1引言

现在，证券市场的诚信文化已成为一个区域或国家最具备国际角逐实力的要紧指标之一。美国“萨班斯法案”（SOX法案）的颁布无疑是监管机构挥出的一记重拳和最严厉的监督法律，法案需要所有美国上市公司需要打造和健全内控体系，并对公司管理层提出了明确的责任需要。法案中最难操作、本钱最高的是对公司治理和健全内部控制的全方位需要，其核心是促进企业健全内部控制，提升公众披露信息的水平和透明度，以打造、健全并有效运行内部控制和风险管理机制，达成公司运营过程的全方位风险管理。此法案为全球其他区域的证券监管机构提供了借鉴和参考模式。
2007年以来，国资委、上交所、深交所等纷纷发布引导性文件或征求建议稿，需要中国企业加大内控。中国在美上市电信企业借助实行SOX法案的契机，建设与推行内部监控系统，提高公司整体管理水平，同时也为国内上市公司健全内部控制提供了借鉴。

2SOX法案概述

2.1SOX法案的颁布背景

伴随2001年美国最大天然气采购及供应商--安然公司财务造假案的揭秘，拉开了美国大公司财务造假丑闻的序幕。此后相继暴露出多家大公司财务造假，从企业规模来看，既有声名显赫的巨型公司，如全球通讯公司、世界通讯公司、施乐公司，也有小公司如泰科公司等。此次“美国公司假账丑闻浪潮”经大众媒体渲染引发了整个社会对美国企业的信赖危机，导致美国股票市场持续下跌，延缓了美国经济的复苏节奏，从而也打击了投资者对美国资本市场的信心。

为整顿上市公司秩序、重建投资者信心、提升投资者所依靠的财务报告的信息水平，美国参议员萨班斯和众议员奥克斯利联合提出了《萨班斯-奥克斯利法案》，简称“SOX法案”，该法案刚开始于2002年2月14日提交给国会众议院金融服务委员会，经过多次听证、修订，该修正稿以高票分别在参众两院通过，2002年7月正式获得通过成为美国的一项法律。

《SOX法案》是继美国1933年《证券法》、1934年《证券买卖法》以来又一部具备里程碑意义的法律，其效力涵盖了注册于美国证监会之下的约14, 000家公司，其中包含了很多的非美国公司。

2.2 SOX法案404条约的内容概述

作为SOX法案中非常重要的条约之一，第404条约明确规定了管理层对公司内部控制须进行评估。

2.2.1内部控制方面的需要：需要公司年报中包含一份“内部控制报告”，该报告应包含以下内容：

（1）明确指出公司管理层对打造和维持一套完整的与财务报告有关的内部控制系统和程序所负有些责任；

（2）依据1934年证券买卖法中13或15款需要递交年报的公司，其管理层在财务年度期末须对与公司财务报告有关的内部控制体系及程序的有效性进行评估。

2.2.2内部控制评价报告

受托的上市公司审计师应根据上市公司会计监管委员会对审核约定所发布或使用的准则就管理层关于内部控制的评估进行测试和评价，并出具评价报告。上述评价过程不应当作为一项单独的业务。（张为国等（2003））

显然，404条约对公司内部控制作出的严格需要是为了保证公司财务报告的靠谱性，使公众更易知道企业的欺诈行为，保障广大投资者的利益。

从SOX法案2002年7月生效到今天，美国证券交易委员会不断推迟SOX404条约的实行时间可以看出，它的实行困难重重。

公司在遵循404条约时，第一需要拟定内部控制详细目录，参照诸如cosplayO 委员会之类的内部控制研究机构的内部控制框架，记录控制手段、评估办法及将来用来弥补控制缺点的政策和打造内部控制步骤。第二，对企业的内部控制步骤进行测试，以确保控制手段和弥补方法起到预期用途。最后，管理层对公司内部控制有效性作出评价并将上述各项活动状况整理后出具一份正式的报告。可见，SOX法案404条约的需要就是对公司与财务有关的内部控制的需要。

3中国电信企业应付SOX法案，健全和优化内控体系的手段

2006年7月15日，对于所有在美上市的中国企业来讲是一个“分界线”。现在国内四大电信运营商全部在美国上市，他们积极采取手段，构建法案需要的内控系统，并通过了“萨式”大考。看重内部控制，特别作为信息化水平非常高、业务步骤依靠于IT步骤的电信企业，健全IT内部控制看上去尤为迫切而且关系到企业的可持续进步。

3.1中国移动

中国移动依据SOX法案的需要，于2004年通过了适用于本集团首席实行官、财务总监、副财务总监、助投资理财务总监与其他高级财务职员的职业操守守则。依据该守则，如发生违反守则的状况，本公司经与董事会协商，将采取适合的防范或惩戒性手段。

2005年9月，中国移动在福建、天津、湖北、山西等4家省级公司开始推行SOX法案的全方位试点。试点涵盖企业经营、 IT系统控制、投筹资管理、财务监控、法律法规监督等13个大类、38个细项，对于企业内部步骤梳理、加大财务投资监管、协调内部资源分配、提升管理透明度等方面都具备相当大的影响。为了推行“SOX法案”，中国移动从公司总部到试点省级公司均成立了专项运营小组，挑选出很多的专业职员专门负责整个项目试点工作，并且引入毕马威公司作为实行顾问，对试点工作与将来的全方位正式运营提供指导和规范。

依据美国《SOX法案》第404条约的规定，公司根据cosplayO框架打造和健全了全方位的内部控制及风险管理体系。
2006年，公司以标准化内部控制手册和控制矩阵为模板，系统化地对中国大陆31家运营子企业的35个业务单位与财务报告有关的内部控制进行全方位的步骤记录，健全规范，在本集团内部推行标准化的内部控制，包含资本性支出业务步骤、收入和计费业务步骤、会计和财务报告步骤等11个业务步骤层面的控制，与信息技术整体控制和公司层面控制。同时，公司打造了分工明确的责任机制，并将内控管理融入平时业务管理中，提高全员的风险管理意识，充分发挥内控的监督用途。

3.2中国网通

中国网通自2004年11月起着手推进内控体系建设，全集团近万名职员参加了各级内控管理培训。
2005年，在集团总部和7个省市进行了调查试点及试推广工作，共形成内控文档22套，其中步骤描述860个、步骤图1262个，发现了很多管理层面及业务步骤层面的缺点。

结合内控体系建设，网通集团拟定并印发了《中国网通集团信息水平问责管理若干规定》，打造了一级对一级负责的信息水平责任声明和传导机制，规定所有职员均对披露和提供的信息水平签名承诺，并终身负责，有力地推进了内控体系的打造。

经过两年的艰苦努力，网通企业的进销存项目及内部控制系统在2006年底获得了决定性的成功。进销存项目在所有服务地区内完成系统上线。参考cosplayO内部控制管理框架拟定的内控体系也全部完成并正式在所有地区内运行。

公司设立的审核委员会不但积极履行了监督公司审计有关工作的职责，并且在推进公司内部控制体系优化方面发挥了要紧用途。审核委员会直接指导公司内控项目的推行，审议内控项目组按期提交的阶段性成就报告，监督所发现内控问题的整改，并且打造了有效的投诉举报途径。

公司在顺利通过2006年度萨班斯内控审计的首要条件下，2007年度依据国际最新的监管需要，结合企业的实质状况，进一步健全和优化内控体系，渐渐打造、完善了内控长效机制。

3.3中国电信

为规范企业的内部管理，中国电信股份公司从2003年8月开始就启动了“中国电信与财务报告有关的内部控制项目”，四年多以来，公司以美国证券机构有关监管需要和cosplayO内部控制框架为基础，拟定了中国电信股份公司《内部控制手册》及权限列表、《内部控制管理暂行方法》和《内部控制评估暂行方法》等规范，各省级公司拟定了《推行细节》，以保证对外披露财务报告的真实靠谱，满足公司内部管理需要及资本市场监管机构需要。

中国电信每年都进行内控体系的自我评估，将发现的问题层层分解到各级企业。对于规范本身存在的缺点，中国电信主动修改规范；对于规范实行过程中存在的问题，中国电信加强了实行的力度。对于内控的重大缺点与重大、实质性的漏洞，中国电信还在对省级公司和部门的绩效考核中加以惩罚。为了更好发挥内部监控有哪些用途，公司拟定了《中国电信股份公司高级管理职员职业操守守则》及《中国电信股份公司职员职业操守守则》；同时打造和健全了内部申告机制，鼓励对本公司职员尤其是董事及高级管理职员的违规状况予以匿名举报。

2006年，公司依据董事会授权并结合业务和管理的需要，拟定了《内部控制责任管理暂行方法》，通过加大考核管理、细化责任分解，有效落实内控责任，推进内控工作形成闭环管理，从而达成公司内部管理的规范化和科学化。

2006年，公司进一步强化IT内控体系。一方面，通过信息化方法的支撑和固化来提升内部控制的效率和成效；其次，通过IT内控体系的健全来强化风险管理，促进企业信息化的进步。IT内控的推行进一步健全和提升了公司信息管理软件的安全性，以确保数据、信息的完整性、准时性、靠谱性和保密性。

3.4中国联通

中国联通从2003年年底开始筹备根据SOX法案的404条约健全企业的内部控制规范。第一是梳理会计政策、业务步骤，揭示风险。从2004年开始，中国联通开始根据cosplayO框架的需要健全企业的内部控制规范，围绕经营成效和效率、财务报告真实性、遵从法律法规三个目的，打造了一套渗透所有业务和场合的内部控制规范、管控机制与控制责任体系。公司为了进一步提升其治理水平，结合落实SOX法案的需要，成立了以公司管理层为主要成员的领导小组，该小组拟定了内控规范建设工作计划书。

针对有实质控制权力的人，包含总公司高级管理层和一些重点部门的职位，中国联通打造了一套反舞弊的管理方法，以在实行控制程序时发现、防止造假的发生。

为强化其内部监控系统，公司已采取了以下手段：

3.4.1打造内控机制，明确经营过程中的重点控制点；

3.4.2改进信息化管理软件，以健全内控方法，强化财务报告生成过程的内控；

3.4.3打造财务管理责任体系，实行更严格的责任追究规范，以保证财务信息的准确性；

3.4.4强化对分企业的内部审计和监督；

3.4.5打造企业风险管理体系和风险评估程序；

3.4.6强化期末关账过程监控，加大对财务职员进行有关美国会计准则和香港财务报告准则的培训；

3.4.7进一步规范反舞弊及举报政策和程序。

4 SOX法案对国内上市公司健全内部控制的启示

SOX法案的影响是长远的，不只在美上市的公司需要完成SOX法案合规性的工作，伴随全球内部控制规定的渐渐趋同，中国上市公司也需要借鉴那些已经通过SOX法案考验的企业的经验，在打造和健全内部控制体系的过程中，不断提高公司治理水平，达到世界先进的管理水平。

4.1借鉴cosplayO框架，健全内控规范。

中国电信运营商根据cosplayO框架的需要健全内控规范，顺利通过SOX法案的考验。内控框架的构成要点包含控制环境、风险评估、控制活动、信息和交流、监督5个方面。cosplayO觉得内控是由企业董事会、经理层和其他职员一同推行的，为达到营运的效率成效、财务报告的靠谱性及有关法令的遵循性等目的提供合理保证的过程。国内上市公司可以按cosplayO打造内控框架，通过引入cosplayO内控要点，形成一个相互联系、综合用途的控制整体，使单纯的控制活动与企业环境、管理目的及控制风险相结合，形成一套不断改进、自我健全的内控机制。

4.2应用信息技术，推行风险管理。

通过将现代信息技术应用于企业内部控制中，打造涵盖风险管理具体流程和内部控制系统各环节的风险管理信息管理软件，从而促进企业达成策略目的、提高营运效率、提升信息水平、保证公司资产安全。

企业进销存信息管理软件是一个综合信息管理体系，覆盖公司经营全过程，达成公司运营数据采集、存储、处置、报告和信息披露的智能化；使所有买卖都在系统中进行、所有资源都在系统中受控，所有信息都在系统中得到反映。以信息技术方法推行内部控制，降低或消除人为操纵原因，增强控制程序，确保内部控制的有效推行。

在企业进销存信息管理软件的信息报告基础上，从业务过程风险监控和预警角度出发，打造涵盖全方位风险管理步骤的风险预警剖析系统。风险管理信息管理软件，可与时传输企业运营风险情况，为风险管理全过程提供准确的信息。市场变化日益加速，企业间的角逐日益加剧，都需要各级管理者能准时提供有效、准确的信息，风险管理信息管理软件的打造，可进行情境剖析、量化风险，从而提升风险管理效率及靠谱性。

4.3组建团队，使用内控管理人才。

中国上市公司需要认识到内控规范的落实、风险的防范和解决，重点是人。没好的内控团队，再好的内控规范也无济于事。为了强化内控职能，杜绝会计舞弊的发生，则需要看重对内部控制管理职员的使用和培训，通过科学缜密的管理，提升他们的素质，按期进行考核评估。同时要加大对他们的继续教育，以提升其工作能力，防止因职员素质不高，导致在业务操作中存有风险，如因政治思想素质不高导致的道德风险；因专业常识和业务素质不高导致的操作风险。因此，全方位提升内控管理人才的综合素质乃是当务之急。