萨班斯—奥克斯利法案下的内部控制框架思考

markbull

看到版主引用这篇文章，确实很佩服。\r\n因为已经不是纯粹从IT内控的角度去看待SOX问题，而是从知识体系的角度，从管理的层次来处理。\r\n其实内审部的总监，经理也是IT auditor的一个职业取向。

basicer

COSO框架声称，并不是所有的管理责任都是内部控制的组成部分，因而将战略计划、目标设定、保持核心竞争力、董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败，公司不具有效的治理结构，经营业绩明显低于业界平均水平所引起。显然，COSO框架对这些问题的关注是不够的，它将注意力集中在如何对外披露与财务报告有关的内部控制止。而PCAOB的第2号标准再一次强化了这个问题。之所以会出台这样的标准，我们不难想象。因为每一次公司危机都会使会计师承受巨大压力，他们力图让COSO框架成为公司内部控制的基础，以此来阻止财务报告的舞弊行为。

\r\n\r\n我的看法是：SEC的目的只是从保护者的角度出发，确保公司的运营状况和财务风险能够及时被披露出来；至于如何改善公司的业绩，如何评价战略计划、目标设定、核心竞争力，确实比较难操作。