扫描二维码

订阅畅享网微信

国内企业如何应对萨班斯法案

  作者:白万纲
2007/4/19 16:40:41
本文关键字: 内部控制及404法案

萨班斯法案出台

2001年11月下旬,美国最大的能源企业安然由于各种丑闻事件的爆发而宣告破产。安然公司的破产并非偶然,公司治理的内部机制和外部机制出现的严重问题是其根本原因所在。
首先,我们从安然的故事中看到了一个缺乏责任的董事会。如公司董事长兼首席执行官肯莱利用个人的影响通过巨额资助竞选。此外,公司与董事利益相互交织互相利用安然公司签订了多份与独立董事的咨询服务和产品销售的业务合同,还向独立董事任职的非盈利机构大量捐款。这种利益交织的情况下独立董事对公司管理层的监督形同虚设。在缺乏监督和制约的条件下,公司就会被个人操纵和利用成为内部人牟取个人利益的手段。

另一个扮演着不光彩角色的是安达信公司。安达信从20 世纪80 年代中开始承担安然的外部审计业务到90年代又承担了其内部审计业务。这样,安达信一手为安然作帐,用另一手为其查帐。他们既没审计出安然虚报盈利,也没发现其巨额债务,年年出具合格的审计意见。事情并不是被误导和蒙骗那么简单,关键在于会计师事务所和公司之间的经济利益关系。当会计师事务所为同一个客户同时提供审计和咨询两种服务时,其审计的独立性就可能因此受到影响。

包括安然在内的一系列公司假账丑闻的发生,已经不是个别公司的问题,而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。在这样一个背景下,《萨班斯-奥克斯利法案》于2002年7月30日正式出台。它以维护广大投资者利益为宗旨,对惩治公司财务欺诈、规范企业行为和加强资本市场监管等方面做出了更加严厉、更加全面的规定。

萨班斯法案内容

SOX法案共分11章,第1至第6章主要涉及对会计职业及公司行为的监管,第8至第11章主要是提高对公司高管及白领犯罪的刑事责任。该法案有三个方面备受关注:一是建立一个由5个成员组成的公众公司会计监察委员会,对会计师事务所提供的上市审计服务进行监管;二是对上市公司高管人员造假予以重罚。公司CEO和CFO必须对财务报表的真实性宣誓,如果提供不真实的财务报表,将会面临10到20年的监禁,以及100万到500万美元的罚款,按刑期而论,财务报表造假的严重性和持枪抢劫相当;三是公认萨班斯法案中最严苛、最复杂、执行成本最高的404条款,该条款规定,在美上市企业必须建立内部控制体系,包括控制环境、风险评估、控制活动、信息沟通和监督五个部分。内部控制活动的记录不仅要细化到诸如产品付款时间之类的细节,而且对重大缺陷都必须予以披露。

该法案的产生将使得中国内地在美上市企业受到以下冲击:第一也是最重要的冲击是,中国企业在美上市的维持成本将大幅飙升。根据国际CFO组织对美国321家本土上市企业的调查,这些企业在第一年实施萨班斯法案404条款的平均成本超过460万美元,包括35000小时的内部人工投入,以及130万美元的软件费用、外部顾问费用和额外审计费用。著名的通用电气公司为此花了3000万美元来完善自己的内部控制系统。因此相关机构预测,中国内地在美上市企业仅在第一年内执行萨班斯法案的费用就将高达两亿美元。

第二,以萨班斯法案为依据,针对中国在美上市公司的集体诉讼案件数量极有可能攀升。迄今为止,已经有中国人寿、中航油、UT斯达康、前程无忧网、空中网、网易、中华网等中国企业被美国投资者提起集体诉讼。这些企业的一些行为被投资者认为违背了证券法或证券交易法。一旦萨班斯法案开始实施,投资者除了继续在证券法或证券交易法的框架下对中国企业提起诉讼外,还能同时在萨班斯法案的框架下对中国企业提起诉讼,一方面中国企业被提起诉讼的可能性和败诉的可能性将会增大;另一方面,中国企业一旦被判败诉,相应的赔偿额将会大幅上升。

作为在美国上市的中国公司该如何来应对这一新法案?

流程管控

在诸多繁杂工作中,流程梳理无疑是第一步。萨班斯法案中“404条款”要求每个公司都要将公司任何一个岗位的职务、职责描述得一目了然,还要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度。

在央企传统管理模式中,由于不重视流程,交易和决策过程往往缺少记录,一些决策甚至考拍脑袋进行。在这样一种模式下,要想适应萨班斯法案,必将引起企业整体控管流程的重组,人员岗位职责的改变。因此,对于企业内部流程梳理、加强财务投资监管、协调内部资源分配、提高管理透明度等方面都将具有相当大的影响。

对于中国移动这样的大型企业来说,如果要真正实施萨班斯法案的话,将涉及涵盖企业经营、IT系统控制、投融资管理、财务监控、法律法规监督等13个大类、38个细项。为了配合整个项目的实施,中国移动从流程入手,从公司总部到试点省级公司均成立了专项运营小组,挑选出大量的专业人员专门负责整个项目试点工作,并且引入毕马威公司作为执行顾问,对试点工作以及未来的全面正式运营提供指导和规范。

明确母子集团各职责自权限以及各项工作的运作流程,是开展内部管控体系建设的基础。中国移动从组织流程梳理入手,首先明确自身战略定位以及为了完成这个战略所需集团的职责权限。通过流程的梳理,一方面,明确了母子公司在职责方面的各自权限,另一方面则明确了企业的整个业务流程,为后续的内部控制体系的建立以及风险管控打下了良好的基础。

改革内部控制体系

适应萨班斯法案要求,改革公司内部控制体系,对企业制度化生存提出了更高更严更细的要求,也预示着在美上市的中国企业将要展开新一轮的管理变革。在这方面,作为世界500强在美上市的中国石化早已采取实际行动“备考” 萨班斯法案。

中国石化的准备工作就是在流程梳理之后,以编制内控制度,建立统一的内控体系,提高经营管理水平为主线开展的。通过成立内控手册编制领导小组,组建由各个部门参加的7个专业小组负责编制内控制度,并要求各企业根据实际情况制定实施细则。

近年来,中国石化适应国际化发展和《中国石化中长期科技发展规划纲要(2006~2020年)》的要求,为建设具有国际竞争力的世界级一体化能源化工公司,全面推进集团公司企业文化建设,大力加强以应对萨班斯法案为主要内容的内控体系建设,并使之成为集团公司在生产经营管理活动中共同遵守的行为准则。中国石化制度体系遵循中国石化的法律形态、组织形态和管理形态,将传统的管理模式与现代国际惯例、法规相结合,以建立现代企业制度,完善法人治理结构,实现经营机制的转换,加强企业管理,提高企业经营业绩,改善企业财务状况为目标,以股份公司颁发的《内部控制手册》为主要内容,建立统一规范、完整的内部控制体系和完善的内部控制制度,使集团公司各项规章制度成为系统性、可操作性和包容性很强的内部管理制度。

内部控制制度是企业各级管理人员和有关部门的工作人员,在处理生产经营业务活动时相互联系、相互监督的管理体系,是保证企业正常经营、防范风险所采取的管理措施。内部控制制度的重点是建立严格的内部制衡机制,特别是内部会计控制,设计合理有效的组织机构和职务分工,实施岗位责任分明的标准化业务处理程序。中国石化内部控制制度是企业内部各部门、各岗位形成较为系统的既互相制约又具有纵横交错关系的统一整体,确保各部门和各岗位均能按特定的目标相互协调地发挥作用,最终实现集团公司内部控制的总体目标。

中国石化内部控制体系遵循的基本原则:一是合规性原则。合规性是指企业内部控制制度必须符合国家的法律、法规和政策;符合股份公司上市地(上海、香港、纽约、伦敦)证券监管机构有关上市公司的法律、法规和要求。二是全面性与系统性原则。内部控制制度涉及中国石化经营活动的各个方面,其内部监管和控制贯穿于经营管理活动的全过程,并涉及全体员工。中国石化每一个员工既是内部控制的主体,又是内部控制的客体;既要对其负责的作业实施控制,又要受到其他人员或制度的监督与制约。三是内部牵制及不相容原则。内部牵制是指在部门与部门、员工与员工以及各岗位之间所建立的互相验证、互相制约的关系,属于企业内部控制制度一个重要组成部分。其主要特征是将有关责任进行分配,使单独的一个人或一个部门对任何一项或多项经济业务没有完全的处理权,必须经过不相容的其他部门或人员的验证、核对和制约。四是权责明确、奖惩结合原则。根据各部门和岗位的职能与性质,明确各部门及人员应承担的责任并赋予相应的权限,制定操作规则和处理程序,确定追求、查处责任的措施与奖惩办法等,使权有所属,责有所归,利有所享,避免发生越权或互相推诿的现象。五是成本效益原则。在内部控制活动中贯彻成本效益原则,就是要力争以最少的控制或最低管理成本获取最大的经济效益。要实行有选择的控制;要努力降低控制成本,尽量精简机构和人员,改进控制方法和手段,提高效率。六是可操作性原则。内部控制必须符合中国石化实际,无论是业务流程控制点的设置,还是授权项目权限的确定,都要考虑实际管理工作中是否可行,保证其可操作性。七是包容性原则。内部控制制度是依据中国石化现行各项管理制度,为控制风险而编制的一系列业务流程控制体系,内容涵盖投资、生产、经营、财务、监督检查等方方面面。内部控制制度力求避免与其他制度相矛盾,尽可能包容不同企业现有的内控制度。对确实脱离实际的其他各项管理制度,应及时修改、完善,并以《内部控制手册》规定为准。八是信息反馈原则。确定与控制工作有关的人员在信息传递中的任务与责任,规定信息的传递程序、收集方法和时间要求等事项,建立严密的记录、报告等信息反馈系统。

中国石化每年统一组织内部控制执行情况的综合检查。依据《内部控制手册》,对各单位适用业务流程的内部控制有效性进行评价。根据适用的每个控制点分值,量化各单位内部控制的有效性评价结果。实施内控制度是减少风险、避免损失、规范企业管理的重大措施,各企业都必须高度重视这项工作,切实改进在检查中发现的问题,继续大力完善内部控制,努力提升内控管理水平。他强调,要统一思想,提高认识,加强推行内控的自觉性。要清醒地认识到实施内控既是依法治企,规避风险,规范企业管理的要求,也是遵守国内外资本市场法则的必然要求。通过推行内控制度,能有效解决好公司治理结构的问题,弥补基层企业管理方面的漏洞,最终使企业管理从“人治”过渡到“法治”上来;要落实责任,强化管理,增强紧迫感、责任感。自内控实施以来,企业做了很多工作,取得了不少成绩,但是要看到还存在很多问题,比如,作风不踏实,身子沉不下去,贯彻总部指示不认真等。这些问题不加以解决就会影响全局。特别是当前原油价格高企,炼油、化工板块面临巨大压力,形势十分严峻的情况下,必须增强紧迫感、责任感,依靠内控手段,严控投资,化解困境;要坚定不移地贯彻内控制度。各级领导干部要十分重视,保证执行内控不走样,同时要加强领导协调、培训检查、同步监督和推进内控的基础工作。

2005年6月20日至7月20日,中国石化组织了15个检查组,对65家企业在内控制度中流程控制和权限控制的执行情况进行了重点检查,并对检查结果分别量化评价排队。通过检查发现,在推行内控制度中很多企业结合实际进行了有益探索,取得了较好效果。具体表现在:企业对推行内控制度的认识普遍提高,内控组织机构基本健全、运转有效,内控培训工作深入扎实、卓有成效,有效促进了企业内部管理。但检查同时也发现了实施内控初始阶段存在的一些突出问题。具体表现在:企业的内控环境存在差距,存在越权行为,一些业务招投标流于形式,合同管理不规范,信用管理薄弱,信息管理存在缺陷,长期股权投资管理有待加强,与内控制度配套的规章制度管理仍显不足,奖惩考核工作不落实,总部日常管理工作不到位致使企业不能完全履行业务控制要求。2005年9月16日中国石化股份公司召开内控制度实施工作电视电话会议,对执行内控制度情况排名靠前的企业给予了表扬,对排名靠后的企业进行了通报批评。

加强内部审计

在遵循404条款时,内部审计的有效性是应考虑的重要因素,这对于是否可以通过404条款的内部控制测评也非常重要。如果某公司的内部审计做得不好,将会影响该公司通过404条款的测评。
  
内部审计的作用主要有两点:第一,内部审计会参与前期的文档记录提意见;第二,在管理层测试时会介入其中的工作。按照PCAOB第2号审计标准要求,执行内部控制的人和做测试的人要相对分开,以保持内部控制测试的客观性。
  
某地方运营商审计部门负责人表示,中国公司的内部审计在传统职能上可能与独立性要求还有一些差距。配合萨班司法案的执行,运营商的内审制度应该实现三大转变:

首先,由查错纠弊为主向管理审计转变。就是要将过去以查处违纪金额、审阅会计事项、审计经济活动结果为主,逐步向各个管理环节渗透。改变过去审计仅查阅账簿、凭证、报表的状况,将调查、询问、测试、广泛阅读资料等结合起来;

其次,由以监督为主向监督与评价并重转变。就是要在监督的基础上,对经济事项进行评价、分析,为管理层的评价、决策提供可测量的信息来源;

最后,由事后审计为主向事前、事中审计转变。就是要以经济活动的流向为主线,抓住主要环节,适时监控,及时反映,提高企业抗风险能力。

进行IT治理

目前越来越多的企业依靠信息系统支撑业务运作,因此,IT治理在建立与保持有效的内部控制方面也发挥着重要的作用,建立针对信息系统的控制体系就成为遵循萨班斯的必然要求。

萨班斯法案强调企业的信息技术策略和系统中的内部控制,以及对审计过程存档的要求,即包括机器运行中的企业的内控活动的操作流程必须明白地定义并保存相关记录。

比如,萨班斯法案就要求财务报表的准确性,财务报表靠业务流程,而业务流程又是由信息系统支撑的。

为了应对萨班斯等国际法案对企业内控提出的更高要求,必须加大信息系统在总体控制方面的责任,在信息系统对管理流程的介入程度上,采取自上而下的基于风险管理的分配原则,尽量缩减成本,同时实现内控的合理化。实现流程和控制的集中化,建立一个好的集中身份管理措施和授权措施,以及加强包括用户身份、网络安全、系统安全在内的保护措施都是建立好的管理流程的要素。

事实上,信息化本身的目的之一,就是促使企业将好的管理做法固化为信息化中的规则与流程,并进而形成公司的管理习惯,以提升公司的管理水平。

当某一天,人们已经感觉不到SOX有什么专门提的必要,一切都默认按照SOX规定的做的时候,也许就是由优秀走向卓越的那一天。

责编:白万纲
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
专业博客
畅享
首页
返回
顶部
×
    信息化规划
    IT总包
    供应商选型
    IT监理
    开发维护外包
    评估维权
客服电话
400-698-9918