中国上市公司遵循SOX404条款的影响和应对方法(下)(1)

3.高昂的执行成本
正如前面提到过的，404法案的真正争议点不在于它是否应该实施，而是如何在成本效益的前提下实施。许多企业对404条款的极端抵制情绪也来源于过高的初始执行成本。尽管延后施行，中国企业现在面临的情况却与2004年的美国企业一样，甚至在实施难度上有过之而无不及。根据大多数美国企业适用404条款的情况，高昂的执行成本大致会来源于以下几个方面 ：
⑴适应期成本
这部分的成本来源于企业为拉近原有的内控体系和404条款要求的差距所做出的努力，是初始执行成本产生的主要方面。在以往的实践中，不管是公司内部审计人员还是外部审计师都会对公司内部控制情况进行一些方面和一定程度的评价，但是如404条款所要求的那样在整个公司范围内对与财务呈报相关的所有控制进行识别、备案、测试却是前所未有的。对内部控制比较不规范的中国企业更是如此。拿销售业务来说，公司必须从业务流程的起始开始，记录和控制销售合同的签订、订单录入、产品生产、发货、收款、收入确认等一系列环节。处在基层的业务执行人员在这一过程中对控制工作负有责任，而他们中的许多不具备足够的会计审计和内控知识。所以，不管对整个企业还是执行控制的个人，404条款的遵循是一个学习摸索的过程，过程本身需要耗费额外的人力、物力、财力。
⑵时间限制和外部费用
SOX法案早在2002年7月30日生效，404条款对海外公司的施行时间则被推迟到2006年7月15日后结束的财政年度，比美国大型企业晚了两年。但鉴于中国企业内部控制薄弱，与美国公司已经较为完善的内部控制制度相比尚存在较大差距，给中国企业的准备时间并不宽裕。因而也存在时间限制造成的成本。由于时间紧迫，而404条款的相关规定又存在一些不清晰的地方，这给执行带来困难。此时的企业比较现实的做法是寻求外部咨询人员和顾问的帮助。在中国，具有经验的404合规方面的专业服务还是比较有限的，大多数在美上市公司还是选择四大会计师事务所，僧多粥少，必然导致顾问费用的上涨。同时，内控审计带来更大的工作量导致审计费用也大幅上涨。在企业年度报表中，一般不会具体披露这一专项费用，但是FEI在2004年对美国企业的调查显示，内控审计的费用比预想中高出40%，占进行内控审计之前一般审计费用的53%。
⑶规定的不清晰性造成的合规成本。
对于大多数执行404条款的美国公司来说，这一过程是伴随着法规制度的不断完善进行的。404条款的正式规定及其模糊，所以一开始公司参照COSO委员会的内部控制整体框架对内控进行完善和评价，而这时PCAOB的2号审计准则还在酝酿过程中。这时，不管是公司还是外部审计师对什么是合适的控制、什么是足够的备案、何种程度属于重大缺陷都没有定论。整个2004年，SEC和PCAOB的相关规定一直在不断出台，企业就要不断地据以调整，许多时候发现由于理解和规定的偏差，需要大量返工，这个过程耗费了大量资源。中国公司比较幸运的是避免了这一迷茫的时期，因为如今2号审计准则已经出台，也有了大量美国企业的经验和教训。但是，一旦规定又有增减变动，这部分成本还是会产生的。因为据调查，很多企业仍不甚清楚如何执行404条款，认为条款的一些规定有待细化。对法案相关规定的调整预期还会继续进行。
4.相关专业人才匮乏
这一点表现在内部专业人员匮乏和外部专业人员匮乏两个方面。内部专业人员主要是指404项目组成员和内部审计人员。一般来说，这些人应该具备比较全面的会计审计知识，也有很多具有审计从业经验。但是，他们在内控知识上可能不完备，需要进行专业培训。不同于一些美国跨国企业的内部专业人员，这些人员往往是没有经历过404合规工作的，在这方面完全不能算专业，只能说比一般员工专业，而这是远远不够的。外部专业人员是指外部审计师和顾问等。这些人员往往是在具有会计审计知识的基础上具有一定内控方面的实际经验，他们在404条款合规方面会比公司内部专业人员权威。但是，有两点值得注意：首先，以往的404条款合规经验通常来源于国外企业，他们的内部控制准备状况和中国企业不大相同，另外中国企业具有许多中国特殊国情决定的特点，在合规工作过程中是需要考量并灵活变通的，在这点上，外部专业人员不一定比内部专业人员更胜任；第二，所谓专业人员也未必专业，只不过他们服务于专业机构罢了。当然，项目组的负责人是具备足够的专业知识的，但实际执行内控审计的人员大部分都比较年轻，缺少专业经验，再加之他们对企业业务流程的细节也不了解，就会造成外部审计师比公司内部人员还迷茫的情况。NASDAQ的调查报告显示，公司普遍认为审计师不能称为专家，只是“又多余、又昂贵的劳动力密集型作业” 。70%的接受调查者认为，审计行业不具备培训到位的员工来执行SOX404合规工作，61%的人认为外部审计人员并没有足够的资格评价他们的内控系统。虽然比较极端，但一定程度上反映了外部专业人员在执行404条款时也有一定局限。

五、中国企业如何遵循SOX404：结构化方法

以上我们了解了SOX404条款的规定和中国在美上市企业由此面临的机遇和挑战，可见，如何顺利开展SOX404合规工作已经是迫待解决的问题。今年上半年，所有在美上市中国公司都将向SEC递交符合404条款的表格。除了新浪、搜狐等少数在NASDAQ上市的中国公司已经提前达到过404条款的要求，对大多数中国公司，尤其是在纽约证券交易所上市的大型国企，这是第一次面临404条款的真正考验。迄今为止，24家在纽约证交所上市的中国公司中仅有4家 递交了内控报告。可以预见，这一最初的尝试不可能十全十美，而更多的中国企业能否在他们之后继续登陆美国资本市场，就要看他们的执行情况。因此，404条款合规方面的实务指导非常必要。目前，国内关于内部控制的制定、实施、评价的理论研究已经十分深入和广泛，但是却很少有专门针对SOX404条款的实务方面的指导，将理论运用于实际尚有一定困难。以下文章的内容就试图提出一个普遍的遵循方法。

（一） 选择合适的内控框架
企业欲建立和评价自己的内部控制制度必须有一个参照标准，这个标准应是国际普遍认可的，方可达到完善、规范。国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等 。PCAOB于2004年推荐使用COSO框架，随后获得了SEC的批准。SEC的认可表明COSO框架已正式成为内部控制框架的标准。我国企业可以按照COSO框架建立企业内部控制制度，使单纯的控制活动与企业环境、管理目标及控制风险相结合，形成一套不断改进、自我完善的内部控制机制。
1.COSO框架关于内部控制的定义
现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架。其中，对内部控制的定义为：内部控制是由企业董事会、管理层和其他员工实施的，为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年，COSO委员会进一步将内部控制的涵义拓宽为企业风险管理，但是企业风险管理整体框架实际上并没有取代内部控制整体框架。所以本文对内部控制框架的选择还是采用了后者，以符合现行规定。
2.COSO框架的三个维度
COSO框架提出了内部控制制度的三维结构（见图5-1 ）。第一维度是内部控制目标，即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素：控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架，即要求对于给定目标（如财务报告可靠性目标），管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。

3.理解内控框架的注意事项
①COSO对内部控制的定义是一个过程，而不是结果。过程与结果之间有一定的对应性，但是结果的失败，比如产生了目标偏差，并不代表过程是有缺陷的，相反，结果达成了目标，也不代表控制过程是有效的。因此，公司应注意在评价内控有效性时，针对的是内控过程。
②内部控制系统是为基本的业务需求而存在的。COSO框架认为内部控制是内嵌在组织的业务流程之中的，而不是独立的附加在公司已有系统之上的。
③内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定，它承认不同的组织可以根据自己的情况选择不同的控制方法。此外，内控制度的设计应具有灵活性，始终保持其在动态环境下的有效性。
④内部控制提供的是合理的保证。COSO框架承认内部控制的局限性，即不论内控系统的设计和运行多么完善，亦只能提供合理范围内的保证。内部控制失败（内控目标未能实现），并不意味着系统是失效的。这在内部控制报告中有所体现。
⑤内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响，构成一个对环境动态反应的有机整体。

(二)识别关键控制
管理层对内部控制有效性的评价是基于整体内部控制，而不是个别控制或控制环节。控制的各个组成部分如前所述，是相互联系、交互作用的，但其中一些控制对整体控制的有效性具有主导作用，这就意味着我们在评价内控有效性的时候应该着眼于关键控制。因而，企业应先识别出关键控制。
关键控制同时存在于公司层面和流程层面，以下我们分别来说明：
1.公司层面关键控制的识别
公司层面的控制构成控制体系的基本构架，是更宏观的控制，对于流程层面控制的设计和实施都会产生比较深远的影响。根据大多数企业的情况，我们认为以下的公司层面控制一般属于关键控制：①公司文化②人事政策③计算机一般控制④组织目标和控制结构的对应⑤风险识别⑥反欺诈政策⑦财务报告流程⑧系统范围的监控。
2.流程层面关键控制的识别
404条款要求评价的是财务呈报内部控制，因此我们在决定关键控制时就要考虑该项控制对财务报告的影响。关键控制应是指那些对重要财务报告会计科目余额和披露有重大影响的控制。我们可以先阅读一下财务报告，分析关键的财务报告要素，再从每个关键财务报告要素出发，寻找对应的关键控制流程。

对财务报告要素进行优先排序时应首先考虑其相对财务报告的重要性水平以及错报的可能性。除此以外还要考虑下列其他因素 :①会计准则的复杂程度；②重要会计估计方法的主观性和可靠性;③企业业务变更的程度以及其对内部控制的预期影响;④财务报表中存在潜在重大错误或遗漏之外的风险，例如非法行为、利益冲突、管理层未经公司授权使用公司资产等;⑤公司曾经出现过的或行业内普遍存在的问题报表项目，例如收益确认、储备计算等;⑥管理层是否要求记录那些与一般不会出现重大错报且可以被合理预测的会计科目相关的流程，例如，对大多数公司来说，工资是可以合理预测的，但其在销售成本和一般管理费用中占有较大的比重，因此，鉴于对有关工资的活动进行管理和控制的需要，管理层或许会要求记录与工资相关的流程及内控。
主要财务报告要素确认后，对其有重大影响的即为关键控制，可采用下面两种方法加以确认 ：
第一种方法是，针对可能会对关键财务报告要素产生重大影响的交易和相关控制系统，梳理其交易流程，确认关键控制。这可以通过将业务和相关控制系统分割成数量有限但相互联系的交易流程来实现，该交易流程是机构进行交易时所发生的主要的同类经济事项。收益、采购、薪金、换算、财政和财务报告均属于这种交易流程。
第二种方法是，将业务分割成其实际的流程。理想的情况是先系统分类流程，而不是为应付考核而选择性的梳理流程。业务被分割成不同流程后，项目小组再确认关键流程，以审核相关风险和内部控制。关键流程的确认须根据它对财务报告(或者业务)的重要性、出现内控缺陷或者流程发生问题的可能性来进行。这样，关键流程便与主要会计科目及披露事项联系起来，从而建立其与财务报告的相关性。

(三)形成文档记录
找出关键控制后，应该进行针对所有关键控制的文档记录。文档记录能够增强内部控制可靠性，支持内控系统监督，评价内控设计和执行的效果，同时又为PCAOB的2号审计准则所强制规定，是404条款执行中的重要环节，同时也是成本大项。这一阶段的工作主要是检查现有文档是否完善，并补充缺失的文档，为内部控制有效性的评价做准备，其工作流程如图5-2所示。

控制文档应包括与关键控制目标对应的控制政策和措施、可追溯至重大错报源头的业务流程描述、控制措施的负责人和执行方法。
控制文档亦包括公司层面和业务流程层面。公司层面的关键控制文档包括公司治理文档、人力资源政策文档和员工手册、财务政策手册等。业务流程层面的关键控制文档包括流程图、流程每个环节的文档、每个环节的风险及补救措施等。在准备业务流程层面的控制文档时，我们应该以有效掌握业务流程的全貌为原则，从关键帐户开始，追溯信息的流动，直到信息产生的源头，其中所有引起信息的处理和变动的文档都是关键文档。