美國專家對中國企業(yè)應(yīng)對“薩式挑戰(zhàn)”的建議
2006年1月17日,中國內(nèi)部審計(jì)協(xié)會(huì)在京舉辦《如何成功通過〈薩班斯法案〉404條款內(nèi)部控制測評》專題報(bào)告會(huì)。該報(bào)告會(huì)由美國“SOX法案自動(dòng)化公司”的創(chuàng)辦人及總裁林鄭麗慧女士(Gladys Lam)主講,她還帶來了來自普華永道會(huì)計(jì)公司負(fù)責(zé)系統(tǒng)與流程管理的合伙人鄧誠豐先生(Stephen J Ducker)和德勤華永會(huì)計(jì)公司的負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)管理服務(wù)的合伙人趙善強(qiáng)先生(Eddie Chiu)等人組成的專家團(tuán)隊(duì)。來自北京、天津、山東、浙江、黑龍江等7個(gè)省市的近百家企事業(yè)單位和科研院校的300多名內(nèi)部審計(jì)人員、內(nèi)部控制專家、學(xué)者、教授和IT技術(shù)專家參加了該專題報(bào)告會(huì)。
此次專題報(bào)告會(huì)的主要內(nèi)容包括《薩班斯—奧克斯利法案》(簡稱“SOX法案”)簡介、實(shí)施指南、關(guān)鍵步驟以及實(shí)施“SOX法案”404條款內(nèi)部控制測評的解決方案和措施。林鄭麗慧女士及其專家團(tuán)隊(duì)還現(xiàn)場解答了與會(huì)者提問的一些問題,他們對在美國上市的中國公司的建議如下:
第一,遵循《薩班斯法案》的活動(dòng)80%都涉及控制活動(dòng),其目的就是通過加強(qiáng)內(nèi)部控制提高上市公司財(cái)務(wù)報(bào)告及信息披露的可靠性,重建全球投資者對美國證券市場的信心。由于在美國上市的外國公司主要應(yīng)遵循的“SOX法案”302條款——“公司對財(cái)務(wù)報(bào)告責(zé)任”和404條款——“管理層對內(nèi)部控制的評價(jià)”都要求,上市公司要對其目前執(zhí)行的內(nèi)部控制流程與COSO的框架進(jìn)行對比,指出存在的不足和改進(jìn)措施。建議設(shè)計(jì)本企業(yè)的內(nèi)部控制流程時(shí)要采用COSO在2004年9月發(fā)布的八個(gè)組成部分的新框架,即《企業(yè)風(fēng)險(xiǎn)管理——整合框架》,而不要采用1994年五個(gè)組成部分的《內(nèi)部控制——整合框架》老框架。新老兩個(gè)框架的內(nèi)在關(guān)系是:在保持《內(nèi)部控制——整合框架》五個(gè)組成部分的基礎(chǔ)上,第一,可以將新框架的“內(nèi)部環(huán)境、目標(biāo)設(shè)定、事件識(shí)別”這三個(gè)組成部分歸納為老框架“控制環(huán)境”的三大要素;第二,將新框架“風(fēng)險(xiǎn)反饋”作為老框架“風(fēng)險(xiǎn)評估”的應(yīng)對措施;第三,其余的三個(gè)組成部分“控制活動(dòng)、信息與溝通、監(jiān)控”保持不變。
第二,目前,許多中國公司都在內(nèi)部控制流程的文檔準(zhǔn)備、記錄和IT控制活動(dòng)的測試方面花了很多時(shí)間,有的公司建立了涵蓋幾百個(gè)風(fēng)險(xiǎn)點(diǎn)的內(nèi)部控制體系。這些是內(nèi)部控制測評所要求的“硬件”程序,“硬件”比較容易通過。相對公司控制環(huán)境的“軟件”而言,其實(shí)施難度要比“硬件”大得多,有些控制環(huán)境涉及整個(gè)公司治理結(jié)構(gòu)。
第三,“SOX法案”要求的公司治理結(jié)構(gòu)與許多中國企業(yè)傳統(tǒng)的公司治理結(jié)構(gòu)有較大的差異,中國的企業(yè)文化與西方企業(yè)文化的內(nèi)涵也不盡相同。為了少走一些較早實(shí)施“SOX法案”美國公司已經(jīng)走過的彎路,中國公司應(yīng)從一開始就注重實(shí)施公司治理結(jié)構(gòu)層面的改進(jìn)工作。例如,公司的高級管理層應(yīng)成為遵守內(nèi)部控制制度的表率并接受相應(yīng)的監(jiān)督和約束,充分發(fā)揮審計(jì)委員會(huì)和內(nèi)部審計(jì)的作用,重視對員工遵守職業(yè)道德的培訓(xùn),嚴(yán)格執(zhí)行職責(zé)分離、工作分配、職責(zé)描述等方面的規(guī)章制度,在公司內(nèi)部形成一個(gè)自上而下有效貫徹內(nèi)部控制的過程。
第四,普華永道會(huì)計(jì)公司的鄧誠豐先生(Stephen J Ducker)提醒大家,2006年7月15日之前,各公司的首席執(zhí)行官(CEO)和首席財(cái)務(wù)官(CFO)還要為對外披露的財(cái)務(wù)年報(bào)的可靠性簽字而實(shí)施內(nèi)部控制自我評估測試。由于在美國上市的中國公司大多都是規(guī)模很大的公司,需要測試所有重要的控制點(diǎn)。假設(shè)一個(gè)公司有30個(gè)省級公司或分公司,每個(gè)省級公司又有5——8個(gè)市級公司,從流程上講每個(gè)省級公司以及分公司都會(huì)有10多個(gè)或者更多的業(yè)務(wù)流程。每個(gè)流程又有5——10個(gè)重要的控制點(diǎn)。如果用3——4個(gè)小時(shí)測試一個(gè)控制點(diǎn),計(jì)算下來,測試的工作量非常龐大。而這只是初步的測試,對測試發(fā)現(xiàn)的問題還需要改進(jìn),隨后對改進(jìn)的情況還需要進(jìn)行再測試,從而達(dá)到?jīng)]有重大控制缺陷。而會(huì)計(jì)事務(wù)所做的測試和審計(jì)工作,還包括很多像IT層面控制,公司治理層面控制的內(nèi)容。2006年還有一項(xiàng)非常重要必須做的工作就是管理層測試。因此,各公司的高級管理層千萬不要低估會(huì)計(jì)師事務(wù)所簽發(fā)對各公司2006年度財(cái)務(wù)年報(bào)的審計(jì)報(bào)告之前,管理層測試的復(fù)雜性和時(shí)間長度。
第五,趙善強(qiáng)先生指出,為什么在“SOX法案”中沒有明確提到內(nèi)部審計(jì)師的職能和內(nèi)部審計(jì)師應(yīng)發(fā)揮什么樣的作用,如何保持獨(dú)立性和客觀性等內(nèi)容。其原因是“SOX法案”出臺(tái)比較倉促,涵蓋的內(nèi)容又很多。404 條款只是“SOX法案”所要處理的涉及內(nèi)部控制方面的問題。如何操作要根據(jù)美國公眾公司會(huì)計(jì)監(jiān)管委員會(huì)(PCAOB)制定的第2號(hào)審計(jì)標(biāo)準(zhǔn)去執(zhí)行。內(nèi)部審計(jì)在 404 條款里面確實(shí)沒有明確的提到,但在PCAOB第2號(hào)審計(jì)標(biāo)準(zhǔn)對于內(nèi)部審計(jì)如何參與是有相當(dāng)明確的指南說明的。
內(nèi)部審計(jì)的參與和作用,在遵循404 條款時(shí),按照PCAOB第2號(hào)審計(jì)標(biāo)準(zhǔn),內(nèi)部審計(jì)的有效性是其中應(yīng)考慮的重要因素,這對于是否可以通過404條款的內(nèi)部控制測評是非常重要的。如果某公司的內(nèi)部審計(jì)做得不好,絕對會(huì)影響該公司通過 404 條款的測評。另一方面,內(nèi)部審計(jì)作為內(nèi)部監(jiān)督機(jī)構(gòu),在遵循 404條款項(xiàng)目時(shí),第一,會(huì)參與前期的文檔記錄和提意見;第二,在管理層測試時(shí)會(huì)介入其中的工作。PCAOB第2號(hào)審計(jì)標(biāo)準(zhǔn)要求,執(zhí)行內(nèi)部控制的人和做測試的人要相對分開,以保持內(nèi)部控制測試的客觀性,內(nèi)部審計(jì)在遵循404 條款方面的作用會(huì)體現(xiàn)在這幾方面。
鄧誠豐先生補(bǔ)充解釋內(nèi)部審計(jì)在遵循404 條款方面扮演的角色。目前,美國公司已到了第 2 年的404條款合規(guī)項(xiàng)目審計(jì),相比之下,第一年時(shí),內(nèi)部審計(jì)在 404 條款合規(guī)項(xiàng)目中,從文檔記錄到測試做了很多工作;第二年,改變了使用內(nèi)部審計(jì)師的一些策略,把內(nèi)部審計(jì)人員從 404 條款合規(guī)項(xiàng)目中撤出,使得他們能夠從更加獨(dú)立的角度去完成管理層測試,也使他們能夠完成內(nèi)部審計(jì)原來就應(yīng)該完成的日常工作,保持獨(dú)立有效的職能。內(nèi)部審計(jì)不是只為了完成404條款合規(guī)項(xiàng)目,他們可以關(guān)注公司最高風(fēng)險(xiǎn)的領(lǐng)域和管理層所要求他們關(guān)注的重要領(lǐng)域。這是美國公司在第二年實(shí)施404 條款中,內(nèi)部審計(jì)角色的一些變化。另外,在 404條款合規(guī)審計(jì)時(shí),內(nèi)審部門自身的有效性也是要測試的一個(gè)重點(diǎn)控制。COSO框架中有一要素是“監(jiān)控”,實(shí)際上內(nèi)審的工作性質(zhì)很大程度上代表了公司監(jiān)管的好壞。例如,四大會(huì)計(jì)師事務(wù)所做審計(jì)時(shí)。一定會(huì)評估內(nèi)審職能的有效性。同時(shí),管理層在簽署他們的書面聲明時(shí),也必須評估內(nèi)審的有效性來支持他們的聲明。
內(nèi)部審計(jì)職能有效性評估對許多中國公司也是非常有挑戰(zhàn)性的工作。例如,有關(guān)內(nèi)部審計(jì)職能的獨(dú)立性和客觀性,非常重要的就是內(nèi)部審計(jì)的匯報(bào)線(渠道)。內(nèi)部審計(jì)是向公司管理層匯報(bào),與獨(dú)立性和客觀性要求就有差距,因?yàn)榧认蚬芾韺訁R報(bào),又評價(jià)管理層內(nèi)部控制有效性。中國公司的內(nèi)部審計(jì)在傳統(tǒng)職能上可能與獨(dú)立性要求還有一些差距。匯報(bào)線的改變,即向?qū)徲?jì)委員會(huì)或董事會(huì)匯報(bào)也是一項(xiàng)很大的挑戰(zhàn)。
內(nèi)審的工作范圍和職能,從人力資源角度來講,具備多少人員、工作技能、預(yù)算、使用的技術(shù)工具方法等等,都是要考察的范圍。此外,在進(jìn)行內(nèi)審評估時(shí),要看具體的工作方法和工作方式,內(nèi)審人員接受過哪些培訓(xùn),審計(jì)時(shí)的工作底稿、工作記錄、技術(shù)方法,審計(jì)報(bào)告等都會(huì)成為四大會(huì)計(jì)師事務(wù)所評估的內(nèi)容。
第五, 只有人才能實(shí)現(xiàn)合規(guī),IT系統(tǒng)軟件工具是為人服務(wù)的。美國的一些大公司一般會(huì)有自己的軟件工具做測試評價(jià),并將所有內(nèi)部控制文檔應(yīng)盡可能存放到一個(gè)可查詢的工具里面。國內(nèi)的一些軟件工具可以探討,采用自動(dòng)化工具時(shí),一個(gè)重要的功能是文檔查詢功能,國外應(yīng)用很多,但國內(nèi)還剛剛起步。建議采用自動(dòng)化、一體化、動(dòng)態(tài)的和可持續(xù)提供合規(guī)性報(bào)告與管理SOX進(jìn)程以及文檔記錄需要的IT系統(tǒng)軟件工具,少用或不用內(nèi)部控制、業(yè)務(wù)流程、財(cái)務(wù)報(bào)告三者分離,沒有內(nèi)在勾稽關(guān)系,需經(jīng)過整合處理才能符合“SOX法案”要求的IT系統(tǒng)軟件。
最后,林鄭麗慧女士強(qiáng)調(diào),很多人說中國在美國上市的公司很難通過《薩班斯法案》,她認(rèn)為關(guān)鍵是組織機(jī)構(gòu)部門的特點(diǎn)以及人員等情況。中國企業(yè)的特點(diǎn)主要由中國的傳統(tǒng)文化所決定,中國企業(yè)最關(guān)鍵的是授權(quán)以及權(quán)威,“名不正則言不順,言不順則事不成”,如果沒有人聽指揮,就無法完成相關(guān)的任務(wù)。但她相信中國企業(yè)應(yīng)該知道怎樣才能通過“SOX法案”的合規(guī)性要求,也一定能夠通過。
- ·2015年度企業(yè)財(cái)務(wù)會(huì)計(jì)決算報(bào)表
- ·2015年中央文化企業(yè)全面執(zhí)行新企業(yè)會(huì)計(jì)準(zhǔn)則
- ·高新技術(shù)企業(yè)職工教育經(jīng)費(fèi)稅前扣除比例為8%
- ·你怎么看企業(yè)會(huì)計(jì)準(zhǔn)則解釋第7號(hào)的征求意見稿
- ·國稅總局明確非貨幣性資產(chǎn)投資企業(yè)所得稅有關(guān)征管問題
- ·中國并購公會(huì)邀請注冊會(huì)計(jì)師申請并購交易師資格
- ·中國注冊會(huì)計(jì)師行業(yè)制度全編增補(bǔ)本出版
- ·財(cái)政部發(fā)布2015版企業(yè)會(huì)計(jì)準(zhǔn)則通用分類標(biāo)準(zhǔn)
- ·中國注冊會(huì)計(jì)師協(xié)會(huì)2015年的工作要點(diǎn)
- ·中國注冊會(huì)計(jì)師協(xié)會(huì)2015年工作要點(diǎn)