美国专家对中国企业应对“萨式挑战”的建议(06-2-17) | |||||||||
---|---|---|---|---|---|---|---|---|---|
http://finance.sina.com.cn 2006年02月17日 16:37 审计署网站 | |||||||||
2006年1月17日,中国内部审计协会在京举办《如何成功通过〈萨班斯法案〉404条款内部控制测评》专题报告会。该报告会由美国“SOX法案自动化公司”的创办人及总裁林郑丽慧女士(Gladys Lam)主讲,她还带来了来自普华永道会计公司负责系统与流程管理的合伙人邓诚丰先生(Stephen J Ducker)和德勤华永会计公司的负责企业风险管理服务的合伙人赵善强先生(Eddie Chiu)等人组成的专家团队。来自北京、天津、山东、浙江、黑龙江等7个省市的近百家企事业单位和科研院校的300多名内部审计人员、内部控制专家、学者、教授和
此次专题报告会的主要内容包括《萨班斯—奥克斯利法案》(简称“SOX法案”)简介、实施指南、关键步骤以及实施“SOX法案”404条款内部控制测评的解决方案和措施。林郑丽慧女士及其专家团队还现场解答了与会者提问的一些问题,他们对在美国上市的中国公司的建议如下: 第一,遵循《萨班斯法案》的活动80%都涉及控制活动,其目的就是通过加强内部控制提高上市公司财务报告及信息披露的可靠性,重建全球投资者对美国证券市场的信心。由于在美国上市的外国公司主要应遵循的“SOX法案”302条款----“公司对财务报告责任”和404条款----“管理层对内部控制的评价”都要求,上市公司要对其目前执行的内部控制流程与COSO的框架进行对比,指出存在的不足和改进措施。建议设计本企业的内部控制流程时要采用COSO在2004年9月发布的八个组成部分的新框架,即《企业风险管理----整合框架》,而不要采用1994年五个组成部分的《内部控制----整合框架》老框架。新老两个框架的内在关系是:在保持《内部控制----整合框架》五个组成部分的基础上,第一,可以将新框架的“内部环境、目标设定、事件识别”这三个组成部分归纳为老框架“控制环境”的三大要素;第二,将新框架“风险反馈”作为老框架“风险评估”的应对措施;第三,其余的三个组成部分“控制活动、信息与沟通、监控”保持不变。 第二,目前,许多中国公司都在内部控制流程的文档准备、记录和IT控制活动的测试方面花了很多时间,有的公司建立了涵盖几百个风险点的内部控制体系。这些是内部控制测评所要求的“硬件”程序,“硬件”比较容易通过。相对公司控制环境的“软件”而言,其实施难度要比“硬件”大得多,有些控制环境涉及整个公司治理结构。 第三,“SOX法案”要求的公司治理结构与许多中国企业传统的公司治理结构有较大的差异,中国的企业文化与西方企业文化的内涵也不尽相同。为了少走一些较早实施“SOX法案”美国公司已经走过的弯路,中国公司应从一开始就注重实施公司治理结构层面的改进工作。例如,公司的高级管理层应成为遵守内部控制制度的表率并接受相应的监督和约束,充分发挥审计委员会和内部审计的作用,重视对员工遵守职业道德的培训,严格执行职责分离、工作分配、职责描述等方面的规章制度,在公司内部形成一个自上而下有效贯彻内部控制的过程。 第四,普华永道会计公司的邓诚丰先生(Stephen J Ducker)提醒大家,2006年7月15日之前,各公司的首席执行官(CEO)和首席财务官(CFO)还要为对外披露的财务年报的可靠性签字而实施内部控制自我评估测试。由于在美国上市的中国公司大多都是规模很大的公司,需要测试所有重要的控制点。假设一个公司有30个省级公司或分公司,每个省级公司又有5--8个市级公司,从流程上讲每个省级公司以及分公司都会有10多个或者更多的业务流程。每个流程又有5--10个重要的控制点。如果用3--4个小时测试一个控制点,计算下来,测试的工作量非常庞大。而这只是初步的测试,对测试发现的问题还需要改进,随后对改进的情况还需要进行再测试,从而达到没有重大控制缺陷。而会计事务所做的测试和审计工作,还包括很多像IT层面控制,公司治理层面控制的内容。2006年还有一项非常重要必须做的工作就是管理层测试。因此,各公司的高级管理层千万不要低估会计师事务所签发对各公司2006年度财务年报的审计报告之前,管理层测试的复杂性和时间长度。 第五,赵善强先生指出,为什么在“SOX法案”中没有明确提到内部审计师的职能和内部审计师应发挥什么样的作用,如何保持独立性和客观性等内容。其原因是“SOX法案”出台比较仓促,涵盖的内容又很多。404 条款只是“SOX法案”所要处理的涉及内部控制方面的问题。如何操作要根据美国公众公司会计监管委员会(PCAOB)制定的第2号审计标准去执行。内部审计在 404 条款里面确实没有明确的提到,但在PCAOB第2号审计标准对于内部审计如何参与是有相当明确的指南说明的。 内部审计的参与和作用,在遵循404 条款时,按照PCAOB第2号审计标准,内部审计的有效性是其中应考虑的重要因素,这对于是否可以通过404条款的内部控制测评是非常重要的。如果某公司的内部审计做得不好,绝对会影响该公司通过 404 条款的测评。另一方面,内部审计作为内部监督机构,在遵循 404条款项目时,第一,会参与前期的文档记录和提意见;第二,在管理层测试时会介入其中的工作。PCAOB第2号审计标准要求,执行内部控制的人和做测试的人要相对分开,以保持内部控制测试的客观性,内部审计在遵循404 条款方面的作用会体现在这几方面。 邓诚丰先生补充解释内部审计在遵循404 条款方面扮演的角色。目前,美国公司已到了第 2 年的404条款合规项目审计,相比之下,第一年时,内部审计在 404 条款合规项目中,从文档记录到测试做了很多工作;第二年,改变了使用内部审计师的一些策略,把内部审计人员从 404 条款合规项目中撤出,使得他们能够从更加独立的角度去完成管理层测试,也使他们能够完成内部审计原来就应该完成的日常工作,保持独立有效的职能。内部审计不是只为了完成404条款合规项目,他们可以关注公司最高风险的领域和管理层所要求他们关注的重要领域。这是美国公司在第二年实施404 条款中,内部审计角色的一些变化。另外,在 404条款合规审计时,内审部门自身的有效性也是要测试的一个重点控制。COSO框架中有一要素是“监控”,实际上内审的工作性质很大程度上代表了公司监管的好坏。例如,四大会计师事务所做审计时。一定会评估内审职能的有效性。同时,管理层在签署他们的书面声明时,也必须评估内审的有效性来支持他们的声明。 内部审计职能有效性评估对许多中国公司也是非常有挑战性的工作。例如,有关内部审计职能的独立性和客观性,非常重要的就是内部审计的汇报线(渠道)。内部审计是向公司管理层汇报,与独立性和客观性要求就有差距,因为既向管理层汇报,又评价管理层内部控制有效性。中国公司的内部审计在传统职能上可能与独立性要求还有一些差距。汇报线的改变,即向审计委员会或董事会汇报也是一项很大的挑战。 内审的工作范围和职能,从人力资源角度来讲,具备多少人员、工作技能、预算、使用的技术工具方法等等,都是要考察的范围。此外,在进行内审评估时,要看具体的工作方法和工作方式,内审人员接受过哪些培训,审计时的工作底稿、工作记录、技术方法,审计报告等都会成为四大会计师事务所评估的内容。 第五,只有人才能实现合规,IT系统软件工具是为人服务的。美国的一些大公司一般会有自己的软件工具做测试评价,并将所有内部控制文档应尽可能存放到一个可查询的工具里面。国内的一些软件工具可以探讨,采用自动化工具时,一个重要的功能是文档查询功能,国外应用很多,但国内还刚刚起步。建议采用自动化、一体化、动态的和可持续提供合规性报告与管理SOX进程以及文档记录需要的IT系统软件工具,少用或不用内部控制、业务流程、财务报告三者分离,没有内在勾稽关系,需经过整合处理才能符合“SOX法案”要求的IT系统软件。 最后,林郑丽慧女士强调,很多人说中国在美国上市的公司很难通过《萨班斯法案》,她认为关键是组织机构部门的特点以及人员等情况。中国企业的特点主要由中国的传统文化所决定,中国企业最关键的是授权以及权威,“名不正则言不顺,言不顺则事不成”,如果没有人听指挥,就无法完成相关的任务。但她相信中国企业应该知道怎样才能通过“SOX法案”的合规性要求,也一定能够通过。(作者:中国内部审计协会副秘书长 张 玉)
(本文内容仅为作者观点,不代表审计署的观点,转载时请注明) |