淺談SOX法案遵循與IT治理

【摘要】 隨著薩班斯（SOX）法案內控審計要求的出臺，提升了IT控制在企業內部控制中的重要性，法案第404條款的合規性實踐，展示了改善IT治理和判斷IT治理成效的一種有效方法。由此產生的方法論和合規性實踐，對IT治理的理論發展和實踐很有借鑒意義。

【關鍵詞】 薩班斯法案 404條款 內部控制 IT治理

一、SOX法案的緣起及主要要求

2001年底，美國最大的能源交易商——安然公司財務造假案爆發并申請破產，震驚世界。其外部審計師——原五大會計師事務所之一的安達信會計師事務所也因審計失敗和妨礙司法遭到倒閉的命運。事件的硝煙還未散盡之時，又接連爆發了施樂、世通等大公司的財務造假案。全球互聯網泡沫破滅的影響加上這一系列的財務丑聞產生了多米諾骨牌效應，一時引發人們對美國資本市場的信任危機。于是，在各方的敦促之下，美國國會參眾兩院加快了立法進程，力圖彌補美國資本市場存在的制度性缺陷。2002年7月25日，美國國會討論通過了《2002年公眾公司會計改革和投資者保護法案》，即《2002年薩班斯—奧克斯利法案》（Sarbanes-Oxley法案，簡稱薩班斯法案或SOX法案）。2002年7月30日經美國總統布什簽署，正式生效。

簡單地講，薩班斯法案是一部由美國頒布，涉及會計職業監管、公司治理、證券市場監管等方面改革的重要法律，包括在美國注冊上市公司和在外國注冊而于美國上市的公司，都必須遵守該法案。

美國出臺薩班斯法案，以一部法案將公司治理的風險轉嫁到上市公司的執行經理人身上，主要是公司的首席執行官（CEO）、首席財務官（CFO），還有外部的中介機構、會計師、律師等。

《SOX法案》的主要要求：

法案共分為11個部分，由若干個獨立的章節組成。該法案主要強化了上市公司財務信息批露義務，加大了公司的財務報告責任；要求公司進行管理體制的改革，建立有效的內部控制體系；加重了違法行為的處罰措施，明確嚴重的違法所適用的刑法；強調并加強了審計委員會的角色和獨立性；提出了更多的關于審計師獨立性的約束。其中對上市公司有重大影響的主要是第302節、第906節和第404節。

1）第302節

要求公司的CEO和CFO在財務報告上簽字，保證財務報告不存在重大錯報、漏報，在所有重大方面公允地反映公司在該報告期末的財務狀況及該報告期內的經營成果。同時要求CEO、CFO對相關批露的內部控制有效性進行評價。

2）第906節

明確規定上市公司管理層對舞弊和欺詐負有刑事責任。

3）第404節

404節核心內容是嚴格界定了上市公司管理層對公司內部控制需承擔的責任和義務。

A.公司的年報中增加管理層關于公司內部控制情況的報告。該報告包括：明確闡明公司管理層有責任建立和保持一套完整的與財務報告相關的內部控制系統和程序；管理層應對財務年度期末與公司財務報告相關的內部控制系統及程序的有效性做出評價。公司全體管理層對報告負責。

B.公司外部審計師對管理層的內控報告出具鑒證報告。

薩班斯法案被認為是美國自20世紀30年代頒布財務規則以來，最為嚴厲和企業必須遵守的財務法則。顯然，404條款對公司內部控制情況作出嚴厲要求是為了使公眾更易于察覺到公司的欺詐行為，并確保公司財務報告的可靠性。

二、SOX遵循與IT治理

SOX法案的出臺，對企業的公司治理、IT治理及IT內控提出了更嚴格的要求。SOX法案的本質是要求公司完善治理結構和內部控制框架，以實現公司運營過程中全方位的風險管理。

根據SOX法案的規定，在美上市企業必須建立內部控制體系，包括控制環境、風險評估、控制活動、信息溝通和監督五個部分。內部控制活動的記錄不僅要細化到諸如產品付款時間之類的細節，而且對重大缺陷都必須予以披露。法案中最嚴苛、最復雜的404條款明確規定了管理層應承擔設立和維持一個應有的內部控制結構的職責。

同時，薩班斯法案增加了審計師對信息系統的審計，要求審計師必須了解業務如何穿過系統，而不是繞過系統。審計師必須了解業務流程，評價IT應用控制與一般控制的設計及效果。評價IT控制設計效果，確定這些控制設計是否適當地實現相關目標。實施IT控制執行效果測試。

因此，薩班斯302、404以及409等條款對公司的要求，使得IT治理在公司治理中的作用日益凸現。目前越來越多的企業依靠信息系統支撐業務運作，沒有相應IT治理機制的公司治理，是無法滿足薩班斯的嚴格要求的。比如花旗銀行等美國大金融企業已經引進或正在引進IT治理機制。

如圖1所示，說明了SOX要求下，建立內部控制體系，IT治理與SOX審計的關系：

SOX要求：所有對財務報告有影響的人員操作、IT系統操作都應有明確的定義，并對這些定義進行記錄，同時對這些操作要有過程審計記錄（操作過程包括：事前、事中、事后）。整個企業內控涉及三個范疇：建立內控體系（人和系統）、加強IT內控（過程審計）、優化財務流程和財務應用系統。從這三個范疇的焦點可以看出，三個范疇都與IT系統和操作流程有關。因此在符合SOX要求的企業內部控制過程中，IT控制成為企業內部控制的重要組成部分。

三、IT治理途徑：選擇合適的內控框架并實施

企業欲建立和評價自己的內部控制制度必須有一個參照標準，這個標準應是國際普遍認可的，方可達到完善和規范。法案并沒有規定公司必須選擇什么樣的內控框架，需要企業自己抉擇。

國際上比較有名的內部控制框架有美國的COSO、加拿大的COCO、英國的Cadbury、國際內部審計師協會的SAC等，它們從不同的角度剖析公司的經營管理活動，為營造良好的內控框架提供了一系列趨于一致的政策和建議。PCAOB（PublicCompanyAccountingOversightBoard，美國公眾公司會計監督委員會）于2004年推薦使用COSO框架，隨后獲得了SEC（SecuritiesandExchangeCommission，美國證券交易委員會）的批準。COSO框架得到了包括SEC、公司管理者、投資者、債權人及專家學者的普遍認可，國內外許多公司都依據這個框架建立了內控系統。筆者公司的內部控制也使用的是該框架。

下面簡要介紹一下有關COSO框架的內容及其理解要點：

4.1 COSO框架關于內部控制的定義

現行的COSO內部控制框架是指COSO委員會在1992年發布的內部控制——整體框架。其中，對內部控制的定義為：內部控制是由企業董事會、管理層和其他員工實施的，為營運的有效性和效率、財務報告的可靠性、相關法令的遵循性等目標的達成而提供合理保證的過程。2004年，COSO委員會進一步將內部控制的涵義拓寬為企業風險管理，但是企業風險管理整體框架實際上并沒有取代內部控制整體框架。

4.2 COSO框架的三個維度

COSO框架提出了內部控制制度的三維結構（見圖2）。第一維度是內部控制目標，即運營的有效性和效率、財務報告的可靠性、相關法令的遵循性。第二維度要求公司在部門單位層次和業務流層層次兩個層次上對內部控制進行評價。第三維度包含了內部控制的五大要素：控制環境、風險評估、控制活動、信息與溝通、監控。三個維度構成了內部控制整體框架，即要求對于給定目標（如財務報告可靠性），管理層必須在部門單位層次和業務流層層次對內部控制的五大要素進行評估。

4.3理解COSO內控框架的要點

A.COSO對內部控制的定義是一個過程，而不是結果。過程與結果之間有一定的對應性，但是結果的失敗，比如產生了目標偏差，并不代表過程是有缺陷的，相反，結果達成了目標，也不代表控制過程是有效的。因此，公司應注意在評價內控有效性時，針對的是內控過程。

B.內部控制系統是為基本的業務需求而存在的。COSO框架認為內部控制是內嵌在組織的業務流程之中的，而不是獨立的附加在公司已有系統之上的。

C.內部控制制度的設立應是靈活的、可修改的。COSO框架并不是一個剛性的規定，它承認不同的組織可以根據自己的情況選擇不同的控制方法。此外，內控制度的設計應具有靈活性，始終保持其在動態環境下的有效性。

D.內部控制提供的是合理的保證。COSO框架承認內部控制的局限性，即不論內控系統的設計和運行多么完善，亦只能提供合理范圍內的保證。內部控制失敗（內控目標未能實現），并不意味著系統是失效的。

E.內部控制框架各要素之間并非簡單的線性連續關系。內部控制框架的5要素之間相互聯結、協同作用、相互影響，構成一個對環境動態反應的有機整體。

四、本單位SOX遵循與IT治理的做法和體會

按照SOX法案的相關要求，為應對SOX審計，國內通信運營商至少要滿足以下基本條件：

首先，在公司治理方面，上市公司必須建立獨立的審計委員會；其次，針對302條款，公司管理層應該設計所需的內部控制；第三，針對404條款，公司管理層應該有保證內部控制系統及相應控制程序充分有效的責任；第四，在審計方面，增加審計師對信息系統的審計，要求審計師必須了解業務系統的運作。

本單位作為國內著名的移動通信運營商，從2006年開始了SOX遵循與IT治理工作，并連續8年順利通過SOX審計。以下是我們對SOX遵循與IT治理的一些做法和體會，與大家分享：

4.1領導重視，全員參與，建立和不斷強化SOX遵循觀念

SOX法案在強化管理層對內部控制的責任方面，強調了上層管理人員的重視與從上到下主導式的建立方式，這在很大程度上保證了內部控制工作的開展和落到實處。然而法案遵循是涉及到企業各個經營方面、各個環節、各個流程、各個崗位的，內部控制的對象可以是財務資源、人力資源、信息資源、客戶關系資源等。法案遵循不是一朝一夕之事，只有全員參與，多方配合，建立覆蓋公司全部業務和運作流程的控制系統，確保所有員工理解和執行相關制度，切實履行職責，才能真正建立完善有效的內部控制體系。通過宣貫，我公司各級員工充分認識到了這一點，將SOX遵循工作常態化，并不定期舉辦SOX培訓或講座，不斷強化SOX遵循觀念。

4.2制定內部控制制度和相關實施細則

內部控制是一個過程，它包括一整套制度和一系列行為以及相應實施的各種管理活動。幾年來，公司以SEC相關監管要求和COSO內部控制框架為基礎，按照集團公司的統一部署，從控制環境、風險評估、控制活動、信息和溝通、監控五個方面進行設計、執行和評價，制定了本公司的《內部控制手冊》、《內部控制矩陣》、《內部控制手冊和矩陣維護管理辦法》、《SOX內控小組工作制度》等制度和相關實施細則。指定了各業務流程責任人進行職責分工，且不相容職責不得由同一人兼任，并通過組織內控自我評估（集團內部審計）和獨立評估（聘請外部審計），促進內控設計及執行完善。

4.3引入內部控制體系并建立內控管理信息系統

SOX法案要求企業的內控活動，不論是人還是信息系統的操作流程，都必須明白地定義并保存相關記錄，對審計過程也有存檔的要求。這就需要完善IT治理機制，進行IT內部控制和信息系統審計。為此，我們引入了內部控制體系，將COSO框架與ITIL標準結合，并遵循ISO27001要求，先后建立并完善了一套內控管理信息系統，包括公司財務系統、公司OA系統、各部門“工作流程管理系統”、生產處理監控系統等。該體系能夠創建和記錄企業內部業務流程，使公司的CEO、CFO、員工和審計人員能夠實時識別、分配、測試并監視內部控制與流程，確保業務流程根據內控標準執行。一旦系統發現任何違規行為，將向適當人員自動報警。公司不僅連續5年順利通過SOX審計，而且還取得了CMMI（CapabilityMaturityModelIntegration，能力成熟度模型集成）3級認證。

4.4常態化SOX遵循工作，定期檢測控制活動的有效性

根據SOX法案第404條款的要求，管理層必須每年對這些控制點進行測試和評估，對測試得出的控制缺陷，則需要增設補救和改進措施，并再次測試。如果在規定的期限內，控制缺陷還是不能得到改正，外部審計師將根據情況，針對控制缺陷和程度發表審計意見。

在內部控制體系建設中，對控制活動進行定期測試是非常重要的一環。我們將SOX遵循工作常態化，根據控制活動發生的頻率，決定樣本的大小，一般分為每月或每季度（半年）樣本，定期專人對樣本按照設計的測試步驟進行測試——獨立于每年2次（年中、年底）的內外部審計，實際上我們每個月都在做這樣的檢測。任何被檢測出的缺陷，都在規定的期限前改正和接受再測試。因此，每年我們在接受正式的內外部SOX審計的時候其實是充滿信心的，因為對這些控制活動的檢測，我們之前每個月都已經做過，所以通過審計也就成為水到渠成的事情了！

五、結束語

隨著薩班斯法案內控審計要求的出臺，提升了IT控制在企業內部控制中的重要性。特別是電信企業對IT的依賴性非常大，利用IT技術加強內部控制，建立有效的內部控制體系成為薩班斯遵循的必然要求。SEC對COSO框架的認可表明其已正式成為內部控制框架的標準。企業依據COSO框架建立的內部控制體系，通過引入COSO內控要素，形成一個相互聯系、綜合作用的控制整體，使單純的控制活動與企業環境、管理目標及控制風險相結合，形成一套不斷改進、自我完善的內控機制。SOX遵循需要IT治理，IT治理是實現公司治理的重要工具。

本人聯系方式：

梁明煌

廣東省深圳市福田區濱河大道9023號國通大廈10樓 中國移動（深圳）有限公司（郵編518000）

手機： 13823389166

Email： liangmh@chinamobilesz.com

作者簡介：

梁明煌：計算機軟件學士，高級工程師，PMP，信息系統項目管理師，MCSE，MCSD，MCDBA，QC診斷師。目前主要從事移動互聯網交易業務系統規劃及SOX內控與審計等方面的工作。

參 考 文 獻

[1]NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002， April 13， 2005.

[2]劉迎賓.“薩班斯法案”對在美國上市的中國企業影響分析.經濟師.2006年第2期.

[3]李傳濤. 電信業的應對薩班斯法案路徑分析. 通信產業報. 2006.07.

[4]胡敏. IT如何滿足SOX法案的合規要求. 賽迪網-中國計算機用戶. 2005.11.

[5]朱恩良. SOX法案促進IT治理的完善. IT商業新聞網. 2009.02.

[6]Chenxihui. 遵循SOX法案中的IT系統和IT審計.中國內部審計. 2008年第五期.