【摘要】隨著我國經(jīng)濟的高速發(fā)展，越來越多的國內(nèi)企業(yè)在規(guī)模上達到了世界一流水平，而管理水平、綜合素質(zhì)也有了長足的進步。企業(yè)擴張的需求促使他們到美國股市尋求海外融資，然而問題也應(yīng)運而生。
2001 年安然、世通等財務(wù)欺詐丑聞造就了《薩班斯-奧克斯利法案》的誕生，其中最為嚴厲、最富有爭議的條款是旨在加強上市公司內(nèi)控制度并保證財務(wù)報告可靠性的 404條款。按照SEC的規(guī)定，在美國上市的非本土公司須和本土公司一樣遵循SOX404，我國內(nèi)地和香港現(xiàn)共有近百家公司在美國融資上市，SOX404 的合規(guī)是它們不得不面對的挑戰(zhàn)。
中國公司內(nèi)部控制薄弱，精細化管理和流程管理都不完善，在實際操作中遇到了眾多問題。本文旨在分析中國赴美上市企業(yè)遵循SOX404的機遇和挑戰(zhàn)，并試圖在結(jié)合中國現(xiàn)狀的基礎(chǔ)上借鑒其他國家的經(jīng)驗，提出應(yīng)對方法，從而為中國公司更好地順應(yīng)這一變化提供幫助。

關(guān)鍵字：薩班斯法案，404條款，內(nèi)部控制，結(jié)構(gòu)性方法

Abstract
With rapid development of Chinese economy, more and more Chinese corporations have reached world-class in scale. Taken into consideration of broadened sight and better management, Chinese corporations are becoming more competitive. Out of the growing needs in expansion, many of them started financing by listed in US stock market. Then came the problem.
After financial frauds arose in Enron, Worldcom and other companies, US government issued Sarbanes-Oxley Act of 2002. Section 404 of the act which extremely emphasizes on effectiveness of internal control in order to guarantee the reliability of financial report is the harshest and most controversial part. According to SEC regulations, all non-American issuers are liable to comply with SOX404. In regard of this, SOX404 is a great challenge that the Chinese corporations listed in US stock market have to confront.
Chinese corporations are still weak in internal control, refined management and activity process management. Undoubtedly many of them have some problems in complying with such a harsh regulation as SOX404. The dissertation aims at digging out the obstacles that most Chinese corporations applicable to SOX404 have to face and tries to give some suggestions basing on their current status and overseas experiences. The conclusion is helpful for Chinese corporations to better comply with SOX404.

Key words: Sarbanes-Oxley Act, SOX404, internal control, structured approach

目錄
一、序言••••••••••••••••••••••••••••••••••••••••••••••••••1
（一）研究目的和意義••••••••••••••••••••••••••••••••••••••1
（二）研究思路和內(nèi)容••••••••••••••••••••••••••••••••••••••1
二、文獻綜述••••••••••••••••••••••••••••••••••••••••••••••1
三、薩班斯法案404條款的相關(guān)規(guī)定和社會影響••••••••••••••••2
（一）薩班斯法案404條款的相關(guān)規(guī)定••••••••••••••••••••••••2
（二）薩班斯法案404條款的社會影響••••••••••••••••••••••••3
四、中國企業(yè)遵循薩班斯法案404條款：機遇與挑戰(zhàn)••••••••••••4
（一）機遇方面••••••••••••••••••••••••••••••••••••••••••••4
（二）挑戰(zhàn)方面••••••••••••••••••••••••••••••••••••••••••••6
五、中國企業(yè)如何遵循SOX404：結(jié)構(gòu)化方法••••••••••••••••••8
（一）選擇合適的內(nèi)控框架••••••••••••••••••••••••••••••••••8
（二）識別關(guān)鍵控制••••••••••••••••••••••••••••••••••••••••9
（三）形成文檔記錄•••••••••••••••••••••••••••••••••••••••10
（四）測試和評價公司層面的控制•••••••••••••••••••••••••••11
（五）測試和評價流層層面的控制•••••••••••••••••••••••••••12
五、中國網(wǎng)通對結(jié)構(gòu)化方法的運用•••••••••••••••••••••••••••13
資料來源和參考文獻•••••••••••••••••••••••••••••••••••••••14

一、 序言

（一） 研究目的和意義
2001年底，美國最大的能源交易商——安然公司財務(wù)造假案爆發(fā)并申請破產(chǎn)，震驚世界。其外部審計師——原五大會計師事務(wù)所之一的安達信會計師事務(wù)所也因?qū)徲嬍『头恋K司法遭到倒閉的命運。事件的硝煙還未散盡之時，又接連爆發(fā)了施樂、世通等大公司的財務(wù)造假案。全球互聯(lián)網(wǎng)泡沫破滅的影響加上這一系列的財務(wù)丑聞產(chǎn)生了多米諾骨牌效應(yīng)，一時引發(fā)人們對美國資本市場的信任危機。于是，在各方的敦促之下，美國國會參眾兩院加快了立法進程，力圖彌補美國資本市場存在的制度性缺陷。2002年7月25日，美國國會討論通過了《2002年公眾公司會計改革和投資者保護法案》，即《2002年薩班斯—奧克斯利法案》（簡稱薩班斯法案），2002年7月30日經(jīng)美國總統(tǒng)布什簽署，正式生效。
薩班斯法案最嚴歷、最復(fù)雜、最富有爭議的部分當屬404條款。根據(jù)404條款的規(guī)定，公司管理層應(yīng)當承擔設(shè)立和維持一個應(yīng)有的內(nèi)部控制結(jié)構(gòu)的職責，上市公司必須在年報中提供內(nèi)部控制報告，而負責公司年度報表審計的會計師事務(wù)所應(yīng)該就此出具內(nèi)部控制評價報告。不難看出，404條款的目的就在于從源頭上把關(guān)，提高公司財務(wù)信息的可靠性。
近年來，越來越多的中國企業(yè)在規(guī)模上達到了世界一流水平。基于中國這一高速發(fā)展中的巨大市場，許多電信、能源、互聯(lián)網(wǎng)企業(yè)迅速的成長著。擴張的需求促使它們積極尋求海外融資，而它們中的許多選擇了全球最大最成熟的資本市場——美國股市。由于薩班斯法案并沒有豁免實施的規(guī)定，這意味著在美國上市的非本土公司必須和本土公司一樣遵循薩班斯法案。對于眾多已經(jīng)和即將準備在美國上市的中國企業(yè)來說，薩班斯法案的合規(guī)是它們不得不面對的挑戰(zhàn)。而最大的挑戰(zhàn)來自于404條款。之所以稱之為挑戰(zhàn)，一方面是因為該條款近乎嚴苛的規(guī)定，而另一方面則是中國企業(yè)在內(nèi)控方面的先天不足。本文寫作的目的就在于為中國企業(yè)應(yīng)對404條款的考驗提供一般性的方法建議。

（二） 研究思路和內(nèi)容
本文試圖采用定性的方法，研究中國企業(yè)遵循薩班斯法案404條款的問題。首先總結(jié)404條款的相關(guān)規(guī)定，之后分析中國企業(yè)執(zhí)行404條款的好處以及面臨的挑戰(zhàn)，最后結(jié)合國外的成功經(jīng)驗，給出一套系統(tǒng)的遵循方案，從而為中國公司更好的順應(yīng)這一變化提供幫助，并用中國網(wǎng)通的實踐經(jīng)驗作為國內(nèi)應(yīng)用該法的例證。
本文主要分為以下幾部分：上述序言部分是對本文研究的內(nèi)容、目的、意義的介紹；其次是對國內(nèi)外文獻的回顧；第三部分對薩班斯法案404條款進行介紹，并闡述其影響；第四部分闡述中國企業(yè)遵循404條款的意義、實施障礙分析；第五部分研究中國企業(yè)的應(yīng)對方法，給出系統(tǒng)的遵循方案；第六部分通過中國網(wǎng)通 “COSO內(nèi)控項目”的實例佐證本文所述結(jié)構(gòu)化方法的可行性。

二、文獻綜述

內(nèi)部控制作為既有理論價值又具有實踐意義的重要研究課題，目前在各國理論界己經(jīng)進行了較為系統(tǒng)、深入的研究。1992年，美國專門研究企業(yè)內(nèi)部控制問題的COSO委員會（the Committee of Sponsoring Organizations of the Treadway Commission）在《內(nèi)部控制——整體框架》（Internal Control-Integrated Framework）中提出了財務(wù)、營運和遵循三個目標，以及控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控五項要素，從而把對內(nèi)部控制的認識統(tǒng)一了起來，并給內(nèi)部控制理論及實務(wù)帶來了突破性的進展。隨著薩班斯法案的制定，理論界對內(nèi)部控制的研究更是達到了高潮。近兩年來理論界在內(nèi)部控制方面的研究進展主要集中在以下幾個方面:一是使內(nèi)部控制與企業(yè)的風險管理相結(jié)合；二是使內(nèi)部控制與公司治理和組織結(jié)構(gòu)相對接；三是從管理學(xué)和經(jīng)濟控制論入手豐富內(nèi)部控制理論；四是把傳統(tǒng)的建立在實體經(jīng)濟基礎(chǔ)上內(nèi)部控制拓展到信息經(jīng)濟。
除了內(nèi)部控制理論層面的研究進展，在404條款合規(guī)的實務(wù)層面，西方學(xué)者也提出了自己的觀點。站在執(zhí)行者的角度，Ramos, Michael（2004）提出了十分具體的404條款遵循方案。他將內(nèi)部控制有效性評價的實務(wù)工作分為項目計劃、確定關(guān)鍵控制點、文件證據(jù)、評估內(nèi)控設(shè)計、評估內(nèi)控執(zhí)行效果、準備報告六個步驟，并提出了每個步驟的執(zhí)行方法和注意事項，對公司和企業(yè)都給出了意見。Joel C.Quall則提出了404合規(guī)的“五步法”，分別是設(shè)立專門委員會和工作小組、文件證據(jù)、測試、評估和報告。站在政策制定者的角度，Parveen P. Gupta和Tim Leech（2005）指出造成404條款困境的根本問題，并建議：法規(guī)中納入風險容忍度的概念，加強對管理層評估過程的審計，保留對內(nèi)控文檔的強制性規(guī)定，規(guī)定性的要求公司每季度更新文檔，賦予公司決定內(nèi)控測試水平的靈活性，盡早出臺針對公司的指引。
近年來，我國學(xué)者也在積極探索企業(yè)內(nèi)部控制的相關(guān)問題，在解析COSO報告框架基礎(chǔ)上相繼提出了內(nèi)部控制與公司治理契合（李連華，2005）、內(nèi)部控制風險管理總體框架ERM應(yīng)對策略（茹越峰，2006）、內(nèi)部控制自評價技術(shù)CSA（林朝華，唐予華，2003）等新觀點。但就其實務(wù)進展和實證研究而言，總體上仍是以具體的內(nèi)部控制框架設(shè)計為主，對更深層次的控制方式和運行機制尚未展開系統(tǒng)研究，現(xiàn)實需求強烈的404條款合規(guī)方面的實務(wù)研究也進展緩慢。由于SEC并未出臺針對公司的404條款合規(guī)指引，而目前的404條款和細則的規(guī)定都比較模糊，因此公司對內(nèi)控測試有效性的評估基本是按照PCAOB2號審計準則的規(guī)定比照COSO框架進行。而中國企業(yè)在執(zhí)行404條款完善內(nèi)部控制方面還處于起步階段，并無許多案例可供分析，造成國內(nèi)相關(guān)研究基本空白，且大部分是針對個別企業(yè)的研究，不具有普遍性。本文的研究就是從中國企業(yè)的普遍狀況出發(fā)，指出差距，并結(jié)合國外成熟的研究成果，給出一般性的遵循方法，具有一定的現(xiàn)實意義。

三、薩班斯法案404條款的相關(guān)規(guī)定和社會影響

（一） 薩班斯法案404條款的相關(guān)規(guī)定
薩班斯法案顯示了美國國會強化公司責任的強硬手段，它試圖從根本上改變企業(yè)的經(jīng)營環(huán)境和法律環(huán)境，其目的在于強化公司的責任，通過加強內(nèi)部控制，來改進公司治理狀況，提高財務(wù)信息質(zhì)量，并最終恢復(fù)投資者對美國資本市場的信心。該法案對美國《1933年證券法》、《1934年證券交易法》做了不少修訂，在會計職業(yè)監(jiān)管、公司治理、證券市場監(jiān)管等方面做出了許多新的規(guī)定。
綜觀 SOX 法案七項主要內(nèi)容，其中與上市公司最為密切相關(guān)的是第三、第四和第五項規(guī)定。第三、第五項規(guī)定主要是強調(diào)了公司高層管理人員對公司財務(wù)信息可靠性負有的責任，并不需要公司做出太多實質(zhì)性的工作。而第四項規(guī)定，即關(guān)于公司內(nèi)部控制有效性的強制性規(guī)定，主要針對的就是404條款。
404條款主要包括了兩個方面的內(nèi)容 ：內(nèi)部控制方面和內(nèi)部控制評價報告方面。分別側(cè)重于公眾公司的角度和外部審計師的角度，以求全面保障公眾公司內(nèi)部控制的有效性，從而提高公司治理水平和會計信息質(zhì)量。
內(nèi)部控制方面的要求包括：⑴強調(diào)公司管理層建立和維護內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責任；⑵發(fā)行人管理層最近財政年度末對內(nèi)部控制體系及控制程序有效性的評價。內(nèi)部控制評價報告方面的要求是：對于企業(yè)管理層對內(nèi)部控制的評價，擔任公司年報審計的會計公司應(yīng)當對其進行測試和評價，并出具評價報告。上述評價和報告應(yīng)當遵循委員會發(fā)布或認可的準則。上述評價過程不應(yīng)當作為一項單獨的業(yè)務(wù)。

（二） 薩班斯法案404條款的社會影響
1.薩班斯法案404條款使監(jiān)管思想和理念發(fā)生根本性轉(zhuǎn)變
眾所周知，美國在1929年經(jīng)濟大危機之后頒布了《1933年證券法》和《1934年證券交易法》，這兩部法律對于美國資本市場甚至美國經(jīng)濟具有里程碑一樣的重大意義。而SOX法案被認為是繼這兩部法律之后對美國經(jīng)濟影響最為廣泛和深遠的改革法案。與過于的法律相比，SOX法案強調(diào)過程。這一點最集中和明顯的體現(xiàn)在了404條款的規(guī)定中。在過去70年的時間里，對投資者的保護著重于結(jié)果的報告，即為公眾提供公允、透明的財務(wù)成果信息及幫助理解這些財務(wù)成果的其它相關(guān)信息。人們普遍認為基于這些信息，投資者足以做出正確的決策，SOX法案改變了這一切。SOX法案的精神認為，僅僅提供財務(wù)成果是不夠的，公司還必須分析和評估達到這些成果的過程。因此它帶來的是一場監(jiān)管理念的徹底轉(zhuǎn)變，即從簡單的信息披露轉(zhuǎn)向?qū)嵸|(zhì)性管制。
SOX法案的出臺，使全球各國監(jiān)管部門、企業(yè)和投資者都把關(guān)注的目光放在公司治理和全面風險管理上。就在在美上市中國企業(yè)迎來SOX法案考驗的2006年7月15日，經(jīng)國務(wù)院批準，由財政部牽頭發(fā)起，證監(jiān)會、國資委共同參與成立的“企業(yè)內(nèi)部控制標準委員會”正式在北京成立，這預(yù)示著我國企業(yè)在內(nèi)部控制方面將迎來一部類似美國SOX法案的標準體系。
2.上市公司對薩班斯法案404條款的反應(yīng)
為了了解SOX法案的施行對上市公司的影響，美國全國證券交易商自動報價系統(tǒng)協(xié)會（NASDAQ）于2005年4月面向當時在NASDAQ掛牌的3053個發(fā)行商進行了一項調(diào)查。由于SOX404的規(guī)定被認為是財務(wù)報告體系最重要的改變，我們可以合理地認為上市公司所謂受到施行SOX法案的影響也主要來源于404條款的執(zhí)行。從 NASDAQ的這份調(diào)查中，我們可以得到許多有意義的信息：
⑴大多數(shù)企業(yè)承認施行SOX法案是必要的
在接受調(diào)查的公司中，有74% 認為SOX法案應(yīng)該執(zhí)行。58%的接受調(diào)查者認為由于執(zhí)行了法案，財務(wù)控制有效加強了；33.3%的接受調(diào)查者認為公司披露信息更加完善；另有28.4% 的公司認為投資者的信心有效恢復(fù)。事實上，早在SOX法案出臺之前，人們就紛紛認識到美國資本市場可能存在制度上的缺陷，而SOX法案針對這一缺陷進行了嚴厲而徹底的改革。這對于受到財務(wù)丑聞重傷后充滿信任危機的美國資本市場無疑是必要的。企業(yè)也都認為加強內(nèi)部控制，從根本上改善公司治理是大勢所趨。
⑵關(guān)鍵問題是404條款的執(zhí)行成本
接受調(diào)查的企業(yè)大多數(shù)的討論集中在404條款的執(zhí)行成本上，主要包括中介費和機會成本。90.2%的企業(yè)反映執(zhí)行成本太高。他們普遍反映預(yù)算成倍上升，主要精力不能夠充分放在核心業(yè)務(wù)和戰(zhàn)略層面地工作上。在NASDAQ的調(diào)查報告中顯示，每家發(fā)行商在執(zhí)行404條款的第一年平均花費在110萬美元，那么即使保守估計，在NASDAQ掛牌的全部上市公司在執(zhí)行404條款上要花費35億美元。而根據(jù)國際財務(wù)執(zhí)行官(FEI)對224家企業(yè)的調(diào)查結(jié)果，每家需要遵守SOX法案的美國大型企業(yè) 第一年實施404條款的總成本超過800萬美元。像通用電氣和匯豐銀行這樣經(jīng)營廣泛的大型跨國企業(yè)在404條款的合規(guī)上花銷更是驚人，分別達到了3000萬美元和2840萬美元。
⑶業(yè)務(wù)簡單、管理集中的小型上市公司雖然實施工作會相對簡單，卻恰恰可能受到最猛烈的沖擊
眾多小型上市公司一直抱怨404條款的遵循成本與收益嚴重不成比例，并導(dǎo)致它們考慮退市或出售公司。NASDAQ調(diào)查報告顯示，營業(yè)收入在1億美元以下的公司，其花費在404條款合規(guī)工作中的成本占收入的百分比是營業(yè)收入在20億美元以上公司的11倍。對于中小型上市公司來說404條款在某些方面是過于嚴格了一些，這會限制一些企業(yè)的靈活性和創(chuàng)造力。因此，在反對聲中，小型上市公司實施404條款的期限得以一再推延

3.其他方面對薩班斯法案404條款的反應(yīng)
除了上市公司以外，提供中介服務(wù)的審計、咨詢、法律顧問還有IT廠商方面也深受SOX404的影響，只不過對于他們來說，404條款的實施是一個利好消息。由于內(nèi)部控制評價報告包含在財務(wù)報告內(nèi)，并按規(guī)定由承擔公司年度報表審計的會計師事務(wù)所出具，那么對會計師事務(wù)所來說，簽一份項目協(xié)議，工作量卻大了，相應(yīng)的報酬也會增加。根據(jù)NASDAQ的調(diào)查報告，90%的接受調(diào)查公司的審計費用較實施404條款之前永久性的增加了。FEI報告顯示，因404條款的執(zhí)行，增量審計費用達到原審計費用的53%。同時，內(nèi)控審計有助于控制審計風險，并減少大量的實質(zhì)性測試工作。上市公司要對財務(wù)報告內(nèi)部控制有效性負責，迫于SOX法案的嚴厲，也會更加審慎。因此總的說來，404條款降低了審計風險，提高了審計收入。另外，404條款要求企業(yè)針對影響財務(wù)數(shù)據(jù)的所有作業(yè)流程都做到高透明度、可控制、實時風險管理并防治欺詐，還要求這些流程具有可追查到交易源頭的詳細記錄。為此，上市公司需要投入大量IT資源參與 404條款的實施。IT廠商為實施SOX法案的上市公司提供技術(shù)上的支持，幫助公司進行系統(tǒng)的建設(shè)，還可以提供相應(yīng)的服務(wù)來滿足公司的不同需求，這是一塊價值很大的市場。上市公司在施行SOX法案時缺少相關(guān)經(jīng)驗，有很多時候很難獨立完成404條款的合規(guī)工作，這時一些專業(yè)的咨詢公司或會計師事務(wù)所可以幫助公司一起完成這些工作，對于咨詢行業(yè)這是一個新的市場契機。同樣，對于嚴苛的SOX法案，肩負重大責任的公司高層管理人員承受很大的壓力，一旦無法通過，公司將面臨法律風險，這時需要專業(yè)法律顧問的服務(wù)。所以對于廣大的SOX合規(guī)相關(guān)服務(wù)提供商而言，SOX404條款的實施是機遇大于挑戰(zhàn)。
最支持這項法案實施的無疑還是投資者組織和證券監(jiān)管機構(gòu)。SOX法案尤其是404條款對上市公司財務(wù)報告產(chǎn)生的流程進行了嚴厲的實質(zhì)性監(jiān)管，可以有效保障投資者的利益，對于投資者來說，404條款是他們對資本市場維持信任的保證。而SEC堅持認為一旦發(fā)生重大的會計丑聞，損失將遠遠超過法案遵循的成本，因此 SOX法案的實施必須進行下去。SEC認為短期上市成本的上升換來一個信息透明的證券市場是值得的，這對于公司提升長久的競爭力是有益的。

四、中國企業(yè)遵循薩班斯法案404條款：

機遇與挑戰(zhàn)

(一)機遇方面
1.完善公司法人治理結(jié)構(gòu)，體現(xiàn)融資效應(yīng)
我國公司的股份制改革進行得還不夠徹底，也就決定了大多數(shù)中國公司，包括在美上市的中國公司在公司治理結(jié)構(gòu)方面還存在著一些不合理方面。主要體現(xiàn)在 ：
⑴股權(quán)高度集中，資本市場對經(jīng)營者的約束不強
在資本市場完善的情況下，雖然每一投資者在企業(yè)中的股份很小，然而一旦公司經(jīng)營不善，人們便可“用腳投票”，導(dǎo)致該公司股票價格下跌，一些股東便有可能通過發(fā)動代理權(quán)競爭或敵意收購來接管公司的控制權(quán)，解雇經(jīng)理人員。然而我國目前的證券市場只是給企業(yè)提供了融資渠道，國有股的比例過高，即使能將某上市公司的流通股全部買進，也不能取得公司的控制權(quán)，資本市場對經(jīng)營者的約束非常有限。盡管國有股正在進行某種程度的減持，但我國的社會性質(zhì)決定了國有股依然會占重要比重。
⑵董事會的內(nèi)部人控制
董事會理應(yīng)在監(jiān)督經(jīng)營方面起重要作用，然而由于我國國有股、法人股占絕大比例，且國有股權(quán)“虛置”，法人股權(quán)“異化”，導(dǎo)致事實上的董事會無效。盡管我國可通過制定有關(guān)規(guī)章來保護中小投資者，完善公司治理結(jié)構(gòu)，但只要股權(quán)集中，董事會的內(nèi)部人控制現(xiàn)象就不可避免。
我國企業(yè)在美國資本市場上市，就要受美國投資者的監(jiān)督，特別是在美國資本市場因一連串的會計丑聞發(fā)生信任危機之后，投資者會用更審慎的眼光來考量上市公司的經(jīng)營質(zhì)量。好的公司治理結(jié)構(gòu)意味著投資者能夠有效地監(jiān)督企業(yè)對資源的利用和分配，保障股東的合法權(quán)益，因此會獲得更多投資者的親睞。一定程度上，上市公司對資金的競爭也是公司治理水平的競爭。目前，隨著中國經(jīng)濟的良好發(fā)展，國外投資者對中國企業(yè)，尤其是一些壟斷行業(yè)的大型企業(yè)的發(fā)展前景無疑十分看好。因此，中國企業(yè)在美上市能否吸引足夠的資金的關(guān)鍵在于是否具備令美國投資者認可的公司治理能力。
目前，在美上市的中國企業(yè)也與美國本土企業(yè)一樣需要執(zhí)行SOX法案，這在客觀上是一個強制提升公司治理水平的動力，有益于提高中國企業(yè)公司治理水平與國際接軌的速度。雖然，在短時間內(nèi)改變公司的股權(quán)結(jié)構(gòu)是不現(xiàn)實的，但是公司可以通過改變董事會結(jié)構(gòu)，增加獨立董事的方法改善投資者缺位的現(xiàn)象。另外，SOX法案中關(guān)于獨立審計委員會的規(guī)定有益于公司治理結(jié)構(gòu)從三元一體向四元一體轉(zhuǎn)化，強化了對管理層的監(jiān)督功能。
2.加強內(nèi)部控制，提升企業(yè)經(jīng)營能力
內(nèi)部控制是一個廣義的概念，包括了公司運營的各個方面，具有廣泛的意義。內(nèi)部控制是現(xiàn)代企業(yè)管理的重要組成部分，恰當運用內(nèi)部控制，有利于企業(yè)改善經(jīng)營方式，實現(xiàn)經(jīng)營目標;保護企業(yè)各項資產(chǎn)的安全和完整，防止資產(chǎn)損失或損害;保證業(yè)務(wù)經(jīng)營信息和財務(wù)會計資料的真實性和完整性;提高工作效率及經(jīng)濟效益。因此，內(nèi)部控制是否健全，是企業(yè)經(jīng)營成敗的一個關(guān)鍵。
但同時，內(nèi)部控制又是中國企業(yè)普遍忽視的部分。雖然國內(nèi)企業(yè)也存在內(nèi)部控制的相關(guān)措施，但是內(nèi)部控制概念框架的完整性、控制體系的科學(xué)性、執(zhí)行的嚴肅性、控制執(zhí)行后的有效性及后續(xù)措施都存在很多問題。在國內(nèi)內(nèi)控法規(guī)體系還不完備的條件下，企業(yè)尚可以在潛規(guī)則下運行，而一旦企業(yè)走向美國資本市場，就要按SOX法案的規(guī)則行事，內(nèi)部控制的完善不僅重要，而且無可回避。
為了配合SOX法案404條款有關(guān)內(nèi)部控制規(guī)定的實施, SEC提出了“財務(wù)呈報內(nèi)部控制”的操作性定義，把404條款所指的內(nèi)部控制限定在與財務(wù)呈報有關(guān)的內(nèi)部控制的范圍之內(nèi)，這樣做的目的在于提高可實施性，也最大程度的體現(xiàn)了內(nèi)部控制的效益。與財務(wù)呈報有關(guān)的內(nèi)部控制包含了對財務(wù)成果產(chǎn)生實質(zhì)性影響的一系列控制，涵蓋了交易的起始、授權(quán)、執(zhí)行、記錄、報告，為其他非主要控制提供實施標準，統(tǒng)領(lǐng)了其他控制的執(zhí)行。從而我們可以認為，成功實施404條款可以有效提高企業(yè)整體內(nèi)控水平，提升企業(yè)的經(jīng)營能力。
3.完善內(nèi)控信息系統(tǒng)建設(shè)，加速企業(yè)信息化進程
如今企業(yè)經(jīng)營管理現(xiàn)代化的一個普遍趨勢是，隨著企業(yè)管理幅度的擴大與深度的加深，企業(yè)流程自動化水平不斷提高，內(nèi)部控制與流程管理緊密結(jié)合。大量的業(yè)務(wù)流程被自動化設(shè)備、信息系統(tǒng)所執(zhí)行，不再像過去那樣能夠由業(yè)務(wù)人員簡單的描述企業(yè)運作的各個流程。如何將被系統(tǒng)固化的業(yè)務(wù)流程重新展現(xiàn)出來，如何全盤的了解企業(yè)各業(yè)務(wù)流程中的風險控制情況，這些問題需籍由內(nèi)控信息系統(tǒng)解決。
內(nèi)控信息系統(tǒng)的作用包括：提供集成的管理信息，實現(xiàn)業(yè)務(wù)數(shù)據(jù)和資料共享;提高運營統(tǒng)計、財務(wù)和其他管理信息的真實性、準確性、完整性、及時性，滿足內(nèi)部經(jīng)營管理和外部信息披露的要求;理順和規(guī)范業(yè)務(wù)管理流程，明晰職責，實現(xiàn)業(yè)務(wù)處理的標準化和規(guī)范化;實現(xiàn)內(nèi)部控制和預(yù)警，通過規(guī)范的管理流程，明確分工，為各管理層次的有效控制提供依據(jù)，限制隨意性;通過業(yè)務(wù)分析及建模工具，提供規(guī)劃、預(yù)測及多維分析，為決策層提供準確、及時的信息和報表，為公司科學(xué)決策提供有力支持;通過向各部門和管理層提供共享、準確、及時的信息，為公司各種資源的統(tǒng)一規(guī)劃、合理調(diào)度、綜合利用提供依據(jù)和保障;為公司內(nèi)部的績效控制和績效考核，以及內(nèi)部審計提供準確、詳實的數(shù)據(jù)等等。這些作用均可以歸納進入內(nèi)部控制體系所倡導(dǎo)的三個基本目標，即運營目標、財務(wù)目標和合法目標。
由此可見，完善的內(nèi)控信息系統(tǒng)不應(yīng)獨立于企業(yè)原有管理信息系統(tǒng)和財務(wù)信息系統(tǒng)之外，而是融合于統(tǒng)一的業(yè)務(wù)流程管理系統(tǒng)之中的，企業(yè)內(nèi)控管理也因此可以脫離對原有的靜態(tài)文檔的跟蹤管理，轉(zhuǎn)變成對業(yè)務(wù)流程的動態(tài)跟蹤管理。通過404條款的實施，建立完善的內(nèi)控信息系統(tǒng)，將不僅對于日后的合規(guī)工作提供便利，更將公司的信息系統(tǒng)從戰(zhàn)略層面上整體提升，有利于提高企業(yè)信息化水平和運營效率。

（二）挑戰(zhàn)方面
1.粗放型的經(jīng)營管理模式難以應(yīng)對404條款的考核
中國企業(yè)既有的發(fā)展方式基本上追求的都是量的擴張，在實際運營活動中，靠經(jīng)驗、拍腦門式的粗放型投資管理模式在某些地區(qū)、某些企業(yè)中不同程度的存在。戰(zhàn)略規(guī)劃在落實的過程中淪為了口號。目前，中國企業(yè)的管理模式更多的是基于KPI驅(qū)動的管理方法，不同程度的存在重視營銷，輕視管理的現(xiàn)象。在統(tǒng)籌管理上，往往是集團公司通過考核指標的設(shè)定和每年考核重點的變動，實現(xiàn)對公司整體的驅(qū)動，省級公司對地市級公司的管理也采用同一模式。在實際執(zhí)行中，基層的業(yè)務(wù)人員日常工作主要是為了完成自己的考核指標，但在完成指標的方法、計劃上并沒有太大限制，這就導(dǎo)致公司的實際運營工作被分成了若干孤立的點，從而為系統(tǒng)性的風險評估帶來障礙。而根據(jù)SOX法案的要求，公司必須對運營風險有充分的把握，并做好預(yù)案。法案還要求公司在內(nèi)部控制方面必須嚴格地精細化，運營的每個環(huán)節(jié)都必須在公司可控的范圍內(nèi)，這將直接對原有的粗放型管理模式造成挑戰(zhàn)。
2.現(xiàn)有的內(nèi)控體系與SOX法案的要求相去甚遠
我國企業(yè)現(xiàn)在的內(nèi)控體系存在很多制度性缺陷 ：
首先，內(nèi)部控制理念落后，導(dǎo)致內(nèi)部控制規(guī)范缺乏科學(xué)性。在內(nèi)控理論和實踐比較完善的美國，內(nèi)部控制大致上經(jīng)歷了內(nèi)部牽制、內(nèi)部控制制度、內(nèi)部控制結(jié)構(gòu)、內(nèi)部控制整體框架四個階段。近來又提出了企業(yè)風險管理整體框架（Enterprise Risk Management-Integrated Framework）。我國內(nèi)部控制的定義還基本停留在內(nèi)部控制結(jié)構(gòu)階段，而且基本套用了西方的定義。在實務(wù)操作上，則局限在會計控制的范疇，也就是只強調(diào)內(nèi)部控制系統(tǒng)概念中的會計控制部分，沒有把內(nèi)部控制視為流程管理的一部分，這可以說是十分原始和落后的，根本滿足不了404條款對內(nèi)控的要求。
其次，內(nèi)部控制目標片面，缺乏體系性。1992年美國COSO委員會發(fā)布了內(nèi)部控制整體框架提出了營運、財務(wù)、遵循三個方面的內(nèi)部控制目標。2004 年，COSO委員會又發(fā)布了新的內(nèi)部控制框架——企業(yè)風險管理整體框架。企業(yè)風險管理在滿足前述三類目標的基礎(chǔ)上也應(yīng)滿足戰(zhàn)略目標。我國內(nèi)部控制目標現(xiàn)在局限于財務(wù)目標和遵循目標，體現(xiàn)了審計需求和政府監(jiān)管導(dǎo)向，但是忽視了營運目標和戰(zhàn)略目標，很難將內(nèi)部控制與企業(yè)的經(jīng)營管理和戰(zhàn)略發(fā)展相結(jié)合，因而難以調(diào)動企業(yè)完善內(nèi)控制度建設(shè)的積極性，也削弱了內(nèi)控制度的積極意義。
第三，控制責任主體單一化，不利于內(nèi)部控制的實施。企業(yè)風險管理框架要求整體中的每個人都對企業(yè)風險持主體的風險管理理念，并在各自的責任范圍內(nèi)依據(jù)風險容忍度去管理風險。在這個過程中，風險控制者、財務(wù)官、內(nèi)部審計師等都負有相應(yīng)責任。而我國內(nèi)控制度的責任主體僅明確為單位負責人，不利于內(nèi)部控制有效地推行和監(jiān)控，缺乏全員控制意識。
第四，重視業(yè)務(wù)細節(jié)控制，忽視企業(yè)整體風險管理?？v觀我國內(nèi)部控制具體規(guī)范，內(nèi)部控制是按照一個一個業(yè)務(wù)環(huán)節(jié)確定關(guān)鍵控制點，設(shè)置相應(yīng)的控制措施。這是控制在實施層面的細節(jié)體現(xiàn)，但是缺乏一個整體觀。實際控制有效性、風險及控制投入是有一個最佳平衡點的，過于專注于瑣碎的控制點而忽視整體控制有效性是企業(yè)容易陷入的一個誤區(qū)。
第五，強調(diào)硬性控制，輕視軟性控制。軟性控制主要是指屬于精神層面的控制方面。美國內(nèi)部控制整體框架把控制環(huán)境作為內(nèi)控的基礎(chǔ)，直接影響到其他四個控制要素的實施效果。而我國內(nèi)部控制還主要強調(diào)硬性控制手段和措施。

3.高昂的執(zhí)行成本
正如前面提到過的，404法案的真正爭議點不在于它是否應(yīng)該實施，而是如何在成本效益的前提下實施。許多企業(yè)對404條款的極端抵制情緒也來源于過高的初始執(zhí)行成本。盡管延后施行，中國企業(yè)現(xiàn)在面臨的情況卻與2004年的美國企業(yè)一樣，甚至在實施難度上有過之而無不及。根據(jù)大多數(shù)美國企業(yè)適用404條款的情況，高昂的執(zhí)行成本大致會來源于以下幾個方面 ：
⑴適應(yīng)期成本
這部分的成本來源于企業(yè)為拉近原有的內(nèi)控體系和404條款要求的差距所做出的努力，是初始執(zhí)行成本產(chǎn)生的主要方面。在以往的實踐中，不管是公司內(nèi)部審計人員還是外部審計師都會對公司內(nèi)部控制情況進行一些方面和一定程度的評價，但是如404條款所要求的那樣在整個公司范圍內(nèi)對與財務(wù)呈報相關(guān)的所有控制進行識別、備案、測試卻是前所未有的。對內(nèi)部控制比較不規(guī)范的中國企業(yè)更是如此。拿銷售業(yè)務(wù)來說，公司必須從業(yè)務(wù)流程的起始開始，記錄和控制銷售合同的簽訂、訂單錄入、產(chǎn)品生產(chǎn)、發(fā)貨、收款、收入確認等一系列環(huán)節(jié)。處在基層的業(yè)務(wù)執(zhí)行人員在這一過程中對控制工作負有責任，而他們中的許多不具備足夠的會計審計和內(nèi)控知識。所以，不管對整個企業(yè)還是執(zhí)行控制的個人，404條款的遵循是一個學(xué)習(xí)摸索的過程，過程本身需要耗費額外的人力、物力、財力。
⑵時間限制和外部費用
SOX 法案早在2002年7月30日生效，404條款對海外公司的施行時間則被推遲到2006年7月15日后結(jié)束的財政年度，比美國大型企業(yè)晚了兩年。但鑒于中國企業(yè)內(nèi)部控制薄弱，與美國公司已經(jīng)較為完善的內(nèi)部控制制度相比尚存在較大差距，給中國企業(yè)的準備時間并不寬裕。因而也存在時間限制造成的成本。由于時間緊迫，而404條款的相關(guān)規(guī)定又存在一些不清晰的地方，這給執(zhí)行帶來困難。此時的企業(yè)比較現(xiàn)實的做法是尋求外部咨詢?nèi)藛T和顧問的幫助。在中國，具有經(jīng)驗的 404合規(guī)方面的專業(yè)服務(wù)還是比較有限的，大多數(shù)在美上市公司還是選擇四大會計師事務(wù)所，僧多粥少，必然導(dǎo)致顧問費用的上漲。同時，內(nèi)控審計帶來更大的工作量導(dǎo)致審計費用也大幅上漲。在企業(yè)年度報表中，一般不會具體披露這一專項費用，但是FEI在2004年對美國企業(yè)的調(diào)查顯示，內(nèi)控審計的費用比預(yù)想中高出40%，占進行內(nèi)控審計之前一般審計費用的53%。
⑶規(guī)定的不清晰性造成的合規(guī)成本。
對于大多數(shù)執(zhí)行404條款的美國公司來說，這一過程是伴隨著法規(guī)制度的不斷完善進行的。404條款的正式規(guī)定及其模糊，所以一開始公司參照COSO委員會的內(nèi)部控制整體框架對內(nèi)控進行完善和評價，而這時PCAOB的2號審計準則還在醞釀過程中。這時，不管是公司還是外部審計師對什么是合適的控制、什么是足夠的備案、何種程度屬于重大缺陷都沒有定論。整個2004年，SEC和PCAOB的相關(guān)規(guī)定一直在不斷出臺，企業(yè)就要不斷地據(jù)以調(diào)整，許多時候發(fā)現(xiàn)由于理解和規(guī)定的偏差，需要大量返工，這個過程耗費了大量資源。中國公司比較幸運的是避免了這一迷茫的時期，因為如今2號審計準則已經(jīng)出臺，也有了大量美國企業(yè)的經(jīng)驗和教訓(xùn)。但是，一旦規(guī)定又有增減變動，這部分成本還是會產(chǎn)生的。因為據(jù)調(diào)查，很多企業(yè)仍不甚清楚如何執(zhí)行404條款，認為條款的一些規(guī)定有待細化。對法案相關(guān)規(guī)定的調(diào)整預(yù)期還會繼續(xù)進行。
4.相關(guān)專業(yè)人才匱乏
這一點表現(xiàn)在內(nèi)部專業(yè)人員匱乏和外部專業(yè)人員匱乏兩個方面。內(nèi)部專業(yè)人員主要是指404項目組成員和內(nèi)部審計人員。一般來說，這些人應(yīng)該具備比較全面的會計審計知識，也有很多具有審計從業(yè)經(jīng)驗。但是，他們在內(nèi)控知識上可能不完備，需要進行專業(yè)培訓(xùn)。不同于一些美國跨國企業(yè)的內(nèi)部專業(yè)人員，這些人員往往是沒有經(jīng)歷過404合規(guī)工作的，在這方面完全不能算專業(yè)，只能說比一般員工專業(yè)，而這是遠遠不夠的。外部專業(yè)人員是指外部審計師和顧問等。這些人員往往是在具有會計審計知識的基礎(chǔ)上具有一定內(nèi)控方面的實際經(jīng)驗，他們在404條款合規(guī)方面會比公司內(nèi)部專業(yè)人員權(quán)威。但是，有兩點值得注意：首先，以往的404條款合規(guī)經(jīng)驗通常來源于國外企業(yè)，他們的內(nèi)部控制準備狀況和中國企業(yè)不大相同，另外中國企業(yè)具有許多中國特殊國情決定的特點，在合規(guī)工作過程中是需要考量并靈活變通的，在這點上，外部專業(yè)人員不一定比內(nèi)部專業(yè)人員更勝任；第二，所謂專業(yè)人員也未必專業(yè)，只不過他們服務(wù)于專業(yè)機構(gòu)罷了。當然，項目組的負責人是具備足夠的專業(yè)知識的，但實際執(zhí)行內(nèi)控審計的人員大部分都比較年輕，缺少專業(yè)經(jīng)驗，再加之他們對企業(yè)業(yè)務(wù)流程的細節(jié)也不了解，就會造成外部審計師比公司內(nèi)部人員還迷茫的情況。NASDAQ的調(diào)查報告顯示，公司普遍認為審計師不能稱為專家，只是“又多余、又昂貴的勞動力密集型作業(yè)” 。70%的接受調(diào)查者認為，審計行業(yè)不具備培訓(xùn)到位的員工來執(zhí)行SOX404合規(guī)工作，61%的人認為外部審計人員并沒有足夠的資格評價他們的內(nèi)控系統(tǒng)。雖然比較極端，但一定程度上反映了外部專業(yè)人員在執(zhí)行404條款時也有一定局限。

五、中國企業(yè)如何遵循SOX404：結(jié)構(gòu)化方法

以上我們了解了SOX404條款的規(guī)定和中國在美上市企業(yè)由此面臨的機遇和挑戰(zhàn)，可見，如何順利開展SOX404合規(guī)工作已經(jīng)是迫待解決的問題。今年上半年，所有在美上市中國公司都將向SEC遞交符合404條款的表格。除了新浪、搜狐等少數(shù)在NASDAQ上市的中國公司已經(jīng)提前達到過404條款的要求，對大多數(shù)中國公司，尤其是在紐約證券交易所上市的大型國企，這是第一次面臨404條款的真正考驗。迄今為止，24家在紐約證交所上市的中國公司中僅有4家遞交了內(nèi)控報告?？梢灶A(yù)見，這一最初的嘗試不可能十全十美，而更多的中國企業(yè)能否在他們之后繼續(xù)登陸美國資本市場，就要看他們的執(zhí)行情況。因此，404條款合規(guī)方面的實務(wù)指導(dǎo)非常必要。目前，國內(nèi)關(guān)于內(nèi)部控制的制定、實施、評價的理論研究已經(jīng)十分深入和廣泛，但是卻很少有專門針對SOX404條款的實務(wù)方面的指導(dǎo)，將理論運用于實際尚有一定困難。以下文章的內(nèi)容就試圖提出一個普遍的遵循方法。

（一） 選擇合適的內(nèi)控框架
企業(yè)欲建立和評價自己的內(nèi)部控制制度必須有一個參照標準，這個標準應(yīng)是國際普遍認可的，方可達到完善、規(guī)范。國際上比較有名的內(nèi)部控制框架有美國的COSO、加拿大的COCO、英國的Cadbury、國際內(nèi)部審計師協(xié)會的SAC等。PCAOB于2004年推薦使用COSO框架，隨后獲得了SEC的批準。SEC的認可表明COSO框架已正式成為內(nèi)部控制框架的標準。我國企業(yè)可以按照 COSO框架建立企業(yè)內(nèi)部控制制度，使單純的控制活動與企業(yè)環(huán)境、管理目標及控制風險相結(jié)合，形成一套不斷改進、自我完善的內(nèi)部控制機制。
1.COSO框架關(guān)于內(nèi)部控制的定義
現(xiàn)行的COSO內(nèi)部控制框架是指COSO委員會在1992年發(fā)布的內(nèi)部控制——整體框架。其中，對內(nèi)部控制的定義為：內(nèi)部控制是由企業(yè)董事會、管理層和其他員工實施的，為營運的有效性和效率、財務(wù)報告的可靠性、相關(guān)法令的遵循性等目標的達成而提供合理保證的過程。2004年，COSO委員會進一步將內(nèi)部控制的涵義拓寬為企業(yè)風險管理，但是企業(yè)風險管理整體框架實際上并沒有取代內(nèi)部控制整體框架。所以本文對內(nèi)部控制框架的選擇還是采用了后者，以符合現(xiàn)行規(guī)定。
2.COSO框架的三個維度
COSO框架提出了內(nèi)部控制制度的三維結(jié)構(gòu)（見圖5-1 ）。第一維度是內(nèi)部控制目標，即運營的有效性和效率、財務(wù)報告的可靠性、相關(guān)法令的遵循性。第二維度要求公司在部門單位層次和業(yè)務(wù)流層層次兩個層次上對內(nèi)部控制進行評價。第三維度包含了內(nèi)部控制的五大要素：控制環(huán)境、風險評估、控制活動、信息與溝通、監(jiān)控。三個維度構(gòu)成了內(nèi)部控制整體框架，即要求對于給定目標（如財務(wù)報告可靠性目標），管理層必須在部門單位層次和業(yè)務(wù)流層層次對內(nèi)部控制的五大要素進行評估。

3.理解內(nèi)控框架的注意事項
①COSO對內(nèi)部控制的定義是一個過程，而不是結(jié)果。過程與結(jié)果之間有一定的對應(yīng)性，但是結(jié)果的失敗，比如產(chǎn)生了目標偏差，并不代表過程是有缺陷的，相反，結(jié)果達成了目標，也不代表控制過程是有效的。因此，公司應(yīng)注意在評價內(nèi)控有效性時，針對的是內(nèi)控過程。
②內(nèi)部控制系統(tǒng)是為基本的業(yè)務(wù)需求而存在的。COSO框架認為內(nèi)部控制是內(nèi)嵌在組織的業(yè)務(wù)流程之中的，而不是獨立的附加在公司已有系統(tǒng)之上的。
③內(nèi)部控制制度的設(shè)立應(yīng)是靈活的、可修改的。COSO框架并不是一個剛性的規(guī)定，它承認不同的組織可以根據(jù)自己的情況選擇不同的控制方法。此外，內(nèi)控制度的設(shè)計應(yīng)具有靈活性，始終保持其在動態(tài)環(huán)境下的有效性。
④內(nèi)部控制提供的是合理的保證。COSO框架承認內(nèi)部控制的局限性，即不論內(nèi)控系統(tǒng)的設(shè)計和運行多么完善，亦只能提供合理范圍內(nèi)的保證。內(nèi)部控制失?。▋?nèi)控目標未能實現(xiàn)），并不意味著系統(tǒng)是失效的。這在內(nèi)部控制報告中有所體現(xiàn)。
⑤內(nèi)部控制框架各要素之間并非簡單的線性連續(xù)關(guān)系。內(nèi)部控制框架的5要素之間相互聯(lián)結(jié)、協(xié)同作用、相互影響，構(gòu)成一個對環(huán)境動態(tài)反應(yīng)的有機整體。

(二)識別關(guān)鍵控制
管理層對內(nèi)部控制有效性的評價是基于整體內(nèi)部控制，而不是個別控制或控制環(huán)節(jié)。控制的各個組成部分如前所述，是相互聯(lián)系、交互作用的，但其中一些控制對整體控制的有效性具有主導(dǎo)作用，這就意味著我們在評價內(nèi)控有效性的時候應(yīng)該著眼于關(guān)鍵控制。因而，企業(yè)應(yīng)先識別出關(guān)鍵控制。
關(guān)鍵控制同時存在于公司層面和流程層面，以下我們分別來說明：
1.公司層面關(guān)鍵控制的識別
公司層面的控制構(gòu)成控制體系的基本構(gòu)架，是更宏觀的控制，對于流程層面控制的設(shè)計和實施都會產(chǎn)生比較深遠的影響。根據(jù)大多數(shù)企業(yè)的情況，我們認為以下的公司層面控制一般屬于關(guān)鍵控制：①公司文化②人事政策③計算機一般控制④組織目標和控制結(jié)構(gòu)的對應(yīng)⑤風險識別⑥反欺詐政策⑦財務(wù)報告流程⑧系統(tǒng)范圍的監(jiān)控。
2.流程層面關(guān)鍵控制的識別
404條款要求評價的是財務(wù)呈報內(nèi)部控制，因此我們在決定關(guān)鍵控制時就要考慮該項控制對財務(wù)報告的影響。關(guān)鍵控制應(yīng)是指那些對重要財務(wù)報告會計科目余額和披露有重大影響的控制。我們可以先閱讀一下財務(wù)報告，分析關(guān)鍵的財務(wù)報告要素，再從每個關(guān)鍵財務(wù)報告要素出發(fā)，尋找對應(yīng)的關(guān)鍵控制流程。
對財務(wù)報告要素進行優(yōu)先排序時應(yīng)首先考慮其相對財務(wù)報告的重要性水平以及錯報的可能性。除此以外還要考慮下列其他因素 :①會計準則的復(fù)雜程度；②重要會計估計方法的主觀性和可靠性;③企業(yè)業(yè)務(wù)變更的程度以及其對內(nèi)部控制的預(yù)期影響;④財務(wù)報表中存在潛在重大錯誤或遺漏之外的風險，例如非法行為、利益沖突、管理層未經(jīng)公司授權(quán)使用公司資產(chǎn)等;⑤公司曾經(jīng)出現(xiàn)過的或行業(yè)內(nèi)普遍存在的問題報表項目，例如收益確認、儲備計算等;⑥管理層是否要求記錄那些與一般不會出現(xiàn)重大錯報且可以被合理預(yù)測的會計科目相關(guān)的流程，例如，對大多數(shù)公司來說，工資是可以合理預(yù)測的，但其在銷售成本和一般管理費用中占有較大的比重，因此，鑒于對有關(guān)工資的活動進行管理和控制的需要，管理層或許會要求記錄與工資相關(guān)的流程及內(nèi)控。
主要財務(wù)報告要素確認后，對其有重大影響的即為關(guān)鍵控制，可采用下面兩種方法加以確認 ：
第一種方法是，針對可能會對關(guān)鍵財務(wù)報告要素產(chǎn)生重大影響的交易和相關(guān)控制系統(tǒng)，梳理其交易流程，確認關(guān)鍵控制。這可以通過將業(yè)務(wù)和相關(guān)控制系統(tǒng)分割成數(shù)量有限但相互聯(lián)系的交易流程來實現(xiàn)，該交易流程是機構(gòu)進行交易時所發(fā)生的主要的同類經(jīng)濟事項。收益、采購、薪金、換算、財政和財務(wù)報告均屬于這種交易流程。
第二種方法是，將業(yè)務(wù)分割成其實際的流程。理想的情況是先系統(tǒng)分類流程，而不是為應(yīng)付考核而選擇性的梳理流程。業(yè)務(wù)被分割成不同流程后，項目小組再確認關(guān)鍵流程，以審核相關(guān)風險和內(nèi)部控制。關(guān)鍵流程的確認須根據(jù)它對財務(wù)報告(或者業(yè)務(wù))的重要性、出現(xiàn)內(nèi)控缺陷或者流程發(fā)生問題的可能性來進行。這樣，關(guān)鍵流程便與主要會計科目及披露事項聯(lián)系起來，從而建立其與財務(wù)報告的相關(guān)性。

(三)形成文檔記錄
找出關(guān)鍵控制后，應(yīng)該進行針對所有關(guān)鍵控制的文檔記錄。文檔記錄能夠增強內(nèi)部控制可靠性，支持內(nèi)控系統(tǒng)監(jiān)督，評價內(nèi)控設(shè)計和執(zhí)行的效果，同時又為PCAOB的2號審計準則所強制規(guī)定，是404條款執(zhí)行中的重要環(huán)節(jié)，同時也是成本大項。這一階段的工作主要是檢查現(xiàn)有文檔是否完善，并補充缺失的文檔，為內(nèi)部控制有效性的評價做準備，其工作流程如圖5-2所示。

控制文檔應(yīng)包括與關(guān)鍵控制目標對應(yīng)的控制政策和措施、可追溯至重大錯報源頭的業(yè)務(wù)流程描述、控制措施的負責人和執(zhí)行方法。
控制文檔亦包括公司層面和業(yè)務(wù)流程層面。公司層面的關(guān)鍵控制文檔包括公司治理文檔、人力資源政策文檔和員工手冊、財務(wù)政策手冊等。業(yè)務(wù)流程層面的關(guān)鍵控制文檔包括流程圖、流程每個環(huán)節(jié)的文檔、每個環(huán)節(jié)的風險及補救措施等。在準備業(yè)務(wù)流程層面的控制文檔時，我們應(yīng)該以有效掌握業(yè)務(wù)流程的全貌為原則，從關(guān)鍵帳戶開始，追溯信息的流動，直到信息產(chǎn)生的源頭，其中所有引起信息的處理和變動的文檔都是關(guān)鍵文檔。

（四）測試和評價公司層面的控制
建立了內(nèi)控制度后，按照404條款的規(guī)定，公司還要進行內(nèi)部控制的測試和評價。在進行控制測試的時候，對公司層面的評價應(yīng)該盡早進行。如果公司層面的控制存在重大問題，那么這些問題應(yīng)首先被發(fā)現(xiàn)并更正。如果公司層面的控制很強，可以降低對流程控制的依賴性，也可以降低測試要求。如果公司層面的控制較弱，外部審計師可以對是否存在較強的公司層面的控制做出“合格/不合格”或者“通過/不通過”的決定。較弱的公司層面控制將會造成對流程控制的依賴性以及測試要求的提高。公司層面的評估可以被細分為4個步驟進行：
1.測試公司層面關(guān)鍵控制
在前面的步驟中，我們先識別出了公司層面的關(guān)鍵控制，之后又據(jù)以準備了控制文檔，接下來要做的事就是測試這些關(guān)鍵控制的有效性。對公司層面關(guān)鍵控制的測試手段會比較特別，因為公司層面的控制對財務(wù)報告的影響是非線性的、間接的，這就意味著不能像面向交易的業(yè)務(wù)層面控制一樣通過可量化的方法來測試。一些常用的測試方法包括員工問卷調(diào)查、管理層問答、計算機一般控制、文檔回顧。針對不同的關(guān)鍵控制應(yīng)該使用不同的測試手段，如表5-1所示。

2.評價公司層面關(guān)鍵控制
不論以何種方式評估公司層面控制，其目標都是記錄那些現(xiàn)實存在的公司層面的控制。需要注意的是，對公司層面控制是否有效的評估基于管理層的判斷，是比較主觀性的，但是管理層應(yīng)該清楚地認識到控制是作為一個整體來評估的，個別部分未達到最高可靠性不必然影響控制整體的可靠性，并且控制提供的是合理范圍而非絕對的保證。
3.收集支持性證據(jù)
項目組應(yīng)該將所進行的測試和結(jié)果做出證據(jù)予以保存，這一方面是公司評估控制有效性工作的一部分，也是對外部審計師內(nèi)控審計的配合。外部審計師將據(jù)以評判公司的評估過程，并通過部分采用公司測試的結(jié)果來減少他們自己的工作量。
4.與外部審計師進行溝通
公司層面的審核完成后，管理層應(yīng)該與外部審計師一起對總體結(jié)論、有關(guān)支持性證據(jù)以及對流程層面的控制評估造成的影響進行審核。管理層與外部審計師定期就檢查結(jié)果進行交流可防止日后出現(xiàn)意想不到的情況。

（五）測試和評價流層層面的控制
1.尋找關(guān)鍵流程的關(guān)鍵控制點，評價控制設(shè)計有效性
在第二步中，項目組已經(jīng)找出了流程層面的關(guān)鍵控制，下一步就是與關(guān)鍵流程負責人共同確認流程中的關(guān)鍵控制點。確認關(guān)鍵控制點時，項目組要逐一選擇與風險相關(guān)的重要控制活動。在流程圖中尋找關(guān)鍵控制點時，應(yīng)與流程負責人一并分析有關(guān)流程。在對風險和控制點進行記錄后，項目小組要評估有關(guān)控制是否按照其設(shè)計意圖，確保已將風險降低到可接受的水平，即合理保證重要的財務(wù)錯報能夠被預(yù)防或及時發(fā)現(xiàn)。如果存在重大的設(shè)計缺陷，則需要在檢測運行有效性之前予以改進。
2.評價控制運行有效性
對控制運行有效性的測試應(yīng)該能夠讓測試人員了解控制程序、控制執(zhí)行人、控制的連貫性。有效性測試有以下幾種：①員工問答，員工問答的目的是確認測試人員對控制設(shè)計的理解并識別未按照設(shè)計進行控制的事項；②基于業(yè)務(wù)的測試，這類測試中測試人員通過檢查第三步形成的文檔來確認控制是否按規(guī)定運行，并可以重新運行這部分流程來確認控制運行的有效性；③對照調(diào)節(jié)表，這種測試和審計師審計銀行存款余額調(diào)節(jié)表很類似，就是看是否定期對照，偏差是否及時解決；④觀察測試，對于不經(jīng)常發(fā)生的控制活動如實物盤點，觀察也是一種測試方法，但有時需要其它測試的補充才能保證嚴密性。
3.基于測試結(jié)果評價控制
如果測試的結(jié)果顯示控制程序按照規(guī)定進行且沒有缺陷，那么我們可以得出結(jié)論認為流層層面的控制是有效的，如果測試結(jié)果顯示控制的設(shè)計或運行有效性存在缺陷，那么公司應(yīng)該對流層層面控制有效性進行判斷。同樣應(yīng)該注意，所謂控制的有效性是就整個控制體系而言，我們在評價流層層面的控制時應(yīng)該看它是否保證信息在處理過程中沒有失真，而不是看單一控制環(huán)節(jié)執(zhí)行成功與否。
4.搜集支持性證據(jù)和與外部審計師定期溝通
搜集支持性證據(jù)的必要性如前面公司層面控制測試中所述。另外，由于404條款規(guī)定外部審計師要對企業(yè)內(nèi)部控制自評過程和結(jié)果進行評價，因此公司在進行流程層面控制有效性的測試時應(yīng)考慮外部審計師的意見。如果外部審計師認為測試不足以證明管理層對內(nèi)控有效性的結(jié)論，公司就會被要求進行額外的測試，因此公司在測試開始之前就應(yīng)該就測試方案與審計師達成共識，而測試過程中也應(yīng)定期與審計師討論進展情況。

六、中國網(wǎng)通對結(jié)構(gòu)化方法的運用

中國網(wǎng)通是一家在香港和紐約兩地上市的中國企業(yè)，雖然其業(yè)務(wù)實體均在國內(nèi)，但是根據(jù)SOX法案的要求，亦應(yīng)在2006年7月15日后結(jié)束的財政年度達到SOX法案對內(nèi)部控制的要求。因此在2004年11月首次境外IPO的前夕，中國網(wǎng)通便著手開始404條款合規(guī)的準備工作。截至今日，中國網(wǎng)通已經(jīng)向 SEC遞交了2006年度6-K表格，其20-F表格預(yù)期將于2007年6月提交。中國網(wǎng)通加強內(nèi)部控制建設(shè)的“COSO內(nèi)控項目”主要經(jīng)歷了四個主要階段。這幾個階段與前述的結(jié)構(gòu)化方法有一定的對應(yīng)性，可以看作是該方法在國內(nèi)運用的一個例證。
　　第一階段是調(diào)研和計劃階段，包括了以下兩個子階段：
1.了解中國網(wǎng)通的構(gòu)架和業(yè)務(wù)，建立內(nèi)控項目組織機構(gòu)
根據(jù)中國網(wǎng)通的架構(gòu)和業(yè)務(wù)，成立內(nèi)控項目組織機構(gòu)。設(shè)立由公司總經(jīng)理領(lǐng)導(dǎo)的內(nèi)控項目領(lǐng)導(dǎo)小組，下設(shè)財務(wù)總監(jiān)領(lǐng)導(dǎo)的內(nèi)控項目工作組。內(nèi)控項目工作組下設(shè)內(nèi)控項目辦公室（PMO），PMO下設(shè)公司層面控制（COSO）組和專業(yè)工作組。專業(yè)工作組分為財務(wù)、市場、計費、網(wǎng)絡(luò)運營、采購、人力資源、資產(chǎn)、IT共８個小組。其中公司層面控制組的目標是確保內(nèi)控機制的有效運行，專業(yè)工作組則致力于保證財務(wù)報告真實可靠。這是應(yīng)對 404條款的基礎(chǔ)準備階段，亦可稱為組織準備。在結(jié)構(gòu)化方法中，我們并未將其單獨列為一個步驟，主要是因為這個步驟不牽涉內(nèi)部控制制度建立和評價的技術(shù)方面，且比較簡單，只需注意分析企業(yè)的構(gòu)架和業(yè)務(wù)分支，對項目組進行合理安排。但是應(yīng)該注意，這一階段是每個公司遵循404條款的必經(jīng)階段，不容忽視。
２.進行風險評估，確定項目的范圍和計劃
這一階段主要是梳理會計政策、業(yè)務(wù)流程，從而揭示風險并定義關(guān)鍵控制流程。首先，公司著力建立符合境外會計準則的內(nèi)控體系。過去的中國網(wǎng)通一直按照中國的會計法、會計準則和會計制度建立內(nèi)控體系，這與美國準則存在差異，需要進行調(diào)整。這部分工作對應(yīng)了結(jié)構(gòu)性方法中的第一部分，即選擇合適的內(nèi)控框架。COSO框架是SEC和 PCAOB均認可的內(nèi)控體系框架，中國網(wǎng)通選擇的即是該框架。其次，對流程進行說明，確定關(guān)鍵控制流程。公司規(guī)定對每一項經(jīng)濟業(yè)務(wù)的初始點到終點的環(huán)節(jié)做出描述，并將相關(guān)環(huán)節(jié)串起來形成流程關(guān)系，然后找出重要的業(yè)務(wù)活動作為關(guān)鍵流程。通過揭示風險，梳理業(yè)務(wù)流程，再經(jīng)過專家和網(wǎng)通總部各部門共同認定，確定列入內(nèi)控范圍的流程。這部分工作對應(yīng)的是結(jié)構(gòu)性方法中的第二部分，即識別關(guān)鍵控制。中國網(wǎng)通在確認關(guān)鍵控制的時候是采取了第二種方法，即先分割流程，然后確認關(guān)鍵流程。
第二階段是內(nèi)控體系設(shè)計階段。具體指制定流程層面的內(nèi)控文檔并對內(nèi)控設(shè)計的缺陷提出改進建議，同時根據(jù)內(nèi)控文檔制作內(nèi)控標準模版。中國網(wǎng)通對每一個流程按照流程圖、流程描述、風險描述及控制文檔三個構(gòu)成要素形成文檔記錄。流程圖描述了每個業(yè)務(wù)的流程關(guān)系和從起點到終點設(shè)置的全部崗位，并表明哪一個環(huán)節(jié)是風險控制點；流程描述，即結(jié)構(gòu)化方法部分所指的流程每個環(huán)節(jié)的文檔，包括對每個環(huán)節(jié)的任務(wù)，如做什么、怎么做、控制人、完成時間等進行描述；風險描述及控制文檔中應(yīng)包括風險補救措施。這些正是結(jié)構(gòu)化方法中形成文檔記錄階段所要完成的工作。
第三階段是整體推廣階段。中國網(wǎng)通將內(nèi)控模版在現(xiàn)有上市實體中進行推廣，規(guī)定內(nèi)控推廣需完成的工作成果應(yīng)包括：流程描述、流程圖、穿行測試文檔索引、穿行測試文檔、電子表格控制表、控制矩陣、內(nèi)控管理問題匯總表、內(nèi)控管理建議書。這部分內(nèi)容實際是規(guī)定了公司執(zhí)行404條款過程中所需完成的關(guān)于內(nèi)控體系建立、測試和評價的全部文檔。因此與結(jié)構(gòu)化方法的第三、四、五部分對應(yīng)，屬于對支持性證據(jù)的要求。
第四階段是符合性測試及改善階段。中國網(wǎng)通對404項目范圍內(nèi)的省市公司進行兩輪合規(guī)測試，對于內(nèi)控缺陷進行整改。首先分流程組檢查各分公司文檔的更新情況，根據(jù)更新后的文檔制作本地化測試底稿。第二步了解本地控制活動的執(zhí)行狀況，檢查標準測試方法的可行性，確定樣本量。第三步確定需測試的控制活動和控制文檔。第四步測試并匯總結(jié)果。第五步對控制缺陷進行整改，使通過整改的內(nèi)控系統(tǒng)滿足404條款的要求。這實際對應(yīng)了公司層面和流層層面的測試和評價。其中對控制缺陷的整改亦是內(nèi)部控制評估的必然結(jié)果，在實務(wù)工作中基于自評估和內(nèi)控審計結(jié)果進行，也包含在結(jié)構(gòu)化方法的框架中。
總之，對于中國網(wǎng)通等在美上市中國企業(yè)來說，其管理水平大多處于從傳統(tǒng)科學(xué)管理向現(xiàn)代企業(yè)管理過渡的階段，內(nèi)部控制制度才剛剛走向規(guī)范化，距離一些美國本土企業(yè)的成熟做法和成果還有很多缺陷和不足，但是按照SOX法案的強制監(jiān)管要求建立完善企業(yè)內(nèi)控制度是一個良好的契機和重要突破口。雖然本文所提出的結(jié)構(gòu)化方法比較新，并且在實踐過程中還在不斷地完善著，但是這一方法在國外已經(jīng)受到了廣泛采用，具有普遍的適用性。有了中國網(wǎng)通的成功經(jīng)驗，中國企業(yè)參照該方法預(yù)期將可較好的完成404條款的合規(guī)工作。

資料來源和參考文獻
中國注冊會計師協(xié)會，行業(yè)發(fā)展研究資料——美國薩班斯法案
NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002, April 13, 2005　
FEI Special Survey on Sarbanes-Oxley Section 404 Implementation Executive Survey,
July 2004.
付秀娜，不同公司治理結(jié)構(gòu)模式比較研究，天津市財貿(mào)管理干部學(xué)院學(xué)報，2006年第2期，p12
陳漢文、吳益兵、李榮、徐臻真，薩班斯法案404條款：后續(xù)進展，會計研究，2005年第2期，p83
余成國，中國移動內(nèi)部控制問題研究，[學(xué)位論文]，華中科技大學(xué)，2006年
劉迎賓，“薩班斯法案”對在美國上市的中國企業(yè)影響分析，經(jīng)濟師，2006年第2期，p59
闞京華，我國內(nèi)部控制制度性缺陷，中國審計，2006年第9期，p60-61
Larry E. Rittenberg and Patricia K. Miller, Sarbanes-Oxley Section 404 Work: Looking at the Benefits, p16-17
Ramos, Michael. How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John Wiley & Sons, Incorporated, 2004.
陽杰、黃昌勇，《薩班斯法案》404條款遵循的若干實務(wù)問題研究，廣東商學(xué)院學(xué)報，2006年7月總第87期，p66
Protiviti, Frequently Asked Questions Regarding Section 404, Protiviti Inc, 2004(9)，p48-52
孫啟偉，建立符合《薩班斯法案》要求的遼寧網(wǎng)通內(nèi)控制度，遼寧經(jīng)濟，2006年第8期，p77
中國網(wǎng)通內(nèi)控體系建設(shè)初見成效，通信世界，2006年7月31日，A10