中国企业的首席财务官如何应对“萨式”挑战
在全球一体化过程中,抢占了制定经济领域“游戏规则”先机的美国,以其先“得病”的经验教训,在医治自家企业毛病的同时,还不忘给在美国上市的外国企业的CEO和CFO们注射预防针,避免他们再犯同样的“毛病”。已在美国上市和即将到美国上市的中国公司的CEO和CFO在应对“萨式”挑战的过程中,应关注以下几个问题。
一、了解 “游戏规则”
2001年11月至2002年4月,被称为美国经济界“911”事件的美国安然公司(Enron简称安然)、世界电信公司(WorldCom 简称世通)等公司的破产而揭露出的一系列公司财务欺诈丑闻,暴露出美国公司治理结构不平衡、内部控制缺失和公司责任不明等弊端。其结果是导致了美国资本市场损失了7万多亿美元的市值, 彻底打击了包括美国在内全球投资者对美国资本市场的信心。
为了改变这一被动的局面,美国国会在2002年7月25日颁布了《2002年公众公司改革和投资者保护法案》(Sarbanes——Oxley Act,以美国参、众两院提交法案的两位议员的姓氏而命名)。该法案的全称为,共分11章,第1~5章主要涉及通过新成立的公共公司会计监管委员会(PCAOB)加强对审计师独立性、公司责任及财务信息披露的监管,第8~11章主要是提高对公司高管欺诈行为和白领犯罪处罚的刑事责任。该法案的效力适用于在美国证券交易委员会注册的约14,000多家公司,其中包括大量非美国公司,在美国上市的中国公司也是它约束的对象。
“SOX法案”是1930年以来美国证券立法中影响最为深远的改革法案。该法案总体目标是:通过强化公司治理和提高投资者所依赖的财务报告内部控制的有效性,重建全球投资者对美国证券市场的信心。其内在逻辑思路是:提高上市公司财务报告及信息披露的及时性与准确性,可以有效地保护上市公司投资者的利益;而强化公司CEO、CFO对股东所承担的受托责任,提高审计师的独立性和对公司审计委员会作出法律规范等举措,将有助于提高上市公司财务报告信息披露的质量与可靠性。因此,“SOX法案”关注的重点是财务报告信息产生的“过程”,内部控制测评是“SOX法案”的首要关注领域。在这一过程和领域中发挥主角作用的正是各公司的首席财务官。
“SOX法案”302、404条款中与财务报告内部控制有关的内容明确规定:
● 禁止向任何高级管理人员和董事提供个人贷款;
● 对于触犯证券法律的行为进行刑事和民事处罚;
● 加速报告内部人交易事项;
● 公开报告CEO、CFO的工薪收入和股票盈利情况;
● 为了保证审计师独立性,每五年强制轮换审计合伙人,禁止从事某些类型的业务,并且需要在公司审计委员会预先核准之后才能从事其他非审计业务;
● 禁止会计师事务所向其客户提供与其审计无关的额外“增值”服务,包括精算服务、法律服务和咨询服务;
● 强化信息披露制度,包括管理层对内部控制的评价,高级财务主管的职业操守;
● 要求上市公司提供的年度独立审计报告,附有一份对公司内部控制体系存在和有效性的意见报告。
二、关注前车之鉴
2002年,随着安然、世通申请破产保护、安达信退出审计业,美国朝野人士分别从四条战线同时出击:个体股民的诉讼、证券交易委员会的稽查、司法部门的刑事起诉和国会的调查;对这些公司的财务丑闻和欺诈行为全国共讨之,全民共诛之。
(一)安然公司的教训
2001年11月,财富500强排名第7的全球第一大能源交易商安然公司因2001年到期不能支付10亿美元债务,银行拒绝再融资导致债务危机!长期以来勇于挑战政府管制,开辟业务新领域的安然公司,掌控着美国20%的电力和天然气交易,经营业务覆盖全球40多个国家和地区,营业收入突破1000亿美元。财务丑闻曝光后,安然公司的股票价格应声下跌,流通市值由巅峰时600多亿美元下跌到不足2亿美元;
2001年12月,美国国会开始举行安然听证会,SEC进入了广泛费时的收集证据过程。2004年1月14日,美国司法部宣布,安然公司原财务总监安德鲁·法斯托承认犯财务欺诈罪,他因此被判入狱10年,并向SEC缴纳2300万美元的罚金。随着对安然事件调查的深入,安然公司两名前高管——肯尼思·莱和杰弗里·斯基林在2006年3月出庭受审。在此之前已有15名安然公司前高管与检控方达成了认罪协议。
(二)世通公司的教训
2002年4月,美国第二大长途电话公司世界电信公司对外披露了出人意料的有近300亿美元债务的财务报告,SEC立即开始对世通的债务情况、财务状况进行审查。世通公司的流通市值从1150亿美元一路跌落到10亿美元,致使许多投资者血本无归。曾经显赫一时的前CEO伯纳德·埃伯斯在重压之下不得不递交了辞呈。2002年6月,SEC指控世通公司进行财务欺诈;2002年7月,世通公司宣布破产保护,成为美国上最大的破产案。
2005年7月13日,在公司破产3年后,埃伯斯终于等来命运宣判。法官宣布了世通股东诉讼案的判决,埃伯斯因在世通110亿美元的财务丑闻中所扮演的角色被判定9项欺诈罪和相关罪行成立。尽管埃伯斯的辩护律师以他年事已高、健康状况不佳,且多有慈善行为为由,还向法官呈交了169位埃伯斯同事及朋友的请求信,请求法院减免其刑期,但埃伯斯仍被判25年刑期,没收总价值达4000万美元的个人资产。此外,法官还将在晚些时候宣判5位世通前高管的量刑结果,其中量刑最重的是前首席财务官斯科特·沙利文。
(三) 安然、世通两位前审计主管的不同命运
在安然和世通这两个财务丑闻案件中,一个有趣的现象是:目前,安然公司的首席审计执行官(CAE)理查德·科西正面临诈骗、洗钱、内部交易、虚报公司盈利和做假欺骗审计人员等共34项罪名的指控,检控方正在力争与科西达成认罪协议,以便为指控安然公司的两名前高管提供更加有力的证据。而世通公司前内部审计部主管辛西亚·库珀却因在世通案件中的突出表现——对38.5亿美元费用违规列入资本支出项目的揭示和向公司审计委员会报告,不仅解脱了其自身的责任,而且使内部审计的作用得到了公众和监管部门的充分肯定,成为美国《时代》周刊2002年度风云人物之一。
三、知晓违法举证责任的变化
美国传统的法律观念是,如果司法机关对某个人进行处罚,就必须证明他是有罪的,举证责任在起诉方。但是,对于整个社会来说,企业太多了,如果都要司法监管机构来提供证据的话,不仅执法成本太高,而且还因耗时太长影响其效果。美国新的法律观念是把举证责任转移到企业,如果上市企业被指控有财务欺诈行为,司法监管机构就有权对其进行处罚。美国布什总统甚至还要求各上市公司的CEO个人对公司的财务报告宣誓,确保财务报告数据的真实性。
“SOX法案” 对公众公司欺诈行为和白领犯罪的刑事处罚力度是史无前例的。例如,该法案906条款规定,CEO和CFO在明知公司向SEC申报的包括财务报表的定期报告有不真实的财务信息的情况下仍签署书面声明,将被处以可高达100万美元罚款和上至10年的监禁;如果属于“有意欺诈”性质的提供虚假财务报告,将被处以可高达500万美元罚款和上至20年的监禁。该法案还要求对协助司法调查,或向监管机构提供公司欺诈股东行为证据的公众公司雇员提供保护。因此,公众公司审计委员会的职责之一就是:建立一定程序,以接受、存放和处理有关公司财务的投诉,并确保雇员进行匿名或保密的投诉。
今后,上市公司再被指控有财务欺诈行为,SEC可以根据该公司CEO、CFO签署的书面声明,以“伪证罪”直接对他们进行起诉,因为SEC也懂得“擒贼先擒王”的道理。而上市公司的CEO、CFO要证明自己无罪,必须自行向司法监管机构提交按SEC规定的要求所保管的相关记录的文档证明资料。
四、强化内部控制标准的外部环境
在“SOX法案”正式实施并主要侧重于对财务报告信息披露的内部控制流程测评的这一年多的时间里,尽管美国上市公司大多竭尽全力甚至不惜工本地遵循该法案的各项要求,但是仍有500多家美国上市公司的财务问题被揭露。对于这些未能通过“萨式”考验的公司,其所受到的限制视违规情况而定,轻则股价下跌,重则可能遭遇监管机构的处罚和股东在利益受损情况下关于“提供虚假信息”和“隐瞒重大事实”的集体诉讼,以及从股市上摘牌等。
在美国上市的公司应主要遵循的“SOX法案”302条款和404条款都要求,上市公司要对其目前执行的内部控制流程与COSO的框架进行对比,指出存在的不足和改进措施。近1~2年,在美国上市的中国公司为了遵循“SOX法案”要求提交财务报告而不断地改进内部控制流程。由于过去中国公司普遍缺乏强化内部控制标准的外部环境,致使一些公司尽管建立了内部控制机制,但缺乏规范和齐全的内控标准,尤其在信息系统和审计接口的控制环节上比较薄弱。这也是一些付出了巨大的合规成本,但仍面临无法确定能否顺利过关的重要原因之一。为此,企业要整合内部控制流程、审计程序、审计判断和测评等技术方法。内部控制测试的范围涉及审计成本和审计方法,对风险低的领域,审计可以少关注;控制点测试的数量与财务报告的披露要求和错报的重要性程度有关,重大风险会影响财务报告,因此,应关注公司高风险领域。
在闯关“萨式”挑战的过程中,实施难度相对较大的是中国公司的“控制环境”,有些控制环境涉及整个公司治理结构。许多中国公司传统的公司治理结构与“SOX法案”所要求的公司治理结构与有较大的差异,解决此问题办法是:采用COSO在2004年9月发布的新框架,即《企业风险管理——整合框架》,加强企业“控制环境”的建设,包括企业文化建设。例如,确定企业的管理基调、道德观和价值观、制定整个企业重视风险的依据;设定明确的企业总体目标和与之相配套的具体目标;识别可能影响企业实现目标的内部和外部事件,区别风险和机会。通过健全有效的制度来经营管理整个企业和防范各种风险。
另外,在 404条款合规审计时,内部审计的有效性也是四大师事务所做审计时要测试的一个重点控制。COSO新老框架中都有一个重要的组成部分是“监控”,这项职能是由内部审计来完成的,即对企业整个内部控制过程的有效性实施再监督,内部审计的工作性质在很大程度上代表了公司内部监管的好坏。同时,管理层对财务报告签署书面声明时,也必须评估内审的有效性,因此,企业的董事会和高级管理层一定要重视和发挥内部审计的职能作用。
五、应对“萨式挑战”美国专家的建议
最近,中国内部审计在北京举办了《如何成功通过〈萨班斯法案〉404条款内部控制测评》专题报告会。该报告会的主讲人来自美国“SOX法案自动化公司”的创办人及总裁林郑丽慧女士(Gladys Lam)及其她带来的普华永道会计公司负责系统与流程管理的合伙人邓诚丰先生(Stephen J Ducker)和德勤华永会计公司的负责企业风险管理服务的合伙人赵善强先生(Eddie Chiu)等人组成的专家团队,对在美国上市的中国公司如何应对“萨式挑战”提出了以下建议:
第一,目前,许多中国公司都在内部控制流程的记录、文档准备和IT控制活动的测试方面花了很多时间,有的公司建立了涉及企业经营、IT系统控制、投融资管理、财务监控、法规监督等方面涵盖几百个风险点的内部控制体系。这些是内部控制测评所要求的“硬件”程序,“硬件”比较容易通过。相对公司控制环境的“软件”而言,其实施难度要比“硬件”大得多,有些控制环境涉及整个公司治理结构,已超出了CEO、CFO控制力的范围。
第一,为了少走一些较早实施“SOX法案”美国公司已经走过的弯路,中国公司应从一开始就注重实施公司治理层面的改进工作。例如,公司的CEO和CFO应成为遵守内部控制制度的表率,充分发挥审计委员会和内部审计的作用,重视对员工遵守职业道德的培训,严格执行职责分离、工作分配、职责描述等方面的规章制度,在公司内部形成一个自上而下有效贯彻内部控制的过程。
第三,2006年7月15日之前,各公司的CEO和CFO还要为对外披露的财务报告的可靠性签字而实施内部控制自我评估测试。由于在美国上市的中国公司大多都是规模很大的公司,需要测试所有重要的控制点。如果某一个公司有30个省级公司或分公司,每个省级公司又有5~8个市级公司,从流程上讲每个省级公司以及分公司都会有10多个或者更多的业务流程。每个流程又有5~10个重要的控制点。如果用3~4个小时测试一个控制点,下来,测试的工作量非常庞大。而这只是初步的测试,对测试发现的问题还需要改进,随后对改进的情况还需要进行再测试,从而达到没有重大控制缺陷。普华永道会计公司的邓诚丰先生(Stephen J Ducker)提醒大家,会计事务所做的测试和审计工作,还包括很多像IT层面控制,公司治理层面控制的内容,2006年还有一项非常重要必须做的工作就是管理层测试。因此,各公司的CEO和CFO千万不要低估会计师事务所签发对各公司2005年度财务报告的审计报告之前,管理层测试的复杂性和时间长度。
第四,只有人才能实现合规,IT系统软件工具是为人服务的。美国的一些大公司一般会有自己的软件工具做测试评价,并将所有内部控制文档应尽可能存放到一个可查询的软件工具里面。采用自动化工具时,一个重要的功能是文档查询功能,国外应用很多,但国内还刚刚起步。建议采用自动化、一体化、动态的和可持续生成提供合规性报告和管理SOX进程与文档的IT系统软件,少用或不用内部控制、业务流程、财务报告三者分离,没有内在勾稽关系,需经整合处理才能符合“SOX法案”要求的IT系统软件。
