从去年10月开始至今整整一年的时间内,中国证券市场出台的法规之多,密度之高,实为全球罕见。诸多迹象表明,传闻已久的中国版“萨班斯法案”已经进入倒计时,企业内控和风险管理的制度体系建设也由此进入最关键时刻。
美国“萨班斯法案”强调了一些资本市场发展非常重要的原则,比如上市公司的真实信息披露、会计审计的独立性、加强上市公司管理层的责任、上市公司的公司治理和内部控制与对投资者的保护等等,这些对于中国资本市场的发展都有很好的借鉴意义。
但是,围绕“萨班斯法案”及其效果和影响,出现了一些不同的意见,主要有以下几个方面:
1.有可能得不偿失
有些人认为,从长期来看,“萨班斯法案”提高了美国资本市场的规范程度,提高了投资者的信心;但同时也有一些人认为,其不利的一面是非常明显的,比如企业需要花费大量的资源去满足该法案的具体要求,而这些资源本可以用来投入研发,或者拓展市场;另外,对于一些小企业或创新型企业,严格的内部流程限制反而可能不利于企业的成长等等。同时“萨班斯法案”对于美国资本市场的吸引力也产生了直接的冲击,例如近年来,很多原本计划到美国资本市场上市的国际公司转而投向伦敦等其他市场。
2.严刑峻法有可能抑制创新
有学者认为,制定法律法规和实施市场监管要有一个度的把握,任何严刑峻法的实施都需要社会支付较高的成本;同时,法律法规的制定要在一个合理的范围之内,如果只希望一味加大严厉程度而不考虑现实情况和可操作性,可能会导致很多作假行为或形式主义,反而会降低法律法规的严肃性和有效性。
从更广泛的意义上来看,资本市场的发展往往一日千里,在国际市场上,很多金融产品可能10年前还前所未闻,现在已经成为市场上有巨大交易量的常规产品,而其最初出现的时候都是在法律的边缘,如果完全管死了,最大的代价就是市场失去了前进的动力。
3.主要借鉴精神,而不是形式
中国的经济是具有中国特色的市场经济,所以在监管时,也要具有中国特色的市场监管机制。“萨班斯法案”的精神在全球范围来看比较先进,有很多的概念在其他国家的法规里面没有非常突出地体现出来。但其毕竟是在美国的环境里孕育发展的,它是为了美国的公司或者是为了美国人去写的,如果我们要把它搬到中国国内企业的话,是有一些误区的。国外企业,尤其是美国企业,特别注重流程、注重系统,而在东方社会,特别是中国,还是以人作为一个最重要的元素。所以,在以系统和流程作为一个大文化的背景下起草的方案如果搬到中国国内的企业来运用,就会出现很多操作方面的问题。
4.关键在于执行,而不是推出
也有人认为中国法规比较全面,但是问题出现在执行。把现有法规很好地执行下来,要比现在去学“萨班斯法案”来的更切合实际。现在的法律法规推出速度过于频繁,旧的制度还没有来得及消化,新法规立刻出来,对于投资者来说,推出的法规如果理解不到位,那么这种法规也形同虚设。而对于执法者也面临同样的问题,如果不能正确的理解法规,就无法正确执行,于是出现执法不严的现象。与其出台众多的法律法规,不如查处几件具体的案例。执行力度决定了法规的推出力度,一个具体的案例要好过很多的法规。
面对这样一个众说纷纭、扑朔迷离、充满着不确定性的局面,企业的CEO和CFO一定希望知道中国版“萨班斯法案”到底会不会出台?如果出台的话会有什么特别的规定?企业又该如何未雨绸缪、提前应对?为了对这些问题有个大致的了解,我们特地组织了本期文章,希望能够对关注这个问题的CEO、CFO们有所帮助。
中国版“萨班斯法案”专题案例一
建立和完善企业内控体系必须明确其核心内容和基本要求:企业财务风险防范制度充分发挥作用是企业内控体系的核心内容;保证会计信息尤其是子(分)公司会计信息的真实性是其基本要求。
针对上市公司财务风险控制机制不到位及公司会计信息虚假,美国出台了《2002年公众公司会计改革和投资者保护法案》,也称《萨班斯——奥克斯利法案》( The Sarbanes-Oxley Act,简称“萨班斯法案”);同时还对美国《1933年证券法》、《1934年证券交易法》进行了修订,在会计职业监管、公司治理、证券市场监管等诸方面拟定了多项严格的制度规定。这次以“萨班斯法案”为主的法律完善及修改中,最为严格和影响深远的是第404条款,强制要求公司管理层按内部控制要求自我进行内部控制评价并定期完成内部控制评价报告。
“萨班斯法案”对中国企业的影响表现在两个方面:其一是自2006年7月开始,所有已经和即将到美国上市的中国企业必须遵循并达到“萨班斯法案”的要求;其二是我国政府借鉴美国“萨班斯法案”是修改法律法规,强制要求中国企业,尤其是上市公司建立和完善内控制度。可以说,积极推动中国企业建立与完善内控制度,可以有效防范企业财务风险,大大提高企业盈利能力与竞争力。
一、 从“萨班斯法案”看企业内控制度的强制性
自20世纪30年代美国经济大萧条以来,“萨班斯法案”是美国政府制定的涉及范围最广、处罚措施最为严厉的公司法律,其最突出的特点在于强化了公司CEO与CFO的监管责任,强制性要求完善内部控制机制,对于违反法案的公司管理层等相关利益主体实行严厉的惩罚规则。
1. “萨班斯法案”要求所有在美国上市的公司必须建立和完善内控制度
“萨班斯法案”共十一章,分为七大部分,主要是围绕会计职业监管、公司治理、证券市场监管等诸方面拟定了多项严格的制度规定。第404条款对公司内部控制的评价,是最为严格和苛刻的条款。该条款主要包含两方面的要求:
第一,内部控制方面,要求上市公司按《1934年证券交易法》第13节(a)或15节(d)的要求,在编制的年度报告中要包括内部控制报告。不仅强调公司管理层在建立和维护内部控制系统及相应控制程序方面应充分有效地承担责任,而且管理层应在最近财政年度末对内部控制体系及控制程序的有效性进行评价。
第二,内部控制评价报告方面,要求上市公司管理层要自我进行内部控制的评价,担任公司年报审计的会计师事务所应当对其进行测试和评价,并出具评价报告。
按照法案的严格要求,数千家大中型美国本土上市公司必须在2004年11月15日后结束的财政年度中遵守第404条款;其他某些中小型公司和非美国本土的海外公司(包括在美国上市的中国企业)的遵守日期为2005年7月 15日,鉴于此类公司执行404条款有更大的难度,美国SEC接受纽约证券交易所的建议,将此类公司执行该条款的日期延至2006年7月15日。
“萨班斯法案”的重要意义主要表现在强制要求上市公司实现内部控制,公司管理层尤其是CEO和CFO是公司内部控制系统建设及完善的责任主体。如果公司管理层,尤其是CEO和CFO不履行建立与完善内部控制的职能,将受到严厉的经济与刑事处罚。可以说,“萨班斯法案”把公司内部控制变成了强制性要求。
2. 中国也正力图通过法律法规的修改要求企业必须建立和完善内控制度
对于中国企业来说,遵循“萨班斯法案”的难点在于:如何依照法案的要求对照美国COSO(Committee of Sponsoring Organization反虚假财务报告委员会的赞助组织委员会)报告的理论体系,建立企业自身的内部控制系统。按照“萨班斯法案”的要求,每一个上市公司不仅要建立内部控制体系,并且要有明确的证据表明企业有效地遵循了内部控制的规定,对于需要内部控制的每一个关键环节要制订相应的过程文件并进行测试,以保证有据可查,同时还要指出企业内部控制的不足等等。
COSO报告对404条款提及的“公司管理者需要提交的内部控制报告”的内容作了非常严格的规定,把建立内控体系定位成企业运作管理的重要手段,内容涵盖了企业生产经营活动的全过程,包括控制环境、风险评估、控制活动、信息与沟通、监督等,远远超出了我国内部控制规范所指的资产保值增值、会计资料翔实可靠等较小的会计领域。我国多数拟到美国上市的企业都没有达到“萨班斯法案”所要求的内控系统的水平,这严重阻碍了他们进入境外资本市场进行融资。因此,中国迫切需要通过法律法规的修改建立和完善企业内控制度。
2006年7月15日,也就是44家在美上市的中国内地企业迎来“萨班斯法案”考验的当天,经国务院批准,由财政部牵头发起,证监会、国资委共同参与成立的“企业内部控制标准委员会”在北京正式成立,“会计师事务所内部治理指导委员会”由中国注册会计师协会发起成立。 我国政府及相应的委员会,将借鉴美国“萨班斯法案”的做法及相关条款,修改我国的法律法规,积极推动中国企业建立和完善内部控制制度。
二、 企业内控体系的核心内容及基本要求
建立和完善企业内控体系必须明确其核心内容和基本要求:企业财务风险防范制度充分发挥作用是企业内控体系的核心内容;保证会计信息尤其是子(分)公司会计信息的真实性是其基本要求。
1. 企业财务风险防范制度充分发挥作用是企业内控体系的核心内容
财务风险是指企业财务活动中,由于各种不确定因素的影响使企业财务收益与预期收益发生偏离,因而造成蒙受损失的机会和可能。防范企业财务风险要从内外两个方面着手:企业外部的财务风险主要来自于投融资环节,要通过加强投融资风险控制的力度来防范;而企业内部财务风险的防范则主要靠建立完善的内部控制体系来进行。
如何使企业财务风险的防范制度充分发挥作用,避免财务风险所导致的企业财务危机,是企业建立和完善内控体系的核心内容。企业不仅应该在进行筹资、投资、资金回收、利益分配各项决策时考虑到财务风险,更重要的是通过对企业的现金流量表、获利能力、偿债能力和营运能力四大指标所提供的财务信息进行分析,找出产生偏差的主要原因,建立财务风险防范体系,使企业经营者能及时预见各类潜在的财务风险,最大限度地控制财务风险,获取经济利益。
为从内部控制入手,有效控制公司的财务风险,重振投资者对上市公司财务报告的信心。2004年10月,美国COSO发布了《企业风险管理——整体框架》的报告,明确指出企业风险管理是指处理那些影响价值创造或价值保值的事项。报告要求企业管理层要在“规避、接受、减少或共担风险”四种风险反应中做出选择,要采取一系列行动使风险反应选择和风险偏好及风险容忍度相一致;另外,企业应制订和执行一系列政策和程序,以保证管理层有效地执行了风险反应选择。中国企业应该通过对“萨班斯法案”的深入学习和研究,借鉴其有益于加强财务风险管理的内容。
2. 会计信息尤其是子(分)公司会计信息的真实性是内控制度的基本要求
会计信息是一种综合性的经济信息,在微观管理、宏观调控及促进经济发展等方面,都发挥着巨大作用。会计信息真实与否直接关系到信息使用者的决策是否合理有效。经济活动越复杂,会计信息在经济决策中的作用越大。如何采取积极有效的对策,减少会计信息的错误及舞弊,保证会计信息尤其是子(分)公司会计信息的真实性,是建立完善企业内控制度的基本要求。
随着现代会计的发展,会计职能因其复杂性和专业性而从公司内部分离出来,成为一个独立的行业,而审计的作用在于向非会计专业投资者保证企业披露的信息是可信的。为了谋取利益,有些会计师在对上市公司进行财务审计的同时又为上市公司提供会计咨询服务。这种缺乏独立性的审计无法保证公司披露信息的真实性、公正性。
为消除因上市公司一系列财务丑闻而引起的公众对上市公司会计信息真实性的担忧,“萨班斯法案”对上市公司财务信息披露提出了更为严格的要求,要求强化财务信息披露义务:
由SEC制定规则,要求公众公司披露对公司财务状况具有重大影响的所有重要的表外交易和关系,且不以误导方式编制模拟财务信息;
由SEC负责对特殊目的实体等表外交易的披露进行研究,提出建议并向国会报告;主要股东或高级管理者披露股权变更或证券转换协议的强制期间由原来的10个工作日减少为两个工作日;
由SEC制定规则,强制要求公众公司年度报告中应包含内部控制报告及其评价,并要求会计师事务所对公司管理层做出的评价出具鉴证报告。
对会计行业统一有效的监管能保证对上市公司有效的外部监督;确保会计信息的真实性,企业的内控制度才能够行而有效。我国迫切需要建立完善企业内控制度,保证会计信息的真实披露。
三、 明确并强化企业内控制度完善的责任主体
企业内控制度不仅仅是财务部门、企业经营者的职责,它是需要整个管理体系内各组织结构共同参与的一项管理活动。健全的企业内控制度,实际上是完善的法人治理结构的体现。因此,建立完善企业内控制度必须明确并强化企业内控制度的责任主体。
1. 企业内控责任应明确到管理层中的具体成员
健全有效的内部控制,能够确保资产的安全完整、会计信息的真实有效和经济秩序的通畅有序。“萨班斯法案”对CEO和CFO提出了严格的要求:要求CEO和CFO宣誓保证公司账目的准确性,增加董事会、独立董事和管理人员的责任,并定期进行财务披露,内容须包括管理层和主要股东的关联交易;CEO和CFO要就有关披露控制程序的有效性发表声明,承诺“定期报告中的财务报表和信息披露是适当的,所有重大方面都公正地报告了公司的运营和财务状况”。
企业内部控制是整个管理体系内部各组织结构共同参与的一项管理活动。建立完善内控制度,应将企业内控责任明确到管理层中的具体成员,结合本企业实际情况制订内部财务管理制度、稽核制度等。通过会计工作的内部分工及原始凭证的审核、记账凭证的编制与审核、记账与对账、资产清查、会计报表的编制审核等相互交叉稽核和内部审计的独立稽核,预防、发现并纠正工作中存在的失误。
中国企业应充分借鉴“萨班斯法案”对公司管理层尤其是CEO和CFO内控责任的严格规定,明确界定企业管理层中具体成员的内控责任,为健全内控制度、提供真实会计信息奠定良好的基础。
2. 具体责任主体应该能够预见到经济与刑事的双重处罚
建立完善企业内控制度和完善法人治理结构,将企业内控责任明确到管理层中的具体成员,具体责任主体应明确自身的内控责任,并能够预见和承担因自身行为不当应承担的经济与刑事的双重惩罚。
“萨班斯法案”对CEO和CFO的经济刑事责任作了严格的规定,任何违反该条款的行为都被视作明知故犯,必须承担责任。如果某公司因为财务报表“重大不合规”而被要求重新提供财务报表,该公司的CEO和CFO在该不合规材料备案之后的12个月内“将所获得的奖金,或其他与业绩挂钩或与股票表现有关的报酬”,以及在此期间“通过出售股票实现的收益”都被要求退回。
法案明确提出对上市公司的CEO和CFO在财务信息披露方面的违规活动要追究刑事责任;对重大事实不存在虚假表述;准确披露财务、经营状况及现金流情况。证券欺诈行为指控的法定期限,从欺诈行为开始后的三年内,或者被发现的一年内,分别延长至欺诈行为开始后的五年,或被发现后的两年内。由于证券欺诈引起的违法行为将被处以罚金和最高达10年的监禁。
“萨班斯法案”在给中国公司在美上市带来严峻考验的同时,也给我们带来了通过法案强化公司内部控制、提高公司治理水平的机会。对违反内控制度责任人处罚不明、处罚不重是导致中国企业违反内控制度案件频频发生的重要原因。因此,中国应充分借鉴“萨班斯法案”,出台公司内控的法律规范,强化公司内部控制,尤其是强化上市公司管理层的内控责任,用法律制度保障违规事件的发生。
四、 中国建立和完善企业内控制度的重点及难点
中国上市公司,尤其是国有控股的上市公司,一直被要求建立与完善内控制度,上市公司的内控制度开始发挥作用;非上市公司(包括国有企业)也已经开始着手内控制度的建立,但这距离“萨班斯法案”的要求还有很长的路要走,绝非一朝一夕能至。从中国上市公司及大多数企业的具体情况看,建立和完善内控制度,面临的是如何抓住重点并解决难点的问题。
1. 建立和完善以统一收支结算为基本内容的财务风险防范制度
建立和完善企业内控制度,其重点和难点之一就是:建立和完善以统一收支结算为基本内容的财务风险防范制度。“中国式集团公司体系”的组织形式及多级法人治理结构,诱发了大公司或集团的财务风险。在多级法人的治理结构下,每一级次的子公司既控制资源又使用资源,并且都独立行使财务支配及收支结算权。
子公司对包括资金在内的资源控制而导致的结果是:随着母子公司资产规模的扩大,权利与利益逐渐向子公司层面扩散,而风险与责任逐渐向母公司层面集中。若干个子公司风险的转移,尤其是某一时段的风险集中转移,容易导致总部不可控制的财务危机。财务风险防范成为公司建立完善内控制度的首要工作。
而在统一收支结算条件下,公司总部要统一控制公司的融资与投资,子公司没有融资与投资权。子公司董事会只是形式上的权利机构,而不是独立的权利机构。子公司被纳入到总部全球统一控制资源和统一配置资源的组织架构中,要完全接受总部的指令和指示。有效避免风险集中转移造成的财务风险。
因此,为有效防范财务风险,必须建立母子公司体系内的统一财务控制与收支结算,在全球或全国范围内实现“四个统一”:事业部及子公司收入与支出的统一;事业部及子公司员工标准与薪酬支付的统一;事业部及子公司采购与配送的统一;事业部及子公司品牌标识与研发广告的统一。通过“四个统一”的手段和措施,有效防范财务风险。
2. 强化企业会计信息真实性及其披露的及时性与准确性
《企业会计准则》中把客观性原则列为会计核算十三条的一般原则之首,客观的会计信息必须是内容真实、数字准确、资料可靠,具有真实性、可靠性和可验证性的会计信息。把会计信息的真实性放在首位来谈,足见会计信息的重要性。经济全球化带来资金的全球化流动,而会计是指引这种流动的数字语言。只有保证及时、准确的披露真实的会计信息,才能保证资金全球流动的健康性。
中国企业,尤其是上市公司要通过建立完善的内控制度,保证会计信息的真实性,并提高会计信息披露的及时性与准确性。不能及时准确提供真实会计信息的行为,其相关责任人都应受到严厉的惩处。我国监管部门对外部审计的强化倾注了大量精力,不论内部约束还是外部监管,都是为了提高上市公司年度报告的信息披露水平,保证投资者得到真实的会计信息。如何结合中国会计审计现状,准确及时地披露真实的会计信息是建立完善中国企业内控制度的又一项重点和难点。
