1、中国上市公司遵循SOX404条款的影响和应对方法(下)3.高昂的执行成本正如前面提到过的,404法案的真正争议点不在于它是否应该实施,而是如何在成本效益的前提下实施。许多企业对404条款的极端抵制情绪也来源于过高的初始执行成本。尽管延后施行,中国企业现在面临的情况却与2004年的美国企业一样,甚至在实施难度上有过之而无不及。根据大多数美国企业适用404条款的情况,高昂的执行成本大致会来源于以下几个方面 :适应期成本这部分的成本来源于企业为拉近原有的内控体系和404条款要求的差距所做出的努力,是初始执行成本产生的主要方面。在以往的实践中,不管是公司内部审计人员还是外部审计师都会对公司内部控制情况
2、进行一些方面和一定程度的评价,但是如404条款所要求的那样在整个公司范围内对与财务呈报相关的所有控制进行识别、备案、测试却是前所未有的。对内部控制比较不规范的中国企业更是如此。拿销售业务来说,公司必须从业务流程的起始开始,记录和控制销售合同的签订、订单录入、产品生产、发货、收款、收入确认等一系列环节。处在基层的业务执行人员在这一过程中对控制工作负有责任,而他们中的许多不具备足够的会计审计和内控知识。所以,不管对整个企业还是执行控制的个人,404条款的遵循是一个学习摸索的过程,过程本身需要耗费额外的人力、物力、财力。时间限制和外部费用SOX法案早在2002年7月30日生效,404条款对海外公司的
3、施行时间则被推迟到2006年7月15日后结束的财政年度,比美国大型企业晚了两年。但鉴于中国企业内部控制薄弱,与美国公司已经较为完善的内部控制制度相比尚存在较大差距,给中国企业的准备时间并不宽裕。因而也存在时间限制造成的成本。由于时间紧迫,而404条款的相关规定又存在一些不清晰的地方,这给执行带来困难。此时的企业比较现实的做法是寻求外部咨询人员和顾问的帮助。在中国,具有经验的404合规方面的专业服务还是比较有限的,大多数在美上市公司还是选择四大会计师事务所,僧多粥少,必然导致顾问费用的上涨。同时,内控审计带来更大的工作量导致审计费用也大幅上涨。在企业年度报表中,一般不会具体披露这一专项费用,但是
4、FEI在2004年对美国企业的调查显示,内控审计的费用比预想中高出40%,占进行内控审计之前一般审计费用的53%。规定的不清晰性造成的合规成本。对于大多数执行404条款的美国公司来说,这一过程是伴随着法规制度的不断完善进行的。404条款的正式规定及其模糊,所以一开始公司参照COSO委员会的内部控制整体框架对内控进行完善和评价,而这时PCAOB的2号审计准则还在酝酿过程中。这时,不管是公司还是外部审计师对什么是合适的控制、什么是足够的备案、何种程度属于重大缺陷都没有定论。整个2004年,SEC和PCAOB的相关规定一直在不断出台,企业就要不断地据以调整,许多时候发现由于理解和规定的偏差,需要大量
5、返工,这个过程耗费了大量资源。中国公司比较幸运的是避免了这一迷茫的时期,因为如今2号审计准则已经出台,也有了大量美国企业的经验和教训。但是,一旦规定又有增减变动,这部分成本还是会产生的。因为据调查,很多企业仍不甚清楚如何执行404条款,认为条款的一些规定有待细化。对法案相关规定的调整预期还会继续进行。4.相关专业人才匮乏这一点表现在内部专业人员匮乏和外部专业人员匮乏两个方面。内部专业人员主要是指404项目组成员和内部审计人员。一般来说,这些人应该具备比较全面的会计审计知识,也有很多具有审计从业经验。但是,他们在内控知识上可能不完备,需要进行专业培训。不同于一些美国跨国企业的内部专业人员,这些人
6、员往往是没有经历过404合规工作的,在这方面完全不能算专业,只能说比一般员工专业,而这是远远不够的。外部专业人员是指外部审计师和顾问等。这些人员往往是在具有会计审计知识的基础上具有一定内控方面的实际经验,他们在404条款合规方面会比公司内部专业人员权威。但是,有两点值得注意:首先,以往的404条款合规经验通常来源于国外企业,他们的内部控制准备状况和中国企业不大相同,另外中国企业具有许多中国特殊国情决定的特点,在合规工作过程中是需要考量并灵活变通的,在这点上,外部专业人员不一定比内部专业人员更胜任;第二,所谓专业人员也未必专业,只不过他们服务于专业机构罢了。当然,项目组的负责人是具备足够的专业知
7、识的,但实际执行内控审计的人员大部分都比较年轻,缺少专业经验,再加之他们对企业业务流程的细节也不了解,就会造成外部审计师比公司内部人员还迷茫的情况。NASDAQ的调查报告显示,公司普遍认为审计师不能称为专家,只是“又多余、又昂贵的劳动力密集型作业” 。70%的接受调查者认为,审计行业不具备培训到位的员工来执行SOX404合规工作,61%的人认为外部审计人员并没有足够的资格评价他们的内控系统。虽然比较极端,但一定程度上反映了外部专业人员在执行404条款时也有一定局限。五、中国企业如何遵循SOX404:结构化方法以上我们了解了SOX404条款的规定和中国在美上市企业由此面临的机遇和挑战,可见,如何
8、顺利开展SOX404合规工作已经是迫待解决的问题。今年上半年,所有在美上市中国公司都将向SEC递交符合404条款的表格。除了新浪、搜狐等少数在NASDAQ上市的中国公司已经提前达到过404条款的要求,对大多数中国公司,尤其是在纽约证券交易所上市的大型国企,这是第一次面临404条款的真正考验。迄今为止,24家在纽约证交所上市的中国公司中仅有4家 递交了内控报告。可以预见,这一最初的尝试不可能十全十美,而更多的中国企业能否在他们之后继续登陆美国资本市场,就要看他们的执行情况。因此,404条款合规方面的实务指导非常必要。目前,国内关于内部控制的制定、实施、评价的理论研究已经十分深入和广泛,但是却很少
9、有专门针对SOX404条款的实务方面的指导,将理论运用于实际尚有一定困难。以下文章的内容就试图提出一个普遍的遵循方法。 选择合适的内控框架 企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善、规范。国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等 。PCAOB于2004年推荐使用COSO框架,随后获得了SEC的批准。SEC的认可表明COSO框架已正式成为内部控制框架的标准。我国企业可以按照COSO框架建立企业内部控制制度,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不
10、断改进、自我完善的内部控制机制。框架关于内部控制的定义现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制整体框架。其中,对内部控制的定义为:内部控制是由企业董事会、管理层和其他员工实施的,为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年,COSO委员会进一步将内部控制的涵义拓宽为企业风险管理,但是企业风险管理整体框架实际上并没有取代内部控制整体框架。所以本文对内部控制框架的选择还是采用了后者,以符合现行规定。框架的三个维度COSO框架提出了内部控制制度的三维结构。第一维度是内部控制目标,即运营的有效性和效率、财务报告的可靠
11、性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架,即要求对于给定目标,管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。3.理解内控框架的注意事项COSO对内部控制的定义是一个过程,而不是结果。过程与结果之间有一定的对应性,但是结果的失败,比如产生了目标偏差,并不代表过程是有缺陷的,相反,结果达成了目标,也不代表控制过程是有效的。因此,公司应注意在评价内控有效性时,针对的是内控过程。内部控制系统是为基本的业务需求而存在
12、的。COSO框架认为内部控制是内嵌在组织的业务流程之中的,而不是独立的附加在公司已有系统之上的。内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定,它承认不同的组织可以根据自己的情况选择不同的控制方法。此外,内控制度的设计应具有灵活性,始终保持其在动态环境下的有效性。内部控制提供的是合理的保证。COSO框架承认内部控制的局限性,即不论内控系统的设计和运行多么完善,亦只能提供合理范围内的保证。内部控制失败,并不意味着系统是失效的。这在内部控制报告中有所体现。内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响,构成一个对环境动态
13、反应的有机整体。(二)识别关键控制管理层对内部控制有效性的评价是基于整体内部控制,而不是个别控制或控制环节。控制的各个组成部分如前所述,是相互联系、交互作用的,但其中一些控制对整体控制的有效性具有主导作用,这就意味着我们在评价内控有效性的时候应该着眼于关键控制。因而,企业应先识别出关键控制。关键控制同时存在于公司层面和流程层面,以下我们分别来说明:1.公司层面关键控制的识别公司层面的控制构成控制体系的基本构架,是更宏观的控制,对于流程层面控制的设计和实施都会产生比较深远的影响。根据大多数企业的情况,我们认为以下的公司层面控制一般属于关键控制:公司文化人事政策计算机一般控制组织目标和控制结构的对
14、应风险识别反欺诈政策财务报告流程系统范围的监控。2.流程层面关键控制的识别404条款要求评价的是财务呈报内部控制,因此我们在决定关键控制时就要考虑该项控制对财务报告的影响。关键控制应是指那些对重要财务报告会计科目余额和披露有重大影响的控制。我们可以先阅读一下财务报告,分析关键的财务报告要素,再从每个关键财务报告要素出发,寻找对应的关键控制流程。对财务报告要素进行优先排序时应首先考虑其相对财务报告的重要性水平以及错报的可能性。除此以外还要考虑下列其他因素 :会计准则的复杂程度;重要会计估计方法的主观性和可靠性;企业业务变更的程度以及其对内部控制的预期影响;财务报表中存在潜在重大错误或遗漏之外的风
15、险,例如非法行为、利益冲突、管理层未经公司授权使用公司资产等;公司曾经出现过的或行业内普遍存在的问题报表项目,例如收益确认、储备计算等;管理层是否要求记录那些与一般不会出现重大错报且可以被合理预测的会计科目相关的流程,例如,对大多数公司来说,工资是可以合理预测的,但其在销售成本和一般管理费用中占有较大的比重,因此,鉴于对有关工资的活动进行管理和控制的需要,管理层或许会要求记录与工资相关的流程及内控。主要财务报告要素确认后,对其有重大影响的即为关键控制,可采用下面两种方法加以确认 :第一种方法是,针对可能会对关键财务报告要素产生重大影响的交易和相关控制系统,梳理其交易流程,确认关键控制。这可以通
16、过将业务和相关控制系统分割成数量有限但相互联系的交易流程来实现,该交易流程是机构进行交易时所发生的主要的同类经济事项。收益、采购、薪金、换算、财政和财务报告均属于这种交易流程。第二种方法是,将业务分割成其实际的流程。理想的情况是先系统分类流程,而不是为应付考核而选择性的梳理流程。业务被分割成不同流程后,项目小组再确认关键流程,以审核相关风险和内部控制。关键流程的确认须根据它对财务报告(或者业务)的重要性、出现内控缺陷或者流程发生问题的可能性来进行。这样,关键流程便与主要会计科目及披露事项联系起来,从而建立其与财务报告的相关性。(三)形成文档记录找出关键控制后,应该进行针对所有关键控制的文档记录
17、。文档记录能够增强内部控制可靠性,支持内控系统监督,评价内控设计和执行的效果,同时又为PCAOB的2号审计准则所强制规定,是404条款执行中的重要环节,同时也是成本大项。这一阶段的工作主要是检查现有文档是否完善,并补充缺失的文档,为内部控制有效性的评价做准备,其工作流程如图5-2所示。控制文档应包括与关键控制目标对应的控制政策和措施、可追溯至重大错报源头的业务流程描述、控制措施的负责人和执行方法。控制文档亦包括公司层面和业务流程层面。公司层面的关键控制文档包括公司治理文档、人力资源政策文档和员工手册、财务政策手册等。业务流程层面的关键控制文档包括流程图、流程每个环节的文档、每个环节的风险及补救
18、措施等。在准备业务流程层面的控制文档时,我们应该以有效掌握业务流程的全貌为原则,从关键帐户开始,追溯信息的流动,直到信息产生的源头,其中所有引起信息的处理和变动的文档都是关键文档。测试和评价公司层面的控制建立了内控制度后,按照404条款的规定,公司还要进行内部控制的测试和评价。在进行控制测试的时候,对公司层面的评价应该尽早进行。如果公司层面的控制存在重大问题,那么这些问题应首先被发现并更正。如果公司层面的控制很强,可以降低对流程控制的依赖性,也可以降低测试要求。如果公司层面的控制较弱,外部审计师可以对是否存在较强的公司层面的控制做出“合格/不合格”或者“通过/不通过”的决定。较弱的公司层面控制
19、将会造成对流程控制的依赖性以及测试要求的提高。公司层面的评估可以被细分为4个步骤进行:1.测试公司层面关键控制在前面的步骤中,我们先识别出了公司层面的关键控制,之后又据以准备了控制文档,接下来要做的事就是测试这些关键控制的有效性。对公司层面关键控制的测试手段会比较特别,因为公司层面的控制对财务报告的影响是非线性的、间接的,这就意味着不能像面向交易的业务层面控制一样通过可量化的方法来测试。一些常用的测试方法包括员工问卷调查、管理层问答、计算机一般控制、文档回顾。针对不同的关键控制应该使用不同的测试手段,如表5-1所示。2.评价公司层面关键控制不论以何种方式评估公司层面控制,其目标都是记录那些现实
20、存在的公司层面的控制。需要注意的是,对公司层面控制是否有效的评估基于管理层的判断,是比较主观性的,但是管理层应该清楚地认识到控制是作为一个整体来评估的,个别部分未达到最高可靠性不必然影响控制整体的可靠性,并且控制提供的是合理范围而非绝对的保证。3.收集支持性证据项目组应该将所进行的测试和结果做出证据予以保存,这一方面是公司评估控制有效性工作的一部分,也是对外部审计师内控审计的配合。外部审计师将据以评判公司的评估过程,并通过部分采用公司测试的结果来减少他们自己的工作量。4.与外部审计师进行沟通公司层面的审核完成后,管理层应该与外部审计师一起对总体结论、有关支持性证据以及对流程层面的控制评估造成的
21、影响进行审核。管理层与外部审计师定期就检查结果进行交流可防止日后出现意想不到的情况。测试和评价流层层面的控制1.寻找关键流程的关键控制点,评价控制设计有效性在第二步中,项目组已经找出了流程层面的关键控制,下一步就是与关键流程负责人共同确认流程中的关键控制点。确认关键控制点时,项目组要逐一选择与风险相关的重要控制活动。在流程图中寻找关键控制点时,应与流程负责人一并分析有关流程。在对风险和控制点进行记录后,项目小组要评估有关控制是否按照其设计意图,确保已将风险降低到可接受的水平,即合理保证重要的财务错报能够被预防或及时发现。如果存在重大的设计缺陷,则需要在检测运行有效性之前予以改进。2.评价控制运
22、行有效性对控制运行有效性的测试应该能够让测试人员了解控制程序、控制执行人、控制的连贯性。有效性测试有以下几种:员工问答,员工问答的目的是确认测试人员对控制设计的理解并识别未按照设计进行控制的事项;基于业务的测试,这类测试中测试人员通过检查第三步形成的文档来确认控制是否按规定运行,并可以重新运行这部分流程来确认控制运行的有效性;对照调节表,这种测试和审计师审计银行存款余额调节表很类似,就是看是否定期对照,偏差是否及时解决;观察测试,对于不经常发生的控制活动如实物盘点,观察也是一种测试方法,但有时需要其它测试的补充才能保证严密性。3.基于测试结果评价控制如果测试的结果显示控制程序按照规定进行且没有
23、缺陷,那么我们可以得出结论认为流层层面的控制是有效的,如果测试结果显示控制的设计或运行有效性存在缺陷,那么公司应该对流层层面控制有效性进行判断。同样应该注意,所谓控制的有效性是就整个控制体系而言,我们在评价流层层面的控制时应该看它是否保证信息在处理过程中没有失真,而不是看单一控制环节执行成功与否。4.搜集支持性证据和与外部审计师定期沟通搜集支持性证据的必要性如前面公司层面控制测试中所述。另外,由于404条款规定外部审计师要对企业内部控制自评过程和结果进行评价,因此公司在进行流程层面控制有效性的测试时应考虑外部审计师的意见。如果外部审计师认为测试不足以证明管理层对内控有效性的结论,公司就会被要求
24、进行额外的测试,因此公司在测试开始之前就应该就测试方案与审计师达成共识,而测试过程中也应定期与审计师讨论进展情况。六、中国网通对结构化方法的运用中国网通是一家在香港和纽约两地上市的中国企业,虽然其业务实体均在国内,但是根据SOX法案的要求,亦应在2006年7月15日后结束的财政年度达到SOX法案对内部控制的要求。因此在2004年11月首次境外IPO的前夕,中国网通便着手开始404条款合规的准备工作。截至今日,中国网通已经向SEC递交了2006年度6-K表格,其20-F表格预期将于2007年6月提交 。中国网通加强内部控制建设的“COSO内控项目”主要经历了四个主要阶段 。这几个阶段与前述的结构
25、化方法有一定的对应性,可以看作是该方法在国内运用的一个例证。第一阶段是调研和计划阶段,包括了以下两个子阶段:1.了解中国网通的构架和业务,建立内控项目组织机构根据中国网通的架构和业务,成立内控项目组织机构。设立由公司总经理领导的内控项目领导小组,下设财务总监领导的内控项目工作组。内控项目工作组下设内控项目办公室,PMO下设公司层面控制组和专业工作组。专业工作组分为财务、市场、计费、网络运营、采购、人力资源、资产、IT共个小组。其中公司层面控制组的目标是确保内控机制的有效运行,专业工作组则致力于保证财务报告真实可靠。这是应对404条款的基础准备阶段,亦可称为组织准备。在结构化方法中,我们并未将其
26、单独列为一个步骤,主要是因为这个步骤不牵涉内部控制制度建立和评价的技术方面,且比较简单,只需注意分析企业的构架和业务分支,对项目组进行合理安排。但是应该注意,这一阶段是每个公司遵循404条款的必经阶段,不容忽视。.进行风险评估,确定项目的范围和计划这一阶段主要是梳理会计政策、业务流程,从而揭示风险并定义关键控制流程。首先,公司着力建立符合境外会计准则的内控体系。过去的中国网通一直按照中国的会计法、会计准则和会计制度建立内控体系,这与美国准则存在差异,需要进行调整。这部分工作对应了结构性方法中的第一部分,即选择合适的内控框架。COSO框架是SEC和PCAOB均认可的内控体系框架,中国网通选择的即
27、是该框架。其次,对流程进行说明,确定关键控制流程。公司规定对每一项经济业务的初始点到终点的环节做出描述,并将相关环节串起来形成流程关系,然后找出重要的业务活动作为关键流程。通过揭示风险,梳理业务流程,再经过专家和网通总部各部门共同认定,确定列入内控范围的流程。这部分工作对应的是结构性方法中的第二部分,即识别关键控制。中国网通在确认关键控制的时候是采取了第二种方法,即先分割流程,然后确认关键流程。第二阶段是内控体系设计阶段。具体指制定流程层面的内控文档并对内控设计的缺陷提出改进建议,同时根据内控文档制作内控标准模版。中国网通对每一个流程按照流程图、流程描述、风险描述及控制文档三个构成要素形成文档
28、记录。流程图描述了每个业务的流程关系和从起点到终点设置的全部岗位,并表明哪一个环节是风险控制点;流程描述,即结构化方法部分所指的流程每个环节的文档,包括对每个环节的任务,如做什么、怎么做、控制人、完成时间等进行描述;风险描述及控制文档中应包括风险补救措施。这些正是结构化方法中形成文档记录阶段所要完成的工作。第三阶段是整体推广阶段。中国网通将内控模版在现有上市实体中进行推广,规定内控推广需完成的工作成果应包括:流程描述、流程图、穿行测试文档索引、穿行测试文档、电子表格控制表、控制矩阵、内控管理问题汇总表、内控管理建议书。这部分内容实际是规定了公司执行404条款过程中所需完成的关于内控体系建立、测
29、试和评价的全部文档。因此与结构化方法的第三、四、五部分对应,属于对支持性证据的要求。第四阶段是符合性测试及改善阶段 。中国网通对404项目范围内的省市公司进行两轮合规测试,对于内控缺陷进行整改。首先分流程组检查各分公司文档的更新情况,根据更新后的文档制作本地化测试底稿。第二步了解本地控制活动的执行状况,检查标准测试方法的可行性,确定样本量。第三步确定需测试的控制活动和控制文档。第四步测试并汇总结果。第五步对控制缺陷进行整改,使通过整改的内控系统满足404条款的要求。这实际对应了公司层面和流层层面的测试和评价。其中对控制缺陷的整改亦是内部控制评估的必然结果,在实务工作中基于自评估和内控审计结果进
30、行,也包含在结构化方法的框架中。总之,对于中国网通等在美上市中国企业来说,其管理水平大多处于从传统科学管理向现代企业管理过渡的阶段,内部控制制度才刚刚走向规范化,距离一些美国本土企业的成熟做法和成果还有很多缺陷和不足,但是按照SOX法案的强制监管要求建立完善企业内控制度是一个良好的契机和重要突破口。虽然本文所提出的结构化方法比较新,并且在实践过程中还在不断地完善着,但是这一方法在国外已经受到了广泛采用,具有普遍的适用性。有了中国网通的成功经验,中国企业参照该方法预期将可较好的完成404条款的合规工作。资料来源和参考文献中国注册会计师协会,行业发展研究资料美国萨班斯法案NASDAQ Issuer
31、 Survey Sarbanes-Oxley Act of 2002, April 13, 2005FEI Special Survey on Sarbanes-Oxley Section 404 Implementation Executive Survey,July 2004.付秀娜,不同公司治理结构模式比较研究,天津市财贸管理干部学院学报,2006年第2期,p12陈汉文、吴益兵、李荣、徐臻真,萨班斯法案404条款:后续进展,会计研究,2005年第2期,p83余成国,中国移动内部控制问题研究,学位论文,华中科技大学,2006年刘迎宾,“萨班斯法案”对在美国上市的中国企业影响分析,经济师,2
32、006年第2期,p59阚京华,我国内部控制制度性缺陷,中国审计,2006年第9期,p60-61Larry E. Rittenberg and Patricia K. Miller, Sarbanes-Oxley Section 404 Work: Looking at the Benefits, p16-17Ramos, Michael. How to Comply with Sarbanes-Oxley Section 404: Assessing the Effectiveness of Internal Control, Hoboken, NJ, USA: John Wiley & Sons, Incorporated, 2004.阳杰、黄昌勇,萨班斯法案404条款遵循的若干实务问题研究,广东商学院学报,2006年7月总第87期,p66Protiviti, Frequently Asked Questions Regarding Section 404, Protiviti Inc, 2004(9),p48-52孙启伟,建立符合萨班斯法案要求的辽宁网通内控制度,辽宁经济,2006年第8期,p77中国网通内控体系建设初见成效,通信世界,2006年7月31日,A10
浙ICP备2021020529号-1 | 浙B2-20240490 
