美國SOX法案對完善我國上市公司內(nèi)部控制的啟示

美國SOX法案對完善我們國家上市公司內(nèi)部控制的啟示1引言當(dāng)前，市場的誠信已成為一個地區(qū)或國家最具有國際競爭實力的重要指標(biāo)之一。美國“薩班斯法案〞〔SOX法案〕的出臺無疑是監(jiān)管機構(gòu)揮出的一記重拳和最嚴(yán)厲的監(jiān)督法律，法案要求所有美國上市必須建立和完善內(nèi)控體系，并對層提出了明確的責(zé)任要求。法案中最難操作、成本最高的是對公司治理和完善內(nèi)部控制的全面要求，其核心是促進(jìn)完善內(nèi)部控制，提高公眾披露信息的質(zhì)量和透明度，以建立、完善并有效運行內(nèi)部控制和風(fēng)險機制，實現(xiàn)公司運營過程的全方位風(fēng)險管理。此法案為全球其他地區(qū)的監(jiān)管機構(gòu)提供了借鑒和參考模式。2007年以來，國資委、上交所、深交所等紛紛發(fā)布指引性文件或征求意見稿，要求中國加強內(nèi)控。中國在美上市電信企業(yè)利用執(zhí)行SOX法案的契機，建設(shè)與實施內(nèi)部監(jiān)控系統(tǒng)，提升公司整體管理水平，同時也為國內(nèi)上市公司完善內(nèi)部控制提供了借鑒。2SOX法案概述2.1SOX法案的出臺背景隨著2001年美國最大天然氣采購及出售商--安然公司財務(wù)造假案的曝光，拉開了美國大公司財務(wù)造假丑聞的序幕。此后相繼暴露出多家大公司財務(wù)造假，從企業(yè)規(guī)模來看，既有聲名顯赫的巨型公司，如全球通訊公司、世界通訊公司、施樂公司，也有小公司如泰科公司等。此次“美國公司假賬丑聞浪潮〞經(jīng)媒體渲染引發(fā)了整個對美國公司的信任危機，造成美國股票市場持續(xù)下跌，延緩了美國的復(fù)蘇步伐，從而也打擊了者對美國資本市場的信心。為整頓上市公司秩序、重建者信心、提高投資者所依賴的財務(wù)報告的信息質(zhì)量，美國參議員薩班斯(Sarbanes)和眾議員奧克斯利(Oxley)聯(lián)合提出了〔薩班斯-奧克斯利法案〕，簡稱“SOX法案〞，該法案最初于2002年2月14日提交給國會眾議院服務(wù)委員會，經(jīng)過多次聽證、修訂，該修正稿以高票分別在參眾兩院通過，2002年7月正式獲得通過成為美國的一項法律?！睸OX法案〕是繼美國1933年〔證券法〕、1934年〔證券交易法〕以來又一部具有里程碑意義的法律，其效力涵蓋了注冊于美國證監(jiān)會(SEC)之下的約14,000家公司，其中包括了大量的非美國公司。2.2SOX法案404條款的內(nèi)容概述作為SOX法案中最重要的條款之一，第404條款明確規(guī)定了管理層對公司內(nèi)部控制須進(jìn)行評估。2.2.1內(nèi)部控制方面的要求：要求公司年報中包括一份“內(nèi)部控制報告〞，該報告應(yīng)包括以下內(nèi)容：〔1〕明確指出公司管理層對建立和保持一套完整的與財務(wù)報告相關(guān)的內(nèi)部控制系統(tǒng)和程序所負(fù)有的責(zé)任；〔2〕根據(jù)1934年證券交易法中13(a)或15(d)款要求遞交年報的公司，其管理層在財務(wù)年度期末須對與公司財務(wù)報告相關(guān)的內(nèi)部控制體系及程序的有效性進(jìn)行評估。2.2.2內(nèi)部控制評價報告受托的上市公司師應(yīng)按照上市公司監(jiān)管委員會對審核約定所發(fā)布或采用的準(zhǔn)則就管理層關(guān)于內(nèi)部控制的評估進(jìn)行測試和評價，并出具評價報告。上述評價過程不應(yīng)當(dāng)作為一項單獨的業(yè)務(wù)。〔張為國等〔2003〕〕顯然，404條款對公司內(nèi)部控制作出的嚴(yán)格要求是為了保證公司財務(wù)報告的可靠性，使公眾更易察覺公司的欺詐行為，保障廣大投資者的利益。從SOX法案2002年7月生效至今，美國SEC不斷推遲SOX404條款的執(zhí)行時間可以看出，它的執(zhí)行困難重重。公司在遵循404條款時，首先需要制定內(nèi)部控制詳細(xì)目錄，參照諸如COSO(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)委員會之類的內(nèi)部控制研究機構(gòu)的內(nèi)部控制框架，記錄控制措施、評估方法及未來用來彌補控制缺陷的政策和建立內(nèi)部控制流程。其次，對公司的內(nèi)部控制流程進(jìn)行測試，以確保控制措施和補救手段起到預(yù)期作用。最后，管理層對公司內(nèi)部控制有效性作出評價并將上述各項活動情況整理后出具一份正式的報告?？梢?，SOX法案404條款的要求就是對公司與財務(wù)相關(guān)的內(nèi)部控制的要求。3中國電信企業(yè)應(yīng)對SOX法案，完善和優(yōu)化內(nèi)控體系的措施2006年7月15日，對于所有在美上市的中國企業(yè)來說是一個“分水嶺〞。當(dāng)前我們國家四大電信運營商全部在美國上市，他們積極采取措施，構(gòu)建法案要求的內(nèi)控系統(tǒng)，并通過了“薩式〞大考。重視內(nèi)部控制，尤其作為信息化水平很高、業(yè)務(wù)流程依賴于IT流程的電信企業(yè)，完善IT內(nèi)部控制顯得尤為迫切而且關(guān)系到公司的可持續(xù)發(fā)展。3.1中國移動中國移動根據(jù)SOX法案的要求，于2004年通過了適用于本集團(tuán)首席執(zhí)行官、財務(wù)總監(jiān)、副財務(wù)總監(jiān)、助理財務(wù)總監(jiān)以及其他高級財務(wù)人員的職業(yè)操守守則。根據(jù)該守則，如發(fā)生違反守則的情況，本公司經(jīng)與董事會協(xié)商，將采取適當(dāng)?shù)姆婪痘驊徒湫源胧?005年9月，中國移動在福建、天津、湖北、山西等4家省級公司開始實施SOX法案的全面試點。試點涵蓋企業(yè)經(jīng)營、IT系統(tǒng)控制、投管理、財務(wù)監(jiān)控、法律法規(guī)監(jiān)督等13個大類、38個細(xì)項，對于企業(yè)內(nèi)部流程梳理、加強財務(wù)投資監(jiān)管、協(xié)調(diào)內(nèi)部資源分配、提高管理透明度等方面都具有相當(dāng)大的影響。為了實施“SOX法案〞，中國移動從公司總部到試點省級公司均成立了專項運營小組，挑選出大量的專業(yè)人員專門負(fù)責(zé)整個項目試點工作，并且引入畢馬威公司作為執(zhí)行顧問，對試點工作以及未來的全面正式運營提供指導(dǎo)和規(guī)范。根據(jù)美國〔SOX法案〕第404條款的規(guī)定，公司按照COSO框架建立和完善了全面的內(nèi)部控制及風(fēng)險管理體系。2006年，公司以標(biāo)準(zhǔn)化內(nèi)部控制手冊和控制矩陣為模板，系統(tǒng)化地對中國內(nèi)地31家運營子公司的35個業(yè)務(wù)單位與財務(wù)報告相關(guān)的內(nèi)部控制進(jìn)行全面的流程記錄，完善制度，在本集團(tuán)內(nèi)部實施標(biāo)準(zhǔn)化的內(nèi)部控制，包括資本性支出業(yè)務(wù)流程、收入和計費業(yè)務(wù)流程、和財務(wù)報告流程等11個業(yè)務(wù)流程層面的控制，以及信息技術(shù)整體控制和公司層面控制。同時，公司建立了分工明確的責(zé)任機制，并將內(nèi)控管理融入日常業(yè)務(wù)管理中，提升全員的風(fēng)險管理意識，充分發(fā)揮內(nèi)控的監(jiān)督作用。3.2中國網(wǎng)通中國網(wǎng)通自2004年11月起著手推進(jìn)內(nèi)控體系建設(shè)，全集團(tuán)近萬名員工參加了各級內(nèi)控管理培訓(xùn)。2005年，在集團(tuán)總部和7個省市進(jìn)行了調(diào)研試點及試推廣工作，共形成內(nèi)控文檔22套，其中流程描述860個、流程圖1262個，發(fā)現(xiàn)了諸多管理層面及業(yè)務(wù)流程層面的缺陷。結(jié)合內(nèi)控體系建設(shè)，網(wǎng)通集團(tuán)制定并印發(fā)了〔中國網(wǎng)通集團(tuán)信息質(zhì)量問責(zé)管理若干規(guī)定〕，建立了一級對一級負(fù)責(zé)的信息質(zhì)量責(zé)任聲明和傳導(dǎo)機制，規(guī)定所有人員均對披露和提供的信息質(zhì)量簽名承諾，并終身負(fù)責(zé)，有力地推動了內(nèi)控體系的建立。經(jīng)過兩年的艱苦努力，網(wǎng)通公司的ERP項目及內(nèi)部控制系統(tǒng)在2006年底取得了決定性的成功。ERP項目在所有服務(wù)區(qū)域內(nèi)完成系統(tǒng)上線。參考COSO內(nèi)部控制管理框架制定的內(nèi)控體系也全部完成并正式在所有區(qū)域內(nèi)運行。公司設(shè)立的審核委員會不但積極履行了監(jiān)督公司相關(guān)工作的職責(zé)，并且在推動公司內(nèi)部控制體系優(yōu)化方面發(fā)揮了重要作用。審核委員會直接指導(dǎo)公司內(nèi)控項目的實施，審議內(nèi)控項目組定期提交的階段性成果報告，監(jiān)督所發(fā)現(xiàn)內(nèi)控問題的整改，并且建立了有效的投訴舉報渠道。公司在順利通過2006年度薩班斯內(nèi)控審計的前提下，2007年度根據(jù)國際最新的監(jiān)管要求，結(jié)合公司的實際情況，進(jìn)一步完善和優(yōu)化內(nèi)控體系，逐漸建立、健全了內(nèi)控長效機制。3.3中國電信為規(guī)范企業(yè)的內(nèi)部管理，中國電信股份從2003年8月開始就啟動了“中國電信與財務(wù)報告相關(guān)的內(nèi)部控制項目〞，四年多以來，公司以美國證券機構(gòu)相關(guān)監(jiān)管要求和COSO內(nèi)部控制框架為基礎(chǔ)，制定了中國電信股份〔內(nèi)部控制手冊〕及權(quán)限列表、〔內(nèi)部控制管理暫行辦法〕和〔內(nèi)部控制評估暫行辦法〕等制度，各省級公司制定了〔實施細(xì)則〕，以保證對外披露財務(wù)報告的真實可靠，滿足公司內(nèi)部管理需要及資本市場監(jiān)管機構(gòu)要求。中國電信每年都進(jìn)行內(nèi)控體系的自我評估，將發(fā)現(xiàn)的問題層層分解到各級企業(yè)。對于制度本身存在的缺陷，中國電信主動修改制度；對于制度執(zhí)行過程中存在的問題，中國電信加大了執(zhí)行的力度。對于內(nèi)控的重大缺陷以及重大、實質(zhì)性的漏洞，中國電信還在對省級公司和部門的績效考核中加以懲罰。為了更好發(fā)揮內(nèi)部監(jiān)控的作用，公司制定了〔中國電信股份高級管理人員職業(yè)操守守則〕及〔中國電信股份員工職業(yè)操守守則〕；同時建立和完善了內(nèi)部申告機制，鼓勵對本單位員工特別是董事及高級管理人員的違規(guī)情況予以匿名舉報。2006年，公司根據(jù)董事會授權(quán)并結(jié)合業(yè)務(wù)和管理的要求，制定了〔內(nèi)部控制責(zé)任管理暫行辦法〕，通過加強考核管理、細(xì)化責(zé)任分解，有效落實內(nèi)控責(zé)任，推動內(nèi)控工作形成閉環(huán)管理，從而實現(xiàn)公司內(nèi)部管理的規(guī)范化和科學(xué)化。2006年，公司進(jìn)一步強化IT內(nèi)控體系。一方面，通過信息化手段的支撐和固化來提高內(nèi)部控制的效率和效果；另一方面，通過IT內(nèi)控體系的完善來強化風(fēng)險管理，促進(jìn)企業(yè)信息化的發(fā)展。IT內(nèi)控的實施進(jìn)一步完善和提高了公司信息系統(tǒng)的安全性，以確保數(shù)據(jù)、信息的完整性、及時性、可靠性和保密性。3.4中國聯(lián)通中國聯(lián)通從2003年年底開始準(zhǔn)備按照SOX法案的404條款完善公司的內(nèi)部控制制度。首先是梳理會計政策、業(yè)務(wù)流程，揭示風(fēng)險。從2004年開始，中國聯(lián)通開始按照COSO框架的要求完善公司的內(nèi)部控制制度，圍繞經(jīng)營效果和效率、財務(wù)報告真實性、遵從法律法規(guī)三個目標(biāo)，建立了一套滲透所有業(yè)務(wù)和場所的內(nèi)部控制制度、管控機制以及控制責(zé)任體系。公司為了進(jìn)一步提高其治理水平，結(jié)合落實SOX法案的要求，成立了以公司管理層為主要成員的領(lǐng)導(dǎo)小組，該小組制定了內(nèi)控制度建設(shè)工作計劃書。針對有實質(zhì)控制權(quán)力的人，包括總公司高級管理層和一些關(guān)鍵部門的崗位，中國聯(lián)通建立了一套反舞弊的管理辦法，以在執(zhí)行控制程序時發(fā)現(xiàn)、避免造假的發(fā)生。為強化其內(nèi)部監(jiān)控系統(tǒng)，公司已采取了以下措施：3.4.1建立內(nèi)控機制，明確經(jīng)營過程中的關(guān)鍵控制點；3.4.2改進(jìn)信息化系統(tǒng)，以完善內(nèi)控手段，強化財務(wù)報告生成過程的內(nèi)控；3.4.3建立責(zé)任體系，實行更嚴(yán)格的責(zé)任追究制度，以保證財務(wù)信息的準(zhǔn)確性；3.4.4強化對分公司的內(nèi)部審計和監(jiān)督；3.4.5建立企業(yè)風(fēng)險管理體系和風(fēng)險評估程序；3.4.6強化期末關(guān)賬過程監(jiān)控，加強對財務(wù)人員進(jìn)行有關(guān)美國會計準(zhǔn)則和香港財務(wù)報告準(zhǔn)則的培訓(xùn)；3.4.7進(jìn)一步規(guī)范反舞弊及舉報政策和程序。4SOX法案對我們國家上市公司完善內(nèi)部控制的啟示SOX法案的影響是長遠(yuǎn)的，不僅僅在美上市的公司需要完成SOX法案合規(guī)性的工作，隨著全球內(nèi)部控制規(guī)定的逐漸趨同，中國上市公司也需要借鑒那些已經(jīng)通過SOX法案考驗的公司的經(jīng)驗，在建立和完善內(nèi)部控制體系的過程中，不斷提升公司治理水平，達(dá)到世界一流的管理水平。4.1借鑒COSO框架，完善內(nèi)控制度。中國電信運營商按照COSO框架的要求完善內(nèi)控制度，順利通過SOX法案的考驗。內(nèi)控框架的構(gòu)成要素包括控制、風(fēng)險評估、控制活動、信息和溝通、監(jiān)督5個方面。COSO認(rèn)為內(nèi)控是由企業(yè)董事會、經(jīng)理層和其他員工共同實施的，為達(dá)到營運的效率效果、財務(wù)報告的可靠性及相關(guān)法令的遵循性等目標(biāo)提供合理保證的過程。我們國家上市公司可以按COSO建立內(nèi)控框架，通過引入COSO內(nèi)控要素，形成一個相互聯(lián)系、綜合作用的控制整體，使單純的控制活動與企業(yè)、管理目標(biāo)及控制風(fēng)險相結(jié)合，形成一套不斷改進(jìn)、自我完善的內(nèi)控機制。4.2信息技術(shù)，實施風(fēng)險管理。通過將現(xiàn)代信息技術(shù)于企業(yè)內(nèi)部控制中，建立涵蓋風(fēng)險管理基本流程和內(nèi)部控制系統(tǒng)各環(huán)節(jié)的風(fēng)險管理信息系統(tǒng)，從而促進(jìn)企業(yè)實現(xiàn)戰(zhàn)略目標(biāo)、提升營運效率、提高信息質(zhì)量、保證公司資產(chǎn)安全。企業(yè)ERP信息系統(tǒng)是一個綜合信息管理體系，覆蓋公司經(jīng)營全過程，實現(xiàn)公司運營數(shù)據(jù)收集、存儲、處理、報告和信息披露的自動化；使所有交易都在系統(tǒng)中進(jìn)行、所有資源都在系統(tǒng)中受控，所有信息都在系統(tǒng)中得到反映。以信息技術(shù)手段實施內(nèi)部控制，減少或消除人為操縱因素，增強控制程序，確保內(nèi)部控制的有效實施。在企業(yè)ERP信息系統(tǒng)的信息報告基礎(chǔ)上，從業(yè)務(wù)過程風(fēng)險監(jiān)控和預(yù)警角度出發(fā)，建立涵蓋全面風(fēng)險管理流程的風(fēng)險預(yù)警分析系統(tǒng)。風(fēng)險管理信息系統(tǒng)，可以及時傳輸企業(yè)運營風(fēng)險狀況，為風(fēng)險管理全過程提供準(zhǔn)確的信息。市場變化日益加速，企業(yè)間的競爭日益加劇，都要求各級管理者能及時提供有效、準(zhǔn)確的信息，風(fēng)險管理信息系統(tǒng)的建立，可進(jìn)行情境分析、量化