论文部分内容阅读
摘 要:SOX法案404条款的规定对我国上市公司在内部控制制度的建设有着重要的影响。文章对404条款的背景及内容予以介绍,强调了强化內部控制的重要性,并提出应对建议;同时结合中铝矿业公司,遵循404条款强化內部控制的具体措施,进一步阐释了建立健全内部控制,对确保公司信息的真实完整、促进公司良性发展具有深远的意义。
关键词:SOX法案 404条款 内部控制
中图分类号:D922.292 文献标识码:A 文章编号:1004-4914(2008)09-162-02
一、SOX法案404条款的背景及内容简介
“安然”、“世界通讯”等财务欺诈事件,暴露了美国核查体系的严重缺陷,动摇了公众对会计师行业的信心,对国际投资市场造成了重大损害和信任危机。为此,美国国会于2002年出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯一奥克斯利法案》(以下简称sOX法案)。该法案于2002年,7月30、日,经美国总统布什签署后正式成为法律并开始生效,旨在加强公司责:任。保护公众投资者的利益,免受公司高管及相关机构的侵害,以期恢复投资者对股票市场的信心,提升市场对会计职业界的信任。该法案对美,国会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定,所有在美国证券交易委员会(SEC)备案的公司,包括在美国注册的上市公司和在外国注册又在美国上市的公司,都必须符合SOX法案的要求。其中的404條款是对在美上市公司与财务报告相关的内部控制方面涉及最多也最为密切的条款,它要求在美国上市的公司承诺对其披露的财务报告的真实性负责,并建立有效的监控措施保证其真实性,同时外部审计师必须对公司的内部控制出具审计意见。
随后,美国上市公司会计监管委员会(PCAOB)先后发布了第2号审计准则和第5号审计准则,明确了上市公司和审计师在这一领域的责任,为404条款遵循工作的具体实施指明了方向。SOX法案是美国自20世纪30年代颁布财务规则以来。最为严厉和公司必须严格遵守的财务法则,对我国上市公司内部控制也将产生深远的影响。
巧合的是,在震惊世界的“安然事件”案发前,中国股市也因为“银广夏”造假而遭遇空前的信任危机。同样巧合的是,继新修订的《证券法》加大对上市公司高管的约束后,中国最新的刑法修正案中,也对上市公司高管人员从事损害公司利益的行为所承担的责任,做了补充规定。唯一不同的是,量刑与处罚力度有很大的差别。
目前我国法律还没有强制规定上市公司要出具内部控制报告及进行注册会计师审计,大多数公可的内部控制报告流于形式,导致上市公司内部控制报告质量太差。因此,我们应借鉴SOX法案,强制要求上市公司管理当局提供单独的内部控制报告与内部审计报告,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。
遵循404条款,要求上市公司的高管和业务、管理、技术等各个部门都要积极应对。首先,对公司高管而言,要求他们必须清楚其对于公司财务报告、信息披露和内部控制报告的责任,不遵从SOX法案所面临的法律后果和证券市场的风险,掌握公司各个部门遵循SOX法案实施内部控制的措施和执行情况。其次,受404条款影响最大的是财务部门,对于财务部门尤其是CFO而言,要求能够提供真实、准确、可靠的财务信息,按时完成季度及年度的公司财务报告,建立和维护内部控制结构和程序。
建立内部控制并不是公司哪一个部门的事情,而是事关公司整体经营管理效益的一项全局性的工作,单凭财务部门是无法实施的。公司CEO要深刻认识到实施内部控制不仅是财务部门的要求,而且也是规范经营、降低公司风险、提高管理效益以保证公司目标顺利实现的重要举措。
二、遵循404条款的必要性
1 遵循404条款是每个上市公司必须遵守的市场监管的要求。
2 遵循404条款是系统地完善公司内部控制体系的一个契机。为支持和保证管理层所做的内控有效性的声明,公司必须按SEC(美国证监会)的要求全面完善内控体系。
3 遵循404条款有利于上市公司管理层重点关注影响财务报告的主要风险区,从而确保处于不同层面、不同实体的关键风险均得到重视和解决,降低公司的风险
4 遵循404条款不是临时性或阶段性的项目,而是一个公司内控体系持续改进的过程。
三、遵循404条款,强化内部控制的重要性
1 保证国家的方针、政策和法规在公司的贯彻实施。贯彻执行国家的方针、政策和法规,是公司进行合法经营的先决条件。建立健全完善的内部控制,对公司内部的任何部门、任何流转环节进行有效的监督和控制,对所发生的各类问题进行及时纠正,有利于保证国家方针政策和法规得到有效的执行。
2 保证会计信息的真实性和准确性。健全的内部控制,可以保证会计信息采集、归类、记录和汇总过程的准确性,真实地反映公司生产经营活动的实际情况,并及时发现和纠正各种错弊,保证会计信息的真实可靠。
3 有效防范公司的经营风险。在公司的生产经营活动中要达到生存发展的目标,就必须对各类风险进行有效的预防和控制,内部控制作为公司管理的中枢环节,是防范公司风险最为有效的一种手段。它通过对,公司风险的有效评估,不断地加强对公司经营风险薄弱环节的控制,把公司的各种风险消灭在萌芽状态。
4 维护公司财产和资源的安全完整。健全完善的内部控制能够科学有效地监督和制约财产物资的采购、计量、验收等各个环节,确保财产物资的安全完整,有效纠正各种损失浪费现象的发生。
5 促进公司的有效经营。健全有效的内部控制。可以利用会计、统计、业务等各部门的制度规划及有关报告,把公司的生产、营销、财务等各部门及其工作结合在一起,充分发挥公司整体的作用,以顺利达成公司的经营目标。通过内部控制的监督与考核,真实反映业务实绩,配合合理的奖惩制度,激发员工的工作热情及潜能,促进整个公司经营效率的提高。
四、中铝矿业公司遵循404条款的历程
作为一家在美国上市的央企公司的下属子公司——中铝矿业公司对遵循404条款十分重视。在法案出台后,公司立即成立了404项目组,组织人员学习、培训,负责项目建设,并根据总部的部署聘请了安永会计师事务所作为公司的实施顾问。
中铝矿业公司高管层深知管理层的态度是发挥内部控制作用的前提,公司总经理明确指出该项工作不仅仅是404项目组或财务部门的任务,更需要公司方方面面、各个部门乃至全体员工的参与和关注。还特别强调遵循404项目的意义不仅限于遵循海外资本市场监管机构的法律要求,更重要的它是进一步加强公司内部控制,提升风险管理的良好契机。
中铝矿业公司的内部控制体系包括三个部分:机构层面、业务流程层面和IT层面。三部分涵盖公司的政策制度、管理层基调、文化理念、业 务流程及信息系统,贯穿整个财务报表生成的全过程。
1 机构层面。根据404条款的相关要求,机构层面本着重要性原则,从员工行为准则、人力资源程序、政策与流程、内部控制活动、管理层基调与态度、信息与沟通、经营计划与经营业绩分析、财务报告与信息披露等八个控制领域开展工作,根据控制评估基于COSO的内部控制框架,从控制环境、风险评估、信息与沟通、控制活动和监督等五个方面进行总结与分析,按照总部要求完成了公司的文档描述。机构层面的工作参与人数达30余人,审阅公司相关文件200多份,形成工作文档记录8万字。
2 流程层面。项目组按照要求在短时间内完成了采购与应付、生产成本与存货管理、资金、税项、长期资产、工资与福利和财务报表关账等七个流程文档,最终形成文档记录60余万字。
3 IT层面。404条款要求公司的内部控制活动,不论是人的行为还是信息系统的操作流程都必须明确地定义并保存相关记录,审计过程也有存档的要求。中铝矿业公司通过IT服务管理流程,实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,从而使公司更有效监督和管理IT风险。
为了确保404项目的顺利通过,中铝矿业公司主要采取了以下有力措施:
(1)健全组织,加强领导。一是公司先后成立了404项目领导小组、核心组、整改组等机构,总经理亲任组长,总经理助理主抓日常工作。公司领导从整体出发,根据不同阶段的工作需求,合理有效地配置人员。为404项目的扎实推进提供了组织保障。二是对测试中发现的问题,制定切实可行的整改方案,并与高管层成员逐一沟通,主管副总经理在各自的职权范围内积极部署;同时将问题汇总提请总经理阅示,进行督促落实,从而形成上下互动的整改体系,全面推进404项目。
(2)加大404项目的宣传力度。普及404基础知识。编写了《中国铝业矿业分公司404知识简要汇编》,就404条款产生的背景,SOX法案的有关要求、404项目的简要内容等方面进行了宣传,并下发各相关单位,使404知识得到了普及。为增强各部门对404项目的了解和认识,推动学习当今内部控制及风险管理领域的先进理念和知识,公司404项目组多次组织内部控制的相关培训,面向公司各级管理层及执行层,收到了良好的效果。
(3)健全完善内部控制文档。根据矿业公司的业务流程,编写流程描述、矩阵、穿行测试和控制测试等资料,并结合业务的不断变化,适时更新流程文档。同时为了加强内部控制,扩大404项目的影响力,先后下发了五稿流程文档,并明确要求各相关单位组织学习,遵照执行。各部室组织学习流程文档,并对照日常工作加以改进;通过学习,更加明确了内部控制的重要性和必要性,并将流程文档作为工作指引,强化了基础管理。
(4)加强沟通,规范管理,稳步推进整改工作。根据总部的整体安排,中铝矿业公司完成了数轮内部控制测试。参与人员广泛,既有公司高管层,还有各部室负责人,也有具体业务人员和熟悉ERP系统的关键用户,个别重要部室达到全员参与。
在实际工作中,项目组深入基层测试,检查内部控制执行情况,汇总测试结果,针对工作中存在的不良现象及发现的问题进行全面总结。限期整改,同时通报其他单位给予警示。
在公司管理层的高度重视和强势推动下,本着整改彻底、工作到位的宗旨,对测试过程中发现的问题及提出的整改建议,以整改通知下发到各相关部门、主管职能部室和公司主管副总经理,逐条落实;同时,项目组对整改的确认资料及支持性文档认真审阅,稳步扎实地推进整改工作,取得了良好的效果。
为了确保关键控制落到实处,中铝矿业公司以公司文件形式下发了《矿业公司关于开展“404”项目关键控制自我评估的通知),明确了各部门整改负责人、各流程领导部门和每个关键控制点的第一责任人;各单位指定专人负责对关键控制自我评估的落实、汇总、资料收集等工作,明确联系方式,建立了顺畅的沟通渠道;各单位认真自查,规范填报关键控制评估表;项目组严格审阅返回的評估表信息及支持性文档。
目前中铝矿业公司的404项目已经制度化,成为日常管理工作中的重要组成部分,并纳入各单位绩效考核。通过扎实的基础、规范的标准、得力的措施,使各阶段的404工作取得了卓越的成绩,2007年度测试以零缺陷顺利通过了外部审计。
遵循404条款,强化内部控制是一项长期、循环往复的系统工程,需要不断地更新、维护。公司应建设符合要求的内部控制体系,并确保其持续有效地运行,以达到控制公司风险,促进公司良性发展,满足外部审计监管的要求。
(责编 若佳)
关键词:SOX法案 404条款 内部控制
中图分类号:D922.292 文献标识码:A 文章编号:1004-4914(2008)09-162-02
一、SOX法案404条款的背景及内容简介
“安然”、“世界通讯”等财务欺诈事件,暴露了美国核查体系的严重缺陷,动摇了公众对会计师行业的信心,对国际投资市场造成了重大损害和信任危机。为此,美国国会于2002年出台了《2002年公众公司会计改革和投资者保护法案》。该法案由美国众议院金融服务委员会主席奥克斯利和参议院银行委员会主席萨班斯联合提出,又被称作《2002年萨班斯一奥克斯利法案》(以下简称sOX法案)。该法案于2002年,7月30、日,经美国总统布什签署后正式成为法律并开始生效,旨在加强公司责:任。保护公众投资者的利益,免受公司高管及相关机构的侵害,以期恢复投资者对股票市场的信心,提升市场对会计职业界的信任。该法案对美,国会计职业监管、公司治理、证券市场监管等方面做出了许多新的规定,所有在美国证券交易委员会(SEC)备案的公司,包括在美国注册的上市公司和在外国注册又在美国上市的公司,都必须符合SOX法案的要求。其中的404條款是对在美上市公司与财务报告相关的内部控制方面涉及最多也最为密切的条款,它要求在美国上市的公司承诺对其披露的财务报告的真实性负责,并建立有效的监控措施保证其真实性,同时外部审计师必须对公司的内部控制出具审计意见。
随后,美国上市公司会计监管委员会(PCAOB)先后发布了第2号审计准则和第5号审计准则,明确了上市公司和审计师在这一领域的责任,为404条款遵循工作的具体实施指明了方向。SOX法案是美国自20世纪30年代颁布财务规则以来。最为严厉和公司必须严格遵守的财务法则,对我国上市公司内部控制也将产生深远的影响。
巧合的是,在震惊世界的“安然事件”案发前,中国股市也因为“银广夏”造假而遭遇空前的信任危机。同样巧合的是,继新修订的《证券法》加大对上市公司高管的约束后,中国最新的刑法修正案中,也对上市公司高管人员从事损害公司利益的行为所承担的责任,做了补充规定。唯一不同的是,量刑与处罚力度有很大的差别。
目前我国法律还没有强制规定上市公司要出具内部控制报告及进行注册会计师审计,大多数公可的内部控制报告流于形式,导致上市公司内部控制报告质量太差。因此,我们应借鉴SOX法案,强制要求上市公司管理当局提供单独的内部控制报告与内部审计报告,并建立公司管理层责任追究制度,以保证内部报告有效性与有用性。
遵循404条款,要求上市公司的高管和业务、管理、技术等各个部门都要积极应对。首先,对公司高管而言,要求他们必须清楚其对于公司财务报告、信息披露和内部控制报告的责任,不遵从SOX法案所面临的法律后果和证券市场的风险,掌握公司各个部门遵循SOX法案实施内部控制的措施和执行情况。其次,受404条款影响最大的是财务部门,对于财务部门尤其是CFO而言,要求能够提供真实、准确、可靠的财务信息,按时完成季度及年度的公司财务报告,建立和维护内部控制结构和程序。
建立内部控制并不是公司哪一个部门的事情,而是事关公司整体经营管理效益的一项全局性的工作,单凭财务部门是无法实施的。公司CEO要深刻认识到实施内部控制不仅是财务部门的要求,而且也是规范经营、降低公司风险、提高管理效益以保证公司目标顺利实现的重要举措。
二、遵循404条款的必要性
1 遵循404条款是每个上市公司必须遵守的市场监管的要求。
2 遵循404条款是系统地完善公司内部控制体系的一个契机。为支持和保证管理层所做的内控有效性的声明,公司必须按SEC(美国证监会)的要求全面完善内控体系。
3 遵循404条款有利于上市公司管理层重点关注影响财务报告的主要风险区,从而确保处于不同层面、不同实体的关键风险均得到重视和解决,降低公司的风险
4 遵循404条款不是临时性或阶段性的项目,而是一个公司内控体系持续改进的过程。
三、遵循404条款,强化内部控制的重要性
1 保证国家的方针、政策和法规在公司的贯彻实施。贯彻执行国家的方针、政策和法规,是公司进行合法经营的先决条件。建立健全完善的内部控制,对公司内部的任何部门、任何流转环节进行有效的监督和控制,对所发生的各类问题进行及时纠正,有利于保证国家方针政策和法规得到有效的执行。
2 保证会计信息的真实性和准确性。健全的内部控制,可以保证会计信息采集、归类、记录和汇总过程的准确性,真实地反映公司生产经营活动的实际情况,并及时发现和纠正各种错弊,保证会计信息的真实可靠。
3 有效防范公司的经营风险。在公司的生产经营活动中要达到生存发展的目标,就必须对各类风险进行有效的预防和控制,内部控制作为公司管理的中枢环节,是防范公司风险最为有效的一种手段。它通过对,公司风险的有效评估,不断地加强对公司经营风险薄弱环节的控制,把公司的各种风险消灭在萌芽状态。
4 维护公司财产和资源的安全完整。健全完善的内部控制能够科学有效地监督和制约财产物资的采购、计量、验收等各个环节,确保财产物资的安全完整,有效纠正各种损失浪费现象的发生。
5 促进公司的有效经营。健全有效的内部控制。可以利用会计、统计、业务等各部门的制度规划及有关报告,把公司的生产、营销、财务等各部门及其工作结合在一起,充分发挥公司整体的作用,以顺利达成公司的经营目标。通过内部控制的监督与考核,真实反映业务实绩,配合合理的奖惩制度,激发员工的工作热情及潜能,促进整个公司经营效率的提高。
四、中铝矿业公司遵循404条款的历程
作为一家在美国上市的央企公司的下属子公司——中铝矿业公司对遵循404条款十分重视。在法案出台后,公司立即成立了404项目组,组织人员学习、培训,负责项目建设,并根据总部的部署聘请了安永会计师事务所作为公司的实施顾问。
中铝矿业公司高管层深知管理层的态度是发挥内部控制作用的前提,公司总经理明确指出该项工作不仅仅是404项目组或财务部门的任务,更需要公司方方面面、各个部门乃至全体员工的参与和关注。还特别强调遵循404项目的意义不仅限于遵循海外资本市场监管机构的法律要求,更重要的它是进一步加强公司内部控制,提升风险管理的良好契机。
中铝矿业公司的内部控制体系包括三个部分:机构层面、业务流程层面和IT层面。三部分涵盖公司的政策制度、管理层基调、文化理念、业 务流程及信息系统,贯穿整个财务报表生成的全过程。
1 机构层面。根据404条款的相关要求,机构层面本着重要性原则,从员工行为准则、人力资源程序、政策与流程、内部控制活动、管理层基调与态度、信息与沟通、经营计划与经营业绩分析、财务报告与信息披露等八个控制领域开展工作,根据控制评估基于COSO的内部控制框架,从控制环境、风险评估、信息与沟通、控制活动和监督等五个方面进行总结与分析,按照总部要求完成了公司的文档描述。机构层面的工作参与人数达30余人,审阅公司相关文件200多份,形成工作文档记录8万字。
2 流程层面。项目组按照要求在短时间内完成了采购与应付、生产成本与存货管理、资金、税项、长期资产、工资与福利和财务报表关账等七个流程文档,最终形成文档记录60余万字。
3 IT层面。404条款要求公司的内部控制活动,不论是人的行为还是信息系统的操作流程都必须明确地定义并保存相关记录,审计过程也有存档的要求。中铝矿业公司通过IT服务管理流程,实现IT的规范化管理,记录和控制IT的基本信息,包括对网络、硬件、网页、应用、防火墙、信息系统访问控制权限、访问密码等信息,保证财务报告的底层IT基础结构的业务持续,从而使公司更有效监督和管理IT风险。
为了确保404项目的顺利通过,中铝矿业公司主要采取了以下有力措施:
(1)健全组织,加强领导。一是公司先后成立了404项目领导小组、核心组、整改组等机构,总经理亲任组长,总经理助理主抓日常工作。公司领导从整体出发,根据不同阶段的工作需求,合理有效地配置人员。为404项目的扎实推进提供了组织保障。二是对测试中发现的问题,制定切实可行的整改方案,并与高管层成员逐一沟通,主管副总经理在各自的职权范围内积极部署;同时将问题汇总提请总经理阅示,进行督促落实,从而形成上下互动的整改体系,全面推进404项目。
(2)加大404项目的宣传力度。普及404基础知识。编写了《中国铝业矿业分公司404知识简要汇编》,就404条款产生的背景,SOX法案的有关要求、404项目的简要内容等方面进行了宣传,并下发各相关单位,使404知识得到了普及。为增强各部门对404项目的了解和认识,推动学习当今内部控制及风险管理领域的先进理念和知识,公司404项目组多次组织内部控制的相关培训,面向公司各级管理层及执行层,收到了良好的效果。
(3)健全完善内部控制文档。根据矿业公司的业务流程,编写流程描述、矩阵、穿行测试和控制测试等资料,并结合业务的不断变化,适时更新流程文档。同时为了加强内部控制,扩大404项目的影响力,先后下发了五稿流程文档,并明确要求各相关单位组织学习,遵照执行。各部室组织学习流程文档,并对照日常工作加以改进;通过学习,更加明确了内部控制的重要性和必要性,并将流程文档作为工作指引,强化了基础管理。
(4)加强沟通,规范管理,稳步推进整改工作。根据总部的整体安排,中铝矿业公司完成了数轮内部控制测试。参与人员广泛,既有公司高管层,还有各部室负责人,也有具体业务人员和熟悉ERP系统的关键用户,个别重要部室达到全员参与。
在实际工作中,项目组深入基层测试,检查内部控制执行情况,汇总测试结果,针对工作中存在的不良现象及发现的问题进行全面总结。限期整改,同时通报其他单位给予警示。
在公司管理层的高度重视和强势推动下,本着整改彻底、工作到位的宗旨,对测试过程中发现的问题及提出的整改建议,以整改通知下发到各相关部门、主管职能部室和公司主管副总经理,逐条落实;同时,项目组对整改的确认资料及支持性文档认真审阅,稳步扎实地推进整改工作,取得了良好的效果。
为了确保关键控制落到实处,中铝矿业公司以公司文件形式下发了《矿业公司关于开展“404”项目关键控制自我评估的通知),明确了各部门整改负责人、各流程领导部门和每个关键控制点的第一责任人;各单位指定专人负责对关键控制自我评估的落实、汇总、资料收集等工作,明确联系方式,建立了顺畅的沟通渠道;各单位认真自查,规范填报关键控制评估表;项目组严格审阅返回的評估表信息及支持性文档。
目前中铝矿业公司的404项目已经制度化,成为日常管理工作中的重要组成部分,并纳入各单位绩效考核。通过扎实的基础、规范的标准、得力的措施,使各阶段的404工作取得了卓越的成绩,2007年度测试以零缺陷顺利通过了外部审计。
遵循404条款,强化内部控制是一项长期、循环往复的系统工程,需要不断地更新、维护。公司应建设符合要求的内部控制体系,并确保其持续有效地运行,以达到控制公司风险,促进公司良性发展,满足外部审计监管的要求。
(责编 若佳)