萨班斯-奥克斯利法案(Sarbanes-Oxley Act)
目录 |
萨班斯·奥克斯利法案是美国立法机构根据安然有限公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规,简称《SOX法案》或《索克思法案》。
萨班斯·奥克斯利法案全称《2002年公众公司会计改革和投资者保护法案》由参议院银行委员会主席萨班斯(Paul Sarbanes)和众议院金融服务委员会(Committee on Financial Services)主席奥克斯利(Mike Oxley)联合提出,又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订,在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。
2001年12月美国最大的能源公司之一安然公司,突然申请破产保护,此后上市公司和证券市场丑闻不断,特别是2002年6月的世界通信公司会计丑闻事件,“彻底打击了投资者对资本市场的信心”(国会报告,2002)。美国国会和政府加速通过了该法案以图改变这一局面。法案的第一句话:“遵守证券法律以提高公司披露的准确性和可靠性,从而保护投资者及其他目的。”
美国总统小布什在签署该法案的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案 ”。
萨班斯·奥克斯利法案最初于2002年2月14日提交给国会众议院金融服务委员会,到7月25日国会参众两院最终通过,先后有6个版本:2月14日、4月22日、4月24日、7月15日、7月24日、7月25日(最后版本)。
1、假账丑闻导致诚信危机是《萨班斯"奥克斯利法案》出台的直接原因
2001年11月下旬,美国最大的能源企业安然承认自1997年以来,通过非法手段虚报利润5.86亿美元;在与关联公司内部交易中,不断隐藏债务和损失,管理层从中非法获益。消息传出,立刻引起美国金融市场的巨大动荡。安然股价从近90美元跌至不足1美元,许多中小投资者损失惨重。自安然公司财务欺诈行为被揭露以来,美国大公司会计丑闻频频曝光,投资者信心连遭打击,美国股市因此受到重创,主要股指一度跌至9·11恐怖袭击事件以来的最低水平。世界通信,这只技术股中闪耀的明星,也被逐出纳斯达克市场。美国魏斯评级公司在调查了7000家公司发布的财务报告后认为,有多达1/3的美国上市公司不同程度存在捏造盈利的问题,信用危机震惊华尔街。美国布鲁金斯学会一项研究估计,会计丑闻使2002年美国经济损失了约370-420亿美元。假帐丑闻使投资者对美国资本市场和会计公司的职业道德失去了信心。
加强金融监管以恢复投资者信心已成为美国国会、政府和公众的一致呼声。
2、美国企业制度的缺陷是《萨班斯-奥克斯利法案》出台的根本原因
一系列公司假账丑闻的发生,已经不是个别公司的问题,而是美国公司制度的缺陷。这个缺陷主要表现在公司治理结构的不平衡和外部监督的缺失。
九十年代,美国公司制度一度被认为是最能激发人的创造力,最适合新技术发展的模式。员工股票期权激励机制和首席执行官制度被誉为美国公司近年来成功的精髓。但期权制也为公司管理层提供了抬高股价的动力,九十年代的股市繁荣,只要这些熟知公司内部情况的高级管理人员适时兑现手中的期权或股票,即使公司倒闭其利益也能得到保证,这使得公司管理者的利益和股东利益严重脱节。
在公司治理结构上,对经营管理者的监督不力是造成假账丑闻的重要原因之一。九十年代是首席执行官制度的巅峰时期,名义上,首席执行官由董事会任命,但事实上,由于股权过于分散,首席执行官对董事会主席的任命有着很大影响。董事会的选举受首席执行官介绍情况的影响,并且在很多情况下,董事会主席由首席执行官兼任。这种情形的后果就是股东大会对经营管理者的控制力减弱,经营管理者为了自身利益而做出的掩盖债务、虚报利润等违法违规行为得以顺利实施,严重损害了广大投资者的利益。
在公司外部监督上,外部审计对上市公司信息披露的监督功能严重缺失。审计职能因其复杂性和专业性而从公司内部分离出来成为一个独立的行业。然而,为了谋取利益,会计师一方面对上市公司进行财务审计,另一方面又为上市公司提供会计咨询服务。因此,缺乏独立的审计无法保证公司披露信息的真实性、公正性;一些审计公司不仅丧失了职业道德,而且干起了违法勾当,在上市公司接受司法调查时,审计公司帮助其销毁大批文件。长期以来,会计行业没有统一有效的监管,导致上市公司的外部监督失效。
广大投资者呼唤通过立法强化对企业会计审计监管、规范企业管理层行为。
最后修订完稿的该法案共分11章,第1至第6章主要涉及对会计职业及公司行为的监管,包括:
第8至第11章主要是提高对公司高层主管及白领犯罪的刑事责任,比如,
法案第7章要求相关部门在该法案正式生效后的指定日期内(一般都在6个月至9个月)提交若干份研究报告,包括:会计师事务所合并、信贷评等机构、市场违规者、(法律的)执行、投资银行等研究报告,以供相关执行机构参考,并作为未来立法的参照。
美国2001年至2002年度所爆发的各项公司丑闻事件中,企业管理阶层无疑应当负有最主要的责任,因而,该法案的主要内容之一就是明确公司管理阶层责任(如对公司内部控制进行评估等)、尤其是对股东所承担的受讬责任,同时,加大对公司管理阶层及白领犯罪的刑事责任。企业会计人员以及外部审计人员在这些事件中的负面作用,不容否定,比如,安然通过复杂的特殊目的主体安排,虚构利润、隐瞒债务,而世界通讯则是赤裸裸的假帐,提高财务报告的可靠性,成为该法案的另一个主要内容,法案的要求包括:
从全部法案的次序安排来看,这些内容排在前三章,而篇幅也超过2/3。因而,该法案更像一个会计改革法案。
404条款因其严厉性和高昂的执行成本饱受争议。
最复杂的条款
作为萨班斯法案中最重要的条款之一,404条款明确规定了管理层应承担设立和维持一个应有的内部控制结构的职责。该条款要求上市公司必须在年报中提供内部控制报告和内部控制评价报告;上市公司的管理层和注册会计师都需要对企业的内部控制系统作出评价,注册会计师还必须对公司管理层评估过程以及内控系统结论进行相应的检查并出具正式意见。显然,404条款对于公司内部控制情况作出严厉要求是为了使得公众更易于察觉到公司的欺诈行为,并确保公司财务报告的可靠性。而上市公司 为了遵循该条款将付出沉重的代价,包括大量的时间和人力、财力的投入。对于上市公司来说,404条款的实施是一个重要的举措 ,必须由公司董事、管理层、404项目小组、内审总监与其他人士积极监察和参与。404条款的遵照执行有四个区分明显的阶段:
1.公司应制定内部控制详细目录,确定内部控制是否足够,然后将这些控制与诸如COSO委员会之类的内部控制研究机构的内部控制框架进行对照;
2.公司被要求记录控制措施评估方式,以及未来将被用来弥补控制缺陷的政策和流程(如果有的话);
3.公司必须进行测试工作,以确保控制措施和补救手段起到预期作用;
4.管理层必须将前述三个阶段的各项活动情况整理成为一份正式的报告。
最昂贵的规则
404条款被认为是《萨班斯法案》所有条款中最严厉、最昂贵的条款。
条款要求,每个公司都要将公司任何一个岗位的职务、职责描述得一目了然,而这项工作需要大量材料和文件支持。同时,为了达到404条款的要求,上市公司要保证在对交易进行财务记录的每一个环节都有相应的内部控制制度(例如产品销售的条件、记录付款的时间和人员等)。此外,还要指出内部控制的缺陷所在。显然,要完成这些工作绝非易事,特别是对于组织分散,业务范围复杂的大型公司而言,组织越分散,业务越复杂就意味着要做的工作越繁杂,这促使他们不得不投入更多来实施404条款所要求的内部控制措施。而业务简单、管理集中的小型公司虽然实施工作会相对简单,却恰恰可能是受到最猛烈冲击的。受规模所限,他们在执行404条款中更显捉襟见肘,所要花费的遵循成本可能将占收入更大的比重。
不过,虽然404条款的遵循成本每年都会发生, 但遵循的第一年是代价最高的,其中包括关键内部控制的初始存档和补救,应新的复杂报告要求的一般挑战和关于对“多少才是足够”的把握的不确定情况。一年过后遵循成本会大幅度减少,甚至可能会下降高达50%。
404条款究竟有多昂贵?根据国际财务执行官(FEN)对321家企业的调查结果,每家需要遵守萨班斯法案的美国大型企业第一年实施第404节的总成本将超过460万美元。这些成本包括35000小时的内部人员投入、130万美元的外部顾问和软件费用以及150 美元的额外审计费用(增幅达到35%)。全球著名的通用电气公司就表示,404条款致使公司在执行内部控制规定上的花费已经高达3000万美元。
备受争议的条款
高昂的执行成本令404条款备受诟病。很多公司抱怨说,这笔花费价值不大。另外一些公司选择了退市来表达不满和无奈。1999年,美国股市中的退市公司仅有30家,2004年已经升至135家。不过,并没有证据表明导致这135家上市公司退市的原因都是缘自于404条款的高额费用。
不少原计划赴美上市的海外公司也纷纷改变了上市地点。有消息称中国国航股份就是因为“404条款造成的高额财务费用和较为苛刻的内控要求”,从而决定将上市地点从原先的香港和美国修改为香港和英国。而原计划在纽约上市的中行和建行也传 言准备放弃美国市场。
当然,也有人对404条款表示了欢迎。
从404条款中获益匪浅的中介审计机构就有着不同的看法。同时,股权持有者们也认为新法案的代价是值得的,推行404条款会带来个前所未有的好光景。 从长远来看,或许更多人会认同404条款对于美国资本市场健康发展的作用。毕竟,一旦发生公司丑闻,投资者的损失将远远超过公司目前付出的成本。
对萨班斯-奥克斯利法案的批评,主要来自某些企业与美国金融业者。他们认为该法案的一些规定过于严格,增大了企业(特别是小型企业)的审计成本,降低了其它国家企业到美国金融市场上市筹资的兴趣。
萨班斯·奥克斯利法案标志着美国证券法律根本思想的转变:从披露转向实质性管制。尽管该法案立法匆忙,但它仍然经历了将近20次的公开听证,同时,美国国会相关人员对该法案展开了较充分地争论,并尽可能地限制该法案对经济运行的负面影响。比如,针对Gramm提出的小型企业问题,法案保留了由PCAOB按个案审批豁免的权力(第201节)。
萨班斯·奥克斯利法案带给其他国家的启示
法律重在有效执行,才能起到预期的约束作用。美国公司管理阶层1980年代至1990年代的收入风险结构不合理,期权收益高、法律风险低,美国监管机构事后加大了对公司管理层的法律约束,陆续对公司丑闻事件的当事人提起公诉。安然公司陆续有数十人被起诉。安然的前首席执行官杰弗里·斯基林(J.Skilling)、安然的创始人肯尼斯·雷依(K.Lay)被起诉,2005年5月25日被宣判有罪,分别获185年和165年监禁。世界通讯公司的财务总监、创始人最近也被起诉。
建立合理、稳定的预期。人的行为在相当程度上建立在其对未来合理预期之上,而完善的法律制度将保障人建立这种预期的依据。美国公司管理阶层近乎贪婪的预期与其1980年代至1990年代的低风险不无关联。美国监管当局通过起诉与惩罚有错或者有罪管理者,以图形成一种新的预期:公司管理层需要自我约束。
政府适度管制。绝对无管制的市场容易走向极端和混乱。但前苏联及中国的财经监管历史也证明,高度管制同样不利于经济的发展。虽然安然等丑闻爆发,为政府介入、加强管制提供了绝佳的借口,但美国立法辩论过程中,仍有相当多议员对政府管制持审慎态度。美国总统小布什大力推行的减税政策的经济思想也是:让市场自己运行,政府应当少掌握资源、少介入经济。
2001年底发生的安然事件等一系列财务丑闻,暴露了美国核查体系的严重缺陷,而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益,并保护美国公众对资本市场的稳定、公正的信心的,安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件,美国国会在2002年出台了《萨班斯—奥克斯利法案》,该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制,并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制,而且要求外部审计师证实管理层报告的准确性。可以说,上述事件又一次让内部控制成为关注的焦点。 对法案相关条款的回应
2002年7月发布的《萨班斯—奥克斯利法案》第404节(a),以及美国证券交易委员会(SEC)的相应实施标准,要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。第404节还要求公司的外部审计师对管理层的评估意见出具“证明”,也就是说,向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。法案的第404节以及103节,指导公众公司会计监督委员会(PCAOB)制定用以管理外部审计师的证实工作,并就管理层对内部控制的有效性的评估进行报告的行业标准。
2004年3月9日,PCAOB发布了其第2号审计标准:“与财务报表审计相关的针对财务报告的内部控制的审计”,并于6月18日经SEC批准。该标准关注对财务报告的内部控制的审计工作,以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见:一份针对财务报告的内部控制,另一份针对财务报表。对内部控制的审计涉及以下内容:评价管理层用于开展其内部控制有效性评估的过程 ; 评价内部控制设计和运转的效果 ; 形成对财务报告的内部控制是否有效的意见。
该标准的出台,将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席William J. McDonough所称,“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去,内部控制仅是管理者考虑的事情,而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。
此外,SEC对该标准的认同等于从另外一个侧面承认了1992年发起人组织委员会(COSO)下属的杜德威委员会公布的《内部控制—综合框架》(也称COSO框架)。这也表明COSO框架已正式成为内部控制的标准。这是COSO的重大胜利,是COSO每个成员机构多年的不懈努力使这个框架获得了更大程度的认可。
第2号审计标准有关内部控制的规定。
第2号审计标准依据COSO制定的内部控制框架制订,在“管理层用于开展其评估的框架”一节中,明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架,来评估公司财务报告内部控制的有效性。在美国,为管理层的评估目标提供的适宜框架就是COSO框架。当然,其他国家也公布了一些适宜的框架,如加拿大的COCO框架等。标准还指出,尽管不同的框架可能没有精确的含有与COSO一样的组成要素,但他们所含有的组成部分涵盖了COSO的所有常规主题。因此,如果管理层运用了区别于COSO的适宜框架时,审计师应以合理的方式运用2号审计标准中的概念和方针。 标准认为,COSO框架能确认出内部控制的三大主要目标,即运营的效率和效果,财务报告的可靠性,以及遵守适用的法律和规章。而COSO以往对财务报告的内部控制观点不包含运营目标和合规性目标。不过,这两个目标与财务报表的表达与披露直接相关,有必要含在财务报告的内部控制中。而这三大目标都会对财务报告产生重大的影响,是关于财务报告的内部控制的组成部分。此外,标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素,服务于上述三大目标。
当然,PCAOB也敏感地意识到,为遵循第404节和第2号审计标准的要求所需的成本,会强加到很多公司(尤其是中小型公司)身上,同时也预见到美国公司在遵循第404节要求的头一年要承受巨额的成本。毕竟,按COSO框架设计和实施内部控制框架是需要投入的,公司内部的审计部门对内部控制的整体评估(不限于对财务报告的内部控制),以及外部审计师按标准规定对财务报告的内部控制和财务报表审计都需要大额的费用。尽管内部控制的性质和程度很大程度上取决于公司的规模和复杂程度,但多数公司的前期成本投入是在所难免的。只不过大型复杂化的国际性公司很可能需要广泛的综合性内部控制系统,而一些小公司或业务较为单一的公司,因其高层管理团队的道德行为和核心价值平时就与内部、外部当事人进行互动,可能会减少对精心设计的内部控制系统的需要。PCAOB预计,审计师会运用合理的专业判断来决定对内部控制的审计程度,并开展那些必要的测试来确定公司内部控制的有效性。 不过,相对于以往各行其是的内部控制评估标准来说,PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的,它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责,并为会计师行业对内部控制的评估提供了一个基础。更为重要的是,该标准将力促公司建立有效的内部控制监督体系,这为有效的公司治理奠定了良好的基础。毕竟,内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。
对COSO框架的进一步思考
纵观美国内部控制的发展史,不难看出其发展的每一个过程都与会计职业群体有深厚渊源。自1938年的“麦克森—罗宾斯事件”促使美国注册会计师协会(AICPA)发布内部控制定义起,到1977年美国国会发布《反国外贿赂法案》,至1992年COSO发布《内部控制—综合框架》,再到2002年美国国会发布《萨班斯—奥克斯利法案》以及PCAOB发布第2号审计标准,会计执业界都与此有密切关联。当然,迄今为止集大成者还要属COSO框架。
正如前文所述,COSO框架在2004年成为了美国的内部控制标准,这与COSO制定该框架的初衷是吻合的。COSO的纲要部分就声明公司的高级执行官长期以来一直在谋求更好地控制其所治理的企业。高级执行官对内部控制的兴趣恐怕来自有效的内部控制是保证公司资产免受管理层、员工或其他人的违法行为和类似错误引起的不利后果的最后屏障这个看似不可动摇的假设。而PCAOB也相信,为获取可靠的财务报表,机构必须保持内部控制的运转,以便了解各项记录的准确性,各项交易和资产的处理的公允反映情况,并对各项交易记录的充分性提供保证,且收支工作都经管理层和领导者授权。这样,就能根据一般公认会计原则(GAAP)编制财务报表。内部控制的运转还能确保上述步骤的运转,以防止或发现对财务报表产生重大影响的资产的盗用、未经授权使用或处置情形。简言之,如果公司管理层能证明其对簿记工作实施了适当的内部控制,用于编制准确财务报表的账簿和记录是充分的,并遵守了公司资产的使用规则,投资者就会对公司财务报表的可靠性更为信任。 此外,当今世界另外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会(IIA)的SAC、信息系统审计与控制协会的(ISACA)的Cobit都与COSO框架紧密相关。中国有关部门制定的内部控制标准,包括证监会发布的“证券公司内部控制指引(2003)”、中国人民银行发布的“商业银行内部控制指引(2002)”、中国内部审计协会发布的“内部审计准则——内部控制(2003)”,其核心目标也与COSO框架一脉相承。
当然,在肯定COSO框架价值的同时,我们也不应忽视一些不同的意见。比如,早在1993年,AICPA下属的公众监督委员会(POB)就建议SEC要求在证券交易所登记的公众公司的管理层在其年度财务报告(向股东发布的年度报告)中包含一份与财务报告有关的公司内部控制系统有效性的报告。这个建议是想将COSO的内部控制标准用于有效性的评价。可当时SEC并没有采用这个建议。还有,在COSO框架公布不久,美国审计总署(GAO)就曾对该框架的许多方面提出过批评,并指责这个框架有严重缺陷,其内部控制定义中缺乏保障资产的概念,还认为这个框架对内部控制重要性的强调不够,丧失了改善内部控制监督和评估的机会。此外,对COSO框架最具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。COSO框架声称,并不是所有的管理责任都是内部控制的组成部分,因而将战略计划、目标设定、保持核心竞争力、董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败,公司不具有效的治理结构,经营业绩明显低于业界平均水平所引起。显然,COSO框架对这些问题的关注是不够的,它将注意力集中在如何对外披露与财务报告有关的内部控制止。而PCAOB的第2号标准再一次强化了这个问题。之所以会出台这样的标准,我们不难想象。因为每一次公司危机都会使会计师承受巨大压力,他们力图让COSO框架成为公司内部控制的基础,以此来阻止财务报告的舞弊行为。
不过,会计执业界的上述制度安排,是否能有效规避其自身的风险呢?或者说,这本身是否就有风险?这是一个值得讨论的问题。毕竟,对内部控制的理解是在不断演进的。随着人们对内部控制越发熟悉,积累的经验越多,他们对内部控制的理解就会随时间而改变,而这或多或少取决于影响和决定内部控制的诸多力量。并且,不同的利益群体对内部控制的观点存在不同的认识。换句话说,会计行业与非会计行业在关注内部控制的问题上是有重大差别的,如何将会计界的内部控制语言转换为管理界的内部控制语言,仍是一个需要长期沟通的问题。不管怎样,内部控制的目标必须和企业谋求生存和价值创造机会的努力相一致。
总之,无论COSO框架,还是PCAOB的努力,有一点是非常明确的,就是要在企业内部建立一个基本的控制框架,作为管理层评估财务报告内部控制的基准。这也是企业发展到一定程度在管理方面的必然要求,它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。中国的各类企事业单位也要从COSO的框架中吸收合理的内核,这会有助于机构管理层次的提升,执行能力的到位;中国注册会计师行业也应从中汲取经验。毕竟,中国正面临一个国际化的舞台,在一些标准、框架的制定上应与全球主流框架保持一致,这样才有沟通的可能,有平等对话的可能,有进一步发展的可能。