C-SOX问与答系列

C-SOX问与答系列（一）C-SOX VS COSO
财政部《内控基本规范》与COSO-IC和COSO-ERM的关系？
我国内部控制概念基本借鉴了COSO报告的理论研究成果，即：以1992年“COSO内部控制—整合框架”（COSO-IC）五要素为框架，适当体现了2004年“企业风险管理—整合框架”（COSO-ERM）中提出的八要素理念。

一、从目标上看，我国的内部控制概念提出了：
1. 企业战略；
2. 经营的效率和效果；
3. 财务报告及管理信息的真实、可靠和完整；
4. 资产的安全完整；
5. 遵守国家法律法规和有关监管要求等五项基本目标。

二、同时结合我国企业管理实际，有一些创新：
1、内容创新：并未照抄照搬COSO框架，而是根据我国的实际情况作了较大调整，在表达方式上符合我国法规特点、文化传统和语言习惯，比如：
①．强调企业内外对内部控制的投入和监管力度；
②．强调信息的外部沟通；
③．强化《反舞弊机制》与《信息与沟通》相结合；
④．在内部监督和公司治理结构方面更好地与国际接轨。

2、体系创新：除基本规范之外，还起草了《企业内部控制应用指引》，《企业内部控制评
价指引》和《企业内部控制鉴证指引》，形成一个层次分明、内容完整、衔接有序、整体互
动的有机统一体。

C-SOX问与答系列（二）C-SOX VS SOX
财政部《内控基本规范》（C-SOX）与SOX在执行范围、执行深度、执行力度和执行成本等方面的异同？
1.执行范围
1)SOX法案仅是针对财务报告相关的内部控制（ICFR），即COSO
报告里面的报告目标；
2)财政部《内控基本规范》则涵盖了COSO内部控制框架和企业风
险管理框架的目标，包括：企业战略；经营的效率和效果；财务
报告及管理信息的真实、可靠和完整；资产的安全完整；遵守国
家法律法规和有关监管要求。

2.执行深度
1)从时间上来看，内部控制是西方在现代经济的基础上发展起来的，
而我国的内部控制工作刚刚起步，基本是学习模仿西方的做法。

2)例如：美国在70年代水门事件后通过《海外反腐败法》（FCPA），
内部会计控制已经成为法律要求；COSO委员会在1992年和2004
年分别发布了内部控制与企业风险管理框架，是这方面全球领导
者；2002年颁布的SOX法案，更是将内部控制推向一个高峰。

3)从实践上来看，SOX主要针对财务报告相关的内部控制，而财政
部《内控基本规范》涵盖的内容更广泛更深入。

4)但是内部控制以西方经济活动为基础，是否会在我国出现水土不
服？虽然SOX法案一诞生就争议不断，但是目前已经有一套相对
成熟的SOX考核标准。

而我国的内控基本规范，刚刚发布不久。

执行效果如何，有待实践检验。

3.执行力度
1)SOX法案是“法律”，是美国国会通过且对在美上市公司都有约
束力的。

而财政部《内控基本规范》只是一个“部门法规”，法
律效力和约束力远不及SOX；
2)SOX法案号称自上世纪30年代以来，是美国监管最严苛的法律，
对于违背SOX的处罚极其严厉。

而财政部《内控基本规范》没有
规定具体处罚内容，很可能造成有法不依，违法不究，执法不严
的情况。

4.执行成本
1)当前SOX法案颇具争议的主要原因是“执行成本高昂”，企业叫
苦不迭，甚至影响到了美国资本市场的竞争力；
2)而财政部《内控基本规范》规定 2009年7月1日开始执行，目
前还没有相关成本数据可以参照；
3)财政部在起草《内控基本规范》时就已经考虑到虑企业的接受程
度和承受能力，必须考虑企业的实施成本，认为在现阶段，应当
在宣传普及内部控制先进理念和方法的基础上，重点引导企业加
强以财务报告内部控制为主线的相关标准建设，降低合规成本；
4） SOX在美国成熟的公司执行成本多高居不下，我国总体内控薄弱，具体的成本需要结合执行的力度、深度、效果等因素考虑。

C-SOX问与答系列（三）监管合规VS有效合规
1.监管合规和有效合规的概念不同
a)监管合规，顾名思义，就是形式合规，就是通过外部认证，即第
三方，根据标准鉴证企业是否达到法规要求。

b)有效合规，顾名思义，就是实质合规，即判断一个企业在实质上
是否达到了立法宗旨的要求。

2.监管合规，是一种“手段”，是通过一定标准和程序来检验企业是否达
到法定要求。

咨询公司擅长干这个活。

但是可能因为标准和程序本身的
缺陷、理解的差异、鉴证机构对具体企业的认识程度等原因，监管合规
不一定确保企业有效合规。

可以通过SOX法案审计，但后来又暴露出舞
弊丑闻的例子也不鲜见。

a)例如：戴尔（DELL）计算机公司通过了年度的SOX审计，但是2007
年8月该公司被查出预计虚报净收入1.5亿美元。

出现该问题的
原因主要是部分高管为迎合业绩目标对财务报告做了手脚，并欺
瞒了审计人员。

b)最近百度医药广告虚假门事件
（/ShowPost.aspx?topicid=712647&ForumID=
136357），百度CEO李彦宏表示，“公司将加强内部控制并展开全国性的
宣传活动来补救事件造成的影响。

”而事实上，作为美国纳斯达克上市公
司，百度这两年的SOX Compliance都是顺利过关的。

3.有效合规，是企业追求的“目标”。

有效合规可以把监管合规作
为基础，要真正优化改善企业管理运作，需要超越监管合规。

作
为着眼于保护社会公众利益的证券监管机构，不论是美国的SEC
还是中国的证监会，最关注的当然是与证券市场正常运转密切相
关的公司财务信息披露质量，因为财务信息披露影响到投资人（包
括现实投资人和潜在投资人）、其他利益相关者的决策行为和后
果；而对于公司的现实投资人、经营决策者、管理层以及员工来
讲，实现透明可靠的财务报告只是内部控制的初步的基本目标。

更何况，上市公司以至公众公司，只是全社会中所有企业中的一
小部分。

对于更多的非上市、非公众企业来说，内部控制的目标
当然就更不仅仅限于透明可靠的财务信息了。

a)例如：SOX只是针对生产经营结果的财务表述和信息披露，而不
是针对生产经营和管理本身。

然而，在COSO内部控制框架文件中，
透明可靠的财务报告只是企业内部控制系统的三大主要目标之一。

比如公司战略规划，因其与SOX即财务报告没有直接联系，SOX
就不关心这块了，而实际上，战略规划对公司来说是极其重要的。

4.如是观之，既使得到了外部审核和评价的肯定意见，达到监管合规，并
不意味着公司内部控制机制就一定是令人满意的！更为重要的内部控制
目标，在于公司战略目标，有效率和有效益的经营、循规守法和保护企
业财产安全。

C-SOX问与答系列（四）如何看待C-SOX（审计角度）
从审计视角如何评价财政部《内控基本规范》的合规要求？
财政部发布的“企业内部控制规范起草说明”认为，目前内部控制涉及的领域已非常广泛，覆盖公司层面、业务层面的几乎所有活动，作为一个需要鉴证的合规要求，必要具备鉴证可操作性。

因此，根据多数企业的意见，借鉴国际有关做法，提出对有义务对外提供财务报告的企业（上市公司），至少须确保财务报告的真实可靠，并着重就影响财务报告真实可靠的重要业务与事项进行了规范，引导企业建立健全以财务报告内部控制为核心的内控机制。

第一，企业的经营管理活动，归根结底要通过财务报告来反映，抓住了财务报告内部控制这条主线，在一定程度上也抓住了企业经营管理与内部控制的重心和主体；
第二，保证财务报告真实可靠，是企业（特别是上市公司）的法定责任，是维护社会公众利益的基础环节，强化财务报告内部控制机制建设，是提升企业市场形象与诚信度、维护社会公众利益的基本要求；
第三，从政府监管和资本市场监管的角度看，即使是当今世界最发达的国家，也将财务报告内部控制作为企业管理层内部控制自我评估和注册会计师评价的主体，因为满足了财务报告内部控制的要求，能够合理保证企业财务会计信息披露的真实公允，能够有效维护社会公众利益、促进资本市场健康稳定发展。

另外，跟“内部控制基本规范”配套的，发布《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制鉴证指引》3个征求意见稿，号称形成了所谓的一个层次分明、内容完整、衔接有序、整体互动的有机统一体。

我们注意到目前中国注册会计师协会（CICPA）发布的《企业内部控制鉴证指引》（征求意见稿），用来规范指导CPA鉴证企业内部控制合规，其中：
1)第八条规定：注册会计师应当按照财政部发布的《企业内部控制
基本规范》和相关规范执行内部控制鉴证业务。

2)第六条规定：在确定内部控制是否有效时，注册会计师应当考虑
内部控制是否能够为企业财务报告的可靠性以及按照适用的会
计准则和相关会计制度的规定编制财务报表提供合理保证。

如果
存在一个或多个重大缺陷，内部控制应被认定为无效；即使财务
报表不存在重大错报，内部控制也可能存在重大缺陷。

从上可以看出，C-SOX犹抱琵琶半遮面，嘴上说“合理借鉴”“自主创新”，实际上照搬SOX，也只是主要关注在财务报告合规方面，对于缺陷，重大缺陷定，也只能根据对财务报告的影响以及重要性水平来判断。

对于那些有过SOX经验的专业人士和咨询机构，或许是一个Opportunity。

但是个人认为，审计国内上市公司的那些Local会计师事务所具备相应的能力了吗？
对于左口袋倒右口袋的事情很多人向来得心应手......
C-SOX问与答系列（五）C-SOX合规总体思路
财政部《内部控制基本规范》（C-SOX）合规总体工作思路
基于财政部《内控基本规范》，企业合规（即内控体系建设，下同）工作的设计总体思路如下：
一、企业管理层必须明确内控体系建设工作的价值和意义
即：实施内部控制既是法规要求，也是企业提升管理水平，降低运营风险，增强国际竞争力，创造企业价值的内在需求和有力保障。

二、企业管理层必须明确内控体系建设的目标
内控体系建设的总体目标是实现内控的有效性，并为公司以下目标提供合理的保证：
1.企业战略；
2.经营的效率和效果；
3.财务报告及管理信息的真实、可靠和完整；
4.资产的安全完整；
5.遵守国家法律法规和有关监管要求；
6.保障公司顺利通过内控审计。

三、内控体系建设项目具体实施阶段（概述）
按照工作的性质和时间的顺序，可以把内控体系建设项目划分为以下七个阶段：
1.预备阶段：主要是内控体系建设的准备工作，如项目组的建立，人员的
安排、培训，业务的分析与分解，进度计划等。

2.实质性建设阶段，包括公司层面，业务层面，IT内控，与外部审计师的
沟通等
3.穿行测试阶段
4.培训考核阶段：为保障制度规范得到有效执行，企业需要做全员内控规
范操作培训。

培训结束后，公司需要组织专门的考试，以便测试培训结
果。

5.问题整改阶段：主要工作是由各业务部门针对穿行测试中发现的问题进
行整改。

6.整改后测试阶段：由项目组对整改的情况进行复核性测试。

7.内控建设总结阶段：本阶段主要是用来评价和表彰在内控建设中先进的
集体和个人，进一步提高全体人员对内部控制重要性的认识，自觉的把
书面的制度与实践工作结合起来，将内部控制落实到具体的业务中去。

8.外部审阅与测试阶段：通过上述七个阶段的努力，最终的结果需要通过
公司外部审计师的评价，这个过程包括聘请外部审计师对内控相关的文
档进行审阅，与外部审计师进行沟通，以及外部审计师对相关内控所进
行符合性测试等工作内容。

四、内控体系建设的最终检验阶段
此阶段工作是公司符合内控基本规范的证明。

如果可以通过这个阶段的测试，公司的内部控制基本符合财政部《内部控制基本规范》的要求。

自上而下还是自下而上？-全面风险管理内控sox
国资委发布《中央企业全面风险管理指引》后，越来越多的央企开始重视开展全面风险管理。

风险管理是一项长期而艰巨的工作，从国外经验来看，企业通常可选用“自上而下”或“自下而上”的方式来进行风险识别、风险评估及管理。

2002年美国国会通过的萨班斯法案以及2004年9月美国COSO委员会正式发布的《企业风险管理整体框架》，引发了全球内部控制和风险管理建设的热潮，而国务院国资委2006年6月正式发布的《中央企业全面风险管理指引》，更是为中央企业开展全面风险管理工作指明了方向。

一年多以来，国内多个大型企业都已开展了不同程度的全面风险管理工作，如物流行业的中国远洋运输（集团）总公司，电信行业的中国网通、中国移动、中国电信和中国联通，能源行业的中石油、中海油和中广核，冶金矿产行业中的中国铝业公司和中国神华，以及国家开发投资公司等。

但是，推行全面风险管理是一个长期而艰巨的工作，《中央企业全面风险管理指引》离可操作的全面风险管理制度也还有相当的距离，企业在具体项目开展过程中进度比预期的要慢、项目难度也比想象中大，更有不少企业由于不知从何入手而处于观望状态。

因此，如何高效地推进全面风险管理工作便成为了企业的当务之急。

从国外开展全面风险管理的经验来看，企业通常可选用“自上而下”或“自下而上”的方法来进行风险识别、风险评估及管理，本文旨在探讨这两种方法的优缺点，并分析中央企业采用何种方法比较合适。

一切从战略目标开始
企业风险管理框架（简称ERM框架）由1992年美国COSO委员会推出的内部控制框架演变而来，COSO认为风险管理应发挥6大作用：衔接风险容量与战略、增进风险应对决策、
减少经营意外和损失、识别和管理贯穿于企业的多重风险、抓住机会、改善资本配置。

ERM 框架分为风险管理目标、要素和实施对象3个维度。

国资委正式出台的《中央企业全面风险管理指引》对央企开展全面风险管理工作的相关方面做出了明确规定，作为《指引》的最重要内容，国资委要求具备条件的央企在董事会设“风险管理委员会”，由董事长出任委员会召集人，企业总经理对全面风险管理工作向董事会负责。

《中央企业全面风险管理指引》的重要内容均符合ERM框架对其要素的定义。

ERM框架提升了内部控制框架，并与企业战略目标紧密相联。

一般来说，全面风险管理的目标是由企业战略目标指引和决定，不同行业和不同的企业由于战略目标的差异有着不同的风险管理目标。

因此，对企业战略目标的确定与认同是开展全面风险管理项目的基础工作。

为什么选择自下而上
自下而上的方法一般包括以下步骤：
∙全面开展工作，由各业务部门对其所涉及的工作流程中各个环节可能存在的风险加以识别和评估；
∙由于风险的影响往往会跨越数个职能部门，因此业务部门需要就已经识别的相关风险进行沟通，修正风险评估结果；
∙根据风险的重要性进行排序；
∙高管层和董事会对于重要风险领域进行讨论和分析，并确定需要优先关注的高风险；
∙在业务部门的协助下，由高管层确定风险应对措施。

当然，步骤5个步骤有时需要循环往复，才能最终确定风险管理策略。

自下而上的方法可以较为全面地识别风险，并通过收集多方对风险的理解来确保对风险事件全面的确认，其优点
在于：提高了员工的主动性和风险意识；利用企业执行层对风险较为直接和深入的理解，降低了未被发现的重要风险的可能性。

但是，这种方法也存在以下缺点：
∙员工对企业战略目标认知不足，风险点不一定与企业战略目标对应；
∙领导参与一般比较晚，当领导对风险的意见与前期调研结果不一致时，可能造成前期工作的浪费；
∙识别的风险点太多（可高达500个或以上的风险点），增加后续工作量，尤其在首次开展风险管理项目时管理难度很大；
∙业务部门“各自为战”，可能会造成重复劳动增加企业成本、缺乏风险管理验的及时分享、对评估结果有较大分歧等问题；从而最终导致识别出的风险不能反映企业
真正面对的危险，也无法有效管理风险。

为什么选择自上而下
自上而下的方法一般包括以下步骤：
∙以研讨会的方式，由高管层和董事会根据企业战略目标识别出关键风险（通常为10～20个）；
∙根据关键风险点的重要和紧急程度，选取若干作为示范性风险（通常为3～5个）；
∙在高管层的参与下，由业务部门对示范性风险进行“深潜”，充分分析风险的成因、特性和发生后的结果，并制定风险应对措施；
∙在前一阶段工作的基础上，继续选取其他关键风险点执行“深潜”。

对风险的“深潜”简言之就是深入了解某一类重要风险，并进行风险识别和评估。

风险深潜是自上而下的方法中最重要的环节，也是整个全面风险管理项目中难度最大、对分析技术要求最高的环节，主要包括以下内容：
首先，确定风险承担人（或称风险所有人）。

一般为中层管理人员，并接受高管层的监督和指导。

其次，识别风险因素和风险事件。

风险承担人是风险识别的最佳人选。

风险识别需要通过大量的调研和讨论，以及行业比较和历史数据分析等才能完成。

由于大部分企业在风险识别方面缺乏经验，应当考虑聘请外部专家或行业顾问，并通过合作方式进行。

第三是风险评估和风险排序。

风险评估应将定性与定量方法相结合，并考虑风险之间的互相影响。

根据企业对风险发生反击力以及风险发生后对企业价值的影响程度，确定对各项风险的管理优先顺序。

第四是确定风险应对策略。

应当依据成本效益原则制定风险应对策略，关键是如何在风险与收益之间找到最佳平衡。

值得注意的是，风险应对策略需要与企业目标尤其是战略目标紧密联系。

两方面分析可见，自上而下的方法是一种“集中优势兵力，各个击破”的方法，可以较为快速地认定重大风险并制定应对策略。

高级管理层和董事会的积极参与，大大降低了自下而上方法初期所需的人力、财力投入，使风险管理项目围绕着企业战略逐步开展。

另外，还容易培养出一批熟悉项目管理和项目进展的企业内部人员。

而自下而上的方法可能存在识别风险不够全面的缺点。

尤其是对于规模庞大的国企集团，领导的不重视或者只“身入”而不“深入”，可能造成整个项目形式化，无法给企业带来真正价值。

无论自上而下还是自下而上都不是完美的方法，只有根据企业自身的特点进行选择才能扬长避短。

企业在选择时应考虑以下几项因素：企业的法人治理机构、风险管理和内部控制的基
础；企业文化建设；企业高管层对业务的熟悉程度；企业规模；企业具备的项目资源，包括项目预算、项目参与人员以及项目持续时间等。

对于国内大多数央企来说，与西方发达国家企业相比，其风险管理还处于试探性的初级阶段，员工对于公司战略的认同和理解也有待加强，因此我们认为在现阶段应当采用自上而下的方式，以相对较小的成本专注于战略相关的重要风险，并较快地积累风险管理经验，为全面风险管理的持续推进打好基础。