萨奥法案对中国上市公司内部控制的启示

萨奥法案对中国上市公司内部控制的启示(上)【摘要】内部控制是公司治理问题中必不可少的一环。根据COSO的定义，内部控制是一个过程，由企业的董事会、管理层和其他人员完成，目的在于为企业经营效果和效率、财务报告的可靠性以及遵守法律和规章提供合理保证。长久以来，我国上市公司的内部控制问题书面功夫做得比实际操作要好。究其根本原因，是缺乏监管机构的明文硬性规定和严厉的处罚机制。《2002年萨班斯-奥克斯莱法案》的出台标志着新资本市场监管时代的到来，奠定了后安然时代会计、审计发展和公司治理及证券监管的框架。该法案中第四章第四条款（即404），要求上市公司管理层对于自己的内部控制进行自我评估并由外部审计师发表独立审核意见。本文通过对内部控制和萨奥法案相关内容的整理和阐述，联系中国上市公司的内部控制现状和海外萨奥法案的应用案例，意在对中国上市公司内部控制问题提供借鉴和参考。关键词：萨奥法案，内部控制，COSO，公司治理AbstractInternalcontrolisindispensabletocorporategovernance.AccordingtoCOSO,internalcontrolisaprocesstoprovidereasonableassuranceofaccomplishingobjectives.Specially,ithelpsachieveobjectivesrelatingtoreliabilityoffinancialreporting,compliancewithlawsandregulations,andeffectivenessandefficiencyofoperations.Foralongtime,China’slistedcompanieshavegotusedtowritingliteralrulesthanpracticingthem.Theradicalreasonforthisproblemisthelackofofficialstrictregulationsandrelevantpunishmentmechanism.TheordinationofSarbanes-OxleyActof2002symbolizesaneweraofsupervisioninthecapitalmarket.Itestablishesthepost-Enronframeworkforaccounting,auditing,corporategovernanceandsecuritiessupervision.InSection404,itrequiresissuersassesstheeffectivenessoftheinternalcontrol,andtheregisteredaccountingfirmshallattesttoandreportontheassessment.ThisthesisisintendedtocoordinaterelatedinternalcontroltheoriesandSarbanes-OxleyActwithChina’ssituationandcertaincases,therefore,itwouldprovidehelpfulinformationtoChina’slistedcompaniesintheproblemofinternalcontrol.Keywords:Sarbanes-OxleyActof2002,internalcontrol,COSO,corporategovernance目录一、序言……………1二、内部控制问题…………………1(一)内部控制理论发展……………1(二)内部控制的内涵………………2(三)如何实现内部控制……………4三、萨奥法案………5(一)背景介绍………5(二)萨奥法案404条款……………7(三)萨奥法案对内部控制问题的影响……..……..8(四)应用案例………8四、中国上市公司的内部控制现状………………10(一)内部控制问题在中国…………10(二)重视内部控制问题的紧迫性…………………11(三)萨奥法案给中国上市公司的启示……………12五、结论及建议……………………15资料来源和参考文献…………...…..16一、序言五年前安然和世通的财务丑闻以及安达信的倒闭把整个资本市场的监管问题和公司治理问题提到了重中之重的地位。《2002年萨班斯-奥克斯莱法案》(本文将简称为萨奥法案)随即的出台被认为是新资本市场监管时代的到来，强化了对会计、审计、公司治理和证券的监管。其中，第四章第四款(即404条款)要求上市公司管理层对于自己的内部控制进行自我评估并由外部审计师发表独立审核意见。内部控制，再一次成了全球关注的公司治理中不容忽视的关键问题。萨奥法案从颁布以来对其执行成本过高的贬谪声不绝于耳，一批在美上市的企业纷纷退市，同时选择海外上市的企业也改选欧洲或者中国香港进行上市融资，比如中国工行IPO。虽然不选择美国上市可以避免萨奥法案的严厉要求，避免大笔为此而付出的执行成本，但是，全球化下对于内部控制问题和财务报表披露真实性的监管达成共识是必然之势，因为内部控制这个根脉打牢实才会对企业的发展产生颇多益处，才会对财务报表的真实性提供保证，对投资人的最终利益起到保障。长久以来我国上市公司的内部控制问题书面功夫做得比实际操作要好，面对严峻的市场竞争，只有具备良好的内部控制制度才能在稳步前行。目前国内外关于内部控制制度的研究文献并不少，本论文的目的是想通过四年大学本科的学习和对相关文献资料的阅读及研究对内部控制和萨奥法案相关内容进行整理和阐述，并联系中国上市公司的内部控制现状和萨奥法案的应用案例，对中国上市公司内部控制问题提出自己的看法。全文主要分成以下几部分：上述序言部分是对本文内容和目的的介绍；其后将分别对内部控制问题和萨奥法案进行阐述；第四部分将对中国上市公司内部控制的现状进行探讨，同时引出萨奥法案对其的借鉴作用；最后第五部分将总结全文并指出存在的局限性。二、内部控制问题(一)内部控制理论发展内部控制制度的理论最早产生于西方，从内部牵制发展而来，大致经历了五个阶段：内部牵制阶段、内部控制阶段、管理控制和会计控制阶段、内部控制结构阶段，以及一体化结构阶段。ee提出的内部牵制（internalcheck）概念由职责分工、会计记录、人员轮换构成。1930年GeorgeE.Bennett在此基础上对内部牵制概念作了进一步发展，认为内部牵制是账户和程序组成的协作系统，这一系统使员工在从事本身工作时独立地对其他员工工作进行连续性检查以确定其舞弊的可能性。1947年美国注册会计师协会（简称AICPA）下属的审计程序委员会在其《审计准则暂行公告》中首次正式提出内部控制这个概念。1949年该委员会发布对内部控制的权威定义：内部控制包括组织的组成结构及该组织为保护其财产安全、检查其会计资料的准确性和可靠性，提高经营效率，保证既定的管理政策得以实施而采取的所有方法和措施。1958年再一次重述内部控制，指出内部控制既包括会计控制，又包括管理控制。到1990年1月该审计准则委员会正式提出“内部控制结构”概念，取代了内部管理控制和内部会计控制。该内部控制结构是指为了对实现特定公司目标提供合理保证而建立的一系列政策和程序构成的有机总体，包括控制环境、会计系统、控制程序三个要素。20世纪80年代随着虚假财务报告对企业对社会产生的影响日益严重，美国成立了“反对虚假财务报告委员会”（Treadway委员会）。随后，AICPA、IIA（内部审计协会）、FEI（财务经理协会）、AAA（美国会计学会）、IMA（管理会计学会）等多个专业团体共同发起组成COSO（CommitteeofSponsoringOrganizationoftheTreadwayCommission，即Treadway委员会发起委员会），专门致力于内部控制的研究。1992年由COSO提出的“内部控制——一体化结构”研究报告标志着内部控制制度进入了一体化结构阶段。从这个阶段起，控制环境正是纳入了内部控制范畴，不再区分会计控制和管理控制。目前，内部控制框架主要包括：最具广泛适用性的上面所提到的美国COSO报告、MBNQA（MalcolmBaldrigeNationalQualityAward，鲍尔里治准则）、内部审计协会IASB（InternalAuditingStandardBoard，美国内部审计师协会下的内部审计标准委员会）的内控指南、加拿大的CoCo（TheCriteriaofControlBoard加拿大特许会计师协会下的控制标准委员会）的内部控制指南等。但是至今还没有一个得到全球公认的内部控制框架。(二)内部控制的内涵1994年COSO在《内部控制——整体框架》中对内部控制的定义如下：企业的内部控制，是受企业董事会、管理当局和其他职员的影响，目的在于取得经营效果和效率、财务报表的可靠性、遵循适当的法规等目标而提供合理保证的一种过程，应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。其中：控制环境，是内部控制的基础，为其他要素提供了约束，影响着员工的控制意识。风险评估，是企业面对各种内外部情况进行的确定和分析企业实现其目标过程中的相关风险。风险评估的前提是企业已经确立目标，并且在各个层次上是一致的，以避免评估过程因为不协调而带来盲目性。控制活动，是协助管理层确保有关经营指导方针得以落实的政策制度和程序，包括：审批；授权；核实查证；对帐；检查；资产的安全；权责分离。控制活动在整个企业各个层次中实施，帮助确保管理层采取必要的措施处理企业在实现目标过程中面临的风险。信息沟通，为了确保员工能获得明确的信息指令履行相关职责，信息系统和有效沟通成了关键。信息系统提供有关财务、经营和法律法规的遵守等信息的报告使企业的管理控制等到实现，其中不仅处理企业内部产生的信息，也包括企业作出决策所需要的外部信息。有效沟通则有企业上下的沟通和横向员工间的沟通。监督，是对系统质量进行评估的程序。对内部控制系统的监督通常有：进行中的监督工作；单独的评估；两者的结合1992年COSO框架概要中提到：“高级执行官长期以来一直在谋求更好地控制其所治理的企业”，现在成功的企业领导人不会去轻视内部控制制度，不会在财务秩序开始出乱子的时候才猛然开始研究内部本身存在的漏洞。以上的这个由三个规定目标组成并辅之以五个内部控制要素的广泛定义将内部控制提到了和治理公司同样的地位。2002年以“安然事件”为代表的美国公司丑闻点燃了公司治理问题的危机警报。所谓公司治理，就是指管理公司事务的方式。内部控制和公司治理的发展互相联系互相影响。首先，公司治理和内部控制的目的都是实现企业目标。内部控制主要为了减少虚假信息、监督是否有舞弊行为以及保护好企业资产的安全和完整，使得企业能有效地运行实现最终目标。其次，两者都是建立在委托代理关系的基础上。由于公司的所有权和经营权的分离引出了委托代理问题，所以如何建立一个健全完善的公司治理结构最大限度地实现企业经营目标，降低代理成本是公司治理所研究的问题。同样，内部控制作为一个系统涉及到所有者对经营者实施的监控、经营者对生产经营过程的控制，以及整个组织之间各个层面的沟通和运作的监控问，减少舞弊、耗能、浪费等的可能性，提高了企业运作的整体效率，使其能有效实现经营目标。并且，两者在内容上有所重叠。公司治理结构一般可以分为外部治理结构，它通过市场竞争（包括产品市场、资本市场等）形成间接控制；以及内部治理结构，这是由股东大会、董事会、经理层和监事会组成，它们各司其职互相制衡和协调，从而形成了内部控制的机制，所以本质上说内部治理结构是所有者对管理者实施监督的控制机制。最后，公司治理结构的完善有利于内部控制制度的建立和实施，而完善的内部控制也是对优化公司治理的重要保证。当内部治理出现问题，各管理层职责没有履行到位，怎么谈得上贯穿整个内部治理的监管和控制工作?“金玉其外，败絮其中”，最终公司本身也陷入危机。所以公司内部，比如独立董事的存在、董事会的委员会机构、CEO和其他关键高级职员的任务、薪酬、绩效评估等，都使得内部控制和内部治理密切相关，不可分割，公司治理的好坏于是成为影响内部控制制度的一大因素，并且这些公司的高层们也越发认识对财务报告的内部控制只是内部控制制度的一个方面。图2描述了对内部控制问题的重视度的变化。企业的内部控制如前所述是一个完整的控制体系，是一个包括股东、经营者、管理者等不同层次的控制主体，为了达到预期的目的，而对企业的经营者、管理者及相关对象所采取的制度安排程序。在实践中内部控制常常被理解为只是对资产安全控制、成本控制等具体目的的控制手段，从而导致没有将内部控制与企业的经营目标联系起来。对于企业来说，实现企业目标和股东目标是其经营的目的。企业的目标无疑是企业价值最大化，鼓动目标则是股东财富最大化。这两个目标的确定决定了董事会的行为意向，进而形成了内部控制总目标。(1)企业目标。遇到的问题是如何处理委托代理关系。作为各种契约的集合体，企业所有者和经营者、经营者和管理者、债权人与企业之间的利益关系如何协调和均衡关系到企业价值最大化是否能实现。“企业价值最大化目标是指通过企业的合理经营，采取最优的经营策略和财务政策，充分考虑货币实践价值和风险与报酬的关系，在保证企业采取稳定发展的基础上使企业总价值达到最大。”(2)股东目标。由于在现代企业中所有者与经营者两权的分离，股东的目标往往不一定代表着企业的目标。委托代理关系的存在使得投资者对经营者的制衡主要通过企业的各种监控机制、激励机制来进行。由于股东对企业情况的了解只能通过经营者，所以股东的目标在除了资本保全、资本增值、有效激励约束经营者，还希望得到真实性的信息。(3)董事会目标。1999年5月国际经济合作组织OECD所通过的《公司治理原则》要求董事会为公司和股东利益最大化行事。这表明董事会是协调公司和股东之间利益的桥梁，由他们两者来决定董事会本身的目标。(4)内部控制目标。内部控制的具体目标上文已述，主要是法规遵守性、信息真实性、经营目标的实现、风险控制以及激励约束机制的合理性，它由董事会目标所决定。按此递推，要实现企业和股东的目标就要先实现内部控制目标，那么如何实现内部控制呢？(三)如何实现内部控制内部控制的实现主要通过制度安排控制、组织结构控制、程序控制、目标控制、监督控制、激励控制、信息系统控制和人员素质控制。１.制度安排控制包括股东大会、董事会、监事会及经理层间的制衡制度，企业经营运转过程中的各种管理制度等。２．组织结构控制有关部门和人员的职责及关系模式的设置是否恰当关系到企业是否能有效率地运转。往往通过建立责任中心和职能部门，通过职责分工和岗位明细来减少人为弊端。３．程序控制企业运转设计到连续不断的各个环节，如何有序有效地进行需要控制程序来保证。比如授权审批、流程操作、文件记录和实物保管、物流仓储等的环节的控制和衔接。４．目标控制分权经营下的企业通过各分权部门来实现企业总目标，所以对各部门和具体操作人员设定责任目标并定期考核确认是一种有效的控制手段，一旦发现偏离目标可以及时纠正。５．监督控制监督是上述环节的基础，内部审计和内部考核穿插其中确保各项程序按要求进行。若抛开监督，往往成了一纸空谈，定一套规矩却行另外一条路子。当然监督的控制伴随着相应的激励机制。６．激励控制高层管理人员的激励性报酬契约、普通管理人员及员工的业绩奖励制度能够调动起企业上下的积极性，从而更高效地完成目标。７．信息系统控制企业是必须对外营业的，听从的是市场的声音，于是能否及时有效地获得信息成了能否制胜的关键因素。企业依赖于对企业内外信息的获取、分析与使用，但同时企业也必须对外披露关于企业内部经营运转状况和结果的信息。市场、客户、供应商、法规等方面的外部信息，企业内部业务数据、内部报告等内部信息。对外披露上，如今企业多数通过会计信息系统、管理信息系统和ERP系统来获取相关信息。８．人员素质控制培训和锻炼员工从而使他们更好地满足岗位的要求，这对于企业生存与发展有着重要的意义。人员素质的控制包括：合理的招聘程序、针对性的员工培训计划、轮岗制度等。[1]因此，内部控制目标的实现方式不再局限于分工、授权和审核。通过上述几个方面的实现,内部控制目标对于实现整个董事会目标以及企业和股东的最终目标起着基础和保障的作用。三、萨奥法案(一)背景介绍安然，这家总部位于美国休斯敦、其主营业务是天然气的公司，在1985~2001年里发展迅猛。2000年实现净利润9.79亿美元，总收入1008亿美元，雇员超过2万人,成为《财富》杂志美国企业500强中第7大、世界第16大公司。1995年安然股价仅为10美元左右，但到了2000年8月升到了90.75美元。2001年10月，安然公司在其对外公布的财务报告中宣布公司第三季度亏损6.18______________________[1]潘秀丽，《企业内部控制研究》P23-25亿美元，并且披露其经营不善致使公司股东净资产缩水12亿美元。10月22日美国证券交易委员会(SEC)介入调查。11月8日安然迫于SEC以及来自外界各方的质疑和压力，重新公布了过去五年的财务状况，原来自1997年以来共虚报了5.69亿美元的盈利。安然通过诸多关联企业隐瞒的账外债务高达200亿美元，据估计其债务合计为400亿美元。[2]安然事件后五大会计事务所之一的安达信会计公司暴露出了严重的审计问题。后者在为安然公司提供审计服务的同时，还为其提供咨询服务，并且咨询费用收入高于审计服务的收入，并且安然公司中许多高级职员曾任安达信的审计师。这些无疑影响了审计的独立性和审计质量。独立性一直是注册会计师审计时强调的原则。安然事件引出的会计事务所审计与咨询业务并存对独立性的影响问题成为了规范监管的方向。2002年安然财务丑闻爆发后，美国众议院于4月通过了由众议员财务委员会主席、共和党人奥克斯莱提交的第3763号法案《公司与审计的责任、义务和透明度2002年法案》，同年6月参议院银行委员会批准将该委员会主席、民主党人萨班斯提交的《公众公司会计改革和投资者保护2002年度法案》送交参议院表决通过。这两个法案和称为《2002年萨班斯-奥克斯莱法案》。萨奥法案是继20世纪30年代经济大萧条以来美国政府制定的范围最广、措施最严厉的公司责任法律，它标志着新资本市场监管时代的到来，奠定了后安然时代会计、审计发展和公司治理及证券监管的框架。其涉及到的主要内容有：劫1．对审计协独立性做出桌了专门而详被细的规定，言包括：狸(1)限制慢注册会计师丽业务范围，校不得向审计杰客户提供非冰审计服务兔(2)所有喂审计服务和姐非审计服务咏都必须得到玻事先批准慈(3)建立驼审计合伙人航定期强制轮帆换制度访(4)建立预向审计委员嫌会报告制度码另(5)建立驻注册会计师尖回避制度，引避免利益重醉爷(6)研究骡会计事务所瓣强轮换制度品，进一步提蜻升注册会计予师审计的独孟立性易2.财务报搭告的改进，架要求提高财缠务信息披露娱的透明度和纽纪实性，包停括：丽(1)定期婚报告的披露攻，比如常规益的财务报告摄的准确性、填资产负债表笑的表外业务族等皂(2)强化献利益冲突的污信息披露，勾比如加强贷沃款信息的披贺露暴(3)同管细理层和主要湖股东有关的恼经济业务的秩披露既(4)管理妙层的内部控哲制评估报告歉及其注册会钱计师报告的按披露疗(5)高级找财务管理人乌员道德遵守恋情况的披露副贴(6)同审析计委员会财呀务专家有关僻的信息披露研词(7)财务亮信息的迅速佛而实时地向捷公众披露，展以及定期信皇息披露的复昨合度3．完善上裹市公司内部另控制及其评乖价制度，要画求上市公司疾管理层要在泡年报中对公盲司内部控制帐及其实施的变有效性做出勺报告，在此绑基础上审计推师需要对公戚司内部控制计进行评价。痒截4．提高对测证券犯罪的阁惩罚力度，圣包括：扰(1)公司植首席执行官悲和首席财务犹官因编制违建法违规的财爱务报告，最访高可处50罗0万美元的尊罚款或者2央0年监禁；遮息(2)在政礼府调查或者赢公司破产等犹期间有意销鞭毁、篡改或枕者伪造纪录昂以及破坏审等计纪录的，竟将被罚款或舟者20年以粥下监禁，或蚁者两者并处言；铃(3)欺骗祥与公司证券辱有关的认识浪，或者通过家虚假或者欺妻骗性的借口轮、承诺等方秩式，获取与证买卖公司证铅券有关的任厚何现金或者雄不动产的，嗽将受到处罚孟或者25年脖以下监禁，则或者两者并侦处；扯_____唱_____量_____朗____匪[2]《商者业银行》2碑001年1啄2月17日协奥(4)对举代报者进行打吉击报复的，恋最高可处1末0年监禁。嗽对于公司或雹者有关人员老欺诈提供证闲据的员工，美应当保护其刑免受报复并爪进行补偿，若比如补发薪宝酬和恢复职再务等。降(二)萨个奥法案40述4条款笋萨奥法案共零十一章，分达为七大部分编，主要是围任绕会计职业怨监管、公司福治理、证券澡市场监管等尸诸方面拟定迈了多项严格育的制度规定降。第404蒜条款，又称杏为内部控制离条款，是最专为严格的条兄款，主要明员确了上市公记司（包括场物外交易市场产的挂牌企业批）管理层及中外部审计师饱对于公司财域务内部控制拦的责任和义请务。该条款总主要包含两犁方面的要求限：酬第一，内部刮控制方面，驳要求上市公披司按《19题34年证券奏交易法》第绕13节（a培）或15节骡（d）的要斧求，在编制迎的年度报告固中要包括内闷部控制报告军。不仅强调箩公司管理层碍在建立和维爹护内部控制浮系统及相应滔控制程序方拴面应充分有竟效地承担责冷任，而且管喷理层应在最押近财政年度袍末对内部控载制体系及控陆制程序的有梯效性进行评洽价。汇第二，内部韵控制评价报刘告方面，要丧求上市公司君管理层要自茂我进行内部拦控制的评价宋，担任公司咳年报审计的傻会计师事务恼所应当对其皆进行测试和艇评价，并出炮具评价报告福。掘其中，管理隙层的年度报椒告要求包括杰以下内容：禾走●管理层驾有责任为企勇业建立和维啄护与财务报六告有关的内悉部控制。尽●识别管梦理层所采用晕的内部控制稀框架以便按窝要求评估公器司与财务报厅告有关的内逃部控制的有眨效性。汪●对从上篇一个会计年约度末以来与巧财务报告有炸关的内部控义制的有效性旦予以评估，订其内容也包抚括有关与财贿务报告有关俩的内部控制咸是否有效的昨公开声明。卸弊●年度审胃计报告中，泳注册会计师状事务所发表盘的财务审计仁报告，包括挽管理层对与次财务报告有毕关的内部控语制有效性评败估的证明报蓄告。丧●管理层委关于公司针恰对财务报告册内部控制有吐效性评估的艘书面结论，辛应包含在其大对财务报告饱内部控制的钻报告和其对拥审计师的信农函中。这一笔书面结论可稀采取多种形告式，但是管丈理层对公司商面向财务报隙告的内部控虑制的有效性丘必须发表直斗接意见。瓦●如果与薄财务报告有到关的内部控滴制中有一个式或多个重要翼缺陷，管理厦层将不能对胃财务报告的球内部控制有捕效性作出评逆估结论，而估且，管理层光应该披露自然最近一个会茅计年度末以办来财务报告撤内部控制方茫面的所有重瓜要缺陷。既公司在对财剃务报告作出施确认时需要腿借助于企业馋的IT系统顷。为了识别府管理层对财银务报告所作就的相关认定勾，审计师应蓝考虑每个重唱要账户潜在可错报、漏报躬产生的原因土。在决定一伪个认定是否眼与某一重要晒账户余额或爪其披露相关监时，审计师心应该评价I道T系统的性派质、复杂程蔑度以及企业保IT的使用因状况。因此恨，所有企业久构