审计服务方案范文1
一、总体要求
本阶段从5月开始至7月结束。围绕党的群众路线教育实践活动,重点开展服务功能建设、形象建设和能力建设,组织实施“争五创、促三优”、“四比四评”等活动,以及交通运输系统创建群众满意服务窗口主要内容。积极整改在第一阶段查摆出来的主要问题,以活动为载体,确保完成整改任务,提升全系统为民、便民、利民的整体服务水平。
二、工作任务
1、强化理论学习。把活动与党的群众路线教育实践活动紧密结合,利用各种学习形式组织学习中省市县党的群众路线教育实践活动会议和文件精神,认真学习各类业务知识,提高了思想政治素质和专业能力素质。在各项学习中,每位干部认真记学习笔记,撰写心得体会,强化学习效果,不断增强党的宗旨意识和服务意识。
2、抓好制度建设。按照一心为民的工作原则,根据单位基本职能和具体业务工作,制定和完善岗位责任制、服务承诺制、限时办结制和责任追究制等制度,以完善的、针对性和操作性较强的制度约束人,管理人,要不断完善管理和监督机制,并严格执行和落实单位的各项规章制度。要从日常抓机关工作人员的言行举止入手,提倡“文明办公,热情服务”,强化文明用语,加大上下班考勤和在岗督查力度,有效规范干部的工作纪律,提高全系统整体素质,树立审计系统良好的社会形象。
3、落实八项内容。按照县委、县政府的安排部署结合党的群众路线教育实践活动以及审计局自身实际,深入推进创建活动八项内容落实,通过学习培训、宣传教育、严格执法、举办活动等形式,完成创建内容,提升服务质量。特别是要在落实创建8项内容时,以活动为载体,积极开展“争五创、促三优”、“四比四拼”、创建党员示范岗”、等活动,以此提高审计系统干部整体素质和服务水平。
4、扎实整改提高。针对第一阶段查摆出来的问题,围绕审计服务窗口创建的8项主要内容,深入开展整改活动。活动中要对照存在问题,结合工作及岗位实际,抓住“八项规定”和“”问题的具体表现,稳步扎实的落实各项整改措施。要借助培训、公开讲堂、座谈研讨会、服务大评比等各类活动,在活动中整改,在整改中提高,切实解决窗口单位在服务群众中存在的问题。
5、强化监督检查。局里将组织相关人员对窗口服务单位创建活动进行督查,要求不断改进工作作风,优化服务质量,自觉接受社会群众的监督。
三、活动要求
审计服务方案范文2
中图分类号: TP309.7 文献标志码:A
0引言
用户可撤销系统云存储数据的审计问题是云存储数据审计的现实难题。
一开始人们发现将数据存储在云上,用户可以从本地数据存储和维护开销中解放出来享受极大便利;但是外包数据却面临到许多安全挑战[1-4],因此,一系列各种要求在不泄露完整数据知识的前提下确保远端存储数据完整性的审计方案被提出。例如:Juels等[5]提出了一种证据可恢复的POR数据可取回证明(Proofs of Retrievability, POR)审计方案;Ateniese等[6]提出了一种名为PDP数据可证明持有性(Provable Data Possession, PDP)请补充POR和PDP的中文名称和英文全称。的数据持有性证明审计方案;Shacham等[7]利用短签名构造了有效的POR公开审计方案。但是这些方案不考虑用户数据的隐私保护,事实上,用户的数据可能被泄露给一些好奇的敌手,这些缺点将极大地影响这些方案在云计算中的安全性。从保护数据隐私的角度出发,用户可以委托第三方审计者(Third Party Auditor, TPA)来保证他们存储数据的安全,同时他们也不希望这个审计过程由于未经授权的信息泄漏对他们的数据安全造成新的威胁。未授权的数据泄露仍然在于潜在的加密密钥暴露的潜在风险。2009年,Wang等[8]提出了一项保护隐私的云存储数据公开审计方案,方案依托同态认证技术和随机模化技术完成了隐私保护公开认证,并利用双线对标签聚合技术实现了批处理。
自Wang等[8-10]与Zhu等[11]提出了一系列经典的具有保护隐私功能的云存储数据公开审计方案后。人们很快注意到之前几乎所有的审计方案都是固定用户在计算云存储数据的完整性验证标签,即这些审计方案,要求在整个数据管理周期使用云存储服务的都必须是同一个用户。这是因为,云存储服务中数据的完整性验证标签是由用户用自己的私钥签名生成,然后在公共审计过程利用公开信息进行验证。这样的云存储数据审计模式在真实情况下是不现实的。一方面,在一个审计系统中经过一段时间用户的公钥可能更新;另一方面,用户可能只是一个公司的数据管理者,他可能因为各种原因而离职,例如因为高薪而跳槽。因此,出于现实考虑,一个云存储数据审计方案应该支持有效的用户撤销。
Wang等[12]首先引入了共享云存储审计问题,提出了一个基于群签名的用户可撤销的自我审计方案,以及一些基于动态广播重签名方案和双向签名的共享云用户可撤销公开审计方案[13-14]。随后Yuan等[15]使用了一个类似的群签名技术提出了一个公开方案版本。由于都涉及到群签名和广播加密技术,以上的动态可撤销审计方案的效率都不满足实际需求。
2015年Wang等[16]提出了一个高效的用户可撤销公开审计方案Panda。此方案借助重签名技术,将不同用户的数据块签名转换为当前用户签名形式,从而很好地满足了用户动态可撤销系统的云存储数据审计需求,是此类问题当前的最优解决方案,但是文献[16]的方案局限性中,提到云服务器与已撤销用户合谋可能会造成用户私钥的泄露,并在文献[16]中明确提出在下一步工作中希望通过一个多层的重签名方案来解决这个问题。
基于文献[16]的构思,本文提出了一个单向的重签名方案,修改密钥的计算是通过对撤销用户的公钥进行处理得到,不存在私钥泄露的风险。另外本文的用户可撤销云存储数据审计方案支持第三方公共审计,能够更好地支持对云存储数据的日常例行审计工作。最后效率分析与比较表明,方案在通信开销与计算复杂度方面更具有优势。
1基本模型
正文内容基于重签名的用户可撤销云存储数据公共审计方案如图1所示,支持用户可撤销的云存储数据公共审计方案与上述基本云存储审计方案有很大不同,其方案主实体涉及到多个用户。从现实考虑,数据属于公司,而非数据管理者。在某一个时期通常只有一用户对存储数据进行管理;但是某一段时期内却可能有多个用户对存储数据进行管理。即,一段时间后当前用户可能不再适合管理存储在云上的数据,他可能被别一个新的管理者替换。
本文假设,最开始有一个用户代表公司和组织将数据上传到云服务器,这个初始用户可以记作U0,然后公司雇佣数据管理者,显然数据管理者不是终身制的。在一个数据管理者离职前他需要向新的数据管理者移交数据,继承者需要对这些数据进行审计确认,他的前任尽职地完成了他的数据管理工作。假定,将数据存储在云上的数据存储模式是简单而有效的,公司和组织每一个时期只需要一个数据管理者就能很好地完成数据管理任务。按照时间先后对除U0以外的数据管理者排序为U1,U2,…,Um,m为正整数。相应地对应外包存储在云上的数据按照不同管理者的任期被划分为T1,T2,…,Tm周期。在这里,显然每一个用户只有在周期结束时才会向继任者移交数据。(注:对于第一个用户周期来说,用户U1可能就是初始用户U0;但是也可以委托一个新的用户U1来完成数据管理工作,在文中统一分开记录。)
初始用户U0首先将整个数据文件分成n个数据块,并用自己的私钥计算相应的数据存储标签σ,然后他将所有数据和标签都上传到云服务器以完成数据的最初上传。用户U1在T1期间内进行数据管理,并在T1周期结束时被U2所取代,U2也将被U3取代,一直到Uj取代Uj-1, j∈{0,1,…,m}。Uj为当前数据管理者。因为标签和用户相关,一旦用户撤销了,标签也应该作相应的修改。一个直接的方法就是使用当前用户的私钥重新计算这些数据块的标签。然而,这并不是一个可撤销的云存储审计系统,因为这样将带来沉重的通信和计算负担。一个比较理想的方法就是使用重签名技术,将所有存储在云服务器上的数据标签转换成当前用户签名的模式。
最终对于当前用户来说,云服务器上存储的数据mi的标签σ最后都会转化为σ(j)i。考虑到云用户构建一个进行数据无误性检验的云环境是不可行和代价高昂的,因此为了节省进行存储数据周期无误性验证的通信资源,减少在线负担,云用户可以委托第三方审计者(TPA)来执行安全审计任务,因为他是经济并且可以自动运行的;但是,云用户同时希望对TPA保持数据的隐私性。为了方便区分,本文用σ(j)i表示用户Uj用自身的私钥对mi签名生成的数据验证标签。
2基本知识
2.1双线性映射
G1、G2、GT是阶为素数p的循环群,g1是群G1的生成元,g2是群G2的生成元。双线性映射e:G1×G2 GT,满足如下的性质:
1)双线性性。给定元素u∈G1,v∈G2,对任意a,b∈Zp有e(ua,vb)=e(u,v)ab。
2)非退化性。e(g1,g2)≠1。
3)可计算性。存在一个有效的算法,对任何可能的输入都能有效地进行计算e。
4)可交换性。e(u1?u2,v)=e(u1,v)?e(u2,v)。
2.2困难性假设
Computational DiffieHellman(CDH)假设群G是一个阶为素数p的循环群,g是群的生成元,给定两个随机元素ga,gb∈G,输出gab是困难的。
Discrete Logarithm (DL)假设群G是一个阶为素数p的循环群,g是群的生成元,给定一个随机元素gc∈G,输出c是困难的。
2.3重签名算法
为了实现前面基本模型中所描述的支持用户动态可撤销的这一功能,并能持续地保证云服务器上存储数据的完整性,基于文献[17]中的重签名算法,作出了进一步的改进。通过当前用户私钥结合已撤销用户公钥生成新的重签名密钥来保证即使云服务器与已撤销用户合谋也无法影响数据的安全性。新的重签名算法和步骤与文献[17]相似,其中最重要的签名步骤如下。
3支持用户可撤销的云存储数据公共审计方案
3.1Panda方案的问题
下面描述Panda中重签名方案实现签名转移的主体部分。
1)在签名算法Sign中,给定私钥skA=a,数据块m∈Zp身份id,用户uA输出基于数据块m的标签:σ=(H(id)ωm)a∈G1。
2)在修改密钥生成算法ReKey中,通过以下步骤生成一个重签名密钥rkA B:
a)生成一个随机的r∈Zp,并将它发送给用户uA;
b)用户uA计算并发送r/a给用户uB,其中skA=a;
c)用户uB计算并发rb/a给,其中skB=b;
d)恢复出重签名密钥rkA B=b/a∈Zp。
3)在重签名算法中,收到重签名密钥rkA B,后执行重名:
σ′=σrkA B=(H(id)ωm)a?b/a=(H(id)ωm)b。
4)在验证算法Verify中,用户uB通过验证公式:
e(σ′,g)=e(H(id)ωm,pkB)
对数据的完整性进行验证。
从上述过程中,清晰可见重签名密钥rkA B的生成,是基于用户uA与uB之间的私钥传递。虽然在这个过程中生成了一个密钥参数r∈Zp来对传递过程中的私钥进行保护,但是如果恶意云服务器()与已撤销用户uA合谋可以轻易计算出当前审计用户uB的私钥b,因此方案存在用户私钥泄露的风险。
3.2本文方案
在本节提出支持用户可撤销的云存储数据公共审计方案,该方案是基于2.3节的单向重签名技术构造的,如图1所示。方案中定义了一个半可信的第三方审计者(TPA),它将忠实地执行数据完整性的审计,由于它是好奇的,它可能会借助强大的计算设备从验证信息中通过解线性方程组恢复原始数据块信息,因此在方案中采用了随机掩饰码技术解决了这一问题。
4方案证明
4.1方案的正确性
4.2安全性分析
下面首先证明该方案能够抵抗恶意云服务器通过产生伪造的审计证明响应信息来欺骗TPA的审计验证过程。
定理1恶意的云服务器产生伪造的审计证明响应信息Proof来欺骗TPA的审计验证过程在计算上是不可行的。
证明假设存在恶意的云服务器(多项式时间敌手A)以不可忽略的概率ξ产生伪造的审计证明响应信息来欺骗TPA的审计验证过程。下面设置多项式时间算法(挑战者B)通过运行敌手A作为子程序也以不可忽略的概率ξ解决CDH困难性问题。算法B与对手A的信息交互如下。
私钥泄露问题根据上面定理1的证明过程,可以轻易发现即使云服务器与已撤销用户合谋,云服务器也不能够获取当前用户的私钥。这是因为方案中修改密钥的计算是当前用户利用自身的私钥通过对已撤销用户的公钥进行处理得到:ukj j+1=gxj/xj+1。如果云服务与已撤销用户想通过合谋获取当前用户私钥,就必须先以不可忽略的概率解决DL问题,再通过已撤销用户的私钥计算出当前用户私钥。而文献[16]中ukj j+1=xj+1/xj,如果云服务与已撤销用户合谋,那么云服务器很容易就能获取当前用户私钥。
在下面证明方案满足隐私保护性,即定理2。
定理2给定一个来自云服务器的审计证明响应信息Proof,对于好奇的TPA,它试图从中恢复用户数据文件,F={m1,m2,…,mn}中的数据块是不可行的。
证明组合信息μ′=∑i∈Qvimi是关于用户原始数据块的线性组合,一旦这个组合信息发送给TPA,这个好奇的TPA可以通过收集大量的组合信息,并借助强大的计算设备来求解这些线性方程组,从而恢复用户的原始数据块。为了防止TPA读取用户的原始数据块信息, μ′=∑i∈Qvimi需要使用随机掩饰码技术,具体如下:
云服务器利用伪随机函数f计算随机值r=fk3(challengeChallenge)∈Zp,并计算R=ur∈G,最后将μ′=∑i∈Qvimi盲化: μ=μ′+rh(R)∈Zp这样为了让TPA仍能解这些线性方程,TPA必须掌握这个随机值r,进而它必须掌握这个伪随机函数的秘密密钥,事实上,这个秘密密钥只有云服务器知道,因此TPA不可能知道这个随机值r,因此,对于好奇的TPA,它试图从审计证明响应信息恢复用户数据文件是不可行的。
5效率分析
在本章分析方案的通信和计算复杂度。需要注意的是与其他公共审计方案[9,12-13]一样,本文只计算频繁审计活动中通信和计算代价而不计算系统建立时的通信与计算代价。
用Pair表示双线性对操作,Exp表示G上的指数操作,MZ和MG分别表示Zp和G上的乘法操作。n、p、G分别表示{1,2,…,n}、Zp和G的比特长度。挑战中选取的数据块假定是个常量c,挑战中已撤换的用户数量总和也假设是个常量d。
1)通信开销。可以看到本文方案中通信负载主要取决于产生审计证明响应信息的通信过程。其中发送挑战Q={(i,vi)}到云服务器的通信量为c(n+p)。云服务器返回审计证明响应信息Vj=(μ,φ,{ε}∈[1, j],{γ}∈[1, j])的通信量为p+(2d+1)|G|,但是注意到只有在用户Uj发起的第一次审计请求中才需要这样的通信量,否则只需要传送通信量为p+|G|的(μ,φ)就行了,因此最终在一次审计过程中总共的通信开销为cn+(c+1)p+G。
2)计算开销。计算开销包括修改密钥生成、重签名和验证开销3部分,由于本方案支持第三方公开审计,所以只需要考虑修改密钥生成和验证开销两部分。对于用户Uj,在ReKeygen算法只需要计算gxj-1/xj,因此计算代价为Exp。根据上面提到的计算原则,并简化加操作和哈希操作后计算出验证开销为:
(c+1)MZ+MG+(c+3)Exp+2Pair
3)开销比较。如表1所示对比Wang等[16]方案,其通信开销为d?(p+G)+c?(id+n+p)必然大于本方案的cn+(c+1)p+G(两者相减后的值为(d-1)|G|+(d-1)|P|+c|id|,其中id为Panda方案中用户id的规模),其修改计算代价为nExp,比本文方案的计算代价Exp要高。验证开销为:
(c+2d)MZ+dMG+(c+d)Exp+(d+1)Pair,
亦明显高于本文的验证开销。
因此,效率分析表明本文方案在计算代价开销上要优于文献[16]方案。
审计服务方案范文3
关键词:审计;独立性;注册会计师
一、案例介绍:美国南方保健公司财务舞弊事件始末
1984年,斯克鲁西创建了南方保健公司。公司1986年完成新股发行并在纽约股票交易所上市,在斯克鲁西担任首席执行官期间发展迅速、疯狂并购,2002年已发展成为全美最大的私立保健医疗公司。2002年起,公司问题逐渐暴露,账目作假可追诉到1996年。2003年3月18日,南方保健的财务舞弊丑闻浮出水面,创下了上市公司财务舞弊涉案人员最多的纪录(11名高管人员涉案)。在《萨班斯法案》的震慑下,从舞弊丑闻曝光到提出,南方保健一案只经过了短短几个星期就渐趋明朗,SEC很快就对南方保健和斯克鲁西提起第一轮诉讼。15名高层主管陆续承认有罪,斯克鲁西被开除,公司濒临破产。
本案中,南方保健使用的最主要造假手段是通过“契约调整”(Contraetual Adiustment)这一收入备抵账户进行利润操纵。“契约调整”是营业收入的一个备抵账户,账户数字需要南方保健高管人员进行估计和判断,具有很大的不确定性。南方保健的高管人员恰恰利用这一特点,通过毫无根据地贷记“契约调整”账户,虚增收入,蓄意调节利润。而为了不使虚增的收入露出破绽,南方保健又专门设立了“AP汇总”这一科目以配合收入的调整,用以记录“契约调整”对应的资产增加额。
通过加大虚假收入的审计难度,利用过渡账户、虚增资产,将造假金额化整为零等手段,南方保健处心积虑、规避审计、以满足华尔街的盈利预期,1997至2002年,共虚构了24.69亿美元的利润,虚假利润相当于该期间实际利润(一1000万美元)的247倍。
这是萨班斯一奥克斯利法案颁布后,美国上市公司曝光的第一大舞弊案,倍受各界瞩目。为其财务报表进行审计、并连续多年签发“干净”审计报告的安永会计师事务所,也将自己置于风口浪尖上。
二、案例述评:从审计独立性解读南方保健审计失败案例
(一)审计独立性
独立性就是注册会计师执行审计或其他鉴定业务,应当保持形式上和实质上的独立。形式上的独立性,是指注册会计师与被审查企业或个人没有任何特殊的利益关系,否则,就会影响注册会计师公正的执行业务。实质上的独立性,也称精神上的独立,是指注册会计师在执行审计或其他鉴证业务时,应当不受个人或外界因素的约束、影响和干扰,保持客观且无私的精神态度。因此,注册会计师应在实质上和形式上没有任何被认为有影响独立、客观、公正的利益。
(二)安永审计独立性的缺失
独立性是确保审计质量的关键所在,然而独立性经常受到“逐利性”的威胁和瓦解。直到南方保健解雇安永时,南方保健一直是安永伯明翰办事处的最大客户,合作期间,二者更是一直存在着及其暧昧的关系。
1 高额的审计费用与不合理的审计服务结构
南方保健向SEC提交的“征集投票权声明”(Proxy Statement)显示,2000年和2001年,南方保健向安永支付的费用分别为368万美元和367万美元。并且,2001年安永向南方保健收取的370万美元的服务费中,250万美元的咨询服务等非审计服务费远远超过了120万美元的财务报表审计费。这些数据均显示出安永的非审计服务费远远超过了审计服务费。按杜兴强(2004)观点:残酷的现实揭示,一旦注册会计师热衷于提供非审计服务,则其利益将很可能与企业管理当局的利益捆绑在一起,由此极有可能导致独立性丧失。
2 耐人寻味的“洁净审计”项目
“洁净审计”,是指南方保健聘请安永对其医疗场所及设施的卫生保洁情况(如卫生间、接待室是否有污迹、灰尘和垃圾等)进行一年一度的检查。资料显示,2000年度和2001年度的“审计相关费用”合计数497万美元中包含了260万美元的“洁净审计”(Pristine Audit)费用,比审计费用合计数219万美元还多41万美元。
卫生检查本来与报表审计毫无关系,但南方保健美其名为“洁净审计”,并按照安永的建议将其披露为“审计相关费用”,严重误导了投资者。据介绍“洁净审计”的主意正是出自斯克鲁西,此举又可暗示着南方保健有向安永“购买审计意见”之嫌,因为卫生保洁检查显然是一种无风险高回报的业务。安永每年只需派20多个最初级的审计人员对南方保健1800多个场所的卫生保洁情况进行一次突击检查,就可收取比报表审计更高的费用。接受如此慷慨的“业务馈赠”,是否有损于安永的独立性,正引起多方的高度关注。
3 安永对南方保健的处处“迁就”
正如前文提到,安永在南方保健执行审计时,竟然屈从于南方保健作出的“注册会计师需要的资料只能向客户指定的两名人员(现已认罪)索要”的这种不合理限制。
另外,在2000年度的审计中,安永就曾质疑南方保健某家门诊机构固定资产的增加缺乏足够的凭证支持。为此,南方保健的会计人员当即在电脑上篡改了固定资产的采购发票为自己圆谎。更恶劣的是,当安永向南方保健索要固定资产的明细分类账时,南方保健的会计人员居然迅速炮制了一本分类账,将所有由“AP汇总”捏造出的“新增固定资产”在这本分类账中逐一补上。
4 审计单位与被审计单位的人事联系
据悉,南方保健的前任CFO,也是主要涉案人之一的WestonL.Smith曾是安永旗下的一名注册会计师,并参与过对南方保健的审计业务。而且,南方保健的会计人员中也不乏曾在安永执业的注册会计师。如此以来,可以说南方保健在一定程度上是谙熟安永的审计流程的,结合会计人员长年对注册会计师们的观察和与他们博弈的经验,别有用心的舞弊分子不难了解安永在各个科目上所能容忍的最大误差,甚至可以知晓安永习惯的抽样起点金额,从而成功规避安永的审计。
三、案例总结
通过分析可以看出:被视为注册会计师的灵魂的“独立性”,在保证执业公平客观上有着非常重要的作用。失去独立性,注册会计师所提供的审计鉴证服务就会误导投资者,造成决策失误,同时也削弱了公司治理的功效。本文认为可以从以下几方面着手,以提高注册会计师的审计独立性。
(一)宏观层面,相关监管部门应当:
1 完善落实审计轮换制
2 规范注册会计师行业的咨询服务业务
3 建立健全相关法律法规制度,规范注册会计师服务市场
(二)微观层面,上市公司及事务所应当:
审计服务方案范文4
1.年度报告必须包括内部控制报告。内部控制报告必须说明管理层有责任建立和维护足够的关于财务报告的控制框架和程序,必须包括一份管理层对本公司本财年期末财务报告内部控制框架和程序有效性的评价。
2.审计师除了财务报告审计外,还必须对管理层的内部控制评价进行鉴证‘(Attestation)并出具报告。鉴证必须遵循PCAOB制订或采纳的标准进行。
法案还有很多其他条款涉及审计师、律师、证券分析师、经理和董事的责任,涉及面极为广泛。但由于只有404条款要求由审计师进行鉴证(审计),在实践中上市公司和审计师主要关注404条款,以至于不少人认为对萨班斯法案的遵循等同于对404条款的遵循,而这很容易导致无意中违反萨班斯法案的其他责任条款。这些404条款之外的责任条款,必须引起有关各方的高度关注。最近,在纳斯达克上市的大连绿潇国际(RINO International)因涉嫌造假账,在美国资本市场造成了很大影响。据英国金融时报报道,绿诺公司股价在5个交易日内下跌72%,目前至少有9家美国律师事务所正准备对该公司发起集体诉讼。绿诺事件不仅导致其自身股价暴跌,而且引起了美国资本市场对中国题材上市公司的质疑,给其他中国在美上市公司的股价带来负面影响。值得注意的是,绿诺国际并未经过404条款审计。
一、302条款
对于按照1934证券交易法规定必须定期报告的公司,报告必须经过首席执行官和首席财务官(或相应职务的官员)批准后,方可。
1.签字的公司官员(指CEO和CFO,下同)必须已经审阅了该报告。
2.根据签字官员的了解,该报告没有包括任何重大不实内容,没有忽略任何重大事实,不会导致报告使用者误解。
3.基于签字官员的了解,报告中的财务报表和其他财务信息,在所有重要方面,公允地反映了公司在报告期的财务状况和经营成果。
4.签字官员有责任建立和维护内部控制。公司已经设计了内部控制,确保签字执行官知悉上市公司及其合并报表子公司的所有重要信息,尤其是报告期的信息。在报告前的90天内,签字官员对公司内部控制的有效性进行了评估,并且在报告中表明了自己对公司这一时期内部控制有效性的评估结论。
5.签字执行官已经向审计师和审计委员会披露了所有重要的内控设计缺陷和执行缺陷(这些缺陷将影响公司记录、处理、汇总和报告财务数据的能力),并且告知审计师所有内部控制实质性漏洞。任何舞弊,只要涉及管理层或其他有重要内部控制角色的人员,不管是否重大,均已经告知审计师和审计委员会。
6.签字执行官应在报告中说明,他们完成评估后,内部控制和其他有可能对内部控制有影响的因素是否有重要变化,包括任何关于重大缺陷和实质性漏洞的修补行动。
7.解散本公司并在国外重新注册,或者将公司注册地转移到美国之外,都不能减轻执行302条款的责任。
二、906条款
1.上报SEC的每份含有财务报表的定期报告,必须附带一份CEO和CFO的书面声明。这份声明中要批准年度报告,确证其遵循了萨班斯法案和1934证券交易法的要求,其包含的信息在所有重大方面,公允地反映了公司的财务状况和经营成果。
2.上述批准财务报告的人员,如果知道报告中有不实内容,将被处以100万美元以内罚款或10年以内监禁,或二罚并处。明知上述财务报告有不实内容,却故意批准,将被处以500万美元以内,或者20年之内的监禁,或二罚并处。
三、关于审计工作底稿的要求
法案规定,故意遗失或损毁审计和审阅工作底稿,将构成联邦刑事犯罪。
1.底稿保存年限要求达到至少5年(在一些情况下要达到至少7年)。
2.毁坏或者伪造记录妨碍调查的行为,将构成刑事犯罪。
3.对于上述行为可以处以罚款或二十年以内的监禁,或者罚款与监禁并处。
4.以上规定适用于上市公司的审计师。现在也适用于其他相关人员,如律师、咨询师和公司员工。
5.法案要求SEC不断新的规定,并且定期更新关于底稿保存和其他与审计和审阅相关记录的规定。
四、关于PCAOB的规定
萨班斯法案创建了上市公司会计监督委员会(public company accounting oversight board,简称PCAOB)。PCAOB是非盈利公司,不是联邦政府机构。违反PCAOB的规定,等于违反了1934年证券交易法,将受到该法规定的处罚。PCAOB成员不准收取注册会计师事务所的经济利益。PCAOB包括5位成员,其中两名成员必须是或者曾经是美国注册会计师(AICPA);其中三名成员不准是也不准曾经是美国注册会计师(AICPA)。PCAOB只负责监管向上市公司提供服务的审计师,不负责监管非上市公司的审计师。其主要职责包括:
1.会计师事务所必须经PCAOB注册后,方能从事上市公司审计。PCAOB负责对注册的会计师事务所进行监管和调查。这取代了原来会计师事务所之间的互查(peerreview)。
2.制订上市公司审计、质量控制、独立性以及审计报告方面的标准。
3.可以采用原有职业团体的标准,也可以采用新的职业团体的标准。
4.注册会计师事务所必须由第二名合伙人(指本审计项目主管合伙人之外的其他合伙人),审阅并批准每一份审计报告。注册会计师事务所必须审计上市公司内部控制结构,并描述内部控制实质性漏洞。
5.PCAOB也可以对向上市公司提供非审计服务的会计师事务所进行监管。
6.负责推动各方对会计和审计相关职业标准、证券法规的遵从,负责对注册的会计师事务所进行调查和纪律检查。PCAOB可以采取其他必要措施,以促进更高的职业标准以提高审计质量。
五、关于审计师禁止提供的服务
萨班斯法案列出了若干条特别的服务种类,即便是经过了审计委员会的批准,上市公司的审计师也不能够为该上市公司提供这些服务:
1.记账或者其他涉及财务报表或会计记录的服务;
2.财务会计信息系统设计和实施;
3.估价服务;
4.内部审计外包服务;
5.管理职能;
6.精算服务;
7.投资、经纪或交易服务;
8.一些特定的税务服务,例如有可能滥用避税工具的税务筹划服务;
9.以上情况,确需提供服务的,必须由PCAOB一事一议、单独审批后方能进行。
需要说明的是,法案并未限制会计师事
务所向非审计客户或者非上市公司提供以上服务。对于那些法案没有明令禁止的服务,则允许注册会计师事务所提供。
六、关于公司道德准则
上市公司必须披露其是否制订或采纳了公司重要人员道德准则,重要人员包括主要执行官(主要指CEO)、主要会计负责人(CFO)以及总会计师。公司可以为不同的管理人员制订不同的道德准则,也可以为所有经理人员和董事制订通用的道德准则。公司可以没有道德准则,但如果没有道德准则,公司就必须披露没有道德准则的原因。
七、关于审计委员会
1.任何上市公司,如果它的审计委员会达不到审计师任命、监督和薪酬方面的规定,SEC将命令纽约证券交易所(NYSE)和NASDAQ禁止该公司上市交易。只有独立董事才可以成为审计委员会成员。审计委员会成员必须是“财务会计专家”(financialexperts)。
2.审计师向审计委员会报告。审计师向上市公司提供的重要服务,必须经过上市公司审计委员会批准,并且服务收费必须向投资者公开。
3.审计师必须向审计委员会报告公司“重要会计政策”。
4.法案增加了对于举报者的保护,以免其因为参与证明证券舞弊行为而遭受报复。支持员工通过匿名或其他保密的形式,直接向审计委员会报告证券舞弊行为。
八、关于律师
向上市公司提供法律服务的律师,必须报告公司及其经理、董事或者人员违反证券法规或者职责的行为。
1.必须向首席法律官或者CEO报告。
2.如果首席法律官或者CEO没有适当的反应,就必须升级向审计委员会报告,或者向其他由独立董事组成的委员会报告,最终向董事会报告。
九、其他相关条款
1.公司管理人员如涉及证券舞弊行为,则不能应用破产法免除责任。公司可以宣告破产,但该管理人员的责任不能免除。
2.更多的事项必须在8-K报表中报告,一些事项的报告时间缩短为事件发生后4个工作日内必须上报。如果上市公司产生了直接的或者可能产生间接的表外重大负债,它必须描述这项负债,包括其重要条款和相应安排。
3.如果一名董事因为不同意公司的做法、运营和政策而辞职或不愿重新被选为董事,或者董事因故被辞退,则公司必须披露董事与公司意见不同的背景。
4.如果任命了新的执行官,公司必须披露其相应信息,包括其名字、职位以及该执行官与公司签订雇用协议的所有重要条款。
5.一个审计项目的主管合伙人以及审阅合伙人,最多只能为该上市公司提供连续5年的审计服务。
6.如果上市公司聘用其审计师的人员做CEO、CFO或cAO,那么一年内该会计师事务所不能审计该上市公司。
7.法案要求增加表外交易的披露力度。
8.法案要求pro forma财务报告与遵照正常GAAP编制的财务报告之间进行对比核对,必须披露pro forma财务报告和GAAP财务报告之间的不同。
9.除个别特殊情况外,上市公司不能向经理和董事提供个人贷款,也不能修改已有贷款的贷款条件。
10.上市公司报送SEC的年度报告,应该是已经更正了审计师指出的所有需更正事项后的报告。
11.禁止误导或利用欺诈手段操纵或影响审计师。
12.规定了证券分析师新的利益冲突行为。
13.为上市公司设定了静默期,在静默期内,公司不得进行某些类型的证券交易,以限制公司向个人账户(如养老金账户)购买、出售或转移基金。
审计服务方案范文5
一、法务工作开展情况
为进一步提升法制建设水平,有效规避企业经营风险,确保法务工作更好的服务高速公路运营管理,维护公司合法权益,结合分公司实际,2018年我分公司重点做了以下工作:
(一)强化组织,完善制度,筑牢法务工作基础
强化分公司法务工作的组织领导,及时调整调整法务工作领导小组,配备兼职法务管理人员,调整各部室单位设法务工作联络员形成法务工作上下联动,统分结合的法务工作管理模式。同时根据集团公司相关办法要求,完善分公司《集团有限公司菏泽分公司法务工作管理办法实施细则》、《合同管理办法实施细则》、《法律纠纷管理办法实施细则》等规范性文件,对法务具体工作实施进一步规范,确保法务管理的每个环节有效落实。
(二)“五位一体”,规范管理,提升合同管理水平
积极推进法律管理法律经营管理的深入融合,将法律审核有效嵌入到管理流程,加强合同管理,采取“五位一体”管理模式,从起草、审核、签订、履行、合同纠纷处理以及保管、归档精细化管理。一是起草审查到位。合同起草争取我方起草,尽量避免使用对方格式合同,分公司兼职法务人员、分公司法律顾问提前介入合同向对方资格审查、合同拟定、合同谈判等工作;二是合同审核到位。严把合同审核程序,明确合同资金归属,对数额较大,劳动用工、涉及事项敏感事项须经分公司法律顾问审核,方可通过OA线上审批程序进行流转审核。三是签订审查到位。合同签订前,经兼职法务人员审查合同签订程序,核查合同审批内容,对方签字盖章情况后,由单位主要负责人签字,财务审计部加盖合同专用章;四是合同履行到位。积极发挥督导指挥棒作用,合同履行由承办部室、单位合同管理人员全程监督,适时督导,及时反馈合同履行进度,截止目前,大部分合同已经履行完毕,没有出现因合同签订、履行产生的纠纷。五是合同保管、归档及时到位。合同归档统一编号,台账记录内容全面,记录及时,既保证合同管理使用,也能保障财务审计查询利用。
经统计,**分公司全年共审核、修订合同**份,合同成功签订有登记的合同**份,其中超过100万的重大合同*份,正在办理中合同*份,审批完成后由于无法签订作废合同6份,审核后由于各种原因未能进行审批的合同*份,*份重大合同均通过集团公司重大合同审批程序进行审批,各类合同审核率100%,不存在无合同从事相关活动的行为。
(三)主动应对,提前预防,提高风险防控能力。
2018年全年涉诉案件*件,涉案金额*元,所有案件均经过集团审批备案,合同备案审批率100%。2018年全年涉诉案件*件,由集团公司建议交由我分公司牵头主办的重大案件*件,调解结案1件(历史性欠款餐饮服务纠纷),撤诉*件(一件历史性欠款纠纷我方主动归还而撤案,一件因主体不适格被告而撤案.一件行政诉讼案件撤诉),在审案件8件(路损赔偿案件*件,财产损失赔偿案件*件,原管理处非公路标志标牌合同纠纷1件)。合同备案审批率100%。案件处理过程中,我们严格执行集团公司相关规定,庭前积极和对方当事人沟通,在合法、合规、维护分公司利益的前提下,争取协商解决,协商不成的,选票律师办理相关授权委托,与相关部室、单位共同听取律师报告,对律师工作进行监督;在庭审中,组织分公司法律顾问及相关人员参与庭审,记录庭审要点;庭审结束后分析案情,总结经验教训,并传达至相关工作人员,提示具体工作中可能出现的风险点,降低类似案件发生。对未形成诉讼、仲裁的法律纠纷,分公司以法律为依据,以维护分公司利益为前提,争取协商解决。
(四)全员参与,多措并举,提升全员法律意识
全年共组织各种法治宣传活动4次,发放出单6万余张,悬挂条幅20余条,电子屏滚动10余条,制作宣传展板10余块。组织全员奥多比等软件排查2次,组织网上法律知识竞赛活动2次,人员参与率均在80%以上。同时把法律宣传教育与日常管理、齐鲁大讲堂、志愿者服务、各项知识竞赛相结合,组织开展合同法、宪法、信访管理相关法律法规、税法及会计知识培训等,受教育人数达2000余人次。经全员参与,采取多种形式,多种措施的法治宣传教育活动,分公司人员法律意识得到显著提升。
(五)主动服务,积极参与,减少诉讼风险发生
紧紧围绕分公司中心工作,主动服务,积极参与,使法律服务,法律管理关口前移。一是协助人力资源部,进一步规范劳动用工,与各单位临时性用工签订《劳务服务承揽协议》;二是审查回复菏泽市信访局信访件1件,集团公司转省交通厅信访件3件;三是积极服务原日东高速公路菏泽管理处历史性欠款解决问题四是接受各部室、单位、职工法律咨询二十余次。有效减少诉讼风险的发生。
审计服务方案范文6
该法案的背景是当下美国公司愈演愈烈的财务欺诈案的曝光。以安然、世界通信为代表的美国大公司的轰然坍塌,投资者损失惨重。而安达信会计师行销毁审计证据、最终因定罪为“妨碍司法”而解体的一幕更令公众对资本市场的信心严重受挫。一度被视为美国经济骄子的大公司管理层、负责公司财务报表的会计师、华尔街投资银行以及承担证券市场监管之职的美国证券交易委员会(sec)都受到广泛而强烈的批评。美国上下要求加强会计监管、严厉打击公司财务造假的呼声日益高涨。2002年1月,美国证券交易委员会发表了题为“会计职业的监管”的政策声明,提出建立一个新的、由社会公众代表成员主导的监管框架,其核心是一个“强有力的、理性的、完全透明的惩罚机制”。国会两党也表现出前所未有的迅捷反应和灵活性。2002年4月24日,众议院通过了共和党人奥克斯利提交的《2002公司与审计的责任、义务和透明度法案》,提出了设立公众公司会计监督委员会、限制部分非审计业务等改革措施。然而,民主党人认为其改革措施过于温和,于7月15日在参议院通过了萨贝恩斯议员提交的《2002公众公司会计改革与投资者保护法案》,大幅度提高公司欺诈的刑事责任。尽管两个法案对会计职业以及公司财务报告体制的改革力度相去甚远,但是,面对着强大的公众压力,短短半个月内双方的分歧迅速得到调和,最终形成了以民主党人的激进改革法案为主体的《索克斯法案》。7月25日,众议院和参议院先后表决通过该法案,由布什总统签署。
《索克斯法案》的改革措施涉及公司财务报告与审计体制的各个方面,其中最引人注目的是对会计职业监管框架的重构。公司财务报表的审计提供了一个有效率的资本市场所必不可少的信息基础,而审计是在特定的监管框架下运作的。会计职业、公司管理层、证券市场监管机关都与这个框架发生不同程度的互动。《索克斯法案》旨在恢复投资人对美国资本市场的信心,改造审计活动的运作方式自然是重中之重。
一、重新构造会计职业监管体制
传统上,美国会计职业实行行业自律的监管模式,美国注册会计师协会(aicpa)负责对成员会计师进行监管。上个世纪70年代中期,美国爆发了大陆售货公司案等一系列公司破产与欺诈丑闻,激起公众的强烈不满。国会成立melcafe委员会,打算对会计职业实行政府监管。aicpa遂发起成立了有非会计专业人士参与的“公共监督委员会”(public oversight board,pob),同时在aicpa内部设立了专门的“公众公司审计部”,对那些承担公众公司审计业务的会计师及会计师事务所进行检查监督。这种改良的自律管理模式令国会打消了插手会计职业的念头。
然而,实践表明,这种自律性的监管最终陷于监管者为被监管者“俘获”的困境,不可能督促会计职业有效地承担对社会公众的责任。安然事件爆发后,面对着来自社会各方的改革压力,运作了近30年之久的pob黯然宣布解散。依据《索克斯法案》,美国将成立一个中立的“公众公司会计监管委员会” (public company accounting oversight board)对会计职业进行监管,检查、调查和处罚执行公众公司审计的会计师事务所及相应注册会计师。这是美国会计职业监管体制最具历史性的重大改革,标志着美国注册会计师结束了100余年的行业自律为主的监管体制,步入到了政府监督下的独立监管为主的时代。
为了保持“公众公司会计监管委员会”的独立运作,防止监管者为被监管者所“俘获”,《索克斯法案》采取了一系列措施:
1、组成与任命
公众公司会计监管委员会由5名专职委员组成,他们应当熟悉财务知识。其中,3名必须是代表公众利益的非会计界人士,另外2名委员可以是或曾经是注册会计师,但不得在会计师事务所分享利润或领取报酬。
委员人选由sec经与美国财政部长和联邦储备委员会主席商议后任命,任期5年。
2、资金来源
传统行业自律体制下,pob遭遇的困境是aicpa或者大会计师行以削减经费作为威胁,制约pob的监督。《索克斯法案》把会计职业提供经费支持转化成一种强制性的义务。它规定公众公司会计监管委员会有权自主制定预算和进行人员管理,所有对公众公司提供审计服务的会计师事务所必须向公众公司会计监管委员会注册登记,并交纳“注册费”和“年费”,以满足该委员会的经费需要。
3、权力
公众公司会计监管委员会有权制定或审批审计准则,进行执业检查,并对违反该法案、相关证券法规以及专业准则的会计师事务所和个人进行调查、处罚和制裁。对公众公司审计客户超过100户以上的会计师事务所每年都要进行质量检查,其它事务所每3年检查一次。同时,该委员会和sec任何时候都可以对会计师事务所进行特别检查。
公众公司会计监管委员会的活动受sec的监督。sec负责检查其工作,包括变动或废除其职权。对于该委员会作出的处罚决定,sec可以加重、减轻或取消。
公众公司会计监管委员会的管辖范围很广,覆盖对美国公司进行审计服务的所有会计师事务所,包括审计美国公司的国外子公司的外国会计师事务所。这些外国会计师事务所也必须向公众公司会计监督委员会登记,并配合公众公司会计监管委员会的调查。
二、增强注册会计师的独立性
独立性被认为会计职业安身立命的基石。安然事件后,会计师因提供非审计服务而丧失独立性的问题再度成为人们关注的焦点。的确,面对着2700万美元,比一年的审计费收入还要高200万美元的管理咨询费收入,安达信即使发现客户的财务数据有问题,似乎也不太容易挺起腰杆来对公司管理层说“不”。更何况,如果那些掩盖了巨额利润的表外合伙的设立与维系也有安达信咨询业务的功劳的话,更难以指望进行审计的会计师会坚持要求安然充分披露这些信息。
《索克斯法案》突破了过去几年间sec与会计职业在会计执业方式问题上陷入的僵局,确立了以下几项规则以增强会计师的独立性:
1、禁止可能引起利益冲突的非审计业务
《索克斯法案》明文禁止会计师行提供9项与商业咨询有关的服务。如果某一项非审计服务不在该明确禁止的清单范围内,相关的服务合约必须经过公司审计委员会的事先批准。被禁止的非审计服务包括:
(1)簿记服务以及为审计客户提供的与会计记录或财务报表相关的其它服务697;
(2)财务信息系统设计与实施;
(3)评估或估价服务;
(4)精算服务;
(5)内部审计外包服务;
(6)管理职能或人力资源服务;
(7)经纪人、投资顾问或投资银行服务;
(8)法律服务以及与审计无关的专家服务;
(9)公众公司会计监管委员会根据有关规则认为不可提供的其它服务。
对于会计师传统上承担的税务咨询业务以及金额较小,不至于影响独立性的管理咨询业务,《索克斯法案》给予了例外对待。不过,目前人们对此依然有较大争议,很难说是否会在不久的将来进一步缩小会计师的业务范围。
2、审计轮换制
审计合伙人和复核合伙人每5年必须轮换,并且要求注册会计师向公司审计委员会报告工作。
3、人事关系冷却期
如果公司首席执行官、财务总监、首席会计官等高级管理者在前一年内曾在会计师事务所任职,该事务所则被禁止为这家公司提供法定审计服务。
上述规则将给会计师事务所的生存方式和竞争格局带来深远的影响。考虑到会计职业组织规模不一,中小事务所应对变化的能力参差不齐,《索克斯法案》责成各州监管机构自行决定相关标准是否适用于未在公众公司会计监管委员会登记的中小事务所,同时要求美国审计总署加强对会计师事务所强制轮换制度等的调查研究。
三、加大公司对财务事项的管理责任
编制并公布财务报告长期以来就是公司管理层的法定义务,但是相关的法律责任并不明确。当公司财务报表出问题时,公司管理层与进行审计的会计师往往互相推卸责任。《索克斯法案》创设了公司高级管理人员个人对财务报告的保证义务,从而理顺了财务会计事项上公司、管理层与会计师三者之间的权利义务关系。
1、高级管理人员的保证责任
公司首席执行官和财务总监必须对呈报给sec的财务报告“完全符合证券交易法,以及在所有重大方面公允地反映了财务状况和经营成果”予以保证。若违反此项规定,可被处以50万美元以下的罚款,或判处入狱5年。此外,如果发行证券公司因不当行为引起原始材料与证券法不符而被要求重编财务报表,公司首席执行官与首席财务官将被没收奖金、红利或其他奖金性或权益性酬金。
2、公司审计委员会的责任
公司的审计委员会负责选择和监督会计师事务所,并决定会计师事务所的付费标准。
3、公司的信息披露义务
及时而充分的信息披露是美国证券监管的基本思路。《索克斯法案》进一步强调公众公司的实时披露义务,特别是及时披露导致公司经营和财务状况发生重大变化的信息。同时,公司财务报告必须反映会计师事务所做出的所有重大调整,年报和季报都要披露所有的重大表外交易,以及对现在或将来财务状况具有重大影响的与未合并实体的其它关系。
四、强化sec对公司会计事务的管理权限
安然事件暴露出美国一般公认会计准则(gaap)缺乏应对迅速变化的商业环境和金融创新的能力,也引起各界对sec在其中所扮演的消极角色的不满。美国1934年《证券交易法》赋予了sec制定会计准则的权利。但在实践中,sec只针对其监管的公众公司的信息披露进行监管和规范,与生成、编报财务报表有关的会计准则的制订工作早在1937年就转授给会计职业界——美国会计师协会。1971年后,会计准则制订权被移交给相对独立的、但主要由会计专业人士组成的民间准则制订机构——财务会计准则委员会,sec仅对这些会计准则保留最终的否决权。财务会计准则委员会对于表外项目、资产证券化、spe、经营者期权等交易的会计处理反应迟缓,过于屈从大公司以及大会计师行的意愿,被认为是当前美国公司财务操纵普遍化的一个直接原因。
《索克斯法案》尚无意彻底推翻目前的会计准则制订权格局,但要求sec在会计准则的制订过程中发挥更大的影响。
1、更积极地行使会计准则制订权
sec应当对会计准则制定机构制定的会计原则是否达到“一般公认”的目的进行认定。“一般公认”不应仅仅反映商业界对相关会计事项的看法,而应考虑更大范围的代表性。这就要求对会计准则制定机构本身进行一定的改造,在组成、结构、工作程序等方面满足《索克斯法案》的如下要求:(1)必须是民间机构;(2)由某个理事会(或类似机构)管理,该理事会多数成员在过去两年内未在任何会计师事务所任职;(3)经费获取方式与公众公司会计监督委员会相类似;(4)通过多数票的方式确保会计原则及时反映新的会计问题和商业实务;(5)制定准则时考虑准则适应商业环境的流动性,以及高质量会计准则国际趋同的必要性或适当性。
上述最后一项要求,在一定程度上消除了国际会计准则一体化的最大障碍。sec长期以来认为美国gaap比其他国家先进,拒绝接受以欧洲国家为主体拟订的国际会计准则。然而,美国gaap素有“重规则(rule)而轻原则(principle)”之称,容易被大公司所规避。美国大公司的一系列财务丑闻的爆发也使美国人意识到自身规则的局限。为此,《索克斯法案》要求sec就美国财务报告系统如何采用以“原则”为基础的会计准则问题进行研究,并要在一年内向国会提交研究报告。
2、进一步完善会计信息披露规则
《索克斯法案》要求sec应尽快采取如下措施:(1)制订规则,披露对公司财务状况具有重大影响的所有重要的表外交易和关系,且不以误导方式编制模拟财务信息;(2)负责对特殊目的实体等表外交易的披露进行研究,提出建议并向国会报告;(3)强制要求公众公司年度报告中应包含内部控制报告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴证报告;(4)强制要求公司审计委员会至少应有一名财务专家,并且做出披露。
