满足SOX404不是内部控制最根本的目标

　　上市公司满足了证券监管机构的要求，只不过是建立内部控制机制的一部分，而不是全部。实现透明可靠的财务报告，只是内部控制的第一级基本目标；更为重要的内部控制目标，在于保护企业财产安全、实现有效率和有效益的经营以及循规守法。

　　王立彦 /文

　　时下讨论公司内部控制，几乎言必谈《SOX法案》302条款和404条款。其实，这是远远不够的。上市公司满足了证券监管机构的要求，只不过是建立内部控制机制的一部分，而不是全部。换句话说，实现透明可靠的财务报告，只是内部控制的第一级基本目标。而更为重要的内部控制目标，在于保护企业财产安全、实现有效率和有效益的经营以及循规守法。同时，应该强调的是，上市公司就数量而言只不过是全部企业中的很小一部分，众多的非上市及中小企业同样需要内部控制。

　　UT斯达康的挫折

　　《SOX法案》全称《公众公司会计改革和投资者保护法案》（也简称“萨班斯法案”），系美国总统布什2002年7月30日签署，自公布之日起30天内对美国公司生效，对美国以外的公司则从2005年7月15日（后推延到2006年7月15日）之后结束的会计年度开始执行。

　　由于我国实行自然会计年度，上市公司年度报告在每年4月底之前公布，而对内部控制有效性的评估报告是与年度审计报告同时发布，所以，从某种意义上讲，中国公司在2007年春季发布2006年年度报告之前，多出了半年左右的‘缓刑’时间。事实上，已经有多家中国公司提前步入了《SOX法案》轨道，其中包括搜狐网、新浪网、亚信控股、UT斯达康等公司。

　　翻开亚信控股公司2005年年报，第49页是德勤会计师事务所于 2006年3月15日签署的独立注册公众会计师事务所报告，其中，针对亚信公司与财务报告有关的内部控制有效性，出具的是一份典型的、具有肯定含义的标准意见。

　　翻开UT斯达康公司2006年6月26日发布的2005年年报，在普华永道会计师行长长的审计师报告中，开头是一段声明，大意是：“我们对UT斯达康公司2004、2005年的合并财务报表、以及2005年的内部控制实施了审计，我们的审计是遵循美国公众公司会计监管委员会制定的标准）”；审计师报告末尾则是一段带负面含义的综合评价，大意是：“我们认为，UT斯达康公司管理者关于对2005年底公司财务报告未能达到有效内部控制的评价，在所有重要方面是公允表达的。我们还认为，由于存在对实现控制标准的重要缺陷，UT斯达康公司没有能够达到基于COSO内部控制整合框架的有效内部控制”。

　　解读普华永道会计师行的审计声明和审计意见，我们至少结识了这样几个关键概念：有关财务报告的内部控制、公众公司会计监管委员会（PCAOB）、管理者自己对内部控制的评价、COSO内部控制整合框架、内部控制重要缺陷、等等。