【摘 要】内部控制是公司治理问题中必不可少的一环。根据COSO的定义，内部控制是一个过程，由企业的董事会、管理层和其他人员完成，目的在于为企业经营效果和效率、财务报告的可靠性以及遵守法律和规章提供合理保证。
长久以来，我国上市公司的内部控制问题书面功夫做得比实际操作要好。究其根本原因，是缺乏监管机构的明文硬性规定和严厉的处罚机制。
《2002年萨班斯-奥克斯莱法案》的出台标志着新资本市场监管时代的到来，奠定了后安然时代会计、审计发展和公司治理及证券监管的框架。该法案中第四章第四条款（即404），要求上市公司管理层对于自己的内部控制进行自我评估并由外部审计师发表独立审核意见。
本文通过对内部控制和萨奥法案相关内容的整理和阐述，联系中国上市公司的内部控制现状和海外萨奥法案的应用案例，意在对中国上市公司内部控制问题提供借鉴和参考。

关键词：萨奥法案，内部控制，COSO，公司治理

Abstract
Internal control is indispensable to corporate governance. According to COSO, internal control is a process to provide reasonable assurance of accomplishing objectives. Specially, it helps achieve objectives relating to reliability of financial reporting, compliance with laws and regulations, and effectiveness and efficiency of operations.
For a long time, China’s listed companies have got used to writing literal rules than practicing them. The radical reason for this problem is the lack of official strict regulations and relevant punishment mechanism.
The ordination of Sarbanes-Oxley Act of 2002 symbolizes a new era of supervision in the capital market. It establishes the post-Enron framework for accounting, auditing, corporate governance and securities supervision. In Section 404, it requires issuers assess the effectiveness of the internal control, and the registered accounting firm shall attest to and report on the assessment.
This thesis is intended to coordinate related internal control theories and Sarbanes-Oxley Act with China’s situation and certain cases, therefore, it would provide helpful information to China’s listed companies in the problem of internal control.

Key words: Sarbanes-Oxley Act of 2002, internal control, COSO, corporate governance

目 录
一、 序言……………………………………………………………1
二、 内部控制问题…………………………………………………1
(一) 内部控制理论发展……………………………………………1
(二) 内部控制的内涵………………………………………………2
(三) 如何实现内部控制……………………………………………4
三、 萨奥法案………………………………………………………5
(一) 背景介绍………………………………………………………5
(二) 萨奥法案404条款……………………………………………7
(三) 萨奥法案对内部控制问题的影响……………………..……..8
(四) 应用案例………………………………………………………8
四、 中国上市公司的内部控制现状………………………………10
(一) 内部控制问题在中国…………………………………………10
(二) 重视内部控制问题的紧迫性…………………………………11
(三) 萨奥法案给中国上市公司的启示……………………………12
五、 结论及建议……………………………………………………15
资料来源和参考文献…………………………………………...…..16

一、 序言

五年前安然和世通的财务丑闻以及安达信的倒闭把整个资本市场的监管问题和公司治理问题提到了重中之重的地位。《2002年萨班斯-奥克斯莱法案》(本文将简称为萨奥法案)随即的出台被认为是新资本市场监管时代的到来，强化了对会计、审计、公司治理和证券的监管。其中，第四章第四款(即404条款)要求上市公司管理层对于自己的内部控制进行自我评估并由外部审计师发表独立审核意见。内部控制，再一次成了全球关注的公司治理中不容忽视的关键问题。
萨奥法案从颁布以来对其执行成本过高的贬谪声不绝于耳，一批在美上市的企业纷纷退市，同时选择海外上市的企业也改选欧洲或者中国香港进行上市融资，比如中国工行IPO。虽然不选择美国上市可以避免萨奥法案的严厉要求，避免大笔为此而付出的执行成本，但是，全球化下对于内部控制问题和财务报表披露真实性的监管达成共识是必然之势， 因为内部控制这个根脉打牢实才会对企业的发展产生颇多益处，才会对财务报表的真实性提供保证，对投资人的最终利益起到保障。
长久以来我国上市公司的内部控制问题书面功夫做得比实际操作要好，面对严峻的市场竞争，只有具备良好的内部控制制度才能在稳步前行。
目前国内外关于内部控制制度的研究文献并不少，本论文的目的是想通过四年大学本科的学习和对相关文献资料的阅读及研究对内部控制和萨奥法案相关内容进行整理和阐述，并联系中国上市公司的内部控制现状和萨奥法案的应用案例，对中国上市公司内部控制问题提出自己的看法。
全文主要分成以下几部分：上述序言部分是对本文内容和目的的介绍；其后将分别对内部控制问题和萨奥法案进行阐述；第四部分将对中国上市公司内部控制的现状进行探讨，同时引出萨奥法案对其的借鉴作用；最后第五部分将总结全文并指出存在的局限性。

二、内部控制问题

(一)　内部控制理论发展
内部控制制度的理论最早产生于西方，从内部牵制发展而来，大致经历了五个阶段：内部牵制阶段、内部控制阶段、管理控制和会计控制阶段、内部控制结构阶段，以及一体化结构阶段。
1905年由L.R.Dicksee提出的内部牵制（internal check）概念由职责分工、会计记录、人员轮换构成。1930年George E.Bennett在此基础上对内部牵制概念作了进一步发展，认为内部牵制是账户和程序组成的协作系统，这一系统使员工在从事本身工作时独立地对其他员工工作进行连续性检查以确定其舞弊的可能性。
1947年美国注册会计师协会（简称AICPA）下属的审计程序委员会在其《审计准则暂行公告》中首次正式提出内部控制这个概念。1949年该委员会发布对内部控制的权威定义：内部控制包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。1958年再一次重述内部控制，指出内部控制既包括会计控制，又包括管理控制。到1990年1月该审计准则委员会正式提出“内部控制结构”概念，取代了内部管理控制和内部会计控制。该内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统、控制程序三个要素。
20世纪80年代随着虚假财务报告对企业对社会产生的影响日益严重，美国成立了“反对虚假财务报告委员会”（Treadway委员会）。随后，AICPA、IIA（内部审计协会）、FEI（财务经理协会）、AAA（美国会计学会）、IMA（管理会计学会）等多个专业团体共同发起组成COSO（Committee of Sponsoring Organization of the Treadway Commission，即Treadway委员会发起委员会），专门致力于内部控制的研究。1992年由COSO提出的“内部控制——一体化结构”研究报告标志着内部控制制度进入了一体化结构阶段。从这个阶段起，控制环境正是纳入了内部控制范畴，不再区分会计控制和管理控制。
目前，内部控制框架主要包括：最具广泛适用性的上面所提到的美国COSO报告、MBNQA（Malcolm Baldrige National Quality Award，鲍尔里治准则）、内部审计协会IASB（Internal Auditing Standard Board，美国内部审计师协会下的内部审计标准委员会）的内控指南、加拿大的CoCo（The Criteria of Control Board加拿大特许会计师协会下的控制标准委员会）的内部控制指南等。但是至今还没有一个得到全球公认的内部控制框架。

(二)　内部控制的内涵
1994年COSO在《内部控制——整体框架》中对内部控制的定义如下：
企业的内部控制，是受企业董事会、管理当局和其他职员的影响，目的在于取得经营效果和效率、财务报表的可靠性、遵循适当的法规等目标而提供合理保证的一种过程，应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。其中：
控制环境，是内部控制的基础，为其他要素提供了约束，影响着员工的控制意识。
风险评估，是企业面对各种内外部情况进行的确定和分析企业实现其目标过程中的相关风险。风险评估的前提是企业已经确立目标，并且在各个层次上是一致的，以避免评估过程因为不协调而带来盲目性。
控制活动，是协助管理层确保有关经营指导方针得以落实的政策制度和程序，包括：审批；授权；核实查证；对帐；检查；资产的安全；权责分离。控制活动在整个企业各个层次中实施，帮助确保管理层采取必要的措施处理企业在实现目标过程中面临的风险。
信息沟通，为了确保员工能获得明确的信息指令履行相关职责，信息系统和有效沟通成了关键。信息系统提供有关财务、经营和法律法规的遵守等信息的报告使企业的管理控制等到实现，其中不仅处理企业内部产生的信息，也包括企业作出决策所需要的外部信息。有效沟通则有企业上下的沟通和横向员工间的沟通。
监督，是对系统质量进行评估的程序。对内部控制系统的监督通常有：进行中的监督工作；单独的评估；两者的结合