中国上市公司遵循SOX404条款的影响和应对方法下

互联结、协同作用、相互影响，构成一个对环境动态反应的有机整体

（二）识别关键控制管理层对内部控制有效性的评价是基于整体内部控制，而不是个别控制或控制环节控制的各个组成部分如前所述，是相互联系、交互作用的，但其中一些控制对整体控制的有效性具有主导作用，这就意味着我们在评价内控有效性的时候应该着眼于关键控制因而，企业应先识别出关键控制关键控制同时存在于公司层面和流程层面，以下我们分别来说明

1.公司层面关键控制的识别公司层面的控制构成控制体系的基本构架，是更宏观的控制，对于流程层面控制的设计和实施都会产生比较深远的影响根据大多数企业的情况，我们认为以下的公司层面控制一般属于关键控制

①公司文化

②人事政策

③计算机一般控制

④组织目标和控制结构的对应

⑤风险识别

⑥反欺诈政策

⑦财务报告流程

⑧系统范围的监控

2.流程层面关键控制的识别404条款要求评价的是财务呈报内部控制，因此我们在决定关键控制时就要考虑该项控制对财务报告的影响关键控制应是指那些对重要财务报告会计科目余额和披露有重大影响的控制我们可以先阅读一下财务报告，分析关键的财务报告要素，再从每个关键财务报告要素出发，寻找对应的关键控制流程对财务报告要素进行优先排序时应首先考虑其相对财务报告的重要性水平以及错报的可能性除此以外还要考虑下列其他因素

①会计准则的复杂程度；

②重要会计估计方法的主观性和可靠性;

③企业业务变更的程度以及其对内部控制的预期影响；

④财务报表中存在潜在重大错误或遗漏之外的风险，例如非法行为、利益冲突、管理层未经公司授权使用公司资产等;

⑤公司曾经出现过的或行业内普遍存在的问题报表项目，例如收益确认、储备计算等;

⑥管理层是否要求记录那些与一般不会出现重大错报且可以被合理预测的会计科目相关的流程，例如，对大多数公司来说，工资是可以合理预测的，但其在销售成本和一般管理费用中占有较大的比重，因此，鉴于对有关工资的活动进行管理和控制的需要，管理层或许会要求记录与工资相关的流程及内控主要财务报告要素确认后，对其有重大影响的即为关键控制，可采用下面两种方法加以确认第一种方法是，针对可能会对关键财务报告要素产生重大影响的交易和相关控制系统，梳理其交易流程，确认关键控制这可以通过将业务和相关控制系统分割成数量有限但相互联系的交易流程来实现，该交易流程是机构进行交易时所发生的主要的同类经济事项收益、采购、薪金、换算、财政和财务报告均属于这种交易流程第二种方法是，将业务分割成其实际的流程理想的情况是先系统分类流程，而不是为应付考核而选择性的梳理流程业务被分割成不同流程后，项目小组再确认关键流程，以审核相关风险和内部控制关键流程的确认须根据它对财务报告（或者业务）的重要性、出现内控缺陷或者流程发生问题的可能性来进行这样，关键流程便与主要会计科目及披露事项联系起来，从而建立其与财务报告的相关性

（三）形成文档记录找出关键控制后，应该进行针对所有关键控制的文档记录文档记录能够增强内部控制可靠性，支持内控系统监督，评价内控设计和执行的效果，同时又为PCAOB的2号审计准则所强制规定，是404条款执行中的重要环节，同时也是成本大项这一阶段的工作主要是检查现有文档是否完善，并补充缺失的文档，为内部控制有效性的评价做准备，其工作流程如图5-2所示控制文档应包括与关键控制目标对应的控制政策和措施、可追溯至重大错报源头的业务流程描述、控制措施的负责人和执行方法控制文档亦包括公司层面和业务流程层面公司层面的关键控制文档包括公司治理文档、人力资源政策文档和员工手册、财务政策手册等业务流程层面的关键控制文档包括流程图、流程每个环节的文档、每个环节的风险及补救措施等在准备业务流程层面的控制文档时，我们应该以有效掌握业务流程的全貌为原则，从关键帐户开始，追溯信息的流动，直到信息产生的源头，其中所有引起信息的处理和变动的文档都是关键文档测试和评价公司层面的控制建立了内控制度后，按照404条款的规定,公司还要进行内部控制的测试和评价在进行控制测试的时候，对公司层面的评价应该尽早进行如果公司层面的控制存在重大问题，那么这些问题应首先被发现并更正如果公司层面的控制很强，可以降低对流程控制的依赖性，也可以降低测试要求如果公司层面的控制较弱，外部审计师可以对是否存在较强的公司层面的控制做出“合格/不合格”或者“通过/不通过”的决定较弱的公司层面控制将会造成对流程控制的依赖性以及测试要求的提高公司层面的评估可以被细分为4个步骤进行

1.测试公司层面关键控制在前面的步骤中，我们先识别出了公司层面的关键控制，之后又据以准备了控制文档,接下来要做的事就是测试这些关键控制的有效性对公司层面关键控制的测试手段会比较特别，因为公司层面的控制对财务报告的影响是非线性的、间接的，这就意味着不能像面向交易的业务层面控制一样通过可量化的方法来测试一些常用的测试方法包括员工问卷调查、管理层问答、计算机一般控制、文档回顾针对不同的关键控制应该使用不同的测试手段，如表5-1所示

2.评价公司层面关键控制不论以何种方式评估公司层面控制，其目标都是记录那些现实存在的公司层面的控制需要注意的是，对公司层面控制是否有效的评估基于管理层的判断，是比较主观性的,但是管理层应该清楚地认识到控制是作为一个整体来评估的，个别部分未达到最高可靠性不必然影响控制整体的可靠性，并且控制提供的是合理范围而非绝对的保证

3.收集支持性证据项目组应该将所进行的测试和结果做出证据予以保存，这一方面是公司评估控制有效性工作的一部分，也是对外部审计师内控审计的配合外部审计师将据以评判公司的评估过程，并通过部分采用公司测试的结果来减少他们自己的工作量

4.与外部审计师进行沟通公司层面的审核完成后，管理层应该与外部审计师一起对总体结论、有关支持性证据以及对流程层面的控制评估造成的影响进行审核管理层与外部审计师定期就检查结果进行交流可防止日后出现意想不到的情况测试和评价流层层面的控制

1.寻找关键流程的关键控制点，评价控制设计有效性在第二步中，项目组已经找出了流程层面的关键控制，下一步就是与关键流程负责人共同确认流程中的关键控制点确认关键控制点时，项目组要逐一选择与风险相关的重要控制活动在流程图中寻找关键控制点时,应与流程负责人一并分析有关流程在对风险和控制点进行记录后，项目小组要评估有关控制是否按照其设计意图，确保已将风险降低到可接受的水平，即合理保证重要的财务错报能够被预防或及时发现如果存在重大的设计缺陷，则需要在检测运行有效性之前予以改进

2.评价控制运行有效性对控制运行有效性的测试应该能够让测试人员了解控制程序、控制执行人、控制的连贯性有效性测试有以下几种

①员工问答，员工问答的目的是确认测试人员对控制设计的理解并识别未按照设计进行控制的事项；

②基于业务的测试，这类测试中测试人员通过检查第三步形成的文档来确认控制是否按规定运行，并可以重新运行这部分流程来确认控制运行的有效性；

③对照调节表,这种测试和审计师审计银行存款余额调节表很类似，就是看是否定期对照，偏差是否及时解决；

④观察测试，对于不经常发生的控制活动如实物盘点，观察也是一种测试方法，但有时需要其它测试的补充才能保证严密性

3.基于测试结果评价控制如果测试的结果显示控制程序按照规定进行且没有缺陷，那么我们可以得出结论认为流层层面的控制是有效的，如果测试结果显示控制的设计或运行有效性存在缺陷，那么公司应该对流层层面控制有效性进行判断同样应该注意，所谓控制的有效性是就整个控制体系而言，我们在评价流层层面的控制时应该看它是否保证信息在处理过程中没有失真，而不是看单一控制环节执行成功与否

4.搜集支持性证据和与外部审计师定期沟通搜集支持性证据的必要性如前面公司层面控制测试中所述另外，由于404条款规定外部审计师要对企业内部控制自评过程和结果进行评价，因此公司在进行流程层面控制有效性的测试时应考虑外部审计师的意见如果外部审计师认为测试不足以证明管理层对内控有效性的结论，公司就会被要求进行额外的测试，因此公司在测试开始之前就应该就测试方案与审计师达成共识，而测试过程中也应定期与审计师讨论进展情况

六、中国网通对结构化方法的运用中国网通是一家在香港和纽约两地上市的中国企业，虽然其业务实体均在国内，但是根据SOX法案的要求，亦应在2006年7月15日后结束的财政年度达到SOX法案对内部控制的要求因此在2004年H月首次境外IP0的前夕，中国网通便着手开始404条款合规的准备工作截至今日，中国网通已经向SEC递交了2006年度6-K表格，其20-F表格预期将于2007年6月提交中国网通加强内部控制建设的“COSO内控项目”主要经历了四个主要阶段这几个阶段与前述的结构化方法有一定的对应性，可以看作是该方法在国内运用的一个例证第一阶段是调研和计划阶段，包括了以下两个子阶段1,了解中国网通的构架和业务，建立内控项目组织机构根据中国网通的架构和业务，成立内控项目组织机构设立由公司总经理领导的内控项目领导小组，下设财务总监领导的内控项目工作组内控项目工作组下设内控项目办公室，PM0下设公司层面控制组和专业工作组专业工作组分为财务、市场、计费、网络运营、采购、人力资源、资产、IT共8个小组其中公司层面控制组的目标是确保内控机制的有效运行，专业工作组则致力于保证财务报告真实可靠这是应对404条款的基础准备阶段，亦可称为组织准备在结构化方法中，我们并未将其单独列为一个步骤，主要是因为这个步骤不牵涉内部控制制度建立和评价的技术方面，且比较简单，只需注意分析企业的构架和业务分支，对项目组进行合理安排但是应该注意，这一阶段是每个公司遵循404条款的必经阶段,不容忽视

2.进行风险评估，确定项目的范围和计划这一阶段主要是梳理会计政策、业务流程，从而揭示风险并定义关键控制流程首先，公司着力建立符合境外会计准则的内控体系过去的中国网通一直按照中国的会计法、会计准则和会计制度建立内控体系，这与美国准则存在差异，需要进行调整这部分工作对应了结构性方法中的第一部分，即选择合适的内控框架C0S0框架是SEC和PCAOB均认可的内控体系框架，中国网通选择的即是该框架其次，对流程进行说明，确定关键控制流程公司规定对每一项经济业务的初始点到终点的环节做出描述，并将相关环节串起来形成流程关系，然后找出重要的业务活动作为关键流程通过揭示风险，梳理业务流程，再经过专家和网通总部各部门共同认定，确定列入内控范围的流程这部分工作对应的是结构性方法中的第二部分，即识别关键控制中国网通在确认关键控制的时候是采取了第二种方法，即先分割流程,然后确认关键流程第二阶段是内控体系设计阶段具体指制定流程层面的内控文档并对内控设计的缺陷提出改进建议，同时根据内控文档制作内控标准模版中国网通对每一个流程按照流程图、流程描述、风险描述及控制文档三个构成要素形成文档记录流程图描述了每个业务的流程关系和从起点到终点设置的全部岗位，并表明哪一个环节是风险控制点；流程描述，即结构化方法部分所指的流程每个环节的文档，包括对每个环节的任务，如做什么、怎么做、控制人、完成时间等进行描述；风险描述及控制文档中应包括风险补救措施这些正是结构化方法中形成文档记录阶段所要完成的工作第三阶段是整体推广阶段中国网通将内控模版在现有上市实体中进行推广，规定内控推广需完成的工作成果应包括流程描述、流程图、穿行测试文档索引、穿行测试文档、电子表格控制表、控制矩阵、内控管理问题汇总表、内控管理建议书这部分内容实际是规定了公司执行404条款过程中所需完成的关于内控体系建立、测试和评价的全部文档因此与结构化方法的第

三、

四、五部分对应，属于对支持性证据的要求第四阶段是符合性测试及改善阶段中国网通对404项目范围内的省市公司进行两轮合规测试，对于内控缺陷进行整改首先分流程组检查各分公司文档的更新情况，根据更新后的文档制作本地化测试底稿第二步了解本地控制活动的执行状况，检查标准测试方法的可行性，确定样本量第三步确定需测试的控制活动和控制文档第四步测试并汇总结果第五步对控制缺陷进行整改,使通过整改的内控系统满足404条款的要求这实际对应了公司层面和流层层面的测试和评价其中对控制缺陷的整改亦是内部控制评估的必然结果，在实务工作中基于自评估和内控审计结果进行，也包含在结构化方法的框架中总之，对于中国网通等在美上市中国企业来说，其管理水平大多处于从传统科学管理向现代企业管理过渡的阶段，内部控制制度才刚刚走向规范化，距离一些美国本土企业的成熟做法和成果还有很多缺陷和不足，但是按照sox法案的强制监管要求建立完善企业内控制度是一个良好的契机和重要突破口虽然本文所提出的结构化方法比较新，并且在实践过程中还在不断地完善着，但是这一方法在国外已经受到了广泛采用，具有普遍的适用性有了中国网通的成功经验，中国企业参照该方法预期将可较好的完成404条款的合规工作资料来源和参考文献中国注册会计师协会，行业发展研究资料——美国萨班斯法案NASDAQ IssuerSurvey Sarbanes-Oxley Actof2002,April13,2005FEI SpecialSurvey onSarbanes-OxleySection404Implementation ExecutiveSurvey,July

2004.付秀娜，不同公司治理结构模式比较研究，天津市财贸管理干部学院学报，2006年第2期，P12陈汉文、吴益兵、李荣、徐臻真，萨班斯法案404条款后续进展，会计研究，2005年第2期，p83余成国，中国移动内部控制问题研究，［学位论文］,华中科技大学，2006年刘迎宾，“萨班斯法案”对在美国上市的中国企业影响分析，经济师，2006年第2期，p59阚京华，我国内部控制制度性缺陷，中国审计，2006年第9期，p60-61Larry E.Rittenberg andPatricia K.Miller,Sarbanes-Oxley Section404Work:Looking atthe Benefits,pl6-17Ramos,Michael.How toComply withSarbanes-Oxley Section404:Assessing theEffectivenessof InternalControl,Hoboken,NJ,USA:John WileySons,Incorporated,

2004.阳杰、黄昌勇，《萨班斯法案》404条款遵循的若干实务问题研究，广东商学院学报，2006年7月总第87期，p66Protiviti,Frequently AskedQuestionsRegarding Section404,Protiviti Inc,20049,p48-52孙启伟，建立符合《萨班斯法案》要求的辽宁网通内控制度，辽宁经济,2006年第8期，p77中国网通内控体系建设初见成效，通信世界,2006年7月31日，A10就要不断地据以调整，许多时候发现由于理解和规定的偏差，需要大量返工，这个过程耗费了大量资源中国公司比较幸运的是避免了这一迷茫的时期，因为如今2号审计准则已经出台，也有了大量美国企业的经验和教训但是，一旦规定又有增减变动，这部分成本还是会产生的因为据调查，很多企业仍不甚清楚如何执行404条款，认为条款的一些规定有待细化对法案相关规定的调整预期还会继续进行

4.相关专业人才匮乏这一点表现在内部专业人员匮乏和外部专业人员匮乏两个方面内部专业人员主要是指404项目组成员和内部审计人员一般来说，这些人应该具备比较全面的会计审计知识，也有很多具有审计从业经验但是，他们在内控知识上可能不完备，需要进行专业培训不同于一些美国跨国企业的内部专业人员，这些人员往往是没有经历过404合规工作的，在这方面完全不能算专业，只能说比一般员工专业，而这是远远不够的外部专业人员是指外部审计师和顾问等这些人员往往是在具有会计审计知识的基础上具有一定内控方面的实际经验，他们在404条款合规方面会比公司内部专业人员权威但是，有两点值得注意首先，以往的404条款合规经验通常来源于国外企业，他们的内部控制准备状况和中国企业不大相同，另外中国企业具有许多中国特殊国情决定的特点，在合规工作过程中是需要考量并灵活变通的，在这点上，外部专业人员不一定比内部专业人员更胜任；第二，所谓专业人员也未必专业，只不过他们服务于专业机构罢了当然，项目组的负责人是具备足够的专业知识的，但实际执行内控审计的人员大部分都比较年轻，缺少专业经验，再加之他们对企业业务流程的细节也不了解，就会造成外部审计师比公司内部人员还迷茫的情况NASDAQ的调查报告显示，公司普遍认为审计师不能称为专家，只是“又多余、又昂贵的劳动力密集型作业”o70%的接受调查者认为，审计行业不具备培训到位的员工来执行S0X404合规工作，61%的人认为外部审计人员并没有足够的资格评价他们的内控系统虽然比较极端，但一定程度上反映了外部专业人员在执行404条款时也有一定局限

五、中国企业如何遵循S0X404结构化方法以上我们了解了S0X404条款的规定和中国在美上市企业由此面临的机遇和挑战，可见,如何顺利开展S0X404合规工作已经是迫待解决的问题今年上半年，所有在美上市中国公司都将向SEC递交符合404条款的表格除了新浪、搜狐等少数在NASDAQ上市的中国公司已经提前达到过404条款的要求，对大多数中国公司，尤其是在纽约证券交易所上市的大型国企，这是第一次面临404条款的真正考验迄今为止，24家在纽约证交所上市的中国公司中仅有4家递交了内控报告可以预见，这一最初的尝试不可能十全十美，而更多的中国企业能否在他们之后继续登陆美国资本市场，就要看他们的执行情况因此，404条款合规方面的实务指导非常必要目前，国内关于内部控制的制定、实施、评价的理论研究已经十分深入和广泛,但是却很少有专门针对S0X404条款的实务方面的指导，将理论运用于实际尚有一定困难以下文章的内容就试图提出一个普遍的遵循方法选择合适的内控框架企业欲建立和评价自己的内部控制制度必须有一个参照标准，这个标准应是国际普遍认可的，方可达到完善、规范国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等PCAOB于2004年推荐使用COSO框架,随后获得了SEC的批准SEC的认可表明COSO框架已正式成为内部控制框架的标准我国企业可以按照COSO框架建立企业内部控制制度，使单纯的控制活动与企业环境、管理目标及控制风险相结合，形成一套不断改进、自我完善的内部控制机制框架关于内部控制的定义现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架其中，对内部控制的定义为内部控制是由企业董事会、管理层和其他员工实施的，为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程2004年，COSO委员会进一步将内部控制的涵义拓宽为企业风险管理，但是企业风险管理整体框架实际上并没有取代内部控制整体框架所以本文对内部控制框架的选择还是采用了后者，以符合现行规定框架的三个维度COSO框架提出了内部控制制度的三维结构第一维度是内部控制目标，即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控三个维度构成了内部控制整体框架，即要求对于给定目标，管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估

3.理解内控框架的注意事项

①COSO对内部控制的定义是一个过程，而不是结果过程与结果之间有一定的对应性，但是结果的失败，比如产生了目标偏差，并不代表过程是有缺陷的，相反，结果达成了目标，也不代表控制过程是有效的因此,公司应注意在评价内控有效性时，针对的是内控过程

②内部控制系统是为基本的业务需求而存在的COSO框架认为内部控制是内嵌在组织的业务流程之中的，而不是独立的附加在公司已有系统之上的

③内部控制制度的设立应是灵活的、可修改的COSO框架并不是一个刚性的规定，它承认不同的组织可以根据自己的情况选择不同的控制方法止匕外，内控制度的设计应具有灵活性，始终保持其在动态环境下的有效性

④内部控制提供的是合理的保证COSO框架承认内部控制的局限性，即不论内控系统的设计和运行多么完善，亦只能提供合理范围内的保证内部控制失败，并不意味着系统是失效的这在内部控制报告中有所体现

⑤内部控制框架各要素之间并非简单的线性连续关系内部控制框架的5要素之间相。