满足SOX404不是内部控制最根本的目标

作者:新理财来源:王立彦推荐讲师:郭大刚发表于:2010-05-17

  时下讨论公司内部控制,几乎言必谈《SOX法案》302条款和404条款。其实,这是远远不够的。上市公司满足了证券监管机构的要求,只不过是建立内部控制机制的一部分,而不是全部。换句话说,实现透明可靠的财务报告,只是内部控制的第一级基本目标。而更为重要的内部控制目标,在于保护企业财产安全、实现有效率和有效益的经营以及循规守法。同时,应该强调的是,上市公司就数量而言只不过是全部企业中的很小一部分,众多的非上市及中小企业同样需要内部控制。

  UT斯达康的挫折

  《SOX法案》全称《公众公司会计改革和投资者保护法案》(也简称“萨班斯法案”),系美国总统布什2002年7月30日签署,自公布之日起30天内对美国公司生效,对美国以外的公司则从2005年7月15日(后推延到2006年7月15日)之后结束的会计年度开始执行。

  由于我国实行自然会计年度,上市公司年度报告在每年4月底之前公布,而对内部控制有效性的评估报告是与年度审计报告同时发布,所以,从某种意义上讲,中国公司在2007年春季发布2006年年度报告之前,多出了半年左右的‘缓刑’时间。事实上,已经有多家中国公司提前步入了《SOX法案》轨道,其中包括搜狐网、新浪网、亚信控股、UT斯达康等公司。

  翻开亚信控股公司2005年年报,第49页是德勤会计师事务所于 2006年3月15日签署的独立注册公众会计师事务所报告,其中,针对亚信公司与财务报告有关的内部控制有效性,出具的是一份典型的、具有肯定含义的标准意见。

  翻开UT斯达康公司2006年6月26日发布的2005年年报,在普华永道会计师行长长的审计师报告中,开头是一段声明,大意是:“我们对UT斯达康公司2004、2005年的合并财务报表、以及2005年的内部控制实施了审计,我们的审计是遵循美国公众公司会计监管委员会制定的标准)”;审计师报告末尾则是一段带负面含义的综合评价,大意是:“我们认为,UT斯达康公司管理者关于对2005年底公司财务报告未能达到有效内部控制的评价,在所有重要方面是公允表达的。我们还认为,由于存在对实现控制标准的重要缺陷,UT斯达康公司没有能够达到基于COSO内部控制整合框架的有效内部控制”。

  解读普华永道会计师行的审计声明和审计意见,我们至少结识了这样几个关键概念:有关财务报告的内部控制、公众公司会计监管委员会(PCAOB)、管理者自己对内部控制的评价、COSO内部控制整合框架、内部控制重要缺陷、等等。

  怎样理解这些概念?从UT斯达康的审计意见能够得到何种启示呢?

  从404条款、COSO框架到PCAOB

  《SOX法案》的目标是加强公司治理、重建投资者的信心和化解诚信危机。其中,针对内部控制的内容主要是404条款。该条款引用COSO内部控制框架,作为对公司内部控制有效性进行审核的专业标准。404条款提出的内部控制评审要求,目的在于通过加强内部控制来改进公司治理状况,最终加强公司的责任。

  COSO内部控制框架的内容涵盖企业运营的各个领域,要求管理层必须记录、检查内部控制系统的有效性、提供足够的证据并对内部控制的有效性公开发表声明。其中,对内部控制的定义是:由董事会、管理当局和其他员工实施的、为保证财务报告的可靠性、经营的有效性、以及遵循现行法规的等目标,达成所设定企业目标而提供合理保证的政策和实施程序。在这个定义中,既界定了内部控制的实施主体,也明确了内部控制的三个主要目标:透明可靠的财务报告;有效率和效益的经营;循规守法和保护企业财产安全。

  COSO 报告将内部控制的整体架构表达为五要素,分别是控制环境、风险评估、控制活动、信息与沟通与监督。五要素之间的关系如图1所示。
  
  图1 COSO内部控制架构图

  说到COSO内部控制框架,就不能不提及1985年成立的反对舞弊虚假财务报告委员会,该委员会的重点任务是研究舞弊性财务报告产生的原因及对策。根据该委员会1987年工作报告的建议,又组成一个专门研究内部控制问题的委员会,这就是COSO。1992年,COSO提交的《内部控制——整体框架》,就是著名的COSO报告。经过两年的修改,1994年,COSO委员会提出了报告修改版,扩大了内部控制涵盖的范围,增加了与保障资产安全有关的控制,得到美国审计总署(GAO)的正式认可。与此同时,美国注册会计师协会AICPA全面接受COSO内部控制框架。

  COSO内部控制框架提出了强化内部控制的体系结构,具有重要的历史意义和现实意义。不过,尽管其重要性早已得到专业界的普遍认可,但在实际应用方面一直比较滞后,直到《SOX法案》404条款明确将其作为建立内部控制的依据,局面才有所改观。自此,COSO内部控制框架在建立、审核和评价公司内部控制机制方面具有了法理依据地位。

  2004年3月,依照《SOX法案》成立的公众公司会计监管委员会(PCAOB)发布第2号审计准则《与财务报告审计协同进行的对内部控制的审计》,并于2004年6月得到美国证监会(SEC)的批准,成为内部控制审计的法理依据。该准则要求审计师明确发表两项意见,一是针对管理层自己的流程评估,评价其结论是否在合理的基础上得出,是否令人心服;二是独立测试内部控制的有效性,以确认管理层的评估是否正确,并得到公允表达。

  对公司的内部控制进行评估,就是要确认公司管理层是否有效地进行了以下工作:确认评估对象、范畴;评估控制的失效风险;评估主要发现是否与评估结果相一致;评估缺陷的严重性;就主要发现与有关方面进行沟通,等等。评估报告中所说的重要缺陷(material weakness),是一个或多个控制弱点(control deficiency)的组合,重要缺陷会对公司财务数据流程(授权、处理、报告)造成负面影响,导致不能防范或发现财务信息的错报。审计人员将测试发现的问题进行汇总并评估,确认这些问题是否构成重要缺陷,从而形成审计意见。当财务报告的内部控制存在一个或一个以上重要缺陷,审计师必须发表否定意见。

  于是,我们在UT斯达康公司和亚信公司的2005年度报告中,读到了针对公司内部控制的审计意见。其中,普华永道在为UT斯达康公司2005年度报告出具的审计师报告中,指出了UT斯达康公司在控制环境、所属单位监控、关联方交易、财务人员胜任能力等多个方面存在的十多项重要缺陷。

  内控机制的真正目的

  设计企业内部控制机制,是否只是为了应对外部压力、满足形式上的需要,如应付监管机构、向股东交代、给社会各界看;强化内部控制是否是企业经营管理的需要?答案似乎显而易见:内部控制当然既要保证满足外部要求,也要保证企业正常运营。然而,现实社会中的情况远非如此简单与理想化。

  我们知道,《SOX法案》404条款要求的内部控制建设及有效性审计,是针对财务报告的。从UT斯达康公司和亚信公司的年度报告中读到的针对内部控制的审计意见,无论肯定含义还是否定含义,都只是针对财务报告的编制和公布。换句话说,都只是针对生产经营结果的财务表述和信息披露,而不是针对生产经营和管理本身。然而,在COSO内部控制框架文件中,透明可靠的财务报告只是企业内部控制系统的三大主要目标之一。

  可以这样说,作为着眼于保护社会公众利益的证券监管机构,不论是美国的SEC还是中国的证监会,最关注的当然是与证券市场正常运转密切相关的公司财务信息披露质量,因为财务信息披露影响到投资人(包括现实投资人和潜在投资人)、其他利益相关者的决策行为和后果;而对于公司的现实投资人、经营决策者、管理层以及员工来讲,实现透明可靠的财务报告只是内部控制的第一级基本目标。

  一句话,满足《SOX法案》404条款的要求,只不过是建立内部控制机制的一部分,而不是全部。更何况,上市公司以至公众公司,只是全社会中所有企业中的一小部分。对于更多的非上市、非公众企业来说,内部控制的目标当然就更不仅仅限于透明可靠的财务信息了。

  如是观之,既使得到了外部审核和评价的肯定意见,并不意味着公司内部控制机制就一定是令人满意的!更为重要的内部控制目标,在于有效率和有效益的经营、循规守法和保护企业财产安全。

  这样,对公司至少提出了两点要求。

  首先,设置必要的内部控制部门,给予适当的职位和必要的职权,特别要注意内部控制部门‘空化’问题,不要让内部控制部门成为摆设品。

  其次,人员配置和制度设计要匹配,绝对避免身兼具有角色冲突性的多个职务;同时要注意,在人员配置时应避免关系密切人员或者利益密切人员进行相互监督;应最大可能地预先控制经理人道德风险漏洞。  

  自我评价与内部审计

  其实,我国企业内部控制已经不是最新命题,目前至少已经具备了包含“内部控制”字样的诸种规范文件和实践:2001年起财政部颁布《内部会计控制规范》系列,2002年中央银行颁布《商业银行内部控制指引》,2002年证监会颁布《证券公司内部控制指引》,2004年银监会颁布《商业银行内部控制评价试行办法》,等等;我国商业银行、证券公司等金融机构的年度报告中,已经实施并包含了注册会计师针对会计报表和财务信息的内部控制审核评价报告。

  只是,由于强化公司内部控制并非一朝一夕之事,加之专业性强,所以没有成为大众媒体紧紧追逐的热点,只有专业人士才会仔细跟踪观察。由于《SOX法案》涉及所有中国在美上市的公司,让国内媒体和民众对内部控制问题特别关心起来。

  必须指出,从形式上建立起完整的企业内部控制制度,并不等于为企业实现正常运营加上了保险锁。内部控制制度的‘控制’功能决不会自动发挥。任何内部管理制度,无论其理论基础如何雄厚、实施方案如何详尽,在其实施过程中能不能发生作用,能不能落到实处,能不能达到效果,关键因素还是在于‘人’。制度不是自动化机器,不会自动运转,制度要依靠全体员工来落实。作为制度的制订者和监督者,董事会和高管层首先要率己,带头遵守,才能上行下效,保证制度真正落实和贯彻。

  控制自我评价(CSA)就是一种使内部控制融入组织程序的自我审查机制,它强调经理层的控制意识和控制的责任,由公司全体员工共同对风险控制进行持续评价、持续监控或关键监控。控制自我评价有自身理论模型和一整套措施,但具体由谁来负责日常执行呢?

  于是,内部审计制度闪亮登场。

  历史上,内部审计制度就是作为组织机构的控制职能而产生的,服务于组织的督察、考核、评价等控制职能。传统的内部审计偏重在财务方面,现代内部审计则跳出了财务圈子。尽管内部审计本身就是控制的一个类型,但还有更大范围的其他多种控制。内部审计的具体角色就是帮助考核、评价其他的多种控制。在组织机构建立计划并根据运营着手计划执行时,一定会监控运营状况,确保实现组织机构的既定目标,我们可以将这些深层次的努力看作是控制。基于控制目的,内部审计人员会检查和评价组织的所有活动,从而为组织提供保障服务。内部审计人员通过评价现有的控制,就能帮助有关的责任人更有效的实现结果,并为协助改进有关控制提供依据。当然,现在的内部审计行业,不仅仅关注内控,它还关注风险管理、治理过程的有效性。

  毫无疑问,《SOX法案》404条款使内部审计人员的角色和职责再一次发生变化。在组织机构整体的内部控制框架中,内部审计的重要性较以往增加了许多。为了使内部控制框架有效,审计人员必定要很好的理解内部控制,每一位涉及《SOX法案》404条款评审的内部审计人员,都应当了解公认会计原则(GAAP)及其相应的财务控制。《SOX法案》的条款不仅对美国上市公司的内部审计人员产生了重要的影响,还引发了当代内部审计的新规则。现在的内部审计,在同审计委员会、高层管理者(特别是财务高管)以及外部审计师打交道时,必须扮演稍微不同的角色。

  可以说,随着《SOX法案》在全球影响的扩展,内部审计发挥作用的范围及其所扮演的角色都在不断扩大,而组织机构对于内部审计职能的期望也在不断增加。如何构建战略性的内部审计职能以便为组织机构增值,如何培养具有胜任能力的内部审计人员服务于组织机构,不仅是高层管理当局考虑的问题,也成为困惑当前内部审计行业人员的关键问题。

  固有局限

  必须指出,无论内部控制制度被设计得多么完美,运行得多么符合设计者的预期,都不是万能的,因为其自身存在着固有的内生性局限,具体表现在以下几个方面。

  首先,人为疏忽、分心、疲惫、误解指令、判断失误等,可能使健全有效的内部控制失灵;

  其次,内部控制一般是为经常发生的经济业务而设计的,因此一旦发生异常或未预计到的业务,就会有失控或原有控制不适用的可能性;

  第三,管理阶层为美化企业财务业绩或遵循法令状况等目的,不遵守已经明确制定的政策或程序(美国Treadway委员会曾指出,至少有66%的欺诈性财务报告诉讼案,与最高管理当局逾越内部控制有关);

  最后,控制成本与效益都是难以确切计量的,因此需要运用主观判断做出决策。

  并且,在出现以下几种情况时,内部控制将很有可能失效:

  一是串通舞弊谋取个人私利:不兼容职务分离是为了达到相互监督的效果,但若负有不同职责的员工串通舞弊,或本企业员工通过外部关系规避控制,协同作弊,将会导致内部控制失效;

  二是滥用权力:如果公司管理层故意舞弊,不受法规、制度的约束,将会导致内部控制失效;

 

  三是如果执行内部控制制度的人员素质较差,不具备胜任能力,难以履行其控制职责, 内部控制制度也难以发挥作用。

  在我国的银行业,内部控制的固有局限性体现得最为明显。一般而言,金融业尤其是银行业的内部控制制度建设,在我国企业界是走在前面的。但最近几年,银行业不断出现违规违法案件,并造成一定的经济损失和行业信誉损失。这不仅告诉我们内部控制制度建设的重要性,而且也充分说明建设制度固然重要,有效地实施制度更为重要。

↵ 返回文章列表