在中国移动内部流传着这样一个笑话，一员工因为长期从事萨班斯法案(SOX)遵循工作，受内控思想熏陶，要求妻子每月更换一次家中电子防盗密码锁，每周更改一次密码，买任何东西均须留有书面记录并让卖方签字确认。

    虽然只是一个笑话，但是从中可见，萨班斯法案对运营商造成的精神压力之巨大。萨班斯法案提出了三项基本要求：首先，公司要有自己的内控体系，并有规范标准；其次，该规范标准被严格执行；第三，所有的执行都可以被审计验证。

    事实上，萨班斯法案遵循几乎成为运营商内部持续时间最长的一项整改行动，很多地方公司从去年开始进行，无停顿地持续到今年。参与人数多、流程多、文档多、会议多，成为这一时期的重要特点。动辄集中二三百人，花费数十万元，内控项目则直接计入各级人员的考核，这些都让运营商内部员工叫苦连天。

    即便在美国，萨班斯法案也被称作一部恶法。今年5月，在企业界的集体压力下，美国证券交易委员会(SEC)和公众公司会计监管委员会(PCAOB)专门征求了对SOX第404条款的反馈意见，并表示将考虑修改法规，甚至对小型上市公司给予一定的豁免。

    而对于像国内四大运营商这样的大型公司来说，“越是组织分散、业务范围复杂，要做的工作越繁杂。”国浩律师集团主任律师刘维表示。

    流程梳理

    在诸多繁杂工作中，流程梳理无疑是第一步。

    作为萨班斯法案中最难操作、最复杂、耗费成本最高的一个条款，“404条款”要求每个公司都要将公司任何一个岗位的职务、职责描述得一目了然，还要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度，从而引起整个企业流程的改变。

    按照萨班斯要求，上市公司要对其目前执行的内部控制流程与COSO(《企业风险管理--整合框架》)的框架进行对比，指出存在的不足和改进措施。而只有进行流程梳理，找出关键控制点以及需要规避什么样的风险，然后才能着手设计内控制度。

    而在央企传统管理模式中，由于不重视流程，交易和决策过程往往缺少记录，一些决策甚至靠拍脑袋进行。

    国际财务管理师协会中国总部秘书长何巧莎也强调改善公司治理结构对萨班斯遵循的益处。她表示，萨班斯法案要求的公司治理结构与许多中国企业传统的公司治理结构有较大的差异，中国的企业文化与西方企业文化的内涵也不尽相同。为了少走一些弯路，中国公司应从一开始就注重实施公司治理结构层面的改进工作。

    根据她的建议，运营商的高级管理层应成为遵守内部控制制度的表率并接受相应的监督和约束，充分发挥审计委员会和内部审计的作用，重视对员工遵守职业道德的培训，严格执行职责分离、工作分配、职责描述等方面的规章制度，在公司内部形成一个自上而下有效贯彻内部控制的过程。

    内部审计

    德勤华永会计公司企业风险管理方面负责人赵善强先生，则重点指出了内部审计的参与和作用。他认为，在遵循404条款时，内部审计的有效性是应考虑的重要因素，这对于是否可以通过404条款的内部控制测评也非常重要。如果某公司的内部审计做得不好，将会影响该公司通过404条款的测评。

    对于内部审计的作用，他解释说，主要有两点：第一，内部审计会参与前期的文档记录和提意见；第二，在管理层测试时会介入其中的工作。按照PCAOB第2号审计标准要求，执行内部控制的人和做测试的人要相对分开，以保持内部控制测试的客观性。

    某地方运营商审计部门负责人表示，中国公司的内部审计在传统职能上可能与独立性要求还有一些差距。配合萨班司法案的执行，运营商的内审制度应该实现三大转变：

    首先，由查错纠弊为主向管理审计转变。就是要将过去以查处违纪金额、审阅会计事项、审计经济活动结果为主，逐步向各个管理环节渗透。改变过去审计仅查阅账簿、凭证、报表的状况，将调查、询问、测试、广泛阅读资料等结合起来；

    其次，由以监督为主向监督与评价并重转变。就是要在监督的基础上，对经济事项进行评价、分析，为管理层的评价、决策提供可测量的信息来源；

    最后，由事后审计为主向事前、事中审计转变。就是要以经济活动的流向为主线，抓住主要环节，适时监控，及时反映，提高企业抗风险能力。

    IT治理

    目前越来越多的企业依靠信息系统支撑业务运作，因此，IT治理在建立与保持有效的内部控制方面也发挥着重要的作用，建立针对信息系统的控制体系就成为遵循萨班斯的必然要求。