风行草偃话内控.doc

风行草偃话内控 -小论高层基调在内控建设中的作用 季康子问政于孔子。孔子对曰：“政者，正也。子帅以正，孰敢不正？” —《论语·颜渊第十二》 一、从《证券交易法》到《萨班斯-奥克斯利法案》的启示 进入21世纪以来，对企业内部控制领域的理论与实务影响最为深远的，莫过于美国的《萨班斯-奥克斯利法案》（SOX）。它将企业的内部控制作为关注的具体内容，不仅要求管理层报告公司的内部控制，而且要求外部审计师证实管理层报告的准确性。由于美国资本市场的巨大影响力，继SOX之后，世界各主要经济体也纷纷加强了对企业内部控制的关注。一时之间，谈内控必谈SOX，仿佛正是SOX在一夜之间催生了企业内部控制建设。 不过，真是有了SOX之后,企业才开始面对内控建设的问题么？如果我们仔细观察美国上市公司的内控报告，可能有助于我们更准确的理解SOX和内控之间的关系。中国电信股份有限公司（纽交所代码CHA）《2006年年度报告》的第15部分“控制和程序”（Controls and Procedures）中，开篇明义的写到：公司管理层对公司信息披露控制程序的有效性的评估是基于1934年《证券交易法》修正案13A - 15（e）条款而开展的。（Our management，with the participation of our Chief Executive Officer and Chief Financial Officer，has evaluated the effectiveness of our disclosure controls and procedures and procedures(as defined in Rules 13a-15(e) of the Securities Exchange Act of 1934，as amended) as of December 31,2006。）这个小小的事例透露了一个信息，美国对企业内部控制的法律规定并非始于SOX，而是始于1934年的《证券交易法》修正案。因此，单从法律条文上看，并非SOX带来了企业内控建设。然而，事实上美国企业开始大规模关注内控建设，又确实开始于SOX之后，这其中的原因何在？ 仔细阅读SOX，可以发现比起1934年的《证券交易法》修正案，SOX有三个核心条款：302、404和906条款。302条款要求公司的CEO和CFO必须对财务报告的可靠性签字负责，并对相关披露的内部控制有效性进行评价；404条款严格界定了上市公司管理层对公司内部控制需承担的责任和义务；906条款明确规定上市公司管理层对舞弊和欺诈负有刑事责任。这三个条款，综合起来构成了一个严密的体系：即管理层需要建立有效的内控体系，并严格披露企业内控建设情况，如果出现披露不实,管理层需负刑事责任。特别是906条款，又被称为“白领罚则”，其中规定，CEO和CFO在明知公司包括财务报表的定期报告有不真实的财务信息的情况下仍签署书面声明，最高可处100万美元罚款和10年监禁；如果属于“有意欺诈”性质的提供虚假财务报告，最高处500万美元罚款和20年监禁。正是有了明确的职责要求以及严厉的“白领罚则”，SOX才让众多知名公司的CEO和CFO战战競競，才有了SOX出台之后，企业界对于内部控制建设的空前关注。 1934年《证券交易法》修正案就提出了内部控制的要求，然而，直到2002年SOX将企业内控建设的责任明确到了企业高级管理层身上,并且提出了严厉而具体的罚则之后，内部控制建设才真正开始为企业所高度重视，这一变化带给我们两个重要的启示：首先，只有责任到人的内控建设,才可能是有效的内控建设。泛泛而谈内控，不具体落实责任，其效果必然大打折扣，甚至沦为空谈。第二，内控建设的首要责任人，必须是企业的高级管理层，这才可能真正推动企业有效实施内控。高级管理层对内控的建设成败，负有最主要的责任。 二、为什么必须是高级管理层？ 内控建设，是一项体系性的工作。企业中的每个人都在其中负有责任。高级管理层要确定内控建设的方向；中层干部要组织落实控制策略；基层员工要具体实施控制；稽核、风控、合规等部门要监督内控的执行；只有各层级都各司其职，企业的内控才能有效进行。既然企业各层级对内控建设都负有责任，都不可或缺，那么，为什么必须是高级管理层对企业内控负有首要责任呢？COSO在《内部控制——整合框架》报告中，通过内控的“职责与责任”一节，清楚的回答了这个问题。 COSO报告指出，组织中的每个人都对内部控制负有责任。但管理层—首席执行官负有最终的责任，因此应该承担内部控制体系的“所有权”。与其他任何人不一样，首席执行官确定了“高层基调”（Tone at the Top），它影响着诚信和道德，以及一个积极的控制环境的其他要素。在大公司中，首席执行官通过向高级管理人员