2001年11月，財富500強排名第7的全球第一大能源交易商安然公司因2001年到期不能支付10億美元債務，銀行拒絕再融資導致債務危機！長期以來勇于挑戰(zhàn)政府管制，開辟業(yè)務新領域的安然公司，掌控著美國20%的電力和天然氣交易，經(jīng)營業(yè)務覆蓋全球40多個國家和地區(qū)，營業(yè)收入突破1000億美元。財務丑聞曝光后，安然公司的股票價格應聲下跌，流通市值由巔峰時600多億美元下跌到不足2億美元；

　　2001年12月，美國國會開始舉行安然聽證會，SEC進入了廣泛費時的收集證據(jù)過程。2004年1月14日，美國司法部宣布，安然公司原財務總監(jiān)安德魯·法斯托承認犯財務欺詐罪，他因此被判入獄10年，并向SEC繳納2300萬美元的罰金。隨著對安然事件調(diào)查的深入，安然公司兩名前高管——肯尼思·萊和杰弗里·斯基林在2006年3月出庭受審。在此之前已有15名安然公司前高管與檢控方達成了認罪協(xié)議。

　　（二）世通公司的教訓

　　2002年4月，美國第二大長途電話公司世界電信公司對外披露了出人意料的有近300億美元債務的財務報告，SEC立即開始對世通的債務情況、財務狀況進行審查。世通公司的流通市值從1150億美元一路跌落到10億美元，致使許多投資者血本無歸。曾經(jīng)顯赫一時的前CEO伯納德·埃伯斯在重壓之下不得不遞交了辭呈。2002年6月，SEC指控世通公司進行財務欺詐；2002年7月，世通公司宣布破產(chǎn)保護，成為美國歷史上最大的破產(chǎn)案。

　　2005年7月13日，在公司破產(chǎn)3年后，埃伯斯終于等來命運宣判。法官宣布了世通股東訴訟案的判決，埃伯斯因在世通110億美元的財務丑聞中所扮演的角色被判定9項欺詐罪和相關罪行成立。盡管埃伯斯的辯護律師以他年事已高、健康狀況不佳，且多有慈善行為為由，還向法官呈交了169位埃伯斯同事及朋友的請求信，請求法院減免其刑期，但埃伯斯仍被判25年刑期，沒收總價值達4000萬美元的個人資產(chǎn)。此外，法官還將在晚些時候宣判5位世通前高管的量刑結(jié)果，其中量刑最重的是前首席財務官斯科特·沙利文。

　　（三） 安然、世通兩位前審計主管的不同命運

　　在安然和世通這兩個財務丑聞案件中，一個有趣的現(xiàn)象是：目前，安然公司的首席審計執(zhí)行官（CAE）理查德·科西正面臨詐騙、洗錢、內(nèi)部交易、虛報公司盈利和做假欺騙審計人員等共34項罪名的指控，檢控方正在力爭與科西達成認罪協(xié)議，以便為指控安然公司的兩名前高管提供更加有力的證據(jù)。而世通公司前內(nèi)部審計部主管辛西亞·庫珀卻因在世通案件中的突出表現(xiàn)——對38.5億美元費用違規(guī)列入資本支出項目的揭示和向公司審計委員會報告，不僅解脫了其自身的責任，而且使內(nèi)部審計的作用得到了公眾和監(jiān)管部門的充分肯定，成為美國《時代》周刊2002年度風云人物之一。

　　三、知曉違法舉證責任的變化

　　美國傳統(tǒng)的法律觀念是，如果司法機關對某個人進行處罰，就必須證明他是有罪的，舉證責任在起訴方。但是，對于整個社會來說，企業(yè)太多了，如果都要司法監(jiān)管機構(gòu)來提供證據(jù)的話，不僅執(zhí)法成本太高，而且還因耗時太長影響其效果。美國新的法律觀念是把舉證責任轉(zhuǎn)移到企業(yè)，如果上市企業(yè)被指控有財務欺詐行為，司法監(jiān)管機構(gòu)就有權(quán)對其進行處罰。美國布什總統(tǒng)甚至還要求各上市公司的CEO個人對公司的財務報告宣誓，確保財務報告數(shù)據(jù)的真實性。

　　“SOX法案” 對公眾公司欺詐行為和白領犯罪的刑事處罰力度是史無前例的。例如，該法案906條款規(guī)定，CEO和CFO在明知公司向SEC申報的包括財務報表的定期報告有不真實的財務信息的情況下仍簽署書面聲明，將被處以可高達100萬美元罰款和上至10年的監(jiān)禁；如果屬于“有意欺詐”性質(zhì)的提供虛假財務報告，將被處以可高達500萬美元罰款和上至20年的監(jiān)禁。該法案還要求對協(xié)助司法調(diào)查，或向監(jiān)管機構(gòu)提供公司欺詐股東行為證據(jù)的公眾公司雇員提供保護。因此，公眾公司審計委員會的職責之一就是：建立一定程序，以接受、存放和處理有關公司財務的投訴，并確保雇員進行匿名或保密的投訴。

　　今后，上市公司再被指控有財務欺詐行為，SEC可以根據(jù)該公司CEO、CFO簽署的書面聲明，以“偽證罪”直接對他們進行起訴，因為SEC也懂得“擒賊先擒王”的道理。而上市公司的CEO、CFO要證明自己無罪，必須自行向司法監(jiān)管機構(gòu)提交按SEC規(guī)定的要求所保管的相關記錄的文檔證明資料。

　　四、強化內(nèi)部控制標準的外部環(huán)境

　　在“SOX法案”正式實施并主要側(cè)重于對財務報告信息披露的內(nèi)部控制流程測評的這一年多的時間里，盡管美國上市公司大多竭盡全力甚至不惜工本地遵循該法案的各項要求，但是仍有500多家美國上市公司的財務問題被揭露。對于這些未能通過“薩式”考驗的公司，其所受到的限制視違規(guī)情況而定，輕則股價下跌，重則可能遭遇監(jiān)管機構(gòu)的處罰和股東在利益受損情況下關于“提供虛假信息”和“隱瞞重大事實”的集體訴訟，以及從股市上摘牌等。

　　在美國上市的中國公司應主要遵循的“SOX法案”302條款和404條款都要求，上市公司要對其目前執(zhí)行的內(nèi)部控制流程與COSO的框架進行對比，指出存在的不足和改進措施。近1~2年，在美國上市的中國公司為了遵循“SOX法案”要求提交財務報告而不斷地改進內(nèi)部控制流程。由于過去中國公司普遍缺乏強化內(nèi)部控制標準的外部環(huán)境，致使一些公司盡管建立了內(nèi)部控制機制，但缺乏規(guī)范和齊全的內(nèi)控標準，尤其在信息系統(tǒng)和審計接口的控制環(huán)節(jié)上比較薄弱。這也是一些企業(yè)付出了巨大的合規(guī)成本，但仍面臨無法確定能否順利過關的重要原因之一。為此，企業(yè)要整合內(nèi)部控制流程、審計程序、審計判斷和測評等技術(shù)方法。內(nèi)部控制測試的范圍涉及審計成本和審計方法，對風險低的領域，審計可以少關注；控制點測試的數(shù)量與財務報告的披露要求和錯報的重要性程度有關，重大風險會影響財務報告，因此，應關注公司高風險領域。

　　在闖關“薩式”挑戰(zhàn)的過程中，實施難度相對較大的是中國公司的“控制環(huán)境”，有些控制環(huán)境涉及整個公司治理結(jié)構(gòu)。許多中國公司傳統(tǒng)的公司治理結(jié)構(gòu)與“SOX法案”所要求的公司治理結(jié)構(gòu)與有較大的差異，解決此問題辦法是：采用COSO在2004年9月發(fā)布的新框架，即《企業(yè)風險管理——整合框架》，加強企業(yè)“控制環(huán)境”的建設，包括企業(yè)文化建設。例如，確定企業(yè)的管理基調(diào)、道德觀和價值觀、制定整個企業(yè)重視風險的依據(jù)；設定明確的企業(yè)總體目標和與之相配套的具體目標；識別可能影響企業(yè)實現(xiàn)目標的內(nèi)部和外部事件，區(qū)別風險和機會。通過健全有效的制度來經(jīng)營管理整個企業(yè)和防范各種風險。

　　另外，在 404條款合規(guī)審計時，內(nèi)部審計的有效性也是四大會計師事務所做審計時要測試的一個重點控制。COSO新老框架中都有一個重要的組成部分是“監(jiān)控”，這項職能是由內(nèi)部審計來完成的，即對企業(yè)整個內(nèi)部控制過程的有效性實施再監(jiān)督，內(nèi)部審計的工作性質(zhì)在很大程度上代表了公司內(nèi)部監(jiān)管的好壞。同時，管理層對財務報告簽署書面聲明時，也必須評估內(nèi)審的有效性，因此，企業(yè)的董事會和高級管理層一定要重視和發(fā)揮內(nèi)部審計的職能作用。

　　五、應對“薩式挑戰(zhàn)”美國專家的建議

　　最近，中國內(nèi)部審計在北京舉辦了《如何成功通過〈薩班斯法案〉404條款內(nèi)部控制測評》專題報告會。該報告會的主講人來自美國“SOX法案自動化公司”的創(chuàng)辦人及總裁林鄭麗慧女士（Gladys Lam）及其她帶來的普華永道會計公司負責系統(tǒng)與流程管理的合伙人鄧誠豐先生（Stephen J Ducker）和德勤華永會計公司的負責企業(yè)風險管理服務的合伙人趙善強先生（Eddie Chiu）等人組成的專家團隊，對在美國上市的中國公司如何應對“薩式挑戰(zhàn)”提出了以下建議：

　　第一，目前，許多中國公司都在內(nèi)部控制流程的記錄、文檔準備和IT控制活動的測試方面花了很多時間，有的公司建立了涉及企業(yè)經(jīng)營、IT系統(tǒng)控制、投融資管理、財務監(jiān)控、法律法規(guī)監(jiān)督等方面涵蓋幾百個風險點的內(nèi)部控制體系。這些是內(nèi)部控制測評所要求的“硬件”程序，“硬件”比較容易通過。相對公司控制環(huán)境的“軟件”而言，其實施難度要比“硬件”大得多，有些控制環(huán)境涉及整個公司治理結(jié)構(gòu)，已超出了CEO、CFO控制力的范圍。

　　第一，為了少走一些較早實施“SOX法案”美國公司已經(jīng)走過的彎路，中國公司應從一開始就注重實施公司治理層面的改進工作。例如，公司的CEO和CFO應成為遵守內(nèi)部控制制度的表率，充分發(fā)揮審計委員會和內(nèi)部審計的作用，重視對員工遵守職業(yè)道德的培訓，嚴格執(zhí)行職責分離、工作分配、職責描述等方面的規(guī)章制度，在公司內(nèi)部形成一個自上而下有效貫徹內(nèi)部控制的過程。

　　第三，2006年7月15日之前，各公司的CEO和CFO還要為對外披露的財務報告的可靠性簽字而實施內(nèi)部控制自我評估測試。由于在美國上市的中國公司大多都是規(guī)模很大的公司，需要測試所有重要的控制點。如果某一個公司有30個省級公司或分公司，每個省級公司又有5~8個市級公司，從流程上講每個省級公司以及分公司都會有10多個或者更多的業(yè)務流程。每個流程又有5~10個重要的控制點。如果用3~4個小時測試一個控制點，計算下來，測試的工作量非常龐大。而這只是初步的測試，對測試發(fā)現(xiàn)的問題還需要改進，隨后對改進的情況還需要進行再測試，從而達到?jīng)]有重大控制缺陷。普華永道會計公司的鄧誠豐先生（Stephen J Ducker）提醒大家，會計事務所做的測試和審計工作，還包括很多像IT層面控制，公司治理層面控制的內(nèi)容，2006年還有一項非常重要必須做的工作就是管理層測試。因此，各公司的CEO和CFO千萬不要低估會計師事務所簽發(fā)對各公司2005年度財務報告的審計報告之前，管理層測試的復雜性和時間長度。

　　第四，只有人才能實現(xiàn)合規(guī)，IT系統(tǒng)軟件工具是為人服務的。美國的一些大公司一般會有自己的軟件工具做測試評價，并將所有內(nèi)部控制文檔應盡可能存放到一個可查詢的軟件工具里面。采用自動化工具時，一個重要的功能是文檔查詢功能，國外應用很多，但國內(nèi)還剛剛起步。建議采用自動化、一體化、動態(tài)的和可持續(xù)生成提供合規(guī)性報告和管理SOX進程與文檔的IT系統(tǒng)軟件，少用或不用內(nèi)部控制、業(yè)務流程、財務報告三者分離，沒有內(nèi)在勾稽關系，需經(jīng)整合處理才能符合“SOX法案”要求的IT系統(tǒng)軟件。