美国上市公司在华子公司萨班斯法案404条款的执行

美国上市公司在华子公司萨班斯法案404条款的执行
作者：杨龙
来源：《经营管理者·上旬刊》2016年第11期
摘要：自2002年，萨班斯-奥克斯利法案（以下简称萨班斯法案）诞生后，其已成为约束美国上市公司最具影响力的公共法典。

大量的美国上市公司在华设有分支机构，一般是以美国独资企业的形式按中国法律成立，这些美国上市公司在华投资的子公司要遵守中国的法律法规、财税制度，但同时其美国上市母公司在萨班斯法案的遵循上，也要求涵盖其全球范围内的子公司。

其中最为著名的萨班斯法案404条款，涉及企业“内部控制的管理评估”对这些在华子公司的影响最大、波及范围最广。

本文仅就美国上市公司在华子公司如何遵循萨班斯法案的404条款作以简单探讨。

关键词：会计舞弊法律约束规避风险
一、萨班斯法案及404条款简介
2001年12月，美国安然公司、世界通信公司因会计舞弊而相继倒闭破产，震惊全球，这些公司的董事、高级管理人员以及公司外部审计人员的诚信也出现了危机。

为了恢复公众、股民对美国上市公司、股市的信心，美国联邦政府于2002年7月通过了萨班斯法案。

该法案基于美国当今上市公司的实践，根据现代上市公司股权变化的特点，回应了现实中公司治理的问题。

该法案涵盖了几个方面的富有创意的立法内容：董事、高级管理人员个人和整体的责任与义务；更有力度的上市公司财务披露以及上市公司审计制度等；创设了可追究上市公司
CEO/CFO刑事责任的认证制度；以及设立了新型的会计、审计、律师管理结构。

萨班斯法案404条款（以下简称SOX404）中所要求美国上市公司的CEO和CFO必须在注册会计师出具的内部控制评估报告上签署书面声明。

内控评估报告按萨班斯法案的要求，应由为企业出具年度审计报告的会计师事务所之外的其他会计师事务所出具。

美国政府已强制性地要求所有公开交易公司必须于2005年底满足本部分的要求，与财务报告一起提供内部控制的年度管理报告（CEO和CFO必须签署书面声明），这之中包括：a、记录控制设计效力测试的结果，对公司建立和维持足够的财务报告内部控制负有责任b、披露任何主要缺陷c、获取外部审计公司审核以证明相关报告。

二、K公司如何遵循萨班斯法案404条款
笔者认为，SOX404是对美国上市公司及其全球子公司关于企业内控管理和评估方面的框架性法律约束，在对该法案条款的遵循上，因每个公司有着不同的规模和不同的业务，该条款
也不会具体到每个公司的具体业务的控制标准或流程要求，具体的执行在各个上市企业中可能会存在一定的差异，但最终目的是可以达到SOX404对内部控制风险评估披露的基本要求，确保公众不会因对公司内部控制状况的误解而做出错误的投资行为。

就K公司在遵循萨班斯法案404条款的过程来看，可以归纳为以下几个方面：
1.控制活动的设计。

公司整体的内部控制设计方案应由公司CEO发起，各个部门的最高级别管理人员负责本部门的内部控制活动的具体设计，确保全面地将公司的业务活动风险控制在合理的范围之内。

所有业务流程及控制点设计完成之后，可以聘请外部独立注册会计师对控制活动设计进行评估和改善。

以下选取K公司实际经营活动中最常见的销售业务流程为例来简单说明流程与控制点的关系：
如下为该流程各个步骤中的控制点：
从上面的实例中我们不难理解到，SOX404的控制要求近乎于公司里常见的控制要求，并没有什么特殊性和高超之处，不同企业因业务的不同，内控模式差异也较大，实际的测试环节也是通过抽样来逐条判断各个控制点是否缺失，SOX404在实际执行过程中必定是要融入到实际业务中才能体现他的精神，之所以比传统的内控要求更体系化，只是SOX404有了在高层次的法律框架中的体现，可执行性及合理测试的标准，以及最终评估内控风险的标准和报告体系。

2.控制活动执行及测试。

SOX404的执行测试：每财年中至少一次的由CEO或CFO组织，组织公司所有部门对内控体系进行交叉测试。

这种交叉测试可以避免或减少因主观因素而导致的控制缺失及抽样误差，也可以在年末独立注册会计师出具内部控制管理报告之前及时发现问题，规避风险。

按照公司的职能部门为单位，抽调非本部门的人员进行交叉测试，对实际工作中的样本进行抽查，对比之前设计好的内部控制点进行比对，最终可以得出结论，将内部控制设计的执行状况得到最直接的一手数据。

样本的选取上要体现科学性，因为这很大程度上决定的测试的结果和独立注册会计师人员的评估结果，测试过程及样本筛选要遵循以下原则：
2.1检测和重新执行—执行测试的个人可以选择一部分资料作为样本，通过检察或测试来验证控制要点的存在，测试者再将测试的结果详细记录。

在允许的情况下，重新执行测试是很常用的。

单单通过咨询是不符合测试的需求的。

基本上检查单上的全部财务控制点都是基于可以重新执行测试而设计的。

2.2关于财务控制点的测试，最重要的概念就是“独立”。

2.3负责控制点执行的人不可以同时是该控制点的测试人。

2.4样本的选取程序应该有书面记录，样本的选取是一个客观而独立的行为，样本的选取在总体中应该有一定的代表性，也就是说总体中的每个样本都有被选取的可能性。

2.5在测试实施过程中使用的判断性样本法。

判断性样本法是指个人执行测试的过程中对被选择的样本要进行一定程度的逻辑判断。

然而，判断性样本法仍然要遵循客观的原则，在SOX404 关键财务控制中这种客观性的使用是非常重要的。

2.6随意抽样法——无任何方法可循任意选取样本。

例如：从一叠客商发票中任意抽出几张，而不是对汇总报告中的所有发票选取样本。

这种方式仅仅适用于系统抽样不可行的情况下，因为这种方法增加了风险，公司管理层无法向独立测试者或外部审计人员辩解被选择的业务仅是那些被确定无误的。

2.7系统抽样法——从总体样本中，每隔N个样本选取一个，这种方法增加了样本选取的客观性，也使重新测试的过程更加简单化。

2.8金额权重抽样法——总体样本依据金额从高至低进行排列，从金额最高的项目中选择N个样本进行测试。

这种方法可以覆盖到会计科目中最大的金额，例如总账和固定资产的测试。

2.9资源——测试的资源是包括文件资料和可以帮助我们完成测试并得出流程控制有效结论的口头证据。

例如：SAP 报告，一个科目调整表，一份合同，或是跟流程控制者的一段对话。

注意：测试不能仅仅依赖对话而完成。

2.10测试的执行——测试底稿是否适用于关键的财务控制活动，检查要做的测试并确认测试底稿是非常重要的，在执行时，测试底稿可以对控制有效性的评估提供支持，例如：一个测试底稿中指明，一个账户每季度会做一次调整，但实际上是每个月都在做调整，测试底稿就应该反映该控制发生的真实频率。

2.11测试结果——对被测试的关键财务控制点的测试结论要以书面形式记录，例如：在测试中如果没有例外的话，“没有疑问”就是一个可以接受的结论。

2.12如果问题或异常在测试中被揭示出来的话，要确认该结果在测试结果栏中得以体现。

2.13改进阶段—一旦发现问题，在改进栏中应该更新并记录这个解决方案。

2.14对一个事项的修改一般有两个层面，一个短期的解决方案和一个长期的解决方案，例如：原材料和包装物的存货盘点在第二季度没有完成的话，短期解决方案，可以是要求尽快完成一次盘点并且对此跟进财务部，长期的解决方案，建立一个跟踪表或是完成对责任人的培训来避免存货盘点以后不会再出现问题。

2.15测试支持：如果企业有专用的内控测试系统工具，可以将电子版的测试支持文件上传的该系统中，如果企业没有专门的内控测试系统工具，可以将电子版测试结果单独保存，以备外部审计机构检查和测试。

2.16应该保存足够的资料以确保一个合理的审阅者可以通过再次测试而得出一个同样的结果。

2.17所有系统外的测试文件和支持材料都要在保存在业务单位或区域。

最好可以将资料保存在一个不容易遭受火灾，水灾或被遗忘的地方，例如：放在财务总监的办公室当中。

3.注册会计师评估及报告签署。

年末，K公司聘请给公司做年度审计报告之外的独立注册会计师事务所为公司出具内部控制审计报告。

就目前类似K公司的美资在华子公司来看，普遍聘请外资事务所来做SOX404的内部控制审计，鲜有聘用国内会计师事务所来执行内部控制评估报告。

经过对各个流程控制点的合理性评估、测试，独立审计师根据对各个控制点的控制水平进行重要性评估，最终根据各个流程评估结果的权重对公司的整体内控水平做以书面描述，发表最终内控审计意见。

如公司在整体内控水平上不存在重大控制缺失，审计师可以出具内部控制无重大缺失的报告。

并经CEO和CFO签署书面声明。

CEO和CFO 在内部控制评估报告上的签署要承担萨班斯法案中所规定的相应法律责任，这在很大程度上约束了公司最高管理层对内部控制要求的高度重视。

参考文献：
[1]陈俊，王曙光编.企业内部控制体系的构建-基于对COSO和COCO内部控制整合体系的探讨[J].审计与经济研究，2008，23（3）.
[2]王生根编.企业内部控制基本规范及配套指引解读[M].北京大学出版社，2011.P130-
P131.
[3]胡为民编.中国上市公司内部控制报告[M].（2014）.
[4]财政部会计司我国上市公司2014年实施企业内部控制规范体系情况分析报告[R].2015.
[5]张庆龙，彭志国，陈新环著，企业内部审计指南[M]，中国时代经济出版社，2007年4月.
[6]张军编，审计研究：萨班斯法案404条款执行效果及借鉴[J]，中央财经大学会计学院， 2010.
[7]Alan L Beller.Investors， The Stock Market， and Sarbanes-Oxley’s New Section 404 Requirement.[OL].2005.
[8]黄新銮梁步腾姚杰等编中美内部控制法律框架的比较与借鉴[J]，会计研究， 2008（09）.
[9]郑小荣，王美英编内部控制法制化的理论依据、法律特征与实践影响[J]，当代财经2010（04）.
[10]宋芳编，国有控股上市公司内部控制法律问题研究[D]，华东政法大学 2011.。