【摘要】 隨著薩班斯（SOX）法案內(nèi)控審計(jì)要求的出臺(tái)，提升了IT控制在企業(yè)內(nèi)部控制中的重要性，法案第404條款的合規(guī)性實(shí)踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。由此產(chǎn)生的方法論和合規(guī)性實(shí)踐，對(duì)IT治理的理論發(fā)展和實(shí)踐很有借鑒意義。

【關(guān)鍵詞】 薩班斯法案 404條款 內(nèi)部控制 IT治理

一、SOX法案的緣起及主要要求

2001年底，美國(guó)最大的能源交易商——安然公司財(cái)務(wù)造假案爆發(fā)并申請(qǐng)破產(chǎn)，震驚世界。其外部審計(jì)師——原五大會(huì)計(jì)師事務(wù)所之一的安達(dá)信會(huì)計(jì)師事務(wù)所也因?qū)徲?jì)失敗和妨礙司法遭到倒閉的命運(yùn)。事件的硝煙還未散盡之時(shí)，又接連爆發(fā)了施樂(lè)、世通等大公司的財(cái)務(wù)造假案。全球互聯(lián)網(wǎng)泡沫破滅的影響加上這一系列的財(cái)務(wù)丑聞產(chǎn)生了多米諾骨牌效應(yīng)，一時(shí)引發(fā)人們對(duì)美國(guó)資本市場(chǎng)的信任危機(jī)。于是，在各方的敦促之下，美國(guó)國(guó)會(huì)參眾兩院加快了立法進(jìn)程，力圖彌補(bǔ)美國(guó)資本市場(chǎng)存在的制度性缺陷。2002年7月25日，美國(guó)國(guó)會(huì)討論通過(guò)了《2002年公眾公司會(huì)計(jì)改革和投資者保護(hù)法案》，即《2002年薩班斯—奧克斯利法案》（Sarbanes-Oxley法案，簡(jiǎn)稱(chēng)薩班斯法案或SOX法案）。2002年7月30日經(jīng)美國(guó)總統(tǒng)布什簽署，正式生效。

簡(jiǎn)單地講，薩班斯法案是一部由美國(guó)頒布，涉及會(huì)計(jì)職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管等方面改革的重要法律，包括在美國(guó)注冊(cè)上市公司和在外國(guó)注冊(cè)而于美國(guó)上市的公司，都必須遵守該法案。

美國(guó)出臺(tái)薩班斯法案，以一部法案將公司治理的風(fēng)險(xiǎn)轉(zhuǎn)嫁到上市公司的執(zhí)行經(jīng)理人身上，主要是公司的首席執(zhí)行官（CEO）、首席財(cái)務(wù)官（CFO），還有外部的中介機(jī)構(gòu)、會(huì)計(jì)師、律師等。

《SOX法案》的主要要求：

法案共分為11個(gè)部分，由若干個(gè)獨(dú)立的章節(jié)組成。該法案主要強(qiáng)化了上市公司財(cái)務(wù)信息批露義務(wù)，加大了公司的財(cái)務(wù)報(bào)告責(zé)任；要求公司進(jìn)行管理體制的改革，建立有效的內(nèi)部控制體系；加重了違法行為的處罰措施，明確嚴(yán)重的違法所適用的刑法；強(qiáng)調(diào)并加強(qiáng)了審計(jì)委員會(huì)的角色和獨(dú)立性；提出了更多的關(guān)于審計(jì)師獨(dú)立性的約束。其中對(duì)上市公司有重大影響的主要是第302節(jié)、第906節(jié)和第404節(jié)。

1）第302節(jié)

要求公司的CEO和CFO在財(cái)務(wù)報(bào)告上簽字，保證財(cái)務(wù)報(bào)告不存在重大錯(cuò)報(bào)、漏報(bào)，在所有重大方面公允地反映公司在該報(bào)告期末的財(cái)務(wù)狀況及該報(bào)告期內(nèi)的經(jīng)營(yíng)成果。同時(shí)要求CEO、CFO對(duì)相關(guān)批露的內(nèi)部控制有效性進(jìn)行評(píng)價(jià)。

2）第906節(jié)

明確規(guī)定上市公司管理層對(duì)舞弊和欺詐負(fù)有刑事責(zé)任。

3）第404節(jié)

404節(jié)核心內(nèi)容是嚴(yán)格界定了上市公司管理層對(duì)公司內(nèi)部控制需承擔(dān)的責(zé)任和義務(wù)。

A.公司的年報(bào)中增加管理層關(guān)于公司內(nèi)部控制情況的報(bào)告。該報(bào)告包括：明確闡明公司管理層有責(zé)任建立和保持一套完整的與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制系統(tǒng)和程序；管理層應(yīng)對(duì)財(cái)務(wù)年度期末與公司財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制系統(tǒng)及程序的有效性做出評(píng)價(jià)。公司全體管理層對(duì)報(bào)告負(fù)責(zé)。

B.公司外部審計(jì)師對(duì)管理層的內(nèi)控報(bào)告出具鑒證報(bào)告。

薩班斯法案被認(rèn)為是美國(guó)自20世紀(jì)30年代頒布財(cái)務(wù)規(guī)則以來(lái)，最為嚴(yán)厲和企業(yè)必須遵守的財(cái)務(wù)法則。顯然，404條款對(duì)公司內(nèi)部控制情況作出嚴(yán)厲要求是為了使公眾更易于察覺(jué)到公司的欺詐行為，并確保公司財(cái)務(wù)報(bào)告的可靠性。

二、SOX遵循與IT治理

SOX法案的出臺(tái)，對(duì)企業(yè)的公司治理、IT治理及IT內(nèi)控提出了更嚴(yán)格的要求。SOX法案的本質(zhì)是要求公司完善治理結(jié)構(gòu)和內(nèi)部控制框架，以實(shí)現(xiàn)公司運(yùn)營(yíng)過(guò)程中全方位的風(fēng)險(xiǎn)管理。

根據(jù)SOX法案的規(guī)定，在美上市企業(yè)必須建立內(nèi)部控制體系，包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通和監(jiān)督五個(gè)部分。內(nèi)部控制活動(dòng)的記錄不僅要細(xì)化到諸如產(chǎn)品付款時(shí)間之類(lèi)的細(xì)節(jié)，而且對(duì)重大缺陷都必須予以披露。法案中最嚴(yán)苛、最復(fù)雜的404條款明確規(guī)定了管理層應(yīng)承擔(dān)設(shè)立和維持一個(gè)應(yīng)有的內(nèi)部控制結(jié)構(gòu)的職責(zé)。

同時(shí)，薩班斯法案增加了審計(jì)師對(duì)信息系統(tǒng)的審計(jì)，要求審計(jì)師必須了解業(yè)務(wù)如何穿過(guò)系統(tǒng)，而不是繞過(guò)系統(tǒng)。審計(jì)師必須了解業(yè)務(wù)流程，評(píng)價(jià)IT應(yīng)用控制與一般控制的設(shè)計(jì)及效果。評(píng)價(jià)IT控制設(shè)計(jì)效果，確定這些控制設(shè)計(jì)是否適當(dāng)?shù)貙?shí)現(xiàn)相關(guān)目標(biāo)。實(shí)施IT控制執(zhí)行效果測(cè)試。

因此，薩班斯302、404以及409等條款對(duì)公司的要求，使得IT治理在公司治理中的作用日益凸現(xiàn)。目前越來(lái)越多的企業(yè)依靠信息系統(tǒng)支撐業(yè)務(wù)運(yùn)作，沒(méi)有相應(yīng)IT治理機(jī)制的公司治理，是無(wú)法滿(mǎn)足薩班斯的嚴(yán)格要求的。比如花旗銀行等美國(guó)大金融企業(yè)已經(jīng)引進(jìn)或正在引進(jìn)IT治理機(jī)制。

如圖1所示，說(shuō)明了SOX要求下，建立內(nèi)部控制體系，IT治理與SOX審計(jì)的關(guān)系：

SOX要求：所有對(duì)財(cái)務(wù)報(bào)告有影響的人員操作、IT系統(tǒng)操作都應(yīng)有明確的定義，并對(duì)這些定義進(jìn)行記錄，同時(shí)對(duì)這些操作要有過(guò)程審計(jì)記錄（操作過(guò)程包括：事前、事中、事后）。整個(gè)企業(yè)內(nèi)控涉及三個(gè)范疇：建立內(nèi)控體系（人和系統(tǒng)）、加強(qiáng)IT內(nèi)控（過(guò)程審計(jì)）、優(yōu)化財(cái)務(wù)流程和財(cái)務(wù)應(yīng)用系統(tǒng)。從這三個(gè)范疇的焦點(diǎn)可以看出，三個(gè)范疇都與IT系統(tǒng)和操作流程有關(guān)。因此在符合SOX要求的企業(yè)內(nèi)部控制過(guò)程中，IT控制成為企業(yè)內(nèi)部控制的重要組成部分。

三、IT治理途徑：選擇合適的內(nèi)控框架并實(shí)施

企業(yè)欲建立和評(píng)價(jià)自己的內(nèi)部控制制度必須有一個(gè)參照標(biāo)準(zhǔn)，這個(gè)標(biāo)準(zhǔn)應(yīng)是國(guó)際普遍認(rèn)可的，方可達(dá)到完善和規(guī)范。法案并沒(méi)有規(guī)定公司必須選擇什么樣的內(nèi)控框架，需要企業(yè)自己抉擇。

國(guó)際上比較有名的內(nèi)部控制框架有美國(guó)的COSO、加拿大的COCO、英國(guó)的Cadbury、國(guó)際內(nèi)部審計(jì)師協(xié)會(huì)的SAC等，它們從不同的角度剖析公司的經(jīng)營(yíng)管理活動(dòng)，為營(yíng)造良好的內(nèi)控框架提供了一系列趨于一致的政策和建議。PCAOB（PublicCompanyAccountingOversightBoard，美國(guó)公眾公司會(huì)計(jì)監(jiān)督委員會(huì)）于2004年推薦使用COSO框架，隨后獲得了SEC（SecuritiesandExchangeCommission，美國(guó)證券交易委員會(huì)）的批準(zhǔn)。COSO框架得到了包括SEC、公司管理者、投資者、債權(quán)人及專(zhuān)家學(xué)者的普遍認(rèn)可，國(guó)內(nèi)外許多公司都依據(jù)這個(gè)框架建立了內(nèi)控系統(tǒng)。筆者公司的內(nèi)部控制也使用的是該框架。

下面簡(jiǎn)要介紹一下有關(guān)COSO框架的內(nèi)容及其理解要點(diǎn)：

4.1 COSO框架關(guān)于內(nèi)部控制的定義

現(xiàn)行的COSO內(nèi)部控制框架是指COSO委員會(huì)在1992年發(fā)布的內(nèi)部控制——整體框架。其中，對(duì)內(nèi)部控制的定義為：內(nèi)部控制是由企業(yè)董事會(huì)、管理層和其他員工實(shí)施的，為營(yíng)運(yùn)的有效性和效率、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法令的遵循性等目標(biāo)的達(dá)成而提供合理保證的過(guò)程。2004年，COSO委員會(huì)進(jìn)一步將內(nèi)部控制的涵義拓寬為企業(yè)風(fēng)險(xiǎn)管理，但是企業(yè)風(fēng)險(xiǎn)管理整體框架實(shí)際上并沒(méi)有取代內(nèi)部控制整體框架。

4.2 COSO框架的三個(gè)維度

COSO框架提出了內(nèi)部控制制度的三維結(jié)構(gòu)（見(jiàn)圖2）。第一維度是內(nèi)部控制目標(biāo)，即運(yùn)營(yíng)的有效性和效率、財(cái)務(wù)報(bào)告的可靠性、相關(guān)法令的遵循性。第二維度要求公司在部門(mén)單位層次和業(yè)務(wù)流層層次兩個(gè)層次上對(duì)內(nèi)部控制進(jìn)行評(píng)價(jià)。第三維度包含了內(nèi)部控制的五大要素：控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息與溝通、監(jiān)控。三個(gè)維度構(gòu)成了內(nèi)部控制整體框架，即要求對(duì)于給定目標(biāo)（如財(cái)務(wù)報(bào)告可靠性），管理層必須在部門(mén)單位層次和業(yè)務(wù)流層層次對(duì)內(nèi)部控制的五大要素進(jìn)行評(píng)估。

4.3理解COSO內(nèi)控框架的要點(diǎn)

A.COSO對(duì)內(nèi)部控制的定義是一個(gè)過(guò)程，而不是結(jié)果。過(guò)程與結(jié)果之間有一定的對(duì)應(yīng)性，但是結(jié)果的失敗，比如產(chǎn)生了目標(biāo)偏差，并不代表過(guò)程是有缺陷的，相反，結(jié)果達(dá)成了目標(biāo)，也不代表控制過(guò)程是有效的。因此，公司應(yīng)注意在評(píng)價(jià)內(nèi)控有效性時(shí)，針對(duì)的是內(nèi)控過(guò)程。

B.內(nèi)部控制系統(tǒng)是為基本的業(yè)務(wù)需求而存在的。COSO框架認(rèn)為內(nèi)部控制是內(nèi)嵌在組織的業(yè)務(wù)流程之中的，而不是獨(dú)立的附加在公司已有系統(tǒng)之上的。

C.內(nèi)部控制制度的設(shè)立應(yīng)是靈活的、可修改的。COSO框架并不是一個(gè)剛性的規(guī)定，它承認(rèn)不同的組織可以根據(jù)自己的情況選擇不同的控制方法。此外，內(nèi)控制度的設(shè)計(jì)應(yīng)具有靈活性，始終保持其在動(dòng)態(tài)環(huán)境下的有效性。

D.內(nèi)部控制提供的是合理的保證。COSO框架承認(rèn)內(nèi)部控制的局限性，即不論內(nèi)控系統(tǒng)的設(shè)計(jì)和運(yùn)行多么完善，亦只能提供合理范圍內(nèi)的保證。內(nèi)部控制失?。▋?nèi)控目標(biāo)未能實(shí)現(xiàn)），并不意味著系統(tǒng)是失效的。

E.內(nèi)部控制框架各要素之間并非簡(jiǎn)單的線(xiàn)性連續(xù)關(guān)系。內(nèi)部控制框架的5要素之間相互聯(lián)結(jié)、協(xié)同作用、相互影響，構(gòu)成一個(gè)對(duì)環(huán)境動(dòng)態(tài)反應(yīng)的有機(jī)整體。

四、本單位SOX遵循與IT治理的做法和體會(huì)

按照SOX法案的相關(guān)要求，為應(yīng)對(duì)SOX審計(jì)，國(guó)內(nèi)通信運(yùn)營(yíng)商至少要滿(mǎn)足以下基本條件：

首先，在公司治理方面，上市公司必須建立獨(dú)立的審計(jì)委員會(huì)；其次，針對(duì)302條款，公司管理層應(yīng)該設(shè)計(jì)所需的內(nèi)部控制；第三，針對(duì)404條款，公司管理層應(yīng)該有保證內(nèi)部控制系統(tǒng)及相應(yīng)控制程序充分有效的責(zé)任；第四，在審計(jì)方面，增加審計(jì)師對(duì)信息系統(tǒng)的審計(jì)，要求審計(jì)師必須了解業(yè)務(wù)系統(tǒng)的運(yùn)作。

本單位作為國(guó)內(nèi)著名的移動(dòng)通信運(yùn)營(yíng)商，從2006年開(kāi)始了SOX遵循與IT治理工作，并連續(xù)8年順利通過(guò)SOX審計(jì)。以下是我們對(duì)SOX遵循與IT治理的一些做法和體會(huì)，與大家分享：

4.1領(lǐng)導(dǎo)重視，全員參與，建立和不斷強(qiáng)化SOX遵循觀念

SOX法案在強(qiáng)化管理層對(duì)內(nèi)部控制的責(zé)任方面，強(qiáng)調(diào)了上層管理人員的重視與從上到下主導(dǎo)式的建立方式，這在很大程度上保證了內(nèi)部控制工作的開(kāi)展和落到實(shí)處。然而法案遵循是涉及到企業(yè)各個(gè)經(jīng)營(yíng)方面、各個(gè)環(huán)節(jié)、各個(gè)流程、各個(gè)崗位的，內(nèi)部控制的對(duì)象可以是財(cái)務(wù)資源、人力資源、信息資源、客戶(hù)關(guān)系資源等。法案遵循不是一朝一夕之事，只有全員參與，多方配合，建立覆蓋公司全部業(yè)務(wù)和運(yùn)作流程的控制系統(tǒng)，確保所有員工理解和執(zhí)行相關(guān)制度，切實(shí)履行職責(zé)，才能真正建立完善有效的內(nèi)部控制體系。通過(guò)宣貫，我公司各級(jí)員工充分認(rèn)識(shí)到了這一點(diǎn)，將SOX遵循工作常態(tài)化，并不定期舉辦SOX培訓(xùn)或講座，不斷強(qiáng)化SOX遵循觀念。

4.2制定內(nèi)部控制制度和相關(guān)實(shí)施細(xì)則

內(nèi)部控制是一個(gè)過(guò)程，它包括一整套制度和一系列行為以及相應(yīng)實(shí)施的各種管理活動(dòng)。幾年來(lái)，公司以SEC相關(guān)監(jiān)管要求和COSO內(nèi)部控制框架為基礎(chǔ)，按照集團(tuán)公司的統(tǒng)一部署，從控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息和溝通、監(jiān)控五個(gè)方面進(jìn)行設(shè)計(jì)、執(zhí)行和評(píng)價(jià)，制定了本公司的《內(nèi)部控制手冊(cè)》、《內(nèi)部控制矩陣》、《內(nèi)部控制手冊(cè)和矩陣維護(hù)管理辦法》、《SOX內(nèi)控小組工作制度》等制度和相關(guān)實(shí)施細(xì)則。指定了各業(yè)務(wù)流程責(zé)任人進(jìn)行職責(zé)分工，且不相容職責(zé)不得由同一人兼任，并通過(guò)組織內(nèi)控自我評(píng)估（集團(tuán)內(nèi)部審計(jì)）和獨(dú)立評(píng)估（聘請(qǐng)外部審計(jì)），促進(jìn)內(nèi)控設(shè)計(jì)及執(zhí)行完善。

4.3引入內(nèi)部控制體系并建立內(nèi)控管理信息系統(tǒng)

SOX法案要求企業(yè)的內(nèi)控活動(dòng)，不論是人還是信息系統(tǒng)的操作流程，都必須明白地定義并保存相關(guān)記錄，對(duì)審計(jì)過(guò)程也有存檔的要求。這就需要完善IT治理機(jī)制，進(jìn)行IT內(nèi)部控制和信息系統(tǒng)審計(jì)。為此，我們引入了內(nèi)部控制體系，將COSO框架與ITIL標(biāo)準(zhǔn)結(jié)合，并遵循ISO27001要求，先后建立并完善了一套內(nèi)控管理信息系統(tǒng)，包括公司財(cái)務(wù)系統(tǒng)、公司OA系統(tǒng)、各部門(mén)“工作流程管理系統(tǒng)”、生產(chǎn)處理監(jiān)控系統(tǒng)等。該體系能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程，使公司的CEO、CFO、員工和審計(jì)人員能夠?qū)崟r(shí)識(shí)別、分配、測(cè)試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務(wù)流程根據(jù)內(nèi)控標(biāo)準(zhǔn)執(zhí)行。一旦系統(tǒng)發(fā)現(xiàn)任何違規(guī)行為，將向適當(dāng)人員自動(dòng)報(bào)警。公司不僅連續(xù)5年順利通過(guò)SOX審計(jì)，而且還取得了CMMI（CapabilityMaturityModelIntegration，能力成熟度模型集成）3級(jí)認(rèn)證。

4.4常態(tài)化SOX遵循工作，定期檢測(cè)控制活動(dòng)的有效性

根據(jù)SOX法案第404條款的要求，管理層必須每年對(duì)這些控制點(diǎn)進(jìn)行測(cè)試和評(píng)估，對(duì)測(cè)試得出的控制缺陷，則需要增設(shè)補(bǔ)救和改進(jìn)措施，并再次測(cè)試。如果在規(guī)定的期限內(nèi)，控制缺陷還是不能得到改正，外部審計(jì)師將根據(jù)情況，針對(duì)控制缺陷和程度發(fā)表審計(jì)意見(jiàn)。

在內(nèi)部控制體系建設(shè)中，對(duì)控制活動(dòng)進(jìn)行定期測(cè)試是非常重要的一環(huán)。我們將SOX遵循工作常態(tài)化，根據(jù)控制活動(dòng)發(fā)生的頻率，決定樣本的大小，一般分為每月或每季度（半年）樣本，定期專(zhuān)人對(duì)樣本按照設(shè)計(jì)的測(cè)試步驟進(jìn)行測(cè)試——獨(dú)立于每年2次（年中、年底）的內(nèi)外部審計(jì)，實(shí)際上我們每個(gè)月都在做這樣的檢測(cè)。任何被檢測(cè)出的缺陷，都在規(guī)定的期限前改正和接受再測(cè)試。因此，每年我們?cè)诮邮苷降膬?nèi)外部SOX審計(jì)的時(shí)候其實(shí)是充滿(mǎn)信心的，因?yàn)閷?duì)這些控制活動(dòng)的檢測(cè)，我們之前每個(gè)月都已經(jīng)做過(guò)，所以通過(guò)審計(jì)也就成為水到渠成的事情了！

五、結(jié)束語(yǔ)

隨著薩班斯法案內(nèi)控審計(jì)要求的出臺(tái)，提升了IT控制在企業(yè)內(nèi)部控制中的重要性。特別是電信企業(yè)對(duì)IT的依賴(lài)性非常大，利用IT技術(shù)加強(qiáng)內(nèi)部控制，建立有效的內(nèi)部控制體系成為薩班斯遵循的必然要求。SEC對(duì)COSO框架的認(rèn)可表明其已正式成為內(nèi)部控制框架的標(biāo)準(zhǔn)。企業(yè)依據(jù)COSO框架建立的內(nèi)部控制體系，通過(guò)引入COSO內(nèi)控要素，形成一個(gè)相互聯(lián)系、綜合作用的控制整體，使單純的控制活動(dòng)與企業(yè)環(huán)境、管理目標(biāo)及控制風(fēng)險(xiǎn)相結(jié)合，形成一套不斷改進(jìn)、自我完善的內(nèi)控機(jī)制。SOX遵循需要IT治理，IT治理是實(shí)現(xiàn)公司治理的重要工具。

本人聯(lián)系方式：

梁明煌

廣東省深圳市福田區(qū)濱河大道9023號(hào)國(guó)通大廈10樓 中國(guó)移動(dòng)（深圳）有限公司（郵編518000）

手機(jī)： 13823389166

Email： liangmh@chinamobilesz.com

作者簡(jiǎn)介：

梁明煌：計(jì)算機(jī)軟件學(xué)士，高級(jí)工程師，PMP，信息系統(tǒng)項(xiàng)目管理師，MCSE，MCSD，MCDBA，QC診斷師。目前主要從事移動(dòng)互聯(lián)網(wǎng)交易業(yè)務(wù)系統(tǒng)規(guī)劃及SOX內(nèi)控與審計(jì)等方面的工作。

參 考 文 獻(xiàn)

[1]NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002， April 13， 2005.

[2]劉迎賓.“薩班斯法案”對(duì)在美國(guó)上市的中國(guó)企業(yè)影響分析.經(jīng)濟(jì)師.2006年第2期.

[3]李傳濤. 電信業(yè)的應(yīng)對(duì)薩班斯法案路徑分析. 通信產(chǎn)業(yè)報(bào). 2006.07.

[4]胡敏. IT如何滿(mǎn)足SOX法案的合規(guī)要求. 賽迪網(wǎng)-中國(guó)計(jì)算機(jī)用戶(hù). 2005.11.

[5]朱恩良. SOX法案促進(jìn)IT治理的完善. IT商業(yè)新聞網(wǎng). 2009.02.

[6]Chenxihui. 遵循SOX法案中的IT系統(tǒng)和IT審計(jì).中國(guó)內(nèi)部審計(jì). 2008年第五期.