不仅是阶段性工作

　　迫使中国人寿主动耗费如此巨大的时间、人力和财力实施404项目的一个重要原因，来自于《萨班斯法案》对公司和个人责任进行追究的严厉规定。

　　《萨班斯法案》第302条要求，上市公司的首席执行官和财务总监在其年度和中期财务报表中必须签名并确认，其财务报表完全符合《萨班斯法案》中有关规定，并不含有任何不真实的、误导公众的重大错误或遗漏。一旦出现问题，首席执行官和财务总监个人将对公司财务报表承担民事甚至刑事责任。

　　《萨班斯法案》并没有给出明确的达标界限。刘代春表示，该法案提出了一些标准，但比较笼统，主要是围绕财务报告和内部控制的有效性展开。

　　同时，为上市公司进行咨询和外部审计的会计师事务所也对怎样才算达到要求心中无底。安永会计师事务所审计组一人士表示，404条款将内部控制问题划分为一般的内部控制缺陷、重大缺陷和实质性漏洞三类，一旦出现实质性漏洞类的内控问题，就必须在审计报告中披露。但何为实质性漏洞，美国证券业协会只进行了定性的描述，即会导致年报或中期报告重大的实质性错报漏报的内部控制缺陷，而没有给出明确的定量标准。“同时，怎样才算内控有效也没有明确的标准。”

　　“另外，404工作没有经验可循，404条款刚刚生效，到目前为止，还没有任何一家上市公司完成了404条款要求的整个过程，外部审计师也还没有出具任何一份内部控制审计报告，因此，大家都是在摸着石头过河。”该人士说。

　　而项目进行决非阶段性工作，按照萨班斯法案要求，公司应建立并维持有效的内部控制机制，2005年之后公司和外部审计师每年都要进行内部控制评估。刘代春说，这项工作至今尚未结束，并且今后每年都会持续进行。

　　中国人寿404项目组一人士介绍，公司任何一个环节只要在操作方式上有变化，就要重新确定流程和风险点，比如上了新的IT系统后增加了扫描功能，那么扫描质量如何监控就形成一个新的风险点。“类似这方面的跟进和更新已经成为日常工作，不会因项目的结束而结束。”

　　“内控检查”启动

　　中国人寿面临的压力其实不仅来自《萨班斯法案》。中国保监会也已将完善内控作为2006年的监管工作重点。2006年1月，保监会下发《寿险公司内部控制评价办法》，并决定从4月份开始，实施对中国人寿法人机构和分支机构的内部控制检查。

　　保监会人身险部监管处处长方力表示，由于中国人寿已按《萨班斯法案》要求做了一些工作，系统上下对内控的认知度比较高，对评估程序也相对熟悉，因此在实施寿险公司内控评价的第一年，将检查重点锁定为中国人寿，目的在于了解它的内控现状。

　　中国人寿北京分公司业管部一人士表示，经过404项目一年多的开展，公司在内部控制上确实有所改观，现在做任何一项工作大家都会考虑是否符合404要求。

　　毕博管理咨询公司(大中国区)董事总经理高达飞(Afzal M. Tarar)说，要达到404条款的要求，难度在于怎样保证公司高管人员对下面任何一个微小环节都有了解和掌控。尤其对机构庞杂的大公司来说，高管人员要花很多时间了解下面的工作，这需要每一层级的管理人员都对上层领导负责。

　　除了中国人寿，其他寿险公司也在为完善内控开展工作。按照要求，各寿险公司须在5月底前向保监会提交内控分析报告。

　　一外资寿险公司内审部人士介绍，《寿险公司内部控制评价办法》对该公司的内审工作影响巨大。因为涉及内容广泛，又要包含各分公司情况，该公司正由专人撰写报告，“估计报告出来要有几百页内容”。

　　不过，中国人寿开展的404项目不太可能在国内寿险业推广，因为成本太高，其负担并非每家公司都能承受。高达飞(Afzal M. Tarar)认为，国内保险公司可以借鉴《萨班斯法案》完善内控，因为建立完善的内控是迟早要做的事，开始得越早成本越低。“耗费成本最大的是系统建设，而改建系统要比建立一个新系统成本更高。”他说。

　　他还指出，国内保险业要完善内控首先要有合适、完整的财务系统来准确、及时地报告公司财务状况，其次要在操作风险控制上有整体的理解和认识，并制订出可行的控制方案，而另一个重要方面就是IT部门要与业务和财务部门协调合作。