terence@cosox.cnwww.cosox.cn内部控制与全面风险管理俱乐部


http://www.paper.edu.cn

SOX法案背景下的企业内部控制思路与内控员职能

周艺
浙江省移动通信有限公司温州分公司,（325000）
E-mail（zhouyi129@sina.com）

摘要：本文针对美国资本市场自安然事件以后所作的最大会计制度变革之一：萨班斯法
案基本条款，系统研究了内部控制的发展历史，并结合COSO框架内容，提出了当前最为合
理的内部控制体系，并进一步提出了作为内部控制管理员的职能定位和工作方法。
关键词：SOX；萨班斯法案；内部控制；COSO；内控员


1.引言
从国外内部控制的发展来看，大型公司大多是以成立规模较大的内部稽核部门来负责公
司的内部控制，Blum（1974）1认为这是最初内部控制以管理职能出现的证明（Bonner，1998）
3，但安然事件的引爆，并不是由于监管机构的稽查行动导致，而是市场投资机构（主要是
对冲基金等）对安然公司的信息披露产生怀疑，即向公司管理层提出一连串的问题要求予以
澄清，并大量抛空安然股票所致。显然，当前的内控控制已经成为公众公司的社会监管的一
部分。
自1980年代开始，北美洲有些公司就坚持认为内部控制较好的做法是:加强各部门经
理的责任，希望各部门自行做好自我检查，将控制及风险的评估，由原来属于内部稽核部门
的工作，改成由营运单位的管理阶层自行负责，也就是说公司的内部控制应该是全部员工的
责任。实施之后成效显着，后来为一般企业逐渐接受，而被加以推广，而将这样的作法称之
为内部控制自行评估(ControlSeIf-Assessment以下之简称为CSA)(Bruce,1998)2。
安然、世通事件后,美国投资者信心受到空前打击,面临巨大压力的布什政府出台《萨班
斯法》(SOX)以全面收紧对上市公司的监管。该法案的另一个名称是“公众公司会计改革与
投资者保护法案”，除了要求更严厉的审计和内部会计控制外，还加大了公司高管的违规成
本（最高20年监禁，与抢劫杀人量刑相同!）。2004年9月，在《萨班斯法案》（SOX）最
新的强化财务信息披露内部控制有效性背景下，企业风险管理被认为是公司治理的首要因
素，COSO（Committeeofsponsoringorganizations）顺应潮流而发布了《企业风险管理整合
框架》。该框架由内部环境、目标设定、事件识别、风险评估、风险反馈、控制活动、信息
与沟通、监控8个部分组成，而老的内部控制框架则只有5个部分（“internalcontrol-integrated
framework”,September1992）4。
在2004财年审计中，中国首批企业：新浪、搜狐、亚信通过SOX法案审计，而UT斯达
康却未能通过，带来了很大的负面影响，甚至受到美国4家律师事务所代表股东集体的诉讼。


-1-


开放•分享•共赢，呆瓜梁山伯工作室
terence@cosox.cnwww.cosox.cn内部控制与全面风险管理俱乐部


http://www.paper.edu.cn
1.内部控制的发展历史

2.1内部控制的发展历史
内部控制是一种复杂的、动态的而且持续不断演进的观念，InternalControl一词最早
来自美国会计师协会（AICPA）（1949年），所定义内部控制的四个目标分别是：保障资
产安全；.确保会计信息的正确性及可靠性；促进营运效率；鼓励员工遵循既定的管理政策。
AICPA在1958年的第29号审计程序公报中，把内部控制区分为会计控制和管理控制
二类。会计控制包括保障资产安全和财务纪录可靠性直接有关的控制，这通常包括：a.授权
制度。b.记录、营运、及资产保管的分工。c.对资产的实体控制。d.内部稽核等。管理控制
则着重促进营运效率及遵循管理政策的控制。AICPA在1972年的第54号审计程序公报中
仍延续第29号公报的观念，而且更清楚地区分会计控制和管理控制，阐明了会计控制的四
个目标，分别是：a.交易的执行需依据管理者的一般授权或个别授权。b.依一般公认会计原
则或其它适用的准则记录交易及编制财务报表。c.资产的存取与使用均需依据管理者的授
权。d.资产的会计纪录定期与实质资产比较，若有差异经采适当处理措施。外部审计人员执
行财务报表审计时，主要重点为会计控制，至于内部稽核人则对会计控制及管理控制两者均
应重视。
1972年美国水门事件后，内部控制的重要性再度引起美国政府及社会各界的高度关切。
1977年美国国会通过了一项惩治外国行贿法案（ForeignCorruptionPractices，（ACT）），
为了免于企业最高管理者对争取业务而行贿外国官员的行为辩称不知情，希望通过有效内