萨班斯法案对企业内部控制.docx

1、萨班斯法案对企业内部控制萨班斯法案对企业内部控制可 低影响程度 NextPage 5.3我国企业内部控制建设的步骤 要完善中国企业的内部控制体系，职称论文发表我们还有很长的路要走，这需要很大的人力、物力和时间资源，而且内控体系的完善不是1个1次性的工作，也不是公司中几个人的工作，它需要全员参与，需要对内部控制不断进行监督和复核，从而达到降低风险，实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤： 5.3.1 内部控制环境的建设 公司治理结构 目前我国公司法人治理结构存在很大缺陷， 表现在： 产权结构1元化、1股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于

2、分散， 而我们的问题是股权过于集中， 结果都造成了内部人控制。因此， 我们应在产权明晰的基础上完善公司治理结构， 解决“内部人控制”问题。调整持股结构， 分散大股东股权， 建立股东制衡机制， 解决“1股独大”问题； 进1步健全独立董事会制度， 完善独立董事责任追究制与考核机制； 完善监事会制度， 从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设，根本上解决企业内部控制失控的病根。 法制大环境 在上市公司内部控制报告制度方面，SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计， 而我国目前对于内部控制报告要求还是相当宽松的， 过去中国证监会仅要求会计师事务所对拟

3、上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中，接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差， 大多数公司的内部控制报告流于形式的现象， 也就不足为奇了。尽管 2006 年 6月 5日， 上海证券交易所出台了上海证券交易所上市公司内部控制指引。该指引和SOX在达到内控目标方面是1致的， 只是这个指引还没有具体的操作细则出来，也不像SOX已经上升到法律的高度。因此， 内部控制到底做到怎么样，做多少才合适， 还缺乏权威的认定， 因此， 我们应借鉴SOX， 进1步细化公司内

4、部控制报告的要求， 并建立公司管理层责任追究制度， 以保证内部报告有效性与有用性。 在对单位负责人和财务主管进行会计舞弊的惩罚力度方面，我国 会计法、企业财务会计报告条例等法规规定， 单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时， 1直严格依法对所有负有责任的以上人员作出处罚， 但并没要求他们事先公开做出承诺。前不久证监会修改后的年报准则规定，2005年上市公司公布年报时， 公司负责人、主管会计工作负责人及会计机构负责人（会计主管人员） 必须声明：“保证年度报告中财务报告的真实、完整”， 便是借鉴了SOX要求上市公司公开披露信息中附有首

5、席执行官和首席财务主管的承诺函的规定。但这还是远远不够的， 相对于SOX的1系列严厉惩罚措施， 我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈，SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁， 只有这样的力度才能成为真正威慑会计舞弊者的铁拳。 在我国，会计法、审计法、独立审计准则等虽然都有论及建立健全内部控制体系，但是没有具体可行的规定，尚不能够形成内部控制整体框架。目前，证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审，没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。

6、因此，应尽快加强企业内部控制有效性评价方面的立法工作，以及内部审计和独立审计等行业准则的规定，为提高企业内部控制管理提供外部监督和指导。加强立法工作，使财务报告内部控制有效性的评价做到有法可依。公司的内控文化 企业文化是随着现代工业文明的发展，企业组织在1定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的1种无形的力量，影响企业成员的思维方法和行为方式。在企业成长的过程中，文化对企业产生的许多影响都被纳入企业行为的原始部位，处于行为动机的意识层面之下，以至于文化的作用往往被人们所忽视

7、。企业文化在企业经营管理中的重要性，是其不可避免的影响着企业的内部控制，企业在培养自身文化时，应避免1种只注重内部短期的企业文化，保持1种健康的文化氛围，使其与公司战略目标趋于1致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准，企业中正式的政策文件等只能书面表达管理阶层想让什么发生，而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用，1个企业的人力资源政策直接影响到企业中每1个人的业绩和表现。良好的人力资源政策，对培养企业的员工，提高企业员工的素质，更好地贯彻执行内部控制有很大的帮助，并对公司员工进行讲解程序，提高员工的风险和控制意识。 全国人大 2000年

8、7月 发布关于加强金融机构内部控制的指导原则，这是我国第1个关于内部控制的行政规定。 高发生可能 1996年12月 毕业论文 国务院 生 能提供有建设意义的内控整改计划和方案 NextPage 世界1流公司 2006年9月28日 性 高发生可能 2001年6月 2000年 高影响程度 工作重点花费在核实信息、查证数据上 证监会 NextPage 5.3.2 内部控制风险的识别和评估 内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动，然后需要仔细研究控制活动并识别出每1个活动所涉及的风险。在这1步中，内控部门要尽量识别出每个控制活动所涉及的所有风险，而不要去评估风险的可能性和影响。

9、当然，会影响到公司运营的外部风险也同样需要加以识别。1旦你已经完成了识别风险的工作，内控部门就需要把他们收集、整理并记录下来。 接下来要进行风险评估，这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈，企业经营风险不断提高，其内部控制的机制也需要相应地提高。而我们对于内部控制的研究，我们须以环境及其风险的分析入手。企业管理者运用1系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析，判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险，及时采取措施控制和化解风险，减少损失。 内控部门需要对所有列在风险登记簿上的风险进行评估其严重性，从而决定是否需要采取减轻

10、的措施。我们有许多方法来对风险进行分类。其中，1种风类方法是将其发生的可能性和发生后对计划影响的严重性（上面的步骤已近制定的）来进行分类。我们也可以用下面的表格对风险进行评估分类： 中国上市公司 2006年6月5日 发起成立“会计师事务所内部治理指导委员会” 发布证券公司内部控制指引，要求证券公司健全内部控制机制，完善内部控制，以规范公司经营行为;要求证券公司应当按照指引的要求，建立运行高效，制定科学合理、切实有效的内部控制。发布关于上市公司做好各项资产减值准备等有关事项的通知，开始要求上市公司建立内部控制。 业务流同信息流整合度不高，同财务系统集成低 在确定流程和进行测试的过程中，关键问题是

11、看对每1个风险点是否有相应的控制措施，如果没有则要及时反馈到相应部门，要求该部门设计出应有的控制措施或给出1个合理的解释，直到所有的风险都得到控制为止。 上述工作是在安永的协助下进行。刘代春介绍，外聘咨询机构的主要职责是帮助中国人寿制定项目计划，并对404项目组进行培训，帮助他们确定重要流程和重要会计科目。而中国人寿1直聘请的外部审计机构是普华永道会计师事务所，404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。 巨大的工作量也带来1定的挑战。1试点机构404项目组的成员表示，项目开展的最初半年每天都要工作10几个小时，反复查找风险点、进行测试，并与外省机构交叉检查。对于分支机

12、构遍布全国城乡的中国人寿来说，这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司，分公司下设地、市级支公司，总、分、支公司都有相应的业务和财务部门，单把流程写清楚就不是易事。为此，中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。 5.2 中美企业内部控制比较 由于中国企业在内部控制方面的起步较晚，所以中国企业在内部控制实施方面也就自然落后于美国1流的上市公司，下表是中美两国公司在内部控制上的比较： 有健全、完善的制度性管理条例、细则和程序发布征求上市公司内部控制指引意见的通知，揭开了中国上市公司内部控制体系制度建设的序幕 发布独立审计具体准则第9号1内部

13、控制和审计风险 发布部门 中国人民银行 发布内部会计控制规范1基本规范(试行)和内部会计控制规范1货币资金(试行) 在细则、条例等制度的建设上滞后2001年2月 发布中央企业全面风险管理指引财政部 深交所 能 通过上面列的这个时间表，我们不难发现，从1996年到2005年间总共颁布了10次与内部控制相关的法律法规，而在2006年这1年间，与内控相关的法规就出台5次，并同年成立了2个与内部控制相关的委员会。 而这1连串法规的出台或多或少都与SOX有关，因为从2006年7月15日开始，所有在美国上市的外国企业，必须执行萨班斯1奥克斯利法案，这意味着中国在美上市公司的内部控制建设直接受到了美国法律的

14、约束 的财政部 低发生可能 NextPage提供有建设意义的内控整改计划和方案明显不足内审薄弱，缺乏内部控制专员 发起成立“企业内部控制标准委员会” 业务流同信息流高度整合，同财务报告高集成证监会 中注协 发布内部会计控制规范采购与付款(试行)和内部会计控制规范1销售与收款(试行) 2006年7月15日 外部审计结合内部控制 2003年11月 财政部 时间 发布首次公开发行股票并上市管理办法第29条规定，发行人有CPA出具无保留的内部控制报告没，证监会首次对上市公司内部控制提出具体要求。 发布会计法，首次以法律的形式对企业的内部控制做出相应的规定，将其纳入企业内部会计监督制度。 发 发布内部会

15、计控制规范1存货(试行)内部会计控制规范1担保(征求意见稿)和内部会计控制规范1成本费用(征求意见稿)高影响程度证监会 2006年6月6日 2006年5月 2005年10月19日 规范内容 从上面的列表我们发现，我国内部控制的建设和发展开始于世纪年代，主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们可以将它们分为3个层次： 第1个层次是全国人大和财政部颁布的1些法律、法规。年颁布的独立审计具体准则第9号1内部控制和审计风险，年新修订的会计法，以及年到年陆续出台的内部会计控制规范都属于这1层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了1定的积极作用。

16、 第2个层次是中国证监会的有关规定，作为证券公司、投资基金公司的监管机构，中国的证监会出台了公开发行证券公司信息披露编报规则，要求商业银行、保险公司、证券公司必须建立健全内部控制，并对内部控制的完整性、合理性和有效性做出说明。并于年发布证券公司内部控制指引，要求证券公司健全内部控制机制，完善内部控制，以规范公司经营行为。而在年又发布首次公开发行股票并上市管理办法第29条规定，发行人有CPA出具无保留的内部控制报告没，证监会首次对上市公司内部控制提出具体要求。这1层面虽然针对的只是以证券类公司为主，但已经将内控的概念逐步完善，已经和国际内控框架的概念趋同。 第3个层次是各行业的监管机构对本行业颁

17、布的内控文件，如中国人民银行年发布关于加强金融机构内部控制的指导原则，国资委于年发布中央企业全面风险管理指引。同样在年，沪深两地的证交所都发布了上市公司内部控制指引来规范上市公司内部控制的制定和实际操作。 4.2.2 中美内部控制规定的比较 上述内部控制规范的制定与出台，对于改善我国企业内部控制的现状，加强会计控制，完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较，还有很大差距。 内部控制的目标比较 从现有的内部控制规范来看，我国对于企业内部控制的目标定位，基本上是处于内部控制目标层次的最低级，只包括：保证会计资料真实、完整；

18、保护单位资产的安全、完整；确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比，没有提及内部控制提高经营效率，促进企业经营管理，实现企业目标等，所以我国的规范更多着眼于监督而不是企业的内部管理。 内部控制规范内容范围比较 与较为成熟的内部控制理论 COSO 报告确定的5大要素控制环境、风险评估、控制活动、信息与沟通以及监督相比较，我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域，会计法、内部会计控制规范等法律法规主要是从会计控制的角度来规范内部控制；独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进1步发展，企业作为市场经济主体的意

19、识和要求必然加强，相应地企业内部控制的内容和范围也越来越宽泛，不但企业内部的控制权的问题，企业的供产销，包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域，它与经济学、管理学、法学、政治学、社会学等均有密切关系，而且对后者而言，应该比前者重要得多。”3内部控制评价的比较 内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价，担任公司年审的会计事务所应当对其进行测试和评价。 目前我国内部控制的评价体系尚未建立，已制定和出台的内部控制规范，这方面的内容尚未作为主要部分予以重视。只有建立1套完善

20、的、符合实际的、具有可操作性的评价指标体系，才能保证企业内部控制的有效性。 4内部控制规范体系比较 会计法和内部会计控制规范都是从某个方面对内部控制做出规定，造成对内部控制缺乏系统研究，无法形成1个成型的内部控制规范框架体系，因此对企业内部控制建设的普遍意义指导不大。在内容层次上，虽然目前内部会计控制规范己陆续出台了几个具体业务的规范，但到形成1套完整的内部控制体系要求，还有相当的距离。 5、我国企业内部控制的建设 5.1法案对我国在美上市公司的影响 404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款，这是因为该条款要求公司都要将任何1个岗位的职务、职责描述得1目了然，而这项工作

21、需要大量材料和文件支持。同时，为了达到 404 条款的要求，上市公司要保证在对交易进行财务记录的每1个环节都有相应的内部控制制度（例如产品销售的条件、记录付款的时间和人员等）。此外，还要指出内部控制的缺陷所在。显然，要完成这些工作绝非易事，特别是对于组织分散，业务范围复杂的大型公司而言，组织越分散，业务越复杂就意味着要做的工作越繁杂，这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单，却恰恰可能是受到最猛烈冲击的。受规模所限，他们在执行 404 条款中更显捉襟见肘，所要花费的遵循成本可能将占收入更大的比重。 对于在美国上市的外

22、国公司来说，SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了1年，但对于我国在美上市的大型国有企业来说，时间仍然10分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求，更重要的是以此为契机，完善企业内部控制系统，增强财务报告真实性，增长公司治理的经验，增强国际竞争的能力。因此，我国公司与相关监管部门应重视此项工作，认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合，加紧建立健全符合我国国情的内部控制体系。 2006年7月15日开始对在美国上市的海外公司生效包括中国石油，中国人寿在内的40余家中国公司被纳入该法案的

23、实施范围。经过几年的建设试行、实施和完善，中国企业的内部控制完善得如何，在此，本文将以下面3个公司的例子作1说明： 2005年12月27日.中国石油签署发布内部控制管理手册标志着与国际规范接轨的公司内部控制体系开始正式运行。 中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则，在转变经营理念、推进制度创新和管理创新方面采取了1系列措施，迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“1个全面，3个集中”，推行“4统1”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理，防范经营风险、提升公司价值发挥了显著作用。 特别是从2003

24、年开始，公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备，通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了1支具有较强业务能力的内控工作队伍。中油股份公司总

25、裁蒋洁敏在签署发布内部控制管理手册的会议上指出“我们的设计总体是有效的关键问题是执行有力。只要执行有力，就能通过；反之执行不力就很难通过。内部控制管理手册必须百分之百执行这是2006车管理的硬任务”。 内部控制管理手册2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”，积极探索有效方法，大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进1步落实工作职责和岗位责任，完善了工作网络，建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进1步落实。从4月10日开始，中国石油的管理层测试和外部审计全面展开测

26、试进展顺利，审计已获通过。 基本在同1时间，华能国际于2003年也正式启动全面改进内控工作的404项目。 4年来，华能国际开创性地设计了内部控制手册；建立了内部控制组织体系；加强了公司和电厂两个层面的内部控制工作体系；完善并促进了管理制度建设，建立了符合公司管理特点的内部控制程序。 为改进内控，华能国际付出了巨大的人力和物力，有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第3轮审计的0缺陷。2007年4月，普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此，华能国际成为第1家通过美国萨班斯法案404条款的在美上市的央企控

27、股公司。 而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍，因为自身没有经验，因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解，为其担任404项目咨询工作的是4大外资会计师事务所之1的安永会计师事务所。 “404项目”分3批在中国人寿全系统推进，北京、江苏、河南和山东4个省市作为第1批开展试点。“因为没有经验，初始不能全国同步进行，出现问题的话成本控制有1定难度。”1404项目组成员表示。 试点机构从各部门抽调人员组成项目组，首先要做的工作是梳理业务和财务流程，把所有的流程都写出来，并画出流程图，找出风险点，看是否有相应的措施对

28、其进行控制。以承保流程为例，从客户投保，到承保、出单、客户签回执、公司核销回执，再到财务入账，从头至尾，把整个流程尽可能细化地落于纸端。 “分公司项目组写好后再在几个试点机构间进行交流，看自己有哪些没写出来，或者该列为重点的没有列出来，发现问题后重新再写。”上述人士说，“光流程就写了近3个月。” 之后要做的工作是进行测试：采用抽查法先抽出1笔业务从头至尾检查是否有漏掉的环节，如果有环节被漏掉就可能存在被忽视了的风险。考虑到1笔业务并不足以说明目前的控制确实有效，之后还会抽出几10个样本，用同样的方法对这1大笔业务进行再测试。2006年5月17日 对计划的影响程度（财务成本）这个步骤让内控部门对

29、风险有了进1步的识别，并发现主要的风险。上面这个表只有两个坐标轴，也只有高和低至分，而内控部么可以选择更多的参数。风险被分为4类，坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的，这类风险有高的法生可能性，而它们1旦发生对我们在运营方面的影响又将是巨大的，它们还可能带来1系列法律问题。而剩下的两个象限就可以不需要马上采取行动，但是这并不意味着内控部门就无动于衷，要防止它们变成右上角的风险。在完成了上面这个风险评估表后，内控部门同样需要在风险登记簿进行更新。 5.3.3 计划和实施内部控制活动在完成了主要风险的识别和后，我们需要解决的问题是如何去控制管理

30、这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定1个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。1般而言，上面表中在左下角的风险并不需要增加控制活动，在右上角中的风险是被认为要立刻采取1个或多个措施的，因为这类风险有高的法生可能性，而它们1旦发生对我们在运营方面的影响又将是巨大的，它们还可能带来1系列法律问题。而剩下的两个象限就可以采取1些控制来降低它的风险。 内部控制部门所需要做的是减少风险，而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用，那么就要设立新的控制活动来替代，而控制活动可以分为以下几类： l 预

31、防性的：如职权的分离，设置密码和准入； l 跟踪性的：如异常报告，帐务核对； l 威慑性的：如程序文件，监督审核； l 更正性的：如备份程序； 控制活动包括两个要素：政策与程序。政策规定应该做什么，程序则使政策产生效果，政策是程序的基础。要结合公司的组织结构，业务流程，起草适合上市公司运营的内部控制制度，尤其是细则和控制测试的标准，这也是内部控制体系中最重要的控制点之1。程序建设步骤如下： 首先，构造企业的业务循环，将业务循环又细分为业务流程，再将流程分为若干个作业，在业务循环模型构造的基础上，分析该业务在运行中可能出现的错误和舞弊。 然后，提出内部控制关键控制点，所谓关键控制点，是指在1个业务处理过程中起着重要作用的那些控制环节，如果没有这些控制环节，业务处理过程很可能出现错误和弊端，达不到既定目标。 最后，再设置内部控制文本，以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之1就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。 5.3.4 内部控制的监督 监督是1种随着时间的推移而评估制度执行质量的过程，对于内部控制实施的评审不是1个1次性的活动，我们需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施，主要风险有了减少，并没有新的风险