[原创]SOX项目杂感

不知不觉参与公司SOX项目半年有余了，暂停下来思考一下，感触颇多。

为什么做SOX项目？为了通过美国证券市场对上市公司提出的“遵循萨班斯法案第404条款”的法定要求。“萨班斯法案第404条款”要求在公司年报中包含一份内控报告，该报告应表明公司管理层有建立和维持财务报告内部控制系统及相关控制程序充分有效的职责；应包含管理层在最近一个财政年度年底对财务报告内部控制系统及程序有效性进行评估的结果。简而言之，就是管理层对内部控制的评估。

无疑SOX是针对内部控制的。而企业内控体系的搭建，美国证监会推荐COSO框架。COSO框架对内控的定义是：由一个企业的董事会、管理层和其他人员实现的过程，旨在为下列目标提供合理保证：财务报告的可靠性；经营的效果和效率；符合适用的法律和法规。 COSO将内部控制划分为五个相互关联的要素：控制环境、风险评估、控制活动、信息与沟通、监控。内审也只是监控的一个组成部分。一提到控制，总让人不那么舒服，其实不然。表面看来，控制可能会拖慢了速度，影响了效率。

现代控制理念强调的是长远的效率与效果，假如我们可以预知出错的风险，而做出防范，出错的风险就可以降低，效率和效果将因适当的控制而提高，从而帮助你实现目标。这就是我们常说的内控“铁三角”，即“目标－风险－控制”。举个生活中的例子：过马路。“过马路”的目标是“安全过去”；风险是“不能安全过去，过程中出现意外”；面对风险，你有选择：可以选择接受风险，不采取任何措施，结果呢？也许运气好，安全过去了，但也可能倒霉，跟车亲密接触了；当然，可以选择采取一些措施，来降低风险，实现目标，比如说每次过马路都遵循“一站、二看、三通过”的原则。比较起来，增加了一个小小的控制，提高了我们无数次过马路的成功率。但是不是万无一失呢？也不是。虽然你控制的不错，但可能天有不测风云，刚好碰上个酒后驾车的（不可控因素）；或者沉思中忘了执行“一站、二看、三通过”的控制（执行问题），被人鸣笛警示。可见，控制只是有效降低了风险，增加预期目标实现的可能性，而非100％防止风险。

对企业而言，内控是普遍存在的，无论你是否意识到。可以把企业看作许多人构成的一个系统，为了满足市场的需求，在竞争中立于不败之地，必然需要先制订战略，再将其转化为具体的目标。整体目标的实现需要层层分解，先是四大系统，再到各部门，再到各职能小组，最终落实到个人。实现公司下达的目标是每个管理者的职责，我想每个管理者都会担心目标无法实现，风险就这样来了（风险即是目标不能实现的可能性）。怎么办？采取措施，广义来看，只要是把偏离目标的行为拉到正规上的行动都可以视为控制。从公司制订《反舞弊守则》等各项规章制度、到付款的授权审批、到不相容职务分离、到工作的交叉复核、再到个人的时间管理，控制真可谓无处不在。但如何先识别风险，再建立有效的内控，并确保其有效执行；以促成目标的实现，是每个管理者都应该、也一定是已经在思考的问题了（又称为“流程负责人”，Process Owner，以下简称PO），只是各自采用的方式不同。

其实，SOX项目就是提供了这样一个工具，一套系统的方法：首先，通过流程图直观的描述流程（流程图，Flow Chart）；其次，设立流程的目标，考虑影响目标实现的诸多风险，再设计控制来有效降低风险（风险控制矩阵，Risk Control Matrix，以下简称RCM）；最后，监督已建立控制的有效执行。最关键的是目标的设立，今年我们“遵循萨班斯法案第404条款”的SOX项目，主要将目标集中在财务报告的可靠性，相关的控制自然也主要针对此；但COSO提出的内控的其他两个目标：合规和经营目标，也许并没有完全体现在我们现在的RCM中，但这几个方面流程负责人在经营管理中怎么会不考虑呢？可见，目前我们的SOX包括的范围是有限的，相关内控也是最基本的要求；有效管理的范围是大于它的。但PO可借助这一方法，实现其更广阔的目标（因为目标是可增减的），因为风险管理是应该有意识的嵌套进PO的日常管理中的。我想，我们是可以超越SOX的，因为提供可靠的财务报告是投资者希望企业做到的；有效率、有效果的经营、遵守法律法规，做一个真正健康的实体，更是投资者想要看到的。当细想内控时，发现它挺有趣。首先，这个领域充满了判断，主观性比较强。

目标的确定、风险的识别，如何设计控制，多少足够；设计好了，开始运行，又如何评价运行的有效性；每个人都会有不同想法。举个例子：为了确保应收账款的真实准确，PO设计了一个控制“每季度，由分公司抽查部分客户，发对帐单对账，对账结果记录在《抽查登记表》上，电邮财务部和销售管理部”，这个内控怎样才算执行有效性呢？财务部收到所有的《抽查登记表》可以了吗？如何判断？这时，可以反问自己控制的目标是什么，做到这一步能降低风险实现目标吗？回答是，还差点。财务部还会审阅分公司电邮《抽查登记表》的对账结果：是不是都发了但没一个客户回？若回了，与我们记录的一致吗？若不一致，原因何在？查明原因后，是否需要调账？一般认为，做到这一步，控制才基本到位了。但可能另一个人会提出，不行，还要抽几个客户的《对帐单回函》看看，是不是跟分公司电邮的结果一致；或者全部回函都要看。可见，对控制运行有效性的评价是充满主观判断的；但基本标准也是存在的。

其次，内控是充满变化的。流程图画好了不是铁定不可改了，它只是个描述流程的工具而已，PO会也有责任根据管理的需要和环境的改变不断优化流程，以促进自己承担目标的实现。在做出决策时，可以参考现存的流程图以及对现有流程目标、风险和控制的描述；一旦做好了改变的决策，自然需要更新相关文档，以有效指导实际操作；这可能就引起了内控的改变。举个例子，以前发货后，从ERP系统中逐张打印纸质《待开发票登记簿》，经PO签字审核后，再由财务审核过账。后来，ERP新增了“订单审核功能”，PO共同决定改逐张打印纸质的《待开发票登记簿》，为分批导出电子的《待开发票清单》；因为新增IT系统控制后，已经可以有效降低未经授权修改订单的风险了。我们可以看到，改变后，即有效控制了风险，又提高了流程的效率、节约了资源，是合理的。

最后，内控遵循的一个原则是：看形式，但更看实质。这里有个正副经理之争的有趣问题。每个月总部HR都会导出各部门的异常刷卡报表，由员工本人和部门经理签字确认。PO之所以设计“员工和部门经理签字确认异常刷卡报表”这个控制，是为了降低考勤记录、扣款不真实、不准确的风险，确保员工工作时间记录没有争议。在执行这个控制时，有一个问题出现了：经理出差不在，副经理签字，该控制运行是否有效？SOX强调签字，强调对制度的遵循，有时到了近乎苛刻、让人恼火的程度；似乎很形式，很表面，其实是有理由的，签字是为了留下控制的证据，强调制度化以及制度的执行是为了确立一些内控的依据、标准、维持传承性；这只是良好内控的基本要求，还需要看实质，即签字是否真正达到了控制的目标（究竟检查、审核了哪些方面？），是否实质上遵循了制度。

由此看来，正副经理之争就不成问题了，只要能降低考勤记录、扣款不真实、不准确的风险，实现“确保员工工作时间记录没有争议”的目标即可。其实，涉及内控的方面还有很多，以上只是目前感触比较深的几个方面。如果你能对内控发生一些兴趣，增加一些内控意识，运用控制的思想和方法来降低身边的风险、实现目标，我的目标就实现了。