SOX法案的迅速出台，源于安然、世通等一系列财务丑闻。中国版“SOX法案”也处于酝酿之中。国外、国内的财务欺诈事件，背后的焦点都集中在内部控制问题上。笔者通过实践认识到，企业经营失败、会计信息失真及不守法经营在很大程度上都可归结为内部控制的缺失或失效。内部控制成为研究的焦点。　　 本文从内控理论研究入手，通过阅读有关文献资料，梳理内控理论的演变过程，总结以美国为主的内控发展演变和我国内控的发展现状，并具体分析COSO框架的要素和SOX法案的具体要求。其次，通过T电信公司内控现状的分析，了解公司历年改革发展所奠定的基础，并关注遵循法案涉及的内控关键点。再次，介绍了内控项目的计划和主要步骤。然后，描述了内控项目的实施过程，并对缺陷报告进行汇总。最后，本文总结内控项目的特点并形成结论，对公司后续内控建设提出了建议，由此延伸到对我国内控体系的建议。　　 文章的创新点在于，通过研究分析第一手的内控项目资料，结合SOX法案的要求和内控现状，按照COSO框架系统论述公司内控项目的得失，对公司完善内控建设提出建议，为我国内控体系的法规建设和实践指导提供参考。不足之处，限于笔者的研究水平和资料获取渠道，对公司内部控制的研究难以做到全面，在研究的深度上还存在不足，希望通过今后的学习和工作对此作进一步的研究。　　 本文主要从以下四个方面进行阐述：　　 第一部分是理论回顾。　　 首先，国外内部控制理论以美国的发展为主流，分为五个阶段：内部牵制、内部控制、内部控制结构、内部控制整体框架、企业风险管理框架。根据COSO报告，内部控制包含3个目标：经营效果和效率；财务报告可靠性；遵循适当法规。5个要素：控制环境、风险评估、控制活动、信息与沟通和监控。企业风险管理框架新增3个要素：目标制定、事项识别和风险反应。　　 其次，我国内部控制理论体系还不完善。自20世纪90年代起，中国人民银行、财政部、证监会等分别出台了与内部控制有关的政策法规。国资委发布了《中央企业全面风险管理指引》。上交所和深交所分别发布《上市公司内部控制指引》。2006年，由财政部牵头，国资委、证监会等共同参与的中国企业内部控制标准委员会正式成立，标志着我国内控标准体系的建设进入新时期。　　 最后，SOX法案明确了对内部控制的严格要求。SOX法案从加强信息披露和财务会计处理的准确性、确保审计师的独立性，以及改善公司治理等主要方面对现行法律进行了重大修改。SOX法案涉及内部控制的条款主要有103条款、302条款和404条款。其中，第404条款要求尤为严格，执行成本和代价较高。　　 第二部分是T电信公司内部控制现状分析。　　 首先，介绍了公司的基本情况。根据“整体上市，分布实施”的战略方针，2002年9月T电信公司正式成立，并于当年11月分别在美国纽约股票交易所和中国香港联合交易所成功挂牌上市。T电信公司所处的电信运营业，经历了长期行政管理、政府主导改制、逐步引入竞争的改革发展过程。行政色彩在电信业的运营过程中有所体现。公司通过改革挖潜，优化配置，加强管理，压缩经营成本等一系列措施，取得了较好的经营业绩。　　 其次，分析了公司内控项目的基础。T电信公司通过管理创新、业务流程重组(BPR)、IT系统改造等一系列的改革发展，提升了公司管理水平，为新内控体系的实施提供了一个良好的平台。主要包括以下3点：　　 1.管理创新成效明显。公司制定了客户领先、运营卓越、资源高效、创新领导四大战略。推进了财务、计费账务、网络维护、网络资源、设备采购等五项集中管理，竞争上岗、绩效考核、薪酬激励、教育培训、职业发展等机制改革。　　 2.流程重组逐步成熟。为提高核心竞争力，公司以内部组织架构调整和业务流程重组为切入点，推动公司管理的全面创新。致力于内部组织架构的调整，建立了“前后端型”的新型架构，强化了对市场的快速反应能力。　　 3.IT系统日趋先进。T电信公司计算机应用系统经过建设，形成以网管系统、账务系统、营业系统和客服系统为主的四大支撑平台，并以此为依托建立起综合信息管理系统框架，并提出未来建设管理信息系统的应用体系结构。　　 最后，分析了内控项目实施的关键点。公司要在短时间内达到SOX法案的要求，同时要立足于长远的内部控制体系建设。参照COSO内部控制整体框架的要素分类法，根据公司当前特定的经营环境，重点关注以下内部控制关键点：　　 1.公司治理。T电信公司脱胎于垄断国企，经过改制上市，初步建立了现代企业制度的治理架构雏形。消除行政色彩的影响，完善公司治理，是当务之急。审计委员会制度具有独立性和权威性，可以保障整个内控体系的有效运转。　　 2.信息系统。T电信公司的信息化建设因所处行业的特殊性，发展比较迅速。公司目前在企业信息化的投资、建设、维护、资金和人才等方面不均衡。企业信息化的未来发展重点，是实现信息共享、数据挖掘和决策支持的统一系统。　　 3.内部审计。T电信公司改制后重视并加大了内部审计工作力度。工程决算、财务收支、任期经济责任审计，取得了明显的成效。但内审监督的范围和力度还存在问题，如基础工作存在薄弱环节，方法不够完善；队伍力量明显不足等。　　 第三部分是内控项目计划和实施分析。　　 首先，详细介绍了内控项目的计划安排。作为在美国上市的非本土公司，T电信公司需要执行SOX法案。借鉴国际上成功遵循SOX法案完成内控体系建设的经验，引入具有经验的咨询力量，公司安排以下步骤来组织内部控制体系建设：　　 1.准备工作。成立内控小组，确保权威性和专业性。宣传培训，转变观念。　　 2.计划调研。拟定工作计划；确定评估范围；梳理业务流程。　　 3.体系设计。按COSO内控框架设计内控体系，形成内控手册和实施细则。　　 4.试点推广。通过试点工作进行补充、修正，形成推广的内控标准模板。　　 5.内控评估。自行评估内部控制设计和实施的有效性，为外审做准备。　　 其次，介绍了内控项目实施过程。按照美国COSO框架的要求，T电信公司在2003年启动了内控项目。公司成立了内控项目领导小组和工作团队，聘请了国际知名的咨询机构。按照COSO报告内控框架设计了内部控制手册和实施细则。内容涉及11个主流程，36个子流程，约1，200个控制点。制定了《公司高管职业操守守则》等规范，建立了内部申告机制，对违规情况予以匿名举报。　　 最后，分析了内控评估汇总结果。经过内控项目的执行和改进，公司进一步梳理了内控体系。按照计划安排在子公司范围内全面开展内部控制自我评估工作。对流程所涉及的全部控制点的设计和执行情况进行自我评估，提出了执行层面的修补建议，汇总内控一般性缺陷，包括内部控制设计缺陷、执行缺陷，未发现显著缺陷和实质性漏洞。分析T电信公司典型的内部控制流程要点包括：一般及应急工程资本性支出业务流程；计费业务流程；会计报表编制业务流程。　　 最后一部分是结论和建议。　　 首先，T电信公司通过内控项目的实施，按照SOX法案的要求，采用COSO控制框架模型构建了内部控制监督评价体系。从2003年开始，T电信公司通过培训、调研、设计、测试、修改和全面试行，公司取得了第一手的内控实施资料，为通过SOX法案的大考奠定了基.石出。通过内控项目的实施，明确了建立评估和责任体系的原则与方法，落实了内控系统架构、职责分工、组织保障等工作。截至目前，公司已经完成了2个周期的内部控制测试工作，并按照SOX法案相关监管要求定期发布有关内部控制的责任声明。公司高管多次赴美国进行沟通，以谋求监管当局和投资者对公司的认可。反映出的问题包括：对内控工作的认识和理解不到位，重视程度有待提高；员工参与面不够广，项目的人力与时间保障比较困难：时间紧、强度大，存在工作进度、效率和质量之间平衡的矛盾等。公司需要建立内控体系建设的长效机制，逐步完善内控体系，提升公司管理水平。　　 其次，提出了对公司内控实施的建议。根据公司内控实施的评估结果和结论，为完成SOX法案的首次遵循工作，建议从以下方面实施内控整改工作：　　 1.加强监督检查，确保整改工作的落实。内控项目工作团队应当转变为常设机构，督促检查各单位内控评估缺陷的整改情况，层层分解落实，为年度内控评估和独立评估工作奠定基础，保证企业能顺利通过外部审计师对内控的审计。　　 2.认真总结内控工作中的经验和不足，进一步修订完善内控流程体系和评估手段。对发现的设计缺陷，要按照内控实施细则进行修改。在实际情况发生变化时，对内控实施细则要及时修补优化。适时启动评估程序IT固化工作，力争将内控评估工作日常化、制度化，实现企业内控流程的持续改进。　　 3.进一步加强培训和宣传，提高全员对内控实施项目工作的认知度，提高执行力。从缺陷整改情况来看，除IT支撑、成本效率等原因外，员工对内控流程的认识程度、态度、素质等也是整改的重点。　　 最后，T电信公司内控项目实施的经验和教训，对于我国内控体系的建立具有很好的借鉴意义。内部控制标准委员会的成立可以看作我国内控体系标准建设的里程碑。要考虑行业和地域差异，也要注重成本效益原则。根据公司发展的阶段性特点，我国内控体系的建设应当注意以下几点：　　 1.培养现代先进管理理念。观念的转变很重要。管理者应当充分利用国际管理资源，解放思想，敢于创新，在内控体系实践中有所收获。　　 2.逐步消除行政色彩对内控体系的影响。公司必须有意识地在管理上贯彻市场化意识，逐步消除行政色彩对内控体系的影响，促进现代企业制度的建设。　　 3.注重科技进步和信息化发展对内控体系建设的推动作用，自觉运用新理论、新知识、新技术完善内控体系。信息化建设对于公司内控建设举足轻重。　　 4.加强沟通交流，学习国际内控体系建设的先进经验和理念。要充分利用国内外理论界和实务界的研究实践新结论，完善内控体系。督促公司严格按照内控体系的设计进行管理和实践。