24周年

財稅實務 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應用涉及權限:查看權限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

滿足SOX404不是內部控制最根本的目標

來源: 互聯網 編輯: 2010/12/08 11:07:03  字體:

  時下討論公司內部控制,幾乎言必談《SOX法案》302條款和404條款。其實,這是遠遠不夠的。上市公司滿足了證券監(jiān)管機構的要求,只不過是建立內部控制機制的一部分,而不是全部。換句話說,實現透明可靠的財務報告,只是內部控制的第一級基本目標。而更為重要的內部控制目標,在于保護企業(yè)財產安全、實現有效率和有效益的經營以及循規(guī)守法。同時,應該強調的是,上市公司就數量而言只不過是全部企業(yè)中的很小一部分,眾多的非上市及中小企業(yè)同樣需要內部控制。

  UT斯達康的挫折

  《SOX法案》全稱《公眾公司會計改革和投資者保護法案》(也簡稱“薩班斯法案”),系美國總統(tǒng)布什2002年7月30日簽署,自公布之日起30天內對美國公司生效,對美國以外的公司則從2005年7月15日(后推延到2006年7月15日)之后結束的會計年度開始執(zhí)行。

  由于我國實行自然會計年度,上市公司年度報告在每年4月底之前公布,而對內部控制有效性的評估報告是與年度審計報告同時發(fā)布,所以,從某種意義上講,中國公司在2007年春季發(fā)布2006年年度報告之前,多出了半年左右的‘緩刑’時間。事實上,已經有多家中國公司提前步入了《SOX法案》軌道,其中包括搜狐網、新浪網、亞信控股、UT斯達康等公司。

  翻開亞信控股公司2005年年報,第49頁是德勤會計師事務所于 2006年3月15日簽署的獨立注冊公眾會計師事務所報告,其中,針對亞信公司與財務報告有關的內部控制有效性,出具的是一份典型的、具有肯定含義的標準意見。

  翻開UT斯達康公司2006年6月26日發(fā)布的2005年年報,在普華永道會計師行長長的審計師報告中,開頭是一段聲明,大意是:“我們對UT斯達康公司2004、2005年的合并財務報表、以及2005年的內部控制實施了審計,我們的審計是遵循美國公眾公司會計監(jiān)管委員會制定的標準)”;審計師報告末尾則是一段帶負面含義的綜合評價,大意是:“我們認為,UT斯達康公司管理者關于對2005年底公司財務報告未能達到有效內部控制的評價,在所有重要方面是公允表達的。我們還認為,由于存在對實現控制標準的重要缺陷,UT斯達康公司沒有能夠達到基于COSO內部控制整合框架的有效內部控制”。

  解讀普華永道會計師行的審計聲明和審計意見,我們至少結識了這樣幾個關鍵概念:有關財務報告的內部控制、公眾公司會計監(jiān)管委員會(PCAOB)、管理者自己對內部控制的評價、COSO內部控制整合框架、內部控制重要缺陷、等等。

  怎樣理解這些概念?從UT斯達康的審計意見能夠得到何種啟示呢?

  從404條款、COSO框架到PCAOB

  《SOX法案》的目標是加強公司治理、重建投資者的信心和化解誠信危機。其中,針對內部控制的內容主要是404條款。該條款引用COSO內部控制框架,作為對公司內部控制有效性進行審核的專業(yè)標準。404條款提出的內部控制評審要求,目的在于通過加強內部控制來改進公司治理狀況,最終加強公司的責任。

  COSO內部控制框架的內容涵蓋企業(yè)運營的各個領域,要求管理層必須記錄、檢查內部控制系統(tǒng)的有效性、提供足夠的證據并對內部控制的有效性公開發(fā)表聲明。其中,對內部控制的定義是:由董事會、管理當局和其他員工實施的、為保證財務報告的可靠性、經營的有效性、以及遵循現行法規(guī)的等目標,達成所設定企業(yè)目標而提供合理保證的政策和實施程序。在這個定義中,既界定了內部控制的實施主體,也明確了內部控制的三個主要目標:透明可靠的財務報告;有效率和效益的經營;循規(guī)守法和保護企業(yè)財產安全。

  COSO 報告將內部控制的整體架構表達為五要素,分別是控制環(huán)境、風險評估、控制活動、信息與溝通與監(jiān)督。

  說到COSO內部控制框架,就不能不提及1985年成立的反對舞弊虛假財務報告委員會,該委員會的重點任務是研究舞弊性財務報告產生的原因及對策。根據該委員會1987年工作報告的建議,又組成一個專門研究內部控制問題的委員會,這就是COSO。1992年,COSO提交的《內部控制——整體框架》,就是著名的COSO報告。經過兩年的修改,1994年,COSO委員會提出了報告修改版,擴大了內部控制涵蓋的范圍,增加了與保障資產安全有關的控制,得到美國審計總署(GAO)的正式認可。與此同時,美國注冊會計師協(xié)會AICPA全面接受COSO內部控制框架。

  COSO內部控制框架提出了強化內部控制的體系結構,具有重要的歷史意義和現實意義。不過,盡管其重要性早已得到專業(yè)界的普遍認可,但在實際應用方面一直比較滯后,直到《SOX法案》404條款明確將其作為建立內部控制的依據,局面才有所改觀。自此,COSO內部控制框架在建立、審核和評價公司內部控制機制方面具有了法理依據地位。

  2004年3月,依照《SOX法案》成立的公眾公司會計監(jiān)管委員會(PCAOB)發(fā)布第2號審計準則《與財務報告審計協(xié)同進行的對內部控制的審計》,并于2004年6月得到美國證監(jiān)會(SEC)的批準,成為內部控制審計的法理依據。該準則要求審計師明確發(fā)表兩項意見,一是針對管理層自己的流程評估,評價其結論是否在合理的基礎上得出,是否令人心服;二是獨立測試內部控制的有效性,以確認管理層的評估是否正確,并得到公允表達。

  對公司的內部控制進行評估,就是要確認公司管理層是否有效地進行了以下工作:確認評估對象、范疇;評估控制的失效風險;評估主要發(fā)現是否與評估結果相一致;評估缺陷的嚴重性;就主要發(fā)現與有關方面進行溝通,等等。評估報告中所說的重要缺陷(material weakness),是一個或多個控制弱點(control deficiency)的組合,重要缺陷會對公司財務數據流程(授權、處理、報告)造成負面影響,導致不能防范或發(fā)現財務信息的錯報。審計人員將測試發(fā)現的問題進行匯總并評估,確認這些問題是否構成重要缺陷,從而形成審計意見。當財務報告的內部控制存在一個或一個以上重要缺陷,審計師必須發(fā)表否定意見。

  于是,我們在UT斯達康公司和亞信公司的2005年度報告中,讀到了針對公司內部控制的審計意見。其中,普華永道在為UT斯達康公司2005年度報告出具的審計師報告中,指出了UT斯達康公司在控制環(huán)境、所屬單位監(jiān)控、關聯方交易、財務人員勝任能力等多個方面存在的十多項重要缺陷。

  內控機制的真正目的

  設計企業(yè)內部控制機制,是否只是為了應對外部壓力、滿足形式上的需要,如應付監(jiān)管機構、向股東交代、給社會各界看;強化內部控制是否是企業(yè)經營管理的需要?答案似乎顯而易見:內部控制當然既要保證滿足外部要求,也要保證企業(yè)正常運營。然而,現實社會中的情況遠非如此簡單與理想化。

  我們知道,《SOX法案》404條款要求的內部控制建設及有效性審計,是針對財務報告的。從UT斯達康公司和亞信公司的年度報告中讀到的針對內部控制的審計意見,無論肯定含義還是否定含義,都只是針對財務報告的編制和公布。換句話說,都只是針對生產經營結果的財務表述和信息披露,而不是針對生產經營和管理本身。然而,在COSO內部控制框架文件中,透明可靠的財務報告只是企業(yè)內部控制系統(tǒng)的三大主要目標之一。

  可以這樣說,作為著眼于保護社會公眾利益的證券監(jiān)管機構,不論是美國的SEC還是中國的證監(jiān)會,最關注的當然是與證券市場正常運轉密切相關的公司財務信息披露質量,因為財務信息披露影響到投資人(包括現實投資人和潛在投資人)、其他利益相關者的決策行為和后果;而對于公司的現實投資人、經營決策者、管理層以及員工來講,實現透明可靠的財務報告只是內部控制的第一級基本目標。

  一句話,滿足《SOX法案》404條款的要求,只不過是建立內部控制機制的一部分,而不是全部。更何況,上市公司以至公眾公司,只是全社會中所有企業(yè)中的一小部分。對于更多的非上市、非公眾企業(yè)來說,內部控制的目標當然就更不僅僅限于透明可靠的財務信息了。

  如是觀之,既使得到了外部審核和評價的肯定意見,并不意味著公司內部控制機制就一定是令人滿意的!更為重要的內部控制目標,在于有效率和有效益的經營、循規(guī)守法和保護企業(yè)財產安全。

  這樣,對公司至少提出了兩點要求。

  首先,設置必要的內部控制部門,給予適當的職位和必要的職權,特別要注意內部控制部門‘空化’問題,不要讓內部控制部門成為擺設品。

  其次,人員配置和制度設計要匹配,絕對避免身兼具有角色沖突性的多個職務;同時要注意,在人員配置時應避免關系密切人員或者利益密切人員進行相互監(jiān)督;應最大可能地預先控制經理人道德風險漏洞。

  自我評價與內部審計

  其實,我國企業(yè)內部控制已經不是最新命題,目前至少已經具備了包含“內部控制”字樣的諸種規(guī)范文件和實踐:2001年起財政部頒布《內部會計控制規(guī)范》系列,2002年中央銀行頒布《商業(yè)銀行內部控制指引》,2002年證監(jiān)會頒布《證券公司內部控制指引》,2004年銀監(jiān)會頒布《商業(yè)銀行內部控制評價試行辦法》,等等;我國商業(yè)銀行、證券公司等金融機構的年度報告中,已經實施并包含了注冊會計師針對會計報表和財務信息的內部控制審核評價報告。

  只是,由于強化公司內部控制并非一朝一夕之事,加之專業(yè)性強,所以沒有成為大眾媒體緊緊追逐的熱點,只有專業(yè)人士才會仔細跟蹤觀察。由于《SOX法案》涉及所有中國在美上市的公司,讓國內媒體和民眾對內部控制問題特別關心起來。

  必須指出,從形式上建立起完整的企業(yè)內部控制制度,并不等于為企業(yè)實現正常運營加上了保險鎖。內部控制制度的‘控制’功能決不會自動發(fā)揮。任何內部管理制度,無論其理論基礎如何雄厚、實施方案如何詳盡,在其實施過程中能不能發(fā)生作用,能不能落到實處,能不能達到效果,關鍵因素還是在于‘人’。制度不是自動化機器,不會自動運轉,制度要依靠全體員工來落實。作為制度的制訂者和監(jiān)督者,董事會和高管層首先要率己,帶頭遵守,才能上行下效,保證制度真正落實和貫徹。

  控制自我評價(CSA)就是一種使內部控制融入組織程序的自我審查機制,它強調經理層的控制意識和控制的責任,由公司全體員工共同對風險控制進行持續(xù)評價、持續(xù)監(jiān)控或關鍵監(jiān)控??刂谱晕以u價有自身理論模型和一整套措施,但具體由誰來負責日常執(zhí)行呢?

  于是,內部審計制度閃亮登場。

  歷史上,內部審計制度就是作為組織機構的控制職能而產生的,服務于組織的督察、考核、評價等控制職能。傳統(tǒng)的內部審計偏重在財務方面,現代內部審計則跳出了財務圈子。盡管內部審計本身就是控制的一個類型,但還有更大范圍的其他多種控制。內部審計的具體角色就是幫助考核、評價其他的多種控制。在組織機構建立計劃并根據運營著手計劃執(zhí)行時,一定會監(jiān)控運營狀況,確保實現組織機構的既定目標,我們可以將這些深層次的努力看作是控制?;诳刂颇康?,內部審計人員會檢查和評價組織的所有活動,從而為組織提供保障服務。內部審計人員通過評價現有的控制,就能幫助有關的責任人更有效的實現結果,并為協(xié)助改進有關控制提供依據。當然,現在的內部審計行業(yè),不僅僅關注內控,它還關注風險管理、治理過程的有效性。

  毫無疑問,《SOX法案》404條款使內部審計人員的角色和職責再一次發(fā)生變化。在組織機構整體的內部控制框架中,內部審計的重要性較以往增加了許多。為了使內部控制框架有效,審計人員必定要很好的理解內部控制,每一位涉及《SOX法案》404條款評審的內部審計人員,都應當了解公認會計原則(GAAP)及其相應的財務控制?!禨OX法案》的條款不僅對美國上市公司的內部審計人員產生了重要的影響,還引發(fā)了當代內部審計的新規(guī)則?,F在的內部審計,在同審計委員會、高層管理者(特別是財務高管)以及外部審計師打交道時,必須扮演稍微不同的角色。

  可以說,隨著《SOX法案》在全球影響的擴展,內部審計發(fā)揮作用的范圍及其所扮演的角色都在不斷擴大,而組織機構對于內部審計職能的期望也在不斷增加。如何構建戰(zhàn)略性的內部審計職能以便為組織機構增值,如何培養(yǎng)具有勝任能力的內部審計人員服務于組織機構,不僅是高層管理當局考慮的問題,也成為困惑當前內部審計行業(yè)人員的關鍵問題。

  固有局限

  必須指出,無論內部控制制度被設計得多么完美,運行得多么符合設計者的預期,都不是萬能的,因為其自身存在著固有的內生性局限,具體表現在以下幾個方面。

  首先,人為疏忽、分心、疲憊、誤解指令、判斷失誤等,可能使健全有效的內部控制失靈;

  其次,內部控制一般是為經常發(fā)生的經濟業(yè)務而設計的,因此一旦發(fā)生異常或未預計到的業(yè)務,就會有失控或原有控制不適用的可能性;

  第三,管理階層為美化企業(yè)財務業(yè)績或遵循法令狀況等目的,不遵守已經明確制定的政策或程序(美國Treadway委員會曾指出,至少有66%的欺詐性財務報告訴訟案,與最高管理當局逾越內部控制有關);

  最后,控制成本與效益都是難以確切計量的,因此需要運用主觀判斷做出決策。

  并且,在出現以下幾種情況時,內部控制將很有可能失效:

  一是串通舞弊謀取個人私利:不兼容職務分離是為了達到相互監(jiān)督的效果,但若負有不同職責的員工串通舞弊,或本企業(yè)員工通過外部關系規(guī)避控制,協(xié)同作弊,將會導致內部控制失效;

  二是濫用權力:如果公司管理層故意舞弊,不受法規(guī)、制度的約束,將會導致內部控制失效;

  三是如果執(zhí)行內部控制制度的人員素質較差,不具備勝任能力,難以履行其控制職責, 內部控制制度也難以發(fā)揮作用。

  在我國的銀行業(yè),內部控制的固有局限性體現得最為明顯。一般而言,金融業(yè)尤其是銀行業(yè)的內部控制制度建設,在我國企業(yè)界是走在前面的。但最近幾年,銀行業(yè)不斷出現違規(guī)違法案件,并造成一定的經濟損失和行業(yè)信譽損失。這不僅告訴我們內部控制制度建設的重要性,而且也充分說明建設制度固然重要,有效地實施制度更為重要。

我要糾錯】 責任編輯:cheery

實務學習指南

回到頂部
折疊
網站地圖

Copyright © 2000 - 8riaszlp.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有

京B2-20200959 京ICP備20012371號-7 出版物經營許可證 京公網安備 11010802044457號