2006年1月17日，中國內部審計協會在京舉辦《如何成功通過〈薩班斯法案〉404條款內部控制測評》專題報告會。該報告會由美國“SOX法案自動化公司”的創(chuàng)辦人及總裁林鄭麗慧女士（Gladys Lam）主講，她還帶來了來自普華永道會計公司負責系統(tǒng)與流程管理的合伙人鄧誠豐先生（Stephen J Ducker）和德勤華永會計公司的負責企業(yè)風險管理服務的合伙人趙善強先生（Eddie Chiu）等人組成的專家團隊。來自北京、天津、山東、浙江、黑龍江等7個省市的近百家企事業(yè)單位和科研院校的300多名內部審計人員、內部控制專家、學者、教授和IT技術專家參加了該專題報告會。

　　此次專題報告會的主要內容包括《薩班斯—奧克斯利法案》（簡稱“SOX法案”）簡介、實施指南、關鍵步驟以及實施“SOX法案”404條款內部控制測評的解決方案和措施。林鄭麗慧女士及其專家團隊還現場解答了與會者提問的一些問題，他們對在美國上市的中國公司的建議如下：

　　第一，遵循《薩班斯法案》的活動80%都涉及控制活動，其目的就是通過加強內部控制提高上市公司財務報告及信息披露的可靠性，重建全球投資者對美國證券市場的信心。由于在美國上市的外國公司主要應遵循的“SOX法案”302條款——“公司對財務報告責任”和404條款——“管理層對內部控制的評價”都要求，上市公司要對其目前執(zhí)行的內部控制流程與COSO的框架進行對比，指出存在的不足和改進措施。建議設計本企業(yè)的內部控制流程時要采用COSO在2004年9月發(fā)布的八個組成部分的新框架，即《企業(yè)風險管理——整合框架》，而不要采用1994年五個組成部分的《內部控制——整合框架》老框架。新老兩個框架的內在關系是：在保持《內部控制——整合框架》五個組成部分的基礎上，第一，可以將新框架的“內部環(huán)境、目標設定、事件識別”這三個組成部分歸納為老框架“控制環(huán)境”的三大要素；第二，將新框架“風險反饋”作為老框架“風險評估”的應對措施；第三，其余的三個組成部分“控制活動、信息與溝通、監(jiān)控”保持不變。

　　第二，目前，許多中國公司都在內部控制流程的文檔準備、記錄和IT控制活動的測試方面花了很多時間，有的公司建立了涵蓋幾百個風險點的內部控制體系。這些是內部控制測評所要求的“硬件”程序，“硬件”比較容易通過。相對公司控制環(huán)境的“軟件”而言，其實施難度要比“硬件”大得多，有些控制環(huán)境涉及整個公司治理結構。

　　第三，“SOX法案”要求的公司治理結構與許多中國企業(yè)傳統(tǒng)的公司治理結構有較大的差異，中國的企業(yè)文化與西方企業(yè)文化的內涵也不盡相同。為了少走一些較早實施“SOX法案”美國公司已經走過的彎路，中國公司應從一開始就注重實施公司治理結構層面的改進工作。例如，公司的高級管理層應成為遵守內部控制制度的表率并接受相應的監(jiān)督和約束，充分發(fā)揮審計委員會和內部審計的作用，重視對員工遵守職業(yè)道德的培訓，嚴格執(zhí)行職責分離、工作分配、職責描述等方面的規(guī)章制度，在公司內部形成一個自上而下有效貫徹內部控制的過程。

　　第四，普華永道會計公司的鄧誠豐先生（Stephen J Ducker）提醒大家，2006年7月15日之前，各公司的首席執(zhí)行官（CEO）和首席財務官（CFO）還要為對外披露的財務年報的可靠性簽字而實施內部控制自我評估測試。由于在美國上市的中國公司大多都是規(guī)模很大的公司，需要測試所有重要的控制點。假設一個公司有30個省級公司或分公司，每個省級公司又有5——8個市級公司，從流程上講每個省級公司以及分公司都會有10多個或者更多的業(yè)務流程。每個流程又有5——10個重要的控制點。如果用3——4個小時測試一個控制點，計算下來，測試的工作量非常龐大。而這只是初步的測試，對測試發(fā)現的問題還需要改進，隨后對改進的情況還需要進行再測試，從而達到沒有重大控制缺陷。而會計事務所做的測試和審計工作，還包括很多像IT層面控制，公司治理層面控制的內容。2006年還有一項非常重要必須做的工作就是管理層測試。因此，各公司的高級管理層千萬不要低估會計師事務所簽發(fā)對各公司2006年度財務年報的審計報告之前，管理層測試的復雜性和時間長度。

　　第五，趙善強先生指出，為什么在“SOX法案”中沒有明確提到內部審計師的職能和內部審計師應發(fā)揮什么樣的作用，如何保持獨立性和客觀性等內容。其原因是“SOX法案”出臺比較倉促，涵蓋的內容又很多。404 條款只是“SOX法案”所要處理的涉及內部控制方面的問題。如何操作要根據美國公眾公司會計監(jiān)管委員會（PCAOB）制定的第2號審計標準去執(zhí)行。內部審計在 404 條款里面確實沒有明確的提到，但在PCAOB第2號審計標準對于內部審計如何參與是有相當明確的指南說明的。

　　內部審計的參與和作用，在遵循404 條款時，按照PCAOB第2號審計標準，內部審計的有效性是其中應考慮的重要因素，這對于是否可以通過404條款的內部控制測評是非常重要的。如果某公司的內部審計做得不好，絕對會影響該公司通過 404 條款的測評。另一方面，內部審計作為內部監(jiān)督機構，在遵循 404條款項目時，第一，會參與前期的文檔記錄和提意見；第二，在管理層測試時會介入其中的工作。PCAOB第2號審計標準要求，執(zhí)行內部控制的人和做測試的人要相對分開，以保持內部控制測試的客觀性，內部審計在遵循404 條款方面的作用會體現在這幾方面。

　　鄧誠豐先生補充解釋內部審計在遵循404 條款方面扮演的角色。目前，美國公司已到了第 2 年的404條款合規(guī)項目審計，相比之下，第一年時，內部審計在 404 條款合規(guī)項目中，從文檔記錄到測試做了很多工作；第二年，改變了使用內部審計師的一些策略，把內部審計人員從 404 條款合規(guī)項目中撤出，使得他們能夠從更加獨立的角度去完成管理層測試，也使他們能夠完成內部審計原來就應該完成的日常工作，保持獨立有效的職能。內部審計不是只為了完成404條款合規(guī)項目，他們可以關注公司最高風險的領域和管理層所要求他們關注的重要領域。這是美國公司在第二年實施404 條款中，內部審計角色的一些變化。另外，在 404條款合規(guī)審計時，內審部門自身的有效性也是要測試的一個重點控制。COSO框架中有一要素是“監(jiān)控”，實際上內審的工作性質很大程度上代表了公司監(jiān)管的好壞。例如，四大會計師事務所做審計時。一定會評估內審職能的有效性。同時，管理層在簽署他們的書面聲明時，也必須評估內審的有效性來支持他們的聲明。

　　內部審計職能有效性評估對許多中國公司也是非常有挑戰(zhàn)性的工作。例如，有關內部審計職能的獨立性和客觀性，非常重要的就是內部審計的匯報線（渠道）。內部審計是向公司管理層匯報，與獨立性和客觀性要求就有差距，因為既向管理層匯報，又評價管理層內部控制有效性。中國公司的內部審計在傳統(tǒng)職能上可能與獨立性要求還有一些差距。匯報線的改變，即向審計委員會或董事會匯報也是一項很大的挑戰(zhàn)。

　　內審的工作范圍和職能，從人力資源角度來講，具備多少人員、工作技能、預算、使用的技術工具方法等等，都是要考察的范圍。此外，在進行內審評估時，要看具體的工作方法和工作方式，內審人員接受過哪些培訓，審計時的工作底稿、工作記錄、技術方法，審計報告等都會成為四大會計師事務所評估的內容。

　　第五， 只有人才能實現合規(guī)，IT系統(tǒng)軟件工具是為人服務的。美國的一些大公司一般會有自己的軟件工具做測試評價，并將所有內部控制文檔應盡可能存放到一個可查詢的工具里面。國內的一些軟件工具可以探討，采用自動化工具時，一個重要的功能是文檔查詢功能，國外應用很多，但國內還剛剛起步。建議采用自動化、一體化、動態(tài)的和可持續(xù)提供合規(guī)性報告與管理SOX進程以及文檔記錄需要的IT系統(tǒng)軟件工具，少用或不用內部控制、業(yè)務流程、財務報告三者分離，沒有內在勾稽關系，需經過整合處理才能符合“SOX法案”要求的IT系統(tǒng)軟件。

　　最后，林鄭麗慧女士強調，很多人說中國在美國上市的公司很難通過《薩班斯法案》，她認為關鍵是組織機構部門的特點以及人員等情況。中國企業(yè)的特點主要由中國的傳統(tǒng)文化所決定，中國企業(yè)最關鍵的是授權以及權威，“名不正則言不順，言不順則事不成”，如果沒有人聽指揮，就無法完成相關的任務。但她相信中國企業(yè)應該知道怎樣才能通過“SOX法案”的合規(guī)性要求，也一定能夠通過。