中國上市公司遵循SOX404條款的影響和應對方法

【摘要】隨著(zhù)我國經(jīng)濟的高速發(fā)展，越來(lái)越多的國內企業(yè)在規模上達到了世界一流水平，而管理水平、綜合素質(zhì)也有了長(cháng)足的進(jìn)步。企業(yè)擴張的需求促使他們到美國股市尋求海外融資，然而問(wèn)題也應運而生。
2001 年安然、世通等財務(wù)欺詐丑聞造就了《薩班斯-奧克斯利法案》的誕生，其中最為嚴厲、最富有爭議的條款是旨在加強上市公司內控制度并保證財務(wù)報告可靠性的 404條款。按照SEC的規定，在美國上市的非本土公司須和本土公司一樣遵循SOX404，我國內地和香港現共有近百家公司在美國融資上市，SOX404 的合規是它們不得不面對的挑戰。
中國公司內部控制薄弱，精細化管理和流程管理都不完善，在實(shí)際操作中遇到了眾多問(wèn)題。本文旨在分析中國赴美上市企業(yè)遵循SOX404的機遇和挑戰，并試圖在結合中國現狀的基礎上借鑒其他國家的經(jīng)驗，提出應對方法，從而為中國公司更好地順應這一變化提供幫助。

關(guān)鍵字：薩班斯法案，404條款，內部控制，結構性方法

Abstract
With rapid development of Chinese economy, more and more Chinese corporations have reached world-class in scale. Taken into consideration of broadened sight and better management, Chinese corporations are becoming more competitive. Out of the growing needs in expansion, many of them started financing by listed in US stock market. Then came the problem.
After financial frauds arose in Enron, Worldcom and other companies, US government issued Sarbanes-Oxley Act of 2002. Section 404 of the act which extremely emphasizes on effectiveness of internal control in order to guarantee the reliability of financial report is the harshest and most controversial part. According to SEC regulations, all non-American issuers are liable to comply with SOX404. In regard of this, SOX404 is a great challenge that the Chinese corporations listed in US stock market have to confront.
Chinese corporations are still weak in internal control, refined management and activity process management. Undoubtedly many of them have some problems in complying with such a harsh regulation as SOX404. The dissertation aims at digging out the obstacles that most Chinese corporations applicable to SOX404 have to face and tries to give some suggestions basing on their current status and overseas experiences. The conclusion is helpful for Chinese corporations to better comply with SOX404.

Key words: Sarbanes-Oxley Act, SOX404, internal control, structured approach

目錄
一、序言••••••••••••••••••••••••••••••••••••••••••••••••••1
（一）研究目的和意義••••••••••••••••••••••••••••••••••••••1
（二）研究思路和內容••••••••••••••••••••••••••••••••••••••1
二、文獻綜述••••••••••••••••••••••••••••••••••••••••••••••1
三、薩班斯法案404條款的相關(guān)規定和社會(huì )影響••••••••••••••••2
（一）薩班斯法案404條款的相關(guān)規定••••••••••••••••••••••••2
（二）薩班斯法案404條款的社會(huì )影響••••••••••••••••••••••••3
四、中國企業(yè)遵循薩班斯法案404條款：機遇與挑戰••••••••••••4
（一）機遇方面••••••••••••••••••••••••••••••••••••••••••••4
（二）挑戰方面••••••••••••••••••••••••••••••••••••••••••••6
五、中國企業(yè)如何遵循SOX404：結構化方法••••••••••••••••••8
（一）選擇合適的內控框架••••••••••••••••••••••••••••••••••8
（二）識別關(guān)鍵控制••••••••••••••••••••••••••••••••••••••••9
（三）形成文檔記錄•••••••••••••••••••••••••••••••••••••••10
（四）測試和評價(jià)公司層面的控制•••••••••••••••••••••••••••11
（五）測試和評價(jià)流層層面的控制•••••••••••••••••••••••••••12
五、中國網(wǎng)通對結構化方法的運用•••••••••••••••••••••••••••13
資料來(lái)源和參考文獻•••••••••••••••••••••••••••••••••••••••14

一、 序言

（一） 研究目的和意義
2001年底，美國最大的能源交易商——安然公司財務(wù)造假案爆發(fā)并申請破產(chǎn)，震驚世界。其外部審計師——原五大會(huì )計師事務(wù)所之一的安達信會(huì )計師事務(wù)所也因審計失敗和妨礙司法遭到倒閉的命運。事件的硝煙還未散盡之時(shí)，又接連爆發(fā)了施樂(lè )、世通等大公司的財務(wù)造假案。全球互聯(lián)網(wǎng)泡沫破滅的影響加上這一系列的財務(wù)丑聞產(chǎn)生了多米諾骨牌效應，一時(shí)引發(fā)人們對美國資本市場(chǎng)的信任危機。于是，在各方的敦促之下，美國國會(huì )參眾兩院加快了立法進(jìn)程，力圖彌補美國資本市場(chǎng)存在的制度性缺陷。2002年7月25日，美國國會(huì )討論通過(guò)了《2002年公眾公司會(huì )計改革和投資者保護法案》，即《2002年薩班斯—奧克斯利法案》（簡(jiǎn)稱(chēng)薩班斯法案），2002年7月30日經(jīng)美國總統布什簽署，正式生效。
薩班斯法案最嚴歷、最復雜、最富有爭議的部分當屬404條款。根據404條款的規定，公司管理層應當承擔設立和維持一個(gè)應有的內部控制結構的職責，上市公司必須在年報中提供內部控制報告，而負責公司年度報表審計的會(huì )計師事務(wù)所應該就此出具內部控制評價(jià)報告。不難看出，404條款的目的就在于從源頭上把關(guān)，提高公司財務(wù)信息的可靠性。
近年來(lái)，越來(lái)越多的中國企業(yè)在規模上達到了世界一流水平�；�于中國這一高速發(fā)展中的巨大市場(chǎng)，許多電信、能源、互聯(lián)網(wǎng)企業(yè)迅速的成長(cháng)著(zhù)。擴張的需求促使它們積極尋求海外融資，而它們中的許多選擇了全球最大最成熟的資本市場(chǎng)——美國股市。由于薩班斯法案并沒(méi)有豁免實(shí)施的規定，這意味著(zhù)在美國上市的非本土公司必須和本土公司一樣遵循薩班斯法案。對于眾多已經(jīng)和即將準備在美國上市的中國企業(yè)來(lái)說(shuō)，薩班斯法案的合規是它們不得不面對的挑戰。而最大的挑戰來(lái)自于404條款。之所以稱(chēng)之為挑戰，一方面是因為該條款近乎嚴苛的規定，而另一方面則是中國企業(yè)在內控方面的先天不足。本文寫(xiě)作的目的就在于為中國企業(yè)應對404條款的考驗提供一般性的方法建議。

（二） 研究思路和內容
本文試圖采用定性的方法，研究中國企業(yè)遵循薩班斯法案404條款的問(wèn)題。首先總結404條款的相關(guān)規定，之后分析中國企業(yè)執行404條款的好處以及面臨的挑戰，最后結合國外的成功經(jīng)驗，給出一套系統的遵循方案，從而為中國公司更好的順應這一變化提供幫助，并用中國網(wǎng)通的實(shí)踐經(jīng)驗作為國內應用該法的例證。
本文主要分為以下幾部分：上述序言部分是對本文研究的內容、目的、意義的介紹；其次是對國內外文獻的回顧；第三部分對薩班斯法案404條款進(jìn)行介紹，并闡述其影響；第四部分闡述中國企業(yè)遵循404條款的意義、實(shí)施障礙分析；第五部分研究中國企業(yè)的應對方法，給出系統的遵循方案；第六部分通過(guò)中國網(wǎng)通 “COSO內控項目”的實(shí)例佐證本文所述結構化方法的可行性。

二、文獻綜述

內部控制作為既有理論價(jià)值又具有實(shí)踐意義的重要研究課題，目前在各國理論界己經(jīng)進(jìn)行了較為系統、深入的研究。1992年，美國專(zhuān)門(mén)研究企業(yè)內部控制問(wèn)題的COSO委員會(huì )（the Committee of Sponsoring Organizations of the Treadway Commission）在《內部控制——整體框架》（Internal Control-Integrated Framework）中提出了財務(wù)、營(yíng)運和遵循三個(gè)目標，以及控制環(huán)境、風(fēng)險評估、控制活動(dòng)、信息與溝通和監控五項要素，從而把對內部控制的認識統一了起來(lái)，并給內部控制理論及實(shí)務(wù)帶來(lái)了突破性的進(jìn)展。隨著(zhù)薩班斯法案的制定，理論界對內部控制的研究更是達到了高潮。近兩年來(lái)理論界在內部控制方面的研究進(jìn)展主要集中在以下幾個(gè)方面:一是使內部控制與企業(yè)的風(fēng)險管理相結合；二是使內部控制與公司治理和組織結構相對接；三是從管理學(xué)和經(jīng)濟控制論入手豐富內部控制理論；四是把傳統的建立在實(shí)體經(jīng)濟基礎上內部控制拓展到信息經(jīng)濟。
除了內部控制理論層面的研究進(jìn)展，在404條款合規的實(shí)務(wù)層面，西方學(xué)者也提出了自己的觀(guān)點(diǎn)。站在執行者的角度，Ramos, Michael（2004）提出了十分具體的404條款遵循方案。他將內部控制有效性評價(jià)的實(shí)務(wù)工作分為項目計劃、確定關(guān)鍵控制點(diǎn)、文件證據、評估內控設計、評估內控執行效果、準備報告六個(gè)步驟，并提出了每個(gè)步驟的執行方法和注意事項，對公司和企業(yè)都給出了意見(jiàn)。Joel C.Quall則提出了404合規的“五步法”，分別是設立專(zhuān)門(mén)委員會(huì )和工作小組、文件證據、測試、評估和報告。站在政策制定者的角度，Parveen P. Gupta和Tim Leech（2005）指出造成404條款困境的根本問(wèn)題，并建議：法規中納入風(fēng)險容忍度的概念，加強對管理層評估過(guò)程的審計，保留對內控文檔的強制性規定，規定性的要求公司每季度更新文檔，賦予公司決定內控測試水平的靈活性，盡早出臺針對公司的指引。
近年來(lái)，我國學(xué)者也在積極探索企業(yè)內部控制的相關(guān)問(wèn)題，在解析COSO報告框架基礎上相繼提出了內部控制與公司治理契合（李連華，2005）、內部控制風(fēng)險管理總體框架ERM應對策略（茹越峰，2006）、內部控制自評價(jià)技術(shù)CSA（林朝華，唐予華，2003）等新觀(guān)點(diǎn)。但就其實(shí)務(wù)進(jìn)展和實(shí)證研究而言，總體上仍是以具體的內部控制框架設計為主，對更深層次的控制方式和運行機制尚未展開(kāi)系統研究，現實(shí)需求強烈的404條款合規方面的實(shí)務(wù)研究也進(jìn)展緩慢。由于SEC并未出臺針對公司的404條款合規指引，而目前的404條款和細則的規定都比較模糊，因此公司對內控測試有效性的評估基本是按照PCAOB2號審計準則的規定比照COSO框架進(jìn)行。而中國企業(yè)在執行404條款完善內部控制方面還處于起步階段，并無(wú)許多案例可供分析，造成國內相關(guān)研究基本空白，且大部分是針對個(gè)別企業(yè)的研究，不具有普遍性。本文的研究就是從中國企業(yè)的普遍狀況出發(fā)，指出差距，并結合國外成熟的研究成果，給出一般性的遵循方法，具有一定的現實(shí)意義。

三、薩班斯法案404條款的相關(guān)規定和社會(huì )影響

（一） 薩班斯法案404條款的相關(guān)規定
薩班斯法案顯示了美國國會(huì )強化公司責任的強硬手段，它試圖從根本上改變企業(yè)的經(jīng)營(yíng)環(huán)境和法律環(huán)境，其目的在于強化公司的責任，通過(guò)加強內部控制，來(lái)改進(jìn)公司治理狀況，提高財務(wù)信息質(zhì)量，并最終恢復投資者對美國資本市場(chǎng)的信心。該法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會(huì )計職業(yè)監管、公司治理、證券市場(chǎng)監管等方面做出了許多新的規定。
綜觀(guān) SOX 法案七項主要內容，其中與上市公司最為密切相關(guān)的是第三、第四和第五項規定。第三、第五項規定主要是強調了公司高層管理人員對公司財務(wù)信息可靠性負有的責任，并不需要公司做出太多實(shí)質(zhì)性的工作。而第四項規定，即關(guān)于公司內部控制有效性的強制性規定，主要針對的就是404條款。
404條款主要包括了兩個(gè)方面的內容 ：內部控制方面和內部控制評價(jià)報告方面。分別側重于公眾公司的角度和外部審計師的角度，以求全面保障公眾公司內部控制的有效性，從而提高公司治理水平和會(huì )計信息質(zhì)量。
內部控制方面的要求包括：⑴強調公司管理層建立和維護內部控制系統及相應控制程序充分有效的責任；⑵發(fā)行人管理層最近財政年度末對內部控制體系及控制程序有效性的評價(jià)。內部控制評價(jià)報告方面的要求是：對于企業(yè)管理層對內部控制的評價(jià)，擔任公司年報審計的會(huì )計公司應當對其進(jìn)行測試和評價(jià)，并出具評價(jià)報告。上述評價(jià)和報告應當遵循委員會(huì )發(fā)布或認可的準則。上述評價(jià)過(guò)程不應當作為一項單獨的業(yè)務(wù)。

（二） 薩班斯法案404條款的社會(huì )影響
1.薩班斯法案404條款使監管思想和理念發(fā)生根本性轉變
眾所周知，美國在1929年經(jīng)濟大危機之后頒布了《1933年證券法》和《1934年證券交易法》，這兩部法律對于美國資本市場(chǎng)甚至美國經(jīng)濟具有里程碑一樣的重大意義。而SOX法案被認為是繼這兩部法律之后對美國經(jīng)濟影響最為廣泛和深遠的改革法案。與過(guò)于的法律相比，SOX法案強調過(guò)程。這一點(diǎn)最集中和明顯的體現在了404條款的規定中。在過(guò)去70年的時(shí)間里，對投資者的保護著(zhù)重于結果的報告，即為公眾提供公允、透明的財務(wù)成果信息及幫助理解這些財務(wù)成果的其它相關(guān)信息。人們普遍認為基于這些信息，投資者足以做出正確的決策，SOX法案改變了這一切。SOX法案的精神認為，僅僅提供財務(wù)成果是不夠的，公司還必須分析和評估達到這些成果的過(guò)程。因此它帶來(lái)的是一場(chǎng)監管理念的徹底轉變，即從簡(jiǎn)單的信息披露轉向實(shí)質(zhì)性管制。
SOX法案的出臺，使全球各國監管部門(mén)、企業(yè)和投資者都把關(guān)注的目光放在公司治理和全面風(fēng)險管理上。就在在美上市中國企業(yè)迎來(lái)SOX法案考驗的2006年7月15日，經(jīng)國務(wù)院批準，由財政部牽頭發(fā)起，證監會(huì )、國資委共同參與成立的“企業(yè)內部控制標準委員會(huì )”正式在北京成立，這預示著(zhù)我國企業(yè)在內部控制方面將迎來(lái)一部類(lèi)似美國SOX法案的標準體系。
2.上市公司對薩班斯法案404條款的反應
為了了解SOX法案的施行對上市公司的影響，美國全國證券交易商自動(dòng)報價(jià)系統協(xié)會(huì )（NASDAQ）于2005年4月面向當時(shí)在NASDAQ掛牌的3053個(gè)發(fā)行商進(jìn)行了一項調查。由于SOX404的規定被認為是財務(wù)報告體系最重要的改變，我們可以合理地認為上市公司所謂受到施行SOX法案的影響也主要來(lái)源于404條款的執行。從 NASDAQ的這份調查中，我們可以得到許多有意義的信息：
⑴大多數企業(yè)承認施行SOX法案是必要的
在接受調查的公司中，有74% 認為SOX法案應該執行。58%的接受調查者認為由于執行了法案，財務(wù)控制有效加強了；33.3%的接受調查者認為公司披露信息更加完善；另有28.4% 的公司認為投資者的信心有效恢復。事實(shí)上，早在SOX法案出臺之前，人們就紛紛認識到美國資本市場(chǎng)可能存在制度上的缺陷，而SOX法案針對這一缺陷進(jìn)行了嚴厲而徹底的改革。這對于受到財務(wù)丑聞重傷后充滿(mǎn)信任危機的美國資本市場(chǎng)無(wú)疑是必要的。企業(yè)也都認為加強內部控制，從根本上改善公司治理是大勢所趨。
⑵關(guān)鍵問(wèn)題是404條款的執行成本
接受調查的企業(yè)大多數的討論集中在404條款的執行成本上，主要包括中介費和機會(huì )成本。90.2%的企業(yè)反映執行成本太高。他們普遍反映預算成倍上升，主要精力不能夠充分放在核心業(yè)務(wù)和戰略層面地工作上。在NASDAQ的調查報告中顯示，每家發(fā)行商在執行404條款的第一年平均花費在110萬(wàn)美元，那么即使保守估計，在NASDAQ掛牌的全部上市公司在執行404條款上要花費35億美元。而根據國際財務(wù)執行官(FEI)對224家企業(yè)的調查結果，每家需要遵守SOX法案的美國大型企業(yè) 第一年實(shí)施404條款的總成本超過(guò)800萬(wàn)美元。像通用電氣和匯豐銀行這樣經(jīng)營(yíng)廣泛的大型跨國企業(yè)在404條款的合規上花銷(xiāo)更是驚人，分別達到了3000萬(wàn)美元和2840萬(wàn)美元。
⑶業(yè)務(wù)簡(jiǎn)單、管理集中的小型上市公司雖然實(shí)施工作會(huì )相對簡(jiǎn)單，卻恰恰可能受到最猛烈的沖擊
眾多小型上市公司一直抱怨404條款的遵循成本與收益嚴重不成比例，并導致它們考慮退市或出售公司。NASDAQ調查報告顯示，營(yíng)業(yè)收入在1億美元以下的公司，其花費在404條款合規工作中的成本占收入的百分比是營(yíng)業(yè)收入在20億美元以上公司的11倍。對于中小型上市公司來(lái)說(shuō)404條款在某些方面是過(guò)于嚴格了一些，這會(huì )限制一些企業(yè)的靈活性和創(chuàng )造力。因此，在反對聲中，小型上市公司實(shí)施404條款的期限得以一再推延

3.其他方面對薩班斯法案404條款的反應
除了上市公司以外，提供中介服務(wù)的審計、咨詢(xún)、法律顧問(wèn)還有IT廠(chǎng)商方面也深受SOX404的影響，只不過(guò)對于他們來(lái)說(shuō)，404條款的實(shí)施是一個(gè)利好消息。由于內部控制評價(jià)報告包含在財務(wù)報告內，并按規定由承擔公司年度報表審計的會(huì )計師事務(wù)所出具，那么對會(huì )計師事務(wù)所來(lái)說(shuō)，簽一份項目協(xié)議，工作量卻大了，相應的報酬也會(huì )增加。根據NASDAQ的調查報告，90%的接受調查公司的審計費用較實(shí)施404條款之前永久性的增加了。FEI報告顯示，因404條款的執行，增量審計費用達到原審計費用的53%。同時(shí)，內控審計有助于控制審計風(fēng)險，并減少大量的實(shí)質(zhì)性測試工作。上市公司要對財務(wù)報告內部控制有效性負責，迫于SOX法案的嚴厲，也會(huì )更加審慎。因此總的說(shuō)來(lái)，404條款降低了審計風(fēng)險，提高了審計收入。另外，404條款要求企業(yè)針對影響財務(wù)數據的所有作業(yè)流程都做到高透明度、可控制、實(shí)時(shí)風(fēng)險管理并防治欺詐，還要求這些流程具有可追查到交易源頭的詳細記錄。為此，上市公司需要投入大量IT資源參與 404條款的實(shí)施。IT廠(chǎng)商為實(shí)施SOX法案的上市公司提供技術(shù)上的支持，幫助公司進(jìn)行系統的建設，還可以提供相應的服務(wù)來(lái)滿(mǎn)足公司的不同需求，這是一塊價(jià)值很大的市場(chǎng)。上市公司在施行SOX法案時(shí)缺少相關(guān)經(jīng)驗，有很多時(shí)候很難獨立完成404條款的合規工作，這時(shí)一些專(zhuān)業(yè)的咨詢(xún)公司或會(huì )計師事務(wù)所可以幫助公司一起完成這些工作，對于咨詢(xún)行業(yè)這是一個(gè)新的市場(chǎng)契機。同樣，對于嚴苛的SOX法案，肩負重大責任的公司高層管理人員承受很大的壓力，一旦無(wú)法通過(guò)，公司將面臨法律風(fēng)險，這時(shí)需要專(zhuān)業(yè)法律顧問(wèn)的服務(wù)。所以對于廣大的SOX合規相關(guān)服務(wù)提供商而言，SOX404條款的實(shí)施是機遇大于挑戰。
最支持這項法案實(shí)施的無(wú)疑還是投資者組織和證券監管機構。SOX法案尤其是404條款對上市公司財務(wù)報告產(chǎn)生的流程進(jìn)行了嚴厲的實(shí)質(zhì)性監管，可以有效保障投資者的利益，對于投資者來(lái)說(shuō)，404條款是他們對資本市場(chǎng)維持信任的保證。而SEC堅持認為一旦發(fā)生重大的會(huì )計丑聞，損失將遠遠超過(guò)法案遵循的成本，因此 SOX法案的實(shí)施必須進(jìn)行下去。SEC認為短期上市成本的上升換來(lái)一個(gè)信息透明的證券市場(chǎng)是值得的，這對于公司提升長(cháng)久的競爭力是有益的。

四、中國企業(yè)遵循薩班斯法案404條款：

機遇與挑戰

(一)機遇方面
1.完善公司法人治理結構，體現融資效應
我國公司的股份制改革進(jìn)行得還不夠徹底，也就決定了大多數中國公司，包括在美上市的中國公司在公司治理結構方面還存在著(zhù)一些不合理方面。主要體現在 ：
⑴股權高度集中，資本市場(chǎng)對經(jīng)營(yíng)者的約束不強
在資本市場(chǎng)完善的情況下，雖然每一投資者在企業(yè)中的股份很小，然而一旦公司經(jīng)營(yíng)不善，人們便可“用腳投票”，導致該公司股票價(jià)格下跌，一些股東便有可能通過(guò)發(fā)動(dòng)代理權競爭或敵意收購來(lái)接管公司的控制權，解雇經(jīng)理人員。然而我國目前的證券市場(chǎng)只是給企業(yè)提供了融資渠道，國有股的比例過(guò)高，即使能將某上市公司的流通股全部買(mǎi)進(jìn)，也不能取得公司的控制權，資本市場(chǎng)對經(jīng)營(yíng)者的約束非常有限。盡管?chē)�有股正在進(jìn)行某種程度的減持，但我國的社會(huì )性質(zhì)決定了國有股依然會(huì )占重要比重。
⑵董事會(huì )的內部人控制
董事會(huì )理應在監督經(jīng)營(yíng)方面起重要作用，然而由于我國國有股、法人股占絕大比例，且國有股權“虛置”，法人股權“異化”，導致事實(shí)上的董事會(huì )無(wú)效。盡管我國可通過(guò)制定有關(guān)規章來(lái)保護中小投資者，完善公司治理結構，但只要股權集中，董事會(huì )的內部人控制現象就不可避免。
我國企業(yè)在美國資本市場(chǎng)上市，就要受美國投資者的監督，特別是在美國資本市場(chǎng)因一連串的會(huì )計丑聞發(fā)生信任危機之后，投資者會(huì )用更審慎的眼光來(lái)考量上市公司的經(jīng)營(yíng)質(zhì)量。好的公司治理結構意味著(zhù)投資者能夠有效地監督企業(yè)對資源的利用和分配，保障股東的合法權益，因此會(huì )獲得更多投資者的親睞。一定程度上，上市公司對資金的競爭也是公司治理水平的競爭。目前，隨著(zhù)中國經(jīng)濟的良好發(fā)展，國外投資者對中國企業(yè)，尤其是一些壟斷行業(yè)的大型企業(yè)的發(fā)展前景無(wú)疑十分看好。因此，中國企業(yè)在美上市能否吸引足夠的資金的關(guān)鍵在于是否具備令美國投資者認可的公司治理能力。
目前，在美上市的中國企業(yè)也與美國本土企業(yè)一樣需要執行SOX法案，這在客觀(guān)上是一個(gè)強制提升公司治理水平的動(dòng)力，有益于提高中國企業(yè)公司治理水平與國際接軌的速度。雖然，在短時(shí)間內改變公司的股權結構是不現實(shí)的，但是公司可以通過(guò)改變董事會(huì )結構，增加獨立董事的方法改善投資者缺位的現象。另外，SOX法案中關(guān)于獨立審計委員會(huì )的規定有益于公司治理結構從三元一體向四元一體轉化，強化了對管理層的監督功能。
2.加強內部控制，提升企業(yè)經(jīng)營(yíng)能力
內部控制是一個(gè)廣義的概念，包括了公司運營(yíng)的各個(gè)方面，具有廣泛的意義。內部控制是現代企業(yè)管理的重要組成部分，恰當運用內部控制，有利于企業(yè)改善經(jīng)營(yíng)方式，實(shí)現經(jīng)營(yíng)目標;保護企業(yè)各項資產(chǎn)的安全和完整，防止資產(chǎn)損失或損害;保證業(yè)務(wù)經(jīng)營(yíng)信息和財務(wù)會(huì )計資料的真實(shí)性和完整性;提高工作效率及經(jīng)濟效益。因此，內部控制是否健全，是企業(yè)經(jīng)營(yíng)成敗的一個(gè)關(guān)鍵。
但同時(shí)，內部控制又是中國企業(yè)普遍忽視的部分。雖然國內企業(yè)也存在內部控制的相關(guān)措施，但是內部控制概念框架的完整性、控制體系的科學(xué)性、執行的嚴肅性、控制執行后的有效性及后續措施都存在很多問(wèn)題。在國內內控法規體系還不完備的條件下，企業(yè)尚可以在潛規則下運行，而一旦企業(yè)走向美國資本市場(chǎng)，就要按SOX法案的規則行事，內部控制的完善不僅重要，而且無(wú)可回避。
為了配合SOX法案404條款有關(guān)內部控制規定的實(shí)施, SEC提出了“財務(wù)呈報內部控制”的操作性定義，把404條款所指的內部控制限定在與財務(wù)呈報有關(guān)的內部控制的范圍之內，這樣做的目的在于提高可實(shí)施性，也最大程度的體現了內部控制的效益。與財務(wù)呈報有關(guān)的內部控制包含了對財務(wù)成果產(chǎn)生實(shí)質(zhì)性影響的一系列控制，涵蓋了交易的起始、授權、執行、記錄、報告，為其他非主要控制提供實(shí)施標準，統領(lǐng)了其他控制的執行。從而我們可以認為，成功實(shí)施404條款可以有效提高企業(yè)整體內控水平，提升企業(yè)的經(jīng)營(yíng)能力。
3.完善內控信息系統建設，加速企業(yè)信息化進(jìn)程
如今企業(yè)經(jīng)營(yíng)管理現代化的一個(gè)普遍趨勢是，隨著(zhù)企業(yè)管理幅度的擴大與深度的加深，企業(yè)流程自動(dòng)化水平不斷提高，內部控制與流程管理緊密結合。大量的業(yè)務(wù)流程被自動(dòng)化設備、信息系統所執行，不再像過(guò)去那樣能夠由業(yè)務(wù)人員簡(jiǎn)單的描述企業(yè)運作的各個(gè)流程。如何將被系統固化的業(yè)務(wù)流程重新展現出來(lái)，如何全盤(pán)的了解企業(yè)各業(yè)務(wù)流程中的風(fēng)險控制情況，這些問(wèn)題需籍由內控信息系統解決。
內控信息系統的作用包括：提供集成的管理信息，實(shí)現業(yè)務(wù)數據和資料共享;提高運營(yíng)統計、財務(wù)和其他管理信息的真實(shí)性、準確性、完整性、及時(shí)性，滿(mǎn)足內部經(jīng)營(yíng)管理和外部信息披露的要求;理順和規范業(yè)務(wù)管理流程，明晰職責，實(shí)現業(yè)務(wù)處理的標準化和規范化;實(shí)現內部控制和預警，通過(guò)規范的管理流程，明確分工，為各管理層次的有效控制提供依據，限制隨意性;通過(guò)業(yè)務(wù)分析及建模工具，提供規劃、預測及多維分析，為決策層提供準確、及時(shí)的信息和報表，為公司科學(xué)決策提供有力支持;通過(guò)向各部門(mén)和管理層提供共享、準確、及時(shí)的信息，為公司各種資源的統一規劃、合理調度、綜合利用提供依據和保障;為公司內部的績(jì)效控制和績(jì)效考核，以及內部審計提供準確、詳實(shí)的數據等等。這些作用均可以歸納進(jìn)入內部控制體系所倡導的三個(gè)基本目標，即運營(yíng)目標、財務(wù)目標和合法目標。
由此可見(jiàn)，完善的內控信息系統不應獨立于企業(yè)原有管理信息系統和財務(wù)信息系統之外，而是融合于統一的業(yè)務(wù)流程管理系統之中的，企業(yè)內控管理也因此可以脫離對原有的靜態(tài)文檔的跟蹤管理，轉變成對業(yè)務(wù)流程的動(dòng)態(tài)跟蹤管理。通過(guò)404條款的實(shí)施，建立完善的內控信息系統，將不僅對于日后的合規工作提供便利，更將公司的信息系統從戰略層面上整體提升，有利于提高企業(yè)信息化水平和運營(yíng)效率。

（二）挑戰方面
1.粗放型的經(jīng)營(yíng)管理模式難以應對404條款的考核
中國企業(yè)既有的發(fā)展方式基本上追求的都是量的擴張，在實(shí)際運營(yíng)活動(dòng)中，靠經(jīng)驗、拍腦門(mén)式的粗放型投資管理模式在某些地區、某些企業(yè)中不同程度的存在。戰略規劃在落實(shí)的過(guò)程中淪為了口號。目前，中國企業(yè)的管理模式更多的是基于KPI驅動(dòng)的管理方法，不同程度的存在重視營(yíng)銷(xiāo)，輕視管理的現象。在統籌管理上，往往是集團公司通過(guò)考核指標的設定和每年考核重點(diǎn)的變動(dòng)，實(shí)現對公司整體的驅動(dòng)，省級公司對地市級公司的管理也采用同一模式。在實(shí)際執行中，基層的業(yè)務(wù)人員日常工作主要是為了完成自己的考核指標，但在完成指標的方法、計劃上并沒(méi)有太大限制，這就導致公司的實(shí)際運營(yíng)工作被分成了若干孤立的點(diǎn)，從而為系統性的風(fēng)險評估帶來(lái)障礙。而根據SOX法案的要求，公司必須對運營(yíng)風(fēng)險有充分的把握，并做好預案。法案還要求公司在內部控制方面必須嚴格地精細化，運營(yíng)的每個(gè)環(huán)節都必須在公司可控的范圍內，這將直接對原有的粗放型管理模式造成挑戰。
2.現有的內控體系與SOX法案的要求相去甚遠
我國企業(yè)現在的內控體系存在很多制度性缺陷 ：
首先，內部控制理念落后，導致內部控制規范缺乏科學(xué)性。在內控理論和實(shí)踐比較完善的美國，內部控制大致上經(jīng)歷了內部牽制、內部控制制度、內部控制結構、內部控制整體框架四個(gè)階段。近來(lái)又提出了企業(yè)風(fēng)險管理整體框架（Enterprise Risk Management-Integrated Framework）。我國內部控制的定義還基本停留在內部控制結構階段，而且基本套用了西方的定義。在實(shí)務(wù)操作上，則局限在會(huì )計控制的范疇，也就是只強調內部控制系統概念中的會(huì )計控制部分，沒(méi)有把內部控制視為流程管理的一部分，這可以說(shuō)是十分原始和落后的，根本滿(mǎn)足不了404條款對內控的要求。
其次，內部控制目標片面，缺乏體系性。1992年美國COSO委員會(huì )發(fā)布了內部控制整體框架提出了營(yíng)運、財務(wù)、遵循三個(gè)方面的內部控制目標。2004 年，COSO委員會(huì )又發(fā)布了新的內部控制框架——企業(yè)風(fēng)險管理整體框架。企業(yè)風(fēng)險管理在滿(mǎn)足前述三類(lèi)目標的基礎上也應滿(mǎn)足戰略目標。我國內部控制目標現在局限于財務(wù)目標和遵循目標，體現了審計需求和政府監管導向，但是忽視了營(yíng)運目標和戰略目標，很難將內部控制與企業(yè)的經(jīng)營(yíng)管理和戰略發(fā)展相結合，因而難以調動(dòng)企業(yè)完善內控制度建設的積極性，也削弱了內控制度的積極意義。
第三，控制責任主體單一化，不利于內部控制的實(shí)施。企業(yè)風(fēng)險管理框架要求整體中的每個(gè)人都對企業(yè)風(fēng)險持主體的風(fēng)險管理理念，并在各自的責任范圍內依據風(fēng)險容忍度去管理風(fēng)險。在這個(gè)過(guò)程中，風(fēng)險控制者、財務(wù)官、內部審計師等都負有相應責任。而我國內控制度的責任主體僅明確為單位負責人，不利于內部控制有效地推行和監控，缺乏全員控制意識。
第四，重視業(yè)務(wù)細節控制，忽視企業(yè)整體風(fēng)險管理�？v觀(guān)我國內部控制具體規范，內部控制是按照一個(gè)一個(gè)業(yè)務(wù)環(huán)節確定關(guān)鍵控制點(diǎn)，設置相應的控制措施。這是控制在實(shí)施層面的細節體現，但是缺乏一個(gè)整體觀(guān)。實(shí)際控制有效性、風(fēng)險及控制投入是有一個(gè)最佳平衡點(diǎn)的，過(guò)于專(zhuān)注于瑣碎的控制點(diǎn)而忽視整體控制有效性是企業(yè)容易陷入的一個(gè)誤區。
第五，強調硬性控制，輕視軟性控制。軟性控制主要是指屬于精神層面的控制方面。美國內部控制整體框架把控制環(huán)境作為內控的基礎，直接影響到其他四個(gè)控制要素的實(shí)施效果。而我國內部控制還主要強調硬性控制手段和措施。

3.高昂的執行成本
正如前面提到過(guò)的，404法案的真正爭議點(diǎn)不在于它是否應該實(shí)施，而是如何在成本效益的前提下實(shí)施。許多企業(yè)對404條款的極端抵制情緒也來(lái)源于過(guò)高的初始執行成本。盡管延后施行，中國企業(yè)現在面臨的情況卻與2004年的美國企業(yè)一樣，甚至在實(shí)施難度上有過(guò)之而無(wú)不及。根據大多數美國企業(yè)適用404條款的情況，高昂的執行成本大致會(huì )來(lái)源于以下幾個(gè)方面 ：
⑴適應期成本
這部分的成本來(lái)源于企業(yè)為拉近原有的內控體系和404條款要求的差距所做出的努力，是初始執行成本產(chǎn)生的主要方面。在以往的實(shí)踐中，不管是公司內部審計人員還是外部審計師都會(huì )對公司內部控制情況進(jìn)行一些方面和一定程度的評價(jià)，但是如404條款所要求的那樣在整個(gè)公司范圍內對與財務(wù)呈報相關(guān)的所有控制進(jìn)行識別、備案、測試卻是前所未有的。對內部控制比較不規范的中國企業(yè)更是如此。拿銷(xiāo)售業(yè)務(wù)來(lái)說(shuō)，公司必須從業(yè)務(wù)流程的起始開(kāi)始，記錄和控制銷(xiāo)售合同的簽訂、訂單錄入、產(chǎn)品生產(chǎn)、發(fā)貨、收款、收入確認等一系列環(huán)節。處在基層的業(yè)務(wù)執行人員在這一過(guò)程中對控制工作負有責任，而他們中的許多不具備足夠的會(huì )計審計和內控知識。所以，不管對整個(gè)企業(yè)還是執行控制的個(gè)人，404條款的遵循是一個(gè)學(xué)習摸索的過(guò)程，過(guò)程本身需要耗費額外的人力、物力、財力。
⑵時(shí)間限制和外部費用
SOX 法案早在2002年7月30日生效，404條款對海外公司的施行時(shí)間則被推遲到2006年7月15日后結束的財政年度，比美國大型企業(yè)晚了兩年。但鑒于中國企業(yè)內部控制薄弱，與美國公司已經(jīng)較為完善的內部控制制度相比尚存在較大差距，給中國企業(yè)的準備時(shí)間并不寬裕。因而也存在時(shí)間限制造成的成本。由于時(shí)間緊迫，而404條款的相關(guān)規定又存在一些不清晰的地方，這給執行帶來(lái)困難。此時(shí)的企業(yè)比較現實(shí)的做法是尋求外部咨詢(xún)人員和顧問(wèn)的幫助。在中國，具有經(jīng)驗的 404合規方面的專(zhuān)業(yè)服務(wù)還是比較有限的，大多數在美上市公司還是選擇四大會(huì )計師事務(wù)所，僧多粥少，必然導致顧問(wèn)費用的上漲。同時(shí)，內控審計帶來(lái)更大的工作量導致審計費用也大幅上漲。在企業(yè)年度報表中，一般不會(huì )具體披露這一專(zhuān)項費用，但是FEI在2004年對美國企業(yè)的調查顯示，內控審計的費用比預想中高出40%，占進(jìn)行內控審計之前一般審計費用的53%。
⑶規定的不清晰性造成的合規成本。
對于大多數執行404條款的美國公司來(lái)說(shuō)，這一過(guò)程是伴隨著(zhù)法規制度的不斷完善進(jìn)行的。404條款的正式規定及其模糊，所以一開(kāi)始公司參照COSO委員會(huì )的內部控制整體框架對內控進(jìn)行完善和評價(jià)，而這時(shí)PCAOB的2號審計準則還在醞釀過(guò)程中。這時(shí)，不管是公司還是外部審計師對什么是合適的控制、什么是足夠的備案、何種程度屬于重大缺陷都沒(méi)有定論。整個(gè)2004年，SEC和PCAOB的相關(guān)規定一直在不斷出臺，企業(yè)就要不斷地據以調整，許多時(shí)候發(fā)現由于理解和規定的偏差，需要大量返工，這個(gè)過(guò)程耗費了大量資源。中國公司比較幸運的是避免了這一迷茫的時(shí)期，因為如今2號審計準則已經(jīng)出臺，也有了大量美國企業(yè)的經(jīng)驗和教訓。但是，一旦規定又有增減變動(dòng)，這部分成本還是會(huì )產(chǎn)生的。因為據調查，很多企業(yè)仍不甚清楚如何執行404條款，認為條款的一些規定有待細化。對法案相關(guān)規定的調整預期還會(huì )繼續進(jìn)行。
4.相關(guān)專(zhuān)業(yè)人才匱乏
這一點(diǎn)表現在內部專(zhuān)業(yè)人員匱乏和外部專(zhuān)業(yè)人員匱乏兩個(gè)方面。內部專(zhuān)業(yè)人員主要是指404項目組成員和內部審計人員。一般來(lái)說(shuō)，這些人應該具備比較全面的會(huì )計審計知識，也有很多具有審計從業(yè)經(jīng)驗。但是，他們在內控知識上可能不完備，需要進(jìn)行專(zhuān)業(yè)培訓。不同于一些美國跨國企業(yè)的內部專(zhuān)業(yè)人員，這些人員往往是沒(méi)有經(jīng)歷過(guò)404合規工作的，在這方面完全不能算專(zhuān)業(yè)，只能說(shuō)比一般員工專(zhuān)業(yè)，而這是遠遠不夠的。外部專(zhuān)業(yè)人員是指外部審計師和顧問(wèn)等。這些人員往往是在具有會(huì )計審計知識的基礎上具有一定內控方面的實(shí)際經(jīng)驗，他們在404條款合規方面會(huì )比公司內部專(zhuān)業(yè)人員權威。但是，有兩點(diǎn)值得注意：首先，以往的404條款合規經(jīng)驗通常來(lái)源于國外企業(yè)，他們的內部控制準備狀況和中國企業(yè)不大相同，另外中國企業(yè)具有許多中國特殊國情決定的特點(diǎn)，在合規工作過(guò)程中是需要考量并靈活變通的，在這點(diǎn)上，外部專(zhuān)業(yè)人員不一定比內部專(zhuān)業(yè)人員更勝任；第二，所謂專(zhuān)業(yè)人員也未必專(zhuān)業(yè)，只不過(guò)他們服務(wù)于專(zhuān)業(yè)機構罷了。當然，項目組的負責人是具備足夠的專(zhuān)業(yè)知識的，但實(shí)際執行內控審計的人員大部分都比較年輕，缺少專(zhuān)業(yè)經(jīng)驗，再加之他們對企業(yè)業(yè)務(wù)流程的細節也不了解，就會(huì )造成外部審計師比公司內部人員還迷茫的情況。NASDAQ的調查報告顯示，公司普遍認為審計師不能稱(chēng)為專(zhuān)家，只是“又多余、又昂貴的勞動(dòng)力密集型作業(yè)” 。70%的接受調查者認為，審計行業(yè)不具備培訓到位的員工來(lái)執行SOX404合規工作，61%的人認為外部審計人員并沒(méi)有足夠的資格評價(jià)他們的內控系統。雖然比較極端，但一定程度上反映了外部專(zhuān)業(yè)人員在執行404條款時(shí)也有一定局限。

五、中國企業(yè)如何遵循SOX404：結構化方法

以上我們了解了SOX404條款的規定和中國在美上市企業(yè)由此面臨的機遇和挑戰，可見(jiàn)，如何順利開(kāi)展SOX404合規工作已經(jīng)是迫待解決的問(wèn)題。今年上半年，所有在美上市中國公司都將向SEC遞交符合404條款的表格。除了新浪、搜狐等少數在NASDAQ上市的中國公司已經(jīng)提前達到過(guò)404條款的要求，對大多數中國公司，尤其是在紐約證券交易所上市的大型國企，這是第一次面臨404條款的真正考驗。迄今為止，24家在紐約證交所上市的中國公司中僅有4家遞交了內控報告�？梢灶A見(jiàn)，這一最初的嘗試不可能十全十美，而更多的中國企業(yè)能否在他們之后繼續登陸美國資本市場(chǎng)，就要看他們的執行情況。因此，404條款合規方面的實(shí)務(wù)指導非常必要。目前，國內關(guān)于內部控制的制定、實(shí)施、評價(jià)的理論研究已經(jīng)十分深入和廣泛，但是卻很少有專(zhuān)門(mén)針對SOX404條款的實(shí)務(wù)方面的指導，將理論運用于實(shí)際尚有一定困難。以下文章的內容就試圖提出一個(gè)普遍的遵循方法。

（一） 選擇合適的內控框架
企業(yè)欲建立和評價(jià)自己的內部控制制度必須有一個(gè)參照標準，這個(gè)標準應是國際普遍認可的，方可達到完善、規范。國際上比較有名的內部控制框架有美國的COSO、加拿大的COCO、英國的Cadbury、國際內部審計師協(xié)會(huì )的SAC等。PCAOB于2004年推薦使用COSO框架，隨后獲得了SEC的批準。SEC的認可表明COSO框架已正式成為內部控制框架的標準。我國企業(yè)可以按照 COSO框架建立企業(yè)內部控制制度，使單純的控制活動(dòng)與企業(yè)環(huán)境、管理目標及控制風(fēng)險相結合，形成一套不斷改進(jìn)、自我完善的內部控制機制。
1.COSO框架關(guān)于內部控制的定義
現行的COSO內部控制框架是指COSO委員會(huì )在1992年發(fā)布的內部控制——整體框架。其中，對內部控制的定義為：內部控制是由企業(yè)董事會(huì )、管理層和其他員工實(shí)施的，為營(yíng)運的有效性和效率、財務(wù)報告的可靠性、相關(guān)法令的遵循性等目標的達成而提供合理保證的過(guò)程。2004年，COSO委員會(huì )進(jìn)一步將內部控制的涵義拓寬為企業(yè)風(fēng)險管理，但是企業(yè)風(fēng)險管理整體框架實(shí)際上并沒(méi)有取代內部控制整體框架。所以本文對內部控制框架的選擇還是采用了后者，以符合現行規定。
2.COSO框架的三個(gè)維度
COSO框架提出了內部控制制度的三維結構（見(jiàn)圖5-1 ）。第一維度是內部控制目標，即運營(yíng)的有效性和效率、財務(wù)報告的可靠性、相關(guān)法令的遵循性。第二維度要求公司在部門(mén)單位層次和業(yè)務(wù)流層層次兩個(gè)層次上對內部控制進(jìn)行評價(jià)。第三維度包含了內部控制的五大要素：控制環(huán)境、風(fēng)險評估、控制活動(dòng)、信息與溝通、監控。三個(gè)維度構成了內部控制整體框架，即要求對于給定目標（如財務(wù)報告可靠性目標），管理層必須在部門(mén)單位層次和業(yè)務(wù)流層層次對內部控制的五大要素進(jìn)行評估。

3.理解內控框架的注意事項
①COSO對內部控制的定義是一個(gè)過(guò)程，而不是結果。過(guò)程與結果之間有一定的對應性，但是結果的失敗，比如產(chǎn)生了目標偏差，并不代表過(guò)程是有缺陷的，相反，結果達成了目標，也不代表控制過(guò)程是有效的。因此，公司應注意在評價(jià)內控有效性時(shí)，針對的是內控過(guò)程。
②內部控制系統是為基本的業(yè)務(wù)需求而存在的。COSO框架認為內部控制是內嵌在組織的業(yè)務(wù)流程之中的，而不是獨立的附加在公司已有系統之上的。
③內部控制制度的設立應是靈活的、可修改的。COSO框架并不是一個(gè)剛性的規定，它承認不同的組織可以根據自己的情況選擇不同的控制方法。此外，內控制度的設計應具有靈活性，始終保持其在動(dòng)態(tài)環(huán)境下的有效性。
④內部控制提供的是合理的保證。COSO框架承認內部控制的局限性，即不論內控系統的設計和運行多么完善，亦只能提供合理范圍內的保證。內部控制失�。▋瓤啬繕宋茨軐�(shí)現），并不意味著(zhù)系統是失效的。這在內部控制報告中有所體現。
⑤內部控制框架各要素之間并非簡(jiǎn)單的線(xiàn)性連續關(guān)系。內部控制框架的5要素之間相互聯(lián)結、協(xié)同作用、相互影響，構成一個(gè)對環(huán)境動(dòng)態(tài)反應的有機整體。

(二)識別關(guān)鍵控制
管理層對內部控制有效性的評價(jià)是基于整體內部控制，而不是個(gè)別控制或控制環(huán)節�？刂频母鱾�(gè)組成部分如前所述，是相互聯(lián)系、交互作用的，但其中一些控制對整體控制的有效性具有主導作用，這就意味著(zhù)我們在評價(jià)內控有效性的時(shí)候應該著(zhù)眼于關(guān)鍵控制。因而，企業(yè)應先識別出關(guān)鍵控制。
關(guān)鍵控制同時(shí)存在于公司層面和流程層面，以下我們分別來(lái)說(shuō)明：
1.公司層面關(guān)鍵控制的識別
公司層面的控制構成控制體系的基本構架，是更宏觀(guān)的控制，對于流程層面控制的設計和實(shí)施都會(huì )產(chǎn)生比較深遠的影響。根據大多數企業(yè)的情況，我們認為以下的公司層面控制一般屬于關(guān)鍵控制：①公司文化②人事政策③計算機一般控制④組織目標和控制結構的對應⑤風(fēng)險識別⑥反欺詐政策⑦財務(wù)報告流程⑧系統范圍的監控。
2.流程層面關(guān)鍵控制的識別
404條款要求評價(jià)的是財務(wù)呈報內部控制，因此我們在決定關(guān)鍵控制時(shí)就要考慮該項控制對財務(wù)報告的影響。關(guān)鍵控制應是指那些對重要財務(wù)報告會(huì )計科目余額和披露有重大影響的控制。我們可以先閱讀一下財務(wù)報告，分析關(guān)鍵的財務(wù)報告要素，再從每個(gè)關(guān)鍵財務(wù)報告要素出發(fā)，尋找對應的關(guān)鍵控制流程。
對財務(wù)報告要素進(jìn)行優(yōu)先排序時(shí)應首先考慮其相對財務(wù)報告的重要性水平以及錯報的可能性。除此以外還要考慮下列其他因素 :①會(huì )計準則的復雜程度；②重要會(huì )計估計方法的主觀(guān)性和可靠性;③企業(yè)業(yè)務(wù)變更的程度以及其對內部控制的預期影響;④財務(wù)報表中存在潛在重大錯誤或遺漏之外的風(fēng)險，例如非法行為、利益沖突、管理層未經(jīng)公司授權使用公司資產(chǎn)等;⑤公司曾經(jīng)出現過(guò)的或行業(yè)內普遍存在的問(wèn)題報表項目，例如收益確認、儲備計算等;⑥管理層是否要求記錄那些與一般不會(huì )出現重大錯報且可以被合理預測的會(huì )計科目相關(guān)的流程，例如，對大多數公司來(lái)說(shuō)，工資是可以合理預測的，但其在銷(xiāo)售成本和一般管理費用中占有較大的比重，因此，鑒于對有關(guān)工資的活動(dòng)進(jìn)行管理和控制的需要，管理層或許會(huì )要求記錄與工資相關(guān)的流程及內控。
主要財務(wù)報告要素確認后，對其有重大影響的即為關(guān)鍵控制，可采用下面兩種方法加以確認 ：
第一種方法是，針對可能會(huì )對關(guān)鍵財務(wù)報告要素產(chǎn)生重大影響的交易和相關(guān)控制系統，梳理其交易流程，確認關(guān)鍵控制。這可以通過(guò)將業(yè)務(wù)和相關(guān)控制系統分割成數量有限但相互聯(lián)系的交易流程來(lái)實(shí)現，該交易流程是機構進(jìn)行交易時(shí)所發(fā)生的主要的同類(lèi)經(jīng)濟事項。收益、采購、薪金、換算、財政和財務(wù)報告均屬于這種交易流程。
第二種方法是，將業(yè)務(wù)分割成其實(shí)際的流程。理想的情況是先系統分類(lèi)流程，而不是為應付考核而選擇性的梳理流程。業(yè)務(wù)被分割成不同流程后，項目小組再確認關(guān)鍵流程，以審核相關(guān)風(fēng)險和內部控制。關(guān)鍵流程的確認須根據它對財務(wù)報告(或者業(yè)務(wù))的重要性、出現內控缺陷或者流程發(fā)生問(wèn)題的可能性來(lái)進(jìn)行。這樣，關(guān)鍵流程便與主要會(huì )計科目及披露事項聯(lián)系起來(lái)，從而建立其與財務(wù)報告的相關(guān)性。

(三)形成文檔記錄
找出關(guān)鍵控制后，應該進(jìn)行針對所有關(guān)鍵控制的文檔記錄。文檔記錄能夠增強內部控制可靠性，支持內控系統監督，評價(jià)內控設計和執行的效果，同時(shí)又為PCAOB的2號審計準則所強制規定，是404條款執行中的重要環(huán)節，同時(shí)也是成本大項。這一階段的工作主要是檢查現有文檔是否完善，并補充缺失的文檔，為內部控制有效性的評價(jià)做準備，其工作流程如圖5-2所示。

控制文檔應包括與關(guān)鍵控制目標對應的控制政策和措施、可追溯至重大錯報源頭的業(yè)務(wù)流程描述、控制措施的負責人和執行方法。
控制文檔亦包括公司層面和業(yè)務(wù)流程層面。公司層面的關(guān)鍵控制文檔包括公司治理文檔、人力資源政策文檔和員工手冊、財務(wù)政策手冊等。業(yè)務(wù)流程層面的關(guān)鍵控制文檔包括流程圖、流程每個(gè)環(huán)節的文檔、每個(gè)環(huán)節的風(fēng)險及補救措施等。在準備業(yè)務(wù)流程層面的控制文檔時(shí)，我們應該以有效掌握業(yè)務(wù)流程的全貌為原則，從關(guān)鍵帳戶(hù)開(kāi)始，追溯信息的流動(dòng)，直到信息產(chǎn)生的源頭，其中所有引起信息的處理和變動(dòng)的文檔都是關(guān)鍵文檔。

（四）測試和評價(jià)公司層面的控制
建立了內控制度后，按照404條款的規定，公司還要進(jìn)行內部控制的測試和評價(jià)。在進(jìn)行控制測試的時(shí)候，對公司層面的評價(jià)應該盡早進(jìn)行。如果公司層面的控制存在重大問(wèn)題，那么這些問(wèn)題應首先被發(fā)現并更正。如果公司層面的控制很強，可以降低對流程控制的依賴(lài)性，也可以降低測試要求。如果公司層面的控制較弱，外部審計師可以對是否存在較強的公司層面的控制做出“合格/不合格”或者“通過(guò)/不通過(guò)”的決定。較弱的公司層面控制將會(huì )造成對流程控制的依賴(lài)性以及測試要求的提高。公司層面的評估可以被細分為4個(gè)步驟進(jìn)行：
1.測試公司層面關(guān)鍵控制
在前面的步驟中，我們先識別出了公司層面的關(guān)鍵控制，之后又據以準備了控制文檔，接下來(lái)要做的事就是測試這些關(guān)鍵控制的有效性。對公司層面關(guān)鍵控制的測試手段會(huì )比較特別，因為公司層面的控制對財務(wù)報告的影響是非線(xiàn)性的、間接的，這就意味著(zhù)不能像面向交易的業(yè)務(wù)層面控制一樣通過(guò)可量化的方法來(lái)測試。一些常用的測試方法包括員工問(wèn)卷調查、管理層問(wèn)答、計算機一般控制、文檔回顧。針對不同的關(guān)鍵控制應該使用不同的測試手段，如表5-1所示。

2.評價(jià)公司層面關(guān)鍵控制
不論以何種方式評估公司層面控制，其目標都是記錄那些現實(shí)存在的公司層面的控制。需要注意的是，對公司層面控制是否有效的評估基于管理層的判斷，是比較主觀(guān)性的，但是管理層應該清楚地認識到控制是作為一個(gè)整體來(lái)評估的，個(gè)別部分未達到最高可靠性不必然影響控制整體的可靠性，并且控制提供的是合理范圍而非絕對的保證。
3.收集支持性證據
項目組應該將所進(jìn)行的測試和結果做出證據予以保存，這一方面是公司評估控制有效性工作的一部分，也是對外部審計師內控審計的配合。外部審計師將據以評判公司的評估過(guò)程，并通過(guò)部分采用公司測試的結果來(lái)減少他們自己的工作量。
4.與外部審計師進(jìn)行溝通
公司層面的審核完成后，管理層應該與外部審計師一起對總體結論、有關(guān)支持性證據以及對流程層面的控制評估造成的影響進(jìn)行審核。管理層與外部審計師定期就檢查結果進(jìn)行交流可防止日后出現意想不到的情況。

（五）測試和評價(jià)流層層面的控制
1.尋找關(guān)鍵流程的關(guān)鍵控制點(diǎn)，評價(jià)控制設計有效性
在第二步中，項目組已經(jīng)找出了流程層面的關(guān)鍵控制，下一步就是與關(guān)鍵流程負責人共同確認流程中的關(guān)鍵控制點(diǎn)。確認關(guān)鍵控制點(diǎn)時(shí)，項目組要逐一選擇與風(fēng)險相關(guān)的重要控制活動(dòng)。在流程圖中尋找關(guān)鍵控制點(diǎn)時(shí)，應與流程負責人一并分析有關(guān)流程。在對風(fēng)險和控制點(diǎn)進(jìn)行記錄后，項目小組要評估有關(guān)控制是否按照其設計意圖，確保已將風(fēng)險降低到可接受的水平，即合理保證重要的財務(wù)錯報能夠被預防或及時(shí)發(fā)現。如果存在重大的設計缺陷，則需要在檢測運行有效性之前予以改進(jìn)。
2.評價(jià)控制運行有效性
對控制運行有效性的測試應該能夠讓測試人員了解控制程序、控制執行人、控制的連貫性。有效性測試有以下幾種：①員工問(wèn)答，員工問(wèn)答的目的是確認測試人員對控制設計的理解并識別未按照設計進(jìn)行控制的事項；②基于業(yè)務(wù)的測試，這類(lèi)測試中測試人員通過(guò)檢查第三步形成的文檔來(lái)確認控制是否按規定運行，并可以重新運行這部分流程來(lái)確認控制運行的有效性；③對照調節表，這種測試和審計師審計銀行存款余額調節表很類(lèi)似，就是看是否定期對照，偏差是否及時(shí)解決；④觀(guān)察測試，對于不經(jīng)常發(fā)生的控制活動(dòng)如實(shí)物盤(pán)點(diǎn)，觀(guān)察也是一種測試方法，但有時(shí)需要其它測試的補充才能保證嚴密性。
3.基于測試結果評價(jià)控制
如果測試的結果顯示控制程序按照規定進(jìn)行且沒(méi)有缺陷，那么我們可以得出結論認為流層層面的控制是有效的，如果測試結果顯示控制的設計或運行有效性存在缺陷，那么公司應該對流層層面控制有效性進(jìn)行判斷。同樣應該注意，所謂控制的有效性是就整個(gè)控制體系而言，我們在評價(jià)流層層面的控制時(shí)應該看它是否保證信息在處理過(guò)程中沒(méi)有失真，而不是看單一控制環(huán)節執行成功與否。
4.搜集支持性證據和與外部審計師定期溝通
搜集支持性證據的必要性如前面公司層面控制測試中所述。另外，由于404條款規定外部審計師要對企業(yè)內部控制自評過(guò)程和結果進(jìn)行評價(jià)，因此公司在進(jìn)行流程層面控制有效性的測試時(shí)應考慮外部審計師的意見(jiàn)。如果外部審計師認為測試不足以證明管理層對內控有效性的結論，公司就會(huì )被要求進(jìn)行額外的測試，因此公司在測試開(kāi)始之前就應該就測試方案與審計師達成共識，而測試過(guò)程中也應定期與審計師討論進(jìn)展情況。

六、中國網(wǎng)通對結構化方法的運用

中國網(wǎng)通是一家在香港和紐約兩地上市的中國企業(yè)，雖然其業(yè)務(wù)實(shí)體均在國內，但是根據SOX法案的要求，亦應在2006年7月15日后結束的財政年度達到SOX法案對內部控制的要求。因此在2004年11月首次境外IPO的前夕，中國網(wǎng)通便著(zhù)手開(kāi)始404條款合規的準備工作。截至今日，中國網(wǎng)通已經(jīng)向 SEC遞交了2006年度6-K表格，其20-F表格預期將于2007年6月提交。中國網(wǎng)通加強內部控制建設的“COSO內控項目”主要經(jīng)歷了四個(gè)主要階段。這幾個(gè)階段與前述的結構化方法有一定的對應性，可以看作是該方法在國內運用的一個(gè)例證。
　　第一階段是調研和計劃階段，包括了以下兩個(gè)子階段：
1.了解中國網(wǎng)通的構架和業(yè)務(wù)，建立內控項目組織機構
根據中國網(wǎng)通的架構和業(yè)務(wù)，成立內控項目組織機構。設立由公司總經(jīng)理領(lǐng)導的內控項目領(lǐng)導小組，下設財務(wù)總監領(lǐng)導的內控項目工作組。內控項目工作組下設內控項目辦公室（PMO），PMO下設公司層面控制（COSO）組和專(zhuān)業(yè)工作組。專(zhuān)業(yè)工作組分為財務(wù)、市場(chǎng)、計費、網(wǎng)絡(luò )運營(yíng)、采購、人力資源、資產(chǎn)、IT共８個(gè)小組。其中公司層面控制組的目標是確保內控機制的有效運行，專(zhuān)業(yè)工作組則致力于保證財務(wù)報告真實(shí)可靠。這是應對 404條款的基礎準備階段，亦可稱(chēng)為組織準備。在結構化方法中，我們并未將其單獨列為一個(gè)步驟，主要是因為這個(gè)步驟不牽涉內部控制制度建立和評價(jià)的技術(shù)方面，且比較簡(jiǎn)單，只需注意分析企業(yè)的構架和業(yè)務(wù)分支，對項目組進(jìn)行合理安排。但是應該注意，這一階段是每個(gè)公司遵循404條款的必經(jīng)階段，不容忽視。
２.進(jìn)行風(fēng)險評估，確定項目的范圍和計劃
這一階段主要是梳理會(huì )計政策、業(yè)務(wù)流程，從而揭示風(fēng)險并定義關(guān)鍵控制流程。首先，公司著(zhù)力建立符合境外會(huì )計準則的內控體系。過(guò)去的中國網(wǎng)通一直按照中國的會(huì )計法、會(huì )計準則和會(huì )計制度建立內控體系，這與美國準則存在差異，需要進(jìn)行調整。這部分工作對應了結構性方法中的第一部分，即選擇合適的內控框架。COSO框架是SEC和 PCAOB均認可的內控體系框架，中國網(wǎng)通選擇的即是該框架。其次，對流程進(jìn)行說(shuō)明，確定關(guān)鍵控制流程。公司規定對每一項經(jīng)濟業(yè)務(wù)的初始點(diǎn)到終點(diǎn)的環(huán)節做出描述，并將相關(guān)環(huán)節串起來(lái)形成流程關(guān)系，然后找出重要的業(yè)務(wù)活動(dòng)作為關(guān)鍵流程。通過(guò)揭示風(fēng)險，梳理業(yè)務(wù)流程，再經(jīng)過(guò)專(zhuān)家和網(wǎng)通總部各部門(mén)共同認定，確定列入內控范圍的流程。這部分工作對應的是結構性方法中的第二部分，即識別關(guān)鍵控制。中國網(wǎng)通在確認關(guān)鍵控制的時(shí)候是采取了第二種方法，即先分割流程，然后確認關(guān)鍵流程。
第二階段是內控體系設計階段。具體指制定流程層面的內控文檔并對內控設計的缺陷提出改進(jìn)建議，同時(shí)根據內控文檔制作內控標準模版。中國網(wǎng)通對每一個(gè)流程按照流程圖、流程描述、風(fēng)險描述及控制文檔三個(gè)構成要素形成文檔記錄。流程圖描述了每個(gè)業(yè)務(wù)的流程關(guān)系和從起點(diǎn)到終點(diǎn)設置的全部崗位，并表明哪一個(gè)環(huán)節是風(fēng)險控制點(diǎn)；流程描述，即結構化方法部分所指的流程每個(gè)環(huán)節的文檔，包括對每個(gè)環(huán)節的任務(wù)，如做什么、怎么做、控制人、完成時(shí)間等進(jìn)行描述；風(fēng)險描述及控制文檔中應包括風(fēng)險補救措施。這些正是結構化方法中形成文檔記錄階段所要完成的工作。
第三階段是整體推廣階段。中國網(wǎng)通將內控模版在現有上市實(shí)體中進(jìn)行推廣，規定內控推廣需完成的工作成果應包括：流程描述、流程圖、穿行測試文檔索引、穿行測試文檔、電子表格控制表、控制矩陣、內控管理問(wèn)題匯總表、內控管理建議書(shū)。這部分內容實(shí)際是規定了公司執行404條款過(guò)程中所需完成的關(guān)于內控體系建立、測試和評價(jià)的全部文檔。因此與結構化方法的第三、四、五部分對應，屬于對支持性證據的要求。
第四階段是符合性測試及改善階段。中國網(wǎng)通對404項目范圍內的省市公司進(jìn)行兩輪合規測試，對于內控缺陷進(jìn)行整改。首先分流程組檢查各分公司文檔的更新情況，根據更新后的文檔制作本地化測試底稿。第二步了解本地控制活動(dòng)的執行狀況，檢查標準測試方法的可行性，確定樣本量。第三步確定需測試的控制活動(dòng)和控制文檔。第四步測試并匯總結果。第五步對控制缺陷進(jìn)行整改，使通過(guò)整改的內控系統滿(mǎn)足404條款的要求。這實(shí)際對應了公司層面和流層層面的測試和評價(jià)。其中對控制缺陷的整改亦是內部控制評估的必然結果，在實(shí)務(wù)工作中基于自評估和內控審計結果進(jìn)行，也包含在結構化方法的框架中。
總之，對于中國網(wǎng)通等在美上市中國企業(yè)來(lái)說(shuō)，其管理水平大多處于從傳統科學(xué)管理向現代企業(yè)管理過(guò)渡的階段，內部控制制度才剛剛走向規范化，距離一些美國本土企業(yè)的成熟做法和成果還有很多缺陷和不足，但是按照SOX法案的強制監管要求建立完善企業(yè)內控制度是一個(gè)良好的契機和重要突破口。雖然本文所提出的結構化方法比較新，并且在實(shí)踐過(guò)程中還在不斷地完善著(zhù)，但是這一方法在國外已經(jīng)受到了廣泛采用，具有普遍的適用性。有了中國網(wǎng)通的成功經(jīng)驗，中國企業(yè)參照該方法預期將可較好的完成404條款的合規工作。

資料來(lái)源和參考文獻
中國注冊會(huì )計師協(xié)會(huì )，行業(yè)發(fā)展研究資料——美國薩班斯法案
NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002, April 13, 2005　
FEI Special Survey on Sarbanes-Oxley Section 404 Implementation Executive Survey,
July 2004.
付秀娜，不同公司治理結構模式比較研究，天津市財貿管理干部學(xué)院學(xué)報，2006年第2期，p12
陳漢文、吳益兵、李榮、徐臻真，薩班斯法案404條款：后續進(jìn)展，會(huì )計研究，2005年第2期，p83
余成國，中國移動(dòng)內部控制問(wèn)題研究，[學(xué)位論文]，華中科技大學(xué)，2006年
劉迎賓，“薩班斯法案”對在美國上市的中國企業(yè)影響分析，經(jīng)濟師，2006年第2期，p59
闞京華，我國內部控制制度性缺陷，中國審計，2006年第9期，p60-61
Larry E. Rittenberg and Patricia K. Miller, Sarbanes-Oxley Section 404 Work: Looking at the Benefits, p16-17
Ramos, Michael. How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John Wiley & Sons, Incorporated, 2004.
陽(yáng)杰、黃昌勇，《薩班斯法案》404條款遵循的若干實(shí)務(wù)問(wèn)題研究，廣東商學(xué)院學(xué)報，2006年7月總第87期，p66
Protiviti, Frequently Asked Questions Regarding Section 404, Protiviti Inc, 2004(9)，p48-52
孫啟偉，建立符合《薩班斯法案》要求的遼寧網(wǎng)通內控制度，遼寧經(jīng)濟，2006年第8期，p77
中國網(wǎng)通內控體系建設初見(jiàn)成效，通信世界，2006年7月31日，A10

【中國上市公司遵循SOX款的影響和應對方法】相關(guān)文章：

中國上市公司遵循SOX404條款的影響和應對方法(上)03-06

上市公司盈利能力和影響因素的實(shí)證研究03-24

商標翻譯的影響因素和翻譯方法03-24

中國制造業(yè)上市公司績(jì)效影響因素的實(shí)證研究03-03

淺析利潤質(zhì)量的影響因素和提升方法03-24

中國鋼鐵行業(yè)上市公司資本結構的影響因素研究12-09

探索適合上市公司稅務(wù)內控體系的構建意義和方法03-27

交叉持股對上市公司影響解析03-21

論文中國文化和審美對中國傳統窗式的影響12-07