SOX法案的内容分为两部分，一是主要涉及对会计职业及公司行为的监管，包括建立一个独立的“公众公司会计监管委员会”，对上市公司审计进行监管；通过签字合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；对公司高管人员的行为进行限定以及改善公司治理结构等，以增进公司的报告责任；加强财务报告的披露；通过增加拨款和雇员等来提高证券交易委员会的执法能力。

　　　　二是提高对公司高管及白领犯罪的刑事责任。比如，规定销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁；为强化公司高管层对财务报告的责任，要求公司高管对财务报告的真实性宣誓，并就提供不实财务报告分别设定了10年或20年的刑事责任，这与持枪抢劫的最高刑罚一样。

　　　　SOX法案虽然只针对美国上市公司，但是其影响力几乎波及世界上所有大公司。因为它们也遇到类似的挑战。该法案的核心是内部控制，体现在它的第404章。

　　　　《法案》第404章要求证券交易委员会出台相关规定，所有除投资公司以外的企业在其年报中都必须包括：（1）管理层建立和维护适当内部控制结构和财务报告程序的责任报告；（2）管理层就公司内部控制结构和财务报告程序的有效性在该财政年度终了出具的评价。法案要求管理层的内部控制年报必须包括：（1）建立维护适当公司财务报告内部控制制度的管理层责任公告/声明；（2）管理层用以评价内部控制制度的框架的解释公告/声明；（3）管理层就内部控制制度有效性在该财政年度终了出具的评价；（4）说明公司审计师已就（3）中提到的管理层评价出具了证明报告。公司的CEO和CFO们不仅要签字担保所在公司财务报告的真实性，还要保证公司拥有完善的内部控制系统，能够及时发现并阻止公司欺诈及其他不当行为。若因不当行为而被要求重编会计报表，则公司CEO与CFO应偿还公司12个月内从公司收到的所有奖金、红利或其他奖金性或有权益性酬金以及通过买卖该公司证券而实现的收益。有更严重违规情节者，还将受严厉的刑事处罚。

　　　　某制药公司建立内部控制体系的实例

　　　　某制药公司（以下简称A公司）从2005年11月开始按照美国COSO框架、《SOX法案》、美国会计准则、中国会计准则、中国内部会计控制规范等编写内部控制制度，规范各项流程管理体系。A公司建立了内控部（内控部独立于公司各部门，由董事会垂直领导，直接向董事会负责）直接对公司的经济业务进行监控，实施内部审计。

　　　　在内控体系的建立过程中，有以下几点需要注意：

　　　　1、流程的梳理。在控制体系设计阶段首先要做的是梳理流程，定义流程。对每一个业务流程进行描述，形成流程图。因为每一个业务流程会涉及到很多环节、部门、人员，所以每一个流程描述包括每一个岗位做什么，什么时间做，谁来审批、谁来监督等信息。

　　　　2、风险的分解。各个部门的具体运行环节中，要根据自己的业务流程可能包含的风险继续分解，具体到部门中是什么样的风险。比如说物流部送货员领产品出库送货，送货员必须持《销售单》和库房的《成品出库单》核对，并与实际产品核对，如果产品品种和数量与《成品出库单》和《销售单》相符，送货员签字、出库、发运；如果送货员发现全部或部分产成品外包装明显不合格，及时将不合格产成品运送回仓库组，通知库房经理、仓库管理员、质检员。

　　　　3、设置记录性文档。记录性文档分几种，一种是审批单，它记录审批依据、审批人责任。

　　　　4、建立监督机制。A公司把控制责任建立到每个人头上，每个岗位上。这个岗位可能一岗多人，但是只要在这个岗位上工作，就要熟悉这个岗位的业务流程和相关的风险控制。比如内控部定期、不定期会同财务部、仓储部组织存货盘点，盘点结束由仓储主管提供《存货盘点报告》、《差异报告》、《盘赢盘亏对照表》和《期末存货明细表》。如果存货出现盘赢盘亏，由仓库管理员编制盘赢盘亏处理报告，列明盘点盈亏数量及金额、盈亏原因和处理意见。对重大的盘赢盘亏，要列明对相关责任人的处罚意见和现存的管理漏洞；仓库管理员报苍库主管汇总各仓库的处理报告，形成总报告，列明盘赢盘亏数量及金额、盈亏原因和对盘赢盘亏的账务处理意见，报采购仓储部经理和财务部经理、内控部经理共同审批；审批后有总经理作最后审批；财务部成本会计根据经总经理审核批准的盘赢盘亏处理报告进行调帐。

　　　　内部控制的左膀右臂

　　　　2004年3月9日，美国上市公司会计监督委员会（PCAOB）发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于2004年6月18日经美国证券交易委员会（SEC）批准。该标准关注对财务报告的内部控制的审计工作，以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见：一份针对财务报告的内部控制，另一份针对财务报表。对内部控制的审计涉及以下内容：评价管理层用于开展其内部控制有效性评估的过程；评价内部控制设计和运转的效果；形成对财务报告的内部控制是否有效的意见。该标准的出台，将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席WilliamJ·McDonoush所称，“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去，内部控制仅是管理者考虑的事情，而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是最为有效地威慑舞弊的防范措施。”

　　　　PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。更为重要的是，该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础。毕竟，内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。

　　　　PCAOB相信，为获取可靠的财务报表，机构必须保持内部控制的运转，以便了解各项记录的准确性，各项交易和资产的处理的公允反映情况，并对各项交易记录的充分性提供保证，且收支工作都经管理层和领导者授权。这样，就能根据一般公认会计原则（GAAP）编制财务报表。内部控制的运转还能确保上述步骤的运转，以防止或发现对财务报表产生重大影响的资产盗用、未经授权使用或处置情形。简言之，如果公司管理层能证明其对簿记工作实施了适当的内部控制，用于编制准确财务报表的账簿和记录是充分的，并遵守了公司资产的使用规则，投资者就会对公司财务报表的可靠性更为信任。

　　　　无论是COSO模型、SOX法案，还是前些年闹得沸沸扬扬的李金华的审计风暴，都是为了防患于未然，这也是内部控制的作用。正如孙子有一句名言“是故百战百胜，非善之善者也；不战而屈人之兵，善之善者也。”讲的是大凡用兵打仗，其指导原则应是：迫使敌人举国降服的为上策；通过交兵接仗而攻破敌国的次之；能使敌人举军降服的为上策，攻破敌军的次之；能使敌人整卒降服的为上策，攻破敌伍的次之。所以，百战百胜，还不是用兵的最高境界，不经交战就能使敌人屈服，才是高明中最高明的。内部控制对于公司治理的作用也大抵如此。

　　　　本文作者：徐海涛西安天安制药股份有限公司内控部经理

　　　　联系方式：xuxupopo1@163.com