美国SOX法案对完善上市公司内部控制的启示
1引言
目前,证券市场的诚信文化已成为一个地区或国家最具有国际竞争实力的重要指标之一。美国萨班斯法案“(SOX法案)的出台无疑是监管机构挥出的一记重拳和最严厉的监督法律,法案要求所有美国上市公司必须建立和完善内控体系,并对公司论文网管理层提出了明确的责任要求。法案中最难操作。成本最高的是对公司治理和完善内部控制的全面要求,其核心是促进企业完善内部控制,提高公众披露信息的质量和透明度,以建立。完善并有效运行内部控制和风险管理机制,实现公司运营过程的全方位风险管理。此法案为全球其他地区的证券监管机构提供了借鉴和参考模式。2007年以来,国资委。上交所。深交所等纷纷发布指引性文件或征求意见稿,要求中国企业加强内控。中国在美上市电信企业利用执行SOX法案的契机,建设与实施内部监控系统,提升公司整体管理水平,同时也为国内上市公司完善内部控制提供了借鉴。
2SOX法案概述
2。1SOX法案的出台背景
随着2001年美国最大天然气采购及出售商--安然公司财务造假案的曝光,拉开了美国大公司财务造假丑闻的序幕。此后相继暴露出多家大公司财务造假,从企业规模来看,既有声名显赫的巨型公司,如全球通讯公司。世界通讯公司。施乐公司,也有小公司如泰科公司等。此次美国公司假账丑闻浪潮“经新闻媒体渲染引发了整个社会对美国公司的信任危机,造成美国股票市场持续下跌,延缓了美国经济的复苏步伐,从而也打击了投资者对美国资本市场的信心。
为整顿上市公司秩序。重建投资者信心。提高投资者所依赖的财务报告的信息质量,美国参议员萨班斯(Sarbanes)和众议员奥克斯利(Oxley)联合提出了萨班斯-奥克斯利法案,简称SOX法案“,该法案最初于2002年2月14日提交给国会众议院金融服务委员会,经过多次听证。修订,该修正稿以高票分别在参众两院通过,2002年7月正式获得通过成为美国的一项法律。
SOX法案是继美国1933年证券法。1934年证券交易法以来又一部具有里程碑意义的法律,其效力涵盖了注册于美国证监会(SEC)之下的约14,000家公司,其中包括了大量的非美国公司。
2。2SOX法案404条款的内容概述
作为SOX法案中最重要的条款之一,第404条款明确规定了管理层对公司内部控制须进行评估。
2。2。1内部控制方面的要求:要求公司年报中包括一份内部控制报告“,该报告应包括以下内容:
(1)明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任;
(2)根据1934年证券交易法中13(a)或15(d)款要求递交年报的公司,其管理层在财务年度期末须对与公司财务报告相关的内部控制体系及程序的有效性进行评估。
2。2。2内部控制评价报告
受托的上市公司审计师应按照上市公司会计监管委员会对审核约定所发布或采用的准则就管理层关于内部控制的评估进行测试和评价,并出具评价报告。上述评价过程不应当作为一项单独的业务。(张为国等(2003))
显然,404条款对公司内部控制作出的严格要求是为了保证公司财务报告的可靠性,使公众更易察觉公司的欺诈行为,保障广大投资者的利益。
从SOX法案2002年7月生效至今,美国SEC不断推迟SOX404条款的执行时间可以看出,它的执行困难重重。
公司在遵循404条款时,首先需要制定内部控制详细目录,参照诸如COSO(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)委员会之类的内部控制研究机构的内部控制框架,记录控制措施。评估方法及未来用来弥补控制缺陷的政策和建立内部控制流程。其次,对公司的内部控制流程进行测试,以确保控制措施和补救手段起到预期作用。最后,管理层对公司内部控制有效性作出评价并将上述各项活动情况整理后出具一份正式的报告。可见,SOX法案404条款的要求就是对公司与财务相关的内部控制的要求。
3中国电信企业应对SOX法案,完善和优化内控体系的措施
2006年7月15日,对于所有在美上市的中国企业来说是一个分水岭“。目前四大电信运营商全部在美国上市,他们积极采取措施,构建法案要求的内控系统,并通过了萨式“大考。重视内部控制,尤其作为信息化水平很高。业务流程依赖于IT流程的电信企业,完善IT内部控制显得尤为迫切而且关系到公司的可持续发展。
3。1中国移动
中国移动根据SOX法案的要求,于2004年通过了适用于本集团首席执行官。财务总监。副财务总监。助理财务总监以及其他高级财务人员的职业操守守则。根据该守则,如发生违反守则的情况,本公司经与董事会协商,将采取适当的防范或惩戒性措施。
2005年9月,中国移动在福建。天津。湖北。山西等4家省级公司开始实施SOX法案的全面试点。试点涵盖企业经营。IT系统控制。投融资管理。财务监控。法律法规监督等13个大类。38个细项,对于企业内部流程梳理。加强财务投资监管。协调内部资源分配。提高管理透明度等方面都具有相当大的影响。为了实施SOX法案“,中国移动从公司总部到试点省级公司均成立了专项运营小组,挑选出大量的专业人员专门负责整个项目试点工作,并且引入毕马威公司作为执行顾问,对试点工作以及未来的全面正式运营提供指导和规范。
根据美国SOX法案第404条款的规定,公司按照COSO框架建立和完善了全面的内部控制及风险管理体系。2006年,公司以标准化内部控制手册和控制矩阵为模板,系统化地对中国内地31家运营子公司的35个业务单位与财务报告相关的内部控制进行全面的流程记录,完善制度,在本集团内部实施标准化的内部控制,包括资本性支出业务流程。收入和计费业务流程。会计和财务报告流程等11个业务流程层面的控制,以及信息技术整体控制和公司层面控制。同时,公司建立了分工明确的责任机制,并将内控管理融入日常业务管理中,提升全员的风险管理意识,充分发挥内控的监督作用。
3。2中国网通
中国网通自2004年11月起着手推进内控体系建设,全集团近万名员工参加了各级内控管理培训。2005年,在集团总部和7个省市进行了调研试点及试推广工作,共形成内控文档22套,其中流程描述860个。流程图1262个,发现了诸多管理层面及业务流程层面的缺陷。
结合内控体系建设,网通集团制定并印发了中国网通集团信息质量问责管理若干规定,建立了一级对一级负责的信息质量责任声明和传导机制,规定所有人员均对披露和提供的信息质量签名承诺,并终身负责,有力地推动了内控体系的建立。
经过两年的艰苦努力,网通公司的ERP项目及内部控制系统在2006年底取得了决定性的成功。ERP项目在所有服务区域内完成系统上线。参考COSO内部控制管理框架制定的内控体系也全部完成并正式在所有区域内运行。
公司设立的审核委员会不但积极履行了监督公司审计相关工作的职责,并且在推动公司内部控制体系优化方面发挥了重要作用。审核委员会直接指导公司内控项目的实施,审议内控项目组定期提交的阶段性成果报告,监督所发现内控问题的整改,并且建立了有效的投诉举报渠道。
公司在顺利通过2006年度萨班斯内控审计的前提下,2007年度根据国际最新的监管要求,结合公司的实际情况,进一步完善和优化内控体系,逐渐建立。健全了内控长效机制。
3。3中国电信
为规范企业的内部管理,中国电信股份有限公司从2003年8月开始就启动了中国电信与财务报告相关的内部控制项目“,四年多以来,公司以美国证券机构相关监管要求和COSO内部控制框架为基础,制定了中国电信股份有限公司内部控制手册及权限列表。内部控制管理暂行办法和内部控制评估暂行办法等制度,各省级公司制定了实施细则,以保证对外披露财务报告的真实可靠,满足公司内部管理需要及资本市场监管机构要求。
中国电信每年都进行内控体系的自我评估,将发现的问题层层分解到各级企业。对于制度本身存在的缺陷,中国电信主动修改制度;对于制度执行过程中存在的问题,中国电信加大了执行的力度。对于内控的重大缺陷以及重大。实质性的漏洞,中国电信还在对省级公司和部门的绩效考核中加以惩罚。为了更好发挥内部监控的作用,公司制定了中国电信股份有限公司高级管理人员职业操守守则及中国电信股份有限公司员工职业操守守则;同时建立和完善了内部申告机制,鼓励对本公司员工特别是董事及高级管理人员的违规情况予以匿名举报。
2006年,公司根据董事会授权并结合业务和管理的要求,制定了内部控制责任管理暂行办法,通过加强考核管理。细化责任分解,有效落实内控责任,推动内控工作形成闭环管理,从而实现公司内部管理的规范化和科学化。
2006年,公司进一步强化IT内控体系。一方面,通过信息化手段的支撑和固化来提高内部控制的效率和效果;另一方面,通过IT内控体系的完善来强化风险管理,促进企业信息化的发展。IT内控的实施进一步完善和提高了公司信息系统的安全性,以确保数据。信息的完整性。及时性。可靠性和保密性。
3。4中国联通
中国联通从2003年年底开始准备按照SOX法案的404条款完善公司的内部控制制度。首先是梳理会计政策。业务流程,揭示风险。从2004年开始,中国联通开始按照COSO框架的要求完善公司的内部控制制度,围绕经营效果和效率。财务报告真实性。遵从法律法规三个目标,建立了一套渗透所有业务和场所的内部控制制度。管控机制以及控制责任体系。公司为了进一步提高其治理水平,结合落实SOX法案的要求,成立了以公司管理层为主要成员的领导小组,该小组制定了内控制度建设工作计划书。
针对有实质控制权力的人,包括总公司高级管理层和一些关键部门的岗位,中国联通建立了一套反舞弊的管理办法,以在执行控制程序时发现。避免造假的发生。
为强化其内部监控系统,公司已采取了以下措施:
3。4。1建立内控机制,明确经营过程中的关键控制点;
3。4。2改进信息化系统,以完善内控手段,强化财务报告生成过程的内控;
3。4。3建立财务管理责任体系,实行更严格的责任追究制度,以保证财务信息的准确性;
3。4。4强化对分公司的内部审计和监督;
3。4。5建立企业风险管理体系和风险评估程序;
3。4。6强化期末关账过程监控,加强对财务人员进行有关美国会计准则和香港财务报告准则的培训;
3。4。7进一步规范反舞弊及举报政策和程序。
4SOX法案对上市公司完善内部控制的启示
SOX法案的影响是长远的,不仅仅在美上市的公司需要完成SOX法案合规性的工作,随着全球内部控制规定的逐渐趋同,中国上市公司也需要借鉴那些已经通过SOX法案考验的公司的经验,在建立和完善内部控制体系的过程中,不断提升公司治理水平,达到世界一流的管理水平。
4。1借鉴COSO框架,完善内控制度。
中国电信运营商按照COSO框架的要求完善内控制度,顺利通过SOX法案的考验。内控框架的构成要素包括控制环境。风险评估。控制活动。信息和沟通。监督5个方面。COSO认为内控是由企业董事会。经理层和其他员工共同实施的,为达到营运的效率效果。财务报告的可靠性及相关法令的遵循性等目标提供合理保证的过程。上市公司可以按COSO建立内控框架,通过引入COSO内控要素,形成一个相互联系。综合作用的控制整体,使单纯的控制活动与企业环境。管理目标及控制风险相结合,形成一套不断改进。自我完善的内控机制。
4。2应用信息技术,实施风险管理。
通过将现代信息技术应用于企业内部控制中,建立涵盖风险管理基本流程和内部控制系统各环节的风险管理信息系统,从而促进企业实现战略目标。提升营运效率。提高信息质量。保证公司资产安全。
企业ERP信息系统是一个综合信息管理体系,覆盖公司经营全过程,实现公司运营数据收集。存储。处理。报告和信息披露的自动化;使所有交易都在系统中进行。所有资源都在系统中受控,所有信息都在系统中得到反映。以信息技术手段实施内部控制,减少或消除人为操纵因素,增强控制程序,确保内部控制的有效实施。
在企业ERP信息系统的信息报告基础上,从业务过程风险监控和预警角度出发,建立涵盖全面风险管理流程的风险预警分析系统。风险管理信息系统,可以及时传输企业运营风险状况,为风险管理全过程提供准确的信息。市场变化日益加速,企业间的竞争日益加剧,都要求各级管理者能及时提供有效。准确的信息,风险管理信息系统的建立,可进行情境分析。量化风险,从而提高风险管理效率及可靠性。
4。3组建团队,选用内控管理人才。
中国上市公司需要认识到内控制度的落实。风险的防范和化解,关键是人。没有好的内控团队,再好的内控制度也无济于事。为了强化内控职能,杜绝会计舞弊的发生,则必须重视对内部控制管理人员的选用和培训,通过科学缜密的管理,提高他们的素质,定期进行考核评估。同时要加强对他们的继续教育,以提高其工作能力,避免因人员素质不高,致使在业务操作中存有风险,如因政治思想素质不高造成的道德风险;因专业知识和业务素质不高造成的操作风险。因此,全面提高内控管理人才的综合素质乃是当务之急。
美国SOX法案对完善上市公司内部控制的启示