在應對SOX法案挑戰(zhàn)過程中，我國公司應加強企業(yè)控制環(huán)境的建設。通過企業(yè)文化建設、制定行為準則和道德規(guī)范，引導員工確立并堅定正確的價值取向，公司各級管理者應當以身作則以體現(xiàn)其高水平的道德標準；要確定企業(yè)的管理基調(diào)、道德觀和價值觀，找到整個企業(yè)重視風險的依據(jù)；設定明確的企業(yè)總體目標和與之相配套的具體目標；確定合理的組織架構和恰當?shù)穆氊煼止?；保持有效的審計委員會的存在，使審計委員會能在公司治理中發(fā)揮重要作用。

（二）加強對企業(yè)風險的管理

COSO委員會2004年9月發(fā)布的《企業(yè)風險管理綜合框架》指出，企業(yè)風險管理是企業(yè)的董事會、管理層和其他員工共同參與的一個過程，應用于企業(yè)的戰(zhàn)略制定和企業(yè)的各個部門和各項經(jīng)營活動，用于確認可能影響企業(yè)的潛在事項并在其風險偏好范圍內(nèi)管理風險，對企業(yè)目標的實現(xiàn)提供合理的保證。企業(yè)風險管理包括八個相互關聯(lián)的組成要素：內(nèi)部環(huán)境、目標設定、事件識別、評估風險、應對風險、控制活動、信息與溝通和監(jiān)督。AS2規(guī)定，公司管理層必須識別重要會計科目和披露事項以及相關財務報表認定中存在的重大錯報風險，并實施控制程序以預防或發(fā)現(xiàn)可能導致重大錯報的現(xiàn)象。對于必須具備有效的風險評估基礎的公司，如果其風險評估有效至少應被視為重要缺陷，并且是實質(zhì)性漏洞存在的明顯跡象。

在西方發(fā)達國家中，公司風險和風險管理成為管理者關注的頭等大事，風險管理成為企業(yè)的一個重要職能。而我國目前進行全面風險管理的企業(yè)基本還局限在金融、保險等高風險行業(yè)，大部分企業(yè)仍處于加強企業(yè)內(nèi)部控制建設的階段，尚未建立相應的風險管理機制對風險進行系統(tǒng)的管理，也未形成清晰的風險管理理念、政策和程序。在應對SOX法案挑戰(zhàn)的過程中，我國公司應借鑒《企業(yè)風險管理綜合框架》的規(guī)定來加強對風險的管理。企業(yè)的目標制定是風險管理的起點，在目標制定的前提下，公司應對影響目標的風險進行事件識別，進而對識別的事項進行風險評估，風險評估驅(qū)動風險應對，從而影響控制活動，信息與溝通和監(jiān)督貫穿于企業(yè)風險管理的整個過程，并對前面的各個組成要素進行修正。

（三）注重對信息系統(tǒng)的控制

隨著社會信息化程度越來越高，信息成為維持社會經(jīng)濟活動及生產(chǎn)活動的重要基礎資源?，F(xiàn)代企業(yè)中，信息技術控制已整合在公司的整體控制環(huán)境中，不僅公司的很多業(yè)務流程由信息技術推進，并且控制目標的達成在很大程度上依靠信息系統(tǒng)的自動控制，很多的控制活動取決于信息系統(tǒng)的數(shù)據(jù)合成。對多數(shù)公司而言，會計報表的完整性依賴于系統(tǒng)中信息傳遞的完整性、準確性和及時性。如果信息系統(tǒng)控制存在重大缺陷，系統(tǒng)就無法及時提供真實、準確、完整的信息，并不能有效支撐公司的業(yè)務發(fā)展。

我國公司在信息系統(tǒng)建設方面投資規(guī)模大，系統(tǒng)更新?lián)Q代快，系統(tǒng)功能的復雜以及系統(tǒng)外部環(huán)境的復雜情況，都使信息系統(tǒng)面臨更大的風險。因此，公司應加強對信息系統(tǒng)安全、操作、變更、開發(fā)等方面的控制，通過建立統(tǒng)一的管理政策、規(guī)范操作流程、形成相應的文檔記錄以及恰當?shù)穆氊煼止さ冉档托畔⑾到y(tǒng)的風險。有效的信息系統(tǒng)能夠創(chuàng)建和記錄企業(yè)內(nèi)部業(yè)務流程，使公司的CEO、CFO、員工和審計人員能夠?qū)崟r識別、分配、測試并監(jiān)視內(nèi)部控制與流程，確保業(yè)務流程根據(jù)內(nèi)部控制標準執(zhí)行。一旦系統(tǒng)發(fā)現(xiàn)任何違規(guī)行為，將向相關人員自動報警。

（四）重視發(fā)揮內(nèi)部審計職能

COSO框架中一個重要的組成部分是“監(jiān)控”，這項職能是由內(nèi)部審計來完成的，即對公司整個內(nèi)部控制過程的有效性實施再監(jiān)督，內(nèi)部審計的工作性質(zhì)在很大程度上代表了公司內(nèi)部監(jiān)管的好壞。同時，管理層對財務報告簽署書面聲明時，也必須評估內(nèi)審的有效性以支持他們的聲明，因此，公司董事會和高級管理層一定要重視和發(fā)揮內(nèi)部審計的職能作用。

我國公司傳統(tǒng)的內(nèi)部審計功能主要定位在運營、舞弊調(diào)查以及特殊項目審計工作，因此內(nèi)審人員缺少執(zhí)行內(nèi)部控制審計所必需的勝任力和經(jīng)驗，尤其是內(nèi)部審計職能的獨立性和客觀性方面。由于很多公司的內(nèi)審工作需要向管理層匯報，而不是向?qū)徲嬑瘑T會匯報，這一匯報渠道使得內(nèi)審部在執(zhí)行業(yè)務時缺少客觀性。