一、萨班斯法案的主要内容
SOX法案的主要内容 SOX法案共分十一章。第一至第六章主要涉及对会计职业及公司行为的监管。第八至第十一章主要是提高对公司高管及“白领犯罪”的刑事责任。如对故意进行证券欺诈的行为最高可判处 25年入狱;CEO和CFO必须签字保证其报送给SEC的财务报告的合法性及公允性。美国的 2001到2002年度所爆发的系列公司丑闻事件中,公司管理层无疑负有主要责任。因而 SOX法案的主要内容之一就是明确公司管理层责任(如明确管理层负有建设并评估公司内部控制的责任)等。由于公司会计人员及外部审计在这些事件中亦负有重要责任,因而提高财务报告的可靠性成为SOX法案的另一个主要内容。比如要求:建立一个独立机构来监管上市公司审计;要求管理层及时评估内部控制等。
实际上在SOX法案上述条款中,需要一家在美上市公司着力实施的是302条款和404条款。两者都要求CEO和CFO签字声明对建立和维护内部控制系统负有职责,并且要对控制体系及其有效性进行评价;区别在于,404条款要求外部审计师对此声明进行审计并出具意见,而302条款则无此要求。由于不需要审计,在具体实施302条款时管理层的压力不大,一般是通过下级对上级进行逐级承诺来实现的。而404条款则要严格得多,其具体内容包括:(1)上市公司管理层签字声明对建立和维护财务报告相关的内部控制系统及程序的充分有效负责;(2)在年报中对截至最近会计年度结束公司内部控制系统及控制程序的有效性做出书面评价;(3)外部审计师应就管理层关于内部控制的评价进行核证并提交报告,核证要遵循PCAOB发布的标准进行。404条款的内容十分简短,却是牵一发而动全身,力度极大。
如果外部审计师出具的结果表明某上市公司没有满足这些要求,不但公司股价会受到严重影响,而且还有可能受到摘牌和其它惩罚。如果公司管理层恶意违反404条款,将可导致最长达20年的监,惩罚十分严厉。虽然SOX法案还包括很多其他内容,但从上市公司的角度看,SOX法案的遵从在很大程度上变成了对404条款的遵从。
二、萨班斯法案对上市公司内部控制的要求
根据 COSO委员会的《内部控制-整体框架》的定义,内部控制是指企业董事会、经理层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。以单独提供的方式向外部信息使用者披露内部控制信息的方式即所谓的内部控制报告。
SOX法案404条款规定,SEC应制定规则,要求每一份按1934年《证券交易法》编制的年度报告包含一份内部控制报告。该报告应当:
(1)表明管理当局对建立和维持充分的关于财务报告的内部控制结构和程序的责任;
(2)包含对发行公司在最近年度年底关于财务报告的内部控制结构和程序的有效性的评估。对于发行公司管理当局所做的内部控制评估,为其编制或签发审计报告的外部审计人员,应当验证并出具报告。这一验证应根据公共监督委员会发布或认可的验证业务准则进行,不应作为一项单独的业务。至此,美国在经历了多年的自愿披露内部控制信息后,已要求强制上市公司提供经注册会计师验证的内部控制报告,这必将对审计方法、公司管理当局和外部审计人员的责任等产生一系列影响。需要指出的是,目前国内一些材料称404条款要求“声明管理层评估内部控制所采用的框架”。
实际上404条款并未要求管理层声明其采用了哪一个内部控制框架。但是 PCAOB在其2004年9月发布的第 2号审计准则中,推荐使用 COSO内部控制框架。如果使用其他内部控制框架,该框架也必须包括COSO所包含的要素。就是说,如果使用非 COSO内部控制框架,就必须证明该框架优于框架。这实际上确定了内部控制框架在遵从法案COSO COSO SOX 404条款方面的绝对主导地位。
三、萨班斯法案对我国企业内部控制的启示
自20世纪90年代末开始,我国财政部先后颁布了《内部控制基本规范》和一系列具体规范,应该说这些规范的陆续出台对加强我国企业内部控制建设,完善企业经营管理机制起到了一定的作用。但是随着经济环境的变化,面对不断出现的新的问题,如何结合行业和企业特别是上市公司自身的特点进行合理可行的内部控制制度设计并予以持续有效的实施就成为内部控制实践中的焦点和难点问题。在这同时,作为确保内部控制有效发挥作用的手段之一的内部审计也越来越引起人们的关注。2002年美国《萨班斯—奥克斯利法案》的出台,使我国的内部控制制度建设又向前推进了一步,借鉴《萨班斯—奥克利法案》的相关条款内容,对我国内部控制和内部审计有关问题进行不同角度的探讨就显得越发的必要。
1. 建立健全内部控制框架体系。
SOX法案404条款关于内部控制的管理评估,要求公司在内部控制方面必须严格精细化,运营的每个环节都必须在公司可控范围内,这将直接对原有的粗放型管理模式产生挑战。根据SOX法案要求,在美国上市的国内一些大型公司目前已经或正在建立符合上市地和中国法律要求,以该法案框架为基础的内部控制体系,并且按照其要求规范化运作,上市公司必须尽快建立起内部控制体系,模式可以以《萨班斯—奥克斯利法案》框架为基础并结合企业自身实际来设计、运行。对企业而言,建立健全内部控制制度是一个渐进的过程,应当建立起内部控制评价体系,随时应该关注:现有流程中的控制措施是否全面涵盖了风险,这些控制措施的设计是否合理,是否形成了充分的控制证据,这些控制措施是否在企业制定的相关规章制度中得以体现等。应该根据情况的变化和出现的问题对相应的内部控制制度做出及时修正或建立新的内部控制制度。
2. 设立良好的控制活动。
控制活动是确保管理阶层的指令得以实现的政策和程序,旨在帮助企业保证其已针对“使企业目标不能达成的风险”采取了必要的行动。控制活动在实务中的应用,重点是要加强企业业务程序的内部控制,这时因为内部控制许多方式是体现在业务层面上的,从业务程序中入手设计内部控制有利于加速提高企业内部控制整体水准。此外,还应加强内部控制信息流动与沟通一个良好的信息系统有助于提高内部控制的效率和效果。企业须按某种形式及在某个时间内 辨别、取得适当的信息并加以沟通使员工顺利履行其职责,信息系统不仅处理企业内部所产生的信息同时也处理与外部的交流活动及环境等有关的信息。
3. 加强内部审计工作。
内部控制的设计是否适当、执行是否有效,必须依据一定的标准进行评价,这个标准就是COSO中论述的内部控制的五个要素整体层次和作业层次的评价标准。对于内部控制评估应由谁来完成,对此,COSO报告中的观点认为,首先应由企业管理当局(或其指定人,如内部审计机构)定期对本单位内部控制设计的有效性进行评估,提出评估报告,然后再由注册会计师对其加以审核,提出内部控制审查报告。《法案》也做出同样的规定。由此可见,公司内部审计在对公司内部控制评估中的重要性。在颁布《法案》的过程中,由于IIA的积极参与,使得内部审计的作用与职责在法案中得以充分体现。《法案》和美国证券交易委员会的有关指南,要求上市公司的高层管理人员对提交的财务报告提供保证。因此执行管理层是控制环境和财务资料的负责人。外部审计师为财务报告作公证,他要向财务报告使用者保证报告中的资料是按照公认会计准则公允地反映了组织的财务状况。至于内部审计师则负责向审计委员会或其它委员会保证,组织为编制财务报告所设置的内部控制制度是有效的。内部审计执行主管要经常及时地与审计委员会沟通;审计委员会要评价内部审计执行主管报告的全面性和充分性。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
ERP环境下采购业务的内部控制措施
本文探讨在ERP环境下如何加强采购模块的控制,使企业建立完善的采购业务内部控制制度,确保采购事项的真实性、合理性、合法性。
-
信息化环境下如何加强企业内部控制
本研究拟探讨信息化应用对内部控制产生的影响,为适应变化内部控制应进行的改变以及企业应该如何加强信息化环境下的内部控制。
-
ERP环境下的内部控制优化策略
在ERP环境下,企业只有对内部控制体系进行优化,才能保障内部控制系统的有效实施,促进企业资源的配置和优化,实现经营的可持续增长。
-
浅谈内部控制在企业管理信息化中的应用
随着信息技术在企业的广泛应用,企业在管理模式、生产方式、交易方式、作业流程等方面的变革对传统的内部控制观点和控制方法产生很大冲击,对企业内部控制体系……