梁晟耀，CPA，曾在海外上市公司从事内审、内控与风险管理工作，有多年美国上市公司萨班斯(SOX404)合规工作经验。2006年创办国内唯一专注于内部控制与全面风险管理的网站Cosox(www.cosox.cn)，与业内同行有广泛的交流。曾为多家知名公司提供内控、内审与风险管理培训。现担任一家美国纳斯达克上市公司内审与内控负责人。

　　《〈企业内部控制基本规范〉合规实务指南》立足于当下中国企业实务与实践，详细介绍了企业内部控制体系建设的全过程，并分享了很多企业在此过程中的经验与教训。提高效率，减少成本，从合规中提升价值，是《〈企业内部控制基本规范〉合规实务指南》的目的之所在。
　　随着《企业内部控制基本规范》的实施，国内企业面临内控合规的严峻考验。
　　建立与实施有效的内部控制，一方面，有利于改进公司治理，优化营运流程，改善控制措施，降低风险不良影响，并提高企业运作透明度，另一方面，有利于增强投资者和市场对企业的信心，提高企业的凝聚力、员工的士气和自豪感。

　　2002年，安然、世通公司突然垮台，施乐、默克等美国一系列大型企业相继出现财务丑闻，为整个金融市场敲响了警钟。这些丑闻的出现，不是偶然事件，与其对内部控制的过分疏忽有密切的关系。继这些丑闻曝光后，2002年7月30 Et，美国紧急出台了著名的《2002年公众公司会计改革和投资者保护法案》，又被称做2002年《萨班斯一奥克斯利法案》（简称《萨班斯法案》，SOX），同时成立了一个新的监管机构——上市公司会计监督委员会（The Public Company Accounting Oversight Board，PCAOB）取代美国注册会计师协会来监管会计职业界。该法案是1 930年以来美国证券立法中最具影响的法案，它加重了公司主要管理者的法律责任，加强了对公司高级管理层的收入监管，对公司内部的审计委员会做出了法律规范；与此同时，该法案强化了对公司外部审计的监管，加强了信息披露制度和其他有关公司监管的规定。
　　《萨班斯法案》的影响已波及整个资本市场，各行各业都受到并将继续受到该法案的影响。该法案中的404条款管理层对内部控制的评估是最棘手的部分，它要求上市公司及其外部审计师对公司财务报告内部控制的有效性进行报告。
　　在《萨班斯法案》颁布之后，COSO委员会于2004年9月29日正式发布了《企业风险管理——整合框架》，并提出由此取代《内部控制——整合框架》（见图1-1）。《企业风险管理——整合框架》内部控制标准体系是公司内部管理当局与外部注册会计师完成财务呈报内部控制有效性评价的标准。

第1章  《企业内部控制基本规范》解读
1.1  美国内部控制理论和实践的发展
1.2  我国内部控制理论和实践的发展
1.3  内部控制的规定及相关人员的责任
第2章  风险评估
2.1  风险概述
2.2  风险评估的一般程序
第3章  合规范围
3.1  自上而下基于风险的方法
3.2  范围界定的步骤
第4章  内部控制体系建设
4.1  内部控制体系建设概述
4.2  公司层面内部控制建设
4.3  IT一般控制建设
4.4  业务层面内部控制建设
4.5  IT应用控制建设
第5章  内部控制执行与维护
5.1  内部控制执行
5.2  内部控制维护
第6章  内部控制评价
6.1  内部控制测试
6.2  缺陷评估
6.3  评价报告
附录A  企业内部控制评价指引（征求意见稿）
附录B  企业内部控制审计指引（征求意见稿）
附录C  内部控制审计报告的参考格式
参考文献