2001年底安然公司财务造假，2002年6月世界通信公司假账丑闻曝光，揭示了美国公司制度在内部控制上存在的缺陷。为了建立并恢复投资者对美国资本市场和政府经济政策的信心，对在美上市公司财务报告及信息披露的信心，美国通过了《2002年公众公司会计改革和投资者保护法案》，又称为《2002年萨班斯-奥克斯利法案》(简称萨奥法案)。它致力于加强美国公众公司信息披露，完善公司内部控制；法案加大了对公司内审和外部独立审计的要求，加强了对公司欺诈的惩罚力度。本文的目的就是要通过剖析萨奥法案与公司内部控制相关的条款，着重讨论萨奥法案条款对公司内部控制的影响，并从这些条款出发，研究公司在建立和完善内部控制方面要做的工作，并引发对我国公司内部控制的启示。 本文主要介绍了三条与公司内部控制相关的萨奥法案条款。首先是404条款，该条款也被称为内部控制条款，该条款明确了公众公司管理层对于公司内部控制的责任和义务；明确要求公司在每份年报中加入内部控制报告。这一要求明确了管理层对建立合理的内部控制并保证其有效运行的全权责任。其次是302条款，它要求上市公司的首席执行官和首席财务官在季度及年度财务报告中声明对公司内部控制的建立和完善负责，并保证定期报告中的信息披露是适当的。再次是906条款，它也要求首席执行官和首席财务官对财务报告和内部控制报告进行最终的签名确认，如果将来发现有问题，他们个人将对公司财务报告承担民事甚至刑事责任。在此，本文介绍了萨奥法案的前期研究成果。 通过这三个条款，我们可以看出它们都强调了公司对内部控制的责任和义务。本文讲述了与财务报告相关的内部控制的建立和完善。文章首先介绍了内部控制的概念和评估内部控制所运用的COSO框架。COSO框架认为风险管理整体架构主要由内部环境、目标制定、事项识别、风险评估、风险反应、控制活动、信息和沟通和监控构成。这又被称为八要素。其次，文章讨论如何将八要素的理论运用到完善公司内部控制体系中去。分两个层次，从部门单位层上，COSO框架将内部控制细分为一个个具体的关注点。通过每一个关注点，公司就有可能对复杂的内部控制进行有效的评估；在行动层上，COSO框架关注公司业务的运转流程及内部控制的有效运行。如果说部门单位层是从点上关注静态的内部控制，那么行动层就将内部控制每一个点串成面，关注动态的内部控制。点面结合，动静结合，帮助公司提供了一个好的内部控制评估标准。有了标准，本文进一步讨论如何去做：使公司内部控制匹配萨奥法案要求。做筹备工作时，要考虑三个方面的内容：第一方面是项目的组织协调。第二方面是项目计划的制定。第三方面是确定项目实施细则和报告要求。实施时，公司需要建立项目队伍、制定项目计划、确认关键流程、评估与财务报告相关的内部控制、最后完善自己的内部控制。这里，文章介绍了第一个与内部控制相关的十分重要的体系，即公司内部控制追踪系统，用于了解、分析和评价公司内部控制。建立这一系统，大部分公司都经历了如下五步：第一步，法规准备；第二步，完善内部控制体系；第三步，无信息技术系统支撑的内部控制测试与报告；第四步，实施信息技术系统支持的内部控制测试与报告；第五步，整合内部控制相关的信息技术系统并进行流程优化。另一方面，加强内部审计功能在改善内部控制来满足萨奥法案要求上也起着关键的作用。建立了内部控制，如何去预警风险呢?本文介绍了第二个与内部控制相关的十分重要的体系：用于公司信息的汇总、分析和披露的信息披露控制体系，这个体系不仅可以满足萨奥法案302条款，还可以预警内部控制中存在的风险：只有具备完善内部控制的公司才能保证信息披露的真实、完整和可靠；只有能及时有效披露信息的公司才会发现内部控制中的风险所在。二者相辅相成。信息披露控制体系可分为三部分：第一部分，财务控制确认函，它涵盖了：收入确认、采购支出确认、存货管理确认、工资支出确认、固定资产管理确认、财务结账程序确认。第二部分，信息技术确认函，它涵盖了：信息技术人员的政策和计划、信息系统操作、信息系统安全、新系统的运行和维护、系统支持、系统软件支持、硬件支持、数据交叉和转换的计划和管理、用户权限。第三部分，管理当局声明书，它由公司的首席执行官和首席财务官共同签署，是对财务报告，信息披露，内部控制和合法经营的综合确认。以上三份确认函涵盖了内部控制的各个方面，通过对各个控制点的分析确认来有效预警风险。公司通过设立信息披露控制委员会、建立内部报告流程以保证自下而上的信息反映和自上而下的信息传达和监控公司环境的变化来改善信息披露控制体系。 有了内部控制，有了风险预警，公司又可以通过什么手段将内部控制落到实处呢?本文讨论了第三个与内部控制相关的十分重要的体系：用于信息技术的追踪和控制的信息技术控制体系。萨奥法案404条款规定公司要在内部各个业务环节设立至少五年的信息数据保存和保留系统，防止这些数据被篡改、盗用、删除的可能性。 这一要求对内部控制提出了挑战，ERP系统就可以妥善解决这个问题。公司必须先有合理的内部控制管理流程，通过ERP系统帮助这套流程有效地执行实施；除此以外，ERP系统通过测试和数据保留来完成控制。要保证信息系统顺利运转及生成报告的准确性，要注意以下两点：第一，系统安全。第二，信息系统的治理。信息技术部门内部控制范围包括一般控制和应用控制。为了更好的贯彻这一手段，财务人员要使用好信息技术工具并与信息技术部门有效沟通，协同完善内部控制。最后，本文分析了美国Pentair集团的实践经验，让大家有一个感性认识。随着国内具有优势地位的国有企业在美发行股票以及部分新兴高科技企业登陆纳斯达克证券市场，越来越多的我国公司不但要符合国内的法律以及会计准则，还需要按照美国的相关法律运作公司及披露信息。本文第六部分介绍了我国有关内部控制的规定，比较了我国上市公司内部控制的要求和萨奥法案的要求的区别，并通过中国网通公司的案例分析讨论了萨奥法案对我国公司的启示。