摘要：由于我國對內部控制的研究起步較晚，企業(yè)在內部控制框架的構建和實施還存在很多問題。SOX法案的頒布對在美國上市企業(yè)的內部控制提出了更高的要求，我國企業(yè)應借鑒SOX法案的條款，結合自身的實際，在控制環(huán)境、風險評估、內部監(jiān)督等方面加強內部控制框架的構建。

關鍵詞：SOX法案 內部控制 控制環(huán)境 風險評估

注：本論文是蘇州經(jīng)貿職業(yè)技術學院院級課題 “SOX法案下的企業(yè)內部控制體系構建研究” （課題編號：JMY1003）的階段性成果。

2001年以來，安然、世通等公司接連發(fā)生的財務舞弊和會計造假案件，嚴重沖擊了美國乃至國際資本市場的正常秩序。這些經(jīng)濟丑聞頻頻出現(xiàn)，最重要的一個原因就是企業(yè)內部控制存在缺陷。美國國會針對此問題，頒布了薩班斯法案(SOX法案)。SOX法案的頒布對我國在美國的上市企業(yè)提出了嚴峻的挑戰(zhàn)，要求其構建內部控制框架，不斷完善內部控制制度。就我國國內企業(yè)而言，由內部控制問題引發(fā)的一系列經(jīng)濟事件，如巨人集團的倒閉、鄭州亞西亞的衰敗、“銀廣廈”事件、中航油巨額虧損、四川長虹應收款欠款案等等經(jīng)濟案例，都表明了國內企業(yè)內部控制的嚴重缺陷。SOX法案的內部控制規(guī)定對我國企業(yè)構建內部控制框架，加強內部監(jiān)管有很大的啟發(fā)。

一、SOX法案的內部控制規(guī)定

內部控制是伴隨企業(yè)內部管理的加強以及社會的需求而產(chǎn)生發(fā)展起來的組織內部管理機制。內部控制理論的發(fā)展大致經(jīng)歷了五個階段，從最初的“內部牽制論”發(fā)展為“內部控制系統(tǒng)論”，接著進化為“會計控制與管理控制”論，繼而推進到“內部控制結構論”，最后擴充為“內部控制整體框架論”。1992年COSO委員會提出《內部控制—整體框架》專題報告，以此為標志進入內部控制整體框架階段。COSO報告指出，“內部控制是一個由企業(yè)董事會、管理層和其他員工實施的，為營運的效率效果、財務報告的可靠性、相關法律的遵循性等目標的達成提供合理保證的過程?！?/p>

基于2000年以來美國一系列經(jīng)濟丑聞的發(fā)生，在以美國總統(tǒng)為首的社會各界的督促下，美國國會于2002年7月正式通過由參議院薩班斯和眾議院奧克斯利聯(lián)合提出的SOX法案。SOX法案不僅強調要完善上市公司的內控治理結構，還加強了董事及高層管理人員的責任，強化了上市公司的息披露義務，加重了對違法行為的處罰措施。302條款規(guī)定了企業(yè)對財務報告的責任，要求管理層（公司首席執(zhí)行官和首席財務官）對建立健全內部控制負責，要求其設計所需的內部控制并能夠保證獲知所有重大信息，要求管理層評價內部控制的有效性并公布評價結論；同時簽字官員應向外部審計師和內部審計委員會披露內部控制的設計或執(zhí)行中可能對內部控制產(chǎn)生負面影響的所有重大缺陷或重要缺點及其修正措施。這項條款明確了企業(yè)管理層的責任，指出了企業(yè)管理層應保證內部控制的有效性負責，從而使管理者重視內部控制的建立和健全。SOX法案當中404條款是最嚴厲的一項條款，規(guī)定公司管理層必須在年度報告中包括內部控制報告，內容包括強調管理層在建立和維護內部控制系統(tǒng)中的責任、評估最近財政年度內部控制體系及控制程序的有效性，擔任公司年報審計的會計公司應當對內部控制報告進行測試和評價，并出具評價報告。該條款從管理層、內部審計及外部審計這幾個層面對企業(yè)內部控制作出了規(guī)定，旨在提高內部控制程序的效率，提高投資者獲得信息質量。

二、我國企業(yè)內部控制的現(xiàn)狀

（一）公司治理結構不完善，內部控制環(huán)境基礎薄弱

控制環(huán)境是內部控制的基礎，它構成了一個企業(yè)的控制氛圍，塑造了組織的控制文化，反映了董事會、經(jīng)理階層和其他人員對內部控制的態(tài)度、認識和行動，并影響著企業(yè)員工的控制意識?，F(xiàn)代企業(yè)制度要求企業(yè)建立規(guī)范的法人治理結構，股東大會、董事會、監(jiān)事會、經(jīng)理層互相監(jiān)督、制約。但我國企業(yè)的現(xiàn)狀是，股東大會、董事會、監(jiān)事會作用有限，甚至形同虛設。董事會是公司的決策機構，負責執(zhí)行股東大會決議，對股東大會負責。我國多數(shù)上市公司董事會成員與經(jīng)理人員重合，董事會被操縱在少數(shù)經(jīng)理人手中，因此股東大會常常不能發(fā)揮應有作用。另外，監(jiān)事會作為制衡董事會權力的機構，負責對董事和經(jīng)理的行為進行監(jiān)督，防止他們侵害公司的利益。在我國，監(jiān)事會的成員包括股東代表和適當比例的公司職工代表。雖然職工代表代表著職工的利益，但通常也無法擺脫聽命于大股東的命運，因此監(jiān)事會也只是流于形式，功能非常有限。因此，由于內部控制基礎薄弱，我國企業(yè)內部控制很難發(fā)揮其應有的作用。

（二）風險意識較弱，內部控制與風險管理相割裂

在當今的市場經(jīng)濟條件下，風險無處不在，給企業(yè)的經(jīng)營發(fā)展帶來了威脅。有效的風險評估可以極大程度地預防經(jīng)營和財務等風險，并在風險來臨時及時應變。從目前我國企業(yè)現(xiàn)狀來看，風險控制意識差，未能將風險管理有效地與內部控制相結合。隨著對內部控制理論的深入研究，雖然人們普遍認識到了內部控制對企業(yè)經(jīng)營管理的重要性，但是常常把內部控制與風險相割裂，未能把內部控制的核心放在風險的管理和控制方面。因此，在面臨突如其來的風險時，往往不能及時采取適當?shù)拇胧?，更談不上積極地防范風險，致使許多企業(yè)承受了慘痛的教訓。

（三）信息溝通不暢

信息與溝通是整個內部控制系統(tǒng)的生命線，它為企業(yè)管理者監(jiān)督企業(yè)各項活動，以及在必要時采取糾正措施提供了有力保證。企業(yè)在經(jīng)營過程中，需要識別和取得某種形式的信息，通過溝通使員工能夠正確、及時地履行其職責。其中，信息系統(tǒng)在此過程中起到了媒介作用，它能及時提供有效的信息，使相應的人員能夠知悉企業(yè)經(jīng)營狀況、財務報告及遵循法律的責任。而我國目前的現(xiàn)狀是，部分企業(yè)尚未建立完善的信息技術支持系統(tǒng)，不能保障需求的信息得到及時處理，信息技術部門與業(yè)務部門之間溝通不順暢，處理過的信息不能得到及時的傳遞，影響了企業(yè)的經(jīng)營效率。

（四）內部審計監(jiān)督不力

企業(yè)的內部審計是企業(yè)進行自我獨立評價的一種活動，通過協(xié)助管理層監(jiān)控企業(yè)控制政策和程序執(zhí)行的有效性，來促成好的控制環(huán)境的建立。作為內部控制的再控制，內部審計人員應從第三者的立場上客觀公正地對企業(yè)的內部控制活動進行再監(jiān)督。因此，內部審計人員必須具有一定的獨立性。而我國目前的現(xiàn)狀是，很多企業(yè)對內部審計重視程度和不夠，審計活動一般都是在經(jīng)理人員的授權下進行，并不是直接向董事會或審計委員會報告，不具備真正意義上的獨立性。另外，內部審計人員不足、素質不高也嚴重影響了內部審計監(jiān)督職能的發(fā)揮。

三、完善企業(yè)內部控制框架的建議

（一）完善公司治理結構，加強控制環(huán)境建設

公司治理結構是內部控制的制度環(huán)境，是內部控制功能發(fā)揮的前提和基礎。完善的公司治理結構，關鍵是要明確公司股東大會、董事會、監(jiān)事會和經(jīng)理層的責、權、利劃分，理清控制權、監(jiān)督權與執(zhí)行權，防止“內部人控制”行為的產(chǎn)生。為了充分發(fā)揮董事會的作用，企業(yè)可推行獨立董事制度，由與控股股東沒有任何關系的、具有豐富實踐經(jīng)驗的專業(yè)人士通過法定的程序，以獨立董事的身份進入董事會，與內部董事一起負責股東大會，保護所有股東的權益。另外，為了強化監(jiān)事會的監(jiān)督職能，應當保障監(jiān)事會中職工代表的合法權益，使企業(yè)員工能充分認識到企業(yè)內部控制的重要性和意義。監(jiān)事會的成員除了股東代表和職工代表，應引入一些與企業(yè)利益關系密切相關者，如企業(yè)主要的債權人。由于這些利益相關者與公司的利益緊密相連，他們更關心企業(yè)財務目標能否實現(xiàn)，內部的運作流程是否合規(guī)，是否存在暗箱操作等，這樣一來提高了監(jiān)事會行使監(jiān)督權的積極性。

（二）加強風險評估，提高風險防范意識

風險的存在給企業(yè)的生存發(fā)展造成了威脅，企業(yè)的股東和管理者應重視對風險的管理，將風險評估納入到內部控制范疇中。風險評估是及時識別、分析和評價影響企業(yè)內部控制目標實現(xiàn)的各種不確定因素并采取相應應對措施的過程。企業(yè)的管理者應及時準確的識別企業(yè)面臨的各種風險事件，不僅要考慮過去的事件，也要考慮將來的事件，不僅要考慮單個的事件，也要考慮事件之間的關聯(lián)性。識別風險之后，企業(yè)的決策者應對風險進行分析和判斷，分析各種風險對企業(yè)可能造成的威脅。管理當局應從企業(yè)總體的利益角度，對每種風險對策的成本和收益進行對比分析，在綜合考慮了每種風險對策的潛在影響后，確定最優(yōu)的風險應對方案，采取有效的控制活動來規(guī)避風險。

（三）建立有效的信息系統(tǒng)，加強信息溝通

信息是企業(yè)管理者做出正確決策的基礎，因此企業(yè)應重視信息系統(tǒng)的建設。信息系統(tǒng)不僅處理企業(yè)內部所產(chǎn)生的信息，同時也處理與外部的事項、活動及環(huán)境等有關的信息。一個健全的信息系統(tǒng)要求企業(yè)所有員工必須能從最高管理階層清楚地獲取承擔控制責任的信息，而且必須有向上級部門溝通重要信息的方法，并對外界顧客、供應商、政府主管機關和股東等做有效的溝通。信息溝通的順暢能促使控制活動順利地展開，使內部控制系統(tǒng)更能發(fā)揮其應有的作用，有利于企業(yè)目標的實現(xiàn)。

（四）充分發(fā)揮內部審計作用，加強內部監(jiān)督

為了確保企業(yè)內部控制制度能夠被切實有效地執(zhí)行，企業(yè)的內部控制系統(tǒng)需要被監(jiān)督。內部審計機構的職責除了審核企業(yè)會計賬目之外，還包括稽查、評價內部控制制度是否完善，監(jiān)督企業(yè)內部各組織機構執(zhí)行指定職能的效率，并向企業(yè)最高管理層提出建議和報告。因此，企業(yè)應該加強內部審計人員建設，不斷提高其素質，充分發(fā)揮內部審計作用來加強內部監(jiān)督。通過內部審計機構來監(jiān)控企業(yè)內部控制執(zhí)行情況，對內部控制系統(tǒng)進行評價，達到改進內部控制缺陷的目的，為企業(yè)目標的實現(xiàn)提供合理保證。另外，為了促使內部審計工作的有效開展，內部審計人員應直接對董事會負責，保持內部審計人員的獨立性。

SOX法案對內部控制提出了更高的要求，對于我國企業(yè)既是挑戰(zhàn)，也是機遇。我國企業(yè)應結合自己的實際情況，構建內部控制框架，不斷完善內部控制體系，確保企業(yè)持續(xù)、穩(wěn)定地發(fā)展。

參考文獻：

[1]王敏.關于企業(yè)內部控制的思考[J].經(jīng)濟研究導刊.2009（1）

[2]李雪琴，蔣海燕.論內部控制與風險管理[J].成都紡織高等?？茖W校學報.2009(1)

[3]顏琪.我國企業(yè)內部控制探悉[J].時代經(jīng)貿.2008（1）

[4]趙麗娟.SOX法案對我國通信企業(yè)內部控制建設的影響[J].企業(yè)導報.2009（11）