-SOX項目一開始，就聘請全球“四大”之一的安永作顧問，分大區(qū)對日本、亞洲、歐洲和美洲的各子公司項目負責人進行培訓。后續(xù)安永在各國的審計師對各子公司編制的內控文件、有效性自行評估報告進行審閱并出具指導意見。對于有效性評估過程中發(fā)現(xiàn)的控制缺陷，公司進行改善并重新評估，安永會再次進行審閱和指導，以確保內控設計和運行符合J-SOX的要求。

(四)強化內控體系持續(xù)建設

公司經過上述4個階段的內控體系構建過程，順利取得了安永會計師事務所內部控制審計“無控制缺陷”的審計結論。以后每個年度各流程負責人要確認流程是否有變化，如組織架構的變化導致流程變更，如有變化流程負責人要更新內控文件。財務部門會進行內部控制的設計有效性和運行有效性評價，發(fā)現(xiàn)控制缺陷要求整改，然后再進行有效性評價，直到沒有控制缺陷為止。

總之，內控體系建設是一項長期、復雜的工作，需要公司全體員工持續(xù)不斷地努力，按照PDCA循環(huán)去完善內控體系，才能發(fā)揮應有的作用。