第一篇:萨班斯法案及其对中国IT治理的影响
萨班斯法案及其对中国IT治理的影响
来源:CIO时代网萨班斯法案
2002年,在安然事件后的一片混乱中,美国颁布了萨班斯一奥克斯利法案(简称“萨班斯法案”)。作为萨班斯法案中最重要的条款之一,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。
萨班斯法案不仅给公司财务提出了严格的要求,更是对cio们提出了挑战。国外媒体称,萨班斯法案是2005年CIO最为关注的几件事情之一。美国IT治理协会(IT Governance Institute)发报告指出,法规遵从给CIO带来最少四方面的新挑战: 第一,必须加强对内控知识的掌握程度; 第二,理解企业遵从萨班斯法的全面计划; 第三,推动特定IT控制环节的法规遵从计划; 第四,努力使自己所承担的计划融入企业的整体法规遵从计划当中。2 我国的相关法规
在萨班斯法案生效的2006年,上海证券交易所(2006年6月5日)《上海证券交易所上市公司内部控制指引》、深圳证券交易所(2006年9月28日)《深圳证券交易所上市公司内部控制指引》和香港联交所,都已先后公布了与萨班斯法案类似的相关法规,对上市公司建立内部稽核制度和信息披露要求进行了探讨,也对与财务报告相关的IT控制提出了要求。2006年7月15日,由财政部牵头发起,证监会、国资委共同参与成立的“企业内部控制标准委员会”正式在北京成立,这预示着中国企业也即将面对一部类似美国萨班斯法案的标准体系。在全球公司治理趋同的监管环境下,越来越严格的法规规范是全球化趋势,靠短暂地逃离严厉监管永远不能解决问题。完善公司治理IT治理,完善内部控制不仅是资本市场的要求,更是中国企业国际竞争力的重要要素之一。因此,中国的企业最终也要适应这一游戏规则。
2007年5月25日,财政部副部长王军在企业内部控制标准委员会第三次全体会议上的讲话中指出,自2008年起,率先以非正式方式发布基本规范、具体规范以及内部评价规范,并选择在上市公司中试点。在给试点企业和会计师事务所留有相对宽裕的学习期、培训期、试用期和完善期后,根据试点情况对内控规范及其适用范围进行修正,初步设想于2010年以相关部委联合发文的形式,正式发布内部控制规范体系,并在有关企业正式实施。2006年6月国资委公布《中央企业全面风险管理指引》,指引提出具备条件的企业在董事会设风险管理委员会,企业总经理就全面风险管理工作的有效性向董事会负责。
《指引》包括中央企业开展全面风险管理工作的总体原则、基本流程等内容,并提出风险管理的目标,包括确保将风险控制在与总体目标相适应并可承受的范围内;确保内外部,尤其是企业与股东之间实现真实、可靠的信息沟通。
其中第八章明确提出了建立风险管理信息系统的要求,“已建立或基本建立企业管理信息系统的企业,应补充、调整、更新已有的管理流程和管理程序,建立完善的风险管理信息系统;尚未建立企业管理信息系统的,应将风险管理与企业各项管理业务流程、管理软件统一规划、统一设计、统一实施、同步运行”。
此外,确保企业遵守有关法律法规;确保企业有关规章制度和为实现经营目标而采取重大措施的贯彻执行,保障经营管理的有效性;确保企业建立针对各项重大风险发生后的危机处理计划,保护企业不因灾害性风险或人为失误而遭受重大损失。
《指引》借鉴了发达国家有关企业风险管理的法律法规、国外先进的大公司在风险管
理方面的通行做法,以及国内有关内控机制建设方面的规定,对于中央企业建立健全风险管理长效机制,促进企业稳步发展,防止国有资产流失,保护投资者利益,都具有一定的意义。在“2007大型企业风险管理高层论坛”上国务院国资委副主任邵宁表示,国资委将研究企业全面风险管理评价标准、范围和方法,把对企业风险管理的评价与企业领导层的绩效考核结合,将风险管理作为考核企业领导层的重要内容。加强中央企业全面风险管理是国资委履行出资人职责的一项重要工作,要逐步将风险管理作为考核企业领导人员的重要内容。邵宁同时表示,还要加强责任追究制度,对于没有按照去年6月颁发的《中央企业全面风险管理指引》的要求,重视和开展风险管理的中央企业,再出现重大风险损失事件,要严格追究企业领导人员的责任。要把风险管理工作与董事会试点工作紧密结合。企业管理层至少每年要向董事会提交一份完整的“企业全面风险管理年度工作报告”。国资委在听取董事会工作情况时,要把这一报告作为关注的重点内容。
2007年2月国务院信息化工作办公室发布《关于加强中央企业信息化工作的指导意见》(《意见》)的文件。《意见》要求,到2010年中央企业信息化要基本实现向整个企业集成、共享、协同转变,建成集团企业统一集成的信息系统。《意见》还明确指出,有条件的中央企业须设由企业领导成员担任的总信息师(CIO)岗位,并加强对基础信息网络和重要信息系统的安全考核,将信息化建设纳入企业考核体系。萨班斯法案与IT治理
帮助企业规避风险、完善内部控制,是萨班斯法案的核心内容。而另一方面,法规遵从将会大幅提升企业对IT资源的需求。由于企业的业务运作已经越来越依赖于IT系统,以至于IT控制成为企业内部控制的重要组成部分。萨班斯法案与IT管控之间的关系也越来越多地引起企业管理层的重视。
事实上,那些已经开始法规遵从过程的企业,都立即意识到IT的重要性,因为实现萨班斯法案合规,涉及到所有影响财务报表生成的业务部门,譬如302条款对财务报告的提供,404条款对内控报告的提供,409条款实时披露材料的变更,802条款为审计和评审员保留相关的记录等。
而无论持续监控也好,还是持续审计也好,都离不开IT治理。对企业而言,网络、应用系统、操作系统、数据库实际上是大楼的基石上,上面是应用软件,再上面才是业务流程和财务。IT系统、数据和基础设施的状况都直接影响到财务报告的生成过程。一个企业对于IT的运用特性,将直接决定企业内控与财务报告的质量。
萨班斯法对中国企业可能产生的影响主要有四个方面。
首先是对财务系统有比较大的影响,是不是符合法律的要求,财务流程是不是按照法案要求进行优化,财务数据是不是进行了整合,能够很方便地进行审计,能不能保证正确性,都是中国企业应该注意的问题。
第二是对于内控管理相关的应用系统,特别是跟业务流程有关的系统的影响。要建立很多审批流程,特别是与财务活动相关的信息功能,包括采购、销售、库存等。这都需要应用系统的支撑,这些系统如果做得不严格,审计的时候也很难通过。
第三是对基础设施的影响,可以分两部分: 一部分是物理基础设施,包括基础软件、硬件、存储等; 另一个是安全访问的平台,包括对用户身份的管理、对信息访问控制、存储机制等。现在应用系统的安全访问控制,基本上都是分散在各个应用系统里,没有实现统一的集中管理,这会带来很多不安全隐患。
第四个就是整个企业的IT治理,要保证做好前三点,除了要做好应用系统,服务器、存储、物理设施也必须跟上,“只有符合一系列标准,才能够保证IT系统的强健。要建立一个能够符合法规政策要求的系统,IT治理必不可少”。IT部门的庞大任务
企业的IT部门要支持公司高管、财务和内外部审计人员的需求,确保影响财务报表的业务流程、应用和信息基础设施的完整性、可用性和可审计性,保证内控报告和内控程序的完成,并能够对外部审计需求做出积极响应。
一个更好的会计标准和更及时的信息披露要求将大大减轻经理人与外部投资者之间的信息不对称。因此,公司治理的核心问题是信息不对称性或不完全性,解决公司治理问题,最核心的是公司信息的真实、准确以及处理与传递的效率问题,而IT技术在实现透明度原则和体现监控力度上正日益成为有效的工具。
IT部门需要在许多方面有所准备,譬如如何优化财务流程,完善财务应用系统,在财务应用的基础上,实现财务数据整合和统计分析告; 如何建立内部控制体系并引入内控管理信息系统,创建和记录企业内部业务流程,使公司的CEO、cfo target=_blank class=link_tag>CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内控标准执行; 如何收集并监视控制信息,使管理人员能够快速查看流程、组织、控制和风险的实时状态; 如何对影响财务报告的信息系统的IT控制,完善治理机制,进行IT内部控制和信息系统审计,以保证达到萨班斯法案对IT的基本要求。
IT控制既是萨班斯法案的重要内容,也和企业IT治理架构的建立有密切的关系。IT既是一种手段,也是一个控制的对象。在依赖先进的IT方法,提高内部控制效果的同时,可以迅速地查找问题和监控问题,提高相互交流和信息传递的效率。同时因为IT所占据的重要地位,由此产生的风险又造成了企业新的灾难性的风险。如果系统的安全性存在问题,就可能有未经授权的数据更改或程序更改。如果系统开发流程存在问题,则会影响到整个系统的运行操作,从而影响到应用系统本身。
总而言之,计算机信息系统介入管理层对内部控制的评估,是一个非常复杂的过程,而IT系统本身不完善所造成的限制,又可能造成内部控制本身的水平降低、被测试者的效益降低、费用增加等一系列问题。
如何平衡IT部门与企业各部门之间的协作关系,保证各部门之间交流顺畅、监管明晰,并保证系统的安全可靠,对信息化建设相对薄弱的中国企业的IT部门来说,无疑是一个十分庞大的任务。
事实上,如果中国企业能够顺利通过萨班斯法的审计工作,深入研究IT治理,加强IT控制,降低风险,有效地实现公司治理,把公司治理与IT治理相结合、全面风险管理与IT治理相结合以及“六方”(CEO、CFO、CIO、COO、CKO、CMO)相结合的理念彻底贯彻下去,中国企业必将有更加美好的发展前景。法规遵从并非一个项目
法规遵从本身不是一个项目,一次合规并不可能一劳永逸。如何做到持续合规,才应该是中国企业真正的目的所在。有的企业高层,先砸一大笔钱,先把今年过了,明年再说。这种观点是有害的。但目前为止,国内几个大的中央企业,在萨班斯的遵从项目方面已经做了大量的工作,但目前绝大多数企业都是以项目方式来进行的。
规范化过程当中应该考虑到与绩效管理、全面风险管理机制等相结合,将职责描述、培训、绩效评价与持续合规结合起来。优化控制,从流程的标准化、文档的标准化、测试的标准化当中获得收益,同时建立风险管理和控制预警系统,在风险发生之前就及时进行处理。这要求两个方面共同努力: 一是持续性的监控,二是持续性的审计。这就要求管理层要持续地监控,内部审计部门要持续地审计,由此来实现持续合规。
第二篇:萨班斯法案简介:由来、影响及争论
萨班斯法案简介:由来、影响及争论
2001年12月,美国最大的能源公司——安然公司,突然申请破产保护,此后,公司丑闻不断,规模也“屡创新高”,特别是2002年6月的世界通信会计丑闻事件,“彻底打击了(美国)投资者对(美国)资本市场的信心”(Congress report, 2002)。为了改变这一局面,美国国会和政府加速通过了《萨班斯法案》(以下简称SOX法案),该法案的另一个名称是“公众公司会计改革与投资者保护法案”。法案的第一句话就是“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。” 美国总统布什在签署“SOX法案”的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案 ”。但由于该法案刚刚通过不久,其执行也不到两年,现在就来评价该法案的成败得失,为时尚早。但是,了解该法案的通过背景以及该法案制订过程中的一些问题,对我们正确认识、把握该法案,从而理性地看待我国资本市场的相关事件以及相应的对策问题,不无裨益。
一、法案的形成过程 按照美国国会网站对SOX法案的介绍,该法案最初于2002年2月14日提交给国会众议院金融服务委员会(Committee on Financial Services),到7月25日国会参众两院最终通过,先后有6个版本,它们分别是:2月14日、4月22日、4月24日、7月15日、7月24日、7月25日,我们现在看到的是7月25日的最后版本。
2002年2月14日提交到众议院金融服务委员会的版本,包括13章,主要内容集中在对注册会计师行业的监管,如:成立一个管制机构,监督注册会计师的运行;对该管制机构的运行给出一些原则性的规定;禁止公司官员、董事等相关人员对审计实务施加不当影响;加快财务披露的速度,包括对内幕交易和关联交易的电子披露;禁止在退休和养老金冻结期间(blackout periods)内部人的交易;责成SEC修改公司信息披露的相关规定、设定最低检查期,并在指定的日期内提交对分析师的利益冲突、公司治理实务、执行(enforcement actions)、信贷评级机构等的专项研究报告。与最终通过的版本相比,第一稿较温和,不仅没有最终定稿所包括的各项严厉的刑事责任要求,而且,对会计职业监管相对较宽松。当然,这与该法案起草时间短有一定的关系,因为,2001年12月2日安然申请破产保护,第一稿正式提交的日期为2002年2月14日,这中间还包括一个月的国会休会期(2001年12月21日至2002年1月22日)。此外,当时世界通信等事件尚未爆发,社会舆论对企业管理层的态度还没有根本转变。
从对美国国会网站的检索情况看,安然公司2001年12月2日申请破产保护,美国国会众议院“金融服务委员会”2001年12月12日就安然事件举行第一次听证会,讨论安然倒闭对投资者及资本市场的影响,作为专家证人出席听证会的有SEC首席会计师、安达信的首席执行官等4人。国会于2002年1月下旬复会后,2月4日、5日又召集两次听证会,2月14日正式提交第一稿,自2月14日起,众议院金融服务委员会就该法案先后进行了多次听证会,到4月22日列入Union Calendar, Calendar No.247,并根据听证情况进行了第一次较系统地修订。4月22日的第二稿与第一稿相比,篇幅增加了将近一倍,主要变化是对公众监督组织(Public Regulatory Organization, PRO)的人员组成、经费来源与独立性、具体运行等的规定更加细致,增加了要求SEC对公司高管在重新编制财务报表之前六个月销售公司证券所得部分进行审定并强迫其交出相应利得;具体讨论了对安然和安达信主要责任人的可能法律行为及其所得的处理;要求美国总审计署(GAO)对投资银行和财务顾问在安然、环球通讯(Global Crossing)失败事件中的作用、特别是投资银行从事的纯粹帮助企业操纵现金流以掩盖其真实财务状况的行为;要求美国律师协会(American Bar Association)对其职业行为示范规则(Model Rule of Professional Conduct)以及SEC的规则展开研究,讨论相应职业道德指南是否有效地指导律师行为并保护公司股东利益。
第二稿提交后,众议院的讨论非常激烈,4月24日当天共提交了5份正式的修改意见,涉及:部分术语(A001)、要求PRO成员中至少有一人从来没有获取过会计资格(A002)、责成SEC对审计公开上市公司的事务所要求其不低于一半的收入来自审计(A003)、成立一个联邦审计局以从事证券法所要求的财务报表审计(A004)、对PRO的具体运行进行讨论与限定(A005)。上述修正案只有前两个获得通过,后三个都未能通过。在经过正式讨论后,国会责成工作人员进行修订,从而完成了第三稿。第三稿与第二稿相比,变化不大,主要调整就是PRO成员的组成上,从原来的两个非会计人士、三个会计人士,改为一个从未接触过会计、两个最近两年未执业,其他就是一些遣词用句上的调整。
美国国会关于该法案的记录表明,从4月25日提交给参议院“银行、住房与城市事务委员会”讨论,之后直到7月15日,这之间没有关于该法案讨论、修订的记录。但实际上,参议院同期也在进行相应的立法行动。比如,参议院“银行、住房与城市事务委员会”自2月12日至3月20日,共举行了十次听证会,讨论安然、安达信事件的原因、影响与对策。其中,2月14日的听证会邀请了国际会计准则委员会的秘书长、主席等就会计准则的表现形式以及美国“公认会计原则”等问题作证。3月8日,参议员Dodd提交了有关重建投资者对会计行业信任的法案,该法案基本思路与众议院所提交的H3673相似,但增加了有关会计与审计准则、会计师事务所轮换等提议。
6月25日,参议院“银行、住房和城市事务委员会”主席Sarbanes报告有关 “公众公司会计改革与投资者保护2002法案”,该法案的书面文本于7月3日正式提交给参议院,7月8至15日的讨论中,共收到122份补充或修正提案,最终于7月15日在参议院以97对0票高票通过,最终通过的提案名称为“公司与犯罪舞弊责任2002法案”或“强化白领犯罪惩罚2002法案”,但参议院同时将该法案与众议院提交的HR 3673进行合并,成为7月15日的修改稿(第五稿)。
按照相关资料的介绍,当民主党参议员Sarbanes早在6月18日宣布将提交一份关于“公众公司会计改革与投资者保护法案”时,参议院内部的意见并不统一,共和党资深议员Gramm不支持该提案。有评论认为,如果不能取得Gramm的支持,估计该提案2002年内都无法获得通过。但6月下旬至7月上旬的一些事件,对该提案产生重大影响。其中,影响最大的是2002年6月25日公布的世界通信(WorldCom)38亿美元假账事件。如果说,安然、环球电讯等公司丑闻令美国社会震惊,那么,世界通信赤裸裸的假账令美国社会愤怒。6月26日,布什总统承诺要推进对世界通信事件的调查,并将相关人员“绳之以法”,7月9日,布什总统专程到华尔街发表演讲,宣布成立由司法部副总检察长(Deputy Attorney General)为主席的“公司舞弊惩治工作组”,加大对公司高管人员涉及舞弊问题的刑事责任。同时,布什也要求国会在7月底休会前能够提交让其签字生效的法案。这一切,都促成了参议院最后快速通过对S2673的审议,并将其并入HR 3673。这样,修正后的草案篇幅又增加了一倍多,内容也发生了较大变化,从原来的18章压缩为10章,删除了对有关投资银行、律师等的讨论,将S2673的内容与第四稿的内容进行合并,如第8章“公司及舞弊罪的责任”(Corporate and Criminal Fraud Accountability)、第9章“严惩白领犯罪”(White-collar crime penalty enhancements)都是直接来自S2673;将原先数章讨论的内容如对审计行为的不当影响、非法证券收入的测定与没收、内部人交易等并入“公司责任”(corporate responsibility)一章;正式确定监管会计职业的权威机构名称为“公众公司会计监督委员会”(Public Company Accounting Oversight Board),并对该机构的具体运作加以限定。本次修订稿基本确立了SOX法案最终版本的基调。7月17日,参议院任命了由Sarbanes等9名参议员作为该项法案的主要评议人(conferee),负责与众议院进行沟通,进行后续的修订。
众议院同时也在采取相应的行动。7月15日,众议员Sensenbrenner提交了一份关于强化公司高管层舞弊责任的议案,16日获得众议院高票通过,通过的名称为“公司舞弊责任2002法案”(Corporate Fraud Accountability Act of 2002),并同时提交参议院司法委员会(the Committee on the Judiciary)进行讨论。该法案最终也并入HR 3673,成为最终法案的第11章。7月17日,由参议院修改的法案被返回给众议院。不知是出于对众议院荣誉的维持,还是出于对自身荣誉的维护,Oxley要求全体众议员一致否决参议院的修改,并专门举行一个会议(a conference)。当天的辩论结果是:将法案提交会议讨论,同时,任命了以Oxley为召集人的10位评议人。此外,众议院还就该法案的一些具体章节(如306、904、108、109等)任命了专门的成员作为评议人,要求对这些部分给出具体的修改意见。由于美国总统布什多次要求国会加快立法进程,并要求国会在8月份休会前能够提交一份最终法案让总统签署,因此,国会参众两院都在尽快协调双方之间的差距。自19日起,众议院的相关成员与参议院的会议成员举行会议,对相互分歧进行辩论,并于24日完成了对法案的修改。
7月25日,该修正稿以高票分别在参众两院通过,7月30日,美国总统布什签字,SOX Act正式成为美国的一项法律。
二、SOX法案的主要内容
最后修订完稿的SOX法案共分11章,第1至第6章主要涉及对会计职业及公司行为的监管,包括:建立一个独立的“公众公司会计监管委员会”(Public Company Accounting Oversight Board, PCAOB),对上市公司审计进行监管;通过负责合伙人轮换制度以及咨询与审计服务不兼容等提高审计的独立性;对公司高管人员的行为进行限定以及改善公司治理结构等,以增进公司的报告责任;加强财务报告的披露;通过增加拨款和雇员等来提高SEC的执法能力。第8至第11章主要是提高对公司高管及白领犯罪的刑事责任,比如,针对安达信销毁安然审计档案事件,专门制订相关法律,规定了销毁审计档案最高可判10年监禁、在联邦调查及破产事件中销毁档案最高可判20年监禁;为强化公司高管层对财务报告的责任,要求公司高管对财务报告的真实性宣誓,并就提供不实财务报告分别设定了10年或20年的刑事责任。
除上述两个部分外,法案第七章要求相关部门在SOX法案正式生效后的指定日期内(一般都在6个月至9个月)提交若干份研究报告,包括:会计师事务所合并、信贷评级机构、市场违规者、(法律的)执行、投资银行等研究报告,以供相关执行机构参考,并作为未来立法的参照。按照法案的要求,这些报告都已经完成。
美国2001年至2002所爆发的各项公司丑闻事件中,企业管理层无疑应当负有最主要的责任,因而,SOX法案的主要内容之一就是明确公司管理层责任(如对公司内部控制进行评估等)、尤其是对股东所承担的受托责任,同时,加大对公司管理层及白领犯罪的刑事责任。企业会计人员以及外部审计人员在这些事件中的负面作用,不容否定,比如,安然通过复杂的“特殊目的主体”安排,虚构利润、隐瞒债务,而世界通讯则是赤裸裸的假账,提高财务报告的可靠性,成为SOX法案的另一个主要内容,法案的要求包括:建立一个独立机构来监管上市公司审计、审计师定期轮换、全面修订会计准则、制订关于审计委员会成员构成的标准、要求管理层及时评估内部控制、更及时的财务报告、对审计时提供咨询服务进行限制等。并且,从全部法案的次序安排来看,这些内容排在前三章,而篇幅也超过2/3。因而,SOX法案更像一个会计改革法案。该法案前后被用过多个名称,其中之一就是“公众公司会计改革和投资者保护法案”。
三、SOX法案:中期评估
由于SOX法案的正式生效是2002年7月30日,到2004年初也不足两年。应当说,该法案的影响尚未充分发挥,因此,现在就评价该法案及其对资本市场的影响,为时尚早。下面的讨论主要集中在法案制订本身以及该法案的短期影响。
(一)法案的制订过程:匆忙
诚如上述,2001年12月2日安然公司申请破产保护;2002年1月10日,安达信公开承认销毁了与安然审计有关的档案。很快,安然公司丑闻转化为会计丑闻。安达信成为人们谈论的焦点。由于2002年事关中期选举,有效利用公司丑闻事件所产生的“机会”,是政治家的必然选择。因此,从国会众议院、参议院,到美国总统,都尽力显示他们对公司丑闻事件的重视程度,并力图向公众表明他们在努力工作,以求解决相关问题。比如,在SOX法案最后提交投票表决的讨论会上,参议员Gramm(该项法案的主要反对者)认为,美国奇特的政治制度决定了:一旦社会上发生重大事件,尽管议员们并不一定知道答案,也不一定了解很多情况,但选民们都期望议员要有所行动。在SOX法案最终通过之前,参众两院两个委员会先后提交的相关法案就有十多起。特别是由于世界通讯巨额假账丑闻爆出,“(美国)政治风暴急剧上升,道•琼斯指数跳水,大家都普遍认为国会应当有所行动,并且越快越好。正是在这种背景下,几个原来已经提交讨论的议案被拼接起来,成为SOX法案”(Perino, 2002)。在法案制订过程介绍部分也提及,美国总统布什对该法案也非常关注,他本人为了改变外交和战争总统形象,塑造一个重视并擅长国内事务和经济问题的新形象,以利其未来竞选连任,还专门推出一个关于美国公司责任的专题“运动”,从2002年1月10发表讲话要求改革养老金的规定以及公司披露的准则起,不断推出有关公司责任的讲话与呼吁,包括世界通讯丑闻后立即表示要彻底调查。在SOX法案制订过程中,布什总统还多次催促,要求国会尽快提交草案让其签字,并明确表示要求国会在7月底休会前,一定要送交草案。美国国会参众两院在最后就该法案准备投票前的辩论中,很多人都反复提到这一点。最终通过的SOX法案,也被媒体批评为一种“本能的”反应(knee-jerk reaction)。换言之,它很难说是一种深思熟虑的产物。
(二)法案本身:重点突出、逻辑混乱
中国有句古话:慢工出细活。与之相对应,赶工只能是粗糙。将之用于SOX法案,虽然有点夸张,但总体应是恰当的。
如上所述,SOX法案是一种情绪下的产物:美国社会普遍对公司高管的腐败行为感到愤怒。比如,2002年7月25日,Adelphia公司的前首席执行官John Rigas被公开逮捕。按照媒体的报道,J.Rigas的律师曾经与司法部协商,要求让J.Rigas去司法部指定的地点“报到”,但司法部拒绝了这一要求,J.Rigas也以78岁高龄成为美国近20年来第一起“戴手铐游街”的公司高管。美国司法部的副总检察长、布什总统任命的“公司舞弊惩治工作组”负责人在随后的新闻发布会上说,公司高管(非法占有公司财产)与普通的市井小偷并无两样,(公开逮捕他们)是惩治公司犯罪行为的一种恰当方式。正因为如此,SOX法案的一个重点就是强化公司高管及白领犯罪的刑事责任,比如,SOX法案第906节“财务报告的责任”规定,公司高管明知财务报告存在虚假内容而宣誓,可判罚款500万美元或/和最高20年监禁。SOX法案的另一个重点就是加强对会计职业的监管,这一背景在前面已经提及,这里不再重复。
SOX法案本身的内在逻辑混乱,体现在多个方面。首先,该法案是若干个法案拼接的产物,比如,第8、9章来自原S2673,第11章来自原HR5118,同时,还吸收了S2004的部分内容。由于最终的SOX法案是若干个法案的拼接与综合,其内容与表述上存在重复,是一种必然现象。特别是有关公司高管和白领犯罪的刑事责任部分,分别散见于第8、9和11章。也就是说,同一份文告先后有三个部分讨论内容相同或相近的话题,重复不可避免,个别地方出现自我不一致,也有规定与现行法律不一致。此外,关于公司高管对财务报告真实性的责任,第302节的表述与第906节的表述也不完全一致。
(三)法案的实施效果:初步检验 由于SOX法案实施时间很短,对其进行检验,缺少必要的观察值和观察区间,任何检验只能是初步的。
诚如上述,SOX法案的目的是加强公司责任,以保护公众公司投资者的利益免受公司高管及相关机构的侵害,其内在逻辑思路是:提高公众公司财务报告及信息披露的及时性与准确性,可以有效地保护公众公司投资者的利益;而强化公司高管的财务报告责任、提供外部审计的独立性等,将有助于提高公司财务报告及信息披露的质量。SOX法案给出的很多内容与规定都是与此相关的。究竟SOX法案是否提高了上市公司信息披露的质量、更好地保护投资者的利益,将有待未来的市场来检验。在相关的文献中,没有找到太多的检验文献。Cohen et al(2003)针对SOX法案颁布前后上市公司盈余管理程度进行检验。他们首先收集美国公司1987年至2001年第二季度之前(安然事件于当年10月份开始引爆)公司盈余管理的数据,数据表明:公司盈余管理不断上升。然后,他们又收集了SOX法案通过之后的相关数据(2002年第三季度至2003年第二季度),发现盈余管理出现明显下降,会计信息质量明显上升。
SOX法案第2章专门讨论审计独立性,并提出若干措施,其中之一是禁止会计师事务所向同一个客户既提供审计服务,又提供咨询服务。Lai(2003)的研究发现,SOX法案实施之后,审计师更愿意提供非标准无保留意见的审计报告,而且,公司报告利润中盈余管理的程度降低。他的发现支持SOX法案提高审计独立性的推断。
Li et al(2003)的检验采取不同的视角。他们对SOX法案及其相关事件进行分析,选择了20个相关的事件日。他们认为,由于SOX法案的中心内容之一就是强化审计委员会、限制盈余管理(提高信息质量)。如果市场能够充分预期SOX法案的影响,那么,那些盈余管理较高、审计委员会独立性较差的上市公司,其市场反应应当与盈余管理较少、审计委员会独立性较强的上市公司之间存在显著的差异。他们的经验结果不能显著地支持其推论。作者最后认为,SOX法案的通过,只不过是对市场上数量不断增多、规模不断加大的会计舞弊事件的本能反应,它所包含的内容更多地是政治家的口号与煽动,而不是一种真正意义上的改革(more rhetoric than reform)。
四、有关争论
有关SOX法案的争论,主要有两个方面:第一,对会计职业所存在的问题,究竟应当由政府监管还是由市场自身来解决;第二,加大公司高管与会计职业的法律责任,无疑是应当的,但是,法律责任究竟应当有多大?过高的法律责任是否会对公司经营、管理以及会计职业产生负面影响?
市场竞争抑或政府监管,是经济学所关注的一个核心话题。赞成市场竞争的经济学家包括科斯(R.Coase)、斯蒂格勒(G.Stigler)、弗里德曼(M.Freedman)等。尽管各自的理论并不完全一致,但他们都普遍认为充分竞争的市场本身能够自动达到均衡,比如科斯有关交易成本与企业规模的理论,就隐含了市场能够自动达到最佳企业规模的思想;斯蒂格勒有关政府管制的研究表明,政府管制并没有提高效率,却增大了社会运行的成本。他还专门研究了美国证券交易委员会的作用;弗里德曼同样也是自由市场理论的忠实支持者,他认为,私有企业经营失败的结局是破产和倒闭,而政府经营企业的失败,不是破产和倒闭,而是扩张(Sullum, 2002)。他的这一思想被用来反对“9•11”之后美国政府准备资助航空业的提案,认为这种救助不能解决问题。美国现任总统布什在2004年1月的国情咨文中在宣传其减税政策时也认为:美国人民比政府能够更有效地使用资源。在企业经济学领域,阿尔钦(A•Alchian)所提出的经济学达尔文主义、简森(M•Jensen)等所提出的代理理论,都包含了市场有效且市场机制能够自动实现最佳均衡安排或结果。
但是,周期性的市场危机事件表明,市场会失效。而资本市场、现代社会的新闻机制等,在相当程度上放大了市场失效的社会影响,从而加深了人们对市场失效的“记忆”。因此,市场危机事件成为政府介入的最好“借口”。1929-1933年经济危机产生了“证券交易委员会”(SEC),本次安然等系列公司危机事件以及安达信审计失败,催生了一个独立机构“公众公司会计监管委员会”。这些机构运行都需要相应的费用,无论这种费用的来源如何,最终都成为社会成本,加大了经济运行的费用。SOX法案第109节就规定:那些使用到会计准则及被PCAOB监管的公司,都应当要交纳相应的费用。
政府管制是否能够纠正市场失效,仍然是一个存有争议的话题,但是,政府管制的一些负面效应却是人所共知的。比如,在SOX法案讨论过程中,参议员Gramm就认为,政府或许干预过度了。他认为,成立PCAOB或许是必要的,但政府具体限定PCAOB的职责与工作,可能存在问题,因为,PCAOB是由相关专家组成,他们比国会议员对该问题有更大的发言权。另外,他对SOX法案本身也不无担心,他认为,一旦由国会通过一项法律,如果应用中发现不当,再来修改将费时费力,其经济后果难以估量。他以金融领域的一个法规(Glass-Steagall)为例,认为该项法规早在20世纪50年代就应当修改,但直到1999年才被修订。最后,他还担心:由于该法案将适用16 254家公众公司,并不是每个公司都象通用汽车那样的规模,采取“一刀切”的方式禁止审计师向其客户提供咨询服务,会加大中小企业的成本。他举例说:一家在NASDAQ上市的规模不大的公司,其CEO是工程技术背景,对会计一无所知;现在公司需要招聘会计负责人,他本来可以让其审计师帮助面试并判断某人是否合格。按照新的法案,他只能重新找另外一个机构帮助完成这项工作,企业的成本必然会上升。Gramm担心的另外一个问题是:PCAOB掌握了一部分人——会计从业人员的谋生权利,他们可以吊销会计从业人员的谋生权利,这种权利一旦被滥用,其后果不堪设想,因此,应当设定一些措施,防止这种权利被滥用。
SOX法案的另外一个特色就是加大公司高管及会计从业人员的法律责任,尤其是刑事责任。在美国这样一个以判例法为主体的法律框架内,1933年的《证券法》、1934年的《证券交易法》就已经开始用成文法的体例对资本市场进行约束。但SOX法案前所未有地将公司高管和会计从业人员的法律责任用成文法的方式明确加以限定,比如,给公司高管人员处以最高20年监禁、最高500万美元的罚款等(第906节)。
以往的经验证明,法律责任在一定程度上能够帮助提高会计职业质量(Kothari, Lys and Watts, 1988)。但是,过高的法律风险,也会造成一种特殊现象:带来会计职业整体的风险,形成“逆向选择”效应,并最终降低了会计职业的质量。法律风险的负面效应在美国医药行业已经得到充分地体现。
还值得关注的一个问题是:为什么会计职业成为本次安然事件的牺牲品?按照有效资本市场理论,一个相对有效(比如:半强式有效)的资本市场能够“看穿”企业会计数据的“包装”。或者说,企业单纯通过虚构会计数字是无法瞒骗资本市场的。因此,尽管会计在这场美国系列公司丑闻事件中负有非常重要的责任,但如果没有其他相关机构与部门、特别是投资银行的配合,虚构的会计数字只能停留在表上,不可能成为具有市场影响力的“真实”故事,投资者也就不会蒙受如此巨额的损失。比如,安然所筹建的每一个“特殊目的实体”,都得到投资银行的肯定和支持,否则,安然就不可能顺利地在各特殊目的实体与安然之间转移资金。因此,美国国会在进行听证过程中,一度对投资银行给予了高度关注。比如,SOX法案第二稿起,就要求美国总审计署进行专项研究,讨论投资银行在安然、环球电讯(Global Crossing)以及其他公司丑闻事件中的角色,特别是如何帮助企业“构造”交易以掩盖其日趋恶化的财务状况。在众议院完成讨论并提交参议院后,参议院进行了大幅修正,在强化法律责任的同时,删除了有关对投资银行的研究报告。后来,在众议院的坚持下,该部分被写进最终的法案。但这从一个侧面表明:投资银行的游说势力强大,使得法案最终没有对投资银行给出过多的约束(只是对财务分析师的利益冲突加以讨论?但这实际上是重申了一个早已成文的规定而已)。与国会立法相比,纽约州检察长发起了对投资银行的全面起诉,要求投资银行改善经营、完善内部监控制度并迫使投资银行交付巨额赔、罚款。如2002年12月,美国十家投资银行与SEC等达成协议,这十家投资银行共支付近15亿美元的罚款及捐赠。但是,这些都没有在SOX法案中得到体现。
五、评论与启示 SOX法案标志着美国证券法律根本思想的转变:从披露转向实质性管制。尽管该法案出台匆忙,但它仍然经历了将近20次的公开听证,同时,美国国会相关人员对该法案展开了较充分地争论,并尽可能地限制该法案对经济运行的负面影响。比如,针对Gramm提出的小企业问题,法案保留了由PCAOB按个案审批豁免的权力(第201节)。
SOX法案及随后的相关事件带给我国很多启示:
首先,法律重在执行。如果没有强有效地执行,法律就不可能起到预期的约束作用。针对美国整个公司管理层20世纪80年代至90年代所面临的高收益(包括期权在内达到天文数字的报酬)、低风险(公司管理层没有法律风险,只有荣誉和掌声)的局面,美国政府及相关管制机构加大了对公司管理层的法律约束,陆续对公司丑闻事件中的主角提起公诉。仅安然公司,就陆续有数十人被起诉,最近,安然的前首席执行官司麒麟(J.Skilling)被提起公诉,按照媒体的评论,安然的创始人雷(K.Lay)被起诉的时间也不会太久,世界通讯的主要肇事者、财务总监已经被起诉,其创始人最近也被起诉。
第二,建立一种合理、稳定的预期。人们的行为在相当程度上建立在其对未来合理预期的基础之上,而完善的法律制度将为人们建立这种预期提供依据。美国公司管理层近乎贪婪的预期与其20世纪80年代至90年代的低风险不无关联。美国通过加大对有错或者有罪管理者的起诉与惩罚,从而形成一种新的预期:公司管理层需要自我约束。
第三,政府适度管制。历史事件表明,绝对无管制的市场容易走向极端。但是,前苏联及我国过去的历史也证明,政府高度管制,同样不利于经济的发展。套用一句古话“过犹不及,君子中庸”,政府管制也是如此。尽管安然事件等系列公司丑闻爆发,为政府介入、管制提供了绝佳的“借口”,但美国国会在制定法律的辩论过程中,仍然有相当多议员对政府管制持有审慎态度。美国现任总统布什大力推行减税政策,其内在思想就是:让市场自己运行,政府应当少掌握资源、少介入经济。
第三篇:SOX简介、萨班斯法案
建立符合SOX法案以及企业内部控制基本规范的内部审计思路
2009-10-19 17:18 文鸿义 【大 中 小】【打印】【我要纠错】
随着企业规模的扩大以及社会经济环境的要求,对企业内部控制的制度建设正日益受到广泛关注,而作为内部控制最基本的一个环节内部审计,也正逐渐提上日程,并越来越多受到重视。本文根据美国颁布的《萨班斯-奥克斯利法案》以及我国颁布的《企业内部控制基本规范》有关企业内部审计的要求,来探讨建立企业内部审计的思路。
一、SOX法案的产生背景及缘由
SOX法案即《萨班斯-奥克斯利法案》。在一般人眼中,美国一直是一个法治比较完备,企业管理相对规范、高效,社会诚信良好的国家。但是 , 2001年出现的安然事件,以及由此发现的一系列美国著名大公司在公司治理和财务管理力方面的问题,引发了美国社会特别是经济界、金融界的诚信危机。安然公司的造假主要依靠三种途径,一是通过资本重组,建立了超过3000多个各类子公司、孙公司、合伙公司在内的复杂的公司结构体系,以便使公司进行大规模违规融资活动。二是通过内部各类公司之间的复杂的关联交易,随意制造营业收入和利润。三是创造出一套非常复杂的公司财务结构,使用了被称为SPE(特殊目的主体)的金融工具和其他资产负债表进行表外融资。
首先,我们从安然的故事中看到了一个缺乏责任的董事会。如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。此外,公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同,还向独立董事任职的非盈利机构大量捐款。这种利益交织的情况下独立董事对公司管理层的监督形同虚设。在缺乏监督和制约的条件下,公司就会被个人操纵和利用成为内部人牟取个人利益的手段。
另一个扮演着不光彩角色的是安达信公司。安达信从20世纪80年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。这样,安达信一手为安然作帐,用另一手为其查帐。当会计师事务所为同一个客户同时提供审计和咨询两种服务时,其审计的独立性就可能因此受到影响。
包括安然在内的一系列公司假账丑闻的发生,已经不是个别公司的问题,而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。在这样一个背景下,《萨班斯-奥克斯利法案》于2002年7月30日正式出台。它以维护广大投资者利益为宗旨,对惩治公司财务欺诈、规范企业行为和加强资本市场监管等方面做出了更加严厉、更加全面的规定。
该法案的核心是通过立法加强对财务制度和企业内部的控制,并增加企业财务透明度和及时对各种缺陷进行修复。如果企业被认定未达到萨班斯法案的要求,将可能使企业受到严重处罚,包括高额罚款以及管理层个人形式责任追究。
二、法案涉及财务内部控制的主要内容
通过仔细观察萨班斯法案,对企业的财务审计工作产生的重大影响主要集中在其中的302条款和404条款。即:
(1)首席执行官(CEO)和首席财务官(CFO)诚信声明。按照萨班斯法案302和404条款,公司(这里主要是上市公司)的首席执行官和首席财务官必须在对外公布财务报告时发表有关该财务报告真实性的诚信声明,并作为该财务报告的必要组成部分。该声明主要包括以下几个方面的内容:(1)CEO和CFO已经审查核实了公司的财务报表和财务报告;(2)在CEO和CFO所了解的范围内,该财务报表和财务报告真实完整地反映了该公司在本会计期间内的财务状况,不包含任何虚假的信息,也不存在误导各利益相关者的成分I(3)该财务报表和其他财务信息公允地反映了本会计期间的资产负债、经营损益以及现金流量等状况,(4)CEO和CFO要对本公司的内控情况和采取的内控措施作出评估,并声明该公司内控体系的有效性。
(2)302条款对企业财务审计的影响。作为提供社会中介鉴证服务的会计师事务所,在对企业的财务进行审计过程中,应当秉承客观,独立、公正的原则。302条款要求上市公司CEO和CFO必须发表财务会计报告诚信声明,这就在一定程度上约束了企业的造假冲动,会计师事务所可以理直气壮地对企业的财务状况实施客观、独立和公正的审计,有利于提高企业的财务会计信息质量和审计质量。
(3)404条款及其对企业财务审计的影响。萨班斯法案404条款的主要内容是要求企业的CEO和CFO必须对本企业的内控系统的有效性发表诚信声明,同时,为保证企业CEO和CFO声明的真实可靠,要求会计师事务所应当对企业内控系统的有效性进行测试评估,而且,此项测试应当成为会计师事务所进行企业财务审计的重要内容之一,但对企业内控系统有效性的测试不是一项独立的审计业务。与过去相比,这无疑大大增加了财务审计的工作量,也对会计师事务所的执业能力和执业水平提出了更高的要求。
三、法案对我们国内公司建立内部控制制度的指导意义
根据该法案,自2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯——奥克斯利法案》。而同一天,我国财政部发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响:一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
因此,探讨萨班斯法案对中国企业内部控制建设的影响至少有以下两层意义:
1、理论意义:我国自20世纪90年代起便开始加大政府对内部控制的推动作用,现有的法律法规和行政规范中多项涉及到内部控制的内容,尤其表现在内部审计方面。同时也要看到,我国的内部会计规范才刚开始,一套完整的内部控制规范体系的建立还有待时日。因此相对比较完善的美国内部控制理论,尤其是2002年颁布的《萨班斯一奥克斯利法案》,对我国内部控制制度的建立具有一定的启发和参考、借鉴意义。
2、实务意义:所有在美国证券交易委员会(SEC)备案的公司,包括在美国注册的上市公司和在外国注册而在美国上市的公司,都必须符合《萨班斯一奥克斯利法案》的要求。而众多准备在美国上市的中国企业还没有意识到法案对其上市的重大影响,即使是已经在美国上市的中国公司,仍有部分不十分清楚法案的具体要求以及如何应对。与此同时,在中国上市的公司也要逐步建立起一套行之有效的内部控制体系来应对企业面临的各种风险,提高企业管理的质量。
四、我国相关内部控制规范对内部审计的要求
内部控制规范在我国相对晚些,如在二00五年十二月十一日,国务院国有资产监督管理委员会发布《关于加强中央企业内部审计工作的通知》(国资发评价[2005]304号)明确指出“内部审计是审计监督的重要组成部分,加强企业内部审计,是建立健全现代企业制度不可或缺的重要环节,是推动企业转变经营机制、依法经营、规范管理、增强市场竞争力、实现健康快速发展的重要手段。”并要求各中央企业要充分认识内部审计工作的重要性,高度重视内部审计工作,切实加强领导。要将内部审计工作纳入企业重要议程,保障内部审计工作有效开展,在企业营造尊重审计、支持审计、自觉接受审计的工作环境,充分发挥内部审计工作在完善企业内部控制、防范经营风险、提高经营管理水平方面的作用。”与此同时,国务院国有资产监督管理委员会还要求企业需进一步建立完善企业内部控制机制,为实现经营管理目标,确保财务信息真实可靠、资产安全完整,提高资产运营效率与效益服务。具体提出了四项内部控制要求:即一要建立和完善内部控制体系,科学设置组织结构,健全内部控制制度。二要加强经营风险评估,增强企业适应环境和防范风险的能力。三要加强对内部控制执行的监督和检查,内部审计部门应当组织开展内部控制有效性的评价工作,充分发挥内部审计在内部控制中的监督作用。四要按照现代企业制度要求,探索与完善企业内部控制有
效性审计和评价工作方法,不断完善企业内部控制体系,促进提高企业管理水平。
此外,二OO八年五月二十二日发布的《企业内部控制基本规范》(财会[2008]7号)也明确指出,中华人民共和国境内设立的大中型企业 应根据该规范建立内部控制。对于小企业和其他单位可以参照本规范建立与实施内部控制。该规范明确了内部控制是企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。
基本规范要求企业应当在董事会下设立审计委员会。审计委员会负责审查企业内部控制,监督内部控制的有效实施和内部控制自我评价情况,协调内部控制审计及其他相关事宜等。并特别指出,企业应当加强内部审计工作,保证内部审计机构设置、人员配备和工作的独立性。企业应当根据该规范及其配套办法,制定内部控制监督制度,明确内部审计机构(或经授权的其他监督机构)和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。内部审计机构应当结合内部审计监督,对内部控制的有效性进行监督检查。内部审计机构对监督检查中发现的内部控制缺陷,应当按照企业内部审计工作程序进行报告;对监督检查中发现的内部控制重大缺陷,有权直接向董事会及其审计委员会、监事会报告。
企业应当制定内部控制缺陷认定标准,结合内部监督情况,定期对内部控制的有效性进行自我评价,出具内部控制自我评价报告。对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,采取适当的形式及时向董事会、监事会或者经理层报告。
从以上内容可以看到,企业内部审计部门的地位是多么重要。且基本规范再次明确了内部审计在内部控制中的地位和作用,将内部审计提高到了极其重要的地位。这些规范的颁布,为企业内部审计部门加强内部控制管理,明确自身责任,提供了依据,也为内部审计工作提供了广阔舞台。
五、建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路
为切实履行内部审计职责,发挥内部审计在内部控制中的作用,结合企业实际,本人初步拟定了建立符合SOX法案以及企业内部控制基本规范的内部审计工作思路,以供参考。
(一)内部审计的目的是加强公司及所属公司的管理和监督,维护财经法纪,改善经营管理,提高经济效益。
(二)内部审计应在公司总经理或董事会下设的审计委员会的直接领导下,对公司各部门以及公司所属单位的财务收支和经济效益等进行监督,独立行使审计职权,对总经理或审计委员会负责并报告工作,在业务上同时受上级审计计机构的领导和地方审计机关的监督。
(三)内部审计的任务:
1、主要任务有:
(1)对公司及所属公司的资金、财产的完整安全进行监督审计。
(2)对公司及所属公司的财务收支计划、投资和经费的预算,信贷计划,外汇收 支计划和经济合同的执行以及经济效益进行审计监督。
(3)对公司及所属公司的会计报表进行内部审计。
(4)对公司及所属公司的经营责任的审计评议,配合上级审计机构对公司主要领导人及所属公司的主要领导人的离任经济责任进行审计。
(5)对公司及其他所属各公司基建工程项目的概(预)算的执行、建设成本的真实性和经济效益进行审计。
(6)对公司及所属公司的内部控制制度的健全、有效及执行情况进行监督检查。
(7)对严重违反财经纪律,侵占国家、公司资产,严重损失浪费等损害国家、公司利益的行为进行专案审计。
(8)贯彻执行有关审计法规,制定或参与研究本公司及所属公司有关的规章制度。
(9)办理公司领导、上级审计机构交办的其他审计事项,以及配合上级审计部门和外部会计师事务所对公司及所属公司进行审计。
2、内部审计主要职权
(1)根据内部审计工作的需要,被审计单位应按时向审计部报送有关计划、预算、决算报表和文件资料等。
(2)检查实物、凭证、帐册、有关文件和资料。
(3)参与有关的会议。
(4)索取有关的证明材料。
(5)对正在进行的严重违反财经法纪、严重损失浪费行为作出临时制止的决定。
(6)对阻挠、破坏审计工作以及拒绝提供有关资料的,经公司领导批准可以采取必要的临时措施,并提出追究有关人员责任的建议。
(7)监督被审计单位严格执行审计决定。
(8)对审计工作中的重大事项有权直接向上级审计机构如实反映。
(9)对违反财经法纪和大量浪费的被审计单位的直接责任人员和单位负责人,可建议公司总经理给予行政处分,情节特别严重的可建议移送司法机关依法追究刑事责任。
3、内部审计主要工作程序
(1)内部审计部门在年初应根据上级审计部门的部署结合公司的具体情况确定审计工作计划,报请总经理或董事会批准后实施。
(2)在实施审计计划时应拟订审计方案,审计范围、内容、方式和时间,并通知被审计单位要求提供必要的工作条件。
(3)在审计中必须做好工作底稿,记录审计过程,各种旁证材料齐全,作好调查记录并应有相关人员的签名盖章。
(4)审计中如有争议应如实反映给领导,必须依法有据,实事求是地提出解决办法,切忌主观、武断。
(5)每项审计工作结束最迟不得超过两个星期提出内部审计报告。
4、内部审计报告的总体要求及运行程序
内部审计报告的总体要求:事实清楚、数据确实、依法有据、建议恰当。
审计报告在征求补充被审计单位意见后(不是同意审计报告),报送公司经理办公会审定、由董事会批准后,下达审计结论和处理决定,通知被审计单位执行。被审计单位在听取内部审计部门审计报告征求意见后有不同意见时,应首先对事实和数据是否确切可提出补充意见,经内部审计部门查明后修改或补充,对审计报告引用的法规依据、处理建议的内容等也可以提出不同的看法,内部审计部门应根据事实,可以予以采纳或维护原审计报告。审计报告经批准下达后,被审计单位对审计报告提出的整改意见必须执行。内部审计部门必须在一定时期内向总经理、董事会报告被审计单位的执行情况。
审计报告下达后由于情况变化和有新的重要数据遗漏,经查明事实后,被审计单位应向内部审计部门报告的同时向总经理报告,由总经理或审计委员会决定原审计报告是否修改或继续执行。
每个审计报告以及审计工作底稿等附件必须在二个月内整理装订成册,并移交档案部门归档备查。
5、奖惩条例
(1)对审计工作成绩显著的工作人员以及在揭发检举中的有功人员给予表扬和奖励,具体奖励办法另行制定。
(2)审计人员泄漏机密,或以权谋私、参与舞弊行为者应给予警告或一至三月工资罚款的行政处分,情节严重、构成犯罪的提请司法机关依法追究其刑事责任。(3)对打击、报复审计人员的,不论其职位高低,先在公司内部由总经理视情节严重情况给予警告、罚款、降薪降职等行政处分,情节特别严重的报上级部门处理,情节特别严重的由司法机关依法追究其法律责任。
附:
公司内部审计流程图
审计工作计划
审计管理 审计档案管理
审计业绩考核
内部审计
审计准备
审计实施
审计作业
审计报告
后续跟踪审计或监督执行
第四篇:萨班斯法案对企业内部控制.
萨班斯法案对企业内部控制
可 低影响程度 [NextPage] 5.3我国企业内部控制建设的步骤
要完善中国企业的内部控制体系,职称论文发表我们还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是1个1次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤:
5.3.1 内部控制环境的建设 1.公司治理结构
目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构1元化、1股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们的问题是股权过于集中,结果都造成了内部人控制。因此,我们应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“1股独大”问题; 进1步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。
2.法制大环境
在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是1致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们应借鉴SOX,进1步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。
在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,1直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的1系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。
在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。
3.公司的内控文化
企业文化是随着现代工业文明的发展,企业组织在1定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的1种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免1种只注重内部短期的企业文化,保持1种健康的文化氛围,使其与公司战略目标趋于1致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,1个企业的人力资源政策直接影响到企业中每1个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。全国人大 2000年7月 发布《关于加强金融机构内部控制的指导原则》,这是我国第1个关于内部控制的行政规定。高发生可能 1996年12月 毕业论文 国务院 生 能提供有建设意义的内控整改计划和方案
[NextPage] 世界1流公司 2006年9月28日 性 高发生可能 2001年6月 2000年 高影响程度 工作重点花费在核实信息、查证数据上 证监会 [NextPage] 5.3.2 内部控制风险的识别和评估
内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每1个活动所涉及的风险。在这1步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。1旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们对于内部控制的研究,我们须以环境及其风险的分析入手。企业管理者运用1系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。
内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们有许多方法来对风险进行分类。其中,1种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们也可以用下面的表格对风险进行评估分类:
中国上市公司 2006年6月5日 发起成立“会计师事务所内部治理指导委员会” 发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。
发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。
业务流同信息流整合度不高,同财务系统集成低
在确定流程和进行测试的过程中,关键问题是看对每1个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出1个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿1直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。
巨大的工作量也带来1定的挑战。1试点机构404项目组的成员表示,项目开展的最初半年每天都要工作10几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。
5.2 中美企业内部控制比较
由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国1流的上市公司,下表是中美两国公司在内部控制上的比较:
有健全、完善的制度性管理条例、细则和程序
发布征求《上市公司内部控制指引》意见的通知,揭开了中国上市公司内部控制体系制度建设的序幕 发布《独立审计具体准则第9号1内部控制和审计风险》 发布部门 中国人民银行 发布《内部会计控制规范1基本规范(试行)》和《内部会计控制规范1货币资金(试行)》 在细则、条例等制度的建设上滞后
2001年2月 发布《中央企业全面风险管理指引》
财政部 深交所 能
通过上面列的这个时间表,我们不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这1年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这1连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯1奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束 的 财政部 低发生可能 [NextPage]
提供有建设意义的内控整改计划和方案明显不足
内审薄弱,缺乏内部控制专员 发起成立“企业内部控制标准委员会” 业务流同信息流高度整合,同财务报告高集成
证监会 中注协 发布《内部会计控制规范——采购与付款(试行)))和《内部会计控制规范1销售与收款(试行)》 2006年7月15日
外部审计结合内部控制 2003年11月 财政部 时 间 发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。发 发布《内部会计控制规范1存货(试行)》《内部会计控制规范1担保(征求意见稿)》和《内部会计控制规范1成本费用(征求意见稿)》
高影响程度
证监会 2006年6月6日 2006年5月 2005年10月19日 规范内容 从上面的列表我们发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们可以将它们分为3个层次:
第1个层次是全国人大和财政部颁布的1些法律、法规。1996年颁布的《独立审计具体准则第9号1内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这1层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了1定的积极作用。
第2个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这1层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第3个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。
4.2.2 中美内部控制规定的比较
上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。
1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。
2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的5大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进1步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。”
3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立1套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。
4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成1个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成1套完整的内部控制体系要求,还有相当的距离。
5、我国企业内部控制的建设
5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何1个岗位的职务、职责描述得1目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每1个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。
对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了1年,但对于我国在美上市的大型国有企业来说,时间仍然10分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。
2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面3个公司的例子作1说明:
2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了1系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“1个全面,3个集中”,推行“4统1”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。
特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了1支具有较强业务能力的内控工作队伍。
中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。
《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进1步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进1步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。
基本在同1时间,华能国际于2003年也正式启动全面改进内控工作的404项目。4年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。
为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第3轮审计的0缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第1家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。
而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是4大外资会计师事务所之1的安永会计师事务所。
“404项目”分3批在中国人寿全系统推进,北京、江苏、河南和山东4个省市作为第1批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有1定难度。”1404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近3个月。”
之后要做的工作是进行测试:采用抽查法先抽出1笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到1笔业务并不足以说明目前的控制确实有效,之后还会抽出几10个样本,用同样的方法对这1大笔业务进行再测试。
2006年5月17日 对计划的影响程度(财务成本)
这个步骤让内控部门对风险有了进1步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为4类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动
在完成了主要风险的识别和后,我们需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定1个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。1般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取1个或多个措施的,因为这类风险有高的法生可能性,而它们1旦发生对我们在运营方面的影响又将是巨大的,它们还可能带来1系列法律问题。而剩下的两个象限就可以采取1些控制来降低它的风险。
内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序;
控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之1。程序建设步骤如下:
首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。
然后,提出内部控制关键控制点,所谓关键控制点,是指在1个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。
最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之1就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。
5.3.4 内部控制的监督
监督是1种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是1个1次性的活动,我们需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第3方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用:
1.内部审计,它既是企业内部控制的1个部分,也是监督内部控制其他环节的1个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的1种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们实施审计向我们帮助创建1些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。
2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。
5.3.5 内部控制信息的传递
企业应设立1个良好的信息与沟通系统,1个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是1个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。1个健全的信息系统应该能够提供内容适当、及时、正确的信息。
同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起1个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用:
结论:
从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同1天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。
我们可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了1定的影响:1来是针对已经或准备在美国上市的中国企业必须达到法案的要求;2是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。
萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到1个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造1个好的内部控制的大环境。
注释:
文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104
第五篇:萨班斯法案对我国企业内部控制的影响(下)(一).
萨班斯法案对我国企业内部控制的影响(下)(一)
4.2我国内部控制相关制度的发展 4.2.1 我国内部控制规定的演变 目前,我国尚未正式出现权威性的内部控制概念,对于内部控制完整性、合理性及有效性更是缺乏公认的标准体系。现行规范中提到内部控制概念主要有三处:1996年财政部《独立审计准则第9号一内部控制与审计风险》,提到内部控制结构化概念,包括控制环境、会计系统和控制程序,是指被审计单位为保证业务活动的有效进行,保护资产的安全和完善,防止、发现纠正错误和舞弊,保证会计资料的真实、合法、完整而制定和实施的政策和程序;2001年财政部会计控制规范引用了会计控制与管理控制概念;2002年中国人民银行《商业银行内部控制指引》,借鉴了COSO报告,指出内部控制是商业银行为实现经营目标,通过制定和实施一系列制度、程序和方法,对风险进行事前防范、事中控制、事后监督和纠正的动态过程和机制。我国内部控制规范进程一览表: 时 间发布部门规范内容1996年12月财政部 发布《独立审计具体准则第9号一内部控制和审计风险》1997年5月中国人民银行发布《关于加强金融机构内部控制的指导原则》,这是我国第一个关于内部控制的行政规定。1999年证监会发布《关于上市公司做好各项资产减值准备等有关事项的通知》,开始要求上市公司建立内部控制。2000年证监会发布《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。2000年7月全国人大发布《会计法》,首次以法律的形式对企业的内部控制做出相应的规定,将其纳入企业内部会计监督制度。2001年2月证监会发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为;要求证券公司应当按照指引的要求,建立运行高效,制定科学合理、切实有效的内部控制。2001年6月财政部发布《内部会计控制规范一基本规范(试行)》和《内部会计控制规范一货币资金(试行)》2002年12月财政部
发布《上市公司内部控制指引》,规定2007年6月30日前,深市主板上市公司均要按要求披露内部控制制度的制定和实施情况通过上面列的这个时间表,我们(京师论文辅导中心)不难发现,从1996年到2005年间总共颁布了10次与内部控制相关的法律法规,而在2006年这一年间,与内控相关的法规就出台5次,并同年成立了2个与内部控制相关的委员会。而这一连串法规的出台或多或少都与SOX有关,因为从2006年7月15日开始,所有在美国上市的外国企业,必须执行《萨班斯一奥克斯利法案》,这意味着中国在美上市公司的内部控制建设直接受到了美国法律的约束。从上面的列表我们(京师论文辅导中心)发现,我国内部控制的建设和发展开始于20世纪90年代,主要由政府、证监会和行业监管机构制定的内部有关法律、法规和指引来推动。我们(京师论文辅导中心)可以将它们分为三个层次: 第一个层次是全国人大和财政部颁布的一些法律、法规。1996年颁布的《独立审计具体准则第9号一内部控制和审计风险》,2000年新修订的《会计法》,以及2001年到2003年陆续出台的《内部会计控制规范》都属于这一层次。而这些法律法规的出台对于中国企业关于内部控制概念的植入起到了一定的积极作用。第二个层次是中国证监会的有关规定,作为证券公司、投资基金公司的监管机构,中国的证监会出台了《公开发行证券公司信息披露编报规则》,要求商业银行、保险公司、证券公司必须建立健全内部控制,并对内部控制的完整性、合理性和有效性做出说明。并于2001年发布《证券公司内部控制指引》,要求证券公司健全内部控制机制,完善内部控制,以规范公司经营行为。而在2006年又发布《首次公开发行股票并上市管理办法》第29条规定,发行人有CPA出具无保留的内部控制报告没,证监会首次对上市公司内部控制提出具体要求。这一层面虽然针对的只是以证券类公司为主,但已经将内控的概念逐步完善,已经和国际内控框架的概念趋同。
第三个层次是各行业的监管机构对本行业颁布的内控文件,如中国人民银行1997年发布《关于加强金融机构内部控制的指导原则》,国资委于2006年发布《中央企业全面风险管理指引》。同样在2006年,沪深两地的证交所都发布了《上市公司内部控制指引》来规范上市公司内部控制的制定和实际操作。4.2.2 中美内部控制规定的比较 上述内部控制规范的制定与出台,对于改善我国企业内部控制的现状,加强会计控制,完善信息披露制度以及保证资本市场的有效运行有着非常重要的意义。但与目前国际上最为权威的内部控制框架 COSO 相比较,还有很大差距。1.内部控制的目标比较
从现有的内部控制规范来看,我国对于企业内部控制的目标定位,基本上是处于内部控制目标层次的最低级,只包括:保证会计资料真实、完整;保护单位资产的安全、完整;确保国家有关法律法规和单位规章制度的贯彻执行。与 COSO 报告相比,没有提及内部控制提高经营效率,促进企业经营管理,实现企业目标等,所以我国的规范更多着眼于监督而不是企业的内部管理。2.内部控制规范内容范围比较
与较为成熟的内部控制理论 COSO 报告确定的五大要素—控制环境、风险评估、控制活动、信息与沟通以及监督相比较,我国内部控制的范围过于狭窄。我国现有的内部控制规范的内容主要集中于会计领域,《会计法》、《内部会计控制规范》等法律法规主要是从会计控制的角度来规范内部控制;独立审计准则中的定位也是着重于企业的会计责任方面。随着我国市场经济的进一步发展,企业作为市场经济主体的意识和要求必然加强,相应地企业内部控制的内容和范围也越来越宽泛,不但企业内部的控制权的问题,企业的供产销,包括企业的外围环境、文化理念、经营思想等控制环境因素与风险因素都应纳入企业内部控制的内容和范围。“内部控制的研究绝对不能局限于会计审计领域,它与经济学、管理学、法学、政治学、社会学等均有密切关系,而且对后者而言,应该比前者重要得多。” 3.内部控制评价的比较
内部控制评价是对内部控制执行有效性的检测。对于管理层的对内部控制的评价,担任公司年审的会计事务所应当对其进行测试和评价。目前我国内部控制的评价体系尚未建立,已制定和出台的内部控制规范,这方面的内容尚未作为主要部分予以重视。只有建立一套完善的、符合实际的、具有可操作性的评价指标体系,才能保证企业内部控制的有效性。4.内部控制规范体系比较
《会计法》和《内部会计控制规范》都是从某个方面对内部控制做出规定,造成对内部控制缺乏系统研究,无法形成一个成型的内部控制规范框架体系,因此对企业内部控制建设的普遍意义指导不大。在内容层次上,虽然目前《内部会计控制规范》己陆续出台了几个具体业务的规范,但到形成一套完整的内部控制体系要求,还有相当的距离。
五、我国企业内部控制的建设 5.1法案对我国在美上市公司的影响
404 条款被认为是 SOX 法案所有条款中最严厉、最昂贵的条款,这是因为该条款要求公司都要将任何一个岗位的职务、职责描述得一目了然,而这项工作需要大量材料和文件支持。同时,为了达到 404 条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施 404 条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行 404 条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。对于在美国上市的外国公司来说,SEC批准404条款生效的时间从原定的2005年7月15日推迟至2006年7月15日。尽管404条款生效时间推迟了一年,但对于我国在美上市的大型国有企业来说,时间仍然十分紧迫。建立健全企业内部控制体系既要满足SOX法案的要求,更重要的是以此为契机,完善企业内部控制系统,增强财务报告真实性,增长公司治理的经验,增强国际竞争的能力。因此,我国公司与相关监管部门应重视此项工作,认真考虑如何将企业内部控制制度与国际通行的内部控制体系相结合,加紧建立健全符合我国国情的内部控制体系。2006年7月15日开始对在美国上市的海外公司生效包括中国石油,中国人寿在内的40余家中国公司被纳入该法案的实施范围。经过几年的建设试行、实施和完善,中国企业的内部控制完善得如何,在此,本文将以下面三个公司的例子作一说明:2005年12月27日.中国石油签署发布《内部控制管理手册》标志着与国际规范接轨的公司内部控制体系开始正式运行。中国石油股份公司上市以来按照现代企业制度的要求和与国际规范接轨的原则,在转变经营理念、推进制度创新和管理创新方面采取了一系列措施,迈出了坚实的步伐。严格按照回报标准集中优选投资项目财务管理实行“一个全面,三个集中”,推行“四统一”的销售管理体制.通过推进电子商务实现大宗物资集中采办。这些措施对于规范公司各项管理,防范经营风险、提升公司价值发挥了显著作用。特别是从2003年开始,公司以国内和上市地有关法规的颁布为契机.充分依托已有的管理优势, 采用国际上被广泛认可的COSO(反虚假财务报告委员会的赞助组织委员会)框架基础, 着手建立内部控制体系。两年来, 围绕内控体系建设的总体目标和各阶段部署克服各种困难做了大量卓有成效的工作取得了阶段性成果。制定了内控体系框架编制完成内部控制管理手册.实现了设计有效.开展体系试运行和符合性检查及时整改发现的问题为正式运行做好了准备,通过广泛宣传和加强培训使各级干部和全体员工对内控体系的了解逐步加深认识不断提高部分骨干管理人员已基本熟悉和掌握了风险识别和控制实施方法。初步形成了一支具有较强业务能力的内控工作队伍。中油股份公司总裁蒋洁敏在签署发布《内部控制管理手册》的会议上指出“我们(京师论文辅导中心)的设计总体是有效的关键问题是执行有力。只要执行有力,就能通过;反之执行不力就很难通过。《内部控制管理手册》必须百分之百执行这是2006车管理的硬任务”。《内部控制管理手册》2006年1月1日正式发布实施以来中国石油按照内控工作目标围绕“执行有力”,积极探索有效方法,大力推动内控工作扎实深入地展开。他们开展内控手册的宣传贯彻培训和各个层次内控实施培训进一步落实工作职责和岗位责任,完善了工作网络,建立了内部控制考核监督机制。从公司总部各部门到地区公司各基层单位内控体系的各项要求得到了进一步落实。从4月10日开始,中国石油的管理层测试和外部审计全面展开测试进展顺利,审计已获通过。基本在同一时间,华能国际于2003年也正式启动全面改进内控工作的404项目。四年来,华能国际开创性地设计了《内部控制手册》;建立了内部控制组织体系;加强了公司和电厂两个层面的内部控制工作体系;完善并促进了管理制度建设,建立了符合公司管理特点的内部控制程序。为改进内控,华能国际付出了巨大的人力和物力,有近千人直接投入到这项工作。内部控制缺陷的数量从2005年11月普华审计预演的数千条到2007年1月普华永道第三轮审计的零缺陷。2007年4月,普华永道对华能国际内控工作正式出具了无保留意见的审计报告。至此,华能国际成为第一家通过美国《萨班斯法案》404条款的在美上市的央企控股公司。而中国人寿也于2005年初启动了旨在加强内部控制建设的“404项目”。中国人寿内控合规部副总经理刘代春介绍,因为自身没有经验,因而聘请了外资会计师事务所为其提供咨询服务。后据记者了解,为其担任404项目咨询工作的是四大外资会计师事务所之一的安永会计师事务所。
“404项目”分三批在中国人寿全系统推进,北京、江苏、河南和山东四个省市作为第一批开展试点。“因为没有经验,初始不能全国同步进行,出现问题的话成本控制有一定难度。”一404项目组成员表示。
试点机构从各部门抽调人员组成项目组,首先要做的工作是梳理业务和财务流程,把所有的流程都写出来,并画出流程图,找出风险点,看是否有相应的措施对其进行控制。以承保流程为例,从客户投保,到承保、出单、客户签回执、公司核销回执,再到财务入账,从头至尾,把整个流程尽可能细化地落于纸端。
“分公司项目组写好后再在几个试点机构间进行交流,看自己有哪些没写出来,或者该列为重点的没有列出来,发现问题后重新再写。”上述人士说,“光流程就写了近三个月。”
之后要做的工作是进行测试:采用抽查法先抽出一笔业务从头至尾检查是否有漏掉的环节,如果有环节被漏掉就可能存在被忽视了的风险。考虑到一笔业务并不足以说明目前的控制确实有效,之后还会抽出几十个样本,用同样的方法对这一大笔业务进行再测试。在确定流程和进行测试的过程中,关键问题是看对每一个风险点是否有相应的控制措施,如果没有则要及时反馈到相应部门,要求该部门设计出应有的控制措施或给出一个合理的解释,直到所有的风险都得到控制为止。
上述工作是在安永的协助下进行。刘代春介绍,外聘咨询机构的主要职责是帮助中国人寿制定项目计划,并对404项目组进行培训,帮助他们确定重要流程和重要会计科目。而中国人寿一直聘请的外部审计机构是普华永道会计师事务所,404项目无疑使中国人寿在原有聘请外审机构的基础上又增加了咨询成本。巨大的工作量也带来一定的挑战。一试点机构404项目组的成员表示,项目开展的最初半年每天都要工作十几个小时,反复查找风险点、进行测试,并与外省机构交叉检查。对于分支机构遍布全国城乡的中国人寿来说,这无疑是个牵动全身的浩大工程。中国人寿在每个省设有分公司,分公司下设地、市级支公司,总、分、支公司都有相应的业务和财务部门,单把流程写清楚就不是易事。为此,中国人寿总公司从各分公司抽调人员、省分公司则从地市级支公司抽调人员参与404项目。5.2 中美企业内部控制比较 由于中国企业在内部控制方面的起步较晚,所以中国企业在内部控制实施方面也就自然落后于美国一流的上市公司,下表是中美两国公司在内部控制上的比较: 世界一流公司中国上市公司公司治理结构较好,基础数据透明度高公司治理结构刚刚起步,基础数据不完善有健全、完善的制度性管理条例、细则和程序在细则、条例等制度的建设上滞后外部审计结合内部控制内审薄弱,缺乏内部控制专员
工作重点放在系统性、流程风险的测试工作重点花费在核实信息、查证数据上能提供有建设意义的内控整改计划和方案提供有建设意义的内控整改计划和方案明显不足业务流同信息流高度整合,同财务报告高集成业务流同信息流整合度不高,同财务系统集成低5.3我国企业内部控制建设的步骤 要完善中国企业的内部控制体系,我们(京师论文辅导中心)还有很长的路要走,这需要很大的人力、物力和时间资源,而且内控体系的完善不是一个一次性的工作,也不是公司中几个人的工作,它需要全员参与,需要对内部控制不断进行监督和复核,从而达到降低风险,实现企业计划的目的。下面是企业在建设内部控制体系时需要走过的几个步骤: 5.3.1 内部控制环境的建设 1.公司治理结构 目前我国公司法人治理结构存在很大缺陷,表现在: 产权结构一元化、一股独大、内部人控制现象严重、董事会形同虚设等。美国企业的所有权过于分散,而我们(京师论文辅导中心)的问题是股权过于集中,结果都造成了内部人控制。因此,我们(京师论文辅导中心)应在产权明晰的基础上完善公司治理结构,解决“内部人控制”问题。调整持股结构,分散大股东股权,建立股东制衡机制,解决“一股独大”问题; 进一步健全独立董事会制度,完善独立董事责任追究制与考核机制; 完善监事会制度,从监事会人员构成的独立性、专业性以及如何实施全程监督等方面加强监事会建设,根本上解决企业内部控制失控的病根。2.法制大环境 在上市公司内部控制报告制度方面,SOX强制规定上市公司要上报内部控制报告及进行注册会计师审计,而我国目前对于内部控制报告要求还是相当宽松的,过去中国证监会仅要求会计师事务所对拟上市的金融类企业和拟增发的上市公司的内部控制的完整性、合理性及有效性出具意见。在实际操作中,接受执行发行审计业务的会计师事务所仅就与会计报表编制有关的内部控制是否存在重大缺陷发表意见。由此导致上市公司内部控制报告质量太差,大多数公司的内部控制报告流于形式的现象,也就不足为奇了。尽管 2006 年 6月 5日,上海证券交易所出台了《上海证券交易所上市公司内部控制指引》。该指引和SOX在达到内控目标方面是一致的,只是这个指引还没有具体的操作细则出来,也不像SOX已经上升到法律的高度。因此,内部控制到底做到怎么样,做多少才合适,还缺乏权威的认定,因此,我们(京师论文辅导中心)应借鉴SOX,进一步细化公司内部控制报告的要求,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。在对单位负责人和财务主管进行会计舞弊的惩罚力度方面,我国 《会计法》、《企业财务会计报告条例》等法规规定,单位负责人、单位主管会计工作的负责人、会计机构负责人应在财务会计报告上签名盖章。中国证监会在案件查处时,一直严格依法对所有负有责任的以上人员作出处罚,但并没要求他们事先公开做出承诺。前不久证监会修改后的《年报准则》规定,2005年上市公司公布年报时,公司负责人、主管会计工作负责人及会计机构负责人(会计主管人员)必须声明:“保证报告中财务报告的真实、完整”,便是借鉴了SOX要求上市公司公开披露信息中附有首席执行官和首席财务主管的承诺函的规定。但这还是远远不够的,相对于SOX的一系列严厉惩罚措施,我国对于会计舞弊事件中当事人的惩罚措施无疑过于仁慈,SOX中对于公司首席执行官、财务主管最高可处以500万美圆的罚款或20年监禁,只有这样的力度才能成为真正威慑会计舞弊者的铁拳。在我国,《会计法》、《审计法》、《独立审计准则》等虽然都有论及建立健全内部控制体系,但是没有具体可行的规定,尚不能够形成内部控制整体框架。目前,证监会仅要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,没有对证券公司之外的其它公司管理层进行财务报告内部控制有效性评价提出强制性规定。因此,应尽快加强企业内部控制有效性评价方面的立法工作,以及内部审计和独立审计等行业准则的规定,为提高企业内部控制管理提供外部监督和指导。加强立法工作,使财务报告内部控制有效性的评价做到有法可依。3.公司的内控文化 企业文化是随着现代工业文明的发展,企业组织在一定的民族文化传统中逐渐形成的具有企业特征的基本观念、价值观念、道德规范、规章制度、生活方式、人文环境以及与此相适应的思维方法和行为方式的总和。企业文化往往是现存的一种无形的力量,影响企业成员的思维方法和行为方式。在企业成长的过程中,文化对企业产生的许多影响都被纳入企业行为的原始部位,处于行为动机的意识层面之下,以至于文化的作用往往被人们所忽视。企业文化在企业经营管理中的重要性,是其不可避免的影响着企业的内部控制,企业在培养自身文化时,应避免一种只注重内部短期的企业文化,保持一种健康的文化氛围,使其与公司战略目标趋于一致。企业文化包括道德及行为标准以及如何在业务中沟通与强化该标准,企业中正式的政策文件等只能书面表达管理阶层想让什么发生,而企业化则决定什么会发生。COSO 报告特别强调“人”在内部控制中的作用,一个企业的人力资源政策直接影响到企业中每一个人的业绩和表现。良好的人力资源政策,对培养企业的员工,提高企业员工的素质,更好地贯彻执行内部控制有很大的帮助,并对公司员工进行讲解程序,提高员工的风险和控制意识。5.3.2 内部控制风险的识别和评估 内控部门可以通过的风险管理目标设立来帮助锁定内控计划的关键活动,然后需要仔细研究控制活动并识别出每一个活动所涉及的风险。在这一步中,内控部门要尽量识别出每个控制活动所涉及的所有风险,而不要去评估风险的可能性和影响。当然,会影响到公司运营的外部风险也同样需要加以识别。一旦你已经完成了识别风险的工作,内控部门就需要把他们收集、整理并记录下来。接下来要进行风险评估,这是提高企业内部控制效果的关键。当今企业间竞争越来越激烈,企业经营风险不断提高,其内部控制的机制也需要相应地提高。而我们(京师论文辅导中心)对于内部控制的研究,我们(京师论文辅导中心)须以环境及其风险的分析入手。企业管理者运用一系列的风险评估的方法、技术、程序等对企业的风险进行全面的分析,判断企业所受的风险性质与程度。董事会和管理人员充分认识和评价企业所面临的风险,及时采取措施控制和化解风险,减少损失。内控部门需要对所有列在风险登记簿上的风险进行评估其严重性,从而决定是否需要采取减轻的措施。我们(京师论文辅导中心)有许多方法来对风险进行分类。其中,一种风类方法是将其发生的可能性和发生后对计划影响的严重性(上面的步骤已近制定的)来进行分类。我们(京师论文辅导中心)也可以用下面的表格对风险进行评估分类: 发生的可能性高发生可能低影响程度高发生可能高影响程度低发生可能低影响程度低发生可能高影响程度对计划的影响程度(财务成本)这个步骤让内控部门对风险有了进一步的识别,并发现主要的风险。上面这个表只有两个坐标轴,也只有高和低至分,而内控部么可以选择更多的参数。风险被分为四类,坐下角的风险可以被认为是在可接受的风险标准之内的。在右上角中的风险是被认为要立刻采取措施的,这类风险有高的法生可能性,而它们一旦发生对我们(京师论文辅导中心)在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以不需要马上采取行动,但是这并不意味着内控部门就无动于衷,要防止它们变成右上角的风险。在完成了上面这个风险评估表后,内控部门同样需要在风险登记簿进行更新。
5.3.3 计划和实施内部控制活动 在完成了主要风险的识别和后,我们(京师论文辅导中心)需要解决的问题是如何去控制管理这些主要的风险。这个步骤的目的是要达成控制活动的方法和制定一个计划来规定相应得责任人和时间表来使控制计划得以顺利地实施。一般而言,上面表中在左下角的风险并不需要增加控制活动,在右上角中的风险是被认为要立刻采取一个或多个措施的,因为这类风险有高的法生可能性,而它们一旦发生对我们(京师论文辅导中心)在运营方面的影响又将是巨大的,它们还可能带来一系列法律问题。而剩下的两个象限就可以采取一些控制来降低它的风险。内部控制部门所需要做的是减少风险,而这可以通过减少风险发生的可能性或是减少其发生后的影响来实现。如果现有的控制活动对风险控制没有起到应有的作用,那么就要设立新的控制活动来替代,而控制活动可以分为以下几类: 预防性的:如职权的分离,设置密码和准入; 跟踪性的:如异常报告,帐务核对; 威慑性的:如程序文件,监督审核; 更正性的:如备份程序; 控制活动包括两个要素:政策与程序。政策规定应该做什么,程序则使政策产生效果,政策是程序的基础。要结合公司的组织结构,业务流程,起草适合上市公司运营的内部控制制度,尤其是细则和控制测试的标准,这也是内部控制体系中最重要的控制点之一。程序建设步骤如下: 首先,构造企业的业务循环,将业务循环又细分为业务流程,再将流程分为若干个作业,在业务循环模型构造的基础上,分析该业务在运行中可能出现的错误和舞弊。然后,提出内部控制关键控制点,所谓关键控制点,是指在一个业务处理过程中起着重要作用的那些控制环节,如果没有这些控制环节,业务处理过程很可能出现错误和弊端,达不到既定目标。最后,再设置内部控制文本,以流程图或调查表的形式描述内部控制。在美国上市公司的中国公司为应对萨班斯法案的最后期限要求所做的大量工作之一就是完善内部流程、控制条例、审核程序和风险测试的文本资料。主要借助外部顾问公司进行实施。5.3.4 内部控制的监督 监督是一种随着时间的推移而评估制度执行质量的过程,对于内部控制实施的评审不是一个一次性的活动,我们(京师论文辅导中心)需要定期地对内部控制进行评审和复核以确保控制活动得到了有效的实施,主要风险有了减少,并没有新的风险产生。公司可以通过第三方的审核来确保现在所有的风险都是在可控风险标准之内的。监督可通过日常的、持续的监督活动来完成。也可以通过进行个别的、单独的评估来实现,或者两者结合。在内部控制监督中,有两项职能发挥着重要作用: 1.内部审计,它既是企业内部控制的一个部分,也是监督内部控制其他环节的一个主要力量。在现代企业管理过程中,内部审计人员被赋予了新的职责和使命,美国著名内部控制专家迈克尔•海默教授曾说过:“内部审计机构应将自己视为公司的一种资源,在帮助管理者当局更有效地达到预期控制目标的过程中发挥作用,内部审计师的使命将从简单的我们(京师论文辅导中心)实施审计向我们(京师论文辅导中心)帮助创建一些程序,以期达到组织成功所需要的内部控制水平的方向发展”。因此,内审的职能和外部审计有所不同,内审将更注重企业的经营管理所面临的风险,并及时提出风险和改进的建议。而我国的企业大多只完成每年外审的年检,对内审的力度还有所不足。2.内部控制,在美国企业中,企业专门设立内部控制部门,可以不定期或定期对自己的内部控制系统进行评估。评估内部控制的有效性及其实施的效率效果,以期能更好地达成内部控制的目标。评估的基本特征是:关注业务的过程和控制的成效,由管理部门和职员共同进行,自我评估是为提高组织内部控制的自我意识所作的努力,这种活动经常以研讨会的形式进行。设计内部自我评估的目的是使人们了解哪里存在有缺陷以及可能引起的后果,然后让他们自己采取行动改进这种状况,而不是坐等内部审计人员。因此,我国企业可试行定期或不定期的进行控制自我评估,以便经常发现和解决内部控制过程中出现的问题。5.3.5 内部控制信息的传递 企业应设立一个良好的信息与沟通系统,一个良好的信息和沟通系统可以使企业及时掌握企业营运的状况和组织中发生的事情。信息系统的好坏直接影响到企业内部控制的效率和效果。比如,企业会计系统的每个环节都是一个控制的过程,企业的信息系统包括企业的财务信息系统和管理信息系统。企业的财务信息系统以会计为主,提供有关企业财务方面的信息,而管理信息系统还提供很多非财务的信息。一个健全的信息系统应该能够提供内容适当、及时、正确的信息。同样,要推广内部控制的思想和理念,并较快的纳入实践,公司就需要建立起一个好的信息系统来支持内控工作的上传下达。当然,好的信息系统同样可以保障发现风险漏洞后的及时通告和改进。在这块工作中,我国企业的信息化整合还有待改进。下面这个图正好形象反印了信息交流在内部控制建设中的作用: 结论: 从2006年7月15日开始,所有在美国上市的外国企业,已经必须执行《萨班斯——奥克斯利法案》。而在同一天,我国财政部也已经别有深意地发起成立了“企业内部控制标准委员会”,中国注册会计师协会也发起成立了“会计师事务所内部治理指导委员会”。我们(京师论文辅导中心)可以发现,美国萨班斯法案的实施对中国企业的内部控制和会计信息披露也已经产生了一定的影响:一来是针对已经或准备在美国上市的中国企业必须达到法案的要求;二是针对在我国的资本市场,如果不能尽快完善内部控制和信息披露机制,那么将会导致股东利益受损和证券市场的泡沫。萨班斯法案的出台把企业内部控制的建设问题提到了法律的高度,同时也加强了管理层的责任,通过企业内部控制的完善及每年进行的符合性测试,这些努力也许并不能消除所有企业面临的风险,但是它却可以帮助企业把风险控制到一个可接受的标准范围之内,从而有效地减少企业所面临的风险。实施404条款后,对于投资者而言,良好的控制环境、完善的控制程序、有效的信息沟通、无处不在的监督使他们的权益得到了很好的保护,财务报告披露的信息更加真实可靠,投资信心大大增强。
因此,从企业长远的角度来看待企业目标的话,内部控制的作用也就是要帮助企业更好地实现企业的经营目标。我国的企业应该借此机会,加强内部控制的建设,为企业的长远发展做好内部制度规范上的准备;同时,我国的有关部门也要加紧相关法律法规的建设,并同时加大相关执法的力度,从而营造一个好的内部控制的大环境。注释: 文宗瑜 李铭:“萨班斯法案的启示”,《首席财务官》2006年11月刊,P73 友联时骏管理顾问:《企业内部控制和风险管理》, 复旦大学出版社2005, P2 Internal Control — Integrated Framework,COSO,July 1994 Edition 李蕾:《企业内部控制及其应用》,中国优秀硕士学位论文全文数据库,2006,P5 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P18 张文贤,孙琳:《内部控制会计制度设计:理论•实务•案例》,立信会计出版社,2004,P1 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P78 陈飞:《萨班斯法案对我国内部控制的影响》,中国优秀硕士学位论文全文数据库,2005,P10 Joseph F.Beraraino: Enron, A Wake-up Call, The Wall Street Journal 2001,12,4 Sarbanes-Oxley Act 中国注册会计师协会:美国萨班斯法案,2003 ZETA-CIA研究中心:《2002年萨班斯-奥克斯利法案(中英对照本)》,法律出版社,2005,4 汤云为:“终结财务丑闻”,《后安然时代》,中国财政经济出版社,2003 年,P560 友联时骏管理顾问: 《企业内部控制和风险管理》, 复旦大学出版社2005, P104 杨雄胜:“内部控制理论研究新视野”,《会计研究》,2005 年第 7 期,P50 张为国、邱昱芳:《后安然时代》,中国财政经济出版社,2003 年,P280 李天星: “三大石油公司备考萨班斯法案”,《中国石油企业》,2006,8 华能国际跨过《萨班斯法案》门槛,中国证券网-上海证券报,2007,4,12 中国人寿备战萨班斯法案 404不易在国内推, 21世纪经济报道,2006,4,6 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P79 胡大钧:“论SOX与完善我国企业会计内控制度 ”,《集团经济研究》,2006,20 Codes-related guidance Internal controls, Feb 2007 Carolyn L.Lousteau: Internal Control Systems for Auditor Independence,The CPA Journal, 2006 臧晓辉:“萨班斯法案应对策略”,《首席财务官》 2006年11期, P80 MANAGEMENT’S RESPONSIBILITY FOR INTERNAL CONTROLS主要参考文献: 1、《企业内部控制和风险管理》,友联时骏管理顾问,复旦大学出版社,2005 2、《后安然时代》,张为国、邱昱芳,中国财政经济出版社,2003 3、《内部控制会计制度设计:理论•实务•案例》,张文贤,孙琳,立信会计出版社,2004 4、《超越COSO——强化公司治理的内部控制》,鲁特,刘肖仓,中信出版社,2004 5、《2002年萨班斯-奥克斯利法案(中英对照本)》,ZETA-CIA研究中心,法律出版社,2005 6、《首席财务官》,2006年11期 7、Internal Control Systems for Auditor Independence,The CPA Journal, 2006
8、Codes-related guidance Internal controls, www.xiexiebang.com.uk, Feb 2007
9、MANAGEMENT’S RESPONSIBILITY FOR INTERNAL CONTROLS10、免费论文网