第一篇:浅议《萨班斯奥克斯利法案》中的独立性改进措施及其对我国会计监.
浅议《萨班斯?奥克斯利法案》中的独立性改进措施及其对我国会计监管的启示
[摘要] 美国在安然及数次财务舞弊丑闻爆发后,全国上下掀起了改进会计监管体系的讨论热潮,其中以《萨班斯?奥克斯利法案》为改革的主要措施,该法案的一项重要内容就是关于增进独立性的措施,而我国近期发生的会计舞弊案同样暴露出独立审计中存在着独立性缺失的问题,因此科学总结安然事件和SOX法案对我国会计监管行业有着重要的意义。本文试图分析美国审计行业中存在的独立性缺失表现和SOX法案对其修正措施,并在此基础上,结合我国现实状况,希望我国会计监管行业能从安然事件以及SOX法案中能得到一些启示。[关键字] 安然;会计监管;独立性;SOX法案
一、引言2001年底,曾经位居全球500强第7位的美国能源巨擎安然(Enron)公司破产案震惊了全世界,作为其财务审计公司的国际五大会计公司之一?安达信会计公司也因其审计失败而宣告倒闭。这个在当时创下美国破产纪录的会计造假案引起了美国朝野的巨大恐慌,布什政府、美国证券交易委员会、注册会计师协会、五大会计师事务所等纷纷发表声明,社会各界展开了关于会计监管的广泛讨论,然而安然事件余波未平,施乐、世通、莫克等会计造假案又接踵而来,美国会计监管体制的弊端已是一览无遗,为此,政府和行业组织加紧步伐采取改革措施,其中以2002年的《萨班斯?奥克斯利法案》(SOX法案)最为系统、全面。SOX法案是美国继《1933年证券法》和《1934年证券交易法》之后的又一部规范美国资本市场的力作,内容涉及会计行业的监管、审计独立性、财务信息披露、公司责任、证券分析师行为、美国证券交易委员会的权利和职责、法律责任等诸多方面,虽然这部法案颁布才两年多,其现实意义尚不是很明确,目前学术界对其亦是褒贬不一,笔者以为,法案中有关改进独立性的措施,对于数次爆发的会计造假案有着较强的针对性,而且,目前我国的证券市场相对于美国而言尚欠完备,同时也出现了诸如银广厦之类的案件,会计监管存在着与美国类似的纰漏。因此,相信这些新举措对于我国会计审计行业的规范也有一定的借鉴意义。
二、安然事件及整个监管体系中独立性缺失表现首先需指出的是,本文所讨论的“独立性”是广义上的独立性概念,不仅指注册会计师审计过程中的独立性,还包括审计环节中所有影响审计质量的、应当保持独立的因素,此外,本文还试图找出由安然公司扩展到整个会计监管体系的独立性缺失问题所在。
(一)注册会计师的独立性缺失SEC的独立性规则和AICPA的职业道德都明确要求:审计师不仅要做到实质上独立,而且要保持形式上独立,暂且不论实质独立,仅就形式独立对安然进行考察,我们可以发现至少存在以下独立性缺失表现:首先,从80年代起,安达信就一直担任安然的外部审计师,到了90年代中期,安达信兼任安然内部审计师,不仅提供审计鉴证服务,而且提供收入不菲的咨询业务。仅2000年度,安达信向安然公司收取了高达5200万美元的费用,其中审计收入2500 万美元,咨询收入2700万美元,非审计业务占一半以上,安达信提供的咨询服务甚至包括代理记账,安达信对安然的审计几乎可以说是“自己审自己”,独立性荡然无存。这种现象不仅在安达信出现,据统计,自 20世纪 90年代以来,原“五大”的咨询收入占全部收入的比重逐年提高,对于这“五大”来说,他们事实上已成为一个综合性的咨询公司,而不是单纯意义上的审计公司了。其次,安然公司的许多管理人员曾安达信事务所的雇员,公司里的首席财务主管、首席会计主管等高层管理人员都曾在安达信任职,从安达信调职到安然公司的较低级别的管理人员更是不胜枚举。在安然公司,有为安达信的审计师专用的固定办公室;安达信的审计师与安然员工享受同等待遇,参加集体活动等。由上述表现可以看出安达信与安然之间的密切关系至少有损安达信形式上的独立性。
(二)独立董事与审计委员会独立性的缺失按照证券市场会计监管理论,上市公司董事会中需引入一定数量的独立董事,由独立董事主导管理层提名、薪酬审计委员会,并由审计委员会聘请审计师,这样可以改善董事会成员的知识结构,建立制衡机制,防止公司管理层舞弊。但从安然公司2000年度报告看,安然公司的17名董事中,除董事会主席和首席执行官以外,其余15名均为独立董事,其中不乏很有名望的专业人士,而且审计委员会7名成员全部是独立董事。然而,如此完善的治理机制仍未能堵住财务舞弊行为的发生。其实,不单是安然,纵观数家发生舞弊丑闻的公司中独立董事的设置,我们发现,这些案例既使没有宣告独立董事制度的失败,至少也令独立董事制度的缺陷暴露无遗,这种缺陷首先体现在独立性的缺失。试想,一位兼具熟人身份独立董事又如何会冒着失去丰厚津贴的风险,向自己的高管朋友提出质疑呢?哈佛大学国家政策及管理研究中心主任IraA Jackson教授指出:“安然的外部董事只需要每月参加一次董事会,而每年的报酬则是以股票支付的385万美元。如果安然的股票继续高涨,这些股票的价值将远远超过385万美元。正因为如此,如果公司管理层提出一些不能为公司创造内在价值,而是对公司的股价产生正面影响的提议时,许多外部董事都不会表示异议”(IraA Jackson,2002)。安然事件和数次舞弊风暴表明:独立性制约着独立董事制度的效率和效果,独立董事不独立,由其组成的审计委员会也自然就名存实亡了。
(三)美国注册会计师协会与公共监管委员会独立性的缺失美国注册会计师协会(AICPA)自设立以来,一直扮演双重角色:既是注册会计师合法权益的守护神,又是注册会计师执业行为的监管者,多年来,注册会计师审计的日常监督检查主要由注册会计师行业的自律组织??美国注册会计师协会行使,但是由于美国注册会计师协会在其资金来源、人员安排、技术支持等诸多方面都与大型会计师事务所联系密切,也就是其监督职能在很大程度受到其监管对象的制约,由此,注协的监督效能也会受到质疑。而直属于AICPA的公共监管委员会(POB),早在成立之初就有不少人对其经费不足、对审计行为的监督缺乏切合实际的能力等问题表示担忧,事实也表明,这个部门的确未发挥应有的监管效用,甚至许多美国人从未听说过这个机构。
(四)美国证券交易委员会的独立性的缺失作为证券市场的权威监管者,美国证券交易委员会(SEC)是最应保持独立的机构,只有在一个有绝对威信、公正的组织领导、监管下,市场中的其他各要素才有可能保持独立、公允,然而,事实并非如此,作为政府部门,SEC与国会一样,有着受大型事务所资助、牵制之嫌。SEC前任主席阿瑟•利维特早在3年前就提出对会计师事务所同时提供审计鉴证和咨询服务予以限制的主张,当时引起了众多事务所,尤其是原“五大”的强烈反对,在这场监管者与被监管者的辩论中,原本应该监管者具有绝对权威,但结果却恰恰相反,反对“五大”的先锋人物利维特在较量中败下阵来,最终离职,由支持“五大”的哈维•彼特继任。从这场较量,显而易见,大型事务所对SEC有着较大的影响力,致使SEC在制定监管政策过程中受到“五大”的干预,从被监管者的利益出发,制定出的政策又怎么能公正、有效呢?试想,倘若当初SEC在争辩中胜出,及时遏制住会计师事务所混业经营现象,那么,此后的数次会计灾难也许就不会发生了。
三、SOX法案独立性改进措施及分析
(一)提高注册会计师独立性关于注册会计师独立性,SOX法案第2章专门讨论了提高措施,主要可以归纳为两点:⑴原则上禁止会计师事务所为其审计的上市客户提供某些非审计服务,包括簿记、代编报表、财务信息系统的设计与运行、评估、保险精算、内部审计、内部管理、人力资源、经纪、投资顾问、证券承销、法律顾问等。会计师事务所仍然可以为审计客户提供上述非审计服务以外的其他非审计服务(如税务服务),但必须事先取得审计客户审计委员会的批准(或符合该法案规定的一系列豁免条款);⑵会计师事务所为某一审计客户提供审计服务时,审计项目合伙人(或对审计项目实施最终复核的人)担任该审计项目负责人的任期不得超过5年;如果审计客户的关键管理人员(如总经理、总会计师或财务总监)在审计开始日前一年内曾受雇于执行审计业务的会计师事务所并参与了该审计客户的审计项目,该会计师事务所不得为该审计客户提供审计服务。此外,法案还在其他方面对公司责任进行了规范。比如,法案禁止公司任何管理人员或者董事或者其他有关人员,故意不恰当地影响注册会计师的审计行为。如果这些人员为了达到使所提交的财务报表产生重大误导的目的,而对实施公司财务报表审计的注册会计师采取任何欺骗性的影响、胁迫、操纵或者误导的行为,均将被视为非法行为。此举将进一步保证注册会计师执业的独立性,避免因受到不必要的干扰而影响其审计质量。笔者认为,在SOX法案颁布之前,美国会计师事务所混业经营的现象很普遍,而这毫无疑问地在很大程度上威胁着审计的独立性,暂且不论法案这项规定是否能从根本上解决审计师独立问题,但至少能使事务所与客户保持形式上的独立,有数据表明,“SOX法案实施之后,审计师更愿意提供非标准无保留意见的审计报告,而且,公司报告利润中盈余管理的程度降低”(Lai,2003)。这个发现支持SOX法案提高审计独立性的推断。然而,目前独立审计制度的根本缺陷在于:注册会计师作为受托者必须维护股东、债权人乃至社会公众的利益,然而,他又受聘于审计客户,当审计客户管理当局与股东、债权人乃至社会公众发生利益冲突时,注册会计师就很难做出取舍,到底是该为不直接提供经济利益的受益方尽责,还是维护作为直接经济来源的客户管理者的利益呢?这种根本性的矛盾,法案无法解决。
(二)增强审计委员会职能由于肯定公司内部治理机制的作用,SOX法案仍信任审计委员会,希望通过强化其职责改进独立性,从而发挥实效。法案首先规定了审计委员会的每一位成员应是公司董事会的成员,除其以审计委员会、董事会或董事会的其他专门委员会成员的身份外,不可以接受公司的任何咨询费、顾问费或其他报酬,也不能是公司或其任何子公司的关联人以确保委员会的独立性,在此基础上提出审计委员会的职责是:(1)负责聘请注册的会计师事务所,给事务所支付报酬并监督其工作;(2)受聘的会计师事务所应直接向审计委员会报告;(3)可以接受并处理本公司会计、内部控制或审计方面的投诉;(4)有权雇用独立的法律顾问或其他咨询顾问。由于公司内部人员对于公司财务与经营状况最为清晰,也更易为了自身的利益采取扭曲会计信息的行为。因此,建立合理、有效的公司内部治理机构改进会计信息质量至关重要。而在公司内部治理结构中,与审计工作关系密切同时利益又相对独立的,当数公司董事会下的审计委员会,审计委员会职能作用发挥,对于保证会计信息的真实、公允和公司内部治理结构的有效性十分重要,因此,笔者认为,通过充分发挥审计委员会的职能加强会计监管的思路是恰当的。但是,SOX法案并未彻底解决审计委员会的独立问题,审计委员会仍由独立董事组成,虽然有委员不能接受职务以外的报酬的规定,但事实上作为公司内部人员收受公司好处是轻而易举的事,该规定首先就无法确保委员会委员保持经济独立。正如英国的Accountant杂志里一篇题为“怪圈:非执行董事”的文章中所提到的:“某个人完全可以将符合任职条件的好朋友安插在董事会,但该董事是从不会也不敢对董事会主席提出批评的”(RogerCowe,2002)。可见,如果大股东或高管人员对独立董事的提名权不受严格限制,独立董事要真正独立、客观地进行决策,只能是空想和不切合实际的。独立董事作用受限,审计委员会的职能也就无法正常发挥了。
(三)成立公众会计监管委员会成立一个独立于美国注册会计师协会的监督机构??公众公司会计监督委员会(PCAOB),是SOX法案的一项重要内容,法案规定会计行业的监管权由行业自律组织转向行业外的独立机构??PCAOB,属于非营利法人组织,但不属于政府机构,其多数成员将由非注册会计师担任,均为全职,任期五年,每人最多两任,而且主席不得在担任职务前的一年内参与审计业务;PCAOB的资金来源于各会计师事务所缴纳的注册费和年费,法案建立这样一个公众公司会计监督委员会的主要目的是以更独立的形式监督公开发行证券的公司的审计工作和其他相关事项,以保护投资者乃至公众的利益,其主要职责包括审计准则的制定权、会计师事务所的注册权、监督权和调查与处罚权等。PCAOB的成立是美国注册会计师监管体制的一次重大改革,在此之前,美国注册会计师监管体制都是以行业自律为主,PCAOB的出现使监管明显有了政府干预的性质,不少学者认为,这预示着美国会计行业监管由行业自律时代进入政府监督时代,笔者也认为,这的确是“后安然时代监管模式”一个突出特点,然而,PCAOB的监管仍存在着一些问题。首先,人选确定问题,既要保证独立性,又要求专业性,这是所有机构在选任中的难题;其次,PCAOB在未来同样面临着来自不同利益集团的游说的巨大压力,这将使PCAOB设立原则体现的独立性可能仅仅是形式上而非实质性的。因此,在这个机构的功效未完全显现之前,就下“政府监督时代到来”的定论还为时过早。对于SEC的独立性问题,SOX法案没有明确涉及。应该说,SOX法案对于安然事件中暴露出的独立性问题都有认识,而且也较针对性地给出了改进措施,这些规定或许能帮助改善形式独立性,但笔者认为,由于独立审计的根本矛盾仍然存在,实质独立性的问题没有得到彻底解决。
四、SOX法案对我国会计监管的启示一直以来,国内都认为美国的会计监管体系是最为完备的,因此较多地倾向于借鉴美国的经验,SOX法案颁布后也引起了国内各界的广泛讨论。分析我国发生的数次财务舞弊案,不难发现我国与美国一样存在着严重的独立性缺失问题,由于原先体制和审计行业发展程度的不同,加上法案本身还存在着争议,因此,我们不能照搬SOX法案的措施。但是,安然事件和SOX法案还是给了我们一些启示,笔者认为,在结合国情的基础上,SOX法案对我国的会计监管还是有一些借鉴意义的。
首先,在注册会计师独立性方面。由于我国证券市场起步较晚,审计行业发展尚未达到美国的水平,因此,国内会计师事务所混业经营现象还不多见,至少在收入比例上,非审计业务与审计业务相比还是较少的,但是以前一直有学者认为国内事务所应学习国外,大力发展非审计业务,安然事件给我们以警示,发展非审计业务将使审计独立性受到严重侵害,因此,国内事务所应保持戒心,控制非审计业务,至少在实质性独立没有得到保障时保持谨慎态度。关于强制轮换事务所,我国国情恰恰与美国相反,国内的问题在于上市公司更换事务所过于频繁,据统计,2002年年度报告审计有113家上市公司更换了会计师事务所,这种相反的现象显然不能说我国做到了独立性要求,事实上是许多审计客户不满意于事务所出具的审计意见,而以莫须有的罪名更换事务所,针对这张现象,中国这册会计师协会的政策是密切关注审计变更情况,对异常情况及时警示,两种截然不同的政策取向说明了我国上市公司聘请审计师还存在着不公正问题。因此,强制轮换会计师事务所在我国还没有必要,加强监管力度以增强选任审计师的公正性却是亟待加强的。其次,在加强公司内部治理结构方面。目前独立董事制度在我国已全面推广,然而安然事件给我们敲响警钟,对独立董事在上市公司会计监管中防止会计造假、规范信息披露的作用也要有一个恰当的评价,不是在上市公司治理结构中引入独立董事制度之后,会计信息失真问题就能迎刃而解,独立董事制度更不可能立竿见影,关键在于保证独立董事和审计委员会作用的发挥。我国对于审计委员会的职责规定是:(1)提议聘请或更换外部审计机构;(2)监督公司的内部审计制度及其实施;(3)负责内部审计与外部审计之间的沟通;(4)审核公司的财务信息及其披露;(5)审查公司的内控制度。与美国相比,这些职责描述还不够全面、具体,比如在聘请外部审计机构问题上,国内审计委员会仅有提议权,而没有决定权,这就相当于架空了职权,使审计委员会的无法切实发挥功效。而且,在独立董事的选任方面,公司高层管理者仍掌握着独立董事的任命权,这使得独立董事不“独立”。因此,笔者认为,我国须加紧规范独立董事的选任、约束和激励机制,通过外部委派等途径提高独立董事的独立性。最后,在政府监管方面。一直以来,国内有一种政府对国有企业的审计监督应该逐渐隐退的观点,认为随着社会主义市场经济体制改革的深化,政府职能应逐渐退出市场,转向宏观调控,因此,原先对国有企业的审计监督也应逐渐全部交给独立审计机构开展。诚然,与国际惯例相比,我国政府干预过多,使行业自律组织的作用无法得到充分发挥,然而,此次美国公司丑闻的曝出应该启发我们对上述观点进行重新思考,完全的行业管制显然也同样存在着弊端,倘若将会计监管完全由政府转向自律势必重蹈美国覆辙,而且,在我国政府是独立性最强的机构,其监管作用的发挥将比其他组织更彻底,因此,政府对监管不能单纯地完全退出,而应是政府管制与行业自律相结合,既有政府的适度干预,又有注册会计师协会的规范,政府与自律组织分权管理。参考文献[1] 崔学刚:“上市公司财务信息披露:政府功能与角色定位”,《会计研究》,2004年第1期。[2]黄世忠、叶丰滢:“美国南方保健公司财务舞弊案例剖析??《萨班斯?奥克斯利法案》颁布后美国司法部督办的第一要案”,《会计研究》,2003年第6期。[3] 连宏彬:“评国际舞弊审计准则及其借鉴”,《财会通讯》,2004年第7期。[4] 马德林、杨英:“安然事件与我国会计改革”,《商业财会》,2003年第3期。[5] 舒彦:“美国法学界对《萨班斯-奥克斯利法案》的评价”,《中国注册会计师》,2004年第1期。[6] 徐左军:“在新形势下履行会计监督职能的几点思考”,《财会研究》,2004年第10期。[7] 严国强、倪鹏翔:“《萨班斯-奥克斯利法案》下的内部控制框架思考”,《中国注册会计师》,2004年第9期。[8] 张龙平、王泽霞:“美国舞弊审计准则的制度变迁及其启示”,《会计研究》,2003年第4期。
第二篇:会计监管对萨班斯法案独立性改进的借鉴
摘要: 本文从美国《萨班斯法案》中关于会计监管的内容和措施入手,主要通过该法案的法律条款说明了其在加强审计独立性方面的重要影响,从审计独立性方面有针对性地分析了会计监管的现状及存在的主要问题,提出了该法案对我国会计监管制度建立的启示。
关键词: 《萨班斯法案》 会计监管 独立性
一、会计监管体系中缺乏独立性的表现
(一)国外事件中缺乏独立性的表现
通过安然事件,可见会计监管体系中独立性的缺乏主要表现在以下几个方面:
1.独立董事与审计委员会缺乏独立性的表现
根据证券市场的会计监管理论,上市公司董事会中需引入一定数量的独立董事,这样可以改善董事会成员的知识结构,建立制衡机制,防止公司管理层舞弊。安然事件和数次舞弊风暴表明:独立董事制度的缺陷体现在独立性的缺乏,独立性制约着独立董事制度的效率和效果,独立董事不独立,由其组成的审计委员会自然也就名存实亡。
2.美国注册会计师协会与公共监管委员会缺乏独立性的表现
美国注册会计师协会(aicpa)具有双重作用:既要保证注册会计师的合法权益,又要监管注册会计师的执业行为。注册会计师审计的日常监督检查工作一直由美国注册会计师协会完成,但由于美国注册会计师协会在其资金来源等方面都与大型会计师事务所联系密切,所以其监督职能在很大程度上受到其监管对象的制约,因此,注协的监督效能受到质疑。
3.注册会计师缺乏独立性的表现
美国证券交易委员会(sec)和美国注册会计师协会(aicpa)都要求审计师不仅要做到实质上的独立,而且要保持形式上的独立。
从形式上看,安达信一直是安然的外部审计师,而且兼任其内部审计师,在提供审计鉴证服务的同时还提供咨询业务。从实质上看,安然的审计几乎是自己审自己,独立性荡然无存。由上述表现可以看出安达信与安然之间的密切关系有损安达信形式上的独立性。
4.美国证券交易委员会缺乏独立性的表现
美国证券交易委员会(sec)是证券市场的权威监管者,应该是一个独立性的机构,只有在一个绝对威信、公正的组织领导、监管下,市场中的其他各要素才有可能保持独立、公允。但是,sec受到大型事务所的资助或者是牵制,致使sec在制定监管政策过程中受到干预,所制定政策的公正性和有效性大打折扣。
(二)国内有关缺乏独立性的表现
一直以来,国内都认为美国的会计监管体系是最为完备的,因此较多地倾向于借鉴美国的经验,通过分析我国发生的数次财务舞弊案,不难发现我国与美国一样存在着严重的独立性缺失问题。
二、《萨班斯法案》有关独立性的改进措施
(一)提高注册会计师的独立性
《萨班斯法案》第2章专门讨论了有关注册会计师独立性的提高措施:原则上禁止会计师事务所为其审计的上市客户提供某些非审计服务等。这些措施将进一步保证注册会计师执业的独立性,避免受到不必要的干扰而影响审计质量。然而,法案只是在形式上使事务所与客户保持了独立。
(二)增强审计委员会的职能
《萨班斯法案》肯定了公司的内部治理机制。在公司内部治理结构中,公司董事会下设的审计委员会,与审计工作关系密切而且利益相对独立,对于保证会计信息的真实、公允和公司内部治理结构的有效性,审计委员会发挥了十分重要的职能。所以,充分发挥审计委员会的职能可以加强会计监管。但是,《萨班斯法案》并没有在本质上解决审计委员会的独立问题。
(三)成立公众会计监管委员会
《萨班斯法案》规定会计行业的监管权由行业自律组织转向行业外的独立机构――公众会计监管委员会(pcaob)。pcaob的成立是美国注册会计师监管体制的一次重大改革。但是,pcaob的监管仍然存在一些问题。这将使pcaob设立所体现的独立性可能仅仅是形式上的而非实质性的。
《萨班斯法案》对于安然事件中暴露出的独立性问题都有认识,而且也较针对性地给出了改进措施,这些规定或许能帮助改善形式上的独立性,但由于独立审计的根本矛盾仍然存在,实质独立性的问题没有得到彻底解决。
三、《萨班斯法案》对我国会计监管的启示
由于我国原先体制和审计行业发展程度的不同,加上法案本身还存在着争议,因此,我们不能照搬《萨班斯法案》的措施,可以在结合我国国情的基础上,加快和完善我国会计监管体系的建设。
(一)加强公司内部治理结构
内部会计监管是第一道防线,但引入独立董事制度后,上市公司治理结构中会计信息失真的问题不能全部迎刃而解,关键在于保证独立董事和审计委员会发挥作用。因此,必须加紧提高独立董事的独立性。
(二)从制度上保证注册会计师审计的独立性
会计师事务所提供非审计业务具有双重性质,一方面给会计师事务所带来额外收益,另一方面削弱了执行审计业务的注册会计师的客观性和独立性。我国应该尽快制定有关政策,明确规定会计师事务所不能同时提供审计业务与非审计服务,加强对注册会计师从事咨询业务的监管。
(三)完善注册会计师行业监管体系
根据美国暴露出的监管制度的严重缺陷和漏洞,可以发现仅仅依靠行业的自律性组织进行会计监督是不够的。因此我国应根据“法律规范、政府监督、行业自律的基本监督思路”构建以政府监管为主导,以行业自律管理为补充的注册会计师行业监管体系。
第三篇:萨班斯法案对企业内部控制.
萨班斯法案对企业内部控制
可 低影响程度 [NextPage] 5.3我国企业内部控制建设的步骤
要完善中国企业的内部控制体系,职称论文发表我们还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是1个1次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤:
5.3.1 内部控制环境的建设 1.公司治理结构
目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构1元化、1股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们的问题是股权过于集中,结果都造成了内部人控制。因此,我们应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“1股独大”问题; 进1步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。
2.法制大环境
在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是1致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们应借鉴SOX,进1步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。
在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,1直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的1系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。
在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。
3.公司的内控文化
企业文化是随着现代工业文明的发展,企业组织在1定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的1种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免1种只注重内部短期的企业文化,保持1种健康的文化氛围,使其与公司战略目标趋于1致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,1个企业的人力资源政策直接影响到企业中每1个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。全国人大 2000年7月 发布《关于加强金融机构内部控制的指导原则》,这是我国第1个关于内部控制的行政规定。高发生可能 1996年12月 毕业论文 国务院 生 能提供有建设意义的内控整改计划和方案
[NextPage] 世界1流公司 2006年9月28日 性 高发生可能 2001年6月 2000年 高影响程度 工作重点花费在核实信息、查证数据上 证监会 [NextPage] 5.3.2 内部控制风险的识别和评估
内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每1个活动所涉及的风险。在这1步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。1旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们对于内部控制的研究,我们须以环境及其风险的分析入手。企业管理者运用1系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。
内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们有许多方法来对风险进行分类。其中,1种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们也可以用下面的表格对风险进行评估分类:
中国上市公司 2006年6月5日 发起成立“会计师事务所内部治理指导委员会” 发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。
发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。
业务流同信息流整合度不高,同财务系统集成低
在确定流程和进行测试的过程中,关键问题是看对每1个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出1个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿1直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。
巨大的工作量也带来1定的挑战。1试点机构404项目组的成员表示,项目开展的最初半年每天都要工作10几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。
5.2 中美企业内部控制比较
由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国1流的上市公司,下表是中美两国公司在内部控制上的比较:
有健全、完善的制度性管理条例、细则和程序
发布征求《上市公司内部控制指引》意见的通知,揭开了中国上市公司内部控制体系制度建设的序幕 发布《独立审计具体准则第9号1内部控制和审计风险》 发布部门 中国人民银行 发布《内部会计控制规范1基本规范(试行)》和《内部会计控制规范1货币资金(试行)》 在细则、条例等制度的建设上滞后
2001年2月 发布《中央企业全面风险管理指引》
财政部 深交所 能
通过上面列的这个时间表,我们不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这1年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这1连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯1奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束 的 财政部 低发生可能 [NextPage]
提供有建设意义的内控整改计划和方案明显不足
内审薄弱,缺乏内部控制专员 发起成立“企业内部控制标准委员会” 业务流同信息流高度整合,同财务报告高集成
证监会 中注协 发布《内部会计控制规范——采购与付款(试行)))和《内部会计控制规范1销售与收款(试行)》 2006年7月15日
外部审计结合内部控制 2003年11月 财政部 时 间 发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。发 发布《内部会计控制规范1存货(试行)》《内部会计控制规范1担保(征求意见稿)》和《内部会计控制规范1成本费用(征求意见稿)》
高影响程度
证监会 2006年6月6日 2006年5月 2005年10月19日 规范内容 从上面的列表我们发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们可以将它们分为3个层次:
第1个层次是全国人大和财政部颁布的1些法律、法规。1996年颁布的《独立审计具体准则第9号1内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这1层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了1定的积极作用。
第2个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这1层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第3个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。
4.2.2 中美内部控制规定的比较
上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。
1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。
2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的5大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进1步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。”
3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立1套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。
4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成1个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成1套完整的内部控制体系要求,还有相当的距离。
5、我国企业内部控制的建设
5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何1个岗位的职务、职责描述得1目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每1个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。
对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了1年,但对于我国在美上市的大型国有企业来说,时间仍然10分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。
2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面3个公司的例子作1说明:
2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了1系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“1个全面,3个集中”,推行“4统1”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。
特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了1支具有较强业务能力的内控工作队伍。
中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。
《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进1步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进1步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。
基本在同1时间,华能国际于2003年也正式启动全面改进内控工作的404项目。4年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。
为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第3轮审计的0缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第1家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。
而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是4大外资会计师事务所之1的安永会计师事务所。
“404项目”分3批在中国人寿全系统推进,北京、江苏、河南和山东4个省市作为第1批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有1定难度。”1404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近3个月。”
之后要做的工作是进行测试:采用抽查法先抽出1笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到1笔业务并不足以说明目前的控制确实有效,之后还会抽出几10个样本,用同样的方法对这1大笔业务进行再测试。
2006年5月17日 对计划的影响程度(财务成本)
这个步骤让内控部门对风险有了进1步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为4类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动
在完成了主要风险的识别和后,我们需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定1个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。1般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取1个或多个措施的,因为这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以采取1些控制来降低它的风险。
内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序;
控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之1。程序建设步骤如下:
首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。
然后,提出内部控制关键控制点,所谓关键控制点,是指在1个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。
最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之1就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。
5.3.4 内部控制的监督
监督是1种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是1个1次性的活动,我们需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第3方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用:
1.内部审计,它既是企业内部控制的1个部分,也是监督内部控制其他环节的1个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的1种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们实施审计向我们帮助创建1些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。
2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。
5.3.5 内部控制信息的传递
企业应设立1个良好的信息与沟通系统,1个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是1个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。1个健全的信息系统应该能够提供内容适当、及时、正确的信息。
同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起1个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用:
结论:
从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同1天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了1定的影响:1来是针对已经或准备在美国上市的中国企业必须达到法案的要求;2是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到1个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造1个好的内部控制的大环境。
注释:
文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104
第四篇:萨班斯法案对我国企业内部控制的影响(下)(一).
萨班斯法案对我国企业内部控制的影响(下)(一)
4.2我国内部控制相关制度的发展 4.2.1 我国内部控制规定的演变 目前,我国尚未正式出现权威性的内部控制概念,对于内部控制完整性、合理性及有效性更是缺乏公认的标准体系。现行规范中提到内部控制概念主要有三处:1996年财政部《独立审计准则第9号一内部控制与审计风险》,提到内部控制结构化概念,包括控制环境、会计系统和控制程序,是指被审计单位为保证业务活动的有效进行,保护资产的安全和完善,防止、发现纠正错误和舞弊,保证会计资料的真实、合法、完整而制定和实施的政策和程序;2001年财政部会计控制规范引用了会计控制与管理控制概念;2002年中国人民银行《商业银行内部控制指引》,借鉴了COSO报告,指出内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。我国内部控制规范进程一览表: 时 间发布部门规范内容1996年12月财政部 发布《独立审计具体准则第9号一内部控制和审计风险》1997年5月中国人民银行发布《关于加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1999年证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。2000年证监会发布《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。2000年7月全国人大发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。2001年2月证监会发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。2001年6月财政部发布《内部会计控制规范一基本规范(试行)》和《内部会计控制规范一货币资金(试行)》2002年12月财政部
发布《上市公司内部控制指引》,规定2007年6月30日前,深市主板上市公司均要按要求披露内部控制制度的制定和实施情况通过上面列的这个时间表,我们(京师论文辅导中心)不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这一年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这一连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯一奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束。从上面的列表我们(京师论文辅导中心)发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们(京师论文辅导中心)可以将它们分为三个层次: 第一个层次是全国人大和财政部颁布的一些法律、法规。1996年颁布的《独立审计具体准则第9号一内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这一层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了一定的积极作用。第二个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这一层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第三个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。4.2.2 中美内部控制规定的比较 上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的五大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进一步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。” 3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立一套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成一个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成一套完整的内部控制体系要求,还有相当的距离。
五、我国企业内部控制的建设 5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何一个岗位的职务、职责描述得一目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了一年,但对于我国在美上市的大型国有企业来说,时间仍然十分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面三个公司的例子作一说明:2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了一系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“一个全面,三个集中”,推行“四统一”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了一支具有较强业务能力的内控工作队伍。中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们(京师论文辅导中心)的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进一步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进一步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。基本在同一时间,华能国际于2003年也正式启动全面改进内控工作的404项目。四年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第三轮审计的零缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第一家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是四大外资会计师事务所之一的安永会计师事务所。
“404项目”分三批在中国人寿全系统推进,北京、江苏、河南和山东四个省市作为第一批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有一定难度。”一404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近三个月。”
之后要做的工作是进行测试:采用抽查法先抽出一笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到一笔业务并不足以说明目前的控制确实有效,之后还会抽出几十个样本,用同样的方法对这一大笔业务进行再测试。在确定流程和进行测试的过程中,关键问题是看对每一个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出一个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿一直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。巨大的工作量也带来一定的挑战。一试点机构404项目组的成员表示,项目开展的最初半年每天都要工作十几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。5.2 中美企业内部控制比较 由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国一流的上市公司,下表是中美两国公司在内部控制上的比较: 世界一流公司中国上市公司公司治理结构较好,基础数据透明度高公司治理结构刚刚起步,基础数据不完善有健全、完善的制度性管理条例、细则和程序在细则、条例等制度的建设上滞后外部审计结合内部控制内审薄弱,缺乏内部控制专员
工作重点放在系统性、流程风险的测试工作重点花费在核实信息、查证数据上能提供有建设意义的内控整改计划和方案提供有建设意义的内控整改计划和方案明显不足业务流同信息流高度整合,同财务报告高集成业务流同信息流整合度不高,同财务系统集成低5.3我国企业内部控制建设的步骤 要完善中国企业的内部控制体系,我们(京师论文辅导中心)还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是一个一次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤: 5.3.1 内部控制环境的建设 1.公司治理结构 目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构一元化、一股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们(京师论文辅导中心)的问题是股权过于集中,结果都造成了内部人控制。因此,我们(京师论文辅导中心)应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“一股独大”问题; 进一步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。2.法制大环境 在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是一致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们(京师论文辅导中心)应借鉴SOX,进一步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,一直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的一系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。3.公司的内控文化 企业文化是随着现代工业文明的发展,企业组织在一定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的一种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免一种只注重内部短期的企业文化,保持一种健康的文化氛围,使其与公司战略目标趋于一致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,一个企业的人力资源政策直接影响到企业中每一个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。5.3.2 内部控制风险的识别和评估 内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每一个活动所涉及的风险。在这一步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。一旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们(京师论文辅导中心)对于内部控制的研究,我们(京师论文辅导中心)须以环境及其风险的分析入手。企业管理者运用一系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们(京师论文辅导中心)有许多方法来对风险进行分类。其中,一种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们(京师论文辅导中心)也可以用下面的表格对风险进行评估分类: 发生的可能性高发生可能低影响程度高发生可能高影响程度低发生可能低影响程度低发生可能高影响程度对计划的影响程度(财务成本)这个步骤让内控部门对风险有了进一步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为四类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们一旦发生对我们(京师论文辅导中心)在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动 在完成了主要风险的识别和后,我们(京师论文辅导中心)需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定一个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。一般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取一个或多个措施的,因为这类风险有高的法生可能性,而它们一旦发生对我们(京师论文辅导中心)在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以采取一些控制来降低它的风险。内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序; 控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之一。程序建设步骤如下: 首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。然后,提出内部控制关键控制点,所谓关键控制点,是指在一个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之一就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。5.3.4 内部控制的监督 监督是一种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是一个一次性的活动,我们(京师论文辅导中心)需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第三方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用: 1.内部审计,它既是企业内部控制的一个部分,也是监督内部控制其他环节的一个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的一种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们(京师论文辅导中心)实施审计向我们(京师论文辅导中心)帮助创建一些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。5.3.5 内部控制信息的传递 企业应设立一个良好的信息与沟通系统,一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是一个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。一个健全的信息系统应该能够提供内容适当、及时、正确的信息。同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起一个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用: 结论: 从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同一天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。我们(京师论文辅导中心)可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响:一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到一个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造一个好的内部控制的大环境。注释: 文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104 杨雄胜:“内部控制理论研究新视野”,《会计研究》,2005 年第 7 期,P50 张为国、邱昱芳:《后安然时代》,中国财政经济出版社,2003 年,P280 李天星: “三大石油公司备考萨班斯法案”,《中国石油企业》,2006,8 华能国际跨过《萨班斯法案》门槛,中国证券网-上海证券报,2007,4,12 中国人寿备战萨班斯法案 404不易在国内推, 21世纪经济报道,2006,4,6 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P79 胡大钧:“论SOX与完善我国企业会计内控制度 ”,《集团经济研究》,2006,20 Codes-related guidance Internal controls, Feb 2007 Carolyn L.Lousteau: Internal Control Systems for Auditor Independence,The CPA Journal, 2006 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P80 MANAGEMENT’S RESPONSIBILITY FOR INTERNAL CONTROLS主要参考文献: 1、《企业内部控制和风险管理》,友联时骏管理顾问,复旦大学出版社,2005 2、《后安然时代》,张为国、邱昱芳,中国财政经济出版社,2003 3、《内部控制会计制度设计:理论•实务•案例》,张文贤,孙琳,立信会计出版社,2004 4、《超越COSO——强化公司治理的内部控制》,鲁特,刘肖仓,中信出版社,2004 5、《2002年萨班斯-奥克斯利法案(中英对照本)》,ZETA-CIA研究中心,法律出版社,2005 6、《首席财务官》,2006年11期 7、Internal Control Systems for Auditor Independence,The CPA Journal, 2006
8、Codes-related guidance Internal controls, www.xiexiebang.com.uk, Feb 2007
9、MANAGEMENT’S RESPONSIBILITY FOR INTERNAL CONTROLS10、免费论文网
第五篇:萨班斯法案及其对中国IT治理的影响
萨班斯法案及其对中国IT治理的影响
来源:CIO时代网萨班斯法案
2002年,在安然事件后的一片混乱中,美国颁布了萨班斯一奥克斯利法案(简称“萨班斯法案”)。作为萨班斯法案中最重要的条款之一,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。
萨班斯法案不仅给公司财务提出了严格的要求,更是对cio们提出了挑战。国外媒体称,萨班斯法案是2005年CIO最为关注的几件事情之一。美国IT治理协会(IT Governance Institute)发报告指出,法规遵从给CIO带来最少四方面的新挑战: 第一,必须加强对内控知识的掌握程度; 第二,理解企业遵从萨班斯法的全面计划; 第三,推动特定IT控制环节的法规遵从计划; 第四,努力使自己所承担的计划融入企业的整体法规遵从计划当中。2 我国的相关法规
在萨班斯法案生效的2006年,上海证券交易所(2006年6月5日)《上海证券交易所上市公司内部控制指引》、深圳证券交易所(2006年9月28日)《深圳证券交易所上市公司内部控制指引》和香港联交所,都已先后公布了与萨班斯法案类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。2006年7月15日,由财政部牵头发起,证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立,这预示着中国企业也即将面对一部类似美国萨班斯法案的标准体系。在全球公司治理趋同的监管环境下,越来越严格的法规规范是全球化趋势,靠短暂地逃离严厉监管永远不能解决问题。完善公司治理IT治理,完善内部控制不仅是资本市场的要求,更是中国企业国际竞争力的重要要素之一。因此,中国的企业最终也要适应这一游戏规则。
2007年5月25日,财政部副部长王军在企业内部控制标准委员会第三次全体会议上的讲话中指出,自2008年起,率先以非正式方式发布基本规范、具体规范以及内部评价规范,并选择在上市公司中试点。在给试点企业和会计师事务所留有相对宽裕的学习期、培训期、试用期和完善期后,根据试点情况对内控规范及其适用范围进行修正,初步设想于2010年以相关部委联合发文的形式,正式发布内部控制规范体系,并在有关企业正式实施。2006年6月国资委公布《中央企业全面风险管理指引》,指引提出具备条件的企业在董事会设风险管理委员会,企业总经理就全面风险管理工作的有效性向董事会负责。
《指引》包括中央企业开展全面风险管理工作的总体原则、基本流程等内容,并提出风险管理的目标,包括确保将风险控制在与总体目标相适应并可承受的范围内;确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通。
其中第八章明确提出了建立风险管理信息系统的要求,“已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行”。
此外,确保企业遵守有关法律法规;确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管
理方面的通行做法,以及国内有关内控机制建设方面的规定,对于中央企业建立健全风险管理长效机制,促进企业稳步发展,防止国有资产流失,保护投资者利益,都具有一定的意义。在“2007大型企业风险管理高层论坛”上国务院国资委副主任邵宁表示,国资委将研究企业全面风险管理评价标准、范围和方法,把对企业风险管理的评价与企业领导层的绩效考核结合,将风险管理作为考核企业领导层的重要内容。加强中央企业全面风险管理是国资委履行出资人职责的一项重要工作,要逐步将风险管理作为考核企业领导人员的重要内容。邵宁同时表示,还要加强责任追究制度,对于没有按照去年6月颁发的《中央企业全面风险管理指引》的要求,重视和开展风险管理的中央企业,再出现重大风险损失事件,要严格追究企业领导人员的责任。要把风险管理工作与董事会试点工作紧密结合。企业管理层至少每年要向董事会提交一份完整的“企业全面风险管理工作报告”。国资委在听取董事会工作情况时,要把这一报告作为关注的重点内容。
2007年2月国务院信息化工作办公室发布《关于加强中央企业信息化工作的指导意见》(《意见》)的文件。《意见》要求,到2010年中央企业信息化要基本实现向整个企业集成、共享、协同转变,建成集团企业统一集成的信息系统。《意见》还明确指出,有条件的中央企业须设由企业领导成员担任的总信息师(CIO)岗位,并加强对基础信息网络和重要信息系统的安全考核,将信息化建设纳入企业考核体系。萨班斯法案与IT治理
帮助企业规避风险、完善内部控制,是萨班斯法案的核心内容。而另一方面,法规遵从将会大幅提升企业对IT资源的需求。由于企业的业务运作已经越来越依赖于IT系统,以至于IT控制成为企业内部控制的重要组成部分。萨班斯法案与IT管控之间的关系也越来越多地引起企业管理层的重视。
事实上,那些已经开始法规遵从过程的企业,都立即意识到IT的重要性,因为实现萨班斯法案合规,涉及到所有影响财务报表生成的业务部门,譬如302条款对财务报告的提供,404条款对内控报告的提供,409条款实时披露材料的变更,802条款为审计和评审员保留相关的记录等。
而无论持续监控也好,还是持续审计也好,都离不开IT治理。对企业而言,网络、应用系统、操作系统、数据库实际上是大楼的基石上,上面是应用软件,再上面才是业务流程和财务。IT系统、数据和基础设施的状况都直接影响到财务报告的生成过程。一个企业对于IT的运用特性,将直接决定企业内控与财务报告的质量。
萨班斯法对中国企业可能产生的影响主要有四个方面。
首先是对财务系统有比较大的影响,是不是符合法律的要求,财务流程是不是按照法案要求进行优化,财务数据是不是进行了整合,能够很方便地进行审计,能不能保证正确性,都是中国企业应该注意的问题。
第二是对于内控管理相关的应用系统,特别是跟业务流程有关的系统的影响。要建立很多审批流程,特别是与财务活动相关的信息功能,包括采购、销售、库存等。这都需要应用系统的支撑,这些系统如果做得不严格,审计的时候也很难通过。
第三是对基础设施的影响,可以分两部分: 一部分是物理基础设施,包括基础软件、硬件、存储等; 另一个是安全访问的平台,包括对用户身份的管理、对信息访问控制、存储机制等。现在应用系统的安全访问控制,基本上都是分散在各个应用系统里,没有实现统一的集中管理,这会带来很多不安全隐患。
第四个就是整个企业的IT治理,要保证做好前三点,除了要做好应用系统,服务器、存储、物理设施也必须跟上,“只有符合一系列标准,才能够保证IT系统的强健。要建立一个能够符合法规政策要求的系统,IT治理必不可少”。IT部门的庞大任务
企业的IT部门要支持公司高管、财务和内外部审计人员的需求,确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出积极响应。
一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。
IT部门需要在许多方面有所准备,譬如如何优化财务流程,完善财务应用系统,在财务应用的基础上,实现财务数据整合和统计分析告; 如何建立内部控制体系并引入内控管理信息系统,创建和记录企业内部业务流程,使公司的CEO、cfo target=_blank class=link_tag>CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行; 如何收集并监视控制信息,使管理人员能够快速查看流程、组织、控制和风险的实时状态; 如何对影响财务报告的信息系统的IT控制,完善治理机制,进行IT内部控制和信息系统审计,以保证达到萨班斯法案对IT的基本要求。
IT控制既是萨班斯法案的重要内容,也和企业IT治理架构的建立有密切的关系。IT既是一种手段,也是一个控制的对象。在依赖先进的IT方法,提高内部控制效果的同时,可以迅速地查找问题和监控问题,提高相互交流和信息传递的效率。同时因为IT所占据的重要地位,由此产生的风险又造成了企业新的灾难性的风险。如果系统的安全性存在问题,就可能有未经授权的数据更改或程序更改。如果系统开发流程存在问题,则会影响到整个系统的运行操作,从而影响到应用系统本身。
总而言之,计算机信息系统介入管理层对内部控制的评估,是一个非常复杂的过程,而IT系统本身不完善所造成的限制,又可能造成内部控制本身的水平降低、被测试者的效益降低、费用增加等一系列问题。
如何平衡IT部门与企业各部门之间的协作关系,保证各部门之间交流顺畅、监管明晰,并保证系统的安全可靠,对信息化建设相对薄弱的中国企业的IT部门来说,无疑是一个十分庞大的任务。
事实上,如果中国企业能够顺利通过萨班斯法的审计工作,深入研究IT治理,加强IT控制,降低风险,有效地实现公司治理,把公司治理与IT治理相结合、全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念彻底贯彻下去,中国企业必将有更加美好的发展前景。法规遵从并非一个项目
法规遵从本身不是一个项目,一次合规并不可能一劳永逸。如何做到持续合规,才应该是中国企业真正的目的所在。有的企业高层,先砸一大笔钱,先把今年过了,明年再说。这种观点是有害的。但目前为止,国内几个大的中央企业,在萨班斯的遵从项目方面已经做了大量的工作,但目前绝大多数企业都是以项目方式来进行的。
规范化过程当中应该考虑到与绩效管理、全面风险管理机制等相结合,将职责描述、培训、绩效评价与持续合规结合起来。优化控制,从流程的标准化、文档的标准化、测试的标准化当中获得收益,同时建立风险管理和控制预警系统,在风险发生之前就及时进行处理。这要求两个方面共同努力: 一是持续性的监控,二是持续性的审计。这就要求管理层要持续地监控,内部审计部门要持续地审计,由此来实现持续合规。
点击咨询 