“《萨班斯法案》是厚厚的一本,作为企业家不需要都熟悉了解。”小熊顿了一下,“事实上,您只要了解三个条款就可以,它们分别是第302条款、第404条款和第906条款。”
“先说404条款,这个条款很短,但是微言大义,把众多美国上市公司折腾得七荤八素的也就是这200多字,火车驴拉公司就是第一批遵循《萨班斯法案》的加速申报人公司。(简单地说,加速申报人为市值在7,500万美元以上的发行人,在季度报告和年度报告的时间点上,有从高从快的要求。)面对这200多字,我估计火车驴拉的内心也是万马奔腾,所以我记得那个时候global team (意指‘全球团队’)动不动就要给我们开会统一思想,顺便传帮带,基本上属于摸着石头过河。我抄录了404条款的原文,然后我再解释一下。”
第404节 管理层对内部控制的评价
(a)内部控制方面的要求——SEC应当相应地规定,要求按《1934年证券交易法》第13节(a)或15节(d)编制的年度报告中包括内部控制报告,包括:
(1)强调公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任;
(2)发行人管理层最近财政年度末对内部控制体系及控制程序有效性的评价;
(b)内部控制评价报告——对于本节(a)中要求的管理层对内部控制的评价,担任公司年报审计的会计公司应当对其进行测试和评价,并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。
“我选择的这个翻译版本已经是比较官方、比较正式的版本了,但是读起来还是很拗口。我通俗地跟您解释一下,404条款分成(a)和(b)两个子条款。(a)条款主要强调的是公司管理层的责任,这个责任分两个层次:第一个层次,作为高级管理层,有责任建立和维护一个有效的内控体系;第二个层次,在最近的年度报告中,应该翔实记述企业在内控系统搭建方面做了哪些工作,管理层是否有信心认为自己的内控系统是有效的,可以保证高质量的财务信息。在年报中一般会有一个章节是关于内控(control and procedure)的,法案要求企业管理层在这个章节详细地描述一下企业内部控制体系搭建的过程和管理层对已搭建起来的内控体系的有效性评价。我们之前的很多客户,其实在聘请我们协助企业搭建内控体系之前,自己是没有做过任何工作的。企业在日常运营中,可能有一些自发的控制,但是一不成体系,二没有经过测试验证其执行的有效性。在这样的情况下,企业所得出的内控有效性结论是不妥当的。如果较真地说,是缺乏过程的过度乐观结果,是不符合法案要求的。”
熊妈妈听得很认真,此时举起手道:“我有个问题,这个工作是企业自己做,还是需要请外援做?”
“这个问题需要看具体的情况。一般而言,那些超级大公司、指标股公司都会有自己的内控团队,团队成员基本都是四大会计师事务所出身的,他们有这个力量自己做。但是更多的中小企业,也就是我们的目标客户群体,他们出于成本的考虑,不会专门养一个团队做内控,一般都会从外面请顾问来协助他们完成。”
“这太好了,咱们不需要请顾问了,你原来的团队可以重操旧业,顺便帮咱们做了。”熊妈妈表示很开心。
“妈,作为资本家,您想节约成本的想法我是赞同的,但也得适度,不然容易过度呀!我带来的团队现在都布局在公司财务,您看咱们财务这一大摊子,成本、预算、系统、日常核算,加上月度季度报表,全得靠这些孩子顶上。之前您招的那些财务人员,实在是有点那个了……我好不容易把财务这部分理顺了,再让他们分心两用,这样不会有效率的。此外,内控体系的搭建需要客观独立,遵循《萨班斯法案》可以搭建与财务直接相关的控制体系。如果具体工作都由财务部的同事兼任了,就违反了职责分离的基本控制理念。咱们这样吧,我考虑了两个选择:第一,咱们单独成立一个小团队,人不需要太多,3~4位就行,我可以从财务抽调1~2位,再从外面招1~2位,这个小团队的职责就是《萨班斯法案》的合规及相关业务流程的优化与提升;第二,直接外包,从我之前合作过的事务所或咨询公司中选择一家性价比高的外包,咱们也省心了。”
“我觉得吧,咱们还是自力更生好。之前你做咨询公司的时候我也总琢磨这件事,你们总是打一枪换一个地方做项目,对企业能了解多少?短短几天,你们真的能了解得比企业内部人员还要深刻?还能提出专业意见?”
“您这个观点也对也不对。咨询行业最宝贵的还是实务经验,一般的企业,我就财务方向花1~2天的时间,的确可以看个七七八八,这个和在企业待多长时间没有很大关系。您到医院看门诊,大夫接待病人的时间也不过几分钟,也没听说还得让大夫跟着病人回家住几天的。但是从另外一个角度说,这其实也是我近几年的一点儿从业感想。咨询行业的发展方向的确应该更加深入到企业中去,更深刻地理解企业的需求,这样提供的咨询服务才有价值。如果只是浮光掠影走一圈,企业往往也是为了合规的目的才请顾问来的。那么于顾问而言,体现不出应有的价值,收费也缺乏主动性;于企业而言,纯粹是为了应付合规的要求,看不到咨询顾问的内在价值。当然啦,目前国内市场普遍对咨询顾问的价值认知不够,即便是深挖客户需求,费用也不一定能涨上去。”小熊的言语间透露着些许无奈,不由得开始追忆起往事。
熊妈妈发现小熊神游,便拍了小熊一下,小熊这才回过神来接着说道:“咱们接着说法案,刚才说了404条款中的(a)条款,现在咱们接着说(b)条款。如果说(a)条款规范的是企业的责任,那么(b)条款则是加诸审计师身上的责任。根据(b)条款的要求,如果企业市值达到了一定的规模,则审计师在年度审计的同时也需要对企业的内控发表意见,出具一个专门的内控审计报告。我给您找了一个,我们简单地了解一下。”
小熊链接
Audit report on internal control over financial report
(与财务报告相关的内部控制的审计报告)
We have audited the internal control over financial reporting of A Group Plc and subsidiaries and applicable joint ventures (the“Group”) as of 31 March 2013, based on criteria established in Internal Control-Integrated Framework issued by the Committee of Sponsoring Organizations of the Treadway Commission.
这里点明使用的内控框架乃是COSO框架。SEC和PCAOB(美国公众公司会计监督委员会)其实并不强制企业采用其他的内控框架,比如英国的Combine Code(公司治理联合准则), 或者加拿大的CoCo框架 (1992年加拿大特许会计师协会(CICA)成立了控制基准委员会(The Canadian Criteria of Control Board,简称COCO委员会),该委员会的使命是发布有关内部控制系统设计、评估和报告的指导性文件。)。如果上市公司采用了非COSO框架,则需解释他们所采用的内控框架为何优于COSO。因此,除非特别有个性又不怕麻烦的企业,大多企业均采用COSO框架。
As described in management's report on internal control over financial reporting, management excluded from its assessment the internal control over financial reporting at B, which became a subsidiary during the year and which accounted for ????????million of total assets, ???????? million of net assets, ???????? million of revenue and ???????? million of loss for the financial year of the consolidated financial statements amounts as of and for the year ended 31 March 2013.
此处说管理层做完了(a)条款,在发表内控是否有效的意见时,需要考虑纳入本年度的内控管理范围。如果是刚刚收购进来的子公司,暂时不披露内控情况的,则需要清楚说明该企业的内控体系尚未纳入本公司的内控体系中进行搭建、测试与管理。
Accordingly our audit did not include the internal control over financial reporting at B.
The Group's management is responsible for maintaining effective internal control over financial reporting and for its assessment of the effectiveness of internal control over financial reporting, included in the accompanying management's report on internal control over financial reporting.
这里是说管理层的责任是建立和维护有效的内控系统,此处为(a)条款的规定。
Our responsibility is to express an opinion on the Group's internal control over financial reporting based on our audit. We conducted our audit in accordance with the standards of the Public Company Accounting Oversight Board (United States).
此处为(b)条款的规定,谈的是审计师的责任。内控审计的执行依照的是公众公司会计监督委员会出台的审计准则(PCAOB)。
Those standards require that we plan and perform the audit to obtain reasonable assurance.
与财务报表的审计报告一致,都是合理保证。合理保证是有尺度的保证,有条件的保证,不是无原则的打保票。
About whether effective internal control over financial reporting was maintained in all material respects.
强调的是在所有“重大方面”。
Our audit included obtaining an understanding of internal control over financial reporting, assessing the risk that a material weakness exists, testing and evaluating the design and operating effectiveness of internal control based on the assessed risk, and performing such other procedures as we considered necessary in the circumstances. We believe that our audit provides a reasonable basis for our opinion.
此处谈的是内控审计的方法论,这些细节将在本书的最后章节进行讨论。
A company's internal control over financial reporting is a process designed by, or under the supervision of, the company's principal executive and principal financial officers, or persons performing similar functions, and effected by the company's board of directors, management, and other personnel to provide reasonable assurance regarding the reliability of financial reporting and the preparation of financial statements for external purposes in accordance with generally accepted accounting principles.
这里是指控制的基本概念是一个过程,由几方面共同施力,确保财务报表信息的合理准确性和可靠性。
A company's internal control over financial reporting includes those policies and procedures that (1) pertain to the maintenance of records that, in reasonable detail, accurately and fairly reflect the transactions and dispositions of the assets of the company; (2) provide reasonable assurance that transactions are recorded as necessary to permit preparation of financial statements in accordance with generally accepted accounting principles, and that receipts and expenditures of the company are being made only in accordance with authorisations of management and directors of the company; and (3) provide reasonable assurance regarding prevention or timely detection of unauthorised acquisition, use, or disposition of the company's assets that could have a material effect on the financial statements.
此处谈的是与财务报表有关的内控体系建立的目的与意义,这里面有两个术语需要详细解释一下。如果就控制发生的时点,一般区分为事前控制(preventive control)和事后控制(detective control),事前控制和事后控制也译为预防性控制和检查性控制。我们可以举个例子来说明这两个控制类型的区别,比如酥园要买一台电脑,那么在实施采购之前公司所进行的采购申请的审核与授权、供应商的比价与选择、验收入库的检查,基本上都可以算是预防性控制。后续付款的申请与审批,固定资产的定期盘点,盘盈盘亏的授权审核,大致可以算作检查性控制。
Because of the inherent limitations of internal control over financial reporting, including the possibility of collusion or improper management override of controls, material misstatements due to error or fraud may not be prevented or detected on a timely basis. Also, projections of any evaluation of the effectiveness of the internal control over financial reporting to future periods are subject to the risk that the controls may become inadequate because of changes in conditions, or that the degree of compliance with the policies or procedures may deteriorate.
这一段把丑话说在前面,指即便是再严密的检查程序,再努力发挥主观能动性,重大的财务报告错漏还是未被发现。这都是为什么呢?第一,存在管理层凌驾的问题,管理层凌驾咱们之前讲过。设计得再精密的控制系统如果遇到管理层凌驾,也会变得不堪一击,因为企业的终极控制在最高管理层,管理层凌驾这种情况在中国的公司群体尤为常见。第二,执行控制的环境和条件发生了变化,导致原有的控制不够充分有效。控制不是一个时点的动作,而是一个过程,更准确地说是一个不断变化的过程。因为企业的战略在变,外部大环境在变,管理思路在变,微观地说,业务流程在变,信息系统在变,甚至操作系统的人也在变,因此要求企业定期对自己已经搭建的内控系统做再检讨,及时发现由于上述变化导致的控制的失效或失力,及时更新或优化流程及控制。
In our opinion, the Group maintained, in all material respects, effective internal control over financial reporting as of 31 March 2013, based on the criteria established in Internal Control-Integrated Framework issued by the Committee of Sponsoring Organizations of the Treadway Commission. We have also audited, in accordance with the standards of the Public Company Accounting Oversight Board (United States), the consolidated financial statements of the Group as of and for the year ended 31 March 2013 prepared in conformity with International Financial Reporting Standards (IFRS) as adopted by the European Union and IFRS as issued be the International Accounting Standards Board. Our report dated 21 May 2013 expressed an unqualified opinion on those financial statements.
最后是意见段,表明审计师的态度。咱们在此举的例子,都是企业内控有效的例子。在实务中,我也见过许多审计师判断内控系统无效的例子,那么接下来还需要相应的篇幅来明确说明企业内控系统存在哪些重大缺陷。在这里有个定义先解释一下。一般而言,影响审计师对内控意见的缺陷可分为三个大的层级:一个叫作deficiency(缺陷),一个叫作significant deficiency(严重缺陷),还有一个叫作material weakness(重大缺陷)。三者存在程度递进的关系,严重的deficiency叫作significant deficiency,很多个significant deficiencies 或很严重的significant deficiency,就是material weakness。按照PCAOB的规定,审计师如果发现一个material weakness,就可以直接判定该企业的内控失效。之前我遇到很多这样的情况,审计师一旦出具了内控无效的审计报告,企业家就会很愤怒,觉得无法理解。我倒是觉得这个问题应该冷静一点儿面对。中国企业在合规方面一般都不太有主动性,不愿意把功课做在平时,但是又不愿意接受不好的结果,所以很多企业在面对内控审计时,都显得比较被动。
“在2012年之前,证监会有这样的规定,如果企业目前财年的第二季度的最后一个收盘日的流通市值低于7,500万美元,是暂时不需要遵循404(b)条款的,也就是说不需要接受审计师关于内部控制的审计。2012年4月,美国为了鼓励中小型上市公司的发展,出台了《乔布斯法案》(Jumpstart Our Business Startups Act,简称JOBSACT,这个法案与苹果创始人乔布斯无关)。法案出自这样的背景:如果我们把美国资本市场比作一个菜市场,那么里面既有横跨好几个摊位的大商贩,也有只卖煎饼的小商贩。但是从上市合规成本的角度看,卖煎饼的和卖蔬菜水果的相差并不很大。在很多小企业中,上市成本和融资成本成为阻碍其快速发展的现实困难,而《乔布斯法案》可以看作是一部为这些小摊贩松绑减负的法律。《乔布斯法案》授予合格的中小企业一个光荣称号EGC(即发展阶段的成长型公司,Emerging Growth Companies,简称EGC),只要满足一系列条件的EGC,在上市程序上会大力简化,在信息披露的要求上,也会给予相应力度的松绑。就内控的要求而言,如果获得这个光荣称号,那么暂时不需要遵循404(b)条款的要求。”
《乔布斯法案》对EGC的定义是在最近一个财政年度的总收入不超过10亿美元的公司。公司可以保持EGC资格,直到满足下面任何一个条件时,视为EGC资格的丧失:
(1)公司年收入超过10亿美元后的第一个财政年度;
(2)公司实施IPO五周年后的第一个财政年度;
(3)公司在之前三年发行了超过10亿美元的非可转债;
(4)公司符合“large accelerated filer(公司在过去的一年中公开发行的股权价值的变动幅度超过7亿美元)”。
“按你这么一说,咱们也就是个中小型企业啊。”熊妈妈愣了一下,神色间有点失落。
“哈哈,我的妈呀,我一直不知道您平静的外表下还有这么汹涌的思潮啊。咱们当然是中小企业啦,您不能光跟一块儿奋斗的那几个老哥比,村里运动会的冠军到了奥运会可能要到奥运村当志愿者啦。而且,中小企业多好啊,我就喜欢中小企业,成本可控,系统灵活,随时可以掉头换方向。”
“不过我想了,即使咱们小,不需要审计师审计内控,咱们也要把基础打好,不能得过且过。”
“妈,我给您这句话点个赞。之前我接触过很多在美国上市的中国公司,大多是中小型企业。说句让您宽心的话,好多企业还不如咱们,业绩不行、成长性不行、团队不行,只不过当时赶上那么一股风潮,被一些资本掮客忽悠着跑到美国上市,估计上市的时候都没搞清楚自己为什么要上市。这些企业家对待内控的态度大多都是审计师如果不审计,那么企业也不急着做,能省一点儿算一点儿,可拖一天算一天。其实是他们不懂得咨询的价值所在,换一双眼睛,换一个视角,可以看出很多企业家看不到的地方。很多人可能会觉得《萨班斯法案》是一个合规工作,是文档收集和整理的工作,对企业运营价值不大,但是我现在越来越觉得,很多企业缺乏这样一个自我梳理和认知的过程。很多企业在发展初期,业务发展的势头都不错,但是一直缺少回头看的机会,很多业务发展中的风险没注意到或注意力不够,一旦集中爆发,结果往往出人意料。中国民营企业往往赋予了企业家太大的权限,这在某种程度上也是最大的风险所在。”
“这里我倒要请教了,你们之前做的那些内控咨询项目能解决管理层凌驾的问题吗?”
“说实话够呛,我们做的好比是一次普法教育,未必能解决根本问题,但至少是一个宣传贯彻过程,这样也可以让企业始终保持一颗敬畏之心。君子有所为有所不为嘛,我也常常跟他们这么讲,事情的确要做,但是安全始终第一。”