《2002年萨班斯-奥克斯利法案》(下称《萨班斯法案》)的出台，逼出了中国人寿保险公司(北美LFC，香港2628.HK)一次历史性的变革，即再造内控体系的“404项目”。

　　事起于《萨班斯法案》——被美国总统布什称为“自罗斯福总统以来美国商业界影响最为深远的改革法案”——很快就要对在美上市的企业产生效力。

　　《萨班斯法案》诞生于安然公司等一系列财务丑闻发生之后，原定在美国的生效日期是2004年11月15日，对国外企业的生效日期是2005年7月15日。2005年3月，美国证监会决定把生效日期延后一年，所以该法案将在2006年7月15日或者以后结束的财政年度，对在美上市的中国企业生效。

　　也就是说，2007年初，这些在美上市的中国企业就要由独立的外部审计师按照《萨班斯法案》要求出具评估报告，这其中包括已在美国上市的中国人寿。

　　2006年是最后的关键一年。

　　“404项目”中国落地

　　在《萨班斯法案》中，上市公司最为关注的焦点是出奇严苛的404条款，它明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责，要求公司年报中包括一份“内部控制报告”，该报告要明确指出公司管理层对建立和保持一套完整的、与财务报告相关的内部控制系统和程序所负有的责任，并要包含管理层在财务年度期末，对公司财务报告相关内部控制体系及程序的有效性的评估。

　　中国人寿启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍，该项目于2005年初启动，因为自身没有经验，因而聘请了一外资会计师事务所为其提供咨询服务。后据记者了解，为其担任404项目咨询工作的是四大外资会计师事务所之一的安永会计师事务所。

　　“404项目”分三批在中国人寿全系统推进，北京、江苏、河南和山东四个省市作为第一批开展试点。“因为没有经验，初始不能全国同步进行，出现问题的话成本控制有一定难度。”一404项目组成员表示。

　　试点机构从各部门抽调人员组成项目组，首先要做的工作是梳理业务和财务流程，把所有的流程都写出来，并画出流程图，找出风险点，看是否有相应的措施对其进行控制。以承保流程为例，从客户投保，到承保、出单、客户签回执、公司核销回执，再到财务入账，从头至尾，把整个流程尽可能细化地落于纸端。

　　“分公司项目组写好后再在几个试点机构间进行交流，看自己有哪些没写出来，或者该列为重点的没有列出来，发现问题后重新再写。”上述人士说，“光流程就写了近三个月。”

　　之后要做的工作是进行测试：采用抽查法先抽出一笔业务从头至尾检查是否有漏掉的环节，如果有环节被漏掉就可能存在被忽视了的风险。考虑到一笔业务并不足以说明目前的控制确实有效，之后还会抽出几十个样本，用同样的方法对这一大笔业务进行再测试。

　　在确定流程和进行测试的过程中，关键问题是看对每一个风险点是否有相应的控制措施，如果没有则要及时反馈到相应部门，要求该部门设计出应有的控制措施或给出一个合理的解释，直到所有的风险都得到控制为止。

　　上述工作是在安永的协助下进行。刘代春介绍，外聘咨询机构的主要职责是帮助中国人寿制定项目计划，并对404项目组进行培训，帮助他们确定重要流程和重要会计科目。而中国人寿一直聘请的外部审计机构是普华永道会计师事务所，404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。

　　“不能选择同一家机构既做咨询又做审计，那样可能会影响到审计结果的真实性。”刘代春表示。

　　巨大的工作量带来一定的挑战。一试点机构404项目组的成员表示，项目开展的最初半年每天都要工作十几个小时，反复查找风险点、进行测试，并与外省机构交叉检查。

　　对于分支机构遍布全国城乡的中国人寿来说，这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司，分公司下设地、市级支公司，总、分、支公司都有相应的业务和财务部门，单把流程写清楚就不是易事。为此，中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。

　　“随着工作的进行，越来越发现事先对工作量的预计不够，而需要的成本也远远超出想象。”上述404项目组成员表示。

　　不仅是阶段性工作

　　迫使中国人寿主动耗费如此巨大的时间、人力和财力实施404项目的一个重要原因，来自于《萨班斯法案》对公司和个人责任进行追究的严厉规定。

　　《萨班斯法案》第302条要求，上市公司的首席执行官和财务总监在其年度和中期财务报表中必须签名并确认，其财务报表完全符合《萨班斯法案》中有关规定，并不含有任何不真实的、误导公众的重大错误或遗漏。一旦出现问题，首席执行官和财务总监个人将对公司财务报表承担民事甚至刑事责任。

　　《萨班斯法案》并没有给出明确的达标界限。刘代春表示，该法案提出了一些标准，但比较笼统，主要是围绕财务报告和内部控制的有效性展开。

　　同时，为上市公司进行咨询和外部审计的会计师事务所也对怎样才算达到要求心中无底。安永会计师事务所审计组一人士表示，404条款将内部控制问题划分为一般的内部控制缺陷、重大缺陷和实质性漏洞三类，一旦出现实质性漏洞类的内控问题，就必须在审计报告中披露。但何为实质性漏洞，美国证券业协会只进行了定性的描述，即会导致年报或中期报告重大的实质性错报漏报的内部控制缺陷，而没有给出明确的定量标准。“同时，怎样才算内控有效也没有明确的标准。”

　　“另外，404工作没有经验可循，404条款刚刚生效，到目前为止，还没有任何一家上市公司完成了404条款要求的整个过程，外部审计师也还没有出具任何一份内部控制审计报告，因此，大家都是在摸着石头过河。”该人士说。

　　而项目进行决非阶段性工作，按照萨班斯法案要求，公司应建立并维持有效的内部控制机制，2005年之后公司和外部审计师每年都要进行内部控制评估。刘代春说，这项工作至今尚未结束，并且今后每年都会持续进行。

　　中国人寿404项目组一人士介绍，公司任何一个环节只要在操作方式上有变化，就要重新确定流程和风险点，比如上了新的IT系统后增加了扫描功能，那么扫描质量如何监控就形成一个新的风险点。“类似这方面的跟进和更新已经成为日常工作，不会因项目的结束而结束。”

　　“内控检查”启动

　　中国人寿面临的压力其实不仅来自《萨班斯法案》。中国保监会也已将完善内控作为2006年的监管工作重点。2006年1月，保监会下发《寿险公司内部控制评价办法》，并决定从4月份开始，实施对中国人寿法人机构和分支机构的内部控制检查。

　　保监会人身险部监管处处长方力表示，由于中国人寿已按《萨班斯法案》要求做了一些工作，系统上下对内控的认知度比较高，对评估程序也相对熟悉，因此在实施寿险公司内控评价的第一年，将检查重点锁定为中国人寿，目的在于了解它的内控现状。

　　中国人寿北京分公司业管部一人士表示，经过404项目一年多的开展，公司在内部控制上确实有所改观，现在做任何一项工作大家都会考虑是否符合404要求。

　　毕博管理咨询公司(大中国区)董事总经理高达飞(Afzal M. Tarar)说，要达到404条款的要求，难度在于怎样保证公司高管人员对下面任何一个微小环节都有了解和掌控。尤其对机构庞杂的大公司来说，高管人员要花很多时间了解下面的工作，这需要每一层级的管理人员都对上层领导负责。

　　除了中国人寿，其他寿险公司也在为完善内控开展工作。按照要求，各寿险公司须在5月底前向保监会提交内控分析报告。

　　一外资寿险公司内审部人士介绍，《寿险公司内部控制评价办法》对该公司的内审工作影响巨大。因为涉及内容广泛，又要包含各分公司情况，该公司正由专人撰写报告，“估计报告出来要有几百页内容”。

　　不过，中国人寿开展的404项目不太可能在国内寿险业推广，因为成本太高，其负担并非每家公司都能承受。高达飞(Afzal M. Tarar)认为，国内保险公司可以借鉴《萨班斯法案》完善内控，因为建立完善的内控是迟早要做的事，开始得越早成本越低。“耗费成本最大的是系统建设，而改建系统要比建立一个新系统成本更高。”他说。

　　他还指出，国内保险业要完善内控首先要有合适、完整的财务系统来准确、及时地报告公司财务状况，其次要在操作风险控制上有整体的理解和认识，并制订出可行的控制方案，而另一个重要方面就是IT部门要与业务和财务部门协调合作。

(责任编辑：田瑛)