SOX法案：完善内控体系

管理会计

    在SOX法案遵从过程第一年中，通常企业必须投入大量的人力与成本去完善与补充公司的内部控制体系文件及相关内部控制测试程序及制度。根据SOX法案及COSO框架要求，企业需要从控制环境、风险评估、控制活动、信息与沟通、监督五个层面去完善内控体系文件。这其中涉及到大量的流程文档、风险控制矩阵、流程-科目关系文档、信息系统控制风险矩阵等等。很多公司花费了一年甚至几年的时间才将这些文档梳理完毕。但是，由于内控文档覆盖范围之大(涵盖了几乎企业所有的业务流程)，使得文档的更新与维护变得异常复杂而且难以操作。

   因此，尽管在体系完善过程中实现了文档电子化，可是在电子化之后却又出现了新的文档维护更新的巨大挑战。如何有效地管理内控体系文件，保证内控管理的持续有效性。如何将纯粹的内控文件管理工作变成更具全局意义的企业流程管理，使内控管理不仅局限于流程内控点的维护，更关注企业业务流程(包括内控管理业务流程)的改进与提高。这些都是企业内控管理部门在经过第一年的SOX法案遵从过程后所不断思考、总结与关注的问题。