薩班斯—奧克斯利法案下公司內(nèi)部控制的思考

1、薩班斯奧克斯利法案下公司內(nèi)部控制的思考         美國的薩班斯奧克斯利法案及美國證券交易委員會（SEC）和紐約證券交易所（NYSE）隨后制定的規(guī)則和管制，對于上市公司的治理、內(nèi)部控制提出了更加嚴格的要求和限制，作為公司有效控制基石的董事會、高層管理者、外部審計師與內(nèi)部審計師，必將承擔更重要的職責。中國保險業(yè)是外國投資者最為關注的行業(yè)之一，中國人壽海外上市曾是2003年全球最大的IPO項目，中國人保和中國平安也都在海外成功上市，就是有力的證明。如何完善內(nèi)部控制，如何強化內(nèi)部控制的基石，是中資保險公司健康走向世界

2、的必修課。一、公司內(nèi)部控制是一個永恒的話題2002年7月25日，美國國會通過了2002年薩班斯奧克斯利法案（也稱2002年公眾公司會計改革和投資者保護法案，以下簡稱法案）。2002年7月30日，該法案經(jīng)美國總統(tǒng)布什簽署后，正式成為法律并生效。該法案的出臺是針對美國有史以來最大的能源交易商安然公司造假事件，以及其后又接連發(fā)生的施樂、世通等大公司會計造假案而制定的。根據(jù)安然事件反映出來的嚴重問題以及經(jīng)濟發(fā)展水平和社會環(huán)境的巨大變化，法案不僅對證券法（1933）和證券交易法（1934）這兩部證券監(jiān)管的重要法律做了修改和補充，而且還對會計行業(yè)的監(jiān)督、審計獨立性、財務信息披露、公司責任、證券分析師行為、

3、證券交易委員會的權利和責任等諸多方面做了新的規(guī)定。在這些新規(guī)定當中，要求管理層報告公司對財務報告的內(nèi)部控制、并要求外部審計師證實管理層報告的準確性最為引人注目。使內(nèi)部控制再次成為人們關注的焦點。法案的第302節(jié)要求CEO和CFO就他們的內(nèi)部控制系統(tǒng)進行報告，并在提交給SEC的財務報表上簽字依此作為保證，因此，這部法律將迫使高級執(zhí)行主管確保其內(nèi)部控制系統(tǒng)的適當性；而法案第404節(jié)要求公司：（1）陳述管理層建立和保持適當?shù)膬?nèi)部控制結構和財務報告程序的責任；（2）在上市公司的財政年度末，對內(nèi)部控制結構和財務報告程序的效果的評估。法案的第404節(jié)以及103節(jié)，指導公眾公司會計監(jiān)督委員會（PCAOB）制

4、定用以管理外部審計師的證實工作，并就管理層對內(nèi)部控制的有效性的評估進行報告的行業(yè)標準。2004年3月9日，PCAOB發(fā)布了其第2號審計標準：“與財務報表審計相關的針對財務報告的內(nèi)部控制的審計”，并于2004年6月18日經(jīng)SEC批準。該標準關注對財務報告的內(nèi)部控制的審計工作，以及這項工作與財務報表審計的關系問題。這項綜合的審計會產(chǎn)生兩份審計意見：一份針對財務報告的內(nèi)部控制，另一份針對財務報表。對內(nèi)部控制的審計涉及以下內(nèi)容：評價管理層用于開展其內(nèi)部控制有效性評估的過程；評價內(nèi)部控制設計和運轉的效果；形成對財務報告的內(nèi)部控制是否有效的意見。該標準的出臺，將對構成有效公司治理基石的董事會、管理層、外部

5、審計師與內(nèi)部審計師產(chǎn)生深遠的影響。正如PCAOB主席WilliamJ.McDonoush所稱，“該標準是委員會采用的最為重要、意義最為深遠的審計標準。過去，內(nèi)部控制僅是管理者考慮的事情，而現(xiàn)在審計師們要對內(nèi)部控制進行詳細的測試和檢查。這一過程將對投資者起到重要的保護作用，因為穩(wěn)固的內(nèi)部控制是抵御不當行為的頭道防護線，是最為有效地威懾舞弊的防范措施”。PCAOB的工作對于規(guī)范化的內(nèi)部控制設計、實施、監(jiān)督、評估與不斷改進是有重大進步意義的，它使許多美國公司的各層管理者能在一個統(tǒng)一的框架內(nèi)有效履行其內(nèi)部控制的職責，并為會計師行業(yè)對內(nèi)部控制的評估提供了一個基礎。更為重要的是，該標準將力促公司建立有效的

6、內(nèi)部控制監(jiān)督體系，這為有效的公司治理奠定了良好的基礎。畢竟，內(nèi)部控制監(jiān)督過程需要審計委員會、高層管理者、外部審計師和內(nèi)部審計師的共同參與。PCAOB相信，為獲取可靠的財務報表，機構必須保持內(nèi)部控制的運轉，以便了解各項記錄的準確性，各項交易和資產(chǎn)的處理的公允反映情況，并對各項交易記錄的充分性提供保證，且收支工作都經(jīng)管理層和領導者授權。這樣，就能根據(jù)一般公認會計原則（GAAP）編制財務報表。內(nèi)部控制的運轉還能確保上述步驟的運轉，以防止或發(fā)現(xiàn)對財務報表產(chǎn)生重大影響的資產(chǎn)的盜用、未經(jīng)授權使用或處置情形。簡言之，如果公司管理層能證明其對簿記工作實施了適當?shù)膬?nèi)部控制，用于編制準確財務報表的賬簿和記錄是充分

7、的，并遵守了公司資產(chǎn)的使用規(guī)則，投資者就會對公司財務報表的可靠性更為信任。法案將代表一個新的資本市場監(jiān)管時代的到來，對公司內(nèi)部控制、會計、審計發(fā)展的意義尤為重要。隨著中國保險業(yè)對外國同業(yè)的全面開放，中資保險公司已置身于世界市場一體之中，對具有重大影響力的法案決不能視而不見。我們應該認真學習和研究法案，從中吸收營養(yǎng)，為完善中資保險公司的內(nèi)部控制提供有用借鑒。二、COSO框架應該成為中資保險公司完善公司內(nèi)部控制的標準     第2號審計標準依據(jù)COSO制定的內(nèi)部控制框架制訂，在“管理層用于開展其評估的框架”一節(jié)中，明確管理層要依據(jù)一個適宜且公認的由專家群體遵

8、照應有的程序制定的控制框架，來評估公司財務報告內(nèi)部控制的有效性。在美國，為管理層的評估目標提供的適宜框架就是COSO框架。COSO是一個由IIA和AICPA在內(nèi)的眾多組織組成的聯(lián)盟，它開發(fā)出內(nèi)部控制綜合框架模型，稱作COSO框架。SEC對PCAOB發(fā)布的第2號審計標準的認同，從一個側面承認了COSO框架，表明COSO框架已正式成為內(nèi)部控制的標準。在這樣的背景下，要完善公司的內(nèi)部控制，準確理解COSO界定的內(nèi)部控制的目標、內(nèi)容、概念是一項最基礎的工作。（一）內(nèi)部控制的目標通常情況下，對于組織來說，內(nèi)部控制的目的是保證實現(xiàn)以下組織目標。組織運行的效果與效率。所謂效果，就是組織實現(xiàn)組織目標的程度；所

9、謂效率，就是指一定的資源投入所帶來的產(chǎn)出量。財務報告的可靠性和完整性。財務報告是綜合反映組織經(jīng)營效果和效率的文件，同時也是組織風險控制的重要依據(jù)。財務報告的不真實、不完整往往是組織的重要風險之源。符合相關的法律法規(guī)和合同。違反法律法規(guī)和合同，既可能給組織帶來較高的違法或違約成本，更可能隱含著對組織資產(chǎn)或股東利益更嚴重的危害。（二）內(nèi)部控制的內(nèi)容內(nèi)部控制主要由控制環(huán)境、風險評價、控制活動、信息和溝通及監(jiān)督5個部分組成。控制環(huán)境，指影響組織實行內(nèi)部控制的各種因素，其中包括組織特征、產(chǎn)品與服務構成、組織文化、領導風格、法律制度、管理層對內(nèi)部控制的認識和組織信息管理系統(tǒng)等。這些因素都直接或間接地對內(nèi)部

10、控制的推行、效果或效率產(chǎn)生正面或負面影響。風險評價，指對風險的真實性、風險可能造成的損失、防范風險可能采取的有效措施、這些措施可能產(chǎn)生的效果和風險發(fā)生后將產(chǎn)生的內(nèi)外部影響進行分析和評價?？刂苹顒?，是對可能發(fā)生或已經(jīng)發(fā)生的風險采取應對措施，糾正偏差，使組織的運行朝著既定目標發(fā)展，其中包括相關的政策和程序。信息溝通，內(nèi)部控制涉及到組織的各個環(huán)節(jié)和各個方面，為了獲得充分準確的信息、控制措施得到充分響應、風險評估客觀公正，廣泛的信息來源和相關人員之間的充分溝通與理解是內(nèi)部控制中十分重要的工作環(huán)節(jié)。監(jiān)督，整個內(nèi)部控制過程，包括風險評價和控制措施，本身都必須處于有效的監(jiān)控之中，并根據(jù)具體情況進行及時的動態(tài)

11、調(diào)整，以提高內(nèi)部控制的準確性、有效性和控制效率。（三）對內(nèi)部控制概念的理解對內(nèi)部控制可以從3個方面來理解：內(nèi)部控制是動態(tài)過程。內(nèi)部控制是一個過程，是實現(xiàn)目標的手段，而不是結果本身。組織目標是由組織的宗旨決定的。它包括具體目標和實現(xiàn)目標的效率。內(nèi)部控制是防止那些可能影響組織目標有效率地實現(xiàn)的風險因素造成實際損失、或者使損失降低到最低限度的，貫穿于組織各項活動中的一系列行為或措施。環(huán)境影響內(nèi)部控制，內(nèi)部控制隨環(huán)境變化而變化。內(nèi)部控制受人員溝通程度的影響。內(nèi)部控制受到組織內(nèi)各層次人員的影響，而不僅僅是簡單地制定出一本制度手冊或規(guī)章。單純的規(guī)章制度只是一種機械的控制措施。組織雖然按照規(guī)章制度來運行，但

12、人是具有個人目標、個人情感的能動性個體，他們可以在很大程度上影響規(guī)章制度的實施效率和效果。他們的行為可能受到其個人利益的驅使，也可能受其誤解或抵觸情緒的驅使。因此，內(nèi)部控制必須建立在充分溝通的基礎上。內(nèi)部控制提供的是合理保證。對管理層或董事會而言，內(nèi)部控制提供的只是合理的保證，而不是絕對的保證。內(nèi)部控制措施，無論設計的多么完美、運行的多么好，組織目標實現(xiàn)的可能性受到內(nèi)部控制制度所固有局限性影響。內(nèi)部控制也僅能為董事會和管理部門實現(xiàn)組織目標提供合理的保證。第2號審計標準認為，COSO框架能確認出內(nèi)部控制的運營效率和效果、財務報告的可靠性、遵守適用的法律和規(guī)章三大主要目標，而這三大目標都會對財務報

13、告產(chǎn)生重大的影響，是關于財務報告的內(nèi)部控制的組成部分。此外，標準將控制環(huán)境、風險評估、控制活動、信息和溝通、監(jiān)控作為框架的五大組成要素，服務于上述三大目標。    事實上，當今世界另外幾個主流內(nèi)部控制框架如加拿大的CoCo、英國的Cadbury報告、國際內(nèi)部審計師協(xié)會（11A）的SAC、信息系統(tǒng)審計與控制協(xié)會（1SACA）的Cobit都與COSO框架緊密相關。我國有關部門制定的內(nèi)部控制標準，包括證監(jiān)會發(fā)布的“證券公司內(nèi)部控制指引（2003）”、中國人民銀行發(fā)布的“商業(yè)銀行內(nèi)部控制指引（2002）”、中國內(nèi)部審計協(xié)會發(fā)布的“內(nèi)部審計準則內(nèi)部控制（2003）

14、”，其核心目標也與COSO框架一脈相承。     總之，無論COSO框架，還是PCAOB的努力，有一點是非常明確的，就是要在公司內(nèi)部建立一個基本的控制框架，作為管理層評估財務報告內(nèi)部控制的基準。這也是公司發(fā)展到一定程度在管理方面的必然要求，它受公司治理、價值創(chuàng)造、風險和機會、管制、企業(yè)文化、技術發(fā)展及受托責任等各方面的影響。我們應該從COSO的框架中吸收合理的內(nèi)核、應從中汲取經(jīng)驗，這會有助于中資保險公司管理層次的提升，執(zhí)行能力的到位。畢竟，我們正面臨一個國際化的舞臺，在一些標準、框架的執(zhí)行上應與全球主流框架保持一致，這樣才有溝通的可能，有平等對話的可能，

15、有進一步發(fā)展的可能。三、加強公司內(nèi)部審計工作有益于完善公司內(nèi)部控制內(nèi)部控制的設計是否適當、執(zhí)行是否有效，必須依據(jù)一定的標準進行評價，這個標準就是COSO中論述的內(nèi)部控制的五個要素整體層次和或作業(yè)層次的評價標準。對于內(nèi)部控制評估應由誰來完成，對此COSO和Cadbury報告中的觀點都認為，首先應由企業(yè)管理當局（或其指定人，如內(nèi)部審計機構）定期對本單位內(nèi)部控制設計的有效性進行評估，提出評估報告，然后再由注冊會計師對其加以審核，提出內(nèi)部控制審查報告。法案也做出同樣的規(guī)定。由此可見，公司內(nèi)部審計在對公司內(nèi)部控制評估中的重要性。在頒布法案的過程中，由于IIA的積極參與，使得內(nèi)部審計的作用與職責在法案中得

16、以充分體現(xiàn)。法案和美國證券交易委員會的有關指南，要求上市公司的高層管理人員對提交的財務報告提供保證，因此執(zhí)行管理層是控制環(huán)境和財務資料的負責人。外部審計師為財務報告作公證，他要向財務報告使用者保證報告中的資料是按照公認會計準則公允地反映了組織的財務狀況。至于內(nèi)部審計師則負責向審計委員會或其它委員會保證，組織為編制財務報告所設置的內(nèi)部控制制度是有效的。內(nèi)部審計執(zhí)行主管要經(jīng)常及時地與審計委員會溝通；審計委員會要評價內(nèi)部審計執(zhí)行主管報告的全面性和充分性。內(nèi)部審計是一種獨立、客觀的保證活動與咨詢活動，它的目的是為機構增加價值并提高機構的運作效率。它采取系統(tǒng)化、規(guī)范化的方法來對風險管理、控制及治理程序進

17、行評價，提高它們的效率，從而幫助實現(xiàn)機構目標。（一）要注重發(fā)揮審計委員會的作用法案要求所有在美國上市的公司都必須設立審計委員會，并確定其主要職責是：討論每一年度和季度的財務報表并提出質詢；評估公司對外發(fā)布的所有盈利信息和分析性預測；討論公司的風險評估和管理政策；負責公司內(nèi)部審計機構的建立及運行；接受并處理本公司會計、內(nèi)部控制或審計方面的投訴；負責聘請會計師事務所，決定支付其費用并監(jiān)督其工作，受聘的會計師事務所應直接向審計委員會報告；有權聘用獨立的法律顧問、其它咨詢顧問。同時，法案對公眾公司高級管理人員在公司治理及財務信息披露方面的責任和權利進行了細化，要求首席執(zhí)行官（CEO）和首席財務官（CF

18、O）對公司所提交財務報表的真實性和準確性提供書面保證，并要闡明公司管理層對建立和保持一套完整的與財務報告相關的內(nèi)部控制系統(tǒng)和程序所負有的責任。（二）要遵守國際內(nèi)部審計師協(xié)會的屬性標準內(nèi)部審計活動是在一種多樣的法律和文化環(huán)境下進行的；在目標、規(guī)模與結構都各不相同的機構內(nèi)開展的；而且是由該機構內(nèi)部或外部的人員進行操作的，并且不同國家有不同的法律和習慣，這些差異對不同環(huán)境下的內(nèi)部審計實務都會產(chǎn)生影響。為此，國際內(nèi)部審計師協(xié)會制定了統(tǒng)一的內(nèi)部審計實務標準，用以說明內(nèi)部審計實務的基本原則以及評價內(nèi)部審計工作依據(jù)的標準、指導內(nèi)部審計活動的開展，并為促進不同的、具有增值性的內(nèi)部審計活動提供一個框架，從而幫助

19、組織改善經(jīng)營與工作。其作用在于讓外部人員認同內(nèi)部審計師所履行的審計工作是專業(yè)性的，即當一項內(nèi)部審計工作遵守了該標準時，才能被外部認同為專業(yè)性的內(nèi)部審計工作。內(nèi)部審計實務標準由屬性標準、工作標準及實務公告三部分組成。屬性標準通用于各行各業(yè)，主要說明內(nèi)部審計機構的特點和對人員的要求，內(nèi)部審計章程、獨立性和客觀性是其重要內(nèi)容；工作標準通用于各行各業(yè)，闡述了內(nèi)部審計工作的性質，并提出了衡量內(nèi)部審計活動質量的準繩；實務公告適用于特定類型的審計活動，它是屬性標準和工作標準在特定類型審計活動中的具體表現(xiàn)。特別應該注意的是，國際內(nèi)部審計師協(xié)會于2003年在風險管理、控制和治理程序方面發(fā)布了幾個實務公告，其中，

20、實務公告2120.A14（財務報告過程審計），與實務公告20602（內(nèi)部審計機構與審計委員會的關系）、2120A11（對控制過程的評價和報告）、2120A13（內(nèi)部審計在季度財務報告、信息披露和管理當局承諾函中的作用）有密切的聯(lián)系。這3個公告分別討論內(nèi)部審計與審計委員會的關系，內(nèi)部審計如何評價組織的內(nèi)部控制制度并形成審計意見，以及內(nèi)部審計在貫徹美國法案和美國證券交易委員會相關指南中應起的作用。本公告則進一步討論內(nèi)部審計師與董事會、審計委員會、高級管理層和外部審計師在財務報告過程中的關系。     （三）要發(fā)揮內(nèi)部審計執(zhí)行主管的作用內(nèi)部審計執(zhí)行主管在財務報

21、告過程中應將財務報告過程審計列入年度工作計劃，并分配適當?shù)馁Y源外，更重要的工作在于評價內(nèi)部控制的有效性和提出有效的建議。評價內(nèi)部控制的有效性，應主要從幾個方面人手：1.組織是否有濃厚的道德文化環(huán)境。董事和高級管理人員是否以身作則遵守組織的道德行為規(guī)范；組織的道德行為規(guī)范是否通過培訓使全體員工了解，并成為組織道德文化的倡導者和執(zhí)行者；財務報告有無不實的表述和舞弊。2.組織怎樣進行風險管理。組織有無風險管理程序、是否有效；高級管理層是否依靠整個組織來控制風險；管理層是否開誠布公地與董事會討論主要風險。3.組織的控制制度是否有效。組織對財務報告過程的控制是否全面、是否包括收集資料、編制財務報表及其附注，以及規(guī)定要披露的和自主披露的事項；高級管理層和相關管理層是否聲明對控制有效性承擔責任；組織的財務報告或財務披露是否反映出高級管理層、董事會或組織事故不斷；整個組織是否有良好的溝通渠道和報告制度；控制制度被視為促進目標實現(xiàn)的積極因素，還是絆腳石；雇用的人員是否合格、是否經(jīng)過充分的培訓、解決問題是否及時和有效。4.組織是否有有效的監(jiān)督。董事會是否獨立于管理當局，沒有利益沖突，信息靈通，對存在的問題及時進行了調(diào)查；內(nèi)部審計是否得到高級管理層和審計委員會的支持；內(nèi)部審計