一、SOX薩班斯法案
2001年，由于安然、世通事件，美國500強中的前幾名公司一下子轟然倒塌，這使得全球的投資者對美國的資本市場都產生了懷疑，在這種情況下，美國以最快的速度、最堅定的決心，開始實施《公眾公司會計改革和投資者保護法》（以下簡稱《薩班斯法案》），因此，有人將實施《薩班斯法案》稱作美國國家的救亡運動。
在美國這樣靠資本市場輸血來維持和發展經濟的國家，財務做假、內控不嚴格相當嚴重，直接的影響就是使全球的投資者對美國資本市場失去信心，因此，美國出臺《薩班斯法案》，以一部法案將公司治理的風險轉嫁到上市公司的執行經理人身上，主要是公司的CEO、CFO，還有外部的中介機構、會計師、律師等?？梢哉f這是美國政府的無奈之舉。

7月15日，在美國上市的中國公司開始實施《薩班斯法案》，包括中國的四大基礎電信運營商在內的幾十家中國公司面對內控方面的巨大挑戰。

“實際上，普華永道、畢馬威、德勤、安永四大會計師事務所從兩年前就各自成立了幫助企業實施《薩班斯法案》的相關部門”，供職于四大會計師事務所的一位內部人士說。

何謂《薩班斯—奧克斯利法案》
簡單地講，薩班斯法案是一部由美國頒布，涉及會計職業監管、公司治理、證券市場監管等方面改革的重要法律，包括在美國注冊上市公司和在外國注冊而于美國上市的公司，都必須遵守該法案。

《薩班斯—奧克斯利法案》的主要要求
法案共分為11個部分，由若干個獨立的章節組成。該法案主要強化了上市公司財務信息批露義務，加大了公司的財務報告責任；要求公司進行管理體制的改革，建立有效的內部控制體系；加重了違法行為的處罰措施，明確嚴重的違法所適用的刑法；強調并加強了審計委員會的角色和獨立性；提出了更多的關于審計師獨立性的約束。其中對有限公司有重大影響的主要是第302節、第906節和第404節。

1) 第302節
要求公司的CEO和CFO在財務報告上簽字，保證財務報告不存在重大錯報、漏報，在所有重大方面公允地反映公司在該報告期末的財務狀況及該報告期內的經營成果。同時要求CEO、CFO對相關批露的內部控制有效性進行評價。
2) 第906節
明確規定上市公司管理層對舞弊和欺詐負有刑事責任。
3) 第404節
404節核心內容是嚴格界定了上市公司管理層對公司內部控制需承擔的責任和義務。
a) 公司的年報中增加管理層關于公司內部控制情況的報告。該報告包括：明確闡明公司管理層有責任建立和保持一套完整的與財務報告相關的內部控制系統和程序；管理層應對財務年度期末與公司財務報告相關的內部控制系統及程序的有效性做出評價。公司全體管理層對報告負責。
b) 公司外部審計師對管理層的內控報告出具鑒證報告。
薩班斯法案被認為是美國自20世紀30年代頒布財務規則以來，最為嚴厲和企業必須遵守的財務法則。

薩班斯法案來了，中國企業如何應對？
對于在美上市的中國企業來說，一場殘酷的薩式考驗正在逼近。該法案中的404條款，是薩班斯法案中最難操作、最復雜、耗費成本最高的一個條款。條款規定，在美上市企業，要建立內部控制體系，其中包括控制環境、風險評估、控制活動、信息溝通以及監督5個部分。內部控制活動的記錄不僅要細化到像產品付款時間這樣的細節，而且對重大缺陷都要予以披露。

為應對第404條款的要求，首先需要開展與財務報表相關的公司內部控制項目。

由于財務報告及其相關的內部控制流程都依賴信息技術的重要支撐，因此需要加強相關的信息技術控制，以滿足第404條款的要求。特別是在業務流程高度依賴IT系統支撐的電信與金融行業，重視信息技術控制、完善信息技術控制對滿足監管機構要求和企業自身發展都至關重要。

要在短時間內滿足審計要求，對企業而言是極大的挑戰。在開展404合規性項目的實際過程中，也暴露出許多國內企業共性的一些問題：

一是普遍缺乏對信息系統從招投標建設到上線實施再到驗收之后的運行維護的一整套成體系的IT管理制度。
二是員工的工作習慣問題。由于普遍具有的國有背景的特點，長期以來養成的工作習慣無法符合第404條款或是現代企業管理制度的要求。如有些系統維護人員在進行系統檢查時發現了問題，隨即進行排查和解決，卻未留下任何的檢修記錄；如根據領導一個電話就為某位員工開通某個系統權限等。而《薩班斯法案》要求所有的操作都遵循一定控制要求來執行，所有的工作必須責任到人，對重要工作要留下相應的痕跡。
三是系統普遍未達到第404條款的要求。出于對財務報表相關的披露信息的關注和重視，第404條款要求企業通過公司層面的監督、信息與溝通、控制活動、風險評估和控制環境控制，以及信息技術一般性控制層面和業務應用層面的控制來確保構成財務報表的信息系統源數據以及計算邏輯準確和完整。而國內企業的系統和流程都存在著不少的問題，比如系統的密碼策略沒有固化、數據的備份策略不完整等。