从“萨-奥法案”视角论我国企业内控系统的构建

从“萨-奥法案”视角论我国企业内控系统的构建
吴彦龙;李景芝;吴南慧
【摘要】美国颁布实施的《萨班斯-奥克斯利法案》（简称“萨－奥法案”）是针对上市公司建立并保持内部控制所作出的规定。

内控制度是现代企业稳健发展不可或缺的“稳定器”，是一个系统化的框架，它建立在风险管理的基础上。

包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素，五要素之间的配合和联系组成了一个完整的系统。

目前，我国大多数企业尚未建立一整套内控管理体系，即使建立的企业也未实现系统化、可视化与信息化管理，尚未建立与国际接轨、适应国际资本市场要求的内部管理体系。

鉴于此，基于“萨－奥法案”要求而提出的内部控制建设值%U. S. promulgation of the ＂Sarbanes - Oxley Act＂（referred to as ＂Sa - Ao bill＂） is the regulation for listed companies to establish and maintain internal controls. Internal control system is essential ＂stabilizer＂ for the healthy development of modern e
【期刊名称】《哈尔滨商业大学学报（社会科学版）》
【年(卷),期】2011(000)004
【总页数】7页(P77-83)
【关键词】萨-奥法案;内部控制;内控体系
【作者】吴彦龙;李景芝;吴南慧
【作者单位】黑龙江省审计厅,哈尔滨150001 ;中国石油哈尔滨石化分公司,哈尔滨150056 ;哈尔滨工业大学,哈尔滨150006
【正文语种】中文
【中图分类】F830.91
一、“萨—奥法案”的要求与内部控制的提出
美国于2002年颁布实施了“萨—奥法案”，对上市公司建立并保持内部控制作出了明确、具体的规定，即“所有在美国上市的公司必须对公司内控制度作出评价和规范、并接受审计”，以提高民众对美国金融市场及政府经济政策的信心。

研究结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。

为此，许多国家通过立法强化企业内部控制，日益成为企业进入资本市场的“入门证”和“通行证”。

为了引导企业加强内部控制，1999年修订的《会计法》第一次以法律的形式对建立健全内部控制提出原则要求，财政部也于2001年6月起连续制定发布了《内部会计控制规范——基本规范》等7项内部会计控制规范，审计署、国资委、证监会、银监会、保监会以及上海、深圳证券交易所等也从不同角度对加强内部控制提出明确要求。

2006年7月15日，根据国务院领导指示精神，财政部会同有关部门发起成立企业内部控制标准委员会(财会［2006］11号)，研究制定我国企业内部控制规范，旨在引导和推动企业建立健全内部控制，提高企业内部控制与经营管理水平，促进企业健康可持续发展，维护社会主义市场经济秩序和社会公众利益。

2008年6月28日，财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制基本规范》，于2009年7月1日起先在上市公司范围内施行，鼓励非上市的其他大中型企业执行。

2010年4月26日，财政部会同证监会、审计署、国资委、银监会、保监会等部
门发布了《企业内部控制配套指引》，与《企业内部控制基本规范》共同构建了我国企业内控规范体系，自2011年1月1日起首先在境内外同时上市的公司施行，自2012年1月1日起扩大到在沪、深交易所主板上市的公司施行。

在此基础上，择机在中小板和创业板上市公司施行。

同时，鼓励非上市大中型企业提前执行。

这是全面提升上市公司和非上市大中型企业经营管理水平的重要举措，也是我国应对国际金融危机的重要制度安排。

针对当前一些央企存在的治理结构不健全、决策机制不完善、战略不清晰、内控机制存在缺陷、授权与责任不清晰等问题，国资委要求要转变内审功能，将出台多项举措加强央企内控制度建设，如制定《中央企业内部控制建设指导意见》。

总之，研究制定企业内控规范是经济社会发展的迫切要求，是新形势下监管部门落实科学发展观、服务企业改革与发展的重要举措。

毋庸置疑，内部控制是企业发展到一定阶段的必然选择，是确保企业稳健发展不可或缺的“稳定器”。

它虽不是医治企业病症的灵丹妙药，但确是抑止企业病症萌发和扩散的一剂良方。

二、“萨—奥法案”的宗旨与COSO框架
(一)“萨—奥法案”的宗旨
“萨—奥法案”以维护广大投资者利益为宗旨，对惩治公司财务欺诈、规范企业
行为和加强资本市场监管作出了规定，其内容主要包括:明确公司管理层的责任，
加强会计监管，完善公司内部和外部审计制度，强化上市公司信息披露的监控，突出舞弊防范，严厉法律制裁，规范美国公司行为，保护广大投资者利益，等等。

该法案以法律为后盾推进市场诚信，公司主管诚信宣誓意味着增加了他们的法律责任。

同时，成立上市公司会计监管委员会加强会计监管，将会计行业由专门的机构统一监管，这有利于规范会计行业运作，而且法案对审计的独立性做了强制要求，这将有助于减少上市公司与审计机构合谋。

此外，该法案还规定增加美国证券交易委员会的资源，有助于加强监管工作。

按法案要求，2003年6月5日，美国证券交易委员会颁布了“财务报告内部控制系统的管理层报告书”的“最终条例”作为“萨—奥法案”404条款的执行细则。

2004年3月9日，美国上市公司会计监管委员会最终确定了内控“审计标准”作为404条款的审计细则。

“最终条例”和“审计标准”均明确提到COSO提出的内控框架可以作为企业内控体系建立的标准。

“萨—奥法案”要求在美上市的公司必须建立内控体系;建立、运行、评估、披露
内控体系的责任在管理层;美国证券交易委员会和美国上市公司会计监管委员会都
推荐COSO框架作为企业建立内控体系的标准。

(二)COSO框架
现代内控理论认为，内部控制是一个系统化的框架，它建立在风险管理的基础上，包括内控环境、风险分析、内控活动、信息与沟通、监督五大要素。

1.COSO内控框架的产生和发展过程
内部控制理论的发展是一个逐步演变的过程，大致可以区分为内部牵制、内控制度、内控结构与内控整体框架四个阶段。

在内部牵制阶段，账目间的相互核对是内控的主要内容，设定岗位分离是内控的主要方式，这在早期被认为是确保所有账目正确无误的一种理想控制方法;在内控制度阶段，内控的重点是建立健全规章制度;在内
控结构阶段，内控被认为是为合理保证企业特定目标的实现而建立的各种政策和程序，分为内控环境、会计制度和控制程序三个方面。

1973—1976年对水门事件的调查使得立法机关与行政机关开始注意到内控问题。

针对调查的结果，美国国会于1979年通过了《反国外贿赂法》。

1985年，由美
国注册会计师协会等5个协会联合创建了反虚假财务报告委员会，该委员会旨在
探讨财务报告中的舞弊产生的原因，并寻找解决措施。

两年后，该委员会提出了很多有价值的建议。

基于该委员会的建议，其赞助机构成立COSO委员会，专门研
究内控问题。

1992年9月，COSO委员会提出了报告《内部控制整体框架》，
1994年进行了增补，形成COSO内控框架，标志着内控理论发展到新的阶段，对企业完善和优化内部控制、增强风险防范能力具有十分重要的意义。

2.COSO内控框架的组成要素
COSO内控框架认为，内控系统是由内控环境、风险评估、内控活动、信息与沟
通和监督五要素组成，它们取决于管理层经营企业的方式，并融入管理过程本身，所有的五个部分必须同时作用才能使内部控制得以产生影响。

其相互关系见图1
所示:
图1 企业内控系统的要素组成
(1)控制环境。

控制环境是指对建立、加强或削弱特定政策和程序效率发生影响的
各种因素，企业的基调、氛围直接影响企业员工的控制意识。

包括管理者的经营风格和经营理念，董事会、组织结构与权责分派体系、管理控制方法及人力资源政策与实务等。

控制环境构成一个组织的氛围，它对企业内部控制的建立和实施有重大影响，其好坏直接决定了企业内控整体框架实施的效果。

控制环境反映了董事会、总经理阶层、其他人员对内部控制的态度、认识和行动。

环境要素是推动企业发展的引擎，也是其他一切要素的核心，决定了其他控制要素能否发挥作用，是内部控制其他要素作用的基础。

良好的控制环境需要企业管理者依靠长期不懈的努力来建立和维持，它是内控状况的综合反映，需要一系列健全有效的内控制度和一套完整的激励机制。

可以说人及其人进行的活动是任何企业的核心，是构成内控环境的重要要素，又与环境相互影响、相互作用。

(2)风险评估。

风险评估是识别、分析相关风险以实现既定目标，是风险管理的基础。

COSO报告认为，任何企业都时刻面临来自组织内外部的各种风险。

风险是
指事件本身的不确定性，它具有客观性。

在现代市场经济条件下，企业之间的竞争日趋激烈，企业所面临的经营风险不断提高，内部控制的实施也深受影响。

可以说，一切违背管理原则的管理行为或不完善的内部控制，不健全或无效的控制制度就是
风险存在的信号。

风险分析与评估活动外国企业比较重视，如有些企业利用“SWTO”等分析法，通过分析和评价企业内部的优势与劣势、长处与短处、外界的机会与威胁。

风险评估一般须经过辨别、分析、管理、控制等过程。

确定和分析风险的过程是一个持续的过程，是有效内部控制的一个关键性因素。

(3)控制活动。

控制活动是针对风险采取的控制措施，是内部控制的重要因素之一，是指管理者为了确保管理指令能够得到有效实施而制定并实行的各种政策、程序和办法，目的是保证组织目标实现，避免风险的发生，减少非必要的损失。

控制活动贯穿于整个企业内部的各个阶层和所有的职能部门，包括授权、权责分配、审查、检查、监督、资产保护、职责分工、各种政策、程序和办法中规定的各种控制行为等。

(4)信息与沟通。

信息与沟通是指企业经营管理所需信息必须被识别、获得并以一
定形式及时传递，以便员工履行职责，是企业内部控制的一项要素。

一个组织中，有一个良好的信息沟通系统，能保证信息在企业内部自上而下、自下而上、横向以及与外界有效的传递，这有助于提高内部控制的效率和效果。

通过沟通渠道各级管理者可以知道在自己负责管理范围之内，工作进展情况，人员的行为及态度，以及与组织目标相脱离的大部分偏差，从而确保对自己责任范围的控制;每位员工也能
清楚自己在内控制度中所扮演的角色、所负担的责任及其地位和作用，并能将实施中存在的问题及时反馈给管理层，使下级领会管理的意图，上级也能够及时了解经营活动的进展情况，以便管理者及时掌握和了解内部控制中的潜在薄弱环节，并能及时采取相应的预防措施。

(5)监督。

监督是对内控系统有效性进行评估的过程，是企业内控框架的特殊构成
要素，它相对独立于各项具体的生产经营活动之外。

它能够在不影响或尽可能小地影响企业经营管理活动的情况下，通过对内控制度的运行与实施情况进行评价，对企业已经发生的错弊及时予以纠正，将企业内控的缺陷及改进意见不断反馈给管理
者，并能在一定程度上对发现的内控缺陷及时予以弥补，对发生的新的经济业务进行必要的调整。

监控也是对企业其他内控程序和措施的一种再控制。

监控可以分为内部监督(包括管理部门的监控、内部审计机构的监控)和外部有关部门或团体对企业的外部监控。

内部监督是指由企业管理者、各级管理人员或财务会计部门以外的部门或人员对本企业的财务会计工作进行监督检查的一种制度。

在内部监督过程中，通常有自我控制和内部审计两种方式。

外部监督是指由中介机构、监管机构等部门对企业会计信息质量进行监督和检查。

两种方式达到的效果可以找出内控的薄弱环节，揭示企业内控制度的不足或不完善之处，帮助管理者改善企业经营管理，提高经营效率，从而提高企业的经济效益。

3.五要素之间的关系
可以这样理解内控体系五要素之间的关系:企业的核心是人，人的诚信、道德价值
观和胜任能力构成了企业的内控环境，这是企业发展的基础。

每个企业都有自己的发展目标，为了目标的实现，必须分析影响因素，即进行风险评估。

针对风险评估的结果需要采取相应的内控活动来控制和减少风险。

同时与内控环境、风险评估和内控活动相关的信息应及时被获取、加工整理，并在企业内部传递，这就是信息与沟通，信息与沟通系统围绕在内控活动周围，反映企业各项管理活动的运转情况。

为了保证内控体系的正常运转，还需要对整个内控过程进行监督。

内部控制五要素之间的配合和联系，组成了一个完整的系统，可以灵活地随条件变化而变化。

但各要素之间并非是一项要素影响下一项要素的顺序过程，任何一个要素的变化都可以影响其他要素，例如，对风险的评估不仅仅影响内控活动，还可能影响信息和沟通、监督行为等。

三、我国企业内控系统的构建
(一)确立内控框架
1.控制环境优化策略
(1)培养诚信与道德观念，如制定道德准则，包括《高级管理人员职业与道德规范》、《企业文化建设纲要》、《员工手册》、《职工职业与道德规范》和《职工职业与道德建设制度》等;与利益相关方的关系，如要求在对外交往中遵循《高级
管理人员职业与道德规范》，强调公平对待员工、客户、供应商等，企业召开年度职工代表大会，收集员工各方面的意见，定期向员工进行反馈;实现目标的压力，
如制定《中层及以下管理人员业绩考核指导意见》、《操作服务人员绩效考核指导意见》、管理层换届、调整、升职与业绩考核相关联。

(2)培养胜任能力，包括岗位职责描述，如修订完善《员工岗位职责描述》;分析胜
任工作所需要的知识和技能，如《员工岗位职责描述》明确对岗位所需能力和知识的要求、制定《员工教育培训工作暂行规定》;通过年度考核，测评员工知识和技
能的符合程度。

(3)建立审计委员会，包括独立性，如审计委员会的构成及独立性应符合国内和国
外相关法规;信息及时性和充分性，如建立《审计委员会章程》;加强审计委员会的
监督作用，如建立反舞弊风险数据库，监督管理层对审计发现的跟进。

(4)培养管理理念和经营风格，包括业务风险的接受程度，如采取集权管理、归口
管理和经理办公会议决策制度等控制风险，制定业务授权表;关键人员的更换频率，如管理层和监督层人员基本稳定，财务、信息系统无频繁更换现象;管理层对会计
职能、财务报告的态度，如财务部承担财务管理和监督职能，对所选会计制度进行披露，制定《安全保密制度》等。

(5)建立组织结构，如组织设计适应信息流通和权利集中程度，即按照《公司法》
要求建立法人治理结构，制定《企业机构设置方案》和《企业机关部门职能、职责范围》等。

(6)明确权利和责任，包括责任分配与授权，如制定《机关部门职能和专业公司职
责范围》、《员工岗位职责描述》、《授权表》;控制标准及流程，如制定《员工
岗位职责描述》;数据、会计等职员技能的充分性，如制定《劳动定员定额标准化
管理暂行办法》、《加强领导班子建设办法》、《企业岗位竞聘办法》，等等。

2.风险评估优化策略
(1)设计描述业务流程与目录，制定业务流程描述标准和模板，按业务流程描述标
准和模板绘制业务流程图和编制流程说明。

(2)确定重要会计科目和披露事项，如制定确认重要会计科目和披露事项的标准和
方法，按照上述标准和方法确定重要会计科目和披露事项，确定重要会计科目和披露事项可能出现重大错报的原因。

(3)规定重要会计科目、披露事项与业务流程。

(4)对重要业务流程进行风险评估，建立风险评估制度体系，如风险识别。

通过对
业务风险、固有风险和舞弊风险等进行评估，建立重要业务流程标准风险数据库，确定重要风险点;分析风险重要性程度、评估风险发生的可能性或频率、如何管理
风险;确定风险类别与风险评估方法。

3.控制活动优化策略
(1)建立经营活动分析评价制度，如建立经营活动分析评价制度，侧重于阶段性经
营成果和影响成果的因素分析。

重点对财务报表中影响利润指标的价格因素、销量因素、成本因素及其他费用的变化进行分析，同时对财务报表的真实性进行核实等。

增加投资管理的相关内容，形成企业统一的生产经营分析制度，开展日常经营活动分析和生产经营分析评价。

(2)对控制现状进行描述与分析，如建立控制分析文档编制标准和模板，对重要业
务流程，结合相关风险，描述控制现状，并与控制制度对应，发现制度缺失和差异。

(3)建立关键控制，如建立重要业务流程的关键控制确认标准;按照关键控制确认标准，确定重要业务流程关键控制;整理关键控制文档。

(4)及时编制财务报告，如所有经济交易事项全部录入总账系统，用于初始化、授
权、记录和处理总账系统中的分录的流程，其他用于记录对年度和季度会计报表进行的经常性和非经常性调整的程序，如合并调整、报告的合并以及分类等，编制年度和季度会计报表和相关信息披露的程序。

(5)编制内控制度文件索引，如制定内控制度文件索引标准，将相关控制(特别是关键控制)与制度文件进行对应。

4.信息与沟通
(1)建立信息沟通制度体系，如建立统一的信息系统总体控制制度，包含信息技术
控制环境、程序开发、程序更改、程序和数据的访问、计算机操作五个领域，实现财务、资产、人力资源、采购、统计信息系统统一到操作层面，培训、推广和实施信息系统总体控制制度，检查各层面实施和运行的情况，进一步完善总体控制制度，制定本单位的信息系统总体控制计划并有效实施。

(2)建立区域数据中心，如进行信息系统设备物理集中。

(3)统一管理应用系统，即FMIS系统(财务管理信息系统)、AMS系统(资产管理信息系统)、人事资源管理系统、采购管理系统和统计信息五个系统的统一。

5.监督
(1)内控体系的维护运行，如建立包括归口管理、流程变更报告、测试结果动态、
体系维护的计划和实施等相关内容的内控体系运行管理制度，完善内控体系、体系运行状况的监督和维护、体系的自我评估。

(2)开展内审测试，如确定测试程序、组织方式、测试文档模板及编制标准，确定
测试结果分析的内容和报告模板，提交内审测试报告。

(3)实施管理层审核，如针对内审测试报告中的内控缺陷，根据体系运行状况提出
相关的改进措施，提出管理层报告。

(二)确定业务流程
控制活动是内控体系优化的重要内容，一套清晰顺畅的工作流程、完整的管理制度
和符合实际的岗位规范，能够约束企业的行为，使每个员工都能做到各司其职、各负其责。

同时，依靠制度的科学性、严密性、连续性和可操作性，使企业的管理思想、管理方式不因人的变化而随意变化，最大限度地减少人为因素对企业管理水平的影响。

企业流程应包括规划和计划、建设过程、生产过程、物资采购、服务采购、产品销售、存货管理、投资管理、人力资源、信息系统、健康安全环保、技术发展、财务资产、内部审计、合同与纠纷等一级流程，并对每个一级流程进行细化，制定了基本流程目录，将公司重要业务囊括其中。

优化业务流程主要关注的不仅是财务报告流程，而且也要关注与其相关业务流程。

这主要是从追溯财务报告的形成过程及其面临的风险上考虑，因为形成财务报告的信息产生于业务过程，如成本信息全部来自于生产过程，在生产过程中形成的领料单、发料单、原料消耗报告等将直接被财务人员运用于材料成本核算过程中，如果任何一个环节的记录有误或向财务人员传递的信息不完整，都将造成资产负债表中的存货和利润表中的成本数据失真。

因此，对于财务报表的内部控制不仅需要制定财务报告流程，也需要制定详细的业务流程，这就要求对公司的主要业务进行描述，建立基本业务流程。

流程控制的最大好处是对业务发生的全过程进行控制，设置一个完整的业务流程往往要涉及多个工作步骤，涉及多个部门和岗位。

所以，定义流程的关键在于打破部门和岗位的概念。

如合同审批审查流程只是一个具体的末级流程，业务要涉及合同承办部门、技术部门、财务部门、法律部门以及公司领导等多个层面、多个部门，此流程包括了三个职能带(企业主管领导、相关职能部门、承办单位)、六个步骤(合同计划管理)→合同承办单位(选择相对人组织谈判或招投标)→合同承办单位(编制提交合同，签约审查审批表)→技术经济审查→合同管理岗法律审查→主管领导
审批→合同签订管理，四个风险点(合同承办单位、技术经济审查、法律审查、主
管领导审批)、两个关键控制点(选择相对人组织谈判或招投标、编制提交合同)。

在实际流程的设置中，安排合同的主管部门负责流程的整体描述，但并不意味着这个部门将对流程每个步骤负责，它需要其他相关部门的配合和帮助才能完成整个流程描述。

委派一个统领部门是保证流程描述的一致性与完整性，这个统领部门应该对整个流程有更多的全局考虑。

如果各部门在进行流程描述时只关注自身业务，不能对整个流程有全局的考虑，那么，流程描述可能会变成部门职责描述，使流程缺少逻辑性和连贯性。

这样，就会出现流程的断层、重复或遗漏，造成业务接口不明确，而影响整个控制的质量。

因此，流程设置要注意各部门互相配合，不能忽略整个流程的连贯与完整。

(三)建立风险数据库
风险管理是建立内控体系的关键，企业可以根据国资委《中央企业全面风险管理指引》，参照《COSO企业风险管理整体框架》，通过小组讨论、访谈、头脑风暴、问卷调查等方式，建立企业的风险数据库，编制企业层面风险分类、风险评估评分标准，识别重大风险，确定风险控制对策。

制定权限指引并使之与授权文件、岗位职责的一致性核对。

如银行存款及账户管理流程，首先，要分析流程潜在风险，编制银行存款及账户管理风险数据库，其业务流程包括财务资产、资金管理、银行存款及账户管理;其次，要分析相关风险，包括未经授权的人员处理银行存款业务及
账户管理，未得到适当授权的人员进行网上银行交易，开户、销户未经过适当审批，银行印鉴和票据未妥善保管造成资金损失，银行存款的原始交易记录不完整、不准确(如银行对账单丢失)，会计记录不正确(如科目、金额、记账期间等不正确)，银
行存款余额账实不符(如私设小金库、虚列存款、资金被盗用);最后，确定控制目标的类型，具体分为完整性、准确性、有效性和接触性四类。

由于优化内控关注与财务报告相关性强的风险，因此，需要以是否影响到财务报告错报、是否关系资产安全受到威胁、是否存在舞弊等事项为标准，按重要程度将风险划分为一般风险和重要风险，对风险数据库中的风险进行筛选，形成公司的重要。