| 论文首页哲学论文经济论文法学论文教育论文文学论文历史论文理学论文工学论文医学论文管理论文艺术论文 |
五、中国企业如何遵循SOX404:结构化方法
以上我们了解了SOX404条款的规定和中国在美上市企业由此面临的机遇和挑战,可见,如何顺利开展SOX404合规工作已经是迫待解决的问题。今年上半年,所有在美上市中国公司都将向SEC递交符合404条款的表格。除了新浪、搜狐等少数在NASDAQ上市的中国公司已经提前达到过404条款的要求,对大多数中国公司,尤其是在纽约证券交易所上市的大型国企,这是第一次面临404条款的真正考验。迄今为止,24家在纽约证交所上市的中国公司中仅有4家递交了内控报告。可以预见,这一最初的尝试不可能十全十美,而更多的中国企业能否在他们之后继续登陆美国资本市场,就要看他们的执行情况。因此,404条款合规方面的实务指导非常必要。目前,国内关于内部控制的制定、实施、评价的理论研究已经十分深入和广泛,但是却很少有专门针对SOX404条款的实务方面的指导,将理论运用于实际尚有一定困难。以下文章的内容就试图提出一个普遍的遵循方法。
(一) 选择合适的内控框架 (科教范文网http://fw.nseac.com)
企业欲建立和评价自己的内部控制制度必须有一个参照标准,这个标准应是国际普遍认可的,方可达到完善、规范。国际上比较有名的内部控制框架有美国的COSO、加拿大的COCO、英国的Cadbury、国际内部审计师协会的SAC等。PCAOB于2004年推荐使用COSO框架,随后获得了SEC的批准。SEC的认可表明COSO框架已正式成为内部控制框架的标准。我国企业可以按照 COSO框架建立企业内部控制制度,使单纯的控制活动与企业环境、管理目标及控制风险相结合,形成一套不断改进、自我完善的内部控制机制。
1.COSO框架关于内部控制的定义
现行的COSO内部控制框架是指COSO委员会在1992年发布的内部控制——整体框架。其中,对内部控制的定义为:内部控制是由企业董事会、管理层和其他员工实施的,为营运的有效性和效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。2004年,COSO委员会进一步将内部控制的涵义拓宽为企业风险管理,但是企业风险管理整体框架实际上并没有取代内部控制整体框架。所以本文对内部控制框架的选择还是采用了后者,以符合现行规定。
2.COSO框架的三个维度
COSO框架提出了内部控制制度的三维结构(见图5-1 )。第一维度是内部控制目标,即运营的有效性和效率、财务报告的可靠性、相关法令的遵循性。第二维度要求公司在部门单位层次和业务流层层次两个层次上对内部控制进行评价。第三维度包含了内部控制的五大要素:控制环境、风险评估、控制活动、信息与沟通、监控。三个维度构成了内部控制整体框架,即要求对于给定目标(如财务报告可靠性目标),管理层必须在部门单位层次和业务流层层次对内部控制的五大要素进行评估。
3.理解内控框架的注意事项 (转载自中国科教评价网www.nseac.com )
①COSO对内部控制的定义是一个过程,而不是结果。过程与结果之间有一定的对应性,但是结果的失败,比如产生了目标偏差,并不代表过程是有缺陷的,相反,结果达成了目标,也不代表控制过程是有效的。因此,公司应注意在评价内控有效性时,针对的是内控过程。
②内部控制系统是为基本的业务需求而存在的。COSO框架认为内部控制是内嵌在组织的业务流程之中的,而不是独立的附加在公司已有系统之上的。
③内部控制制度的设立应是灵活的、可修改的。COSO框架并不是一个刚性的规定,它承认不同的组织可以根据自己的情况选择不同的控制方法。此外,内控制度的设计应具有灵活性,始终保持其在动态环境下的有效性。
④内部控制提供的是合理的保证。COSO框架承认内部控制的局限性,即不论内控系统的设计和运行多么完善,亦只能提供合理范围内的保证。内部控制失败(内控目标未能实现),并不意味着系统是失效的。这在内部控制报告中有所体现。
⑤内部控制框架各要素之间并非简单的线性连续关系。内部控制框架的5要素之间相互联结、协同作用、相互影响,构成一个对环境动态反应的有机整体。
(二)识别关键控制
管理层对内部控制有效性的评价是基于整体内部控制,而不是个别控制或控制环节。控制的各个组成部分如前所述,是相互联系、交互作用的,但其中一些控制对整体控制的有效性具有主导作用,这就意味着我们在评价内控有效性的时候应该着眼于关键控制。因而,企业应先识别出关键控制。
关键控制同时存在于公司层面和流程层面,以下我们分别来说明:
1.公司层面关键控制的识别
公司层面的控制构成控制体系的基本构架,是更宏观的控制,对于流程层面控制的设计和实施都会产生比较深远的影响。根据大多数企业的情况,我们认为以下的公司层面控制一般属于关键控制:①公司文化②人事政策③