一、SOX薩班斯法案
2001年，由于安然、世通事件，美國(guó)500強(qiáng)中的前幾名公司一下子轟然倒塌，這使得全球的投資者對(duì)美國(guó)的資本市場(chǎng)都產(chǎn)生了懷疑，在這種情況下，美國(guó)以最快的速度、最堅(jiān)定的決心，開(kāi)始實(shí)施《公眾公司會(huì)計(jì)改革和投資者保護(hù)法》（以下簡(jiǎn)稱(chēng)《薩班斯法案》），因此，有人將實(shí)施《薩班斯法案》稱(chēng)作美國(guó)國(guó)家的救亡運(yùn)動(dòng)。
在美國(guó)這樣靠資本市場(chǎng)輸血來(lái)維持和發(fā)展經(jīng)濟(jì)的國(guó)家，財(cái)務(wù)做假、內(nèi)控不嚴(yán)格相當(dāng)嚴(yán)重，直接的影響就是使全球的投資者對(duì)美國(guó)資本市場(chǎng)失去信心，因此，美國(guó)出臺(tái)《薩班斯法案》，以一部法案將公司治理的風(fēng)險(xiǎn)轉(zhuǎn)嫁到上市公司的執(zhí)行經(jīng)理人身上，主要是公司的CEO、CFO，還有外部的中介機(jī)構(gòu)、會(huì)計(jì)師、律師等。可以說(shuō)這是美國(guó)政府的無(wú)奈之舉。

7月15日，在美國(guó)上市的中國(guó)公司開(kāi)始實(shí)施《薩班斯法案》，包括中國(guó)的四大基礎(chǔ)電信運(yùn)營(yíng)商在內(nèi)的幾十家中國(guó)公司面對(duì)內(nèi)控方面的巨大挑戰(zhàn)。

“實(shí)際上，普華永道、畢馬威、德勤、安永四大會(huì)計(jì)師事務(wù)所從兩年前就各自成立了幫助企業(yè)實(shí)施《薩班斯法案》的相關(guān)部門(mén)”，供職于四大會(huì)計(jì)師事務(wù)所的一位內(nèi)部人士說(shuō)。

何謂《薩班斯—奧克斯利法案》
簡(jiǎn)單地講，薩班斯法案是一部由美國(guó)頒布，涉及會(huì)計(jì)職業(yè)監(jiān)管、公司治理、證券市場(chǎng)監(jiān)管等方面改革的重要法律，包括在美國(guó)注冊(cè)上市公司和在外國(guó)注冊(cè)而于美國(guó)上市的公司，都必須遵守該法案。

《薩班斯—奧克斯利法案》的主要要求
法案共分為11個(gè)部分，由若干個(gè)獨(dú)立的章節(jié)組成。該法案主要強(qiáng)化了上市公司財(cái)務(wù)信息批露義務(wù)，加大了公司的財(cái)務(wù)報(bào)告責(zé)任；要求公司進(jìn)行管理體制的改革，建立有效的內(nèi)部控制體系；加重了違法行為的處罰措施，明確嚴(yán)重的違法所適用的刑法；強(qiáng)調(diào)并加強(qiáng)了審計(jì)委員會(huì)的角色和獨(dú)立性；提出了更多的關(guān)于審計(jì)師獨(dú)立性的約束。其中對(duì)有限公司有重大影響的主要是第302節(jié)、第906節(jié)和第404節(jié)。

1) 第302節(jié)
要求公司的CEO和CFO在財(cái)務(wù)報(bào)告上簽字，保證財(cái)務(wù)報(bào)告不存在重大錯(cuò)報(bào)、漏報(bào)，在所有重大方面公允地反映公司在該報(bào)告期末的財(cái)務(wù)狀況及該報(bào)告期內(nèi)的經(jīng)營(yíng)成果。同時(shí)要求CEO、CFO對(duì)相關(guān)批露的內(nèi)部控制有效性進(jìn)行評(píng)價(jià)。
2) 第906節(jié)
明確規(guī)定上市公司管理層對(duì)舞弊和欺詐負(fù)有刑事責(zé)任。
3) 第404節(jié)
404節(jié)核心內(nèi)容是嚴(yán)格界定了上市公司管理層對(duì)公司內(nèi)部控制需承擔(dān)的責(zé)任和義務(wù)。
a) 公司的年報(bào)中增加管理層關(guān)于公司內(nèi)部控制情況的報(bào)告。該報(bào)告包括：明確闡明公司管理層有責(zé)任建立和保持一套完整的與財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制系統(tǒng)和程序；管理層應(yīng)對(duì)財(cái)務(wù)年度期末與公司財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制系統(tǒng)及程序的有效性做出評(píng)價(jià)。公司全體管理層對(duì)報(bào)告負(fù)責(zé)。
b) 公司外部審計(jì)師對(duì)管理層的內(nèi)控報(bào)告出具鑒證報(bào)告。
薩班斯法案被認(rèn)為是美國(guó)自20世紀(jì)30年代頒布財(cái)務(wù)規(guī)則以來(lái)，最為嚴(yán)厲和企業(yè)必須遵守的財(cái)務(wù)法則。

薩班斯法案來(lái)了，中國(guó)企業(yè)如何應(yīng)對(duì)？
對(duì)于在美上市的中國(guó)企業(yè)來(lái)說(shuō)，一場(chǎng)殘酷的薩式考驗(yàn)正在逼近。該法案中的404條款，是薩班斯法案中最難操作、最復(fù)雜、耗費(fèi)成本最高的一個(gè)條款。條款規(guī)定，在美上市企業(yè)，要建立內(nèi)部控制體系，其中包括控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、控制活動(dòng)、信息溝通以及監(jiān)督5個(gè)部分。內(nèi)部控制活動(dòng)的記錄不僅要細(xì)化到像產(chǎn)品付款時(shí)間這樣的細(xì)節(jié)，而且對(duì)重大缺陷都要予以披露。

為應(yīng)對(duì)第404條款的要求，首先需要開(kāi)展與財(cái)務(wù)報(bào)表相關(guān)的公司內(nèi)部控制項(xiàng)目。

由于財(cái)務(wù)報(bào)告及其相關(guān)的內(nèi)部控制流程都依賴(lài)信息技術(shù)的重要支撐，因此需要加強(qiáng)相關(guān)的信息技術(shù)控制，以滿(mǎn)足第404條款的要求。特別是在業(yè)務(wù)流程高度依賴(lài)IT系統(tǒng)支撐的電信與金融行業(yè)，重視信息技術(shù)控制、完善信息技術(shù)控制對(duì)滿(mǎn)足監(jiān)管機(jī)構(gòu)要求和企業(yè)自身發(fā)展都至關(guān)重要。

要在短時(shí)間內(nèi)滿(mǎn)足審計(jì)要求，對(duì)企業(yè)而言是極大的挑戰(zhàn)。在開(kāi)展404合規(guī)性項(xiàng)目的實(shí)際過(guò)程中，也暴露出許多國(guó)內(nèi)企業(yè)共性的一些問(wèn)題：

一是普遍缺乏對(duì)信息系統(tǒng)從招投標(biāo)建設(shè)到上線實(shí)施再到驗(yàn)收之后的運(yùn)行維護(hù)的一整套成體系的IT管理制度。
二是員工的工作習(xí)慣問(wèn)題。由于普遍具有的國(guó)有背景的特點(diǎn)，長(zhǎng)期以來(lái)養(yǎng)成的工作習(xí)慣無(wú)法符合第404條款或是現(xiàn)代企業(yè)管理制度的要求。如有些系統(tǒng)維護(hù)人員在進(jìn)行系統(tǒng)檢查時(shí)發(fā)現(xiàn)了問(wèn)題，隨即進(jìn)行排查和解決，卻未留下任何的檢修記錄；如根據(jù)領(lǐng)導(dǎo)一個(gè)電話就為某位員工開(kāi)通某個(gè)系統(tǒng)權(quán)限等。而《薩班斯法案》要求所有的操作都遵循一定控制要求來(lái)執(zhí)行，所有的工作必須責(zé)任到人，對(duì)重要工作要留下相應(yīng)的痕跡。
三是系統(tǒng)普遍未達(dá)到第404條款的要求。出于對(duì)財(cái)務(wù)報(bào)表相關(guān)的披露信息的關(guān)注和重視，第404條款要求企業(yè)通過(guò)公司層面的監(jiān)督、信息與溝通、控制活動(dòng)、風(fēng)險(xiǎn)評(píng)估和控制環(huán)境控制，以及信息技術(shù)一般性控制層面和業(yè)務(wù)應(yīng)用層面的控制來(lái)確保構(gòu)成財(cái)務(wù)報(bào)表的信息系統(tǒng)源數(shù)據(jù)以及計(jì)算邏輯準(zhǔn)確和完整。而國(guó)內(nèi)企業(yè)的系統(tǒng)和流程都存在著不少的問(wèn)題，比如系統(tǒng)的密碼策略沒(méi)有固化、數(shù)據(jù)的備份策略不完整等。