摘要:在一系列金融丑闻的冲击下,美国国会通过了《萨班斯-奥克斯利公司治理法案》。法案从多个方面强化了上市公司的会计监管与内部控制监管,着重强调了对内部控制系统的信息披露在公司治理中的核心地位。文章首先介绍了萨班斯法案对内控系统的新要求,其次在内部控制五大要素的基础上提出了一种内控系统的构建思路,最后简要说明了法案对我国企业的启示作用。
关键词:萨班斯法案;内部控制系统;构建
2001年12月,美国安然公司——曾经世界上最大的天然气交易商和最大的电力交易商,由于屡次虚假会计信息披露而导致严重的信任危机并在此危机中轰然倒下;2002年6月,美国世界通信公司爆发了同样的财务欺诈事件。这些屡屡发生的会计丑闻事件严重打击了美国投资者的信心。
为了应对这一系列丑闻造成的美国股市危机,提高上市公司的治理水平并且重树投资者的信心,时任美国总统的布什于2002年7月30日签署了具有里程碑意义的《萨班斯-奥克斯利公司治理法案》(Sarbanes一OxleyAct,以下简称萨班斯法案)。萨班斯法案被认为是自罗斯福总统以来美国商业界最具深远意义的改革法案。
萨班斯法案中的302条款和404条款要求上市公司定期评估内部控制缺陷并且向美国证券交易委员会(SEC)报告内部控制缺陷类型。该法案同时要求外部审计人员独立地对上市公司内部控制系统的效力发表意见,并且就算仅仅存在单个重大缺陷,也要对内部控制系统的效力发表否定意见。这使得内部控制再次成为人们关注的焦点。萨班斯法案从根本上改变了企业的经营环境和法律环境,其目的在于通过加强内部控制,来改进公司治理状况,并最终加强公司的责任。
一、内部控制
(一)内部控制的定义
所谓内部控制,是指一个单位为了实现其经营目标,保护资产的安全完整.保证会计信息资料的正确可靠,确保经营方针的贯彻执行,保证经营活动的经济性、效率性和效果性而在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手续与措施的总称。
美国COSO委员会1992年提出并于1994年修改的《内部控制——整体框架》中对内部控制做了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。
(二)内部控制与公司治理的关系
1999年,世界经济合作与发展组织(OECD)制定的《公司治理原则》中给“公司治理”作了如下的描述:公司治理是一种据以对工商业公司进行管理和控制的体系。公司治理明确规定公司各个参与者的责任和权利分布,诸如策事会、经理层、股东和其他利害相关者,并且清楚地说明决策公司事务时所应遵循的规则和程序。同时,它还提供一种结构,使之用以设置公司目标,也提供了达到这些目标和监控运营的手段。从对企业监督和控制的角度来说,内部控制与公司治理是密不可分的。而且,一种普遍的观点认为“内部控制框架与公司治理机制的关系是内部管理监控系统与制度环境的关系。”
根据公司治理的相关文献,主要的内部监督机制包括董事会、所有权结构以及内部控制系统,而萨班斯法案特别强调了内部控制系统在公司治理中核心地位。
二、萨班斯法案对内控系统的新要求
法案的第一句话开宗明义,强调本法案就是为了“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的”。纵观整部法案,最主要内容是对内部控制系统的要求,而且主要体现在302条款和404条款上。
302条款对公司CEO和CFO的具体要求包括:在公司季报和年报中他们必须承诺对建立和维护内部控制系统负有责任并且承诺已经设计了这样的内部控制系统来确保他们能够收集到所有重要的财务信息;在季报和年报披露之前,他们必须对内部控制系统的效力进行评估。404条款不但提高了对管理层的这些要求,而且还加入了新的内容,即“外部审计人员有义务对管理层提供的内控系统评估结果进行认证和报告。换句话说,除了传统的审计意见外,外部审计人员必须把他们对公司管理层所提供的评估结果的审计意见也包括进来”。正是因为严厉性和高昂的执行成本,404条款才饱受争议。
三、萨班斯法案下内部控制系统系统的构建
除了上述这些新要求外,法案还明确了要建立独立称职的董事会审计委员会,以及内控系统的完善和落实,而且还特别成立了上市公司会计监察委员会(PublicCompanyAccountingOversightBoard,简称PCAOB),在SEC指导下独立行使监管职能。但是,虽然法案在管理层职能、审计师的独立性、律师责任等方面做了规定,它却没有规定公司必须选择什么样的内控框架,需要企业自己抉择。
目前世界上最权威、应用最广泛的内控框架是美国COSO委员会于1992年9月公布的最终研究报告《内部控制——综合性框架》(即COSO框架)。该框架认为,内部控制是受企业董事会、管理层和其他人员的影响,并为企业经营的效率和效果、财务报告的可靠性和法律法规的遵循性提供合理保证的内部流程。
在COSO框架下,内部控制由控制环境、风险评估、控制活动、信息与沟通、监督等五部分构成。这五部分内容不仅是内部控制的理想框架,更为我们提供了在萨班斯法案下构建内部控制系统的思路。
(一)控制环境
控制环境规定单位的纪律与架构,塑造企业文化,影响经营管理目标的制定,并影响企业员工的控制意识,是实施内部控制的基础。控制环境的因素具体包括:管理哲学和经营风格、评定员工的能力、董事会和审计委员会、诚信的原则和道德价值观、人力资源政策及实务、责任的分配与授权、组织结构等。企业应当将构建和完善内部控制环境作为保证内部控制制度有效执行的首要条件。一个良好的控制环境对内控系统的运行至关重要。
(二)风险评估
每个企业都面临来自内部和外部的不同风险,这些风险都必须加以评估。所谓风险评估就是指分析和辨认实现所定目标可能发生的风险。辨认和分析风险的过程是一种持续及反复的过程,也是有效内部控制的关键组成要素,管理层须谨慎注意各部门阶层的风险,并采取必要的管理措施。在现实经济活动中,企业风险意识淡薄是导致内控乏力的一个重要方面,建立并完善相应的风险识别、风险分析和风险应对机制,是企业在竞争中立于不败之地的关键。
(三)控制活动
控制活动是确保管理层的指令得以执行的政策及程序,如核准、授权、验证、调节、复核营业绩效、保证资产安全及职务分工等。从某种程度上来说,“控制活动是基于风险评估结果的一项监督活动。”企业要及时制定管理制度、落实相应措施,确保各项经济业务和管理行为始终置于内部控制活动中。而且控制活动在企业内的各个阶层和职能之间都会出现,所以这就更加强调了全员参与。
(四)信息与沟通
信息与沟通是指单位为了提高管理效能,促进员工全面正确履行职责而收集、识别、交流各种内部和外部信息,是实施内部控制的重要条件。信息系统不仅处理企业内部所产生的信息,同时也处理与外部的事项、活动及环境等有关的信息。企业所有员工必须从最高管理阶层清楚地获取承担控制责任的信息,而且必须有向上级部门沟通重要信息的方法,并对外界顾客、供应商、政府主管机关和股东等做有效的沟通。
由此可见,一个有效的信息传递系统和沟通渠道对任何企业来说都是至关重要的。
(五)监督
内部控制系统需被监督。监督是由适当的人员,在适当及时的基础上,评估控制的设计和运作情况的过程。监督活动由持续监督、个别评估所组成,其可确保企业内部控制持续有效的运作。
加强对内部控制执行情况的监督检查,并将检查结果与业绩考核挂钩,以确保各项管理制度的有效执行,是企业保证内控系统有效运行的必要步骤。
总的来说,虽然内部控制目标呈现多元化的趋势,但概括起来主要涉及以下两点:一是合规经营,具体而言,就是保证企业依法组织经营活动、保证会计信息真实可靠、确保财产安全;二是效益性,即保证企业管理政策的贯彻实施和效益目标的实现。
四、结论
萨班斯法案的规定以及PCAOB的工作对于规范化的内部控制设计、实施、监督与评估具有重大意义,它使公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责,为会计行业对内部控制的评估提供了一个基础;并力促公司建立有效的内部控制监督体系,这为有效的公司治理奠定了良好的基础。同时,萨班斯法案和COSO框架对我国企业内部控制系统的构建又有很好的启示作用。我国企业应当充分借鉴COSO标准,按照国内有关规定,并结合自身实际情况来完善内部控制系统。
参考文献:
1、杨有红,胡燕.试论公司治理与内部控制的对接[J].会计研究,2004.
2、周明新,吕建军.从一个案例浅谈内部控制五要素[J].管理创新,2008.
3、阎达五,杨有红.内部控制框架的构建[J].会计研究,2001.
(作者单位:北京理工大学管理与经济学院)