上周买了一本《内部控制与企业风险管理》，今天刚开始看，许小年写得序值得一读！

      企业内部控制和风险管理的目标是提高经营效率，确保财务报告的可靠性，以及企业经营操作的合法性与合规性。

----- COSO委员会

      效率并不是单纯的利润最大化，而是收益和风险之间的最佳平衡。

----- 《内部控制与企业风险管理 --- 实务操作指南》序

      在序一里，有这些内容：

     对于像中国这样的转型经济，企业内部控制与风险管理首先是一个体制问题，或者说是公司治理机制问题。在经济转型过程中，因经济体系改革的落后以及政府职能的错位，管理层控制风险的激励不足。

      经济体系改革的滞后造成企业风险管理激励不足与政府部门过度监管的并存。出于风险控制和部门利益的考虑，府部门日益繁琐的政策法规和行政审批，有可能干预企业的正常运行。企业发行股票和债券，政府要审批，理由为控制风险；金融类企业开发新产品和设立新的金融机构，政府要审批，理由同样是为民众控制风险。企业的内部控制正变为外部控制，微观层面的风险管理正呈现出宏观化的趋势。政府的干预增加了市场交易成本，有可能阻碍企业的产品和技术创新。

      有关美国的过度监管及《萨班斯法案》：

      过度监管并非转型经济中的特有现象，美国的《萨班斯法案》通过前后，争议一直不断，政客们为了安抚在2000年科技泡沫破灭之中遭受惨重损失的投资者，讨好民众以捞取选票，将大公司和金融机构描绘成见利忘义的元凶，主张监管从严，处罚从重。

      《萨班斯法案》对上市公司的财务报告提出了几近苛刻的要求，极大地增加了独立的外部审计成本，以至于纽约交易所上市的一批中小公司无法承担这笔额外的费用，不得不申请摘牌退市。过度监管也使计划在美国上市的外国公司望而却步。有人认为，该法案已降低了纽约作为国际金融中心的竞争力。

      最后总结：

      风险控制是有成本的，而这个成本最终将由纳税人和广大投资者承担。一味迎合社会舆论，不计成本地提高监管标准，将会伤害公众的利益。"我们是否在投资者保护和市场竞争力之间实现了很好的平衡"。

-EOF-

      “企业内部控制标准委员会”的成立，预示着我国企业在内部控制方面将迎来一部类似美国《萨班斯法案》的标准体系。下面是来自IT168的一篇文章，供参考：

      今明两年，对于在美上市中国企业而言是一个巨大的挑战。被专家们认为是美国自20世纪30年代颁布财务规则以来，最为严厉的财务法则《萨班斯—奥克斯利法案》从今年7月15日开始执行，旨在加强上市公司监管的萨班斯法案404条款就要对在美国上市的外国公司生效，这当然包括了在美国上市的70多家中国公司。根据美国证交会规定，外国公司必须符合萨班斯法案的最后期限是2006年7月15日，因此，对于在美上市中国企业而言，须在06财年前通过萨班斯法案认证。

      随后，虽然证交会进一步放宽对小型上市公司（例如公众持股量在7千5百万美元与7亿美元之间的小型公司）与许多国外私人发行商关于404条款的合规要求，提交内控报告的初始合规日期由2006年7月15日或以后结束的财政年度推迟至2007年12月15日或之后结束的财政年度，证交会延长期限的原因是新上市公司可能需要耗费很多时间和资源来编制首份年度报告，并且可能需要在首次公开招股或首次上市后随即开始编制工作，证交会希望首次公开招股公司的管理层好好利用这一年的延期来预备404条款的合规工作。因此，管理层不应视这期限的延长为“宽限期”。确切地说，这次延期是希望帮助公司筹备更符合成本效益的合规工作。

      SOX法案共11章，其中1-7章主要涉及对会计职业及公司行为的监管，8-11章主要涉及如何界定和追究公司白领犯罪的刑事责任。

      从IT的角度看SOX法案，主要有4款与IT部门有关，分别是302条款、404条款、409条款和1102条款，其中影响最大的是302条款和404条款。

• SOX 302：公司对财务报告的责任。
  • 要求企业的CEO/CFO必须就内部控制的缺陷和重大变动向审计委员会进行汇报，302条款已于2002年7月30日生效。
• SOX 404：管理层对内部控制的评估。
  • 会计机构在其编制和发布的公司财务报告中必须出具该公司管理层的关于内部控制效力的证明和汇报。针对不同的企业类型，404条款的生效时间不尽相同，针对$75M以上的美国企业是2005年12月15日生效，其它的原计划2006年7月15日生效，但最近又有变化，已经推迟。

      在当前环境下，财务报告的产生很大程度上依赖于IT系统。财务数据的产生、记录、处理和报告等过程都与IT系统有着紧密的关系。因此，IT系统的控制与评估和财报的符合性审查一样，是SOX法案遵从性必不可少的内容。

      下图是SOX法案的控制目标与PCAOB和CoBIT的关系映射图：

      美国证券交易委员会(SEC)允许小型上市公司及外国私人发行者延期执行萨班斯法案（Sarbanes-Oxley Act, 简称SOX法案）404条款。

      萨班斯法案404条款的延期执行，对在美上市的中小企业影响颇大。上面那句有两个重要词：小型上市公司（市值小于7500万）、外国私人发行者。看来，移动、网通均不在此列了！

      前一段时间看一本书：Sarbanes-Oxley IT Compliance Using CobiT and Open Source Tools，书中开始的部分，有这样一段话：

      Sarbanes-Oxley compliance requires more than documentation and/or establishment of financial controls; it also requires the assessment of a company's IT infrastructure, operations, and personnel. Unfortunately, the requirements of the Sarbanes-Oxley Act of 2002 do not scale based on the size or revenue of a company. Small to medium-sized companies (IT department) will face unique challenges, both budgetary and with personnel, in their effort to comply with the Sarbanes-Oxley Act of 2002.

      看来，SEC也意识到了这个问题。