萨班斯—奥克斯利法案下公司内部控制的思考
来源:网络 时间:2022-03-19
美国的《萨班斯——奥克斯利法案》及美国证券交易委员会(SEC)和纽约证券交易所(NYSE)随后制定的规则和管制,对于上市公司的治理、内部控制提出了更加严格的要求和限制,作为公司有效控制基石的董事会、高层管理者、外部审计师与内部审计师,必将承担更重要的职责。中国保险业是外国投资者最为关注的行业之一,中国人寿海外上市曾是2003年全球最大的IPO项目,中国人保和中国平安也都在海外成功上市,就是有力的证明。如何完善内部控制,如何强化内部控制的基石,是中资保险公司健康走向世界的必修课。
一、公司内部控制是一个永恒的话题
2002年7月25日,美国国会通过了《2002年萨班斯——奥克斯利法案》(也称《2002年公众公司会计改革和投资者保护法案》,以下简称《法案》)。2002年7月30日,该《法案》经美国总统布什签署后,正式成为法律并生效。该法案的出台是针对美国有史以来最大的能源交易商——安然公司造假事件,以及其后又接连发生的施乐、世通等大公司会计造假案而制定的。根据安然事件反映出来的严重问题以及经济发展水平和社会环境的巨大变化,《法案》不仅对《证券法》(1933)和《证券交易法》(1934)这两部证券监管的重要法律做了修改和补充,而且还对会计行业的监督、审计独立性、财务信息披露、公司责任、证券分析师行为、证券交易委员会的权利和责任等诸多方面做了新的规定。在这些新规定当中,要求管理层报告公司对财务报告的内部控制、并要求外部审计师证实管理层报告的准确性最为引人注目。使内部控制再次成为人们关注的焦点。
《法案》的第302节要求CEO和CFO就他们的内部控制系统进行报告,并在提交给SEC的财务报表上签字——依此作为保证,因此,这部法律将迫使高级执行主管确保其内部控制系统的适当性;而《法案》第404节要求公司:(1)陈述管理层建立和保持适当的内部控制结构和财务报告程序的责任;(2)在上市公司的财政年度末,对内部控制结构和财务报告程序的效果的评估。《法案》的第404节以及103节,指导公众公司会计监督委员会(PCAOB)制定用以管理外部审计师的证实工作,并就管理层对内部控制的有效性的评估进行报告的行业标准。
2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于2004年6月18日经SEC批准。该标准关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份针对财务报告的内部控制,另一份针对财务报表。对内部控制的审计涉及以下内容:评价管理层用于开展其内部控制有效性评估的过程;评价内部控制设计和运转的效果;形成对财务报告的内部控制是否有效的意见。该标准的出台,将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席WilliamJ.McDonoush所称,“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去,内部控制仅是管理者考虑的事情,而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。
PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的,它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责,并为会计师行业对内部控制的评估提供了一个基础。更为重要的是,该标准将力促公司建立有效的内部控制监督体系,这为有效的公司治理奠定了良好的基础。毕竟,内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。
PCAOB相信,为获取可靠的财务报表,机构必须保持内部控制的运转,以便了解各项记录的准确性,各项交易和资产的处理的公允反映情况,并对各项交易记录的充分性提供保证,且收支工作都经管理层和领导者授权。这样,就能根据一般公认会计原则(GAAP)编制财务报表。内部控制的运转还能确保上述步骤的运转,以防止或发现对财务报表产生重大影响的资产的盗用、未经授权使用或处置情形。简言之,如果公司管理层能证明其对簿记工作实施了适当的内部控制,用于编制准确财务报表的账簿和记录是充分的,并遵守了公司资产的使用规则,投资者就会对公司财务报表的可靠性更为信任。
《法案》将代表一个新的资本市场监管时代的到来,对公司内部控制、会计、审计发展的意义尤为重要。随着中国保险业对外国同业的全面开放,中资保险公司已置身于世界市场一体之中,对具有重大影响力的《法案》决不能视而不见。我们应该认真学习和研究《法案》,从中吸收营养,为完善中资保险公司的内部控制提供有用借鉴。
二、COSO框架应该成为中资保险公司完善公司内部控制的标准
第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。在美国,为管理层的评估目标提供的适宜框架就是COSO框架。
COSO是一个由IIA和AICPA在内的众多组织组成的联盟,它开发出内部控制综合框架模型,称作COSO框架。SEC对PCAOB发布的第2号审计标准的认同,从一个侧面承认了COSO框架,表明COSO框架已正式成为内部控制的标准。在这样的背景下,要完善公司的内部控制,准确理解COSO界定的内部控制的目标、内容、概念是一项最基础的工作。
(一)内部控制的目标
通常情况下,对于组织来说,内部控制的目的是保证实现以下组织目标。
组织运行的效果与效率。所谓效果,就是组织实现组织目标的程度;所谓效率,就是指一定的资源投入所带来的产出量。
财务报告的可靠性和完整性。财务报告是综合反映组织经营效果和效率的文件,同时也是组织风险控制的重要依据。财务报告的不真实、不完整往往是组织的重要风险之源。
符合相关的法律法规和合同。违反法律法规和合同,既可能给组织带来较高的违法或违约成本,更可能隐含着对组织资产或股东利益更严重的危害。
(二)内部控制的内容
内部控制主要由控制环境、风险评价、控制活动、信息和沟通及监督5个部分组成。
控制环境,指影响组织实行内部控制的各种因素,其中包括组织特征、产品与服务构成、组织文化、领导风格、法律制度、管理层对内部控制的认识和组织信息管理系统等。这些因素都直接或间接地对内部控制的推行、效果或效率产生正面或负面影响。
风险评价,指对风险的真实性、风险可能造成的损失、防范风险可能采取的有效措施、这些措施可能产生的效果和风险发生后将产生的内外部影响进行分析和评价。
控制活动,是对可能发生或已经发生的风险采取应对措施,纠正偏差,使组织的运行朝着既定目标发展,其中包括相关的政策和程序。
信息沟通,内部控制涉及到组织的各个环节和各个方面,为了获得充分准确的信息、控制措施得到充分响应、风险评估客观公正,广泛的信息来源和相关人员之间的充分沟通与理解是内部控制中十分重要的工作环节。
监督,整个内部控制过程,包括风险评价和控制措施,本身都必须处于有效的监控之中,并根据具体情况进行及时的动态调整,以提高内部控制的准确性、有效性和控制效率。
(三)对内部控制概念的理解
对内部控制可以从3个方面来理解:
内部控制是动态过程。内部控制是一个过程,是实现目标的手段,而不是结果本身。组织目标是由组织的宗旨决定的。它包括具体目标和实现目标的效率。内部控制是防止那些可能影响组织目标有效率地实现的风险因素造成实际损失、或者使损失降低到最低限度的,贯穿于组织各项活动中的一系列行为或措施。环境影响内部控制,内部控制随环境变化而变化。
内部控制受人员沟通程度的影响。内部控制受到组织内各层次人员的影响,而不仅仅是简单地制定出一本制度手册或规章。单纯的规章制度只是一种机械的控制措施。组织虽然按照规章制度来运行,但人是具有个人目标、个人情感的能动性个体,他们可以在很大程度上影响规章制度的实施效率和效果。他们的行为可能受到其个人利益的驱使,也可能受其误解或抵触情绪的驱使。因此,内部控制必须建立在充分沟通的基础上。
内部控制提供的是合理保证。对管理层或董事会而言,内部控制提供的只是合理的保证,而不是绝对的保证。内部控制措施,无论设计的多么完美、运行的多么好,组织目标实现的可能性受到内部控制制度所固有局限性影响。内部控制也仅能为董事会和管理部门实现组织目标提供合理的保证。
第2号审计标准认为,COSO框架能确认出内部控制的运营效率和效果、财务报告的可靠性、遵守适用的法律和规章三大主要目标,而这三大目标都会对财务报告产生重大的影响,是关于财务报告的内部控制的组成部分。此外,标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素,服务于上述三大目标。
[1] [2] 下一页
