【IT168 专稿】《萨班斯－奥克利斯（SOX）法案》中已经明确规定，在美国上市企业必须保证公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任体系，同时提供管理层最近财年对内部控制体系及控制程序有效性的证明及内控机制评价报告。

　　由此可见，《SOX法案》的严格性。相对于国内上市企业而言，未来由中国企业内部控制标准委员会制定的相关法规政策(详见《中国式<萨班斯法案>标准即将出台》)，其严格程度应该会比照《萨班斯法案》。
　　
　　四方面都完善才可顺利过关
　　目前，摆在美国上市的中国企业面前的，最急迫的问题是如何通过严格的审查顺利过关。顺利过关的企业所需具备的基本要素以下几个方面：
　　
　　公司治理方面 上市公司必须建立审计委员会，并对审计委员会的人员组成做出规定，保证审计委员会的独立性，同时赋予审计委员会更多的责任，并增加高管人员及董事会的责任。
　　
　　有一点需要注意，公司“治理”不同于公司“管理”，对控股股东越权和违规的必要防范和制约机制，以及对其侵害其它股东利益产生后果的纠正和补救措施，一直是上市公司治理结构的重要内容。市场上一系列触目惊心的案例已证明了这一点，从早期的琼民源假账案，以及近年来的PT红光、ST猴王、银广夏等案例可以看出，虽然我国关于控股股东的权利和义务，相应的法律、法规也制定了不少，但在这些控股股东前，所有的条款都形同虚设，在利益面前，一切都被变通，成千上万的中小股东利益就这样被置于脑后。

　　IT内控方面 针对《法案》302条款，公司管理层负责建立和维持公司所需的内部控制机制，并保证首席官员能知道公司及其合并报表子公司的所有重大信息，尤其是报告期内的重大信息；已评估了公司内部控制机制在编制财务报告日前90天的有效性。
　　
　　内部控制是指由企业所设计及执行的一系列措施以满足相关的控制目标，即由公司董事会、管理层及其他员工实施，为达成经营的效率和效果、财务报表的可靠性以及相关法令的遵循性三方面目标提供合理保证的一个过程。内部控制活动在整个机构内所有级别和所有职能部门内进行。萨班斯项目关注的主要是财务报告与信息披露相关的内部控制的设计及运行有效性。
　　
　　管理层方面 针对《法案》404条款，公司管理层应该建立和维护内部控制系统及相应控制程序充分有效的责任；发行人管理层要对最近财政年度末对内部控制体系及控制程序进行有效性的评价。
　　
　　审计方面 增加审计师对信息系统的审计，要求审计师必须了解业务如何穿过系统，而不是绕过系统。
　　
　　根据实质性的要求，如何建立一套完整的流程，即建立信息披露的控制程序，体现在《萨班斯法案》302条款中。
　　
　　而达到302条款要求的关键是要做好基础工作，在对外披露信息文件的形成过程中就建立起一种责任制度，形成行动上的监督。这种监督不是上级对下级的考核，而完全是由会计信息产生和报告单位自己发表的一个“声明书”，承诺提交的会计信息真实、完整。这一流程保证了下级提供的会计报表、每个报表项目所对应的会计记录以及会计记录所对应的相关经济活动都是真实可靠的、是经过层层核对的。到了总部之后，会经过一个包括CFO在内的信息披露审核委员会审核、讨论。
　　
　　只有建立了这一程序和责任体系才符合《萨班斯法案》302、404条款要求。通过履行信息披露程序，最大限度控制会计信息的错误和舞弊行为，提高投资者的投资信心和会计信息的可信度。
　　
　　达不到关于《萨班斯法案》上述四个方面规定的公司，将不会通过外部审核。公司所受到的处罚将视其违规情况而定：轻则股价下跌，重则相关管理机构将会根据相应的法律法规，追究企业相关人等的刑事责任，公司也将被摘牌等。
　　
　　安然公司财务丑闻教训和中航油事件都揭示了内控缺失的危害。众所周知的安然事件，迫使美国监管机构出台了商业界影响最为深远的改革法案——《萨班斯法案》。中航油因为内控体系的缺失导致近6亿美元的巨额损失，监控机制形同虚设，陈久霖违规操作一年多无人知晓，成为央企实施责任追究的第一例，并直接导致《中央企业重大投资决策失误责任追究制度》和《中央企业资产损失责任追究制度》将在近期出台。国资委在总结中航油事件发生原因为：决策草率，法律审核把关不严，有的甚至根本就没有进行法律论证，缺乏必需的制度和机制保障，充分暴露出一些央企治理结构不完善，组织结构不合理，资产配置链条过长，对下属子企业管理失控。