萨奥法案对中国上市公司内部控制的启示(上)
【摘 要】内部控制是公司治理问题中必不可少的一环。根据COSO的定义,内部控制是一个过程,由的董事会、管理层和其他人员完成,目的在于为企业经营效果和效率、财务报告的可靠性以及遵守和规章提供合理保证。
长久以来,我国上市公司的内部控制问题书面功夫做得比实际操作要好。究其根本原因,是缺乏监管机构的明文硬性规定和严厉的处罚机制。
《2002年萨班斯-奥克斯莱法案》的出台标志着新资本市场监管时代的到来,奠定了后安然时代、审计和公司治理及证券监管的框架。该法案中第四章第四条款(即404),要求上市公司管理层对于自己的内部控制进行自我评估并由外部审计师发表独立审核意见。
本文通过对内部控制和萨奥法案相关内容的整理和阐述,联系上市公司的内部控制现状和海外萨奥法案的应用案例,意在对中国上市公司内部控制问题提供借鉴和。
关键词:萨奥法案,内部控制,COSO,公司治理
Abstract
Internal control is indispensable to corporate governance. According to COSO, internal control is a process to provide reasonable assurance of accomplishing objectives. Specially, it helps achieve objectives relating to reliability of financial reporting, compliance with laws and regulations, and effectiveness and efficiency of operations.
For a long time, China’s listed companies have got used to writing literal rules than practicing them. The radical reason for this problem is the lack of official strict regulations and relevant punishment mechanism.
The ordination of Sarbanes-Oxley Act of 2002 symbolizes a new era of supervision in the capital market. It establishes the post-Enron framework for accounting, auditing, corporate governance and securities supervision. In Section 404, it requires issuers assess the effectiveness of the internal control, and the registered accounting firm shall attest to and report on the assessment.
This thesis is intended to coordinate related internal control theories and Sarbanes-Oxley Act with China’s situation and certain cases, therefore, it would provide helpful information to China’s listed companies in the problem of internal control.
Key words: Sarbanes-Oxley Act of 2002, internal control, COSO, corporate governance
目 录
一、 序言……………………………………………………………1
二、 内部控制问题…………………………………………………1
(一) 内部控制理论发展……………………………………………1
(二) 内部控制的内涵………………………………………………2
(三) 如何实现内部控制……………………………………………4
三、 萨奥法案………………………………………………………5
(一) 背景介绍………………………………………………………5
(二) 萨奥法案404条款……………………………………………7
(三) 萨奥法案对内部控制问题的影响……………………..……..8
(四) 应用案例………………………………………………………8
四、 中国上市公司的内部控制现状………………………………10
(一) 内部控制问题在中国…………………………………………10
(二) 重视内部控制问题的紧迫性…………………………………11
(三) 萨奥法案给中国上市公司的启示……………………………12
五、 结论及建议……………………………………………………15
资料来源和参考…………………………………………...…..16
一、 序言
五年前安然和世通的财务丑闻以及安达信的倒闭把整个资本市场的监管问题和公司治理问题提到了重中之重的地位。《2002年萨班斯-奥克斯莱法案》(本文将简称为萨奥法案)随即的出台被认为是新资本市场监管时代的到来,强化了对会计、审计、公司治理和证券的监管。其中,第四章第四款(即404条款)要求上市公司管理层对于自己的内部控制进行自我评估并由外部审计师发表独立审核意见。内部控制,再一次成了全球关注的公司治理中不容忽视的关键问题。
萨奥法案从颁布以来对其执行成本过高的贬谪声不绝于耳,一批在美上市的企业纷纷退市,同时选择海外上市的企业也改选欧洲或者中国香港进行上市融资,比如中国工行IPO。虽然不选择美国上市可以避免萨奥法案的严厉要求,避免大笔为此而付出的执行成本,但是,全球化下对于内部控制问题和财务报表披露真实性的监管达成共识是必然之势, 因为内部控制这个根脉打牢实才会对企业的发展产生颇多益处,才会对财务报表的真实性提供保证,对投资人的最终利益起到保障。
长久以来我国上市公司的内部控制问题书面功夫做得比实际操作要好,面对严峻的市场竞争,只有具备良好的内部控制制度才能在稳步前行。
目前国内外关于内部控制制度的研究文献并不少,本的目的是想通过四年大学本科的学习和对相关文献资料的阅读及研究对内部控制和萨奥法案相关内容进行整理和阐述,并联系中国上市公司的内部控制现状和萨奥法案的应用案例,对中国上市公司内部控制问题提出自己的看法。
全文主要分成以下几部分:上述序言部分是对本文内容和目的的介绍;其后将分别对内部控制问题和萨奥法案进行阐述;第四部分将对中国上市公司内部控制的现状进行探讨,同时引出萨奥法案对其的借鉴作用;最后第五部分将全文并指出存在的局限性。
二、内部控制问题
(一) 内部控制理论发展
内部控制制度的理论最早产生于西方,从内部牵制发展而来,大致经历了五个阶段:内部牵制阶段、内部控制阶段、管理控制和会计控制阶段、内部控制结构阶段,以及一体化结构阶段。
1905年由L.R.Dicksee提出的内部牵制(internal check)概念由职责分工、会计记录、人员轮换构成。1930年George E.Bennett在此基础上对内部牵制概念作了进一步发展,认为内部牵制是账户和程序组成的协作系统,这一系统使员工在从事本身工作时独立地对其他员工工作进行连续性检查以确定其舞弊的可能性。
1947年美国注册会计师协会(简称AICPA)下属的审计程序委员会在其《审计准则暂行公告》中首次正式提出内部控制这个概念。1949年该委员会发布对内部控制的权威定义:内部控制包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性,提高经营效率,保证既定的管理政策得以实施而采取的所有方法和措施。1958年再一次重述内部控制,指出内部控制既包括会计控制,又包括管理控制。到1990年1月该审计准则委员会正式提出“内部控制结构”概念,取代了内部管理控制和内部会计控制。该内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体,包括控制环境、会计系统、控制程序三个要素。
20世纪80年代随着虚假财务报告对企业对社会产生的影响日益严重,美国成立了“反对虚假财务报告委员会”(Treadway委员会)。随后,AICPA、IIA(内部审计协会)、FEI(财务经理协会)、AAA(美国会计学会)、IMA(管理会计学会)等多个专业团体共同发起组成COSO(Committee of Sponsoring Organization of the Treadway Commission,即Treadway委员会发起委员会),专门致力于内部控制的研究。1992年由COSO提出的“内部控制——一体化结构”研究报告标志着内部控制制度进入了一体化结构阶段。从这个阶段起,控制环境正是纳入了内部控制范畴,不再区分会计控制和管理控制。
目前,内部控制框架主要包括:最具广泛适用性的上面所提到的美国COSO报告、MBNQA(Malcolm Baldrige National Quality Award,鲍尔里治准则)、内部审计协会IASB(Internal Auditing Standard Board,美国内部审计师协会下的内部审计标准委员会)的内控指南、加拿大的CoCo(The Criteria of Control Board加拿大特许会计师协会下的控制标准委员会)的内部控制指南等。但是至今还没有一个得到全球公认的内部控制框架。
(二) 内部控制的内涵
1994年COSO在《内部控制——整体框架》中对内部控制的定义如下:
企业的内部控制,是受企业董事会、管理当局和其他职员的影响,目的在于取得经营效果和效率、财务报表的可靠性、遵循适当的法规等目标而提供合理保证的一种过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。其中:
控制环境,是内部控制的基础,为其他要素提供了约束,影响着员工的控制意识。
风险评估,是企业面对各种内外部情况进行的确定和分析企业实现其目标过程中的相关风险。风险评估的前提是企业已经确立目标,并且在各个层次上是一致的,以避免评估过程因为不协调而带来盲目性。
控制活动,是协助管理层确保有关经营指导方针得以落实的政策制度和程序,包括:审批;授权;核实查证;对帐;检查;资产的安全;权责分离。控制活动在整个企业各个层次中实施,帮助确保管理层采取必要的措施处理企业在实现目标过程中面临的风险。
信息沟通,为了确保员工能获得明确的信息指令履行相关职责,信息系统和有效沟通成了关键。信息系统提供有关财务、经营和法律法规的遵守等信息的报告使企业的管理控制等到实现,其中不仅处理企业内部产生的信息,也包括企业作出决策所需要的外部信息。有效沟通则有企业上下的沟通和横向员工间的沟通。
监督,是对系统质量进行评估的程序。对内部控制系统的监督通常有:进行中的监督工作;单独的评估;两者的结合 
1992年COSO框架概要中提到:“高级执行官长期以来一直在谋求更好地控制其所治理的”,现在成功的企业领导人不会去轻视内部控制制度,不会在财务秩序开始出乱子的时候才猛然开始研究内部本身存在的漏洞。以上的这个由三个规定目标组成并辅之以五个内部控制要素的广泛定义将内部控制提到了和治理公司同样的地位。
2002年以“安然事件”为代表的美国公司丑闻点燃了公司治理问题的危机警报。所谓公司治理,就是指管理公司事务的方式。内部控制和公司治理的互相联系互相影响。
首先,公司治理和内部控制的目的都是实现企业目标。内部控制主要为了减少虚假信息、监督是否有舞弊行为以及保护好企业资产的安全和完整,使得企业能有效地运行实现最终目标。
其次,两者都是建立在委托代理关系的基础上。由于公司的所有权和经营权的分离引出了委托代理问题,所以如何建立一个健全完善的公司治理结构最大限度地实现企业经营目标,降低代理成本是公司治理所研究的问题。同样,内部控制作为一个系统涉及到所有者对经营者实施的监控、经营者对生产经营过程的控制,以及整个组织之间各个层面的沟通和运作的监控问,减少舞弊、耗能、浪费等的可能性,提高了企业运作的整体效率,使其能有效实现经营目标。
并且,两者在内容上有所重叠。公司治理结构一般可以分为外部治理结构,它通过市场竞争(包括产品市场、资本市场等)形成间接控制;以及内部治理结构,这是由股东大会、董事会、经理层和监事会组成,它们各司其职互相制衡和协调,从而形成了内部控制的机制,所以本质上说内部治理结构是所有者对管理者实施监督的控制机制。
最后,公司治理结构的完善有利于内部控制制度的建立和实施,而完善的内部控制也是对优化公司治理的重要保证。当内部治理出现问题,各管理层职责没有履行到位,怎么谈得上贯穿整个内部治理的监管和控制工作?“金玉其外,败絮其中”,最终公司本身也陷入危机。
所以公司内部,比如独立董事的存在、董事会的委员会机构、CEO和其他关键高级职员的任务、薪酬、绩效评估等,都使得内部控制和内部治理密切相关,不可分割,公司治理的好坏于是成为影响内部控制制度的一大因素,并且这些公司的高层们也越发认识对财务报告的内部控制只是内部控制制度的一个方面。图2描述了对内部控制问题的重视度的变化。 
企业的内部控制如前所述是一个完整的控制体系,是一个包括股东、经营者、管理者等不同层次的控制主体,为了达到预期的目的,而对企业的经营者、管理者及相关对象所采取的制度安排程序。
在实践中内部控制常常被理解为只是对资产安全控制、成本控制等具体目的的控制手段,从而导致没有将内部控制与企业的经营目标联系起来。对于企业来说,实现企业目标和股东目标是其经营的目的。企业的目标无疑是企业价值最大化,鼓动目标则是股东财富最大化。这两个目标的确定决定了董事会的行为意向,进而形成了内部控制总目标。
(1)企业目标。遇到的问题是如何处理委托代理关系。作为各种契约的集合体,企业所有者和经营者、经营者和管理者、债权人与企业之间的利益关系如何协调和均衡关系到企业价值最大化是否能实现。“企业价值最大化目标是指通过企业的合理经营,采取最优的经营策略和财务政策,充分考虑货币实践价值和风险与报酬的关系,在保证企业采取稳定发展的基础上使企业总价值达到最大。”
(2)股东目标。由于在企业中所有者与经营者两权的分离,股东的目标往往不一定代表着企业的目标。委托代理关系的存在使得投资者对经营者的制衡主要通过企业的各种监控机制、激励机制来进行。由于股东对企业情况的了解只能通过经营者,所以股东的目标在除了资本保全、资本增值、有效激励约束经营者,还希望得到真实性的信息。
(3)董事会目标。1999年5月国际合作组织OECD所通过的《公司治理原则》要求董事会为公司和股东利益最大化行事。这表明董事会是协调公司和股东之间利益的桥梁,由他们两者来决定董事会本身的目标。
(4)内部控制目标。内部控制的具体目标上文已述,主要是法规遵守性、信息真实性、经营目标的实现、风险控制以及激励约束机制的合理性,它由董事会目标所决定。
按此递推,要实现企业和股东的目标就要先实现内部控制目标,那么如何实现内部控制呢?
(三) 如何实现内部控制
内部控制的实现主要通过制度安排控制、组织结构控制、程序控制、目标控制、监督控制、激励控制、信息系统控制和人员素质控制。
1.制度安排控制
包括股东大会、董事会、监事会及经理层间的制衡制度,企业经营运转过程中的各种管理制度等。
2.组织结构控制
有关部门和人员的职责及关系模式的设置是否恰当关系到企业是否能有效率地运转。往往通过建立责任中心和职能部门,通过职责分工和岗位明细来减少人为弊端。
3.程序控制
企业运转设计到连续不断的各个环节,如何有序有效地进行需要控制程序来保证。比如授权审批、流程操作、文件记录和实物保管、物流仓储等的环节的控制和衔接。
4.目标控制
分权经营下的企业通过各分权部门来实现企业总目标,所以对各部门和具体操作人员设定责任目标并定期考核确认是一种有效的控制手段,一旦发现偏离目标可以及时纠正。
5.监督控制
监督是上述环节的基础,内部审计和内部考核穿插其中确保各项程序按要求进行。若抛开监督,往往成了一纸空谈,定一套规矩却行另外一条路子。当然监督的控制伴随着相应的激励机制。
6.激励控制
高层管理人员的激励性报酬契约、普通管理人员及员工的业绩奖励制度能够调动起企业上下的积极性,从而更高效地完成目标。
7.信息系统控制
企业是必须对外营业的,听从的是市场的声音,于是能否及时有效地获得信息成了能否制胜的关键因素。企业依赖于对企业内外信息的获取、分析与使用,但同时企业也必须对外披露关于企业内部经营运转状况和结果的信息。市场、客户、供应商、法规等方面的外部信息,企业内部业务数据、内部报告等内部信息。对外披露上,如今企业多数通过信息系统、管理信息系统和ERP系统来获取相关信息。
8.人员素质控制
培训和锻炼员工从而使他们更好地满足岗位的要求,这对于企业生存与发展有着重要的意义。人员素质的控制包括:合理的招聘程序、针对性的员工培训计划、轮岗制度等。[1]
因此,内部控制目标的实现方式不再局限于分工、授权和审核。通过上述几个方面的实现,内部控制目标对于实现整个董事会目标以及企业和股东的最终目标起着基础和保障的作用。
三、 萨奥法案
(一) 背景介绍
安然,这家总部位于美国休斯敦、其主营业务是天然气的公司,在1985~2001年里迅猛。2000年实现净利润9.79亿美元,总收入1008亿美元,雇员超过2万人,成为《财富》杂志美国500强中第7大、世界第16大公司。1995年安然股价仅为10美元左右,但到了2000年8月升到了90.75美元。2001年10月,安然公司在其对外公布的财务报告中宣布公司第三季度亏损6.18
______________________
[1]潘秀丽,《企业内部控制研究》P23-25
亿美元,并且披露其经营不善致使公司股东净资产缩水12亿美元。10月22日美国证券交易委员会(SEC)介入调查。11月8日安然迫于SEC以及来自外界各方的质疑和压力,重新公布了过去五年的财务状况,原来自1997年以来共虚报了5.69亿美元的盈利。安然通过诸多关联企业隐瞒的账外债务高达200亿美元,据估计其债务合计为400亿美元。[2]
安然事件后五大事务所之一的安达信会计公司暴露出了严重的审计问题。后者在为安然公司提供审计服务的同时,还为其提供咨询服务,并且咨询费用收入高于审计服务的收入,并且安然公司中许多高级职员曾任安达信的审计师。这些无疑影响了审计的独立性和审计质量。
独立性一直是注册会计师审计时强调的原则。安然事件引出的会计事务所审计与咨询业务并存对独立性的影响问题成为了规范监管的方向。
2002年安然财务丑闻爆发后,美国众议院于4月通过了由众议员财务委员会主席、共和党人奥克斯莱提交的第3763号法案《公司与审计的责任、义务和透明度2002年法案》,同年6月参议院银行委员会批准将该委员会主席、民主党人萨班斯提交的《公众公司会计改革和投资者保护2002年度法案》送交参议院表决通过。这两个法案和称为《2002年萨班斯-奥克斯莱法案》。
萨奥法案是继20世纪30年代大萧条以来美国政府制定的范围最广、措施最严厉的公司责任,它标志着新资本市场监管时代的到来,奠定了后安然时代会计、审计发展和公司治理及证券监管的框架。其涉及到的主要内容有:
1.对审计独立性做出了专门而详细的规定,包括:
(1)限制注册会计师业务范围,不得向审计客户提供非审计服务
(2)所有审计服务和非审计服务都必须得到事先批准
(3)建立审计合伙人定期强制轮换制度
(4)建立向审计委员会报告制度
(5)建立注册会计师回避制度,避免利益重
(6)研究会计事务所强轮换制度,进一步提升注册会计师审计的独立性
2.财务报告的改进,要求提高财务信息披露的透明度和纪实性,包括:
(1)定期报告的披露,比如常规的财务报告的准确性、资产负债表的表外业务等
(2)强化利益冲突的信息披露,比如加强贷款信息的披露
(3)同管理层和主要股东有关的经济业务的披露
(4)管理层的内部控制评估报告及其注册会计师报告的披露
(5)高级财务管理人员道德遵守情况的披露
(6)同审计委员会财务专家有关的信息披露
(7)财务信息的迅速而实时地向公众披露,以及定期信息披露的复合
3.完善上市公司内部控制及其评价制度,要求上市公司管理层要在年报中对公司内部控制及其实施的有效性做出报告,在此基础上审计师需要对公司内部控制进行评价。
4.提高对证券犯罪的惩罚力度,包括:
(1)公司首席执行官和首席财务官因编制违法违规的财务报告,最高可处500万美元的罚款或者20年监禁;
(2)在政府调查或者公司破产等期间有意销毁、篡改或者伪造纪录以及破坏审计纪录的,将被罚款或者20年以下监禁,或者两者并处;
(3)欺骗与公司证券有关的认识,或者通过虚假或者欺骗性的借口、承诺等方式,获取与买卖公司证券有关的任何现金或者不动产的,将受到处罚或者25年以下监禁,或者两者并处;
___________________
[2]《商业银行》2001年12月17日
(4)对举报者进行打击报复的,最高可处10年监禁。对于公司或者有关人员欺诈提供证据的员工,应当保护其免受报复并进行补偿,比如补发薪酬和恢复职务等。
(二) 萨奥法案404条款
萨奥法案共十一章,分为七大部分,主要是围绕会计职业监管、公司治理、证券市场监管等诸方面拟定了多项严格的制度规定。第404条款,又称为内部控制条款,是最为严格的条款,主要明确了上市公司(包括场外交易市场的挂牌企业)管理层及外部审计师对于公司财务内部控制的责任和义务。该条款主要包含两方面的要求:
第一,内部控制方面,要求上市公司按《1934年证券交易法》第13节(a)或15节(d)的要求,在编制的年度报告中要包括内部控制报告。不仅强调公司管理层在建立和维护内部控制系统及相应控制程序方面应充分有效地承担责任,而且管理层应在最近财政年度末对内部控制体系及控制程序的有效性进行评价。
第二,内部控制评价报告方面,要求上市公司管理层要自我进行内部控制的评价,担任公司年报审计的会计师事务所应当对其进行测试和评价,并出具评价报告。
其中,管理层的年度报告要求包括以下内容:
● 管理层有责任为企业建立和维护与财务报告有关的内部控制。
● 识别管理层所采用的内部控制框架以便按要求评估公司与财务报告有关的内部控制的有效性。
● 对从上一个会计年度末以来与财务报告有关的内部控制的有效性予以评估,其内容也包括有关与财务报告有关的内部控制是否有效的公开声明。
● 年度审计报告中,注册会计师事务所发表的财务审计报告,包括管理层对与财务报告有关的内部控制有效性评估的证明报告。
● 管理层关于公司针对财务报告内部控制有效性评估的书面结论,应包含在其对财务报告内部控制的报告和其对审计师的信函中。这一书面结论可采取多种形式,但是管理层对公司面向财务报告的内部控制的有效性必须发表直接意见。
● 如果与财务报告有关的内部控制中有一个或多个重要缺陷,管理层将不能对财务报告的内部控制有效性作出评估结论,而且,管理层应该披露自最近一个会计年度末以来财务报告内部控制方面的所有重要缺陷。
公司在对财务报告作出确认时需要借助于企业的IT系统。为了识别管理层对财务报告所作的相关认定,审计师应考虑每个重要账户潜在错报、漏报产生的原因。在决定一个认定是否与某一重要账户余额或其披露相关时,审计师应该评价IT系统的性质、复杂程度以及企业IT的使用状况。因此,所有企业构建IT内部控制至少都应具备企业管理层、业务流程和共享服务。
以上这些要求无疑增加了企业执行成本,按照法案的严格要求,数千家大中型美国本土上市公司必须在2004年11月15日后结束的财政年度中遵守第404条款;其他某些中小型公司和非美国本土的海外公司(包括在美国上市的企业)的遵守日期为2005年7月 15日,鉴于此类公司执行404条款有更大的难度,美国SEC接受纽约证券交易所的建议,将此类公司执行该条款的日期延至2006年7月15日。(见图3) 
(三) 萨奥法案对内部控制问题的影响
萨奥法案的重要意义在于其强制要求上市公司实现内部控制,公司管理层尤其是CEO和CFO是公司内部控制系统建设及完善的责任主体。如果公司管理层,尤其是CEO和CFO不履行建立与完善内部控制的职能,将受到严厉的经济与刑事处罚。
然而,由于萨奥法案要求公司对任何一个岗位的职务职责进行详细描述,这项工作势必需要大量文件材料的支持。为了达到404条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等),并且还要指出内部控制的缺陷所在。所有这些给公司带来极高的执行成本,并且,由于该法案在颁布时没有提出具体的适用豁免条件,这就意味着目前所有在美国注册的上市公司和在外国注册而于美国上市的公司都必须遵守法案。 因而该规定遭到过于严厉、执行成本过于昂贵的诟病。
《商业周刊》去年底曾指出,根据国际财务执行官组织(FEI)对321家企业的调查结果,每家需要遵守萨奥法案的美国大型上市企业[3]第一年实施404条款的总成本将超过460万美元。这些成本包括3.5万小时的内部人员投入、130万美元的外部顾问和软件费用以及150万美元的额外审计费用。通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费高达3000万美元。
大部分公司都认为这一法案过于严厉。国际财务执行官组织对217家上市公司的调查发现,94%的公司都认为遵循404条款的成本大大超出了收益。一些公司选择了退市来表达不满和无奈,不少原计划赴美上市的海外公司也纷纷改变了上市地点。
《华尔街日报》在今年2月报道指出Thomson Financial最近一项有关外国公司在美上市情况
