萨班斯·奥克斯利法案

萨班斯·奥克斯利法案概述



　　萨班斯·奥克斯利法案是美国立法机构根据安然有限公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管问题所立的监管法规，简称《SOX法案》或《索克思法案》。


　　萨班斯·奥克斯利法案全称《2002年公众公司会计改革和投资者保护法案》由参议院银行委员会主席萨班斯（Paul Sarbanes）和众议院金融服务委员会（Committee on Financial Services）主席奥克斯利（Mike Oxley）联合提出，又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》做出大幅修订，在公司治理、会计职业监管、证券市场监管等方面作出了许多新的规定。



萨班斯·奥克斯利法案的立法背景

　　2001年12月美国最大的能源公司之一安然公司，忽然申请破产保护，此后上市公司和证券市场丑闻不断，非凡是2002年6月的世界通信公司会计丑闻事件，“彻底打击了投资者对资本市场的信心”（国会报告，2002）。美国国会和政府加速通过了该法案以图改变这一局面。法案的第一句话：“遵守证券法律以提高公司披露的准确性和可靠性，从而保护投资者及其他目的。”


　　美国总统小布什在签署该法案的新闻发布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案 ”。


　　萨班斯·奥克斯利法案最初于2002年2月14日提交给国会众议院金融服务委员会，到7月25日国会参众两院最终通过，先后有6个版本：2月14日、4月22日、4月24日、7月15日、7月24日、7月25日（最后版本）。



萨班斯·奥克斯利法案的主要内容

　　最后修订完稿的该法案共分11章，第1至第6章主要涉及对会计职业及公司行为的监管，包括：

• 建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB)，对上市公司审计进行监管；
  
• 通过负责合夥人轮换制度以及咨询与审计服务不兼容等提高审计的独立性；
  
• 限定公司高管人员的行为，改善公司治理结构等，以增进公司的报告责任；
  
• 加强财务报告的披露；
  
• 通过增加拨款和僱员等来提高美国证监会的执法能力。
  

　　第8至第11章主要是提高对公司高层主管及白领犯罪的刑事责任，比如，

• 针对安达信销毁安然审计档案事件，制订法规，销毁审计档案最高可判10年监禁，在联邦调查及破产事件中销毁档案最高可判20年监禁；
  
• 强化公司高管层对财务报告的责任，公司高管须对财务报告的真实性宣誓，提供不实财务报告将获10年或20年的刑事责任。
  

　　法案第7章要求相关部门在该法案正式生效后的指定日期内（一般都在6个月至9个月）提交若干份研究报告，包括：会计师事务所合并、信贷评等机构、市场违规者、（法律的）执行、投资银行等研究报告，以供相关执行机构参考，并作为未来立法的参照。


　　美国2001年至2002年度所爆发的各项公司丑闻事件中，企业治理阶层无疑应当负有最主要的责任，因而，该法案的主要内容之一就是明确公司治理阶层责任（如对公司内部控制进行评估等）、尤其是对股东所承担的受讬责任，同时，加大对公司治理阶层及白领犯罪的刑事责任。企业会计人员以及外部审计人员在这些事件中的负面作用，不容否定，比如，安然通过复杂的非凡目的主体安排，虚构利润、隐瞒债务，而世界通讯则是赤裸裸的假帐，提高财务报告的可靠性，成为该法案的另一个主要内容，法案的要求包括：

• 建立一个独立机构来监管上市公司审计
  
• 审计师定期轮换
  
• 全面修订会计准则
  
• 制订关于审计委员会成员构成的标准
  
• 要求治理层即时评估内部控制、更即时的财务报告
  
• 对审计时提供谘询服务进行限制等。
  

　　从全部法案的次序安排来看，这些内容排在前三章，而篇幅也超过2/3。因而，该法案更像一个会计改革法案。



对萨班斯·奥克斯利法案的批评

　　对萨班斯-奥克斯利法案的批评，主要来自某些企业与美国金融业者。他们认为该法案的一些规定过于严格，增大了企业（非凡是小型企业）的审计成本，降低了其它国家企业到美国金融市场上市筹资的爱好。



萨班斯·奥克斯利法案评论与启示

　　萨班斯·奥克斯利法案标志着美国证券法律根本思想的转变：从披露转向实质性管制。尽管该法案立法匆忙，但它仍然经历了将近20次的公开听证，同时，美国国会相关人员对该法案展开了较充分地争论，并尽可能地限制该法案对经济运行的负面影响。比如，针对Gramm提出的小型企业问题，法案保留了由PCAOB按个案审批豁免的权力（第201节）。


　　萨班斯·奥克斯利法案带给其他国家的启示


　　法律重在有效执行，才能起到预期的约束作用。美国公司治理阶层1980年代至1990年代的收入风险结构不合理，期权收益高、法律风险低，美国监管机构事后加大了对公司治理层的法律约束，陆续对公司丑闻事件的当事人提起公诉。安然公司陆续有数十人被起诉。安然的前首席执行官杰弗里·斯基林（J.Skilling）、安然的创始人肯尼斯·雷依(K.Lay)被起诉，2005年5月25日被宣判有罪，分别获185年和165年监禁。世界通讯公司的财务总监、创始人最近也被起诉。


　　建立合理、稳定的预期。人的行为在相当程度上建立在其对未来合理预期之上，而完善的法律制度将保障人建立这种预期的依据。美国公司治理阶层近乎贪婪的预期与其1980年代至1990年代的低风险不无关联。美国监管当局通过起诉与惩罚有错或者有罪治理者，以图形成一种新的预期：公司治理层需要自我约束。


　　政府适度管制。绝对无管制的市场轻易走向极端和混乱。但前苏联及中国的财经监管历史也证实，高度管制同样不利于经济的发展。虽然安然等丑闻爆发，为政府介入、加强管制提供了绝佳的借口，但美国立法辩论过程中，仍有相当多议员对政府管制持审慎态度。美国总统小布什大力推行的减税政策的经济思想也是：让市场自己运行，政府应当少把握资源、少介入经济。



萨班斯·奥克斯利法案下的内部控制框架思考

　　2001年底发生的安然事件等一系列财务丑闻，暴露了美国核查体系的严重缺陷，而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益，并保护美国公众对资本市场的稳定、公正的信心的，安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件，美国国会在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。国会不仅要求治理层报告公司对财务报告的内部控制，而且要求外部审计师证实治理层报告的准确性。可以说，上述事件又一次让内部控制成为关注的焦点。
对法案相关条款的回应


2002年7月发布的《萨班斯—奥克斯利法案》第404节（a），以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的治理层评估和报告公司最近年度的财务报告的内部控制的有效性。第404节还要求公司的外部审计师对治理层的评估意见出具“证实”，也就是说，向股东和公众提供一个信赖治理层对公司财务报告的内部控制描述的独立理由。法案的第404节以及103节，指导公众公司会计监督委员会（PCAOB）制定用以治理外部审计师的证实工作，并就治理层对内部控制的有效性的评估进行报告的行业标准。


　　2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。该标准关注对财务报告的内部控制的审计工作，以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见：一份针对财务报告的内部控制，另一份针对财务报表。对内部控制的审计涉及以下内容：评价治理层用于开展其内部控制有效性评估的过程 ； 评价内部控制设计和运转的效果 ； 形成对财务报告的内部控制是否有效的意见。


　　该标准的出台，将对构成有效公司治理基石的董事会、治理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席William J. McDonough所称，“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去，内部控制仅是治理者考虑的事情，而现在审计师们要对内部控制进行具体的测试和检查。这一过程将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是最为有效地威慑舞弊的防范措施”。


　　此外，SEC对该标准的认同等于从另外一个侧面承认了1992年发起人组织委员会（COSO）下属的杜德威委员会公布的《内部控制—综合框架》（也称COSO框架）。这也表明COSO框架已正式成为内部控制的标准。这是COSO的重大胜利，是COSO每个成员机构多年的不懈努力使这个框架获得了更大程度的认可。


　　第2号审计标准有关内部控制的规定。


　　第2号审计标准依据COSO制定的内部控制框架制订，在“治理层用于开展其评估的框架”一节中，明确治理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性。在美国，为治理层的评估目标提供的适宜框架就是COSO框架。当然，其他国家也公布了一些适宜的框架，如加拿大的COCO框架等。标准还指出，尽管不同的框架可能没有精确的含有与COSO一样的组成要素，但他们所含有的组成部分涵盖了COSO的所有常规主题。因此，假如治理层运用了区别于COSO的适宜框架时，审计师应以合理的方式运用2号审计标准中的概念和方针。
标准认为，COSO框架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。而COSO以往对财务报告的内部控制观点不包含运营目标和合规性目标。不过，这两个目标与财务报表的表达与披露直接相关，有必要含在财务报告的内部控制中。而这三大目标都会对财务报告产生重大的影响，是关于财务报告的内部控制的组成部分。此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标。


　　当然，PCAOB也敏感地意识到，为遵循第404节和第2号审计标准的要求所需的成本，会强加到很多公司（尤其是中小型公司）身上，同时也预见到美国公司在遵循第404节要求的头一年要承受巨额的成本。究竟，按COSO框架设计和实施内部控制框架是需要投入的，公司内部的审计部门对内部控制的整体评估（不限于对财务报告的内部控制），以及外部审计师按标准规定对财务报告的内部控制和财务报表审计都需要大额的费用。尽管内部控制的性质和程度很大程度上取决于公司的规模和复杂程度，但多数公司的前期成本投入是在所难免的。只不过大型复杂化的国际性公司很可能需要广泛的综合性内部控制系统，而一些小公司或业务较为单一的公司，因其高层治理团队的道德行为和核心价值平时就与内部、外部当事人进行互动，可能会减少对精心设计的内部控制系统的需要。PCAOB预计，审计师会运用合理的专业判定来决定对内部控制的审计程度，并开展那些必要的测试来确定公司内部控制的有效性。
不过，相对于以往各行其是的内部控制评估标准来说，PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层治理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。更为重要的是，该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础。究竟，内部控制监督过程需要审计委员会、高层治理者、外部审计师和内部审计师的共同参与。


　　对COSO框架的进一步思考


　　纵观美国内部控制的发展史，不难看出其发展的每一个过程都与会计职业群体有深厚渊源。自1938年的“麦克森—罗宾斯事件”促使美国注册会计师协会（AICPA）发布内部控制定义起，到1977年美国国会发布《反国外贿赂法案》，至1992年COSO发布《内部控制—综合框架》，再到2002年美国国会发布《萨班斯—奥克斯利法案》以及PCAOB发布第2号审计标准，会计执业界都与此有密切关联。当然，迄今为止集大成者还要属COSO框架。


　　正如前文所述，COSO框架在2004年成为了美国的内部控制标准，这与COSO制定该框架的初衷是吻合的。COSO的纲要部分就声明公司的高级执行官长期以来一直在谋求更好地控制其所治理的企业。高级执行官对内部控制的爱好恐怕来自有效的内部控制是保证公司资产免受治理层、员工或其他人的违法行为和类似错误引起的不利后果的最后屏障这个看似不可动摇的假设。而PCAOB也相信，为获取可靠的财务报表，机构必须保持内部控制的运转，以便了解各项记录的准确性，各项交易和资产的处理的公允反映情况，并对各项交易记录的充分性提供保证，且收支工作都经治理层和领导者授权。这样，就能根据一般公认会计原则（GAAP）编制财务报表。内部控制的运转还能确保上述步骤的运转，以防止或发现对财务报表产生重大影响的资产的盗用、未经授权使用或处置情形。简言之，假如公司治理层能证实其对簿记工作实施了适当的内部控制，用于编制准确财务报表的账簿和记录是充分的，并遵守了公司资产的使用规则，投资者就会对公司财务报表的可靠性更为信任。
此外，当今世界另外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury报告、国际内部审计师协会（IIA）的SAC、信息系统审计与控制协会的（ISACA）的Cobit都与COSO框架紧密相关。中国有关部门制定的内部控制标准，包括证监会发布的“证券公司内部控制指引（2003）”、中国人民银行发布的“商业银行内部控制指引（2002）”、中国内部审计协会发布的“内部审计准则——内部控制（2003）”，其核心目标也与COSO框架一脉相承。


　　当然，在肯定COSO框架价值的同时，我们也不应忽视一些不同的意见。比如，早在1993年，AICPA下属的公众监督委员会（POB）就建议SEC要求在证券交易所登记的公众公司的治理层在其年度财务报告（向股东发布的年度报告）中包含一份与财务报告有关的公司内部控制系统有效性的报告。这个建议是想将COSO的内部控制标准用于有效性的评价。可当时SEC并没有采用这个建议。还有，在COSO框架公布不久，美国审计总署（GAO）就曾对该框架的许多方面提出过批评，并指责这个框架有严重缺陷，其内部控制定义中缺乏保障资产的概念，还认为这个框架对内部控制重要性的强调不够，丧失了改善内部控制监督和评估的机会。此外，对COSO框架最具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。COSO框架声称，并不是所有的治理责任都是内部控制的组成部分，因而将战略计划、目标设定、保持核心竞争力、董事会责任等要素排除在外。而许多公司的经营失败很多是因经营战略的失败，公司不具有效的治理结构，经营业绩明显低于业界平均水平所引起。显然，COSO框架对这些问题的关注是不够的，它将注重力集中在如何对外披露与财务报告有关的内部控制止。而PCAOB的第2号标准再一次强化了这个问题。之所以会出台这样的标准，我们不难想象。因为每一次公司危机都会使会计师承受巨大压力，他们力图让COSO框架成为公司内部控制的基础，以此来阻止财务报告的舞弊行为。


　　不过，会计执业界的上述制度安排，是否能有效规避其自身的风险呢？或者说，这本身是否就有风险？这是一个值得讨论的问题。究竟，对内部控制的理解是在不断演进的。随着人们对内部控制越发熟悉，积累的经验越多，他们对内部控制的理解就会随时间而改变，而这或多或少取决于影响和决定内部控制的诸多力量。并且，不同的利益群体对内部控制的观点存在不同的熟悉。换句话说，会计行业与非会计行业在关注内部控制的问题上是有重大差别的，如何将会计界的内部控制语言转换为治理界的内部控制语言，仍是一个需要长期沟通的问题。不管怎样，内部控制的目标必须和企业谋求生存和价值创造机会的努力相一致。


　　总之，无论COSO框架，还是PCAOB的努力，有一点是非常明确的，就是要在企业内部建立一个基本的控制框架，作为治理层评估财务报告内部控制的基准。这也是企业发展到一定程度在治理方面的必然要求，它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。中国的各类企事业单位也要从COSO的框架中吸收合理的内核，这会有助于机构治理层次的提升，执行能力的到位；中国注册会计师行业也应从中汲取经验。究竟，中国正面临一个国际化的舞台，在一些标准、框架的制定上应与全球主流框架保持一致，这样才有沟通的可能，有平等对话的可能，有进一步发展的可能。