中国上市公司遵循SOX404条款的影响和应对方法(下)(2)

（四）测试和评价公司层面的控制
建立了内控制度后，按照404条款的规定，公司还要进行内部控制的测试和评价。在进行控制测试的时候，对公司层面的评价应该尽早进行。如果公司层面的控制存在重大问题，那么这些问题应首先被发现并更正。如果公司层面的控制很强，可以降低对流程控制的依赖性，也可以降低测试要求。如果公司层面的控制较弱，外部审计师可以对是否存在较强的公司层面的控制做出“合格/不合格”或者“通过/不通过”的决定。较弱的公司层面控制将会造成对流程控制的依赖性以及测试要求的提高。公司层面的评估可以被细分为4个步骤进行：
1.测试公司层面关键控制
在前面的步骤中，我们先识别出了公司层面的关键控制，之后又据以准备了控制文档，接下来要做的事就是测试这些关键控制的有效性。对公司层面关键控制的测试手段会比较特别，因为公司层面的控制对财务报告的影响是非线性的、间接的，这就意味着不能像面向交易的业务层面控制一样通过可量化的方法来测试。一些常用的测试方法包括员工问卷调查、管理层问答、计算机一般控制、文档回顾。针对不同的关键控制应该使用不同的测试手段，如表5-1所示。

2.评价公司层面关键控制
不论以何种方式评估公司层面控制，其目标都是记录那些现实存在的公司层面的控制。需要注意的是，对公司层面控制是否有效的评估基于管理层的判断，是比较主观性的，但是管理层应该清楚地认识到控制是作为一个整体来评估的，个别部分未达到最高可靠性不必然影响控制整体的可靠性，并且控制提供的是合理范围而非绝对的保证。
3.收集支持性证据
项目组应该将所进行的测试和结果做出证据予以保存，这一方面是公司评估控制有效性工作的一部分，也是对外部审计师内控审计的配合。外部审计师将据以评判公司的评估过程，并通过部分采用公司测试的结果来减少他们自己的工作量。
4.与外部审计师进行沟通
公司层面的审核完成后，管理层应该与外部审计师一起对总体结论、有关支持性证据以及对流程层面的控制评估造成的影响进行审核。管理层与外部审计师定期就检查结果进行交流可防止日后出现意想不到的情况。

（五）测试和评价流层层面的控制
1.寻找关键流程的关键控制点，评价控制设计有效性
在第二步中，项目组已经找出了流程层面的关键控制，下一步就是与关键流程负责人共同确认流程中的关键控制点。确认关键控制点时，项目组要逐一选择与风险相关的重要控制活动。在流程图中寻找关键控制点时，应与流程负责人一并分析有关流程。在对风险和控制点进行记录后，项目小组要评估有关控制是否按照其设计意图，确保已将风险降低到可接受的水平，即合理保证重要的财务错报能够被预防或及时发现。如果存在重大的设计缺陷，则需要在检测运行有效性之前予以改进。
2.评价控制运行有效性
对控制运行有效性的测试应该能够让测试人员了解控制程序、控制执行人、控制的连贯性。有效性测试有以下几种：①员工问答，员工问答的目的是确认测试人员对控制设计的理解并识别未按照设计进行控制的事项；②基于业务的测试，这类测试中测试人员通过检查第三步形成的文档来确认控制是否按规定运行，并可以重新运行这部分流程来确认控制运行的有效性；③对照调节表，这种测试和审计师审计银行存款余额调节表很类似，就是看是否定期对照，偏差是否及时解决；④观察测试，对于不经常发生的控制活动如实物盘点，观察也是一种测试方法，但有时需要其它测试的补充才能保证严密性。
3.基于测试结果评价控制
如果测试的结果显示控制程序按照规定进行且没有缺陷，那么我们可以得出结论认为流层层面的控制是有效的，如果测试结果显示控制的设计或运行有效性存在缺陷，那么公司应该对流层层面控制有效性进行判断。同样应该注意，所谓控制的有效性是就整个控制体系而言，我们在评价流层层面的控制时应该看它是否保证信息在处理过程中没有失真，而不是看单一控制环节执行成功与否。
4.搜集支持性证据和与外部审计师定期沟通
搜集支持性证据的必要性如前面公司层面控制测试中所述。另外，由于404条款规定外部审计师要对企业内部控制自评过程和结果进行评价，因此公司在进行流程层面控制有效性的测试时应考虑外部审计师的意见。如果外部审计师认为测试不足以证明管理层对内控有效性的结论，公司就会被要求进行额外的测试，因此公司在测试开始之前就应该就测试方案与审计师达成共识，而测试过程中也应定期与审计师讨论进展情况。

六、中国网通对结构化方法的运用

中国网通是一家在香港和纽约两地上市的中国企业，虽然其业务实体均在国内，但是根据SOX法案的要求，亦应在2006年7月15日后结束的财政年度达到SOX法案对内部控制的要求。因此在2004年11月首次境外IPO的前夕，中国网通便着手开始404条款合规的准备工作。截至今日，中国网通已经向SEC递交了2006年度6-K表格，其20-F表格预期将于2007年6月提交 。中国网通加强内部控制建设的“COSO内控项目”主要经历了四个主要阶段 。这几个阶段与前述的结构化方法有一定的对应性，可以看作是该方法在国内运用的一个例证。

　　第一阶段是调研和计划阶段，包括了以下两个子阶段：
1.了解中国网通的构架和业务，建立内控项目组织机构
根据中国网通的架构和业务，成立内控项目组织机构。设立由公司总经理领导的内控项目领导小组，下设财务总监领导的内控项目工作组。内控项目工作组下设内控项目办公室（PMO），PMO下设公司层面控制（COSO）组和专业工作组。专业工作组分为财务、市场、计费、网络运营、采购、人力资源、资产、IT共８个小组。其中公司层面控制组的目标是确保内控机制的有效运行，专业工作组则致力于保证财务报告真实可靠。这是应对404条款的基础准备阶段，亦可称为组织准备。在结构化方法中，我们并未将其单独列为一个步骤，主要是因为这个步骤不牵涉内部控制制度建立和评价的技术方面，且比较简单，只需注意分析企业的构架和业务分支，对项目组进行合理安排。但是应该注意，这一阶段是每个公司遵循404条款的必经阶段，不容忽视。
２.进行风险评估，确定项目的范围和计划
这一阶段主要是梳理会计政策、业务流程，从而揭示风险并定义关键控制流程。首先，公司着力建立符合境外会计准则的内控体系。过去的中国网通一直按照中国的会计法、会计准则和会计制度建立内控体系，这与美国准则存在差异，需要进行调整。这部分工作对应了结构性方法中的第一部分，即选择合适的内控框架。COSO框架是SEC和PCAOB均认可的内控体系框架，中国网通选择的即是该框架。其次，对流程进行说明，确定关键控制流程。公司规定对每一项经济业务的初始点到终点的环节做出描述，并将相关环节串起来形成流程关系，然后找出重要的业务活动作为关键流程。通过揭示风险，梳理业务流程，再经过专家和网通总部各部门共同认定，确定列入内控范围的流程。这部分工作对应的是结构性方法中的第二部分，即识别关键控制。中国网通在确认关键控制的时候是采取了第二种方法，即先分割流程，然后确认关键流程。
第二阶段是内控体系设计阶段。具体指制定流程层面的内控文档并对内控设计的缺陷提出改进建议，同时根据内控文档制作内控标准模版。中国网通对每一个流程按照流程图、流程描述、风险描述及控制文档三个构成要素形成文档记录。流程图描述了每个业务的流程关系和从起点到终点设置的全部岗位，并表明哪一个环节是风险控制点；流程描述，即结构化方法部分所指的流程每个环节的文档，包括对每个环节的任务，如做什么、怎么做、控制人、完成时间等进行描述；风险描述及控制文档中应包括风险补救措施。这些正是结构化方法中形成文档记录阶段所要完成的工作。
第三阶段是整体推广阶段。中国网通将内控模版在现有上市实体中进行推广，规定内控推广需完成的工作成果应包括：流程描述、流程图、穿行测试文档索引、穿行测试文档、电子表格控制表、控制矩阵、内控管理问题汇总表、内控管理建议书。这部分内容实际是规定了公司执行404条款过程中所需完成的关于内控体系建立、测试和评价的全部文档。因此与结构化方法的第三、四、五部分对应，属于对支持性证据的要求。
第四阶段是符合性测试及改善阶段 。中国网通对404项目范围内的省市公司进行两轮合规测试，对于内控缺陷进行整改。首先分流程组检查各分公司文档的更新情况，根据更新后的文档制作本地化测试底稿。第二步了解本地控制活动的执行状况，检查标准测试方法的可行性，确定样本量。第三步确定需测试的控制活动和控制文档。第四步测试并汇总结果。第五步对控制缺陷进行整改，使通过整改的内控系统满足404条款的要求。这实际对应了公司层面和流层层面的测试和评价。其中对控制缺陷的整改亦是内部控制评估的必然结果，在实务工作中基于自评估和内控审计结果进行，也包含在结构化方法的框架中。
总之，对于中国网通等在美上市中国企业来说，其管理水平大多处于从传统科学管理向现代企业管理过渡的阶段，内部控制制度才刚刚走向规范化，距离一些美国本土企业的成熟做法和成果还有很多缺陷和不足，但是按照SOX法案的强制监管要求建立完善企业内控制度是一个良好的契机和重要突破口。虽然本文所提出的结构化方法比较新，并且在实践过程中还在不断地完善着，但是这一方法在国外已经受到了广泛采用，具有普遍的适用性。有了中国网通的成功经验，中国企业参照该方法预期将可较好的完成404条款的合规工作。

资料来源和参考文献
中国注册会计师协会，行业发展研究资料——美国萨班斯法案
NASDAQ Issuer Survey Sarbanes-Oxley Act of 2002, April 13, 2005　
FEI Special Survey on Sarbanes-Oxley Section 404 Implementation Executive Survey,
July 2004.
付秀娜，不同公司治理结构模式比较研究，天津市财贸管理干部学院学报，2006年第2期，p12
陈汉文、吴益兵、李荣、徐臻真，萨班斯法案404条款：后续进展，会计研究，2005年第2期，p83

余成国，中国移动内部控制问题研究，[学位论文]，华中科技大学，2006年
刘迎宾，“萨班斯法案”对在美国上市的中国企业影响分析，经济师，2006年第2期，p59
阚京华，我国内部控制制度性缺陷，中国审计，2006年第9期，p60-61
Larry E. Rittenberg and Patricia K. Miller, Sarbanes-Oxley Section 404 Work: Looking at the Benefits, p16-17
Ramos, Michael. How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John Wiley & Sons, Incorporated, 2004.
阳杰、黄昌勇，《萨班斯法案》404条款遵循的若干实务问题研究，广东商学院学报，2006年7月总第87期，p66
Protiviti, Frequently Asked Questions Regarding Section 404, Protiviti Inc, 2004(9)，p48-52
孙启伟，建立符合《萨班斯法案》要求的辽宁网通内控制度，辽宁经济，2006年第8期，p77
中国网通内控体系建设初见成效，通信世界，2006年7月31日，A10