萨奥法案对中国上市公司内部控制的启示(下)

1、_萨奥法案对中国上市公司内部控制的启示(下) _ 3美国大型上市企业是指普通股总市值大于7 亿美元的上市公司；普通股总市值大于7500 万美元且小于7 亿美元的上市公司被认为是中型上市企业；普通股总市值小于7500 万美元 的上市公司为小型上市企业。 的研究发现，萨奥法案实施后其实外国公司并未表现出明显回避在美上市的迹象。从上市规模来看，外国公司在美上市的情况很不错。在去年美国208宗ipo交易中（不包括投资基金和封闭式基金的上市交易），外国公司有34宗，占16%，这个比例在过去20年中是最高的。去年外国公司在美上市交易数量与2005年相当，而且也是萨奥法案实施以来的最高水平。据thomson

2、 financial统计，去年在美上市外国公司的ipo融资规模为106亿美元，而当年美国所有ipo交易的融资总额为453亿美元，也就是说，以融资规模来衡量，外国公司的比例达到了23%，这是1994年以来的最高水平。thomson financial旗下资本市场研究部主任理查德彼得森(richard peterson)说，从统计数字来看，不论是以上市融资规模还是以ipo交易的数量来衡量，外国企业在美上市的情况都很健康。说到萨奥法案的影响，目前看来，该法律似乎并未对美国ipo市场造成重大冲击。(四) 应用案例 由于萨奥法案404条款一定程度上推动了企业it系统的升级，并加强了公司高层对整体运作的控

3、制力，同时，为满足提交更优质财务报告的需要，上市公司被要求加大对会计基础制度方面的投资，增强会计控制能力，因此，自404条款去年正式实施以来，从遵循条款规定的公司的执行效果来看，其对于内部控制的强化过程不仅可以确保公司财务报告的可靠性、防范欺诈行为发生，而且长期来看还可以帮助企业降低成本和提高生产率。 以下案例正说明了这点： 美国必能宝邮件设备公司(pitney bowes inc.)去年在加强内部控制上的执行成本为1200万美元，但由于机构的精简和生产效率的提高，该公司今年就可以节省50多万美元。 美国基因技术公司（genentech inc）为适应404条款要求，安装了新式计算机系统，这让

4、他们不仅加强了内部控制，而且有更多的时间分析数据，比如48小时内某一客户一共发来了多少订单，在此之前这家公司仅停留在信息收集上，他们很少对数据进行分析。 货运公司hub group inc.的首席财务官托马斯怀特指出：“一旦你将工作流程制度化，新员工一进入公司就会接受这一事实，企业的效率因此也就会得以提高。”4 国际财务执行官组织(fei)负责人玛丽德里斯科尔称，404条款的执行还暴露了很多公司在治理方面的缺陷。以思科系统公司为例，这家公司第1年在执行内部控制上的成本为5000万美元和24万小时的内部人员投入。但在增强内部控制的过程中，思科的高管们也认识到可以将计算机硬件的销售和提供服务支持结

5、合起来，这样客户就可以享受一站式服务，并因此更乐意同思科开展合作。思科公司一位负责财务的高级主管称，404条款“让我们确保在客户打来电话时，硬件销售和服务支持都已融为一体”。 事实上，404条款遵循成本每年都会发生，遵循第一年是代价最高，包括关键内部控制的初始存档和补救、应对复杂报告要求的一般挑战等等，一年过后遵循成本会大幅度减少。尽管遭到执行成本过高、成本效益不配比的诟病，404条款的长远意义在于使内部控制机制更完善更有助于加强对员工的管理和培训，从而使得企业本身和投资者更有效率效益。 2004年准备工作过后，美国上市公司已经基本具备了内部控制所需的财务基础。普华永道会计师事务所主席丹尼斯纳

6、利表示，上市公司今年在内部控制上的成本将比去年低25%至35%，但外部审计费用可能不会降低，去年美国大公司的外部审计费用上升了55。必能宝邮件设备公司的首席财务官布鲁斯诺罗普预计，今年该公司的内部控制费用和外部审计费用将一共达到大约800万美元，虽然这笔费用不低，但它可以被视为防范财务欺诈所必需的代价。而且，如果上市公司能充分利用其积极的一面，将经营的其他方面变得更有效率的话，这笔支出就更无足轻重了。5 _ 4中国内部审计2006年第9期 5经济参考报2006年8月28日 可以看出，萨奥法案对内部控制的严厉要求旨在对企业和股东利益最大化目标能否实现做出积极的保障，因为正如前面所述，内部控制目标

7、的实现才是最根本的基础。 四、中国上市公司的内部控制现状 (一)内部控制问题在中国 1997年5月中国人民银行颁布了加强金融机构内部控制的指导原则，这是我国第一个关于内部控制的行政规定。这之后，财政部、证监会以及新会计法都对内部控制制度做出了相关规定,包括内部会计控制规范-基本规范、内部会计控制规范- 货币资金、内部会计控制规范- 采购与付款等等, 内容主要是以单位的内部会计控制为主, 同时兼顾与会计有关的控制, 它们是我国企业管理层建立健全有效的内部控制的依据。为了规范注册会计师执行内部控制审核业务, 明确工作要求、保证执业质量, 中注协制定发布了内部控制审核指导意见, 并从2002 年5

8、月1 日起参照执行。但这些规范和意见多为书面功夫，上市公司并没有把内控问题放在企业重头，财务报表的真实性依旧无法得到有效保障。 在蓝天、银广夏以及科隆事件的影响下，以及2007年1月起中国上市公司应用与国际趋同的新会计准则的作用下，企业的内部控制制度是否切实制定是否真正实施能够马上通过企业外部治理涉及的市场来反映，公允价值衡量企业价值的本身能够一定程度上激励企业注重管理和实实在在地在竞争中努力。内部治理的好坏如今已经完全可以迅速地在商战中反映出来，舞弊问题终究会被翻查出来，而管理层收购(mbo)、衍生期货交易中企业是否存在道德风险等，也在越来越严格和完善的制度中有所规范。 我国目前内部控制在理

9、论界并没有形成一致的意见，并且基本上仍然停留在内部控制结构阶段，在实务操作过程中更是更多地将内部控制制度限定在会计控制的范畴内。中国经营报引用在安达信做了多年审计的友联时骏企业管理顾问有限公司总经理梁文昭的话：“目前，国内企业的内控程序多流于流程，监管不力，将很可能无法预防年报中存在的重大虚假陈述。” 随着萨奥法案出台和全球对于内控问题监管的重视，中国国内也明显加强了对企业内控管理的监管力度： 2005年3月30日，上海证券交易所发布上海证券交易所上市公司内部控制制度指引（征求意见稿），基本涵盖了上市公司内部控制的各个环节和层面。 2006 年5 月17 日, 证监会发布了首次公开发行股票并上

10、市管理办法, 其第29 条明文规定“发行人的内部控制在所有重大方面是有效的, 并由注册会计师出具了无保留结论的内部控制鉴证报告”, 这是证监会首次对上市公司内部控制提出具体要求。 2006 年6 月5 日, 上海证券交易所出台了上海证券交易所上市公司内部控制指引，强制要求上市公司在年度报告发布的同时披露年度内部控制自我评估报告，公布开始前所未有地关注公司治理，强调内部审计的重要性。 2006 年6 月6 日，国资委发布“ 关于印发中央企业全面风险管理指引的通知”。 2006 年9 月28 日,深圳证券交易所公布上市公司内部控制指引, 文件明确规定: 深市主板上市公司自该日至2007 年6 月3

11、0日期间, 必须建立起完备的内部控制制度； 在2007 年7 月1 日文件正式生效后, 上市公司均要按要求披露内控制度制订和实施情况。 我国对内部控制的片面认识还源于不够系统地整体性地去对待内部控制制度，存在的问题具体如下： 内部控制被认为只是书写内部控制制度 很多企业想当然地认为，制定出一套有关部门或主管单位所要求具备的制度规范以应付检察工作就是建立了企业的内部控制制度；认为内部控制制度只是防止错误和舞弊的书面规矩，分工体系和审批授权就是内部控制制度。 大股东或者关键人物凌驾制度之上 我国基本处于内部控制结构阶段，许多企业存在大股东或者关键人物凌驾规章制度之上、董事会定位不明，缺乏分工、人员

12、素质不高等问题。 3内控监督性不高使得经营者有漏洞可钻 我国企业股东的权益意识淡薄，这一定程度上对经营者的约束力虚化；同时，商业银行作为主要资本提供者缺乏应有的监督权，公司经营者容易滋生道德风险。 4内部控制未与企业目标联系起来 将内部控制被理解为资产安全控制、成本控制这些微观目的上，而不是将其于企业宏观的经营目标联系起来。内部控制作为一种手段一个系统，它的存在是为了确保企业目标的实现。正如前面所述及到的现代企业委托代理的情况普遍存在，股东虽然要对企业的运转进行控制，但由于股权日益分散，更多的股东只能通过企业披露的有关信息报告来了解企业的运营情况。所以企业目标的设立应当体现出股东的目标，即财富

13、最大化，这一目标的实现需要企业作为一个组织的整体运行起来。 5执行力和监督力欠缺 在实务中，许多企业是制定了书面性的内部控制制度，但这些文书只是应付例行检查，公司内部势力关键人依旧我行我素按照自己的意愿来经营企业。另外，也有一些企业制定内部控制制度时存在不合理性，授权与操作人员不分离就为舞弊这种行为埋下隐患。同时，在内部控制的监督过程中，许多企业内部审计部门形同虚设，内部控制的自我评估并不，即企业定期或者不定期地对企业内部控制完整性、有效性及实施的效果进行评估，在我国目前阶段尚未形成气候。这当然与国有企业本身缺少建立内部控制的动力有关。 2004年中国人寿因财务违规行为被股东提起了集体诉讼。之

14、后，更是连续有ut斯达康、中航油、前程无忧网站、新浪等数家公司在美遭遇 “提供虚假信息”和“隐瞒重大事实”的集体诉讼。 按照coso报告，内部控制的目标包括：取得经营效果和效率；保证财务报告的可靠性；保证遵循适当的法规。coso委员会对控制的目标包括的内容宽泛，尤其是取得经营效果和效率，企业达到这一目标要涉及企业方方面面的活动，也涉及到对经营取得效果的考核和对经营效率评价标准的取向问题。 我国内部控制目标的定位主要局限与保证业务活动的有效进行，会计资料的真实、合法与资产的安全和完整。这种目标定位相对低调。从长远来看，随着经济发展和企业状况改善，目标定位应相应提高。不仅需要借鉴国际上有关内部控制

15、的目标定位，同时也需考虑中国国情，从改善中国企业现状和完善公司治理的角度出发。 (二)重视内部控制问题的紧迫性 我国公司在境外上市后将面临更加开放的经营环境、更加严格的监管标准和更加激烈的市场竞争, 而内部控制提高的原动力是公司自身发展、逐步向监管法规靠拢的需要。由于萨奥法案的严厉规定和考虑到成本效益，中国企业比如建行、工行以及中信银行等ipo没有选择美国作为上市地。但是建立完善的内部控制是企业迟早要做的事，开始得越早成本越低。与萨奥法案遵从类似的法案也在陆续出台，例如，pcaob 已经在香港设立办事处将会对在香港上市企业开始404 法案的要求6，以及上述提及的中国近来出台的相关规范。所以，与

16、萨奥法案类似的规范将成为全球的趋势，中国上市公司必须尽快建立和完善企业内部控制制度，以便及早地适应和降低日后的执行成本。 _ 6中国金融电脑2006 年第8 期中国人寿保险股份有限公司信息技术部吕广超 对于建立和完善企业内控体系必须明确其核心内容和基本要求：企业财务风险防范制度充分发挥作用是企业内控体系的核心内容；保证会计信息尤其是子（分）公司会计信息的真实性是其基本要求。 1. 企业财务风险防范制度充分发挥作用是企业内控体系的核心内容 财务风险是指企业财务活动中，由于各种不确定因素的影响使企业财务收益与预期收益发生偏离，因而造成蒙受损失的机会和可能。防范企业财务风险要从内外两个方面着手：企业

17、外部的财务风险主要来自于投融资环节，要通过加强投融资风险控制的力度来防范；而企业内部财务风险的防范则主要靠建立完善的内部控制体系来进行。 如何使企业财务风险的防范制度充分发挥作用，避免财务风险所导致的企业财务危机，是企业建立和完善内控体系的核心内容。企业不仅应该在进行筹资、投资、资金回收、利益分配各项决策时考虑到财务风险，更重要的是通过对企业的现金流量表、获利能力、偿债能力和营运能力四大指标所提供的财务信息进行分析，找出产生偏差的主要原因，建立财务风险防范体系，使企业经营者能及时预见各类潜在的财务风险，最大限度地控制财务风险，获取经济利益。 为从内部控制入手，有效控制公司的财务风险，重振投资者

18、对上市公司财务报告的信心。2004年10月，美国coso发布了企业风险管理整体框架的报告，明确指出企业风险管理是指处理那些影响价值创造或价值保值的事项。报告要求企业管理层要在“规避、接受、减少或共担风险”四种风险反应中做出选择，要采取一系列行动使风险反应选择和风险偏好及风险容忍度相一致；另外，企业应制订和执行一系列政策和程序，以保证管理层有效地执行了风险反应选择。 2. 会计信息尤其是子（分）公司会计信息的真实性是内控制度的基本要求 会计信息是一种综合性的经济信息，在微观管理、宏观调控及促进经济发展等方面，都发挥着巨大作用。会计信息真实与否直接关系到信息使用者的决策是否合理有效。经济活动越复杂

19、，会计信息在经济决策中的作用越大。如何采取积极有效的对策，减少会计信息的错误及舞弊，保证会计信息尤其是子（分）公司会计信息的真实性，是建立完善企业内控制度的基本要求。 随着现代会计的发展，会计职能因其复杂性和专业性而从公司内部分离出来，成为一个独立的行业，而审计的作用在于向非会计专业投资者保证企业披露的信息是可信的。为了谋取利益，有些会计师在对上市公司进行财务审计的同时又为上市公司提供会计咨询服务。这种缺乏独立性的审计无法保证公司披露信息的真实性、公正性。为消除因上市公司一系列财务丑闻而引起的公众对上市公司会计信息真实性的担忧，“萨奥法案”对上市公司财务信息披露提出了更为严格的要求，要求强化财

20、务信息披露义务： 由sec制定规则，要求公众公司披露对公司财务状况具有重大影响的所有重要的表外交易和关系，且不以误导方式编制模拟财务信息； 由sec负责对特殊目的实体等表外交易的披露进行研究，提出建议并向国会报告；主要股东或高级管理者披露股权变更或证券转换协议的强制期间由原来的10个工作日减少为两个工作日； 由sec制定规则，强制要求公众公司年度报告中应包含内部控制报告及其评价，并要求会计师事务所对公司管理层做出的评价出具鉴证报告。 对会计行业统一有效的监管能保证对上市公司有效的外部监督；确保会计信息的真实性，企业的内控制度才能够行而有效。我国因此迫切需要建立完善企业内控制度，保证会计信息的真

21、实披露。 (三)萨奥法案给中国上市公司的启示 如今海外上市的中国企业对于严厉的萨奥法案进行了大量的研究和规范工作。萨奥法案在给中国公司在美上市带来严峻考验的同时，也给我们带来了通过法案强化公司内部控制、提高公司治理水平的机会。对违反内控制度责任人处罚不明、处罚不重是导致中国企业违反内控制度案件频频发生的重要原因。因此，中国应充分借鉴萨奥法案，出台公司内控的法律规范，强化公司内部控制，尤其是强化上市公司管理层的内控责任，用法律制度保障违规事件的发生。 中国上市公司，尤其是国有控股的上市公司，一直被要求建立与完善内控制度，使上市公司内控制度能开始真正发挥作用。但至今中国上市公司在这一问题上距离萨奥

22、法案的要求还有很长的路要走。从中国上市公司及大多数企业的具体情况看，建立和完善内控制度，面临的是如何抓住重点并解决难点的问题。 1. 建立和完善以统一收支结算为基本内容的财务风险防范制度 建立和完善企业内控制度，其重点和难点之一就是：建立和完善以统一收支结算为基本内容的财务风险防范制度。“中国式集团公司体系”的组织形式及多级法人治理结构，诱发了大公司或集团的财务风险。在多级法人的治理结构下，每一级次的子公司既控制资源又使用资源，并且都独立行使财务支配及收支结算权。 子公司对包括资金在内的资源控制而导致的结果是：随着母子公司资产规模的扩大，权利与利益逐渐向子公司层面扩散，而风险与责任逐渐向母公司

23、层面集中。若干个子公司风险的转移，尤其是某一时段的风险集中转移，容易导致总部不可控制的财务危机。财务风险防范成为公司建立完善内控制度的首要工作。 而在统一收支结算条件下，公司总部要统一控制公司的融资与投资，子公司没有融资与投资权。子公司董事会只是形式上的权利机构，而不是独立的权利机构。子公司被纳入到总部全球统一控制资源和统一配置资源的组织架构中，要完全接受总部的指令和指示。有效避免风险集中转移造成的财务风险。 因此，为有效防范财务风险，必须建立母子公司体系内的统一财务控制与收支结算，在全球或全国范围内实现事业部及子公司收入与支出的统一、事业部及子公司员工标准与薪酬支付的统一；事业部及子公司采购

24、与配送的统一、事业部及子公司品牌标识与研发广告的统一。 2. 强化企业会计信息真实性及其披露的及时性与准确性 企业会计准则中把客观性原则列为会计核算十三条的一般原则之首，客观的会计信息必须是内容真实、数字准确、资料可靠，具有真实性、可靠性和可验证性的会计信息。把会计信息的真实性放在首位来谈，足见会计信息的重要性。经济全球化带来资金的全球化流动，而会计是指引这种流动的数字语言。只有保证及时、准确的披露真实的会计信息，才能保证资金全球流动的健康性。 对于中国企业来说，遵循萨奥法案的难点在于：如何依照法案的要求对照美国coso报告的理论体系，建立企业自身的内部控制系统。按照萨奥法案的要求，每一个上市

25、公司不仅要建立内部控制体系，并且要有明确的证据表明企业有效地遵循了内部控制的规定，对于需要内部控制的每一个关键环节要制订相应的过程文件并进行测试，以保证有据可查，同时还要指出企业内部控制的不足等等。 coso报告对404条款提及的“公司管理者需要提交的内部控制报告”的内容作了非常严格的规定，把建立内控体系定位成企业运作管理的重要手段，内容涵盖了企业生产经营活动的全过程，包括控制环境、风险评估、控制活动、信息与沟通、监督等，远远超出了我国内部控制规范所指的资产保值增值、会计资料翔实可靠等较小的会计领域。我国多数拟到美国上市的企业都没有达到“萨班斯法案”所要求的内控系统的水平，这严重阻碍了他们进入

26、境外资本市场进行融资。因此，中国迫切需要通过法律法规的修改建立和完善企业内控制度。 2006年7月15日，也就是44家在美上市的中国内地企业迎来萨奥法案考验的当天，经国务院批准，由财政部牵头发起，证监会、国资委共同参与成立的“企业内部控制标准委员会”在北京正式成立，“会计师事务所内部治理指导委员会”由中国注册会计师协会发起成立。 我国政府及相应的委员会，将借鉴美国萨奥法案的做法及相关条款，修改我国的法律法规，积极推动中国企业建立和完善内部控制制度。 由于企业内控制度不仅仅是财务部门、企业经营者的职责，它是需要整个管理体系内各组织结构共同参与的一项管理活动。健全的企业内控制度，实际上是完善的法人

27、治理结构的体现。 法人治理结构需要内部控制的监督来保障，它是贯穿于整个组织的各个层次的,包括股东、董事会、董事会委员、高层管理者、内部和外部审计师都是主要的参与者（见图4）。由于追求利润和增加股东收益是公司的经营目标，股东自然成为整个监督程序的最终受益者。越来越多机构投资者聚集大规模资金持有企业大量的股票进入组织的内部，他们代表着背后大批委托人作为非管理层股东的意愿。如此一来，特别是对于上市公司，机构投资者相比内部如何监督和治理，更看重的是市场表现和股指升降，他们的意愿在一定程度上弱化了管理。而董事委员会则对内部控制的效果承担了最终责任。 不同组织结构和组织目的它的董事委员会的组成形式也有所不

28、同，董事会按照最合适自身组织发展的要求来进行委员会结构的确定。由于内部审计是内部控制制度中重要方面，在降低公司内部舞弊行为起着积极的作用，许多企业设计了独立的内部审计部门，使其职能独立于高层管理者，以避免在提供内部控制的目标和评估时做出客观的不受干扰的报告。 目前比较一致的说法是，业务复杂性程度越高和公司规模超过2000个以上的股东人数的，公司的董事必须委派运作的权威和责任，由内部控制的监督过程来督促董事会履行责任时的审慎。但是往往一个既定存在的公司就算与时俱进地制定了内部控制制度，也只是当作摆设我行我素，或者是被误导或假设内部控制已经有效。 因此，建立完善企业内控制度必须明确并强化企业内控制

29、度的责任主体。萨奥法案在这个问题上给与我们的启示有： 1. 企业内控责任应明确到管理层中的具体成员 健全有效的内部控制，能够确保资产的安全完整、会计信息的真实有效和经济秩序的通畅有序。萨奥法案对ceo和cfo提出了严格的要求：要求ceo和cfo宣誓保证公司账目的准确性，增加董事会、独立董事和管理人员的责任，并定期进行财务披露，内容须包括管理层和主要股东的关联交易；ceo和cfo要就有关披露控制程序的有效性发表声明，承诺“定期报告中的财务报表和信息披露是适当的，所有重大方面都公正地报告了公司的运营和财务状况”。 企业内部控制是整个管理体系内部各组织结构共同参与的一项管理活动。建立完善内控制度，应

30、将企业内控责任明确到管理层中的具体成员，结合本企业实际情况制订内部财务管理制度、稽核制度等。通过会计工作的内部分工及原始凭证的审核、记账凭证的编制与审核、记账与对账、资产清查、会计报表的编制审核等相互交叉稽核和内部审计的独立稽核，预防、发现并纠正工作中存在的失误。 中国企业应充分借鉴萨奥法案对公司管理层尤其是ceo和cfo内控责任的严格规定，明确界定企业管理层中具体成员的内控责任，为健全内控制度、提供真实会计信息奠定良好的基础。同时，还应该充分发挥独立懂事的作用。 2. 具体责任主体应该能够预见到经济与刑事的双重处罚 建立完善企业内控制度和完善法人治理结构，将企业内控责任明确到管理层中的具体成

31、员，具体责任主体应明确自身的内控责任，并能够预见和承担因自身行为不当应承担的经济与刑事的双重惩罚。 萨奥法案对ceo和cfo的经济刑事责任作了严格的规定，任何违反该条款的行为都被视作明知故犯，必须承担责任。如果某公司因为财务报表“重大不合规”而被要求重新提供财务报表，该公司的ceo和cfo在该不合规材料备案之后的12个月内“将所获得的奖金，或其他与业绩挂钩或与股票表现有关的报酬”，以及在此期间“通过出售股票实现的收益”都被要求退回。 法案明确提出对上市公司的ceo和cfo在财务信息披露方面的违规活动要追究刑事责任；对重大事实不存在虚假表述；准确披露财务、经营状况及现金流情况。证券欺诈行为指控的

32、法定期限，从欺诈行为开始后的三年内，或者被发现的一年内，分别延长至欺诈行为开始后的五年，或被发现后的两年内。由于证券欺诈引起的违法行为将被处以罚金和最高达10年的监禁。 上述两点主要从公司内部环境来说，萨奥法案还进一步引发我们对于外部环境的思考，需要我们健全我国的法律、加强对外部审计师独立性的规范和监督、强化资本市场的监督效力。最终，我们可以得到这样一个流程图，这是中国上市公司对于完善内部控制问题的必然： 识别风险->评估风险->评价现有内控体系差距->针对差距进行完善->各个手段进行梳理和统一 五、结论及建议 内部控制理论在西方经过近一个世纪的发展，成熟于coso报告

33、的五大要素，即控制环境、风险评估、控制活动、信息与沟通以及监督。企业的内部控制是受企业董事会、管理当局和其他职员的影响，目的在于取得经营效果和效率、财务报表的可靠性、遵循适当的法规等目标而提供合理保证的一种过程。这是西方成熟市场经济以及发达资本市场条件下企业内部控制需考虑的要件。长久以来，我国内部控制的内容范围与coso报告相比，还有相当的距离。我国内部控制规范内容主要集中在会计领域，而不是一个整体贯穿于企业内部的过程。 随着社会主义市场经济的发展，以及萨奥法案和国际会计准则在全球范围的巨大影响力，中国企业对于内部控制问题日益重视起来。安然事件后萨奥法案的出台代表了一个新的资本市场监管时代的到

34、来。它明显改变了以往会计公司实行自我管理的作法，规定设立上市公司会计监管委员会（pcaob），对有上市公司审计资格的注册会计师事务所进行注册管理。上市公司负责人（ceo和cfo）被要求对该公司出具财务报告的真实性、公允性作出承诺和保证，并且必须负担建立完善内部控制制度的职责。对内部控制的规范给我国企业带来了通过法案强化公司内部控制、提高公司治理水平的机会。 404 条款的最终检验标准是美国政府能否在恢复和维持公众对于证券市场的正直和透明度的信心上取得成功，而我国上市企业要从404 条款中学习和思考我们如何在内部控制的建立、实施与报告上有所作为, 来提高我国企业高管层和注册会计师的执业能力, 提

35、升我国公司的内在实力, 加快在境外上市的步伐。同时, 我国正面临着一个国际化的舞台, 在一些标准、框架的制定上应与全球主流框架保持一致, 这样才有进一步发展的可能。正因此, 我们必须合理借鉴市场经济发达国家出台的相关政策和措施, 以减少我们第一次尝试的代价, 促使措施的成本与收益能够均衡发展。毕竟，动辄近千万美元的萨奥法案执行成本并不是我国企业能吃的消的。 结合上述来看，中国上市公司的内部控制需要在以下几个方面进行改进： （1） 法规和准则框架的约束 根据公司组织结构和业务特点等制定适合上市公司运营的内部控制制度，必须全面详细地制定内部控制细则和控制测试的标准。 （2） 及早学习和准备内控制度和审核程序等文本 在美国上市的中国公司为应对萨奥法案最后期限要求所做的工作之一就是完善内部流程、控制条例、审核程序和风险测试的文本资料，主要借助外部顾问公司进行实施。企业高层尽早学习萨奥法案的相关内容，并对企业内部控制报告及早地进行文本准备和咨询将无疑使企业本身更快地进入适应期，使整个企业进入一个良性循环，而不至于因为人力物力上的突击性耗用而影响效率。 （3） 内控程序的起草应覆盖上市公司业务核心控制点 描述必须符合企业运营和业