在應(yīng)對SOX法案挑戰(zhàn)過程中，我國公司應(yīng)加強(qiáng)企業(yè)控制環(huán)境的建設(shè)。通過企業(yè)文化建設(shè)、制定行為準(zhǔn)則和道德規(guī)范，引導(dǎo)員工確立并堅(jiān)定正確的價值取向，公司各級管理者應(yīng)當(dāng)以身作則以體現(xiàn)其高水平的道德標(biāo)準(zhǔn)；要確定企業(yè)的管理基調(diào)、道德觀和價值觀，找到整個企業(yè)重視風(fēng)險的依據(jù)；設(shè)定明確的企業(yè)總體目標(biāo)和與之相配套的具體目標(biāo)；確定合理的組織架構(gòu)和恰當(dāng)?shù)穆氊?zé)分工；保持有效的審計(jì)委員會的存在，使審計(jì)委員會能在公司治理中發(fā)揮重要作用。

（二）加強(qiáng)對企業(yè)風(fēng)險的管理

COSO委員會2004年9月發(fā)布的《企業(yè)風(fēng)險管理綜合框架》指出，企業(yè)風(fēng)險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應(yīng)用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項(xiàng)經(jīng)營活動，用于確認(rèn)可能影響企業(yè)的潛在事項(xiàng)并在其風(fēng)險偏好范圍內(nèi)管理風(fēng)險，對企業(yè)目標(biāo)的實(shí)現(xiàn)提供合理的保證。企業(yè)風(fēng)險管理包括八個相互關(guān)聯(lián)的組成要素：內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識別、評估風(fēng)險、應(yīng)對風(fēng)險、控制活動、信息與溝通和監(jiān)督。AS2規(guī)定，公司管理層必須識別重要會計(jì)科目和披露事項(xiàng)以及相關(guān)財務(wù)報表認(rèn)定中存在的重大錯報風(fēng)險，并實(shí)施控制程序以預(yù)防或發(fā)現(xiàn)可能導(dǎo)致重大錯報的現(xiàn)象。對于必須具備有效的風(fēng)險評估基礎(chǔ)的公司，如果其風(fēng)險評估有效至少應(yīng)被視為重要缺陷，并且是實(shí)質(zhì)性漏洞存在的明顯跡象。

在西方發(fā)達(dá)國家中，公司風(fēng)險和風(fēng)險管理成為管理者關(guān)注的頭等大事，風(fēng)險管理成為企業(yè)的一個重要職能。而我國目前進(jìn)行全面風(fēng)險管理的企業(yè)基本還局限在金融、保險等高風(fēng)險行業(yè)，大部分企業(yè)仍處于加強(qiáng)企業(yè)內(nèi)部控制建設(shè)的階段，尚未建立相應(yīng)的風(fēng)險管理機(jī)制對風(fēng)險進(jìn)行系統(tǒng)的管理，也未形成清晰的風(fēng)險管理理念、政策和程序。在應(yīng)對SOX法案挑戰(zhàn)的過程中，我國公司應(yīng)借鑒《企業(yè)風(fēng)險管理綜合框架》的規(guī)定來加強(qiáng)對風(fēng)險的管理。企業(yè)的目標(biāo)制定是風(fēng)險管理的起點(diǎn)，在目標(biāo)制定的前提下，公司應(yīng)對影響目標(biāo)的風(fēng)險進(jìn)行事件識別，進(jìn)而對識別的事項(xiàng)進(jìn)行風(fēng)險評估，風(fēng)險評估驅(qū)動風(fēng)險應(yīng)對，從而影響控制活動，信息與溝通和監(jiān)督貫穿于企業(yè)風(fēng)險管理的整個過程，并對前面的各個組成要素進(jìn)行修正。

（三）注重對信息系統(tǒng)的控制

隨著社會信息化程度越來越高，信息成為維持社會經(jīng)濟(jì)活動及生產(chǎn)活動的重要基礎(chǔ)資源?，F(xiàn)代企業(yè)中，信息技術(shù)控制已整合在公司的整體控制環(huán)境中，不僅公司的很多業(yè)務(wù)流程由信息技術(shù)推進(jìn)，并且控制目標(biāo)的達(dá)成在很大程度上依靠信息系統(tǒng)的自動控制，很多的控制活動取決于信息系統(tǒng)的數(shù)據(jù)合成。對多數(shù)公司而言，會計(jì)報表的完整性依賴于系統(tǒng)中信息傳遞的完整性、準(zhǔn)確性和及時性。如果信息系統(tǒng)控制存在重大缺陷，系統(tǒng)就無法及時提供真實(shí)、準(zhǔn)確、完整的信息，并不能有效支撐公司的業(yè)務(wù)發(fā)展。

我國公司在信息系統(tǒng)建設(shè)方面投資規(guī)模大，系統(tǒng)更新?lián)Q代快，系統(tǒng)功能的復(fù)雜以及系統(tǒng)外部環(huán)境的復(fù)雜情況，都使信息系統(tǒng)面臨更大的風(fēng)險。因此，公司應(yīng)加強(qiáng)對信息系統(tǒng)安全、操作、變更、開發(fā)等方面的控制，通過建立統(tǒng)一的管理政策、規(guī)范操作流程、形成相應(yīng)的文檔記錄以及恰當(dāng)?shù)穆氊?zé)分工等降低信息系統(tǒng)的風(fēng)險。有效的信息系統(tǒng)能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務(wù)流程，使公司的CEO、CFO、員工和審計(jì)人員能夠?qū)崟r識別、分配、測試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務(wù)流程根據(jù)內(nèi)部控制標(biāo)準(zhǔn)執(zhí)行。一旦系統(tǒng)發(fā)現(xiàn)任何違規(guī)行為，將向相關(guān)人員自動報警。

（四）重視發(fā)揮內(nèi)部審計(jì)職能

COSO框架中一個重要的組成部分是“監(jiān)控”，這項(xiàng)職能是由內(nèi)部審計(jì)來完成的，即對公司整個內(nèi)部控制過程的有效性實(shí)施再監(jiān)督，內(nèi)部審計(jì)的工作性質(zhì)在很大程度上代表了公司內(nèi)部監(jiān)管的好壞。同時，管理層對財務(wù)報告簽署書面聲明時，也必須評估內(nèi)審的有效性以支持他們的聲明，因此，公司董事會和高級管理層一定要重視和發(fā)揮內(nèi)部審計(jì)的職能作用。

我國公司傳統(tǒng)的內(nèi)部審計(jì)功能主要定位在運(yùn)營、舞弊調(diào)查以及特殊項(xiàng)目審計(jì)工作，因此內(nèi)審人員缺少執(zhí)行內(nèi)部控制審計(jì)所必需的勝任力和經(jīng)驗(yàn)，尤其是內(nèi)部審計(jì)職能的獨(dú)立性和客觀性方面。由于很多公司的內(nèi)審工作需要向管理層匯報，而不是向?qū)徲?jì)委員會匯報，這一匯報渠道使得內(nèi)審部在執(zhí)行業(yè)務(wù)時缺少客觀性。