|
沙氏法案404條款
諸多條款及規定中,以404條款有關管理階層對於內部控制評估之規定,對全球絕大多數企業及會計師業所造成之影響最為顯著,此亦為本文之介紹重點。404條款係規範有關管理階層對內部控制之評估,該條款主要包括三個重點:第一,管理階層必須負責建立和維護適當的與財務報導有關之內部控制制度(Internal
Control Over Financial
Reporting,簡稱ICOFR)。第二,管理階層每年必須對外界提出與財務報導有關之內部控制有效性之評估報告。第三,管理階層必須聘任其財務報告簽證會計師,對管理階層上述第二點之評估報告,及會計師本身對於公司與財務報導有關之內部控制有效性,進行評估並出具體意見。茲分項說明如下:
一、財務報導有關之內部控制
有關管理階層在建立和維護適當的內部控制制度方面,企業必須採用PCAOB認為可接受之內部控制制度架構標準,例如:美國COSO委員會(The Committee
Sponsoring Organizations of the Treadway Commission)所公佈內部控制整體架構(Internal
Control-Integrated
Framework)或英國之COCO制度,在資訊相關控制亦可採美國之COBIT架構或英國之BS7799架構等。在建置有關內部控制上,對美國上市企業而言,以往並無類似我國法令所要求之書面
「內部控制制度」文件,取而代之的是許多融入管理或作業流程概念的作業手冊(Standard Operating
Procedures,簡稱SOP),而這些作業手冊內,並未特定將日常營運或管理活動中之控制活動予以記錄,即類似我國公開發行公司以上所須具備之「書面內部控制制度」(包含:主要營運活動之作業流程圖、作業程序描述及控制活動描述)。在404條款適用之後,企業不但須就所選定之控制架構重新思考、辨識公司營運及與財務報導有關之內部控制,並將之予以書面化,還需就內部控制設計及執行有效性之評估結果保留適當之書面資料
(內部控制自評之結果),以作為管理階層聲明,及審計人員查核內部控制有效性之依據。
多數企業在辨識內部控制並將之書面化,並將之推行至企業各重要個體過程中往往會發現:以傳統方式考量內部控制之成本效益及營運效率所犧牲之控制,在404條款之要求下,為確保財務報表之正確性及可靠性,將不可因任何因素而犧牲。另對於全球化經營之企業而言,同時可發現:由於多角化經營或購併而快速新增或取得之企業個體,由於整合之過程中多以銷貨、生產、提供服務或財務等活動為主,在實質作業流程及控制活動之整合上,通常非當務之急,再加上語言與文化之隔閡,要以標準之內部控制制度推行至所有企業個體,有其實際之困難,因而開放一定之彈性,再逐次作修改或整合,為建置過程中所不可避免的。
二、內部控制有效性之評估
以往在美國上市之企業,僅被要求提出財務報告及有關財務或非財務資訊之揭露,但在經歷一連串弊案後,衍生出對內部控制之重視,因此明確定義管理階層對於建置及維護內部控制之責任,如何確保內部控制之有效性,並提供投資大眾及利害關係人有關資訊,以保障其利益,亦為沙氏法案的主要精神。因此,404條款要求管理階層必須對與財務報導有關內部控制之有效性,定期進行自我評估,並出具聲明,連同財務報告公開於年報中。
此外,為評估內部控制之有效性,管理階層在建置內部控制制度同時,亦應建置評估內部控制之制度。其評估制度之設計,目前多參酌PCAOB所發佈之審計準則公報第二號(請參閱下段之說明)中,審計人員於查核公司內部控制時之有關規定設計,其中包括:如何決定內部控制作業需進行相關測試程序(評估財務報告內重大會計科目及揭露事項之有關作業活動)、如何決定應納入評估之企業個體、如何進行內部控制設計及執行面之有效性、如何評估及報告內部控制缺失之重大性、如何追蹤及改善內部控制缺失等,這些任務與作業風險機制的維護精神不謀而合。除此之外,評估工具(含評估表格及執行面測試程序)之開發、評估制度之組織設計、人力資源之配置、執行之頻率及時程、自動化評估工具之導入也都列入管理階層建置評估制度時之考量。
現行大多數美國上市企業皆已投入內部控制評估制度之建置及評估,所投入之費用動輒幾十萬美金,其中尚不包括所入之人力及時間成本。另在建置及評估過程中,通常可發現:由於所須進行評估之範圍,除作業層級(Process
Level【註2】)之一般日常營運活動,還包括有關企業整體層級(Entity
Level【註2】)之控制活動,所動員之人員,上至董事會、總經理與高階管理階層,下至負責各項營運活動之作業人員及資訊人員皆須投入評估活動;且對集團企業而言,除總公司外,尚需包含其重要之子公司,因此須投入之人力及時間成本相當可觀。再者,前述人員由於多不具內部控制或稽核之專業知識,所以一般很難正確執行有關控制評估工作,反而增加投入之時間及成本,進而影響評估結論之有效性。雖然,在法案中並未明確指出管理階層之評估不可由內部稽核人員擔任,但考量內部稽核於公司內所應具有之獨立性及角色(內部稽核應為監督評估制度運作之有效性,及作為評估過程中之諮詢顧問),以國際實務而言,多數企業不由內部稽核人員替代管理階層進行評估。為解決此難題,也有企業採用將部份評估作業外包予獨立之顧問公司進行,以提高評估之有效性。
三、會計師出具意見
在404條款中規定,會計師必須對管理階層所出與財務報導有關內部控制有效性進行評估報告,且對公司與財務報導有關之內部控制有效性進行評估並出具意見,因此PCAOB於2004年3月發佈了審計準則公報第二號:與財務報導有關之內部控制查核及財務報表查核(An
Audit of Internal Control Over Financial Reporting Performed in conjunction
with An Audit of Financial
Statements),作為審計人員查核公司財務報表,及管理階層評估與財務報導有關內部控制有效性之指導原則。
審計準則公報第二號對會計師查核時所應遵循之項目規範非常詳盡,包括:如何考量查核時之重大性、舞弊之考量、內部控制之先天限制、如何執行查核(如何進行規劃、採用其他人之評估、評估管理階層所提出之評估報告、評估控制設計有效性、測試控制執行有效性、提出查核報告、對於書面記錄之要求等。雖已有厚達200餘頁的第二號審計準則公報,但於404條款第一年實施後,PCAOB又於今年5月公佈執行第二號準則公報之解釋公報(Policy
Statement),對於第一年實施所發現之各項問題提供更清楚之指導原則。
由這兩份公報規範之詳盡,可見其對會計師查核要求之嚴謹,也由此可知會計師所須投入查核人力及所負擔之責任將較以往年度增加頗多且重。
在404條款實施的第一年,就法令的成效面而言,尚不明確,但依據compliance
week的彙總,現在已有582家公司對外聲明其內部控制已有缺失,可見這些企業在與財務報導有關的內部控制上尚有強化的空間
(這些單位甚至包括國際間赫赫有名的國際級集團),但就投資人及各利害關係人而言,更希望可以及早見到相關缺失之改善情形,以證明管理階層在維護與財務報導有關內部控制之決心,並重建企業與投資大眾間之良性信任關係,及投資人對資本市場之信心。
TOP
上一頁 1│2│3
下一頁
【回本期首頁】
|
