【摘要】随着我国经济的高速发展,越来越多的国内企业在规模上达到了世界一流水平,而管理水平、综合素质也有了长足的进步。企业扩张的需求促使他们到美国股市寻求海外融资,然而问题也应运而生。
2001 年安然、世通等财务欺诈丑闻造就了《萨班斯-奥克斯利法案》的诞生,其中最为严厉、最富有争议的条款是旨在加强上市公司内控制度并保证财务报告可靠性的 404条款。按照SEC的规定,在美国上市的非本土公司须和本土公司一样遵循SOX404,我国内地和香港现共有近百家公司在美国融资上市,SOX404 的合规是它们不得不面对的挑战。
中国公司内部控制薄弱,精细化管理和流程管理都不完善,在实际操作中遇到了众多问题。本文旨在分析中国赴美上市企业遵循SOX404的机遇和挑战,并试图在结合中国现状的基础上借鉴其他国家的经验,提出应对方法,从而为中国公司更好地顺应这一变化提供帮助。
关键字:萨班斯法案,404条款,内部控制,结构性方法
Abstract
With rapid development of Chinese economy, more and more Chinese corporations have reached world-class in scale. Taken into consideration of broadened sight and better management, Chinese corporations are becoming more competitive. Out of the growing needs in expansion, many of them started financing by listed in US stock market. Then came the problem.
After financial frauds arose in Enron, Worldcom and other companies, US government issued Sarbanes-Oxley Act of 2002. Section 404 of the act which extremely emphasizes on effectiveness of internal control in order to guarantee the reliability of financial report is the harshest and most controversial part. According to SEC regulations, all non-American issuers are liable to comply with SOX404. In regard of this, SOX404 is a great challenge that the Chinese corporations listed in US stock market have to confront.
Chinese corporations are still weak in internal control, refined management and activity process management. Undoubtedly many of them have some problems in complying with such a harsh regulation as SOX404. The dissertation aims at digging out the obstacles that most Chinese corporations applicable to SOX404 have to face and tries to give some suggestions basing on their current status and overseas experiences. The conclusion is helpful for Chinese corporations to better comply with SOX404.
Key words: Sarbanes-Oxley Act, SOX404, internal control, structured approach
目录
一、序言••••••••••••••••••••••••••••••••••••••••••••••••••1
(一)研究目的和意义••••••••••••••••••••••••••••••••••••••1
(二)研究思路和内容••••••••••••••••••••••••••••••••••••••1
二、文献综述••••••••••••••••••••••••••••••••••••••••••••••1
三、萨班斯法案404条款的相关规定和社会影响••••••••••••••••2
(一)萨班斯法案404条款的相关规定••••••••••••••••••••••••2
(二)萨班斯法案404条款的社会影响••••••••••••••••••••••••3
四、中国企业遵循萨班斯法案404条款:机遇与挑战••••••••••••4
(一)机遇方面••••••••••••••••••••••••••••••••••••••••••••4
(二)挑战方面••••••••••••••••••••••••••••••••••••••••••••6
五、中国企业如何遵循SOX404:结构化方法••••••••••••••••••8
(一)选择合适的内控框架••••••••••••••••••••••••••••••••••8
(二)识别关键控制••••••••••••••••••••••••••••••••••••••••9
(三)形成文档记录•••••••••••••••••••••••••••••••••••••••10
(四)测试和评价公司层面的控制•••••••••••••••••••••••••••11
(五)测试和评价流层层面的控制•••••••••••••••••••••••••••12
五、中国网通对结构化方法的运用•••••••••••••••••••••••••••13
资料来源和参考文献•••••••••••••••••••••••••••••••••••••••14
一、 序言
(一) 研究目的和意义
2001年底,美国最大的能源交易商——安然公司财务造假案爆发并申请破产,震惊世界。其外部审计师——原五大会计师事务所之一的安达信会计师事务所也因审计失败和妨碍司法遭到倒闭的命运。事件的硝烟还未散尽之时,又接连爆发了施乐、世通等大公司的财务造假案。全球互联网泡沫破灭的影响加上这一系列的财务丑闻产生了多米诺骨牌效应,一时引发人们对美国资本市场的信任危机。于是,在各方的敦促之下,美国国会参众两院加快了立法进程,力图弥补美国资本市场存在的制度性缺陷。2002年7月25日,美国国会讨论通过了《2002年公众公司会计改革和投资者保护法案》,即《2002年萨班斯—奥克斯利法案》(简称萨班斯法案),2002年7月30日经美国总统布什签署,正式生效。
萨班斯法案最严历、最复杂、最富有争议的部分当属404条款。根据404条款的规定,公司管理层应当承担设立和维持一个应有的内部控制结构的职责,上市公司必须在年报中提供内部控制报告,而负责公司年度报表审计的会计师事务所应该就此出具内部控制评价报告。不难看出,404条款的目的就在于从源头上把关,提高公司财务信息的可靠性。
近年来,越来越多的中国企业在规模上达到了世界一流水平。基于中国这一高速发展中的巨大市场,许多电信、能源、互联网企业迅速的成长着。扩张的需求促使它们积极寻求海外融资,而它们中的许多选择了全球最大最成熟的资本市场——美国股市。由于萨班斯法案并没有豁免实施的规定,这意味着在美国上市的非本土公司必须和本土公司一样遵循萨班斯法案。对于众多已经和即将准备在美国上市的中国企业来说,萨班斯法案的合规是它们不得不面对的挑战。而最大的挑战来自于404条款。之所以称之为挑战,一方面是因为该条款近乎严苛的规定,而另一方面则是中国企业在内控方面的先天不足。本文写作的目的就在于为中国企业应对404条款的考验提供一般性的方法建议。
(二) 研究思路和内容
本文试图采用定性的方法,研究中国企业遵循萨班斯法案404条款的问题。首先总结404条款的相关规定,之后分析中国企业执行404条款的好处以及面临的挑战,最后结合国外的成功经验,给出一套系统的遵循方案,从而为中国公司更好的顺应这一变化提供帮助,并用中国网通的实践经验作为国内应用该法的例证。
本文主要分为以下几部分:上述序言部分是对本文研究的内容、目的、意义的介绍;其次是对国内外文献的回顾;第三部分对萨班斯法案404条款进行介绍,并阐述其影响;第四部分阐述中国企业遵循404条款的意义、实施障碍分析;第五部分研究中国企业的应对方法,给出系统的遵循方案;第六部分通过中国网通 “COSO内控项目”的实例佐证本文所述结构化方法的可行性。
二、文献综述
内部控制作为既有理论价值又具有实践意义的重要研究课题,目前在各国理论界己经进行了较为系统、深入的研究。1992年,美国专门研究企业内部控制问题的COSO委员会(the Committee of Sponsoring Organizations of the Treadway Commission)在《内部控制——整体框架》(Internal Control-Integrated Framework)中提出了财务、营运和遵循三个目标,以及控制环境、风险评估、控制活动、信息与沟通和监控五项要素,从而把对内部控制的认识统一了起来,并给内部控制理论及实务带来了突破性的进展。随着萨班斯法案的制定,理论界对内部控制的研究更是达到了高潮。近两年来理论界在内部控制方面的研究进展主要集中在以下几个方面:一是使内部控制与企业的风险管理相结合;二是使内部控制与公司治理和组织结构相对接;三是从管理学和经济控制论入手丰富内部控制理论;四是把传统的建立在实体经济基础上内部控制拓展到信息经济。
除了内部控制理论层面的研究进展,在404条款合规的实务层面,西方学者也提出了自己的观点。站在执行者的角度,Ramos, Michael(2004)提出了十分具体的404条款遵循方案。他将内部控制有效性评价的实务工作分为项目计划、确定关键控制点、文件证据、评估内控设计、评估内控执行效果、准备报告六个步骤,并提出了每个步骤的执行方法和注意事项,对公司和企业都给出了意见。Joel C.Quall则提出了404合规的“五步法”,分别是设立专门委员会和工作小组、文件证据、测试、评估和报告。站在政策制定者的角度,Parveen P. Gupta和Tim Leech(2005)指出造成404条款困境的根本问题,并建议:法规中纳入风险容忍度的概念,加强对管理层评估过程的审计,保留对内控文档的强制性规定,规定性的要求公司每季度更新文档,赋予公司决定内控测试水平的灵活性,尽早出台针对公司的指引。
近年来,我国学者也在积极探索企业内部控制的相关问题,在解析COSO报告框架基础上相继提出了内部控制与公司治理契合(李连华,2005)、内部控制风险管理总体框架ERM应对策略(茹越峰,2006)、内部控制自评价技术CSA(林朝华,唐予华,2003)等新观点。但就其实务进展和实证研究而言,总体上仍是以具体的内部控制框架设计为主,对更深层次的控制方式和运行机制尚未展开系统研究,现实需求强烈的404条款合规方面的实务研究也进展缓慢。由于SEC并未出台针对公司的404条款合规指引,而目前的404条款和细则的规定都比较模糊,因此公司对内控测试有效性的评估基本是按照PCAOB2号审计准则的规定比照COSO框架进行。而中国企业在执行404条款完善内部控制方面还处于起步阶段,并无许多案例可供分析,造成国内相关研究基本空白,且大部分是针对个别企业的研究,不具有普遍性。本文的研究就是从中国企业的普遍状况出发,指出差距,并结合国外成熟的研究成果,给出一般性的遵循方法,具有一定的现实意义。
三、萨班斯法案404条款的相关规定和社会影响
(一) 萨班斯法案404条款的相关规定
萨班斯法案显示了美国国会强化公司责任的强硬手段,它试图从根本上改变企业的经营环境和法律环境,其目的在于强化公司的责任,通过加强内部控制,来改进公司治理状况,提高财务信息质量,并最终恢复投资者对美国资本市场的信心。该法案对美国《1933年证券法》、《1934年证券交易法》做了不少修订,在会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定。
综观 SOX 法案七项主要内容,其中与上市公司最为密切相关的是第三、第四和第五项规定。第三、第五项规定主要是强调了公司高层管理人员对公司财务信息可靠性负有的责任,并不需要公司做出太多实质性的工作。而第四项规定,即关于公司内部控制有效性的强制性规定,主要针对的就是404条款。
404条款主要包括了两个方面的内容 :内部控制方面和内部控制评价报告方面。分别侧重于公众公司的角度和外部审计师的角度,以求全面保障公众公司内部控制的有效性,从而提高公司治理水平和会计信息质量。
内部控制方面的要求包括:⑴强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;⑵发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价。内部控制评价报告方面的要求是:对于企业管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。
(二) 萨班斯法案404条款的社会影响
1.萨班斯法案404条款使监管思想和理念发生根本性转变
众所周知,美国在1929年经济大危机之后颁布了《1933年证券法》和《1934年证券交易法》,这两部法律对于美国资本市场甚至美国经济具有里程碑一样的重大意义。而SOX法案被认为是继这两部法律之后对美国经济影响最为广泛和深远的改革法案。与过于的法律相比,SOX法案强调过程。这一点最集中和明显的体现在了404条款的规定中。在过去70年的时间里,对投资者的保护着重于结果的报告,即为公众提供公允、透明的财务成果信息及帮助理解这些财务成果的其它相关信息。人们普遍认为基于这些信息,投资者足以做出正确的决策,SOX法案改变了这一切。SOX法案的精神认为,仅仅提供财务成果是不够的,公司还必须分析和评估达到这些成果的过程。因此它带来的是一场监管理念的彻底转变,即从简单的信息披露转向实质性管制。
SOX法案的出台,使全球各国监管部门、企业和投资者都把关注的目光放在公司治理和全面风险管理上。就在在美上市中国企业迎来SOX法案考验的2006年7月15日,经国务院批准,由财政部牵头发起,证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立,这预示着我国企业在内部控制方面将迎来一部类似美国SOX法案的标准体系。
2.上市公司对萨班斯法案404条款的反应
为了了解SOX法案的施行对上市公司的影响,美国全国证券交易商自动报价系统协会(NASDAQ)于2005年4月面向当时在NASDAQ挂牌的3053个发行商进行了一项调查。由于SOX404的规定被认为是财务报告体系最重要的改变,我们可以合理地认为上市公司所谓受到施行SOX法案的影响也主要来源于404条款的执行。从 NASDAQ的这份调查中,我们可以得到许多有意义的信息:
⑴大多数企业承认施行SOX法案是必要的
在接受调查的公司中,有74% 认为SOX法案应该执行。58%的接受调查者认为由于执行了法案,财务控制有效加强了;33.3%的接受调查者认为公司披露信息更加完善;另有28.4% 的公司认为投资者的信心有效恢复。事实上,早在SOX法案出台之前,人们就纷纷认识到美国资本市场可能存在制度上的缺陷,而SOX法案针对这一缺陷进行了严厉而彻底的改革。这对于受到财务丑闻重伤后充满信任危机的美国资本市场无疑是必要的。企业也都认为加强内部控制,从根本上改善公司治理是大势所趋。
⑵关键问题是404条款的执行成本
接受调查的企业大多数的讨论集中在404条款的执行成本上,主要包括中介费和机会成本。90.2%的企业反映执行成本太高。他们普遍反映预算成倍上升,主要精力不能够充分放在核心业务和战略层面地工作上。在NASDAQ的调查报告中显示,每家发行商在执行404条款的第一年平均花费在110万美元,那么即使保守估计,在NASDAQ挂牌的全部上市公司在执行404条款上要花费35亿美元。而根据国际财务执行官(FEI)对224家企业的调查结果,每家需要遵守SOX法案的美国大型企业 第一年实施404条款的总成本超过800万美元。像通用电气和汇丰银行这样经营广泛的大型跨国企业在404条款的合规上花销更是惊人,分别达到了3000万美元和2840万美元。
⑶业务简单、管理集中的小型上市公司虽然实施工作会相对简单,却恰恰可能受到最猛烈的冲击
众多小型上市公司一直抱怨404条款的遵循成本与收益严重不成比例,并导致它们考虑退市或出售公司。NASDAQ调查报告显示,营业收入在1亿美元以下的公司,其花费在404条款合规工作中的成本占收入的百分比是营业收入在20亿美元以上公司的11倍。对于中小型上市公司来说404条款在某些方面是过于严格了一些,这会限制一些企业的灵活性和创造力。因此,在反对声中,小型上市公司实施404条款的期限得以一再推延
3.其他方面对萨班斯法案404条款的反应
除了上市公司以外,提供中介服务的审计、咨询、法律顾问还有IT厂商方面也深受SOX404的影响,只不过对于他们来说,404条款的实施是一个利好消息。由于内部控制评价报告包含在财务报告内,并按规定由承担公司年度报表审计的会计师事务所出具,那么对会计师事务所来说,签一份项目协议,工作量却大了,相应的报酬也会增加。根据NASDAQ的调查报告,90%的接受调查公司的审计费用较实施404条款之前永久性的增加了。FEI报告显示,因404条款的执行,增量审计费用达到原审计费用的53%。同时,内控审计有助于控制审计风险,并减少大量的实质性测试工作。上市公司要对财务报告内部控制有效性负责,迫于SOX法案的严厉,也会更加审慎。因此总的说来,404条款降低了审计风险,提高了审计收入。另外,404条款要求企业针对影响财务数据的所有作业流程都做到高透明度、可控制、实时风险管理并防治欺诈,还要求这些流程具有可追查到交易源头的详细记录。为此,上市公司需要投入大量IT资源参与 404条款的实施。IT厂商为实施SOX法案的上市公司提供技术上的支持,帮助公司进行系统的建设,还可以提供相应的服务来满足公司的不同需求,这是一块价值很大的市场。上市公司在施行SOX法案时缺少相关经验,有很多时候很难独立完成404条款的合规工作,这时一些专业的咨询公司或会计师事务所可以帮助公司一起完成这些工作,对于咨询行业这是一个新的市场契机。同样,对于严苛的SOX法案,肩负重大责任的公司高层管理人员承受很大的压力,一旦无法通过,公司将面临法律风险,这时需要专业法律顾问的服务。所以对于广大的SOX合规相关服务提供商而言,SOX404条款的实施是机遇大于挑战。
最支持这项法案实施的无疑还是投资者组织和证券监管机构。SOX法案尤其是404条款对上市公司财务报告产生的流程进行了严厉的实质性监管,可以有效保障投资者的利益,对于投资者来说,404条款是他们对资本市场维持信任的保证。而SEC坚持认为一旦发生重大的会计丑闻,损失将远远超过法案遵循的成本,因此 SOX法案的实施必须进行下去。SEC认为短期上市成本的上升换来一个信息透明的证券市场是值得的,这对于公司提升长久的竞争力是有益的。
四、中国企业遵循萨班斯法案404条款:
机遇与挑战
(一)机遇方面
1.完善公司法人治理结构,体现融资效应
我国公司的股份制改革进行得还不够彻底,也就决定了大多数中国公司,包括在美上市的中国公司在公司治理结构方面还存在着一些不合理方面。主要体现在 :
⑴股权高度集中,资本市场对经营者的约束不强
在资本市场完善的情况下,虽然每一投资者在企业中的股份很小,然而一旦公司经营不善,人们便可“用脚投票”,导致该公司股票价格下跌,一些股东便有可能通过发动代理权竞争或敌意收购来接管公司的控制权,解雇经理人员。然而我国目前的证券市场只是给企业提供了融资渠道,国有股的比例过高,即使能将某上市公司的流通股全部买进,也不能取得公司的控制权,资本市场对经营者的约束非常有限。尽管国有股正在进行某种程度的减持,但我国的社会性质决定了国有股依然会占重要比重。
⑵董事会的内部人控制
董事会理应在监督经营方面起重要作用,然而由于我国国有股、法人股占绝大比例,且国有股权“虚置”,法人股权“异化”,导致事实上的董事会无效。尽管我国可通过制定有关规章来保护中小投资者,完善公司治理结构,但只要股权集中,董事会的内部人控制现象就不可避免。
我国企业在美国资本市场上市,就要受美国投资者的监督,特别是在美国资本市场因一连串的会计丑闻发生信任危机之后,投资者会用更审慎的眼光来考量上市公司的经营质量。好的公司治理结构意味着投资者能够有效地监督企业对资源的利用和分配,保障股东的合法权益,因此会获得更多投资者的亲睐。一定程度上,上市公司对资金的竞争也是公司治理水平的竞争。目前,随着中国经济的良好发展,国外投资者对中国企业,尤其是一些垄断行业的大型企业的发展前景无疑十分看好。因此,中国企业在美上市能否吸引足够的资金的关键在于是否具备令美国投资者认可的公司治理能力。
目前,在美上市的中国企业也与美国本土企业一样需要执行SOX法案,这在客观上是一个强制提升公司治理水平的动力,有益于提高中国企业公司治理水平与国际接轨的速度。虽然,在短时间内改变公司的股权结构是不现实的,但是公司可以通过改变董事会结构,增加独立董事的方法改善投资者缺位的现象。另外,SOX法案中关于独立审计委员会的规定有益于公司治理结构从三元一体向四元一体转化,强化了对管理层的监督功能。
2.加强内部控制,提升企业经营能力
内部控制是一个广义的概念,包括了公司运营的各个方面,具有广泛的意义。内部控制是现代企业管理的重要组成部分,恰当运用内部控制,有利于企业改善经营方式,实现经营目标;保护企业各项资产的安全和完整,防止资产损失或损害;保证业务经营信息和财务会计资料的真实性和完整性;提高工作效率及经济效益。因此,内部控制是否健全,是企业经营成败的一个关键。
但同时,内部控制又是中国企业普遍忽视的部分。虽然国内企业也存在内部控制的相关措施,但是内部控制概念框架的完整性、控制体系的科学性、执行的严肃性、控制执行后的有效性及后续措施都存在很多问题。在国内内控法规体系还不完备的条件下,企业尚可以在潜规则下运行,而一旦企业走向美国资本市场,就要按SOX法案的规则行事,内部控制的完善不仅重要,而且无可回避。
为了配合SOX法案404条款有关内部控制规定的实施, SEC提出了“财务呈报内部控制”的操作性定义,把404条款所指的内部控制限定在与财务呈报有关的内部控制的范围之内,这样做的目的在于提高可实施性,也最大程度的体现了内部控制的效益。与财务呈报有关的内部控制包含了对财务成果产生实质性影响的一系列控制,涵盖了交易的起始、授权、执行、记录、报告,为其他非主要控制提供实施标准,统领了其他控制的执行。从而我们可以认为,成功实施404条款可以有效提高企业整体内控水平,提升企业的经营能力。
3.完善内控信息系统建设,加速企业信息化进程
如今企业经营管理现代化的一个普遍趋势是,随着企业管理幅度的扩大与深度的加深,企业流程自动化水平不断提高,内部控制与流程管理紧密结合。大量的业务流程被自动化设备、信息系统所执行,不再像过去那样能够由业务人员简单的描述企业运作的各个流程。如何将被系统固化的业务流程重新展现出来,如何全盘的了解企业各业务流程中的风险控制情况,这些问题需籍由内控信息系统解决。
内控信息系统的作用包括:提供集成的管理信息,实现业务数据和资料共享;提高运营统计、财务和其他管理信息的真实性、准确性、完整性、及时性,满足内部经营管理和外部信息披露的要求;理顺和规范业务管理流程,明晰职责,实现业务处理的标准化和规范化;实现内部控制和预警,通过规范的管理流程,明确分工,为各管理层次的有效控制提供依据,限制随意性;通过业务分析及建模工具,提供规划、预测及多维分析,为决策层提供准确、及时的信息和报表,为公司科学决策提供有力支持;通过向各部门和管理层提供共享、准确、及时的信息,为公司各种资源的统一规划、合理调度、综合利用提供依据和保障;为公司内部的绩效控制和绩效考核,以及内部审计提供准确、详实的数据等等。这些作用均可以归纳进入内部控制体系所倡导的三个基本目标,即运营目标、财务目标和合法目标。
由此可见,完善的内控信息系统不应独立于企业原有管理信息系统和财务信息系统之外,而是融合于统一的业务流程管理系统之中的,企业内控管理也因此可以脱离对原有的静态文档的跟踪管理,转变成对业务流程的动态跟踪管理。通过404条款的实施,建立完善的内控信息系统,将不仅对于日后的合规工作提供便利,更将公司的信息系统从战略层面上整体提升,有利于提高企业信息化水平和运营效率。
(二)挑战方面
1.粗放型的经营管理模式难以应对404条款的考核
中国企业既有的发展方式基本上追求的都是量的扩张,在实际运营活动中,靠经验、拍脑门式的粗放型投资管理模式在某些地区、某些企业中不同程度的存在。战略规划在落实的过程中沦为了口号。目前,中国企业的管理模式更多的是基于KPI驱动的管理方法,不同程度的存在重视营销,轻视管理的现象。在统筹管理上,往往是集团公司通过考核指标的设定和每年考核重点的变动,实现对公司整体的驱动,省级公司对地市级公司的管理也采用同一模式。在实际执行中,基层的业务人员日常工作主要是为了完成自己的考核指标,但在完成指标的方法、计划上并没有太大限制,这就导致公司的实际运营工作被分成了若干孤立的点,从而为系统性的风险评估带来障碍。而根据SOX法案的要求,公司必须对运营风险有充分的把握,并做好预案。法案还要求公司在内部控制方面必须严格地精细化,运营的每个环节都必须在公司可控的范围内,这将直接对原有的粗放型管理模式造成挑战。
2.现有的内控体系与SOX法案的要求相去甚远
我国企业现在的内控体系存在很多制度性缺陷 :
首先,内部控制理念落后,导致内部控制规范缺乏科学性。在内控理论和实践比较完善的美国,内部控制大致上经历了内部牵制、内部控制制度、内部控制结构、内部控制整体框架四个阶段。近来又提出了企业风险管理整体框架(Enterprise Risk Management-Integrated Framework)。我国内部控制的定义还基本停留在内部控制结构阶段,而且基本套用了西方的定义。在实务操作上,则局限在会计控制的范畴,也就是只强调内部控制系统概念中的会计控制部分,没有把内部控制视为流程管理的一部分,这可以说是十分原始和落后的,根本满足不了404条款对内控的要求。
其次,内部控制目标片面,缺乏体系性。1992年美国COSO委员会发布了内部控制整体框架提出了营运、财务、遵循三个方面的内部控制目标。2004 年,COSO委员会又发布了新的内部控制框架——企业风险管理整体框架。企业风险管理在满足前述三类目标的基础上也应满足战略目标。我国内部控制目标现在局限于财务目标和遵循目标,体现了审计需求和政府监管导向,但是忽视了营运目标和战略目标,很难将内部控制与企业的经营管理和战略发展相结合,因而难以调动企业完善内控制度建设的积极性,也削弱了内控制度的积极意义。
第三,控制责任主体单一化,不利于内部控制的实施。企业风险管理框架要求整体中的每个人都对企业风险持主体的风险管理理念,并在各自的责任范围内依据风险容忍度去管理风险。在这个过程中,风险控制者、财务官、内部审计师等都负有相应责任。而我国内控制度的责任主体仅明确为单位负责人,不利于内部控制有效地推行和监控,缺乏全员控制意识。
第四,重视业务细节控制,忽视企业整体风险管理。纵观我国内部控制具体规范,内部控制是按照一个一个业务环节确定关键控制点,设置相应的控制措施。这是控制在实施层面的细节体现,但是缺乏一个整体观。实际控制有效性、风险及控制投入是有一个最佳平衡点的,过于专注于琐碎的控制点而忽视整体控制有效性是企业容易陷入的一个误区。
第五,强调硬性控制,轻视软性控制。软性控制主要是指属于精神层面的控制方面。美国内部控制整体框架把控制环境作为内控的基础,直接影响到其他四个控制要素的实施效果。而我国内部控制还主要强调硬性控制手段和措施。
3.高昂的执行成本
正如前面提到过的,404法案的真正争议点不在于它是否应该实施,而是如何在成本效益的前提下实施。许多企业对404条款的极端抵制情绪也来源于过高的初始执行成本。尽管延后施行,中国企业现在面临的情况却与2004年的美国企业一样,甚至在实施难度上有过之而无不及。根据大多数美国企业适用404条款的情况,高昂的执行成本大致会来源于以下几个方面 :
⑴适应期成本
这部分的成本来源于企业为拉近原有的内控体系和404条款要求的差距所做出的努力,是初始执行成本产生的主要方面。在以往的实践中,不管是公司内部审计人员还是外部审计师都会对公司内部控制情况进行一些方面和一定程度的评价,但是如404条款所要求的那样在整个公司范围内对与财务呈报相关的所有控制进行识别、备案、测试却是前所未有的。对内部控制比较不规范的中国企业更是如此。拿销售业务来说,公司必须从业务流程的起始开始,记录和控制销售合同的签订、订单录入、产品生产、发货、收款、收入确认等一系列环节。处在基层的业务执行人员在这一过程中对控制工作负有责任,而他们中的许多不具备足够的会计审计和内控知识。所以,不管对整个企业还是执行控制的个人,404条款的遵循是一个学习摸索的过程,过程本身需要耗费额外的人力、物力、财力。
⑵时间限制和外部费用
SOX 法案早在2002年7月30日生效,404条款对海外公司的施行时间则被推迟到2006年7月15日后结束的财政年度,比美国大型企业晚了两年。但鉴于中国企业内部控制薄弱,与美国公司已经较为完善的内部控制制度相比尚存在较大差距,给中国企业的准备时间并不宽裕。因而也存在时间限制造成的成本。由于时间紧迫,而404条款的相关规定又存在一些不清晰的地方,这给执行带来困难。此时的企业比较现实的做法是寻求外部咨询人员和顾问的帮助。在中国,具有经验的 404合规方面的专业服务还是比较有限的,大多数在美上市公司还是选择四大会计师事务所,僧多粥少,必然导致顾问费用的上涨。同时,内控审计带来更大的工作量导致审计费用也大幅上涨。在企业年度报表中,一般不会具体披露这一专项费用,但是FEI在2004年对美国企业的调查显示,内控审计的费用比预想中高出40%,占进行内控审计之前一般审计费用的53%。
⑶规定的不清晰性造成的合规成本。
对于大多数执行404条款的美国公司来说,这一过程是伴随着法规制度的不断完善进行的。404条款的正式规定及其模糊,所以一开始公司参照COSO委员会的内部控制整体框架对内控进行完善和评价,而这时PCAOB的2号审计准则还在酝酿过程中。这时,不管是公司还是外部审计师对什么是合适的控制、什么是足够的备案、何种程度属于重大缺陷都没有定论。整个2004年,SEC和PCAOB的相关规定一直在不断出台,企业就要不断地据以调整,许多时候发现由于理解和规定的偏差,需要大量返工,这个过程耗费了大量资源。中国公司比较幸运的是避免了这一迷茫的时期,因为如今2号审计准则已经出台,也有了大量美国企业的经验和教训。但是,一旦规定又有增减变动,这部分成本还是会产生的。因为据调查,很多企业仍不甚清楚如何执行404条款,认为条款的一些规定有待细化。对法案相关规定的调整预期还会继续进行。
4.相关专业人才匮乏
这一点表现在内部专业人员匮乏和外部专业人员匮乏两个方面。内部专业人员主要是指404项目组成员和内部审计人员。一般来说,这些人应该具备比较全面的会计审计知识,也有很多具有审计从业经验。但是,他们在内控知识上可能不完备,需要进行专业培训。不同于一些美国跨国企业的内部专业人员,这些人员往往是没有经历过404合规工作的,在这方面完全不能算专业,只能说比一般员工专业,而这是远远不够的。外部专业人员是指外部审计师和顾问等。这些人员往往是在具有会计审计知识的基础上具有一定内控方面的实际经验,他们在404条款合规方面会比公司内部专业人员权威。但是,有两点值得注意:首先,以往的404条款合规经验通常来源于国外企业,他们的内部控制准备状况和中国企业不大相同,另外中国企业具有许多中国特殊国情决定的特点,在合规工作过程中是需要考量并灵活变通的,在这点上,外部专业人员不一定比内部专业人员更胜任;第二,所谓专业人员也未必专业,只不过他们服务于专业机构罢了。当然,项目组的负责人是具备足够的专业知识的,但实际执行内控审计的人员大部分都比较年轻,缺少专业经验,再加之他们对企业业务流程的细节也不了解,就会造成外部审计师比公司内部人员还迷茫的情况。NASDAQ的调查报告显示,公司普遍认为审计师不能称为专家,只是“又多余、又昂贵的劳动力密集型作业” 。70%的接受调查者认为,审计行业不具备培训到位的员工来执行SOX404合规工作,61%的人认为外部审计人员并没有足够的资格评价他们的内控系统。虽然比较极端,但一定程度上反映了外部专业人员在执行404条款时也有一定局限。
五、中国企业如何遵循SOX404:结构化方法
以上我们了解了SOX404条款的规定和中国在美上市企业由此面临的机遇和挑战,可见,如何顺利开展SOX404合规工作已经是迫待解决的问题。今年上半年,所有在美上市中国公司都将向SEC递交符合404条款的表格。除了新浪、搜狐等少数在NASDAQ上市的中国公司已经提前达到过404条款的要求,对大多数中国公司,尤其是在纽约证券交易所上市的大型国企,这是第一次面临404条款的真正考验。迄今为止,24家在纽约证交所上市的中国公司中仅有4家递交了内控报告。可以预见,这一最初的尝试不可能十全十美,而更多的中国企业能否在他们之后继续登陆美国资本市场,就要看他们的执行情况。因此,404条款合规方面的实务指导非常必要。目前,国内关于内部控制的制定、实施、评价的理论研究已经十分深入和广泛,但是却很少有专门针对SOX404条款的实务方面的指导,将理论运用于实际尚有一定困难。以下文章的内容就试图提出一个普遍的遵循方法。
(一) 选择合适的内控框架
企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善、规范。国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等。PCAOB于2004年推荐使用COSO框架,随后获得了SEC的批准。SEC的认可表明COSO框架已正式成为内部控制框架的标准。我国企业可以按照 COSO框架建立企业内部控制制度,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内部控制机制。
1.COSO框架关于内部控制的定义
现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架。其中,对内部控制的定义为:内部控制是由企业董事会、管理层和其他员工实施的,为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年,COSO委员会进一步将内部控制的涵义拓宽为企业风险管理,但是企业风险管理整体框架实际上并没有取代内部控制整体框架。所以本文对内部控制框架的选择还是采用了后者,以符合现行规定。
2.COSO框架的三个维度
COSO框架提出了内部控制制度的三维结构(见图5-1 )。第一维度是内部控制目标,即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架,即要求对于给定目标(如财务报告可靠性目标),管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。 
3.理解内控框架的注意事项
①COSO对内部控制的定义是一个过程,而不是结果。过程与结果之间有一定的对应性,但是结果的失败,比如产生了目标偏差,并不代表过程是有缺陷的,相反,结果达成了目标,也不代表控制过程是有效的。因此,公司应注意在评价内控有效性时,针对的是内控过程。
②内部控制系统是为基本的业务需求而存在的。COSO框架认为内部控制是内嵌在组织的业务流程之中的,而不是独立的附加在公司已有系统之上的。
③内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定,它承认不同的组织可以根据自己的情况选择不同的控制方法。此外,内控制度的设计应具有灵活性,始终保持其在动态环境下的有效性。
④内部控制提供的是合理的保证。COSO框架承认内部控制的局限性,即不论内控系统的设计和运行多么完善,亦只能提供合理范围内的保证。内部控制失败(内控目标未能实现),并不意味着系统是失效的。这在内部控制报告中有所体现。
⑤内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响,构成一个对环境动态反应的有机整体。
(二)识别关键控制
管理层对内部控制有效性的评价是基于整体内部控制,而不是个别控制或控制环节。控制的各个组成部分如前所述,是相互联系、交互作用的,但其中一些控制对整体控制的有效性具有主导作用,这就意味着我们在评价内控有效性的时候应该着眼于关键控制。因而,企业应先识别出关键控制。
关键控制同时存在于公司层面和流程层面,以下我们分别来说明:
1.公司层面关键控制的识别
公司层面的控制构成控制体系的基本构架,是更宏观的控制,对于流程层面控制的设计和实施都会产生比较深远的影响。根据大多数企业的情况,我们认为以下的公司层面控制一般属于关键控制:①公司文化②人事政策③计算机一般控制④组织目标和控制结构的对应⑤风险识别⑥反欺诈政策⑦财务报告流程⑧系统范围的监控。
2.流程层面关键控制的识别
404条款要求评价的是财务呈报内部控制,因此我们在决定关键控制时就要考虑该项控制对财务报告的影响。关键控制应是指那些对重要财务报告会计科目余额和披露有重大影响的控制。我们可以先阅读一下财务报告,分析关键的财务报告要素,再从每个关键财务报告要素出发,寻找对应的关键控制流程。
对财务报告要素进行优先排序时应首先考虑其相对财务报告的重要性水平以及错报的可能性。除此以外还要考虑下列其他因素 :①会计准则的复杂程度;②重要会计估计方法的主观性和可靠性;③企业业务变更的程度以及其对内部控制的预期影响;④财务报表中存在潜在重大错误或遗漏之外的风险,例如非法行为、利益冲突、管理层未经公司授权使用公司资产等;⑤公司曾经出现过的或行业内普遍存在的问题报表项目,例如收益确认、储备计算等;⑥管理层是否要求记录那些与一般不会出现重大错报且可以被合理预测的会计科目相关的流程,例如,对大多数公司来说,工资是可以合理预测的,但其在销售成本和一般管理费用中占有较大的比重,因此,鉴于对有关工资的活动进行管理和控制的需要,管理层或许会要求记录与工资相关的流程及内控。
主要财务报告要素确认后,对其有重大影响的即为关键控制,可采用下面两种方法加以确认 :
第一种方法是,针对可能会对关键财务报告要素产生重大影响的交易和相关控制系统,梳理其交易流程,确认关键控制。这可以通过将业务和相关控制系统分割成数量有限但相互联系的交易流程来实现,该交易流程是机构进行交易时所发生的主要的同类经济事项。收益、采购、薪金、换算、财政和财务报告均属于这种交易流程。
第二种方法是,将业务分割成其实际的流程。理想的情况是先系统分类流程,而不是为应付考核而选择性的梳理流程。业务被分割成不同流程后,项目小组再确认关键流程,以审核相关风险和内部控制。关键流程的确认须根据它对财务报告(或者业务)的重要性、出现内控缺陷或者流程发生问题的可能性来进行。这样,关键流程便与主要会计科目及披露事项联系起来,从而建立其与财务报告的相关性。
(三)形成文档记录
找出关键控制后,应该进行针对所有关键控制的文档记录。文档记录能够增强内部控制可靠性,支持内控系统监督,评价内控设计和执行的效果,同时又为PCAOB的2号审计准则所强制规定,是404条款执行中的重要环节,同时也是成本大项。这一阶段的工作主要是检查现有文档是否完善,并补充缺失的文档,为内部控制有效性的评价做准备,其工作流程如图5-2所示。 
控制文档应包括与关键控制目标对应的控制政策和措施、可追溯至重大错报源头的业务流程描述、控制措施的负责人和执行方法。
控制文档亦包括公司层面和业务流程层面。公司层面的关键控制文档包括公司治理文档、人力资源政策文档和员工手册、财务政策手册等。业务流程层面的关键控制文档包括流程图、流程每个环节的文档、每个环节的风险及补救措施等。在准备业务流程层面的控制文档时,我们应该以有效掌握业务流程的全貌为原则,从关键帐户开始,追溯信息的流动,直到信息产生的源头,其中所有引起信息的处理和变动的文档都是关键文档。
(四)测试和评价公司层面的控制
建立了内控制度后,按照404条款的规定,公司还要进行内部控制的测试和评价。在进行控制测试的时候,对公司层面的评价应该尽早进行。如果公司层面的控制存在重大问题,那么这些问题应首先被发现并更正。如果公司层面的控制很强,可以降低对流程控制的依赖性,也可以降低测试要求。如果公司层面的控制较弱,外部审计师可以对是否存在较强的公司层面的控制做出“合格/不合格”或者“通过/不通过”的决定。较弱的公司层面控制将会造成对流程控制的依赖性以及测试要求的提高。公司层面的评估可以被细分为4个步骤进行:
1.测试公司层面关键控制
在前面的步骤中,我们先识别出了公司层面的关键控制,之后又据以准备了控制文档,接下来要做的事就是测试这些关键控制的有效性。对公司层面关键控制的测试手段会比较特别,因为公司层面的控制对财务报告的影响是非线性的、间接的,这就意味着不能像面向交易的业务层面控制一样通过可量化的方法来测试。一些常用的测试方法包括员工问卷调查、管理层问答、计算机一般控制、文档回顾。针对不同的关键控制应该使用不同的测试手段,如表5-1所示。 
2.评价公司层面关键控制
不论以何种方式评估公司层面控制,其目标都是记录那些现实存在的公司层面的控制。需要注意的是,对公司层面控制是否有效的评估基于管理层的判断,是比较主观性的,但是管理层应该清楚地认识到控制是作为一个整体来评估的,个别部分未达到最高可靠性不必然影响控制整体的可靠性,并且控制提供的是合理范围而非绝对的保证。
3.收集支持性证据
项目组应该将所进行的测试和结果做出证据予以保存,这一方面是公司评估控制有效性工作的一部分,也是对外部审计师内控审计的配合。外部审计师将据以评判公司的评估过程,并通过部分采用公司测试的结果来减少他们自己的工作量。
4.与外部审计师进行沟通
公司层面的审核完成后,管理层应该与外部审计师一起对总体结论、有关支持性证据以及对流程层面的控制评估造成的影响进行审核。管理层与外部审计师定期就检查结果进行交流可防止日后出现意想不到的情况。
(五)测试和评价流层层面的控制
1.寻找关键流程的关键控制点,评价控制设计有效性
在第二步中,项目组已经找出了流程层面的关键控制,下一步就是与关键流程负责人共同确认流程中的关键控制点。确认关键控制点时,项目组要逐一选择与风险相关的重要控制活动。在流程图中寻找关键控制点时,应与流程负责人一并分析有关流程。在对风险和控制点进行记录后,项目小组要评估有关控制是否按照其设计意图,确保已将风险降低到可接受的水平,即合理保证重要的财务错报能够被预防或及时发现。如果存在重大的设计缺陷,则需要在检测运行有效性之前予以改进。
2.评价控制运行有效性
对控制运行有效性的测试应该能够让测试人员了解控制程序、控制执行人、控制的连贯性。有效性测试有以下几种:①员工问答,员工问答的目的是确认测试人员对控制设计的理解并识别未按照设计进行控制的事项;②基于业务的测试,这类测试中测试人员通过检查第三步形成的文档来确认控制是否按规定运行,并可以重新运行这部分流程来确认控制运行的有效性;③对照调节表,这种测试和审计师审计银行存款余额调节表很类似,就是看是否定期对照,偏差是否及时解决;④观察测试,对于不经常发生的控制活动如实物盘点,观察也是一种测试方法,但有时需要其它测试的补充才能保证严密性。
3.基于测试结果评价控制
如果测试的结果显示控制程序按照规定进行且没有缺陷,那么我们可以得出结论认为流层层面的控制是有效的,如果测试结果显示控制的设计或运行有效性存在缺陷,那么公司应该对流层层面控制有效性进行判断。同样应该注意,所谓控制的有效性是就整个控制体系而言,我们在评价流层层面的控制时应该看它是否保证信息在处理过程中没有失真,而不是看单一控制环节执行成功与否。
4.搜集支持性证据和与外部审计师定期沟通
搜集支持性证据的必要性如前面公司层面控制测试中所述。另外,由于404条款规定外部审计师要对企业内部控制自评过程和结果进行评价,因此公司在进行流程层面控制有效性的测试时应考虑外部审计师的意见。如果外部审计师认为测试不足以证明管理层对内控有效性的结论,公司就会被要求进行额外的测试,因此公司在测试开始之前就应该就测试方案与审计师达成共识,而测试过程中也应定期与审计师讨论进展情况。
六、中国网通对结构化方法的运用
中国网通是一家在香港和纽约两地上市的中国企业,虽然其业务实体均在国内,但是根据SOX法案的要求,亦应在2006年7月15日后结束的财政年度达到SOX法案对内部控制的要求。因此在2004年11月首次境外IPO的前夕,中国网通便着手开始404条款合规的准备工作。截至今日,中国网通已经向 SEC递交了2006年度6-K表格,其20-F表格预期将于2007年6月提交。中国网通加强内部控制建设的“COSO内控项目”主要经历了四个主要阶段。这几个阶段与前述的结构化方法有一定的对应性,可以看作是该方法在国内运用的一个例证。
第一阶段是调研和计划阶段,包括了以下两个子阶段:
1.了解中国网通的构架和业务,建立内控项目组织机构
根据中国网通的架构和业务,成立内控项目组织机构。设立由公司总经理领导的内控项目领导小组,下设财务总监领导的内控项目工作组。内控项目工作组下设内控项目办公室(PMO),PMO下设公司层面控制(COSO)组和专业工作组。专业工作组分为财务、市场、计费、网络运营、采购、人力资源、资产、IT共8个小组。其中公司层面控制组的目标是确保内控机制的有效运行,专业工作组则致力于保证财务报告真实可靠。这是应对 404条款的基础准备阶段,亦可称为组织准备。在结构化方法中,我们并未将其单独列为一个步骤,主要是因为这个步骤不牵涉内部控制制度建立和评价的技术方面,且比较简单,只需注意分析企业的构架和业务分支,对项目组进行合理安排。但是应该注意,这一阶段是每个公司遵循404条款的必经阶段,不容忽视。
2.进行风险评估,确定项目的范围和计划
这一阶段主要是梳理会计政策、业务流程,从而揭示风险并定义关键控制流程。首先,公司着力建立符合境外会计准则的内控体系。过去的中国网通一直按照中国的会计法、会计准则和会计制度建立内控体系,这与美国准则存在差异,需要进行调整。这部分工作对应了结构性方法中的第一部分,即选择合适的内控框架。COSO框架是SEC和 PCAOB均认可的内控体系框架,中国网通选择的即是该框架。其次,对流程进行说明,确定关键控制流程。公司规定对每一项经济业务的初始点到终点的环节做出描述,并将相关环节串起来形成流程关系,然后找出重要的业务活动作为关键流程。通过揭示风险,梳理业务流程,再经过专家和网通总部各部门共同认定,确定列入内控范围的流程。这部分工作对应的是结构性方法中的第二部分,即识别关键控制。中国网通在确认关键控制的时候是采取了第二种方法,即先分割流程,然后确认关键流程。
第二阶段是内控体系设计阶段。具体指制定流程层面的内控文档并对内控设计的缺陷提出改进建议,同时根据内控文档制作内控标准模版。中国网通对每一个流程按照流程图、流程描述、风险描述及控制文档三个构成要素形成文档记录。流程图描述了每个业务的流程关系和从起点到终点设置的全部岗位,并表明哪一个环节是风险控制点;流程描述,即结构化方法部分所指的流程每个环节的文档,包括对每个环节的任务,如做什么、怎么做、控制人、完成时间等进行描述;风险描述及控制文档中应包括风险补救措施。这些正是结构化方法中形成文档记录阶段所要完成的工作。
第三阶段是整体推广阶段。中国网通将内控模版在现有上市实体中进行推广,规定内控推广需完成的工作成果应包括:流程描述、流程图、穿行测试文档索引、穿行测试文档、电子表格控制表、控制矩阵、内控管理问题汇总表、内控管理建议书。这部分内容实际是规定了公司执行404条款过程中所需完成的关于内控体系建立、测试和评价的全部文档。因此与结构化方法的第三、四、五部分对应,属于对支持性证据的要求。
第四阶段是符合性测试及改善阶段。中国网通对404项目范围内的省市公司进行两轮合规测试,对于内控缺陷进行整改。首先分流程组检查各分公司文档的更新情况,根据更新后的文档制作本地化测试底稿。第二步了解本地控制活动的执行状况,检查标准测试方法的可行性,确定样本量。第三步确定需测试的控制活动和控制文档。第四步测试并汇总结果。第五步对控制缺陷进行整改,使通过整改的内控系统满足404条款的要求。这实际对应了公司层面和流层层面的测试和评价。其中对控制缺陷的整改亦是内部控制评估的必然结果,在实务工作中基于自评估和内控审计结果进行,也包含在结构化方法的框架中。
总之,对于中国网通等在美上市中国企业来说,其管理水平大多处于从传统科学管理向现代企业管理过渡的阶段,内部控制制度才刚刚走向规范化,距离一些美国本土企业的成熟做法和成果还有很多缺陷和不足,但是按照SOX法案的强制监管要求建立完善企业内控制度是一个良好的契机和重要突破口。虽然本文所提出的结构化方法比较新,并且在实践过程中还在不断地完善着,但是这一方法在国外已经受到了广泛采用,具有普遍的适用性。有了中国网通的成功经验,中国企业参照该方法预期将可较好的完成404条款的合规工作。
资料来源和参考文献
中国注册会计师协会,行业发展研究资料——美国萨班斯法案
NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002, April 13, 2005
FEI Special Survey on Sarbanes-Oxley Section 404 Implementation Executive Survey,
July 2004.
付秀娜,不同公司治理结构模式比较研究,天津市财贸管理干部学院学报,2006年第2期,p12
陈汉文、吴益兵、李荣、徐臻真,萨班斯法案404条款:后续进展,会计研究,2005年第2期,p83
余成国,中国移动内部控制问题研究,[学位论文],华中科技大学,2006年
刘迎宾,“萨班斯法案”对在美国上市的中国企业影响分析,经济师,2006年第2期,p59
阚京华,我国内部控制制度性缺陷,中国审计,2006年第9期,p60-61
Larry E. Rittenberg and Patricia K. Miller, Sarbanes-Oxley Section 404 Work: Looking at the Benefits, p16-17
Ramos, Michael. How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John Wiley & Sons, Incorporated, 2004.
阳杰、黄昌勇,《萨班斯法案》404条款遵循的若干实务问题研究,广东商学院学报,2006年7月总第87期,p66
Protiviti, Frequently Asked Questions Regarding Section 404, Protiviti Inc, 2004(9),p48-52
孙启伟,建立符合《萨班斯法案》要求的辽宁网通内控制度,辽宁经济,2006年第8期,p77
中国网通内控体系建设初见成效,通信世界,2006年7月31日,A10
