2006年起,凡年销售收入在5亿美元以上的在美国上市的外国公司,都必须开始执行萨班斯˙奥克斯利法案(the Sarbanes Oxley Act,以下简称萨奥法案)。这意味着44家在美国上市的中国内地企业(纽约证券交易所16家、纳斯达克28家)都将迎来该法案的考验。
从2004年6月萨奥法案生效以来,美国本土公司的CEO和CFO们已经头痛不已。美国企业界最有影响力的人物之一,美国国际集团(AIG)董事长汉克˙格林伯格曾透露,为达到监管的新规定,美国国际集团每年要花费近3亿美元。尤其是公司在遵循第404条款的第一年要承受巨额成本。而成本提高只是萨奥法案带来的影响之一,更为关键的是萨奥法案带来的全新的监管理念和商业规范,不仅仅对上市公司的财务报告提出诚信要求,而且对其财务报告形成的过程,以致延伸到企业的内部管理过程提出了诚信要求。简单地说,萨奥法案不仅要求控制结果,还要求控制过程。难怪许多在美上市的海外企业及一些收入偏低的企业选择了退市,其中不乏英国电信和德国巴斯夫公司这些著名欧洲公司。
萨奥法案规定了些什么?
2001年年底以来,美国安然、世通、施乐、默克制药等一批大公司会计丑闻接连曝光,诚信危机震撼着美国及国际社会,使人们对美国式自由市场经济制度产生质疑,全球舆论的焦点集中于美国企业的假账丑闻。为了提高民众对美国金融市场、政府经济政策的信心,2002年7月30日美国总统布什签署了《公众公司会计改革与投资者保护法案》,即萨奥法案。该法案对1933年证券法和1934年证券交易法进行了大幅修订,被认为是继20世纪30年代美国经济大萧条以来,政府制定的涉及范围最广、处罚措施最严厉的公司法律。
具体的说,萨奥法案主要规定了以下五方面的内容:一是明确了管理层的责任,管理层对披露报告的真实、全面和准确负责,管理层对内部控制体系的设计、建立和运行有效负责,在披露年度报告时,首席执行官和首席财务官就内部控制有效性发表声明;二是加强了会计监管,美国证券交易委员会(SEC)设立独立的上市公司会计监管委员会来监督会计行业,同时美国政府给SEC增加资金,而SEC必须在三年期限内对每个上市公司提交的信息披露进行审查,并做出审查结论;三是完善了公司的审计制度,对内法案要求所有的上市公司都必须设立审计委员会,该委员会的成员必须全部是“独立董事”,对外法案明文禁止上市公司的独立审计人员同时向该上市公司提供与审计无关的法律或其他专业服务在内的服务业务;四是法案对欺诈和舞弊防范措施作了强制规定,要求建立“反舞弊程序和控制”并要求每年进行评估,把发现高层管理人员任何程度上的舞弊行为判定为内部控制无效。五是严厉了法律制裁,董事和高层管理人员须返还因公司虚假报表取得的激励性报酬和买卖股票收益。对于违反财务报表披露要求的行为,个人的处罚额提高到100万美元,并可同时判处的监禁期限延长到10年,对恣意违反财务报表披露要求的公司主管处罚额高达500万美元,并可判处高达25年的监禁。
法案最严苛、最复杂、执行成本最高的是404条款。为此,SEC和美国上市公司会计监管委员会(PCAOB)制定了相关实施细则和标准,包括「最终条例」 (Final Rule)作为《萨-奥法案》404条款的执行细则,「审计标准」作为404条款的审计细则。另外,「最终条例」、「审计标准」均明确提到 COSO(Committee of Sponsoring Organizations of the Treadway Commission即反虚假财务报告委员会的赞助组织委员会)提出的内部控制框架,可以作为企业内部控制体系建立的标准。该框架从内控实施的角度,描述了内控的目标、框架体系。
对中国企业的挑战?
从笔者在中国石油实施内控体系建设的经验判断,萨奥法案实施,对中国企业的挑战表现在:一是,中国企业在美上市的成本将大幅度提升。中国石油从2005年开始实施内控体系建设,2年内花费的成本应该在亿元人民币以上。二是,内控体系建设将直接考核中国企业的执行力,对企业的监管理念产生重大冲击。内控体系不仅要求结果控制,还要求过程控制,其涉及人多、面广、活细、时间长,将是内控工作推广效果不佳或者不能持久的主要原因。难怪中国石油股份公司总裁在内控实施的启动会上,大声疾呼内控工作重在执行。三是,更多的起诉和更严厉的法律制裁。以萨奥法案为依据,预计针对中国公司的集体诉讼案件将大幅度提升,同时严格的法律制裁手段,将使中国企业美国上市的风险加大。
内控实施的过程
中国石油实施内控到目前为止大致经历了两个阶段:设计阶段和实施阶段。
由于目前国内内控体系建设人才的匮乏,中国石油聘请了毕博和德勤作为内控体系的主设计公司,设计工作经历了约1年的时间。具体的设计过程为:确定企业内控管理的基调;根据基调设定内控工作的目标;识别影响企业目标实现的各种外部和内部事件;根据事件寻找企业运作过程中的风险,制定风险数据库,评估风险的可能性和影响;根据风险,总结企业内控过程的关键控制点和控制活动,制定关键控制库;根据风险和关键控制,重新制定企业的管理制度和业务流程;按照业务流程在全公司范围内实施;制定信息与沟通计划,使信息以某种形式和在一定期限内被识别、获得和传达沟通,以使自己的员工履行自己的职责测试计划;制定监督测试计划,检验实施的过程,发现问题,及时整改。按照以上过程和COSO框架,中国石油的内控体系设计结果分成两大块、3个层面和5个部分:两大块为手工控制和系统控制;3各层面为管理层、应用系统层和IT服务与系统层;5个部分即COSO框架的5个部分,为控制环境、风险评估、控制活动、信息与沟通和监督。从涉及的范围看,中国石油的内控涉及到了其股份公司本部、所有的地区公司和控股公司。
从2006年开始,中国石油的内控体系已经全面进入实施阶段。实施的目标是2006年6月30日,通过普华组织的第一次外审;2006年12月31日,通过普华组织的年度审计;之后转入内控的正常运作。2006年上半年,中国石油在实施方面先后开展了地区公司内控体系建设、地区公司自我测试、管理层测试、管理层符合性测试、普华第一次外审。北大纵横协助中国石油多家地区公司完成了内控体系的建设和测试工作。
中国企业如何应对?
对于准备在美上市的中国公司,完成这样的内控体系建设,无疑成本巨大,而面对的风险也巨大,更加理性的选择建设和维持成本更低的海外市场,也许更加有利。事实上,2002年萨奥法案出台以后,全球最大的10笔IPO中仅有中国人寿选择在美国进行,中国企业已经减缓在美国上市的步伐。近期的中国工商银行,将选择在香港和本土上市。但即使如此,全球加强对上市公司的监管已是大势所趋,即使不在美国上市,中国企业也应当更加关注海外监管机构对内控体系建设的新要求、新动作,更新自己的监管理念,加强自己的内控体系建设,毕竟未雨绸缪比亡羊补牢的成本低。