中國上市公司遵循SOX404條款的影響和應對方法(下)

3.高昂的執行成本

正如前面提到過的，404法案的真正爭議點不在于它是否應該實施，而是如何在成本效益的前提下實施。許多企業對404條款的極端抵制情緒也來源于過高的初始執行成本。盡管延后施行，中國企業現在面臨的情況卻與2004年的美國企業一樣，甚至在實施難度上有過之而無不及。根據大多數美國企業適用404條款的情況，高昂的執行成本大致會來源于以下幾個方面：

⑴適應期成本

這部分的成本來源于企業為拉近原有的內控體系和404條款要求的差距所做出的努力，是初始執行成本產生的主要方面。在以往的實踐中，不管是公司內部審計人員還是外部審計師都會對公司內部控制情況進行一些方面和一定程度的評價，但是如404條款所要求的那樣在整個公司范圍內對與財務呈報相關的所有控制進行識別、備案、測試卻是前所未有的。對內部控制比較不規范的中國企業更是如此。拿銷售業務來說，公司必須從業務流程的起始開始，記錄和控制銷售合同的簽訂、訂單錄入、產品生產、發貨、收款、收入確認等一系列環節。處在基層的業務執行人員在這一過程中對控制工作負有責任，而他們中的許多不具備足夠的會計審計和內控知識。所以，不管對整個企業還是執行控制的個人，404條款的遵循是一個學習摸索的過程，過程本身需要耗費額外的人力、物力、財力。

⑵時間限制和外部費用

SOX法案早在2002年7月30日生效，404條款對海外公司的施行時間則被推遲到2006年7月15日后結束的財政年度，比美國大型企業晚了兩年。但鑒于中國企業內部控制薄弱，與美國公司已經較為完善的內部控制制度相比尚存在較大差距，給中國企業的準備時間并不寬裕。因而也存在時間限制造成的成本。由于時間緊迫，而404條款的相關規定又存在一些不清晰的地方，這給執行帶來困難。此時的企業比較現實的做法是尋求外部咨詢人員和顧問的幫助。在中國，具有經驗的404合規方面的專業服務還是比較有限的，大多數在美上市公司還是選擇四大會計師事務所，僧多粥少，必然導致顧問費用的上漲。同時，內控審計帶來更大的工作量導致審計費用也大幅上漲。在企業年度報表中，一般不會具體披露這一專項費用，但是FEI在2004年對美國企業的調查顯示，內控審計的費用比預想中高出40%，占進行內控審計之前一般審計費用的53%。

⑶規定的不清晰性造成的合規成本。

對于大多數執行404條款的美國公司來說，這一過程是伴隨著法規制度的不斷完善進行的。404條款的正式規定及其模糊，所以一開始公司參照COSO委員會的內部控制整體框架對內控進行完善和評價，而這時PCAOB的2號審計準則還在醞釀過程中。這時，不管是公司還是外部審計師對什么是合適的控制、什么是足夠的備案、何種程度屬于重大缺陷都沒有定論。整個2004年，SEC和PCAOB的相關規定一直在不斷出臺，企業就要不斷地據以調整，許多時候發現由于理解和規定的偏差，需要大量返工，這個過程耗費了大量資源。中國公司比較幸運的是避免了這一迷茫的時期，因為如今2號審計準則已經出臺，也有了大量美國企業的經驗和教訓。但是，一旦規定又有增減變動，這部分成本還是會產生的。因為據調查，很多企業仍不甚清楚如何執行404條款，認為條款的一些規定有待細化。對法案相關規定的調整預期還會繼續進行。

4.相關專業人才匱乏

這一點表現在內部專業人員匱乏和外部專業人員匱乏兩個方面。內部專業人員主要是指404項目組成員和內部審計人員。一般來說，這些人應該具備比較全面的會計審計知識，也有很多具有審計從業經驗。但是，他們在內控知識上可能不完備，需要進行專業培訓。不同于一些美國跨國企業的內部專業人員，這些人員往往是沒有經歷過404合規工作的，在這方面完全不能算專業，只能說比一般員工專業，而這是遠遠不夠的。外部專業人員是指外部審計師和顧問等。這些人員往往是在具有會計審計知識的基礎上具有一定內控方面的實際經驗，他們在404條款合規方面會比公司內部專業人員權威。但是，有兩點值得注意：首先，以往的404條款合規經驗通常來源于國外企業，他們的內部控制準備狀況和中國企業不大相同，另外中國企業具有許多中國特殊國情決定的特點，在合規工作過程中是需要考量并靈活變通的，在這點上，外部專業人員不一定比內部專業人員更勝任；第二，所謂專業人員也未必專業，只不過他們服務于專業機構罷了。當然，項目組的負責人是具備足夠的專業知識的，但實際執行內控審計的人員大部分都比較年輕，缺少專業經驗，再加之他們對企業業務流程的細節也不了解，就會造成外部審計師比公司內部人員還迷茫的情況。NASDAQ的調查報告顯示，公司普遍認為審計師不能稱為專家，只是“又多余、又昂貴的勞動力密集型作業”。70%的接受調查者認為，審計行業不具備培訓到位的員工來執行SOX404合規工作，61%的人認為外部審計人員并沒有足夠的資格評價他們的內控系統。雖然比較極端，但一定程度上反映了外部專業人員在執行404條款時也有一定局限。

五、中國企業如何遵循SOX404：結構化方法

以上我們了解了SOX404條款的規定和中國在美上市企業由此面臨的機遇和挑戰，可見，如何順利開展SOX404合規工作已經是迫待解決的問題。今年上半年，所有在美上市中國公司都將向SEC遞交符合404條款的表格。除了新浪、搜狐等少數在NASDAQ上市的中國公司已經提前達到過404條款的要求，對大多數中國公司，尤其是在紐約證券交易所上市的大型國企，這是第一次面臨404條款的真正考驗。迄今為止，24家在紐約證交所上市的中國公司中僅有4家遞交了內控報告?？梢灶A見，這一最初的嘗試不可能十全十美，而更多的中國企業能否在他們之后繼續登陸美國資本市場，就要看他們的執行情況。因此，404條款合規方面的實務指導非常必要。目前，國內關于內部控制的制定、實施、評價的理論研究已經十分深入和廣泛，但是卻很少有專門針對SOX404條款的實務方面的指導，將理論運用于實際尚有一定困難。以下文章的內容就試圖提出一個普遍的遵循方法。

選擇合適的內控框架

企業欲建立和評價自己的內部控制制度必須有一個參照標準，這個標準應是國際普遍認可的，方可達到完善、規范。國際上比較有名的內部控制框架有美國的COSO、加拿大的COCO、英國的Cadbury、國際內部審計師協會的SAC等。PCAOB于2004年推薦使用COSO框架，隨后獲得了SEC的批準。SEC的認可表明COSO框架已正式成為內部控制框架的標準。我國企業可以按照COSO框架建立企業內部控制制度，使單純的控制活動與企業環境、管理目標及控制風險相結合，形成一套不斷改進、自我完善的內部控制機制。

框架關于內部控制的定義

現行的COSO內部控制框架是指COSO委員會在1992年發布的內部控制——整體框架。其中，對內部控制的定義為：內部控制是由企業董事會、管理層和其他員工實施的，為營運的有效性和效率、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。2004年，COSO委員會進一步將內部控制的涵義拓寬為企業風險管理，但是企業風險管理整體框架實際上并沒有取代內部控制整體框架。所以本文對內部控制框架的選擇還是采用了后者，以符合現行規定。

框架的三個維度

COSO框架提出了內部控制制度的三維結構。第一維度是內部控制目標，即運營的有效性和效率、財務報告的可靠性、相關法令的遵循性。第二維度要求公司在部門單位層次和業務流層層次兩個層次上對內部控制進行評價。第三維度包含了內部控制的五大要素：控制環境、風險評估、控制活動、信息與溝通、監控。三個維度構成了內部控制整體框架，即要求對于給定目標，管理層必須在部門單位層次和業務流層層次對內部控制的五大要素進行評估。

3.理解內控框架的注意事項

①COSO對內部控制的定義是一個過程，而不是結果。過程與結果之間有一定的對應性，但是結果的失敗，比如產生了目標偏差，并不代表過程是有缺陷的，相反，結果達成了目標，也不代表控制過程是有效的。因此，公司應注意在評價內控有效性時，針對的是內控過程。

②內部控制系統是為基本的業務需求而存在的。COSO框架認為內部控制是內嵌在組織的業務流程之中的，而不是獨立的附加在公司已有系統之上的。

③內部控制制度的設立應是靈活的、可修改的。COSO框架并不是一個剛性的規定，它承認不同的組織可以根據自己的情況選擇不同的控制方法。此外，內控制度的設計應具有靈活性，始終保持其在動態環境下的有效性。

④內部控制提供的是合理的保證。COSO框架承認內部控制的局限性，即不論內控系統的設計和運行多么完善，亦只能提供合理范圍內的保證。內部控制失敗，并不意味著系統是失效的。這在內部控制報告中有所體現。

⑤內部控制框架各要素之間并非簡單的線性連續關系。內部控制框架的5要素之間相互聯結、協同作用、相互影響，構成一個對環境動態反應的有機整體。

(二)識別關鍵控制

管理層對內部控制有效性的評價是基于整體內部控制，而不是個別控制或控制環節?？刂频母鱾€組成部分如前所述，是相互聯系、交互作用的，但其中一些控制對整體控制的有效性具有主導作用，這就意味著我們在評價內控有效性的時候應該著眼于關鍵控制。因而，企業應先識別出關鍵控制。

關鍵控制同時存在于公司層面和流程層面，以下我們分別來說明：

1.公司層面關鍵控制的識別

公司層面的控制構成控制體系的基本構架，是更宏觀的控制，對于流程層面控制的設計和實施都會產生比較深遠的影響。根據大多數企業的情況，我們認為以下的公司層面控制一般屬于關鍵控制：①公司文化②人事政策③計算機一般控制④組織目標和控制結構的對應⑤風險識別⑥反欺詐政策⑦財務報告流程⑧系統范圍的監控。

2.流程層面關鍵控制的識別

404條款要求評價的是財務呈報內部控制，因此我們在決定關鍵控制時就要考慮該項控制對財務報告的影響。關鍵控制應是指那些對重要財務報告會計科目余額和披露有重大影響的控制。我們可以先閱讀一下財務報告，分析關鍵的財務報告要素，再從每個關鍵財務報告要素出發，尋找對應的關鍵控制流程。

對財務報告要素進行優先排序時應首先考慮其相對財務報告的重要性水平以及錯報的可能性。除此以外還要考慮下列其他因素:①會計準則的復雜程度；②重要會計估計方法的主觀性和可靠性;③企業業務變更的程度以及其對內部控制的預期影響;④財務報表中存在潛在重大錯誤或遺漏之外的風險，例如非法行為、利益沖突、管理層未經公司授權使用公司資產等;⑤公司曾經出現過的或行業內普遍存在的問題報表項目，例如收益確認、儲備計算等;⑥管理層是否要求記錄那些與一般不會出現重大錯報且可以被合理預測的會計科目相關的流程，例如，對大多數公司來說，工資是可以合理預測的，但其在銷售成本和一般管理費用中占有較大的比重，因此，鑒于對有關工資的活動進行管理和控制的需要，管理層或許會要求記錄與工資相關的流程及內控。

主要財務報告要素確認后，對其有重大影響的即為關鍵控制，可采用下面兩種方法加以確認：

第一種方法是，針對可能會對關鍵財務報告要素產生重大影響的交易和相關控制系統，梳理其交易流程，確認關鍵控制。這可以通過將業務和相關控制系統分割成數量有限但相互聯系的交易流程來實現，該交易流程是機構進行交易時所發生的主要的同類經濟事項。收益、采購、薪金、換算、財政和財務報告均屬于這種交易流程。

第二種方法是，將業務分割成其實際的流程。理想的情況是先系統分類流程，而不是為應付考核而選擇性的梳理流程。業務被分割成不同流程后，項目小組再確認關鍵流程，以審核相關風險和內部控制。關鍵流程的確認須根據它對財務報告(或者業務)的重要性、出現內控缺陷或者流程發生問題的可能性來進行。這樣，關鍵流程便與主要會計科目及披露事項聯系起來，從而建立其與財務報告的相關性。

(三)形成文檔記錄

找出關鍵控制后，應該進行針對所有關鍵控制的文檔記錄。文檔記錄能夠增強內部控制可靠性，支持內控系統監督，評價內控設計和執行的效果，同時又為PCAOB的2號審計準則所強制規定，是404條款執行中的重要環節，同時也是成本大項。這一階段的工作主要是檢查現有文檔是否完善，并補充缺失的文檔，為內部控制有效性的評價做準備，其工作流程如圖5-2所示。

控制文檔應包括與關鍵控制目標對應的控制政策和措施、可追溯至重大錯報源頭的業務流程描述、控制措施的負責人和執行方法。

控制文檔亦包括公司層面和業務流程層面。公司層面的關鍵控制文檔包括公司治理文檔、人力資源政策文檔和員工手冊、財務政策手冊等。業務流程層面的關鍵控制文檔包括流程圖、流程每個環節的文檔、每個環節的風險及補救措施等。在準備業務流程層面的控制文檔時，我們應該以有效掌握業務流程的全貌為原則，從關鍵帳戶開始，追溯信息的流動，直到信息產生的源頭，其中所有引起信息的處理和變動的文檔都是關鍵文檔。

測試和評價公司層面的控制

建立了內控制度后，按照404條款的規定，公司還要進行內部控制的測試和評價。在進行控制測試的時候，對公司層面的評價應該盡早進行。如果公司層面的控制存在重大問題，那么這些問題應首先被發現并更正。如果公司層面的控制很強，可以降低對流程控制的依賴性，也可以降低測試要求。如果公司層面的控制較弱，外部審計師可以對是否存在較強的公司層面的控制做出“合格/不合格”或者“通過/不通過”的決定。較弱的公司層面控制將會造成對流程控制的依賴性以及測試要求的提高。公司層面的評估可以被細分為4個步驟進行：

1.測試公司層面關鍵控制

在前面的步驟中，我們先識別出了公司層面的關鍵控制，之后又據以準備了控制文檔，接下來要做的事就是測試這些關鍵控制的有效性。對公司層面關鍵控制的測試手段會比較特別，因為公司層面的控制對財務報告的影響是非線性的、間接的，這就意味著不能像面向交易的業務層面控制一樣通過可量化的方法來測試。一些常用的測試方法包括員工問卷調查、管理層問答、計算機一般控制、文檔回顧。針對不同的關鍵控制應該使用不同的測試手段，如表5-1所示。

2.評價公司層面關鍵控制

不論以何種方式評估公司層面控制，其目標都是記錄那些現實存在的公司層面的控制。需要注意的是，對公司層面控制是否有效的評估基于管理層的判斷，是比較主觀性的，但是管理層應該清楚地認識到控制是作為一個整體來評估的，個別部分未達到最高可靠性不必然影響控制整體的可靠性，并且控制提供的是合理范圍而非絕對的保證。

3.收集支持性證據

項目組應該將所進行的測試和結果做出證據予以保存，這一方面是公司評估控制有效性工作的一部分，也是對外部審計師內控審計的配合。外部審計師將據以評判公司的評估過程，并通過部分采用公司測試的結果來減少他們自己的工作量。

4.與外部審計師進行溝通

公司層面的審核完成后，管理層應該與外部審計師一起對總體結論、有關支持性證據以及對流程層面的控制評估造成的影響進行審核。管理層與外部審計師定期就檢查結果進行交流可防止日后出現意想不到的情況。

測試和評價流層層面的控制

1.尋找關鍵流程的關鍵控制點，評價控制設計有效性

在第二步中，項目組已經找出了流程層面的關鍵控制，下一步就是與關鍵流程負責人共同確認流程中的關鍵控制點。確認關鍵控制點時，項目組要逐一選擇與風險相關的重要控制活動。在流程圖中尋找關鍵控制點時，應與流程負責人一并分析有關流程。在對風險和控制點進行記錄后，項目小組要評估有關控制是否按照其設計意圖，確保已將風險降低到可接受的水平，即合理保證重要的財務錯報能夠被預防或及時發現。如果存在重大的設計缺陷，則需要在檢測運行有效性之前予以改進。

2.評價控制運行有效性

對控制運行有效性的測試應該能夠讓測試人員了解控制程序、控制執行人、控制的連貫性。有效性測試有以下幾種：①員工問答，員工問答的目的是確認測試人員對控制設計的理解并識別未按照設計進行控制的事項；②基于業務的測試，這類測試中測試人員通過檢查第三步形成的文檔來確認控制是否按規定運行，并可以重新運行這部分流程來確認控制運行的有效性；③對照調節表，這種測試和審計師審計銀行存款余額調節表很類似，就是看是否定期對照，偏差是否及時解決；④觀察測試，對于不經常發生的控制活動如實物盤點，觀察也是一種測試方法，但有時需要其它測試的補充才能保證嚴密性。

3.基于測試結果評價控制

如果測試的結果顯示控制程序按照規定進行且沒有缺陷，那么我們可以得出結論認為流層層面的控制是有效的，如果測試結果顯示控制的設計或運行有效性存在缺陷，那么公司應該對流層層面控制有效性進行判斷。同樣應該注意，所謂控制的有效性是就整個控制體系而言，我們在評價流層層面的控制時應該看它是否保證信息在處理過程中沒有失真，而不是看單一控制環節執行成功與否。

4.搜集支持性證據和與外部審計師定期溝通

搜集支持性證據的必要性如前面公司層面控制測試中所述。另外，由于404條款規定外部審計師要對企業內部控制自評過程和結果進行評價，因此公司在進行流程層面控制有效性的測試時應考慮外部審計師的意見。如果外部審計師認為測試不足以證明管理層對內控有效性的結論，公司就會被要求進行額外的測試，因此公司在測試開始之前就應該就測試方案與審計師達成共識，而測試過程中也應定期與審計師討論進展情況。

六、中國網通對結構化方法的運用

中國網通是一家在香港和紐約兩地上市的中國企業，雖然其業務實體均在國內，但是根據SOX法案的要求，亦應在2006年7月15日后結束的財政年度達到SOX法案對內部控制的要求。因此在2004年11月首次境外IPO的前夕，中國網通便著手開始404條款合規的準備工作。截至今日，中國網通已經向SEC遞交了2006年度6-K表格，其20-F表格預期將于2007年6月提交。中國網通加強內部控制建設的“COSO內控項目”主要經歷了四個主要階段。這幾個階段與前述的結構化方法有一定的對應性，可以看作是該方法在國內運用的一個例證。

第一階段是調研和計劃階段，包括了以下兩個子階段：

1.了解中國網通的構架和業務，建立內控項目組織機構

根據中國網通的架構和業務，成立內控項目組織機構。設立由公司總經理領導的內控項目領導小組，下設財務總監領導的內控項目工作組。內控項目工作組下設內控項目辦公室，PMO下設公司層面控制組和專業工作組。專業工作組分為財務、市場、計費、網絡運營、采購、人力資源、資產、IT共８個小組。其中公司層面控制組的目標是確保內控機制的有效運行，專業工作組則致力于保證財務報告真實可靠。這是應對404條款的基礎準備階段，亦可稱為組織準備。在結構化方法中，我們并未將其單獨列為一個步驟，主要是因為這個步驟不牽涉內部控制制度建立和評價的技術方面，且比較簡單，只需注意分析企業的構架和業務分支，對項目組進行合理安排。但是應該注意，這一階段是每個公司遵循404條款的必經階段，不容忽視。

２.進行風險評估，確定項目的范圍和計劃

這一階段主要是梳理會計政策、業務流程，從而揭示風險并定義關鍵控制流程。首先，公司著力建立符合境外會計準則的內控體系。過去的中國網通一直按照中國的會計法、會計準則和會計制度建立內控體系，這與美國準則存在差異，需要進行調整。這部分工作對應了結構性方法中的第一部分，即選擇合適的內控框架。COSO框架是SEC和PCAOB均認可的內控體系框架，中國網通選擇的即是該框架。其次，對流程進行說明，確定關鍵控制流程。公司規定對每一項經濟業務的初始點到終點的環節做出描述，并將相關環節串起來形成流程關系，然后找出重要的業務活動作為關鍵流程。通過揭示風險，梳理業務流程，再經過專家和網通總部各部門共同認定，確定列入內控范圍的流程。這部分工作對應的是結構性方法中的第二部分，即識別關鍵控制。中國網通在確認關鍵控制的時候是采取了第二種方法，即先分割流程，然后確認關鍵流程。

第二階段是內控體系設計階段。具體指制定流程層面的內控文檔并對內控設計的缺陷提出改進建議，同時根據內控文檔制作內控標準模版。中國網通對每一個流程按照流程圖、流程描述、風險描述及控制文檔三個構成要素形成文檔記錄。流程圖描述了每個業務的流程關系和從起點到終點設置的全部崗位，并表明哪一個環節是風險控制點；流程描述，即結構化方法部分所指的流程每個環節的文檔，包括對每個環節的任務，如做什么、怎么做、控制人、完成時間等進行描述；風險描述及控制文檔中應包括風險補救措施。這些正是結構化方法中形成文檔記錄階段所要完成的工作。

第三階段是整體推廣階段。中國網通將內控模版在現有上市實體中進行推廣，規定內控推廣需完成的工作成果應包括：流程描述、流程圖、穿行測試文檔索引、穿行測試文檔、電子表格控制表、控制矩陣、內控管理問題匯總表、內控管理建議書。這部分內容實際是規定了公司執行404條款過程中所需完成的關于內控體系建立、測試和評價的全部文檔。因此與結構化方法的第三、四、五部分對應，屬于對支持性證據的要求。

第四階段是符合性測試及改善階段。中國網通對404項目范圍內的省市公司進行兩輪合規測試，對于內控缺陷進行整改。首先分流程組檢查各分公司文檔的更新情況，根據更新后的文檔制作本地化測試底稿。第二步了解本地控制活動的執行狀況，檢查標準測試方法的可行性，確定樣本量。第三步確定需測試的控制活動和控制文檔。第四步測試并匯總結果。第五步對控制缺陷進行整改，使通過整改的內控系統滿足404條款的要求。這實際對應了公司層面和流層層面的測試和評價。其中對控制缺陷的整改亦是內部控制評估的必然結果，在實務工作中基于自評估和內控審計結果進行，也包含在結構化方法的框架中。

總之，對于中國網通等在美上市中國企業來說，其管理水平大多處于從傳統科學管理向現代企業管理過渡的階段，內部控制制度才剛剛走向規范化，距離一些美國本土企業的成熟做法和成果還有很多缺陷和不足，但是按照SOX法案的強制監管要求建立完善企業內控制度是一個良好的契機和重要突破口。雖然本文所提出的結構化方法比較新，并且在實