萨班斯法案对我国企业内部控制的影响（下）

4.2我国内部控制相关制度的发展
4.2.1 我国内部控制规定的演变
目前，我国尚未正式出现权威性的内部控制概念，对于内部控制完整性、合理性及有效性更是缺乏公认的标准体系。现行规范中提到内部控制概念主要有三处:1996年财政部《独立审计准则第9号一内部控制与审计风险》，提到内部控制结构化概念，包括控制环境、会计系统和控制程序，是指被审计单位为保证业务活动的有效进行，保护资产的安全和完善，防止、发现纠正错误和舞弊，保证会计资料的真实、合法、完整而制定和实施的政策和程序;2001年财政部会计控制规范引用了会计控制与管理控制概念;2002年中国人民银行《商业银行内部控制指引》，借鉴了coso报告，指出内部控制是商业银行为实现经营目标，通过制定和实施一系列制度、程序和方法，对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。
我国内部控制规范进程一览表：

时　间

发布部门

规范内容

1996年12月

财政部

发布《独立审计具体准则第9号一内部控制和审计风险》

1997年5月

中国人民银行

发布《关于加强金融机构内部控制的指导原则》，这是我国第一个关于内部控制的行政规定。

1999年

证监会

发布《关于上市公司做好各项资产减值准备等有关事项的通知》，开始要求上市公司建立内部控制。

2000年

证监会

发布《公开发行证券公司信息披露编报规则》，要求商业银行、保险公司、证券公司必须建立健全内部控制，并对内部控制的完整性、合理性和有效性做出说明。

2000年7月

全国人大

发布《会计法》，首次以法律的形式对企业的内部控制做出相应的规定，将其纳入企业内部会计监督制度。

2001年2月

证监会

发布《证券公司内部控制指引》，要求证券公司健全内部控制机制，完善内部控制，以规范公司经营行为;要求证券公司应当按照指引的要求，建立运行高效，制定科学合理、切实有效的内部控制。

2001年6月

财政部

发布《内部会计控制规范一基本规范(试行)》和《内部会计控制规范一货币资金(试行)》

2002年12月

财政部

发布《内部会计控制规范——采购与付款(试行)))和《内部会计控制规范一销售与收款(试行)》

2003年11月

财政部

发布《内部会计控制规范一存货(试行)》《内部会计控制规范一担保(征求意见稿)》和《内部会计控制规范一成本费用(征求意见稿)》

2005年10月19日

证监会

国务院

发布《关于提高上市公司质量意见》，国务院首次就上市公司工作批转发布文件。

2006年5月

深交所

发布征求《上市公司内部控制指引》意见的通知，揭开了中国上市公司内部控制体系制度建设的序幕

2006年5月17日

证监会

发布《首次公开发行股票并上市管理办法》第29条规定，发行人有cpa出具无保留的内部控制报告没，证监会首次对上市公司内部控制提出具体要求。

2006年6月5日

上交所

发布《上海证券交易所上市公司内部控制指引》

2006年6月6日

国资委

发布《中央企业全面风险管理指引》

2006年7月15日

财政部

发起成立“企业内部控制标准委员会”

2006年7月15日

中注协

发起成立“会计师事务所内部治理指导委员会”

2006年9月28日

深交所

发布《上市公司内部控制指引》，规定2007年6月30日前，深市主板上市公司均要按要求披露内部控制制度的制定和实施情况

通过上面列的这个时间表，我们不难发现，从1996年到2005年间总共颁布了10次与内部控制相关的法律法规，而在2006年这一年间，与内控相关的法规就出台5次，并同年成立了2个与内部控制相关的委员会。 而这一连串法规的出台或多或少都与sox有关，因为从2006年7月15日开始，所有在美国上市的外国企业，必须执行《萨班斯一奥克斯利法案》，这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束。

从上面的列表我们发现，我国内部控制的建设和发展开始于２０世纪９０年代，主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们可以将它们分为三个层次：
第一个层次是全国人大和财政部颁布的一些法律、法规。１９９６年颁布的《独立审计具体准则第9号一内部控制和审计风险》，２０００年新修订的《会计法》，以及２００１年到２００３年陆续出台的《内部会计控制规范》都属于这一层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了一定的积极作用。
第二个层次是中国证监会的有关规定，作为证券公司、投资基金公司的监管机构，中国的证监会出台了《公开发行证券公司信息披露编报规则》，要求商业银行、保险公司、证券公司必须建立健全内部控制，并对内部控制的完整性、合理性和有效性做出说明。并于２００１年发布《证券公司内部控制指引》，要求证券公司健全内部控制机制，完善内部控制，以规范公司经营行为。而在２００６年又发布《首次公开发行股票并上市管理办法》第29条规定，发行人有cpa出具无保留的内部控制报告没，证监会首次对上市公司内部控制提出具体要求。这一层面虽然针对的只是以证券类公司为主，但已经将内控的概念逐步完善，已经和国际内控框架的概念趋同。
　　第三个层次是各行业的监管机构对本行业颁布的内控文件，如中国人民银行１９９７年发布《关于加强金融机构内部控制的指导原则》，国资委于２００６年发布《中央企业全面风险管理指引》。同样在２００６年，沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。


4.2.2 中美内部控制规定的比较
上述内部控制规范的制定与出台，对于改善我国企业内部控制的现状，加强会计控制，完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 coso 相比较，还有很大差距。

１．内部控制的目标比较
　　从现有的内部控制规范来看，我国对于企业内部控制的目标定位，基本上是处于内部控制目标层次的最低级，只包括：保证会计资料真实、完整；保护单位资产的安全、完整；确保国家有关法律法规和单位规章制度的贯彻执行。与 coso 报告相比，没有提及内部控制提高经营效率，促进企业经营管理，实现企业目标等，所以我国的规范更多着眼于监督而不是企业的内部管理。

２．内部控制规范内容范围比较
　　与较为成熟的内部控制理论 coso 报告确定的五大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较，我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域，《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制；独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进一步发展，企业作为市场经济主体的意识和要求必然加强，相应地企业内部控制的内容和范围也越来越宽泛，不但企业内部的控制权的问题，企业的供产销，包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域，它与经济学、管理学、法学、政治学、社会学等均有密切关系，而且对后者而言，应该比前者重要得多。”

3．内部控制评价的比较
　　内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价，担任公司年审的会计事务所应当对其进行测试和评价。 目前我国内部控制的评价体系尚未建立，已制定和出台的内部控制规范，这方面的内容尚未作为主要部分予以重视。只有建立一套完善的、符合实际的、具有可操作性的评价指标体系，才能保证企业内部控制的有效性。

4．内部控制规范体系比较
　　《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定，造成对内部控制缺乏系统研究，无法形成一个成型的内部控制规范框架体系，因此对企业内部控制建设的普遍意义指导不大。在内容层次上，虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范，但到形成一套完整的内部控制体系要求，还有相当的距离。

五、我国企业内部控制的建设
5.1法案对我国在美上市公司的影响
　　404 条款被认为是 sox 法案所有条款中最严厉、最昂贵的条款，这是因为该条款要求公司都要将任何一个岗位的职务、职责描述得一目了然，而这项工作需要大量材料和文件支持。同时，为了达到 404 条款的要求，上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度（例如产品销售的条件、记录付款的时间和人员等）。此外，还要指出内部控制的缺陷所在。显然，要完成这些工作绝非易事，特别是对于组织分散，业务范围复杂的大型公司而言，组织越分散，业务越复杂就意味着要做的工作越繁杂，这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单，却恰恰可能是受到最猛烈冲击的。受规模所限，他们在执行 404 条款中更显捉襟见肘，所要花费的遵循成本可能将占收入更大的比重。
对于在美国上市的外国公司来说，sec批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了一年，但对于我国在美上市的大型国有企业来说，时间仍然十分紧迫。建立健全企业内部控制体系既要满足sox法案的要求，更重要的是以此为契机，完善企业内部控制系统，增强财务报告真实性，增长公司治理的经验，增强国际竞争的能力。因此，我国公司与相关监管部门应重视此项工作，认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合，加紧建立健全符合我国国情的内部控制体系。
2006年7月15日开始对在美国上市的海外公司生效包括中国石油，中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善，中国企业的内部控制完善得如何，在此，本文将以下面三个公司的例子作一说明：2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。 中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则，在转变经营理念、推进制度创新和管理创新方面采取了一系列措施，迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“一个全面，三个集中”，推行“四统一”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理，防范经营风险、提升公司价值发挥了显著作用。
特别是从2003年开始，公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的coso(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备，通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了一支具有较强业务能力的内控工作队伍。
中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们的设计总体是有效的关键问题是执行有力。只要执行有力，就能通过；反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。
《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”，积极探索有效方法，大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进一步落实工作职责和岗位责任，完善了工作网络，建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进一步落实。从4月10日开始，中国石油的管理层测试和外部审计全面展开测试进展顺利，审计已获通过。

基本在同一时间，华能国际于2003年也正式启动全面改进内控工作的404项目。 四年来，华能国际开创性地设计了《内部控制手册》；建立了内部控制组织体系；加强了公司和电厂两个层面的内部控制工作体系；完善并促进了管理制度建设，建立了符合公司管理特点的内部控制程序。
为改进内控，华能国际付出了巨大的人力和物力，有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第三轮审计的零缺陷。2007年4月，普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此，华能国际成为第一家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。

而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍，因为自身没有经验，因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解，为其担任404项目咨询工作的是四大外资会计师事务所之一的安永会计师事务所。
　　“404项目”分三批在中国人寿全系统推进，北京、江苏、河南和山东四个省市作为第一批开展试点。“因为没有经验，初始不能全国同步进行，出现问题的话成本控制有一定难度。”一404项目组成员表示。
　　试点机构从各部门抽调人员组成项目组，首先要做的工作是梳理业务和财务流程，把所有的流程都写出来，并画出流程图，找出风险点，看是否有相应的措施对其进行控制。以承保流程为例，从客户投保，到承保、出单、客户签回执、公司核销回执，再到财务入账，从头至尾，把整个流程尽可能细化地落于纸端。
　　“分公司项目组写好后再在几个试点机构间进行交流，看自己有哪些没写出来，或者该列为重点的没有列出来，发现问题后重新再写。”上述人士说，“光流程就写了近三个月。”
　　之后要做的工作是进行测试：采用抽查法先抽出一笔业务从头至尾检查是否有漏掉的环节，如果有环节被漏掉就可能存在被忽视了的风险。考虑到一笔业务并不足以说明目前的控制确实有效，之后还会抽出几十个样本，用同样的方法对这一大笔业务进行再测试。

　在确定流程和进行测试的过程中，关键问题是看对每一个风险点是否有相应的控制措施，如果没有则要及时反馈到相应部门，要求该部门设计出应有的控制措施或给出一个合理的解释，直到所有的风险都得到控制为止。
　　上述工作是在安永的协助下进行。刘代春介绍，外聘咨询机构的主要职责是帮助中国人寿制定项目计划，并对404项目组进行培训，帮助他们确定重要流程和重要会计科目。而中国人寿一直聘请的外部审计机构是普华永道会计师事务所，404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。
巨大的工作量也带来一定的挑战。一试点机构404项目组的成员表示，项目开展的最初半年每天都要工作十几个小时，反复查找风险点、进行测试，并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说，这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司，分公司下设地、市级支公司，总、分、支公司都有相应的业务和财务部门，单把流程写清楚就不是易事。为此，中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。


5.2 中美企业内部控制比较
由于中国企业在内部控制方面的起步较晚，所以中国企业在内部控制实施方面也就自然落后于美国一流的上市公司，下表是中美两国公司在内部控制上的比较：

世界一流公司

中国上市公司

公司治理结构较好，基础数据透明度高

公司治理结构刚刚起步，基础数据不完善

有健全、完善的制度性管理条例、细则和程序

在细则、条例等制度的建设上滞后

外部审计结合内部控制

内审薄弱，缺乏内部控制专员

工作重点放在系统性、流程风险的测试

工作重点花费在核实信息、查证数据上

能提供有建设意义的内控整改计划和方案

提供有建设意义的内控整改计划和方案明显不足

业务流同信息流高度整合，同财务报告高集成

业务流同信息流整合度不高，同财务系统集成低

5.3我国企业内部控制建设的步骤
要完善中国企业的内部控制体系，我们还有很长的路要走，这需要很大的人力、物力和时间资源，而且内控体系的完善不是一个一次性的工作，也不是公司中几个人的工作，它需要全员参与，需要对内部控制不断进行监督和复核，从而达到降低风险，实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤：

5.3.1 内部控制环境的建设
１．公司治理结构
目前我国公司法人治理结构存在很大缺陷， 表现在： 产权结构一元化、一股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散， 而我们的问题是股权过于集中， 结果都造成了内部人控制。因此， 我们应在产权明晰的基础上完善公司治理结构， 解决“内部人控制”问题。调整持股结构， 分散大股东股权， 建立股东制衡机制， 解决“一股独大”问题； 进一步健全独立董事会制度， 完善独立董事责任追究制与考核机制； 完善监事会制度， 从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设，根本上解决企业内部控制失控的病根。

２．法制大环境
在上市公司内部控制报告制度方面，sox强制规定上市公司要上报内部控制报告及进行注册会计师审计， 而我国目前对于内部控制报告要求还是相当宽松的， 过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中，接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差， 大多数公司的内部控制报告流于形式的现象， 也就不足为奇了。尽管 2006 年 6月 5日， 上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和sox在达到内控目标方面是一致的， 只是这个指引还没有具体的操作细则出来，也不像sox已经上升到法律的高度。因此， 内部控制到底做到怎么样，做多少才合适， 还缺乏权威的认定， 因此， 我们应借鉴sox， 进一步细化公司内部控制报告的要求， 并建立公司管理层责任追究制度， 以保证内部报告有效性与有用性。
在对单位负责人和财务主管进行会计舞弊的惩罚力度方面，我国 《会计法》、《企业财务会计报告条例》等法规规定， 单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时， 一直严格依法对所有负有责任的以上人员作出处罚， 但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定，2005年上市公司公布年报时， 公司负责人、主管会计工作负责人及会计机构负责人（会计主管人员） 必须声明：“保证年度报告中财务报告的真实、完整”， 便是借鉴了sox要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的， 相对于sox的一系列严厉惩罚措施， 我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈，sox中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁， 只有这样的力度才能成为真正威慑会计舞弊者的铁拳。
在我国，《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系，但是没有具体可行的规定，尚不能够形成内部控制整体框架。目前，证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审，没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此，应尽快加强企业内部控制有效性评价方面的立法工作，以及内部审计和独立审计等行业准则的规定，为提高企业内部控制管理提供外部监督和指导。加强立法工作，使财务报告内部控制有效性的评价做到有法可依。

３．公司的内控文化
企业文化是随着现代工业文明的发展，企业组织在一定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的一种无形的力量，影响企业成员的思维方法和行为方式。在企业成长的过程中，文化对企业产生的许多影响都被纳入企业行为的原始部位，处于行为动机的意识层面之下，以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性，是其不可避免的影响着企业的内部控制，企业在培养自身文化时，应避免一种只注重内部短期的企业文化，保持一种健康的文化氛围，使其与公司战略目标趋于一致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准，企业中正式的政策文件等只能书面表达管理阶层想让什么发生，而企业化则决定什么会发生。coso 报告特别强调“人”在内部控制中的作用，一个企业的人力资源政策直接影响到企业中每一个人的业绩和表现。良好的人力资源政策，对培养企业的员工，提高企业员工的素质，更好地贯彻执行内部控制有很大的帮助，并对公司员工进行讲解程序，提高员工的风险和控制意识。

5.3.2 内部控制风险的识别和评估
内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动，然后需要仔细研究控制活动并识别出每一个活动所涉及的风险。在这一步中，内控部门要尽量识别出每个控制活动所涉及的所有风险，而不要去评估风险的可能性和影响。当然，会影响到公司运营的外部风险也同样需要加以识别。一旦你已经完成了识别风险的工作，内控部门就需要把他们收集、整理并记录下来。
接下来要进行风险评估，这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈，企业经营风险不断提高，其内部控制的机制也需要相应地提高。而我们对于内部控制的研究，我们须以环境及其风险的分析入手。企业管理者运用一系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析，判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险，及时采取措施控制和化解风险，减少损失。
内控部门需要对所有列在风险登记簿上的风险进行评估其严重性，从而决定是否需要采取减轻的措施。我们有许多方法来对风险进行分类。其中，一种风类方法是将其发生的可能性和发生后对计划影响的严重性（上面的步骤已近制定的）来进行分类。我们也可以用下面的表格对风险进行评估分类：

发

生

的

可

能

性

高发生可能

低影响程度

高发生可能

高影响程度

低发生可能

低影响程度

低发生可能

高影响程度

对计划的影响程度（财务成本）

这个步骤让内控部门对风险有了进一步的识别，并发现主要的风险。上面这个表只有两个坐标轴，也只有高和低至分，而内控部么可以选择更多的参数。风险被分为四类，坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的，这类风险有高的法生可能性，而它们一旦发生对我们在运营方面的影响又将是巨大的，它们还可能带来一系列法律问题。而剩下的两个象限就可以不需要马上采取行动，但是这并不意味着内控部门就无动于衷，要防止它们变成右上角的风险。在完成了上面这个风险评估表后，内控部门同样需要在风险登记簿进行更新。

5.3.3 计划和实施内部控制活动
在完成了主要风险的识别和后，我们需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定一个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。一般而言，上面表中在左下角的风险并不需要增加控制活动，在右上角中的风险是被认为要立刻采取一个或多个措施的，因为这类风险有高的法生可能性，而它们一旦发生对我们在运营方面的影响又将是巨大的，它们还可能带来一系列法律问题。而剩下的两个象限就可以采取一些控制来降低它的风险。
内部控制部门所需要做的是减少风险，而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用，那么就要设立新的控制活动来替代，而控制活动可以分为以下几类：
 预防性的：如职权的分离，设置密码和准入；
 跟踪性的：如异常报告，帐务核对；
 威慑性的：如程序文件，监督审核；
 更正性的：如备份程序；
控制活动包括两个要素：政策与程序。政策规定应该做什么，程序则使政策产生效果，政策是程序的基础。要结合公司的组织结构，业务流程，起草适合上市公司运营的内部控制制度，尤其是细则和控制测试的标准，这也是内部控制体系中最重要的控制点之一。程序建设步骤如下：
首先，构造企业的业务循环，将业务循环又细分为业务流程，再将流程分为若干个作业，在业务循环模型构造的基础上，分析该业务在运行中可能出现的错误和舞弊。
然后，提出内部控制关键控制点，所谓关键控制点，是指在一个业务处理过程中起着重要作用的那些控制环节，如果没有这些控制环节，业务处理过程很可能出现错误和弊端，达不到既定目标。
最后，再设置内部控制文本，以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之一就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。

5.3.4 内部控制的监督
监督是一种随着时间的推移而评估制度执行质量的过程，对于内部控制实施的评审不是一个一次性的活动，我们需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施，主要风险有了减少，并没有新的风险产生。公司可以通过第三方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现，或者两者结合。在内部控制监督中，有两项职能发挥着重要作用：
1．内部审计，它既是企业内部控制的一个部分，也是监督内部控制其他环节的一个主要力量。在现代企业管理过程中，内部审计人员被赋予了新的职责和使命，美国著名内部控制专家迈克尔•海默教授曾说过：“内部审计机构应将自己视为公司的一种资源，在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用，内部审计师的使命将从简单的我们实施审计向我们帮助创建一些程序，以期达到组织成功所需要的内部控制水平的方向发展”。因此，内审的职能和外部审计有所不同，内审将更注重企业的经营管理所面临的风险，并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检，对内审的力度还有所不足。
2．内部控制，在美国企业中，企业专门设立内部控制部门，可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果，以期能更好地达成内部控制的目标。评估的基本特征是：关注业务的过程和控制的成效，由管理部门和职员共同进行，自我评估是为提高组织内部控制的自我意识所作的努力，这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果，然后让他们自己采取行动改进这种状况，而不是坐等内部审计人员。因此，我国企业可试行定期或不定期的进行控制自我评估，以便经常发现和解决内部控制过程中出现的问题。

5.3.5 内部控制信息的传递
企业应设立一个良好的信息与沟通系统，一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如，企业会计系统的每个环节都是一个控制的过程，企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主，提供有关企业财务方面的信息，而管理信息系统还提供很多非财务的信息。一个健全的信息系统应该能够提供内容适当、及时、正确的信息。
同样，要推广内部控制的思想和理念，并较快的纳入实践，公司就需要建立起一个好的信息系统来支持内控工作的上传下达。当然，好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中，我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用：


结论：
从2006年7月15日开始，所有在美国上市的外国企业，已经必须执行《萨班斯——奥克斯利法案》。而在同一天，我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”，中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现，美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响：一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场，如果不能尽快完善内部控制和信息披露机制，那么将会导致股东利益受损和证券市场的泡沫。
萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度，同时也加强了管理层的责任，通过企业内部控制的完善及每年进行的符合性测试，这些努力也许并不能消除所有企业面临的风险，但是它却可以帮助企业把风险控制到一个可接受的标准范围之内，从而有效地减少企业所面临的风险。实施404条款后，对于投资者而言，良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护，财务报告披露的信息更加真实可靠，投资信心大大增强。
　　因此，从企业长远的角度来看待企业目标的话，内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会，加强内部控制的建设，为企业的长远发展做好内部制度规范上的准备；同时，我国的有关部门也要加紧相关法律法规的建设，并同时加大相关执法的力度，从而营造一个好的内部控制的大环境。

注释：
文宗瑜 李铭：“萨班斯法案的启示”，《首席财务官》2006年11月刊，p73
友联时骏管理顾问：《企业内部控制和风险管理》, 复旦大学出版社2005, p2
internal control — integrated framework，coso，july 1994 edition
李蕾：《企业内部控制及其应用》，中国优秀硕士学位论文全文数据库，2006，p5
张文贤，孙琳：《内部控制会计制度设计：理论•实务•案例》，立信会计出版社 ，2004，p18
张文贤，孙琳：《内部控制会计制度设计：理论•实务•案例》，立信会计出版社 ，2004，p1
臧晓辉：“萨班斯法案应对策略”,《首席财务官》 2006年11期, p78
陈飞：《萨班斯法案对我国内部控制的影响》，中国优秀硕士学位论文全文数据库，2005，p10
joseph f. beraraino: enron, a wake-up call, the wall street journal 2001,12,4
sarbanes-oxley act 中国注册会计师协会：美国萨班斯法案，2003
zeta-cia研究中心：《2002年萨班斯-奥克斯利法案（中英对照本）》，法律出版社， 2005，4
汤云为：“终结财务丑闻”，《后安然时代》，中国财政经济出版社，2003 年，p560
友联时骏管理顾问： 《企业内部控制和风险管理》, 复旦大学出版社2005, p104
杨雄胜：“内部控制理论研究新视野”，《会计研究》，2005 年第 7 期，p50
张为国、邱昱芳：《后安然时代》，中国财政经济出版社，2003 年，p280
李天星： “三大石油公司备考萨班斯法案”， 《中国石油企业》，2006，8
华能国际跨过《萨班斯法案》门槛， 中国证券网-上海证券报，2007,4,12
中国人寿备战萨班斯法案 404不易在国内推, 21世纪经济报道，2006,4,6
臧晓辉：“萨班斯法案应对策略”,《首席财务官》 2006年11期, p79
胡大钧：“论sox与完善我国企业会计内控制度 ”，《集团经济研究》，2006，20
codes-related guidance internal controls, feb 2007
carolyn l. lousteau： internal control systems for auditor independence，the cpa journal, 2006
臧晓辉：“萨班斯法案应对策略”,《首席财务官》 2006年11期, p80
management’s responsibility for internal controls

主要参考文献：
１、《企业内部控制和风险管理》，友联时骏管理顾问，复旦大学出版社，2005
２、《后安然时代》，张为国、邱昱芳，中国财政经济出版社，2003
３、《内部控制会计制度设计：理论•实务•案例》，张文贤，孙琳，立信会计出版社 ，2004
４、《超越coso——强化公司治理的内部控制》，鲁特，刘肖仓，中信出版社，2004
５、《2002年萨班斯-奥克斯利法案（中英对照本）》，zeta-cia研究中心，法律出版社， 2005
６、《首席财务官》， 2006年11期
７、internal control systems for auditor independence，the cpa journal, 2006
8、codes-related guidance internal controls, .uk, feb 2007
9、management’s responsibility for internal controls
10、免费论文网

本文链接：http://www.qk112.com/lwfw/guanlilunwen/gsgllw/77650.html