“安然”、“世通”、“施乐”等一系列财务欺诈丑闻的相继曝光,暴露出了美国公司治理结构的不平衡和外部监督的缺失。为恢复投资者对美国证券市场及美国政府经济政策的信心,美国国会于2002年7月30日公布了由其总统签字的《2002年公众公司会计改革和投资者保护法案》(亦称《萨班斯法案》,或《SOX法案》)。该法案适用于在美国证券交易委员会注册的所有公司。该法案几乎强化了财务报告过程中的每一方面,从审计委员会的构成和作用到正确的编制者证明,包括如分析师、律师和审计师等“守护人”的正直性。上市公司也要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度,以便能够实时而系统地向管理当局提供业绩信息,指出内部控制的缺陷所在,甚至自行检举违法违规行为,以满足企业员工、股东和政府的期望与要求。因此,《萨班斯法案》的要求也被世人称为“萨式”考验。2006年7月15日后,在美上市的所有公司都要求按照《萨班斯法案》要求提交财务年报。中国企业应该如何应对?
一、《萨班斯法案》对中国企业的影响
2006年是“十一五”规划的第一年,我国国有大型企业产权多元化改革进入了攻坚阶段,许多国有大型企业正在积极创造条件逐步实现整体上市。对于打算上市的公司来说,正确选择股票上市的交易所是非常重要的。它们不仅要考虑正常参与市场的财务分析师和投资者对自己公司的兴趣程度、交易所中的交易活动水平、筹集资金的难易度、市场上资本的可获性;还要考虑交易所的信誉,公司可能想要在如纽约证券交易所之类的卓越市场上上市以提升其信用度和受关注的程度;另外,公司还有可能考虑在具体市场上树立形象和确立声誉,股票在境外上市可以使得公司在境外经营或计划在境外经营。所以,这些正在积极创造条件逐步实现整体上市的公司的上市原则几乎都是先海外后境内。
但是,根据《萨班斯法案》404条款,所有上市公司的管理当局都应该在其年度报告中包括一个公司财务报告内部控制有效性的评估报告,同时还要求公司独立的外部审计师对此评估报告进行审计,并对此发表鉴证意见。由此所带来的合规成本是巨大的,美国FEI的相关研究报告表明:对于217家平均收入五百万美元的公司来说,第一年的合规成本就是四百三十六万美元,平均耗时27000小时。鉴于此,中国准备在美上市的企业也相继放慢甚至放弃了在美上市的计划,这也在一定程度上抑制了中国企业向海外扩张的进程。但对于已经在美上市的企业来说,眼下就必须面对这一考验。在这之前,美国已有大多数公司竭尽其能遵循该法案的各项要求,但仍有500多家美国上市公司没有通过“萨式”考验,严重的已被摘牌。
2006年7月15日之后,70余家在美上市的我国企业(包括内地的和香港的)将按照美国《萨班斯法案》的要求提交2005年度财务年报。由于遵循《萨班斯法案》,尤其是该法案的第404条款,财务报告内部控制评估的工作量异常繁重,这些企业为此付出的合规成本少则几百万,多则上亿元人民币;动用的员工少则几百人,多则几千人;耗时也从几个月到近两年不等。即便如此,仍有不少企业要面临是否能顺利过关的考验。
二、应对“萨式”挑战的策略
“萨式”挑战已经进入了倒计时。据悉,中国移动、中海油等多家公司早就开始了遵循该法案的试点运作。对于力图进入全球投资者视野、向海外资本市场扩张的中国企业来说,要想在“萨式”挑战中成为赢家,就必须做好相应准备,采取适当的应对策略。
(一)沉着应对,选法取上 萨班斯法案404条款要求企业在报告其财务报告内部控制时,要选择适当的遵循标准。美国反欺诈性财务报告委员会(COSO)在1992年发布并于1994年作出局部修正的《内部控制——整合框架》,以帮助企业和其他主体评估和增进它们的内部控制制度。这份框架已经成为世界通用的内部控制权威文献,被国际和各国审计准则制定机构、银行监管机构和其他方面所采纳,且也被数以千计的企业用来对它们实现既定目标所采取的行动加以更好的控制。2004年9月COSO发布了《企业风险管理——整合框架》。原来的《内部控制——整合框架》要求内部控制的设计应该包含控制环境、风险评估、控制活动、信息与沟通和监控等五个要素,《企业风险管理——整合框架》则要求企业风险管理包括以下八个相互关联的构成要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通和监控。因此企业在设计其内部控制流程与评估其内部控制有效性时,应该认真区分这两个标准。
为了更好地应对“萨式”挑战,企业应该使用包含八要素的《企业风险管理——整合框架》来设计其内部控制流程,但可以遵循萨班斯法案按照旧标准来进行自我评估。这是因为:近年来人们更加关注风险管理,并越来越意识到需要一个强有力的框架来便利于风险的识别、评估与控制。为此,2001年,COSO开展了一个项目,委托普华永道开发一个对管理当局评价和改进其组织的企业风险管理的框架。就在这一项目的进程中,发生了一系列令人瞩目的企业丑闻,随之而来的是,社会公众对采用新的法律、规则和上市准则以加强公司治理和风险管理的强烈呼声。COSO以应对此等呼声为己任,期望制定出能被企业和其他组织乃至所有利益相关者和有关各方所广泛认同的《企业风险管理——整合框架》。新框架拓展了内部控制,更有力、更广泛地关注于企业风险管理这一更加宽泛的领域。尽管新框架并不打算,也的确没有取代内部控制框架,但是它将内部控制框架纳入其中,从而构建了一个更有力的概念和管理工具。这使得企业不仅可以籍助新框架来满足其内部控制的需要,还能以此为契机转向一个更加全面的风险管理过程。
(二)“软”“硬”兼具,层层分解 企业在遵循该法案时,既要关注符合法案的“硬件”标准,更要重视“软件”标准。企业在设计与评估其内部控制流程时,“硬件”内容往往会有意无意地赋予更多的关注,而且“硬件”内容也往往更容易通过。实际上,涉及公司内部控制的“软件”要比其“硬件”实施难度大得多。如有关控制环境的控制,此类控制更多表现为一种“软件”标准,但它对其他控制要素的影响是普遍且重大的。在美国已有的遵循该法案404条款的经验中已经表现出这种倾向:大多数公司都集中于活动层次控制的记录、评价与测试。例如,银行余额调节表、装运单与发票之间的匹配等,都是活动层次的控制。根据COSO所定义的框架,仅仅关注活动层次的控制是不能获得关于财务报告内部控制有效性的适当结论的。有些时候内部控制表明上看起来是良好的,但实际上却是无效的,所以,应该直接审视公司的控制环境——管理当局的哲学与经营风格及其对胜任能力的承诺——才能真正显现公司内部控制的真实面目。
企业在具体设计与遵循该法案时,要自上而下,由宏观至微观,切实设计与评估具体控制。如控制环境具体包括以下因素:正直性和道德价值、对胜任能力的承诺、董事会或审计委员会的参与、管理当局哲学和经营风格、组织结构、权力与责任的分配和人力资源政策与程序。其中人力资源政策与程序的主要关注点有:是否存在有关员工雇佣、报酬、晋升和培训与辞退的政策、程序与有效的过程?员工是否已经了解了他们自己的角色、责任、所得授权以及业绩预期?与控制有关之相关人员的责任是否予以清楚描述?员工辞退与晋升标准是否清楚确定,业绩评价过程是否有效?管理当局是否采用了适当的补救措施以应对背离原定政策与程序的情况?等等。而“是否存在员工雇佣、报酬、晋升和培训与辞退的政策、程序与有效的过程”这一关注点,又可以大致进一步细化为:就招募正直且具有专业胜任能力的员工和鼓励员工支持有效内部控制系统,人事政策是否能有效沟通;现有招募正直且具有专业胜任能力之员工的程序与过程是否遵循了既定政策且得以有效执行;现有鼓励员工支持有效内部控制系统的程序与过程是否遵循了既定政策且得以有效执行;招募与培训目标员工的重点是否适当,等等。
(三)他山之石,可以攻玉 中国企业遵循萨班斯法案404条款,必须借鉴美国企业的经验教训,尤其是美国银行业的经验。在十几年前,美国大型银行就要遵循1991年的《联邦储蓄保险公司改进法》,该法案要求银行每年报告其管理当局对财务报告内部控制有效性进行评估的结果,这一要求与萨班斯法案所提出的报告要求类似。所以,所有要遵循该法案的中国企业都可以先总结美国银行业这十几年来遵循《联邦储蓄保险公司改进法》的经验,以降低首次合规成本。
在此过程中,还应考虑总结遵循该条款的已有经验和方法,主要是寻求监管机构及其他职业组织为公司遵循该条款所提供的指南与帮助。目前遵循该法案的一个首要问题是学习问题,该法案所带来的影响是要求公司相关人员了解因此而导致的会计和公司治理方面的变化,需要及时掌握新的知识,理解新的指南与规范。如公司审计委员会是负责监督公司内部控制的,其结果是要求审计委员会的成员必须了解什么是404条款,404条款的含义是什么?审计委员会必须确信管理当局是否的确遵循404条款完成其工作的。为对此提供及时的帮助与指南,美国注册会计师协会提供了“胜任能力自我评估工具”的在线资源,以帮助审计委员会的成员评估其自身技能,和确定为提升其整体有效性而需要的一切。
参考文献:
1、M. Ramos. Evaluate the control environment. Journal of Accountancy, May 2004. pp75-78.
2、M. Ramos. Section 404 compliance in the annual report. Journal of Accountancy, October 2004. pp43-48.
3、COSO. Enterprise Risk Management: Integrated Framework, 2004.
4、Stevens. M. G. Focus on internal control. Practical Accountant, December 2003. pp36-40.
5、Heuberger. J. H. & Nepf. B. J. Taking control of internal control reporting: Recent PCAOB and SEC guidance. Insights, Volume 19, Number 7, July 2005. pp2-8.