sox化療方案具體用法（sox）

大家好，我是小華，我來為大家解答以上問題。sox化療方案具體用法，sox很多人還不知道，現在讓我們一起來看看吧！

1、不知不覺參與公司SOX項目半年有余了，暫停下來思考一下，感觸頗多。

2、 為什么做SOX項目？為了通過美國證券市場對上市公司提出的“遵循薩班斯法案第404條款”的法定要求。

3、“薩班斯法案第404條款”要求在公司年報中包含一份內控報告，該報告應表明公司管理層有建立和維持財務報告內部控制系統及相關控制程序充分有效的職責；應包含管理層在最近一個財政年度年底對財務報告內部控制系統及程序有效性進行評估的結果。

4、簡而言之，就是管理層對內部控制的評估。

5、 [ 轉自鐵血社區 http://bbs.tiexue.net/ ] 無疑SOX是針對內部控制的。

6、而企業內控體系的搭建，美國證監會推薦COSO框架。

7、COSO框架對內控的定義是：由一個企業的董事會、管理層和其他人員實現的過程，旨在為下列目標提供合理保證：財務報告的可靠性；經營的效果和效率；符合適用的法律和法規。

8、 COSO將內部控制劃分為五個相互關聯的要素：控制環境、風險評估、控制活動、信息與溝通、監控。

9、內審也只是監控的一個組成部分。

10、一提到控制，總讓人不那么舒服，其實不然。

11、表面看來，控制可能會拖慢了速度，影響了效率。

12、 現代控制理念強調的是長遠的效率與效果，假如我們可以預知出錯的風險，而做出防范，出錯的風險就可以降低，效率和效果將因適當的控制而提高，從而幫助你實現目標。

13、這就是我們常說的內控“鐵三角”，即“目標－風險－控制”。

14、舉個生活中的例子：過馬路。

15、“過馬路”的目標是“安全過去”；風險是“不能安全過去，過程中出現意外”；面對風險，你有選擇：可以選擇接受風險，不采取任何措施，結果呢？也許運氣好，安全過去了，但也可能倒霉，跟車親密接觸了；當然，可以選擇采取一些措施，來降低風險，實現目標，比如說每次過馬路都遵循“一站、二看、三通過”的原則。

16、比較起來，增加了一個小小的控制，提高了我們無數次過馬路的成功率。

17、但是不是萬無一失呢？也不是。

18、雖然你控制的不錯，但可能天有不測風云，剛好碰上個酒后駕車的（不可控因素）；或者沉思中忘了執行“一站、二看、三通過”的控制（執行問題），被人鳴笛警示。

19、可見，控制只是有效降低了風險，增加預期目標實現的可能性，而非100％防止風險。

20、 對企業而言，內控是普遍存在的，無論你是否意識到。

21、可以把企業看作許多人構成的一個系統，為了滿足市場的需求，在競爭中立于不敗之地，必然需要先制訂戰略，再將其轉化為具體的目標。

22、整體目標的實現需要層層分解，先是四大系統，再到各部門，再到各職能小組，最終落實到個人。

23、實現公司下達的目標是每個管理者的職責，我想每個管理者都會擔心目標無法實現，風險就這樣來了（風險即是目標不能實現的可能性）。

24、怎么辦？采取措施，廣義來看，只要是把偏離目標的行為拉到正規上的行動都可以視為控制。

25、從公司制訂《反舞弊守則》等各項規章制度、到付款的授權審批、到不相容職務分離、到工作的交叉復核、再到個人的時間管理，控制真可謂無處不在。

26、但如何先識別風險，再建立有效的內控，并確保其有效執行；以促成目標的實現，是每個管理者都應該、也一定是已經在思考的問題了（又稱為“流程負責人”，Process Owner，以下簡稱PO），只是各自采用的方式不同。

27、 其實，SOX項目就是提供了這樣一個工具，一套系統的方法：首先，通過流程圖直觀的描述流程（流程圖，Flow Chart）；其次，設立流程的目標，考慮影響目標實現的諸多風險，再設計控制來有效降低風險（風險控制矩陣，Risk Control Matrix，以下簡稱RCM）；最后，監督已建立控制的有效執行。

28、最關鍵的是目標的設立，今年我們“遵循薩班斯法案第404條款”的SOX項目，主要將目標集中在財務報告的可靠性，相關的控制自然也主要針對此；但COSO提出的內控的其他兩個目標：合規和經營目標，也許并沒有完全體現在我們現在的RCM中，但這幾個方面流程負責人在經營管理中怎么會不考慮呢？可見，目前我們的SOX包括的范圍是有限的，相關內控也是最基本的要求；有效管理的范圍是大于它的。

29、但PO可借助這一方法，實現其更廣闊的目標（因為目標是可增減的），因為風險管理是應該有意識的嵌套進PO的日常管理中的。

30、我想，我們是可以超越SOX的，因為提供可靠的財務報告是投資者希望企業做到的；有效率、有效果的經營、遵守法律法規，做一個真正健康的實體，更是投資者想要看到的。

31、當細想內控時，發現它挺有趣。

32、首先，這個領域充滿了判斷，主觀性比較強。

33、 目標的確定、風險的識別，如何設計控制，多少足夠；設計好了，開始運行，又如何評價運行的有效性；每個人都會有不同想法。

34、舉個例子：為了確保應收賬款的真實準確，PO設計了一個控制“每季度，由分公司抽查部分客戶，發對帳單對賬，對賬結果記錄在《抽查登記表》上，電郵財務部和銷售管理部”，這個內控怎樣才算執行有效性呢？財務部收到所有的《抽查登記表》可以了嗎？如何判斷？這時，可以反問自己控制的目標是什么，做到這一步能降低風險實現目標嗎？回答是，還差點。

35、財務部還會審閱分公司電郵《抽查登記表》的對賬結果：是不是都發了但沒一個客戶回？若回了，與我們記錄的一致嗎？若不一致，原因何在？查明原因后，是否需要調賬？一般認為，做到這一步，控制才基本到位了。

36、但可能另一個人會提出，不行，還要抽幾個客戶的《對帳單回函》看看，是不是跟分公司電郵的結果一致；或者全部回函都要看。

37、可見，對控制運行有效性的評價是充滿主觀判斷的；但基本標準也是存在的。

38、 其次，內控是充滿變化的。

39、流程圖畫好了不是鐵定不可改了，它只是個描述流程的工具而已，PO會也有責任根據管理的需要和環境的改變不斷優化流程，以促進自己承擔目標的實現。

40、在做出決策時，可以參考現存的流程圖以及對現有流程目標、風險和控制的描述；一旦做好了改變的決策，自然需要更新相關文檔，以有效指導實際操作；這可能就引起了內控的改變。

41、舉個例子，以前發貨后，從ERP系統中逐張打印紙質《待開發票登記簿》，經PO簽字審核后，再由財務審核過賬。

42、后來，ERP新增了“訂單審核功能”，PO共同決定改逐張打印紙質的《待開發票登記簿》，為分批導出電子的《待開發票清單》；因為新增IT系統控制后，已經可以有效降低未經授權修改訂單的風險了。

43、我們可以看到，改變后，即有效控制了風險，又提高了流程的效率、節約了資源，是合理的。

44、 [ 轉自鐵血社區 http://bbs.tiexue.net/ ] 最后，內控遵循的一個原則是：看形式，但更看實質。

45、這里有個正副經理之爭的有趣問題。

46、每個月總部HR都會導出各部門的異常刷卡報表，由員工本人和部門經理簽字確認。

47、PO之所以設計“員工和部門經理簽字確認異常刷卡報表”這個控制，是為了降低考勤記錄、扣款不真實、不準確的風險，確保員工工作時間記錄沒有爭議。

48、在執行這個控制時，有一個問題出現了：經理出差不在，副經理簽字，該控制運行是否有效？SOX強調簽字，強調對制度的遵循，有時到了近乎苛刻、讓人惱火的程度；似乎很形式，很表面，其實是有理由的，簽字是為了留下控制的證據，強調制度化以及制度的執行是為了確立一些內控的依據、標準、維持傳承性；這只是良好內控的基本要求，還需要看實質，即簽字是否真正達到了控制的目標（究竟檢查、審核了哪些方面？），是否實質上遵循了制度。

49、 由此看來，正副經理之爭就不成問題了，只要能降低考勤記錄、扣款不真實、不準確的風險，實現“確保員工工作時間記錄沒有爭議”的目標即可。

50、其實，涉及內控的方面還有很多，以上只是目前感觸比較深的幾個方面。

51、如果你能對內控發生一些興趣，增加一些內控意識，運用控制的思想和方法來降低身邊的風險、實現目標，我的目標就實現了。

本文到此講解完畢了，希望對大家有幫助。