内部控制与SOX（萨班斯）法案入门.docVIP

内部控制与SOX（萨班斯）法案入门 公司治理的人盯人 企业的内部控制思想在原理上与赌场中古老的内控体系一样。在40年代的美国，内部控制制度出现的初期，它就是以一种“内部牵制制度”的形式出现的。它的出发点很简单，就是将一项由一个人做让人不放心的业务，同时交给两位或两位以上的人去实施，客观上造成实施人之间的一种相互牵制关系，从而预防可能发生的差错。最常见的牵制规则是管钱、管物、管账分工负责，相互制约。付款的人不能负责记账，采购的人不能负责收货，做销售的不可以自定信用额。到了ERP的信息时代，变成系统操作人员不可以修改系统，修改系统的人不可以操作，以及不同等级的人被授予不同的权限等等。这些方法是企业内部控制的硬方法。 随着商业的发展，内部控制的软技巧也开始多起来，比如业绩评估奖惩，培训，流程和制度，以及员工的行为规范等等。内部控制开始从单纯的财务审计问题转化为企业内部管理问题，尽管在许多企业控制长(Controller)一职还是由财务担任。 1992年，美国五家会计协会（注会协会、会计协会、内部审计师协会、管理会计协会以及财务管理协会）组成了一个委员会叫COSO （Committee of Sponsoring Organizations）。COSO委员会把内部控制系统化，提出内部控制的三大目的：即取得经营效果和效率，确保财务报告的可靠性和遵循适当的法律法规。按照COSO的解释，内部控制是一个过程，象西西弗斯推石头一样永远没有结束的那一天，有企业存在，就有内部控制。而且，内部控制不是一些人的事情，而是企业所有人的事情，企业的流程和制度制约每一个人, 无论是好人还是坏人。好的内部控制制度可以帮助企业达成它的目标，尽管内部控制不能保证企业成功。对于上市公司来说，内部控制保证了投资者对财务报告的信心。因此，财务审计的核心实际上也就是内部控制。 COSO提出了著名的COSO模型，认为内部控制主要由控制环境、风险评估、控制活动、信息交流、监督五项要素构成。 企业的内部控制环境包含了企业管理层的领导能力、组织结构、预算和内部报告体系、内部稽核、人事架构、健全的实务等。说到环境，中国人相信“水至清则无鱼，人至察则无徒”，好处是处处有弹性，不好处是弄不好就导致污染环境，长期结果是鱼虾皆亡。企业的风险评估是财务人的敏感区域，风险管理以预防为主，即通过增加、补充或规范各内部控制环节来规避可能面临的风险。如果风险实在避不开时，就转嫁风险，如购买保险，利用对冲和远期合约等。控制活动是确保管理阶层的指令得以实现的政策和程序。控制活动是针对关键控制点而制定的，因此，企业在制定控制活动时关键就是要寻找关键控制点。比如生产、经营性企业的采购作业的交易数量通常都较大，而且存货易于因废弃、变质和偷窃等而发生损失，导致重大错误或舞弊的可能性也提高。因此，包括采购在内的物流体系是控制活动的关键。 现在越来越多的企业使用公开招标的方式控制采购。软银（编者注：日本的一家投资银行）的孙正义投资了一家日本公司，提供第三方网上竞价服务，使价格决定过程透明化，不受人为左右。在日本，企业有四个利润来源，在销售，生产，物流之外，还有采购。这家公司在日本获得了很大成功，正在试图将其模式移至中国。中国国有企业内部控制制度有两个最薄弱的环节，一是货币资金，二就是采购。采购业务中弄虚作假，吃“回扣”等现象也许会因采用第三方网上竞价而有所控制。企业的内部监督是一种随着时间的推移而评估制度执行质量的过程。监督的背后是有效的考核制度和激励制度，这也是中国企业目前比较薄弱的地方。另外，还有信息交流。 这里信息不仅仅是指文书程序， 会计记录，以及财务报告，还包括其他商业信息。这本是企业管理的基本要求，但是这几年却遇到前所未有的挑战，最终导致了SOX法案的出现。 强化的内部控制 COSO的内部控制模型在世界各地的企业界里盛行了10年，直到2002年7月25日，美国《萨班斯-奥克斯莱法案》（《2002公众公司会计改革和投资者保护法案》，英文是Sarbanes－Oxley Act，简称SOX）的公布。SOX法案的背景是2001年底的安然公司倒闭案以及2002年中的世界通信会计丑闻事件，投资人对上市公司财务报告出现空前的信任危机。 罗斯福总统签署了1933年的《证券法》和1934年的《证券交易法》。布什总统称他自己所签署的SOX法案是自《证券法》和《证券交易法》以来美国资本市场最大幅度的变革。 SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括：建立一个独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过签字合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强财务报