SOX 法案背景下的企业内部控制思路与内控员职能

SOX法案背景下的企业内部控制思路与内控员职能周艺浙江省移动通信有限公司温州分公司,（325000）E-mail（zhouyi129@sina.com）摘要：本文针对美国资本市场自安然事件以后所作的最大会计制度变革之一：萨班斯法案基本条款，系统研究了内部控制的发展历史，并结合COSO框架内容，提出了当前最为合理的内部控制体系，并进一步提出了作为内部控制管理员的职能定位和工作方法。关键词：SOX；萨班斯法案；内部控制；COSO；内控员1.引言从国外内部控制的发展来看，大型公司大多是以成立规模较大的内部稽核部门来负责公司的内部控制，Blum（1974）1认为这是昀初内部控制以管理职能出现的证明（Bonner，1998）3，但安然事件的引爆，并不是由于监管机构的稽查行动导致，而是市场投资机构（主要是对冲基金等）对安然公司的信息披露产生怀疑，即向公司管理层提出一连串的问题要求予以澄清，并大量抛空安然股票所致。显然，当前的内控控制已经成为公众公司的社会监管的一部分。自1980年代开始，北美洲有些公司就坚持认为内部控制较好的做法是:加强各部门经理的责任，希望各部门自行做好自我检查，将控制及风险的评估，由原来属于内部稽核部门的工作，改成由营运单位的管理阶层自行负责，也就是说公司的内部控制应该是全部员工的责任。实施之后成效显着，后来为一般企业逐渐接受，而被加以推广，而将这样的作法称之为内部控制自行评估(ControlSeIf-Assessment以下之简称为CSA)(Bruce,1998)2。安然、世通事件后,美国投资者信心受到空前打击,面临巨大压力的布什政府出台《萨班斯法》(SOX)以全面收紧对上市公司的监管。该法案的另一个名称是“公众公司会计改革与投资者保护法案”，除了要求更严厉的审计和内部会计控制外，还加大了公司高管的违规成本（昀高20年监禁，与抢劫杀人量刑相同!）。2004年9月，在《萨班斯法案》（SOX）昀新的强化财务信息披露内部控制有效性背景下，企业风险管理被认为是公司治理的首要因素，COSO（Committeeofsponsoringorganizations）顺应潮流而发布了《企业风险管理整合框架》。该框架由内部环境、目标设定、事件识别、风险评估、风险反馈、控制活动、信息与沟通、监控8个部分组成，而老的内部控制框架则只有5个部分（“internalcontrol-integratedframework”,September1992）4。在2004财年审计中，中国首批企业：新浪、搜狐、亚信通过SOX法案审计，而UT斯达康却未能通过，带来了很大的负面影响，甚至受到美国4家律师事务所代表股东集体的诉讼。-1-••1.内部控制的发展历史2.1内部控制的发展历史内部控制是一种复杂的、动态的而且持续不断演进的观念，InternalControl一词昀早来自美国会计师协会（AICPA）（1949年），所定义内部控制的四个目标分别是：保障资产安全；.确保会计信息的正确性及可靠性；促进营运效率；鼓励员工遵循既定的管理政策。AICPA在1958年的第29号审计程序公报中，把内部控制区分为会计控制和管理控制二类。会计控制包括保障资产安全和财务纪录可靠性直接有关的控制，这通常包括：a.授权制度。b.记录、营运、及资产保管的分工。c.对资产的实体控制。d.内部稽核等。管理控制则着重促进营运效率及遵循管理政策的控制。AICPA在1972年的第54号审计程序公报中仍延续第29号公报的观念，而且更清楚地区分会计控制和管理控制，阐明了会计控制的四个目标，分别是：a.交易的执行需依据管理者的一般授权或个别授权。b.依一般公认会计原则或其它适用的准则记录交易及编制财务报表。c.资产的存取与使用均需依据管理者的授权。d.资产的会计纪录定期与实质资产比较，若有差异经采适当处理措施。外部审计人员执行财务报表审计时，主要重点为会计控制，至于内部稽核人则对会计控制及管理控制两者均应重视。1972年美国水门事件后，内部控制的重要性再度引起美国政府及社会各界的高度关切。1977年美国国会通过了一项惩治外国行贿法案（ForeignCorruptionPractices，（ACT）），为了免于企业昀高管理者对争取业务而行贿外国官员的行为辩称不知情，希望通过有效内部控制制止不合法的行贿行为，并且严格规定凡是受1934年证券交易法管制的公共公司必须具备一套有效的内部控制制度。若有违反者，可能被处高达一百万美元的罚金，负责人亦会被判刑。这应该是历史上昀早制度化的内部控制审核成文法规。1981年(FinancialExecutiveInstitute，财务经理人协会，简称FEI)鉴于1980年以前由会计师协会发布的有关内部控制的公报均出自会计师观点，所以希望能够更多的从企业的观点，于是着手研究提出管理控制（ManagementControl）的定义，并区分内部控制为内部会计控制和内部管理控制。他们认为控制是激励及帮助组织内管理阶层及员工达成组织目标及遵循组织政策的方法，因此认为管理控制应具有下列三个基本特性：a.管理控制是管理阶层的责任。b.管理控制较会计控制范围为广，包括用以降低错误与舞弊的方法，及导引达成组织目标的所有积极活动。c.管理控制目的乃在促成组织员工在组织政策及限制下达成组织目标。1988年AIPCA在审计准则公报第55号中，进一步澄清和扩大了内部控制观念，认为在财务报表查核下对内部控制结构(InternalControlStructure)的考虑，企业的内部控制结构包括下列三要素：a.控制环境。b.会计制度。c.控制程度。1992年5家会计协会组成的COSO提出“InternalControl：IntegratedFramework”研究报告，1994年又提出补充报告(addendum)，此二份报告即构成了著名的COSOReport。其对内部控制作更广泛的定义，不仅包括会计控制，也包括管理控制，认为内部控制之目标包括达成：a.经营的效果及效率。b.可靠的财务报告。c.遵循法律条文的规定。另外，COSO报-2-••告也定义了内部控制的五项要素。2001年底发生的安然事件等一系列财务丑闻，暴露了美国核查体系的严重缺陷，无疑严重动摇了公众对会计师行业的信心。美国国会放弃了对依靠行业协会进行行业自律的观点，重新回到国家独立机构负责会计的审计工作，在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。第404节（a），以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司昀近年度的财务报告的内部控制的有效性，要求公司的外部审计师对管理层的评估意见出具“证明”，向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。法案的第404节以及103节，指导公众公司会计监督委员会（PCAOB）制定用以管理外部审计师的证实工作，并就管理层对内部控制的有效性的评估进行报告的行业标准。而内部控制框架建议采取COSO报告框架，如果采取其他框架，则需要额外进行与COSO的对比说明。这表明COSO框架已正式成为内部控制的标准。2004年9月，根据《萨班斯法案》强化财务信息披露内部控制有效性的规定，以及公司治理过程中应加强对企业风险管理的新形势，COSO发布了《企业风险管理整合框架》。该框架由内部环境、目标设定、事件识别、风险评估、风险反馈、控制活动、信息与沟通、监控8个部分组成，但是从目前来看，它仍然在原来1992和1994年的5要素框架内，只不过针对SOX作了进一步的细化而已。2.SOX背景下的内部控制的框架与体系COSO内部控制框架（Committeeofsponsoringorganizationsofthetreadwaycommission“internalcontrol-integratedframework”,September1992）4中，管理层需要履行的职责包括5个步骤或要素。COSO将内部控制要素以一个金字塔结构提出，其中控制环境作为金字塔的昀底部，风险评估和控制活动位于上一层次，信息和沟通接近顶部，监督处于昀顶端。控制环境：不仅包括非正式的，经常是无形的软控制，例如道德价值观，诚信原则，管理哲学，胜任的能力等，同时还包括组织结构和职责划分等更为正式的控制。企业基层对于各类控制要素均会产生大的影响。过去的软控制依赖问卷调查的主观评价，但是这种与使用自我评价工作坊和问卷调查等方法是支持非正式控制状况的主要证据之一。风险评估：在风险评估过程中，管理层识别并分析实现其目标过程中所面临的风险，从而制定决定如何管理风险的制度基础。管理层应该在审计师开始审计之前，独立的识别那些重大的风险，并基于这些风险发生的可能性和影响采取措施缓和这些风险。随后，审计师对这一风险评估过程进行评价。审计师或是其他人都不能代替负责实现组织目标的经理人员和员工进行风险评估。控制活动：指确保管理层的指令得以实现的机制，包括那些被识别能够缓和风险的活动其中很多是基于审批的活动。COSO控制框架提出风险控制矩阵方法，用以分析企业经营目标、风险和控制。但是，这个矩阵只是建立控制活动的一种方法和手段，不是目的。昀好将控制矩阵与流程图结合起来，同时注重分析业务输入、处理、输出的完整性、准确性、授权、及时性以及维护状况。-3-••信息与沟通：信息是指员工能够获得其工作中所需要的信息，沟通是指信息向上的、向下的、横向的、在组织内外自由的流动。同控制环境相同，审计师如果不事先访问员工是不能对这一要素做出评价的。因而，自我评价过程常常用来收集审计证据。监督：控制的监督要素包括经理人员日常的监督，审计师和其他群体定期的审核以及经理人员用以揭示和纠正已知的缺陷与不足的程序。监督可以用来保证其他控制的运行，这也就解释了为什么内部审计被看作是监督的一部分。2004年COSO提出了新的8个要素的框架。新老两个框架的存在很强的继承性关系。“新框架”在保持“老框架”5个组成部分的基础上，做了不算大的改进。一是将“老框架”中“控制环境”的三大要素，细化为“新框架”的“内部环境、目标设定、事件识别”三部分；二是“新框架”中“风险反馈”部分是“老框架”中“风险评估”部分的应对措施。而其余三个组成部分，即“控制活动、信息与沟通、监控”则保持不变。对“控制环境”建设的加强，实际上是希望能够从源头上控制企业风险，这包括企业的管理基调、道德观和价值观，对风险的重视等；企业总体目标和与分目标；识别可能影响企业实现目标的内部和外部事件，并从中筛选出风险与机会。当然，从控制角度来，昀重要的是在风险评估发现问题后，能及时向管理部门反馈风险，以便管理部门选择避免、接受、降低、或分摊风险的应对措施（幸玮，2005）10。当然，在肯定COSO框架价值的同时，我们也不应忽视一些不同的意见。比如，早在1993年，AICPA下属的公众监督委员会（POB）就建议SEC要求在证券交易所登记的公众公司的管理层在其年度财务报告（向股东发布的年度报告）中包含一份与财务报告有关的公司内部控制系统有效性的报告。这个建议是想将COSO的内部控制标准用于有效性的评价。可当时SEC并没有采用这个建议。还有，在COSO框架公布不久，美国审计总署（GAO）就曾对该框架的许多方面提出过批评，并指责这个框架有严重缺陷，其内部控制定义中缺乏保障资产的概念，还认为这个框架对内部控制重要性的强调不够，丧失了改善内部控制监督和评估的机会（付晓萌，2005）9。此外，对COSO框架昀具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。COSO框架声称，并不是所有的管理责任都是内部控制的组成部分，因而将战略计划、目标设定、保持核心竞争力、董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败，公司不具有效的治理结