美国萨班斯法案简介

下面在此简单为大家介绍一下《萨奥法案》

1. 《萨奥法案》出台的背景

2001年以来，美国安然、世通、施乐、默克制药等一些大公司的会计丑闻连续曝光，诚信危机震撼了美国及国际社会。为了建立并恢复民众对美国资本市场和政府经济政策的信心，对公司财务报告的信心，2002年7月30日，美国总统布什正式签署了《萨班斯-奥克斯利法案》。

连续的会计丑闻揭示了美国企业制度存在的缺陷：

1）美国公司的治理结构存在一定缺陷

 股票期权激励机制：高级管理人员熟知公司内情，可以在股价下跌前变现股票，损害投资人利益；

 首席执行管制度：股东大会对经营管理者的控制力减弱，经营管理者为了自身利益而做出掩盖债务、虚报利润等违法违规行为。

2）外部监督不充分

 会计师一方面对上市公司进行财务审计，另一方面又为上市公司提供会计咨询服务，缺乏独立性；  会计行业没有统一有效的监管，导致上市公司的外部监督失效。

2. 《法案》的基本内容，包括11个部分，其中明确了公司管理层的责任：

 必须对披露报告额真实性、全面性、准确性负责；

 必须对公司内部控制体系设计、建立、运行有效负责。

完善了公司审计制度：

 要求所有的上市公司都必须设立审计委员会，该委员会的成员必须全部是“独立董事”

禁止上市公司的独立审计人员同时向该上市公司提供包括保管财务数据、设计和执行财务信息制度、资产评估会估价服务等与审计无关的其他专业服务。

此外，还加强了会计监督，强化信息披露的监控，突出了舞弊防范，加强了法律制裁。

3. 《法案》中核心条款简介

404条款简介

 首席执行管或财务总监签署年度报告以确认其实施和维护内部控制框架和财务报告的责任，并对其效果进行评估。

 外部审计师通过对控制文档记录和控制效果的测试，对管理层报告发表意见。

 要求在美的上市公司必须建立内部控制体系，公司管理层是内部控制体系建设、运行、评估的责任人；

 SEC（美国证监会）和PCAOB推荐COSO作为企业建立内部控制体系的标准。

 302条款：

 首席执行官或财务总监声明其负责建立并维护与披露有关的控制和程序，并已经设计有关披露的控制和程序以保证其获知必要的信息，同时对有关披露的控制的有效性进行评估和报告。

4. COSO内部控制框架介绍

内部控制理论从20世纪40年代发展至今经历了4个阶段：

 内部牵制

 内部控制制度

 内部控制结构

 内部控制整体框架（COSO内控框架）

早期的内部控制仅限于内部控制控制和财务报表编制。1992年，美国的COSO委员会设计了一个新的内部控制框架，主要是依靠公司的董事会、管理层和其他员工为实现以下目标提供合理保证：

 经营的效果性和效率性；

 财务报告的可靠性；

 对法律和法规的遵循性；

COSO是美国一家自愿性的私人组织，致力于通过强化商业道德，建立完善有效的内部控制和法人治理结构以提高财务报告的质量。它从属于1985年成立的反虚假财务报告委员会，主要由美国注册会计师协会（AICPIA）、内部审计协会（IIA）财务经理协会（FEI）、美国会计学会（AAA）、管理会计学会（IMA）等多个专业团体组成。

COSO框架是最为广泛认可的内部控制整体框架国际标准。按照COSO内控框架建立内控体系，是企业梳理管理流程、规范管理制度、提升整体管理水平的契机。

COSO框架包括5个基本要素：

 控制环境：人的活动在环境中进行，人的品性包括操守、价值观和能力等，既是构成环境的重要要素，又与环境相互影响、相互作用。组织中的控制环境是能够影响员工控制意识的组织的“基调”。

 风险评估：是识别和分析那些影响企业目标实现的各种风险的过程，是确定如何管理和控制风险的基础，其过程一般包括风险识别和风险评估；

 控制活动是指为保证采取适当行动以控制与组织目标实现相关的风险而制定的政策和程序；针对企业不同的

目标、作用分为不同类型的控制活动；

 信息和沟通是指企业中的各种生产运营和管理信息以某种形式被识别、获得和沟通，以促使员工按照信息指令履行自己的职责；

 监督是评估内控系统在一定时期内运行质量的过程，目的是保证内部控制持续有效，一般采用持续性监督和独立评估的方式。

当然内部控制设计和执行都是具有一定的局限性的，它只能对公司相关利益者提供合理保证，有时个别内部控制存在失控的可能。其局限性表现在：判断失误、执行偏差、管理层越权、合伙同谋、成本效益原则。

从美国资本市场2002年开始推行实施内控框架以来，在2005年有将近50%的公司没有有效全面地建立其内控体系，SEC不得不将内控测试得时间推迟到2006年。

我与《萨奥法案》的第一次亲密接触是在04年做的一个项目上，当时客户是中国石油天然气股份公司（以下简称“中国石油”）下属的一家控股子公司，要求新华信公司按照总部内控建设的目标提供流程描述、风险控制文档编写的咨询服务。我当时被抽调到项目组完成财务部分的模块。项目时间紧，在短短的4周时间内，我和其他3位顾问完成了100多个流程图的修改以及风险控制文档的编写。完成项目后又匆忙赶到另一个项目上，那时第一次听说了正是由于美国《萨奥法案》使得在美国上市的中国石油公司花费大量的财力和物力进行内部控制建设，也就诞生了这个项目。

此后，该客户又多次找到新华信提供后续服务，我又作为成员之一对原来的内控体系进行了维护。在维护期间，才真正有时间在项目上学习了一下《法案》和COSO内控框架的一些内容，并就与此相关的一些感想与大家分享：

 大势所趋：COSO框架的产生和推广是现代企业发展到现在，完善公司治理，完善公司投资人及相关利益者共同利益的一个必然的趋势。国内资本市场日趋规范的未来，尤其是随着股权分置改革和管理层持股政策的松动，也必将引入具有国际标准的COSO框架来加强管理层对公司对外披露信息真实性以及风险控制的责任。  市场机会：内控体系建设工作在美国如同年度报表审计一样必要和重要，但是负责审计的会计师事务所是禁止为客户提供内控体系建设服务的，就像PWC是中国石油的审计所，就不能直接为中石油设计内控体系。这就为国内的会计师事务所和管理咨询公司提供的市场机会。此外，管理咨询公司比会计师事务所在流程设计、制度优化方面上具有更大的优势。

 全面广泛：COSO内控框架确实是迄今为止比较全面的内控控制体系，它不仅涉及到企业日常运营的各项流程中，而且深入到企业上至CEO下至每一个普通员工的日常行为中。

 评价标准：以产生的风险和实质性缺陷对财务报告的影响程度为COSO内控框架体系的评价标准；COSO框架与其他管理体系，如ISO9000、6希格玛等等有共同之处，但是COSO内控框架更关注各种行为对对外披露的财务报告的影响，确保公司的管理层对资本市场的股东和相关利益者的利益负责，建立起投资人对资本市场的诚信。

 实施效果褒贬不一：从美国本土来看，《法案》刚刚实行时效果不佳。但该《法案》具有法律效力，必须在美国强制执行。从中国石油的基层单位内控建设情况看，还是存在着很多问题，主要表现在内控框架过于专业化，增加了实施操作的难度。COSO内控体系由PWC（普华永道）翻译过来之后，没有时间和人员进行整理，

很多词汇都是专业审计词汇，没有很好地结合企业地实际情况，所以也没有很好地融入到企业实际运营管理中。尽管投入很多地人力和物力进行内控建设，编制了大量的流程、文档、表单和制度，但实施效果未能达到预期。

 与企业原有管理体系之间存在交叉包含的并存关系：仍以中国石油为例，这样一家有着几十年管理经验的国有企业，现存两套管理体系，一套是以前形成的生产运行管理体系，一套是前几年完成的QSHE体系，再加上内控体系，这三张“皮”是否能“捏”在一起，确实成为企业实际实施内控体系中遇到的难题。在我们正在实施的项目中，客户已经提出了这样的需求。所以说，国内客户现在越来越看重咨询项目的实际执行效果，要求咨询公司提供的体系方案能够“从纸上落到地上”。

 对顾问专业素质的要求：在这类项目上，对顾问的要求与以往传统的战略咨询项目有所不同，不仅要求顾问从战略高度对公司整体业务有宏观把握，还要深入到公司经验运作、职能管理层面了解企业的方方面面，并且能够按照标准的框架体系结合企业的实际情况，设计出适合企业的内控体系，对顾问的快速学习能力，灵活运用能力的要求都是很高的。

在这里，我把《萨奥法案》和COSO框架体系简单做了介绍，并结合此类项目交流了一些自己的想法；有机会也想整理出一些具体的东西作为专题和大家面对面的交流。其实这个理论体系专业性很强，随着客户对此类项目的需求越来越多，也希望能和做过此类项目或感兴趣的顾问多多交流，并能把此类项目做成战略中心核心产品之一。