随着企业规模的扩大以及社会经济环境的要求，对企业内部控制的制度建设正日益受到广泛关注，而作为内部控制最基本的一个环节内部审计，也正逐渐提上日程，并越来越多受到重视。本文根据美国颁布的《萨班斯－奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求，来探讨建立企业内部审计的思路。

　　一、SOX法案的产生背景及缘由

　　SOX法案即《萨班斯－奥克斯利法案》。在一般人眼中，美国一直是一个法治比较完备，企业管理相对规范、高效，社会诚信良好的国家。但是 , 2001年出现的安然事件，以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题，引发了美国社会特别是经济界、金融界的诚信危机。安然公司的造假主要依靠三种途径， 一是通过资本重组，建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系，以便使公司进行大规模违规融资活动。 二是通过内部各类公司之间的复杂的关联交易，随意制造营业收入和利润。三是创造出一套非常复杂的公司财务结构，使用了被称为SPE（特殊目的主体）的金融工具和其他资产负债表进行表外融资。

　　首先，我们从安然的故事中看到了一个缺乏责任的董事会。如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。此外，公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同，还向独立董事任职的非盈利机构大量捐款。这种利益交织的情况下独立董事对公司管理层的监督形同虚设。在缺乏监督和制约的条件下，公司就会被个人操纵和利用成为内部人牟取个人利益的手段。

　　另一个扮演着不光彩角色的是安达信公司。安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。这样，安达信一手为安然作帐，用另一手为其查帐。当会计师事务所为同一个客户同时提供审计和咨询两种服务时，其审计的独立性就可能因此受到影响。

　　包括安然在内的一系列公司假账丑闻的发生，已经不是个别公司的问题，而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。在这样一个背景下，《萨班斯－奥克斯利法案》于2002年7月30日正式出台。它以维护广大投资者利益为宗旨，对惩治公司财务欺诈、规范企业行为和加强资本市场监管等方面做出了更加严厉、更加全面的规定。

　　该法案的核心是通过立法加强对财务制度和企业内部的控制，并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求，将可能使企业受到严重处罚，包括高额罚款以及管理层个人形式责任追究。

　　二、法案涉及财务内部控制的主要内容

　　通过仔细观察萨班斯法案，对企业的财务审计工作产生的重大影响主要集中在其中的302条款和404条款。 即：

　　（1）首席执行官(CEO)和首席财务官(CFO)诚信声明。按照萨班斯法案302和404条款，公司(这里主要是上市公司)的首席执行官和首席财务官必须在对外公布年度财务报告时发表有关该财务报告真实性的诚信声明，并作为该财务报告的必要组成部分。该声明主要包括以下几个方面的内容：(1)CEO和CFO已经审查核实了公司的财务报表和财务报告；(2)在CEO和CFO所了解的范围内，该财务报表和财务报告真实完整地反映了该公司在本会计期间内的财务状况，不包含任何虚假的信息，也不存在误导各利益相关者的成分I(3)该财务报表和其他财务信息公允地反映了本会计期间的资产负债、经营损益以及现金流量等状况，(4)CEO和CFO要对本公司的内控情况和采取的内控措施作出评估，并声明该公司内控体系的有效性。

　　（2）302条款对企业财务审计的影响。作为提供社会中介鉴证服务的会计师事务所，在对企业的财务进行审计过程中，应当秉承客观，独立、公正的原则。302条款要求上市公司CEO和CFO必须发表财务会计报告诚信声明，这就在一定程度上约束了企业的造假冲动，会计师事务所可以理直气壮地对企业的财务状况实施客观、独立和公正的审计，有利于提高企业的财务会计信息质量和审计质量。

　　（3）404条款及其对企业财务审计的影响。萨班斯法案404条款的主要内容是要求企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明，同时，为保证企业CEO和CFO声明的真实可靠，要求会计师事务所应当对企业内控系统的有效性进行测试评估，而且，此项测试应当成为会计师事务所进行企业年度财务审计的重要内容之一，但对企业内控系统有效性的测试不是一项独立的审计业务。与过去相比，这无疑大大增加了财务审计的工作量，也对会计师事务所的执业能力和执业水平提出了更高的要求。

　　三、法案对我们国内公司建立内部控制制度的指导意义

　　根据该法案，自2006年7月15日开始，所有在美国上市的外国企业，必须执行《萨班斯——奥克斯利法案》。而同一天，我国财政部发起成立了“企业内部控制标准委员会”，中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。

　　我们可以发现，美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响：一来是针对已经或准备在美国上市的中国企业必须达到法案的要求；二是针对在我国的资本市场，如果不能尽快完善内部控制和信息披露机制，那么将会导致股东利益受损和证券市场的泡沫。

　　因此，探讨萨班斯法案对中国企业内部控制建设的影响至少有以下两层意义：

　　1、理论意义：我国自20世纪90年代起便开始加大政府对内部控制的推动作用，现有的法律法规和行政规范中多项涉及到内部控制的内容，尤其表现在内部审计方面。同时也要看到，我国的内部会计规范才刚开始，一套完整的内部控制规范体系的建立还有待时日。因此相对比较完善的美国内部控制理论，尤其是2002年颁布的《萨班斯一奥克斯利法案》，对我国内部控制制度的建立具有一定的启发和参考、借鉴意义。

　　2、实务意义：所有在美国证券交易委员会(SEC)备案的公司，包括在美国注册的上市公司和在外国注册而在美国上市的公司，都必须符合《萨班斯一奥克斯利法案》的要求。而众多准备在美国上市的中国企业还没有意识到法案对其上市的重大影响，即使是已经在美国上市的中国公司，仍有部分不十分清楚法案的具体要求以及如何应对。与此同时，在中国上市的公司也要逐步建立起一套行之有效的内部控制体系来应对企业面临的各种风险，提高企业管理的质量。

　　四、我国相关内部控制规范对内部审计的要求

　　内部控制规范在我国相对晚些，如在二00五年十二月十一日，国务院国有资产监督管理委员会发布《关于加强中央企业内部审计工作的通知》（国资发评价[2005]304号）明确指出“内部审计是审计监督的重要组成部分，加强企业内部审计，是建立健全现代企业制度不可或缺的重要环节，是推动企业转变经营机制、依法经营、规范管理、增强市场竞争力、实现健康快速发展的重要手段。”并要求各中央企业要充分认识内部审计工作的重要性，高度重视内部审计工作，切实加强领导。要将内部审计工作纳入企业重要议程，保障内部审计工作有效开展，在企业营造尊重审计、支持审计、自觉接受审计的工作环境，充分发挥内部审计工作在完善企业内部控制、防范经营风险、提高经营管理水平方面的作用。”与此同时，国务院国有资产监督管理委员会还要求企业需进一步建立完善企业内部控制机制，为实现经营管理目标，确保财务信息真实可靠、资产安全完整，提高资产运营效率与效益服务。具体提出了四项内部控制要求：即一要建立和完善内部控制体系，科学设置组织结构，健全内部控制制度。二要加强经营风险评估，增强企业适应环境和防范风险的能力。三要加强对内部控制执行的监督和检查，内部审计部门应当组织开展内部控制有效性的评价工作，充分发挥内部审计在内部控制中的监督作用。四要按照现代企业制度要求，探索与完善企业内部控制有

　　效性审计和评价工作方法，不断完善企业内部控制体系，促进提高企业管理水平。

　　此外， 二OO八年五月二十二日发布的《企业内部控制基本规范》（财会[2008]7号）也明确指出，中华人民共和国境内设立的大中型企业 应根据该规范建立内部控制。对于小企业和其他单位可以参照本规范建立与实施内部控制。该规范明确了内部控制是企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展战略。

　　基本规范要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制，监督内部控制的有效实施和内部控制自我评价情况，协调内部控制审计及其他相关事宜等。并特别指出，企业应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。 企业应当根据该规范及其配套办法，制定内部控制监督制度，明确内部审计机构（或经授权的其他监督机构）和其他内部机构在内部监督中的职责权限，规范内部监督的程序、方法和要求。内部审计机构应当结合内部审计监督，对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷，应当按照企业内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向董事会及其审计委员会、监事会报告。

　　企业应当制定内部控制缺陷认定标准，结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。对监督过程中发现的内部控制缺陷，应当分析缺陷的性质和产生的原因，提出整改方案，采取适当的形式及时向董事会、监事会或者经理层报告。

　　从以上内容可以看到，企业内部审计部门的地位是多么重要。且基本规范再次明确了内部审计在内部控制中的地位和作用，将内部审计提高到了极其重要的地位。这些规范的颁布，为企业内部审计部门加强内部控制管理，明确自身责任，提供了依据，也为内部审计工作提供了广阔舞台。

　　五、建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路

　　为切实履行内部审计职责，发挥内部审计在内部控制中的作用，结合企业实际，本人初步拟定了建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路，以供参考。

　　(一) 内部审计的目的是加强公司及所属公司的管理和监督，维护财经法纪，改善经营管理，提高经济效益。

　　(二) 内部审计应在公司总经理或董事会下设的审计委员会的直接领导下，对公司各部门以及公司所属单位的财务收支和经济效益等进行监督，独立行使审计职权，对总经理或审计委员会负责并报告工作，在业务上同时受上级审计计机构的领导和地方审计机关的监督。

　　（三）内部审计的任务：

　　1、主要任务有：

　　(1)对公司及所属公司的资金、财产的完整安全进行监督审计。

　　(2)对公司及所属公司的财务收支计划、投资和经费的预算，信贷计划，外汇收 支计划和经济合同的执行以及经济效益进行审计监督。

　　(3)对公司及所属公司的会计报表进行内部审计。

　　(4)对公司及所属公司的经营责任的审计评议，配合上级审计机构对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计。

　　(5)对公司及其他所属各公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。

　　(6)对公司及所属公司的内部控制制度的健全、有效及执行情况进行监督检查。

　　(7)对严重违反财经纪律，侵占国家、公司资产，严重损失浪费等损害国家、公司利益的行为进行专案审计。

　　(8)贯彻执行有关审计法规，制定或参与研究本公司及所属公司有关的规章制度。

　　(9)办理公司领导、上级审计机构交办的其他审计事项，以及配合上级审计部门和外部会计师事务所对公司及所属公司进行审计。

　　2、内部审计主要职权

　　(1)根据内部审计工作的需要，被审计单位应按时向审计部报送有关计划、预算、决算报表和文件资料等。

　　(2)检查实物、凭证、帐册、有关文件和资料。

　　(3)参与有关的会议。

　　(4)索取有关的证明材料。

　　(5)对正在进行的严重违反财经法纪、严重损失浪费行为作出临时制止的决定。

　　(6)对阻挠、破坏审计工作以及拒绝提供有关资料的，经公司领导批准可以采取必要的临时措施，并提出追究有关人员责任的建议。

　　(7)监督被审计单位严格执行审计决定。

　　(8)对审计工作中的重大事项有权直接向上级审计机构如实反映。

　　(9)对违反财经法纪和大量浪费的被审计单位的直接责任人员和单位负责人，可建议公司总经理给予行政处分，情节特别严重的可建议移送司法机关依法追究刑事责任。

　　3、内部审计主要工作程序

　　(1)内部审计部门在年初应根据上级审计部门的部署结合公司的具体情况确定年度审计工作计划，报请总经理或董事会批准后实施。

　　(2)在实施审计计划时应拟订审计方案，审计范围、内容、方式和时间，并通知被审计单位要求提供必要的工作条件。

　　(3)在审计中必须做好工作底稿，记录审计过程，各种旁证材料齐全，作好调查记录并应有相关人员的签名盖章。

　　(4)审计中如有争议应如实反映给领导，必须依法有据，实事求是地提出解决办法，切忌主观、武断。

　　(5)每项审计工作结束最迟不得超过两个星期提出内部审计报告。

　　4、内部审计报告的总体要求及运行程序

　　内部审计报告的总体要求：事实清楚、数据确实、依法有据、建议恰当。

　　审计报告在征求补充被审计单位意见后(不是同意审计报告)，报送公司经理办公会审定、由董事会批准后，下达审计结论和处理决定，通知被审计单位执行。被审计单位在听取内部审计部门审计报告征求意见后有不同意见时，应首先对事实和数据是否确切可提出补充意见，经内部审计部门查明后修改或补充，对审计报告引用的法规依据、处理建议的内容等也可以提出不同的看法，内部审计部门应根据事实，可以予以采纳或维护原审计报告。审计报告经批准下达后，被审计单位对审计报告提出的整改意见必须执行。内部审计部门必须在一定时期内向总经理、董事会报告被审计单位的执行情况。

　　审计报告下达后由于情况变化和有新的重要数据遗漏，经查明事实后，被审计单位应向内部审计部门报告的同时向总经理报告，由总经理或审计委员会决定原审计报告是否修改或继续执行。

　　每个审计报告以及审计工作底稿等附件必须在二个月内整理装订成册，并移交档案部门归档备查。 

　　5、奖惩条例

　　(1)对审计工作成绩显著的工作人员以及在揭发检举中的有功人员给予表扬和奖励，具体奖励办法另行制定。

　　(2)审计人员泄漏机密，或以权谋私、参与舞弊行为者应给予警告或一至三月工资罚款的行政处分，情节严重、构成犯罪的提请司法机关依法追究其刑事责任。(3)对打击、报复审计人员的，不论其职位高低，先在公司内部由总经理视情节严重情况给予警告、罚款、降薪降职等行政处分，情节特别严重的报上级部门处理，情节特别严重的由司法机关依法追究其法律责任。

附：

　　公司内部审计流程图

　　年度审计工作计划

　　审计管理 审计档案管理

　　审计业绩考核

　　内部审计

　　审计准备

　　审计实施

　　审计作业

　　审计报告

　　后续跟踪审计或监督执行