（工商管理专业论文）SOX法案和COSO框架下集团公司内部控制的研究.pdf

提要 随着中国市场经济体系各个层面的不断完善，市场监管层、投资者、债权人和社 会公众等利益相关者对公司内部治理和内部控制提出了更高的要求和更严格的标准， 内部控制体系的建立和实施基于特定的公司内部治理结构并持续推动着公司内部治 理结构的发展和完善。面对国际关于公司治理和内部控制理论及实践的发展趋势：萨 班斯法案在所有美国上市公司的生效以及c o s o 内部控制整合框架体系在海外和国内 公司的广泛成功应用，许多中国公司期望能通过借鉴国际国内先进经验和成功案例， 不断改善自身的公司治理结构和内部控制机制，提高企业整体管理水平，以期迅速提 升企业的核心竞争力。 集团公司管理一直是理论界和实业界非常关注的研究课题。本文首先对研究对象 进行了界定，明确了研究目标的实践意义并简要分析了内部控制与公司治理的关系和 融合。之后，本文从宏观和总括的视角探讨和研究集团公司对其全资、控股子公司， 如何有效、合理借鉴萨班斯法案和c o s o 内部控制整合框架体系，构建匹配于企业自身 的科学、合理的内部控制体系，这样的体系构建是站在集团公司层面与集团公司原有 内部管理的融合，是集团公司对于其垂直下属一级子公司管理模式的探索和创新。最 后通过研究集团公司内部控制在投资环节的具体实施，为集团公司在其他关键控制点 的内部控制提供了有益的参考。 关键词：集团公司内部控制萨班斯法案c o s o 框架 a l o n gw i t ht h ec o n t i n u o u sd e v e l o p m e n ta td i f f e r e n tl e v e l si nc h i n a sm a r k e t e c o n o m ys y s t e m , t h es t a k e h o l d e r sr e q u i r eah i g h e rl e v e lo fc o r p o r a t eg o v e r n a n c ea n d s t r i c t e ri n t e r n a lc o n t r o lf o rt h e p u b l i c l yt r a d e dc o r p o r a t i o n s o nt h eo n eh a n d , t h e e s t a b l i s h m e n ta n di m p l e m e n t a t i o no fi n t e r n a lc o n t r o ld e p e n do ns p e c i f i c c o r p o r a t e g o v e r n a n c es y s t e m o nt h eo t h e rh a n d , e f f e c t i v ei n t e r n a lc o n t r o ls y s t e mw i l li nr e v e r s e p r o m o t et h ec o r p o r a t eg o v e r n a n c e n o wt h a tt h es a r b a n e so x l e ya c to f2 0 0 2h a sb e e n e f f e c t e da n dt h ec o s oi n t e g r a t e df r a m e w o r kh a sb e e nw i d e l ya n d s u c c e s s f u l l ya d o p t e di n m a n yao v e r s e a sa n dd o m e s t i cc o m p a n i e s , c h i n e s ec o m p a n i e sh a v el e a r n tt ob o r r o w s u c c e s s f u le x p e r i e n c e sa n de f f e c t i v ep r a c t i c e si no r d e rt oi m p r o v em a n a g e m e n tl e v e l sa n d n u r t u r ed i s t i n c t i v ec o m p e t e n c e i nt h i st h e s i st h ea u t h o rw i l lf i r s td e f i n et h eb o u n d a r yo ft h e t a r g e tr e s e a r c hs u b j e c t s ； i tw i l lt h e nm e n t i o nt h es i g n i f i c a n c eo fr e s e a r c h 蛐眯c ta n da n a l y z et h e r e l a t i o n s h i p b e t w e e ni n t e r n a lc o n t r o la n dc o r p o r a t eg o v e m a n c e f u r t h e r m o r e ，t h et h e s i sf o c u s e so nt h e c o n g l o m e r a t ec o m p a n i e sw h i c ha r ee i t h e rw h o l l y - o w n e do rj o i n t - v e n t u r ec o m p a n i e sa sa r e f e r e n c eo ft h es a r b a n e so x l e ya c to f2 0 0 2a n dc o s oi n t e g r a t e df r a m e w o r k , s oa st o r e f l e c tt h ei n t e r n a lc o n t r o ls y s t e mo fs o m es p e c i f i cc o n g l o m e r a t ec o m p a n i e s d u r i n gt h e a n a l y s i so ft h en e wi n t e r n a lc o n t r o ls y s t e mi tw i l lb ec o m p a r e dw i t ht h et r a d i t i o n a l m a n a g e m e n tm e t h o d s a n dm o d e l s f i n a l l y , t h i s t h e s i s a n a l y z e s t h ec o n c r e t e i m p l e m e n t a t i o np r o c e s so fi n t e r n a lc o n t r o ls y s t e mi ni n v e s t m e n tf i e l d sa n dh o wc o m p a n i e s c a nc o n t r o le f f e c t i v e l ya te a c hc r i t i c a lc o n t r o l l i n gp o i n t k e y w o r d s ：c o n g l o m e r a t ec o m p a n y , i n t e r n a lc o n t r o l ，s a r b a n e so x l e ya c to f2 0 0 2 ，c o s o i n t e g r a t e df r a m e w o r k i i 前言 随着中国市场经济体系各个层面的不断完善，市场监管层、投资者、债权人和社 会公众等利益相关者对公司内部治理和内部控制提出了更高的要求和更严格的标准， 内部控制体系的建立和实施基于特定的公司内部治理结构并持续推动着公司内部治 理结构的发展和完善。从国际关于公司治理和内部控制理论及实践的发展趋势：萨班 斯法案在所有美国上市公司的生效以及c o s o 内部控制整合框架体系在海外和国内公 司的广泛成功应用，面对这样的发展趋势，许多中国企业期望能通过借鉴国际国内先 进经验和成功案例，不断改善自身的公司治理结构和运作机制，提高企业整体管理水 平，以期迅速提升企业的核心竞争力。 集团母子公司管理一直是理论界和实业界非常关注的研究课题。本文旨在针对特 定公司组织形式：集团公司及其全资、控股子公司，如何有效、合理借鉴萨班斯法案 和c o s o 内部控制整合框架体系，分别在集团公司层面和子公司层面构建科学、合理的 内部控制框架体系的一些研究，并针对集团公司内部控制在投资环节的具体实施进行 详细阐述并探讨该环节的内部控制体系。笔者认为这样的内部控制体系和模式有助于 为集团公司及其子公司实现健康、有序、可持续发展和核心竞争力的培育提供合理的 支持和保障。 本文研究的集团母子公司构建科学、合理的内部控制框架体系，是站在集团公司 层面与集团公司原有内部管理的融合，是集团公司对于其垂直下属一级子公司管理模 式的探索和创新。集团母子公司内部治理与内部控制是一个庞大的系统工程，笔者所 研究的内容还很肤浅，只想起到抛砖引玉的作用，为集团母子公司构建科学、合理的 内部控制体系提供一些参考。 第一章序论 在这一部分，笔者对本文研究的对象进行了界定，从分析目标研究的实践意义入 手，阐述了完善的公司内部治理和设计科学、执行有效的内部控制体系对于集团公司 及其全资、控股子公司实现健康、有序、可持续发展和核心竞争力的培育所提供的合 理保障；同时概述了企业平稳和持续发展的两道保障机制：内部控制和公司内部治理 的现状和有效融合。 第一节研究对象的界定和意义 现代市场竞争造就了大批组织结构多层化和内部治理结构复杂化的大型企业集 团公司。这些企业集团公司往往是以资本为纽带关系相互联结起来的企业群落，核心 企业与各成员企业之间关系错综复杂、紧密程度不一，形成了庞大的关系网络。在正 式论述之前，首先对本文研究对象做出基本的界定。 一、研究对象的界定 ( 一) 集团公司在本文的界定 本文所论述的集团公司是指以资本为主要联结纽带的母子公司为主体，以集团章 程为共同行为规范的母公司、子公司、参股公司及其他成员企业或机构共同组成的具 有一定规模的企业法人联合体。 从组织结构上，集团公司具备总公司和母公司的双重特性，从与成员企业之间的 关系上，集团公司处于母公司或控股公司的核心地位，通过投资、控股和参股，对集 团中众多子公司的管理起主导作用，其核心特征是以母子公司关系为代表的控股制。 集团公司本身具备独立的法人地位，行使独立、有限的民事责任。 ( 二) 全资、控股子公司在本文的界定 全资子公司是指集团公司拥有全部控制性股权的一级子公司。 控股子公司是指集团公司掌握绝对控制性股权地位( 持股5 0 以上) 的一级子公 司。 上述两类予公司具备独立的法人地位，行使独立、有限的民事责任。 ( 三) 本文研究对象的界定 为简化研究起见，本文仅对集团公司对其一级垂直下属全资、控股子公司的内部 2 控制模式进行探讨。分公司、参股公司、其他依据我国( 2 0 0 6 企业会计准则第3 3 号 合并财务报表1 纳入合并范围的子公司和其他成员企业或机构均不在本文探讨的 内部控制模式中。 二、目标研究的实践意义 从我国集团公司发展的历程及现状看：随着中国市场化进程的不断深化，市场渐 进至透明和成熟，集团公司广泛存在于市场经济业态的各个层面，主体涵盖国有、集 体、民营、股份制等各种所有制形式，集团公司及其子公司的经营范围、领域、地域 更多的呈现跨地区( 全球化趋势) 、跨行业( 相关非相关多元化) 的发展趋势。随着 集团公司边界的不断扩张，完善的内部治理结构和设计科学、执行有效的内部控制体 系对于集团公司及其子公司实现健康、有序、可持续发展和核心竞争力的培育提供了 合理的支持和保障，而由于公司内部治理的失衡和内部控制体系的失灵给集团公司造 成的损失甚至是毁灭性打击的鲜活案例更是不胜枚举。 本文着力探讨的内部控制模式有助于在以下几个方面为集团公司及其子公司实 现健康、有序、可持续发展和核心竞争力的培育提供合理的支持和保障： ( 一) 对子公司的有效内部控制有助于提升子公司的内部管理和相对竞争力，体 现在子公司稳健、可持续的提升经营实力和业绩，进而对集团公司整体实力的增强和 业绩的提升提供合理保障。 ( - - ) 集团公司做强、做大的内部增长需求和谋求国内a 股上市、海外募集资金 直至海外上市的外部需求客观上对国内企业在公司治理、内部控制、财务报告和合规 性披露等方面提出了更高的要求，在何种程度上满足潜在投资者对上述方面的要求， 直接决定着企业内、外部需求的实现，同时在一定程度上代表着企业的社会形象和信 誉。 ( 三) 经实践验证设计科学、运行有效、执行有力的内部控制管理模式可以供集 团公司的分公司、参股公司、依据我国( 2 0 0 6 企业会计准则第3 3 号合并财务报表 纳入合并范围的子公司和其他成员企业或机构借鉴和参考，从而循序渐进不断改善和 提升内部管理水平和核心竞争力。 三、投资环节内部控制的重要研究价值 本文旨在从宏观和总括的视角研究和探讨集团公司对其全资、控股子公司，如何 安越咨询，2 0 0 6 新会计准则，w w e a s y f i n a c e c o l l c i i ，第1 1 9 页，访问时间：2 0 0 6 年1 1 月。 3 有效、合理借鉴萨班斯法案和c o s o 内部控制框架体系，构建匹配于企业自身的科学、 合理的内部控制整合框架体系。众所周知，一个完善的内部控制整合框架体系涵盖了 企业完整的部门单位层( e n t i t yl e v e l ) 和行动层或称流程层( a c t i v i t yl e v e l ) ， 本文在最后一章选择投资环节的内部控制进行重点研究和探讨，在深入研究和探讨该 环节内部控制的基础上，为企业建立内部控制整合框架体系提供借鉴和参考。 投资业务环节具备以下四个鲜明的特征： ( 一) 投资环节完整涵盖了c o s o 内部控制框架体系的五大要件，具有很强的代 表意义。 ( 二) 投资涉及到企业资源的合理配置，内部控制合理保证实现的重要目标之一 就是运营的效率与效果( 包括资产保护) 。 ( 三) 投资环节涉及集团公司和子公司内部多个部门单位层和流程层，对外投资 扩展了企业内部控制的边界。 ( 四) 投资业务的内部控制充分体现了本文所论述的内部控制的核心原则。 第二节公司内部治理与内部控制简要分析 在探讨公司内部治理与内部控制的关系和现状之前，首先要明晰内部控制的核心 原则和固有的局限性。 一、内部控制的核心原则和局限性 内部控制的核心原则是指企业在建立和设计内部控制框架体系时必须遵循和依 据的客观规律和核心原则。 ( 一) 成本效益原则：内部控制具有成本和效益、正面效应和负面效应的双重性， 只有控制收益大于控制成本时，实施内部控制才有实际意义。 ( 二) 关键控制点原则：内部控制应将注意力集中在部门单元层和业务流程层对 企业整体业务活动至关重要的关键控制点上，抓大放小。 ( - - ) 有效性原则：内部控制应与企业自身实际和企业环境相适应，特别要考虑 执行的有效性。 ( 四) 循序渐进的原则：内部控制的建立和实施应采取分步走的策略，逐步实施 和完善。 由于“委托一代理”关系的存在和内部控制固有的局限性，内部控制只能做到在 4 重大方面和关键控制点的合理保证。 二、现有公司内部治理模式下内部控制的现状广义分析 我国内部控制的建设和发展始于2 0 世纪9 0 年代，主要由政府、监管层( 包括证 券监督管理机构和行业监管机构) 等制定的一系列法律、法规和指引所推动。随着公 司内部治理的逐步规范，内部控制的理念逐渐被认可，内部控制的建立、设计与实施 也逐渐扩展到各个行业和领域，但从实践和控制效果来看，仍存在许多的问题和缺陷。 ( 一) 控制环境不健全。控制环境决定了其他控制要素是否能真正发挥作用，是 其他要素发挥作用的基础，影响因素集中体现在企业管理者的素质、品行、管理哲学 和企业文化，员工的道德水准和价值观念等。 ( 二) 风险意识和风险评估。环境控制和风险评估是提高内部控制效率和效果的 关键，当前的内部控制实践中许多企业的风险意识还很淡薄，更谈不上建立行之有效 的风险界定和风险评估机制。 ( - - ) 内部治理结构中内部控制的定位。内部控制的权责在许多内部治理结构中 隶属于企业内审部门，内审部门的组织结构和地位在现有治理结构中得不到合理保 证，根本达不到解决“委托一代理”问题的要求。 ( 四) 监督控制和组织保障失灵。内部审计的定位和内部控制标准的缺位导致内 部控制的考核和监督难于操作。 ( 五) 内部控制执行的有效性。虽然许多企业都依据本企业的具体情况制订了一 系列的内部控制制度，但在有效执行上存在明显的漏洞，执行乏力、无人监督和难以 落到实处似的内部控制形同虚设。 三、集团公司内部治理结构与内部控制的有效融合 上述内部控制的问题和缺陷广泛存在于各种类型的公司治理结构中。鉴于本文探 讨和研究的重点在于集团总公司( 母公司) 如何对其全资、控股子公司构建科学、合 理的内部控制框架体系，并且母公司管理层与全资、控股子公司管理层之间存在着特 定的委托代理关系，这种特定形式的公司内部治理结构与内部控制的联系更加紧密， 并不同于传统意义上所探讨的公司治理与内部控制的关系。也就是说，构建科学、合 理的对全资、控股子公司的内部控制框架体系，是站在集团公司层面与集团公司原有 内部管理的融合，是集团公司对于其垂直下属一级子公司管理模式的探索和创新。 一个强有力的处于核心地位的集团总公司( 母公司) 在目前的中国市场环境中对 5 于整个集团公司的健康、可持续发展的重要性是不言而喻的。而借鉴萨班斯法案和 c o s o 内部控制整合框架体系，正是集团公司创新管理思路和方法的体现。在后续的 讨论中，笔者会具体分析和研究如何科学合理借鉴萨班斯法案和c o s o 内部控制整合 框架体系，并遵循上述内部控制的核心准则。正如前述谈到的这样一种内部控制模式 有助于为集团公司及其子公司实现健康、有序、可持续发展和核心竞争力的培育提供 合理的支持和保障。 6 第二章集团公司内部控制对萨班斯法案的借鉴 萨班斯法案正式颁布生效后，在美国上市的本土公司和海外公司无论是出于遵守 法律规定核心条款的客观要求，还是出于健全内部控制体系，提升整体管理水平的主 观倾向，在公司治理、运作机制和内部控制体系的健全等方面都取得了一定的成效。 特别是对于内部控制基础比较薄弱，公司治理机制不够完善的中国公司，付出的成本 是巨大的，但对于公司在文化、经营理念和整体管理水平的影响和转变是深远的。收 益的显现和思想上深层次的转变可能还需要较长的时期，但从各方的反应看总体上是 积极的和赞赏的。“他山之石，可以攻玉”，因此从集团公司的管理实践出发研究萨班 斯法案，并通过借鉴和吸收国际国内先进经验和合理做法，尽快建立符合集团公司实 际情况的内部控制体系，具有深刻的现实意义。 第一节萨班斯法案简介 针对安然、世通等财务欺诈事件，美国国会出台了 2 0 0 2 年公众公司会计改革 和投资者保护法案。该法案由美国众议院金融服务委员会主席奥克斯利( o x l e y ) 和 参议院银行委员会主席萨班斯( s a r b a n e s ) 联合提出，又被称作2 0 0 2 年萨班斯一 奥克斯利法案( 简称萨班斯法案) 。法案对美国1 9 3 3 年证券法、 1 9 3 4 年证券交 易法作了不少修订，在会计职业监管、公司治理、证券市场监管等方面做出了许多 新的规定，该法案于2 0 0 2 年7 月3 0 日正式生效2 。 一、萨班斯法案的影响及争论 萨班斯法案的出台使得公司内部治理与内部控制再一次成为各方关注的焦点。按 照萨班斯法案生效时的约定，数千家大中型美国本土上市公司必须在2 0 0 4 年1 1 月 1 5 日后结束的财政年度中遵守4 0 4 条款，其他一些中小型公司和非美国本土公司的 遵守日期约定在2 0 0 5 年7 月1 5 日。考虑到在美上市的海外公司和中小型本土公 司执行起来的困难，纽约证券交易所极力游说美国证券交易委员会将原先拟定的生效 日期延期一年至2 0 0 6 年7 月1 5 日，该法案目前已完全生效。 美国总统布什在签署“s o x 法案”的新闻发布会上称“这是自罗斯福总统以来美 2 美国萨班斯法案中文版，行业发腱研究资料( 2 0 0 3 4 ) ，中国注册会计师协会网站，访问时间：2 0 0 6 年1 1 月 7 国商业界影响最为深远的改革法案“。作为萨班斯法案中最重要的条款，4 0 4 条款明 确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市 公司必须在年报中提供内部控制报告和内部控制评价报告，要求管理层除对内部控制 系统的有效性进行报告外，还须负责保持内部控制系统的有效运行，上市公司的管理 层和注册会计师都需要对企业的内部控制系统做出评价。 由于4 0 4 条款对于公司内部控制情况做出严格要求，上市公司为了遵循该条款将 付出沉重的代价和高额的成本，在进行法案达标准备时，需要萨班斯法案专门顾问公 司及审计公司的介入，付给外部公司的报酬占据了总成本的很大一部分，同时公司内 部要投入大量的人力、财力和时间，主要是对风险、流程和财务的管理。对于公司， 该法案最主要和最直接的影响就是增加管理成本。 争论的焦点集中于相关核心条款的苛刻和为遵守萨班斯法案所实施的高额成本， 用“严刑峻典”和“治乱世用重典”来形容并不为过。 二、萨班斯法案与内部控制相关的核心条款 萨班斯法案共分1 l 章6 5 款，除一般意义上的法律规定外，该法案特别强调了 公司内部控制的重要性，从管理层、内部审计及外部审计等几个层面对公司内部控制 做出了具体规定，提出新的更严格的要求，并设定了问责机制和相应的惩罚措施。法 案具体与内部控制有关的核心条款如下： ( 一) 1 0 3 条款：审计、质量控制和独立性准则及规定，该条款主要对外部审计 ( 注册会计师事务所和审计师) 对公司内部控制的构成及程序的测试范围的评估做出 的规定。 ( 二) 3 0 2 条款：公司对财务报告的责任，该条款要求管理层( 公司首席执行官 和首席财务官) 应当对建立及保持内部控制负责，设计了所需的内部控制并能保证管 理层所有重大信息的获知，评价内部控制的有效性并公布评价结论，同时签字官员应 向外部审计( 注册会计师事务所和审计师) 和内部审计( 如董事会下属的审计委员会) 披露内部控制的设计或执行中产生负面影响的所有重大缺陷以及重大缺陷或重要缺 点的更正措施。 ( 三) 4 0 4 条款：管理层对内部控制的评价，该条款要求公司编制的内部控制报 告包括：管理层建立和维护内部控制系统及相应控制程序充分有效的责任，管理层最 3 引臼布什总统在签署法案时的演讲。由于罗斯福总统签署t1 9 3 3 年的证券法和1 9 3 4 年的( h t 券交易法 返句话的实际含义是：s o x 法| 粜足自证券法和伯e 券交易法以米美国资本市场最人幅度的变革。 8 近财政年度末对内部控制体系及控制程序有效性的评价；同时要求外部审计应当出具 对管理层内部控制评价的评价报告。 ( 四) 法案的后续实施要求和指南：2 0 0 4 年，上市公司会计监管委员会( p c a o b ) 发布第2 号审计准则“财务报告内部控制审计“，进一步细化和补充了内部控制系统 要求，并要求公司管理层对控制措施、控制措施设计及实践的有效性、确认内部控制 系统不足是否会构成重大缺陷或实质性漏洞等方面进行评估，对公司管理层所需保留 的内部控制系统的记录做出了详细规定。 第二节集团公司实施内部控制对萨班斯法案核心条款的借鉴 在第一节中简要介绍了萨班斯法案的背景资料和与内部控制有关的核心条款，事 实上自萨班斯法案生效以来，围绕法案的争论从来就没有停止。一方面公司为实施法 案所付出直接的高昂的执行成本和潜在的提高了通过证券市场募集资金的成本，复杂 和繁琐的内部控制体系的实施导致了经营效率的下降；另一方面，法案的意义并不仅 在于完善公司财务信息真实可靠的保障机制，它将大大改善公司治理结构和运作机 制，提高企业整体管理水平，这对于公司而言是一个很大的转变，包括文化上、经营 理念上的转变和公司管理上的转变。遵守萨班斯法案和合规核心条款只是法律上的规 定，对于国内许多采用集团公司模式运作的企业并没有强制力，但更重要的是企业要 健康发展，必须建立和实施一套更为严密、更为科学的企业管理系统，而萨班斯法案 在这一方面为我们提供了许多启示和借鉴，下边分别就与内部控制密切相关的核心条 款对集团公司内部控制的启示进行具体阐述。 一、1 0 3 条款：审计、质量控制和独立性准则及规定5 该条款要求提供外部审计服务的注册会计师和事务所在每份审计报告中说明审 计师对发行证券的公司内部控制的构成及程序的测试范围，并在该审计报告或单独的 报告中注明审计师从测试中的发现，同时要求评价子公司内部控制的构成及程序是否 符合下列要求：( 一) 包括保存适当、详细而准确、并能公允地反映公司的交易及资 产分配情况的会计记录；( 二) 能够合理保证：交易被记录、可以根据这些记录来编 制符合公认会计原则要求的财务报告、公司所有的收入及支出得到了管理层或董事的 4 陈汉史，吴益兵，李荣，“萨班斯法案4 0 4 条款：后续进展”，会计研究2 0 0 5 年第2 期，第8 4 页 5 荚围萨班斯法案中文版，行业发展研究资料( n a 2 0 0 3 4 ) ，中国注册会计师协会叫站，访问时间：2 0 0 6 年1 1 月。 9 批准；( 三) 根据测试发现的关于内部会计控制系统中的明显缺陷及任何重大不符情 况的描述( 最低要求) 。 1 0 3 条款主要是监管层对于提供外部审计服务的注册会计师和事务所的强制要 求和规定，该条款对于集团公司的启示和借鉴在于集团公司完全可以以同样的要求和 规定来要求为子公司实施年度审计的外部审计服务提供商( 会计师事务所) 。 集团公司应统一选择外部审计服务提供商( 会计师事务所) 为子公司实施年度审 计，并对审计服务的质量进行评价，审计服务所产生的费用由集团公司统一负担。 二、3 0 2 条款：公司对财务报告的责任6 该条款要求公司的首要官员( 们) 及首要财务官( 们) ( 或担任同等职务的人员) 在每一年度报告或季度报告中保证如下内容：签字的官员已审阅过该报告；该官员认 为报告中不存在重大的错报、漏报；该官员认为报告中的会计报表及其他财务信息在 所有重大方面，公允地反映了公司在该报告期末的财务状况及该报告期内的经营成 果。 对签字官员的要求：签字官员对建立及保持内部控制负责；内部控制的设计应 当保证公司管理层能知道该公司的所有重大信息，尤其是报告期内的所有重大信息； 在签署报告前9 0 天内，评价内部控制的有效性；在该定期报告中发布他们上述评价 的结论。 签字官员己向公司的外部审计师及集团公司内部治理机构中的审计委员会( 或 承担同样职能的机构或担任同等职务的人员) 披露了如下内容：内部控制的设计或执 行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷。 以及向公司的审计师指出内部控制的重大缺点；在内部控制中担任重要职位的管理人 员或其他雇员的欺诈行为，不论该行为的影响是否重大；签字官员应在报告中指明在 他们对内部控制评价之后，内部控制是否发生了重大变化，或是其他可能对内部控制 产生重要影响的因素，包括对内部控制的重大缺陷或重要缺点的更正措施。 3 0 2 条款对于财务报告的责任要求与我国会计法的规定是一致的，该条款对于集 团公司的启示和借鉴在于以下几点： ( 一) 界定子公司管理层的责任，建立并保持一个有效的内部控制体系是子公 司管理层的责任，集团公司选用恰当的内部控制评价标准来评价子公司内部控制的有 美国萨班斯法案中文版行业发展研究资料( 2 0 0 3 - 4 ) t 中国注册会计师协会嘲站，访问时间；2 0 0 6 年1 1 月。 1 0 效性，评估的结果纳入对子公司管理层的考核体系或指标中。 ( 二) 明确子公司管理层的个人保证，特别是对于采用派驻财务总监的管理模 式。个人保证书的签署强化了内部牵制机制，个人保证书有章可循，有据可查，在道 德层面和制度层面规范了子公司管理层的责任。 ( 三) 有助于子公司内部控制体系的顺利建立和实施，增强全员参与和员工认 同。由于子公司管理层所承担的责任，在子公司内部治理结构中会形成一个压力传导 机制或称之为“向上确认方法”，管理层会把责任和结果确认层层分解落实以确保自 身责任的合理保证，使得内部控制约束与激励机制发挥作用，强化了执行力和体系自 身的优化。 三、4 0 4 条款：管理层对内部控制的评价7 该条款在内部控制方面的要求：监管层应当相应的规定，要求公司编制的年度报 告中包括内部控制报告，包括：强调公司管理层建立和维护内部控制系统及相应控制 程序充分有效的责任；发行人管理层最近财政年度末对内部控制体系及控制程序有效 性的评价。 对内部控制评价报告的要求：要求的管理层对内部控制的评价，担任公司年报审 计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循 委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。 4 0 4 条款貌似简单的规定背后蕴涵着极其繁杂的具体工作，牵扯到整个内部控制 框架体系和财务体系的重整以及部门单元层、业务流程层的梳理。首次遵循4 0 4 条款 的合规成本在人力、财力和物力的投入是巨大的，对于必须遵守萨班斯法案的上市公 司，4 0 4 条款的实施是一个非常重要的举措，必须由企业内部人员：公司董事、管理 层、4 0 4 项目委员会及各职能部门的负责人和外部人员：4 0 4 项目顾问，外部审计师 等核心层的积极支持和参与。 一般来讲，合规4 0 4 条款是一个分阶段、有侧重、逐步实现的过程，大体上可 分为四个阶段：( 一) 分析评价公司的内部控制状况，按萨班斯法案要求对照如c o s o 之类的内部控制整合框架体系对公司内部控制流程文档进行整理、优化；( 二) 记录 控制措施的评估方式，特别是对控制缺陷的评估，以及将来被用于弥补控制缺陷的政 策和流程；( 三) 完成内控的符合性测试工作，对公司内控的执行有效性进行测试， 美国萨班斯法案中文版，行业发腱研究资料( 2 0 0 3 4 ) ，中国注册会计师协会喇站，访问时间；2 0 0 6 年1 1 月。 1 1 进而对公司整体内控有效性进行评价，并且确保控制措施和补救手段起到预期作用： ( 四) 将前述三个阶段的各项活动情况整理成为一份正式的报告，形成公司内部控制 报告，同时发布并执行公司内部控制管理手册。 应该讲，通过以上四个阶段建立并实施内部控制体系的过程对于子公司层面的借 鉴意义是巨大的，在这里集团公司不妨把自己定位为“监管层”的角色，当然作为法 律条款的监管层的强制性和集团公司作为“监管层”的管制、执行力度不可同日而语， 但是法案本身所蕴涵的监管层的理念和前瞻性，一种先进的具有可操作性的监管思路 和手段，一种代表着科学、先进的内部控制理论和行之有效的解决办法值得目前普遍 内部控制薄弱的中国企业深思和学习。 第三节萨班斯法案的启示 如前所述，法案的意义不仅在于完善子公司层面财务信息真实可靠的保障机制， 更为重要的是它将大大改善公司内部治理结构和运作机制，从而提高企业整体管理水 平，这一转变的意义是深远的。我们以已实施萨班斯法案的中国海洋石油有限公司为 例：“为了强调实施萨班斯法案的重要性，2 0 0 4 年4 月1 9 日，公司董事长兼首席执 行官傅成玉专门写了一封公开信给公司全体员工，并在信中明确指出，该项工作不仅 仅是实施小组或财务部门的任务，更需要公司方方面面、各个部门乃至全体员工的参 与与关注。公司管理层同时强调实施萨班斯法案的意义不仅限于遵循海外资本市场监 管机构的法律要求，更重要的是，这是进一步加强公司内部控制，提升风险管理的良 好契机。” 鉴于中国企业普遍较为薄弱的内部控制和相对淡漠的内部控制环境，以及实践萨 班斯法案高额的投入成本和运行成本，设计、建设、试行、实施和完善这一与国际规 范接轨的内部控制体系对于集团公司及其子公司将会是漫长和艰巨的过程，借鉴已实 施该体系的国内公司的经验，我们得到一些启示和实施的原则。 一、遵循循序渐进的原则 对于集团公司而言，选择那些财务体系健全、财务管理规范、内部控制体系相对 健全的子公司试行，确立阶段性内部控制目标的实现；深入分析内控体系运行的缺陷 和不足，检查内控体系的执行情况，初步形成适合集团公司和子公司特色的“家法家 。李天星，三大石油公口j 备考萨班斯法案，中国石油企业杂志，2 0 0 6 年8 月，第5 0 页 1 2 规”，在确保内控效果得以实现的基础上逐步向其他子公司推广。 二、遵循关键控制的原则 维系与理顺受托经济责任关系，需要内部控制的约束与激励机制，内部控制的约 束与激励机制由主体( 集团公司) 、客体( 子公司) 、目标( 集团公司整体利益最大化) 和方式( 如何有效的控制和激励) 及其相互制约关系构成。关键控制点需要集团公司 根据集团公司的整体战略以及各子公司的业务模式、成长周期和一般意义上的关键控 制点来确定，从而有针对性的实施控制。关键控制点的选择和把握使得集团公司整体 资源得到合理配置，同时也有助于形成内部控制约束与激励的长效机制。 综观本章所述，苛刻的萨班斯法案代表着内部控制实践的一种发展趋势，随着中 国资本市场的日趋成熟以及监管层监管思路和要求的更新，无论是中国内地、香港或 是伦敦的资本市场都会向此方向发展，不同的仅是实施时问的早晚以及制度严格程度 的差异。2 0 0 6 年3 月香港联交所更新的企业管治常规守则和7 月1 日实施的上 海证券交易所上市公司内部控制指引都对内部控制与风险管理提出了明确要求。萨 班斯法案本身对公司内部控制的实施要求和指南也陆续出台，2 0 0 4 年3 月9 日，上 市公司会计监管委员会( p c a o b ) 发布第2 号审计准则，在“管理层用于开展其评估 的框架”一节中明确规定管理层要依据一个适宜且公认的由专家群体遵照应有的程序 制定的控制框架，来评估公司财务报告内部控制的有效性。从美国本土上市公司和我 国在美国上市公司的内部控制框架选择来看，大多数都采用c o s o 内部控制框架体系 作为记录、评估公司内部控制的标准和依据，在下一章将重点讨论c o s o 内部控制框 架体系并研究集团公司构建内部控制体系对c o s o 的借鉴。 第三章集团公司内部控制对c o s o 内部控制框架体系的借鉴 无论是借鉴萨班斯法案或是学习应用这样一种科学、先进的内部控制理念，或是 仅仅为了加强对子公司的管理、控制和监督，集团公司都需要一个合适、统一的框架， 这个框架必须不受偏见左右，允许公司合理连续地对内部控制进行定性和定量评测， 有完整的结构以保证任何影响公司内部控制有效性评估结论的相关因素都不被遗漏， 与对财务报告内部控制的评估有关。同时子公司在建立、设计、运行和评价内部控制 体系时，也需要一个合适、统一的框架提供理论指导与实践支持，c o s o 内部控制整 合框架体系同时满足了两个层面的不同需求，因而被许多公司广为接受和采用并在实 践中被证明其行之有效，本文所着力探讨的内部控制模式亦是基于该框架体系基础， 其他的如c o c o ( 加拿大内部控制准则) 、鲍尔里治准则”( 聚焦于质量的内部控制评 估准则) 、i i a “的内部控制标准等其他一些国家和机构的框架，本文不再赘述。 第一节c o s ) 内部控制框架体系 c o s o 全称为“发起机构委员会”( c o m m i t t e eo fs p o n s o r i n go r g a n i z a t i o n s ) ， 它是一个自愿性质的私营机构，致力于通过商业伦理、有效的内部控制和公司治理来 提高财务报告的质量。c o s o 最早成立于1 9 8 5 年，是“反对虚假财务报告委员会”( 一 项独立私营机构举措，人们通常也称其为t r e a d w a y 委员会) 的发起组织”。 迄今为止，c o s o 共发布两个整合框架，一份是1 9 9 2 年发布的“内部控制一整合 框架”，另一份是2 0 0 4 年发布的“企业风险管理一整合框架”。 一、c o s o 对内部控制的定义 内部控制是一个过程( 流程) ，由一个实体的董事会、管理层和其他人员所实施， 其目的是为了给以下类型的目标的实现提供合理保证： ( - - ) 运营的效率和效果 ( 二) 财务报告的可靠性 ， 美 s t e v e nj r o o t 著，超越c o s o 加强公司治理的内部控制( 付涛，卢远瞩，黄翠竹译) ，清华大学出版社， 2 0 0 4 年3 月第1 版第1 6 2 页 ”同上，第1 6 6 页 ”同上，第1 7 0 页 ”友联时骏管理顾问编著，企业内部控制和风险管理一萨班斯奥克斯利法案释义，复旦大学出版社，2 0 0 5 年 7 月第l 版第4 9 页 1 4 ( 三) 遵守相关的法律和法规 此外，框架还定义了一些关键概念：过程导向，由组织中每一个层级的人们来完 成，目标驱动，以及只能提供合理保证而非绝对保证的局限性”。 二、c o s o 内部控制整合框架体系的核心内容 c o s o 内部控制整合框架体系由三个维度构成 圉3 - 1c 0 8 0 三维整合框架 资料来源：( c o s o 内部控制一整合框架：框架与评估工具 如上图所示，c 0 5 0 的三维整合框架提供了评估内部控制的标准，构成了一个整 合的框架，对于任意给定的目标( 第一维度) ，管理层必须在部门业务单元层与流程 行动层( 第二维度) 对内部控制的五大要件( 第三维度) 进行评估。 第一维度：目标。内部控制的设计合理保证上述三个目标的实现( 立方体顶层： 从左到右) 。 第二维度：c o s o 要求公司将注意力集中于两个层次：部f 3 业务单元层与流程 行动层( 立方体右侧) ，公司必须在这两个层次上对内部控制进行评估。 第三维度：包括内部控制的五大要件( 立方体自上而下) ( 一) 控制环境：是内部控制体系整体框架的基础，确定着公司的总体态度，影 响员工的内控意识，提供纪律要求和结构。 ( - - ) 风险评估：识别、分析和管理与组织活动相关的风险，为如何管理风险提 ”c o s o d e f i n i t i o n o f i n t e r n a l c o n t r o l ：i n t e r n a lc o n t r o l i sa p r o c e s s e f f e c l c d b ya l le n t i t y s b o a r do f d i r e c t o r s ， m a n a g e m e n ta n do t h e rp e r s o n n e l ，d e s i g n e dt op r o v i d er e a s o n a b l ea s s n r a l l c er e g a r d i n gt h ea c h i e v e m e n to fo b j e c t i v e si n t h e f o l l o w i n g c a t e g o r i e s ：e f f e c t i v e n e s sa n de f f i c i e n c yo f o p e r a t i o n s ，r e l i a b i l i t y o f f i n a n c i a lr e p o r t i n g , c o m p l i a n c e w i t h a p p l i c a b l el a w sa n dr e g u l a t i o n s w w w c o s o o r g ，访问时间：2 0 0 6 年1 1 月。 1 5 供基础。 ( 三) 控制活动：确保管理层指令得到贯彻执行的政策和程序。 ( 四) 信息与沟通：能够使组织中的员工获取和交流为执行、管理和控制各项事 务所需信息的程序和系统。 ( 五) 监控：持续推进内部控制质量的流程。 第二节集团公司层面c o s o 内部控制的实施 在本节中，笔者将主要探讨依据c o s o 内部控制框架体系五大要件所建立的集团 公司内部控制评价体系的整体思路和解决对子公司的关键控制。 图3 - 2c o s o 内部控制框架 从上图可以看出，控制过程作为纽带，通过内部控制实施人员对控制过程的有效 实施得以合理保证控制目标的实现。对于内部控制的五大要件、要件所提出的具体属 性、每项属性对应的“关注点”，不同层次关注和实施的重点是有所区别的，以下将 分别具体阐述。 一、控制环境、信息与沟通 ( 一) 控制环境：是内部控制体系整体框架的基础，是有效实施内部控制的保障， 直接影响着集团公司内部控制强有力的贯彻执行和整体战略目标的实现，控制环境反 映和确定了公司的总体态度。一般来说，企业所处的外部环境是不可控的，因此在设 计内部控制评价体系时，必须针对企业特定的可控部分进行有效控制，从而合理保证 控制目标的实现。 1 6 1 传达集团公司管理层内控的理念和态度。由于文化传统、价值观及行为取向 东西方的显著差异，我国绝大多数企业“人治”的色彩对控制环境的影响是巨大的， 在实践中我们也绝对相信只有在组织最高层次的负责监督内部控制的关键人员理解 了什么是内部控制、了解了组织中实施内部控制层次并且接受了内部控制固有风险的 时候，才能获得最有效的内部控制的精髓。 2 组织结构一董事会和审计委员会。集团公司无论是采取集权、分权或半分权 化的管理体制，审计委员会或类似的管理控制机构都应当在其中扮演重要的角色并获 取充分、适当的职责权限分配。 3 人力资源政策及评价机制。完善评价机制，把子公司管理层在子公司层面内 部控制设计与运行及其完整性、合理性和有效性纳入集团公司考评体系中，增强员工 对内部控制体系的认同和支持。 客观的讲控制环境这一要件在我国内部控制的实践中基本没有引起重视，因为它 属于“软环境”的范畴容易被忽略，对于中国企业控制环境的改善会是一个漫长的过 程。 ( 二)