close
沙賓法案 (The Sarbanes-Oxley Act)
2002 年的沙賓法案 (SOA) 明定企業組織必須以文件記錄各項財務政策與流程,以改善財務報告的權責制度,提高製作財務報告的效率。 這項法案的主要目是要加強企業管理,恢復投資人的信心。
SOA 同時也提出了幾項已經預見的挑戰:
· 管理成本與 IT 成本越來越高
· 員工必須浪費時間來記載文件以符合法規要求
· 多方協同合作的需求越來越高
· 縮短報告的週期,可能減少簽核,提高錯誤發生的風險
· 企業系統太多,實際營運作業與資料很難一致
企業組織只要將不一致的流程換成採用智慧型文件的解決方案,將政策文件記錄與流程自動化,在時間要求內製作出精確的財務報告,降低達成符合 SOA 要求的成本。
當前的挑戰
90 年代末,投資人面臨了一些令人不安的新聞:在某些案例中,他們所看到的快速成長,竟然是用可疑的會計手法,甚或是直接的詐騙行為所造成的假象。企業醜聞充斥著頭版頭條,不僅加重了他們對經濟不穩定的憂心,亦打擊了投資人的信心。
為了減輕投資人的疑慮,並提供更有效的管理制度來經營企業,美國國會在 2002 年 7 月 30 日,將「沙賓法案」納入法律。雖然還有一些特別條款仍在形成中,但它所要傳達的訊息是很明確的,那就是:遵守「沙賓法案」不僅提高您企業的信用,也是您必須遵循的最高指導原則之一。
沙賓法案是為了重建投資大眾的信心並對公司財報是否有足夠的公開資訊並加強監控而發展的法案。而今大多數人對其的期望以及其包含的範圍,也都遠超過最初的設計了。
302 條款
302 條款自 2002 年 8 月開始實施,其要求 CEO 及 CFO 個人要對出每季及每年的財務報告背書並負責確保其正確性。美國大部份的大型公司都會遵守這項法令。雖然有那些證明,但仍有很多公司會為其財務報告的品質感到憂心。為了協助客戶達到「美國沙賓法案」的要求,「IBM 企業咨詢服務部」為您列出了有關遵守「302 條款」的關鍵性議題:
· 報告本身的限制。手工試算表與半人工的處理程序難保不出錯,是否正困擾著您?
· 資訊的完整度。報告的定義及/或計算結果不一致,您是否感到煩惱嗎?
· 公司的治理及責任。守法的問題會影響到公司的各個層面;您已安排好適當的資源,確定他們都適得其所嗎?所有事業單位及附屬公司是否全都依循法規在執行,讓所有高階主管的明確責任都能夠精確且完整?
· 緩慢的結案程序。在處理有關「美國沙賓法案」的問題時,時間是最重要的。您的基礎架構是否拖累了向外界報告的時間嗎?
404 條款
「美國沙賓法案」的條款中,最讓您感到憂心的應該是「404 條款」,它要求您的公司提供有關內部控管的年報,並由外部的帳務審查公司來證明。導入「404 條款」所帶來的挑戰包括:
· 控制管理不足。您在處理內部控制的定義、記錄、測試、監督及加強等工作時,所採行的相關程序是有效的嗎?
· 職權界定不明。這項新法案創造了一位掌管新責任的主辦人;誰在您的組織中負責哪些事呢?
· 文件管理策略落後。當您努力要達到「美國沙賓法案」的要求時,舊的內容和文件管理策略會為您帶來困擾嗎?
· 對「帳目不清」的審核追蹤鬆散。您因為文件、資料一致性或其他內部控制的連結鬆散,對「帳目不清」的問題感到頭痛嗎?
409 條款
「409 條款」仍在建構中,但是有些公司已經開始為可能的重大影響做準備;基本上它會要求各公司「即時」公開有關其財務狀況或運作的任何重大變更。
一旦 409 正式通過並導入,您會遭遇到什麼樣的挑戰呢?
· 監督能力不足。如果現在光是監督配合法令的活動和進度,就已經讓您煩惱不已,409條款是否讓您更易出錯呢?
· 變化不明顯或能見度受限。如果您公司的績效產生了重大變化,而您自己沒有馬上發現,您如何能夠快速地將這些變化公諸於世?
· 缺乏預測能力。您對公司的每一個點的業務績效有清楚的瞭解嗎?
· 溝通管道錯綜複雜。您公司的基礎架構缺乏適當的媒介來報告即時的重大事件嗎?若是如此,將很難達到 409 的要求。
· 組織文化。您的組織是否不敢向上級報告壞消息?這種心態讓領導者無法察覺到可能發生的重大事件,因為您的員工會等待並希望明天、下個月甚或下一季可以交出更好的成績來抵銷負面的事件。
IBM 可以協助您達到「美國沙賓法案」的要求。我們的「財務管理」服務結合了策略、方法及科技,支援您對「美國沙賓法案」所採取的行動,並協助您轉換商業流程,成為即時、隨需應變的環境,以為長久的成功打好基礎。
公司落實了沒
國內的內部控制在落實上可分為二種:一個是在設計上要能夠預防風險的發生,另一個則是能夠實際的落實,國內最普遍的現象是在落實的執行上較有問題,也因為這樣,結果也沒有真正做好內部稽核的工作。
若從美國的沙氏法來看,大部份會比較著重在公司層級的控制,包括整個企業的監督機制,可是這部份在國內到目前為止還是沒有串連的很好,例如從董事會、審計委員會等單位透過內部稽核自我評估的機制,來監督企業的內部控制是否有落實,但也因為這之間的關係沒有串連的很好,久而久之,企業的上層也沒有把內部控制當成是重要的,反而變成是形式上來應付法規的要求,不過現在比較好的是,有些企業己經開始協同專業人士來成立內部控制制度及督促和落實。
另外,美國的沙氏法規定每年都要做一次稽核,來了解企業在內部控制的落實為何,因為有人監督,所以企業自然會自我要求。但以國內的制度來說,一開始在公開發行時會有會計去做內部控制的實審,之後則是由企業自己自我評估、稽核及管理當局的內控說明書等方式來運作,等主管機關看到有問題時再找會計師去做專案的查核,但這會有時點的問題,也就是會有當發現問題已為時已晚的情況產生,所以應該是要建立一個較以平常性為稽核的制度,幫助才會較大。
檢視五步驟,確認落實度
對於已實施內部控制的企業來說,是否可確實的達到舞弊防制的效果,可由五個步驟來檢視:
1.檢視企業現有的內部控制:確認企業的內部控制是否齊全,再從中尋找是否有防制舞弊機制須改善的地方,一般來說,企業會成立專案小組,再跟監察人和外部稽核專家做持續的溝通,來檢查現有的內部控制作業是否夠嚴密,所以內部控制的檢視,要不斷的進行;
2.執行舞弊風險的評估:先依各業務循環劃分評估範圍,並建構公司完整的舞弊風險清單,再將公司舞弊風險與現有內部控制制度相連結,以找出內部控制制度設計上的缺失;
3.評估現有內部控制制度的有效性:在進行評估之前,除了要先設定客觀的評估標準,也要確保評估作業能夠在一致性的原則下進行,再以COSO內部控制架構對整體內部控制制度進行完整的評估;
4.評估內部控制待改善範圍:必須聚焦在可能會出現舞弊風險的地方,因為舞弊風險無法藉由內部控制制度來排除串謀的可能性,尤其是現在的企業因為高度電腦化的關係,電腦的資訊安全機制是否能有效受到規範,這就必須要依靠外部的專家(例如IT人員)來協助執行,以確保企業的資訊環境安全;
5.制定標準化的舞弊調查及矯正措施:針對影響程度不一的不當舞弊行為,應該要建置符合企業需求的標準化舞弊調查機制,以確保舞弊控管的效率,而舞弊調查也要配合適當的矯正措施(例如獎懲制度),來降低因舞弊行為而引發的損失。另外,此部份還需透過獨立董事、獨立監察人、審計委員會的設置,以及提高內部稽核單位的位階,並加強其獨立性,和外部稽核專家的參與等單位在職能上的發揮,才能達到預防舞弊發生的效果。
導入BS7799 標準─企業責無旁貸
什麼是防止駭客入侵網路、將病毒阻絕於外並將整體安全漏洞降至最低的最佳方法?英國標準協會 (British Standards Institute,簡稱 BSI),希望能透過 BS7799替所有企業 (不限英國境內) 解答這個問題。BS 7799 是一套完整的計劃,能有效建構資訊安全防護機制。IT 專業人員可將這套資訊安全標準規則當作藍圖,依其導引制定企業的安全政策與程序。
BS7799 首度於 1995 年公諸於世,企業只要作到 BS7799 的要求,並通過獨立稽核機構評鑑,便可獲頒 BS7799資訊安全認證,向其客戶與合作夥伴宣告,該企業網路內與他們相關的資料都受到適當的保護,而且該企業整體的安全度也值得信任。許多機構有感於面臨的安全威脅有增無減,也開始依照 BS7799 的規定施行,他們的目的不見得是要獲得認證證書,只是把 BS7799 當作最佳指導原則而已。
此套標準已廣為許多國家接受,包括澳洲、南非、紐西蘭、荷蘭與挪威等等。事實上,英國政府於 1998 年版的資料保護法案 (於 2000 年 1 月開始實施) 中,便建議英國境內企業應採用 BS7799,以便符合該項法案的規定。
※ 註:(1) ISO 17799已於2000年12月正式成為ISO標準
(2) BSI已於2000年公佈 Draft BS7799 Part II:2002供各界評估
瞭解 BS7799 條文
BS7799 共由三個主要部分組成:標準施行規範 (又稱最佳安全實務準則)、資訊安全管理系統標準規格、以及認證程序。導入 BS7799 並完成接受認證的準備工作,預估大約需要六到九個月的時間,視 IT 基礎架構的複雜程度而定。
第一部份:最佳實務準則
在最佳實務準則這個部分,共列舉了組織中十個最主要的部分、127 條控制項目與超過 500 條安管細項,以協助企業保護其資訊資產。第一部份主要著重在風險管理,目標為協助企業預先規劃安全政策,其中制定的控制項目不見得全部適用於每一個企業,但 BS7799 會協助閱讀者找出適用於其業務的部分。企業若要通過獲得認證,必須詳細敘述哪些控制項目不在其安全政策涵蓋範圍內,並提出充分的理由予以解釋。納入安管的項目包括網際網路使用方式、電子商務、電信通訊、行動運算、法律考量與人力資源等等。
第二部分:資訊安全管理
BS7799 的第二部分協助 IT 人員根據企業目標評估其網路資產,並排出優先順序,然後將這些資產整合到安全計劃,也就是資訊安全管理系統內。安全計劃包括四個階段:風險評估、風險管理、導入防護措施與適用條款。
· 風險評估:指的是分析資訊資產可能遭遇的各種狀況,及發生安全事件對企業目標可能造成的影響,例如具有惡意程式碼以及未經許可便進入網路的行為,都算是可能遇到的風險。
· 風險管理:指的是得以讓企業減低風險的計劃。風險管理使用的方法不限定於防火牆之類的網路防護措施,還包括實體安全、管理程序、突發事件應變計劃與人力資源規劃等等。
· 防護措施:指的是企業為了降低風險而規劃並建置的實際工具與資源。
· 適用條款:企業的安全計劃,是通過 BS7799 認證的必要條件,其中載明企業實際付諸實行的控制項目,以及為何挑選這些控制項目並加以實施的理由;此外,企業也必須列出 BS7799 內哪些控制項目並未受到引用施行,同時提出充足適當的理由加以解釋。
認證程序
企業必須通過安全稽核程序,才能獲得 BS7799 認證。由於接受稽核的準備工作非常繁雜,且所需時間長達半年到九個月,因此許多企業選擇僱用安全顧問協助他們進行這些準備工作。認證稽核共包含兩個部分。首先由接受委託的獨立稽核機構分析企業提出的適用條款,審查該企業對 BS7799 各條款的篩選是否合理,大約只要兩天即可完成。六個星期後,同一稽核機構會到企業現場勘查,評估企業安全政策與程序的施行成果以及企業對 BS7799 所有控制項目的遵循程度。稽核機構會檢驗企業採行的技術,並與各部門員工進行面談,以全盤了解企業實施的安全政策。稽核程序的第二步驟約需要一個星期。當企業通過稽核程序後,發證單位便會發給認證,而且以後每隔一段固定期間,企業都
必須重新接受稽核程序檢驗,才能繼續保有其獲得的認證資格。
BS7799 為企業帶來什麼好處?
BS7799 認證能為企業帶來許多重要的策略與營運優勢,包括:
· 強化企業安全:透過 BS7799 認證程序,可減少企業網路的弱點,並提高企業的風險控管能力。減少弱點意味著較少的安全漏洞,詐騙行為、財物風險與法律風險也會跟著減少,當然網路的連續運作時間與客戶信心也會隨之提高。
· 提高安全規劃效率: BS7799 列舉了分屬於十項領域共 127 條控制項目及其控制細項目,導引企業如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議,可使得企業開始導入安全措施時,作到更完善、更容易管控且非常符合經濟效益。
· 提高安全管理成效:所有企業都必須開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是,BS7799 已證實是資訊安全的最佳實務準則法則。諸如 BT、HSBC、Marks and Spenser、Shell International 與 Unilever 都對 BS7799 的制定多所貢獻,並且在實際商業環境中測試過其成效。
· 持續保護:企業經過認證後,稽核機構的持續檢驗與BS7799的更新,將確保企業隨時了解最新的弱點以及最佳的實務準則法則。
· 改善合作關係:為了讓企業網路受到更好的保護,同時又要能進行電子資料交換(EDE),企業可以BS7799認證作為合作夥伴與供應商的安全要求。
· 安全的電子商務: BS7799 等於是一個安全徽章,無論是財務機構或電子商城,消費者都能輕易分辨出哪些是經過認證值得信賴的電子商務公司。
· 提高客戶信心:隨著客戶與廠商對網路安全漏洞愈來愈謹慎,他們也會開始尋求具體的安全保障,BS7799 認證能提供他們需要的信心。
· 提高稽核投資報酬率(ROI): BS7799 包含了一套認證程序與委託稽核機構。未來當 BS7799 成為業界標準時,便會有愈多的委託獨立稽核機構協助企業遵循稽核程序,以進行安全政策的檢測與評估,而安全稽核也會愈來愈準確可靠。
· 降低法律風險:企業通過 BS7799 認證後,將可減少因為安全突發事件而面臨的法律問題,因為法庭將會把企業符合該項標準的事實,認定為企業已經做到足夠程度的安全防護。
維護網路安全以保護資訊資產,已經是現今所有企業都非常重視的一部份,但建構並制定完整的安全政策畢竟不是件容易的事,幸好有 BS7799 這類網際網路安全標準程序,協助 IT 人員以更有效率的方式管理網路安全,以便獲得更佳效果。隨著企業每天面對的安全威脅有增無減,問題已經不再是「為什麼要導入 BS7799」,而是「為什麼不導入 BS7799」了。
美國從2001年底爆發安隆會計弊案後,促使參眾兩院在2002年7月通過了沙賓法(Sarbanes-Oxley Act of 2002),以期積極強化公司治理(governance)與責信(accountability),恢復投資大眾信心。雖然,沙賓法案(Sarbanes-Oxley Act)的適用對象,僅限於美國掛牌上市之公司和美國企業之海外分支機構及子公司。然而,幾位法學與財務背景的專家表示,公益組織應該以相同的標準,要求自身的運作。
這樣的倡導緣起於美國兩家著名的公益組織BoardSource、獨立部門(Independent Sector),於日前共同發表一份聲明文件,名為:「沙賓法對公益組織的意涵」(The Sarbanes-Oxley Act and Implications for Nonprofit Organizations) 。期許公益組織領袖仔細地了解沙賓法案的各項條款,並決議是否應該自發地採納其中的規範與精神。
為了協助公益組織領導者了解此法內容並激發討論,這兩個組織在11月份,針對此議題進行一系列的電話會議。其中一位參與人是現任華盛頓律師Marc Owens先生(先前任職於美國國稅局),他說:「如果董事們了解董事會的重要性,他們就能夠了解誠實且理性的治理之必要。」。
就企業責任上,沙賓法強制公開發行公司(Publicly traded companies)設置審計委員會(audit committee),並規範該委員會由獨立董事組成,亦即,沒有擔任公司管理層級職務,也不支薪者。 其主要目的是確保審計人員之獨立性,賦予審核公司財務記錄的權限與自主性,並監督經理人的工作成效。
再則,此法要求負責審核公司帳目的合夥人,以五年為任期進行輪替,並禁止任何已註冊之公開會計師事務所,同時提供公開發行公司審計及非審計服務。所謂非審計服務包括:簿記業務、與審計無關之法律服務或精算服務、投資顧問或投資銀行服務…等。更嚴格化管理階層對於財務報告之責任,要求CEO與財務總長確保對外發佈的財務報表,公正且準確地呈現實際的財務現況。
Owens先生提供公益組織運用此法的一套多層次途徑。舉例來說,任何一個組織都可以草擬有關如何避免利益衝突(conflict-of-interest)的方針,或者,要求每筆帳目須有兩個人簽核,作為初步的管控。倘若組織規模夠大,且無損於其設立宗旨時,甚至可以出版年度財務報表,或聘請外部審計人員。Owens先生認為,成立審計委員會對於公益組織而言,是合乎常理的。他說:「審計委員會的成員,應當不同於財務或投資委員會的成員,因為審計委員的責任是監督其他委員會是否克盡職責」。
排名全美第八大會計師事務所的美國運通稅務服務公司(American Express Tax and Business Services,簡稱TBS),其紐約區公益部門總經理Ian Benjamin說道,也許審計與財務委員會的功能,未來仍有重疊的可能。他說,這種例外的情況,將發生於審計委員會不再扮演監督投資業務的角色。「每個組織都需要仔細小心地自我檢視,再決定由誰擔任審計監督的職務。」,他說。
不過,與會者對於公益組織的執行長,在審計委員會的角色扮演,抱持不同的意見。Owens先生主張執行長不應該有任何形式的參與,以維護委員會的獨立性。而Benjamin先生則認為,執行長與財務長都應該列席,只有在涉及他們的工作表現討論時,需要離席。
最後,Owens先生表示,沙賓法有兩個條款,的確適用於公益組織。其一,保護舉發不法情事者:對於任何法人,不論營利與否,處罰或報復那些揭露可疑的詐欺案件或弊案的員工,是違法的。其二,禁止任何人竄改或銷毀相關文件,如有此情事,則應負起刑事責任。
參考資料:Stephen G. Greene, “Nonprofit Groups Urged to Follow Governance Act”, The Chronicle of Philanthropy. October 30, 2003. ( http://philanthropy.com/premium/articles/v16/i02/02006001.htm )
沙賓法案的內控成本
從今年七月十五日起,美國沙賓法案(Sarbanes-Oxley)已開始適用於在美國掛牌的外國企業,如台積電、聯電、友達、中華電、日月光、矽品、旺宏、福雷電等,其他像是廣達、仁寶等跨國大型製造商,則因與美國企業有生意往來,也必須注意相關規範。目前也有消息指出,日本將在明年提出類沙賓法案的規定,到時勢必影響在日本上市的台灣公司,或是與日本生意往來密切的企業。
美國在二○○二年爆發安隆(Enron)、世界通訊(WorldCom)上市公司財報不實,以及公司管理失當的醜聞之後,讓許多投資者的信心在一夕之間崩潰,為了重建投資者的信心,美國主管當局決定制定沙賓法案。這是一九三三年之後,對美國證管局、公開發行公司及會計師影響最重大的財經改革法案。
所謂沙賓法案,就是美國證管會所監管成立的公開公司會計監督委員會(PCAOB)所建立的審計、品質控管會計事務所與會計師的調查與懲戒制度,凡是在美國上市的公司,都必須要遵守這項規定。而在沙賓法案眾多條文中,對公司影響最大的是四○四條款。
根據美國證管會規定,公司管理階層須提交一份內控自評報告,且經會計師審核。此外,還須成立審計委員會,而會計師可越過公司執行長(CEO)等高層主管,直接向審計委員會報告;公司須定期更換會計師;揭露支付會計師的費用;掛牌企業的所有海內外關係企業、工廠、辦事處、分公司財報都須符合規定等。若執行長、財務長等高層主管,有財報申報不實的情形,會被處二十至二十五年的刑期。
過去,在美國上市的企業,從未被要求建立類似台灣「內部控制」法令的管控制度;其實,過去雖然有管理的概念,但多不是以「內部控制」的模式出現。一般而言,在美國上市多年的企業,都會擁有一個非常多、非常詳細的作業手冊,但這本手冊的管理概念,與台灣熟悉的內部控制制度有些不同。因此,沙賓法案的出現,徹底改變過去對企業內部控制的看法。
沙賓法案主要管理對象是在美國上市的企業,包含美國上市的當地或是外商公司。「在美國上市」看似單純,但實際影響層面遠大於在美國有上市的企業法人。因為沙賓法案規範是針對與財務報表有關的內部控制。
內部控制的目的是什麼?其實就是降低風險。企業面對的風險千百種,但我們仔細分析過,多數都是來自企業內部,因為自己沒有管理好,而讓自己陷於危險的局面。例如,現在企業使用SAP企業管理系統時,最常遇到就是分享ID(帳號)的問題。因為SAP授權一個ID要兩、三萬美元,如果每個人都有一個,那還得了,所以就弄一個,大家來分享。但是,分享時往往會產生一個狀況,就是你做的事情跟我做的有衝突。最簡單的例子,就是管錢的人不管帳,但如果分享一個ID,這裡面就有很大的風險,員工自己做筆交易出來,就可以把錢轉出去了。
目前美國統計,站出來主動對外宣布,擁有良好的內部控制的企業,與宣布自己在內部控制上有重大缺失的企業相比,就股價而言,會有五%到六%的價差,而有重大缺失的比率,約占四分之一的上市企業。
要做好符合沙賓法案的內部控制,整體而言,需要設置四百到六百個控制點,檢查公司內部的作業程序,這數字比以前至少增加四○%到五○%。因此你可以想像,從三百個控制點,增加到六百個控制點,企業要付出的成本非常大。
除了控制點增加外,企業找尋外部顧問也是成本。當企業花一個小時,找外部顧問進來開會時,公司員工也得花一個小時陪著顧問,而且,這還沒有加上事前準備的時間。所以,公司付出去的開銷,絕對不是表面上看到,付給顧問費用而已。
目前,為執行沙賓法案,通常會分為三大階段:文件化(Documentation)、評估(Evaluation)與矯正(Remediation)。這三階段要做到完整,少則五、六千個小時,多則上萬個小時,最起碼都要花費新台幣五千萬元。以我做過的案子為例,一家在美國ADR(美國存託憑證)掛牌的晶片設計公司,光是花在顧問的時數,就已經到五千六百小時,這還不加上他們自己必須付出的時間。另外,自我評估的方法也差異很大,企業可以自己找內部員工執行,另外也可以請一大堆人來做自我評估,效果跟品質當然不一樣。我曾經遇到一個大型客戶,去年光是做自我評估的部分,如果交給一個人做就得花上一萬個工作天。
但是,以花費來說,公司規模還不是主要原因,反而是組織的複雜程度,以及業務項目的多樣性。如果組織夠複雜,即使規模很小,例如台北跟上海的營運模式不同,那就必須在兩個地方各做一套;再以業務形態為例,中華電信有固網、行動、網路等不同事業單位,不能用同一套的內部控制機制,其中光是收入循環一項,複雜度就會非常高。
我觀察,在執行內部控制時,有兩個門檻比較難達成,一個是內部控制的嚴謹度、第二則是內部控制的自我評估。沙賓法案執行後,要求每個會計科目的完整性、正確性等,都要跟內部控制緊密結合,這在過去是從來沒有發生的。所以,企業主會覺得,我有需要做到這樣嗎?比如說,為了確保資料正確,員工將單據輸入後,要有另外一個人檢查是否正確。但一般公司為講求效率,輸入完之後,就進行下個流程,老闆們會認為:如果真的有錯,客戶就會來抱怨。這其實是企業主的觀念問題,他們不願意多花一個人的成本,找來就只為了檢查輸入的正確性。
另外在自我評估上,目前美國要求的方法,基本上與會計師查帳的方法差不了太多,必須建立一個有效的抽樣機制。但是,不是每個人都做過查帳員,受過查帳的專業訓練,一旦要去抽樣,還要能夠評估抽回來的樣本,是否具有效力,這其實是非常高難度的,也是自我評估能否落實的關鍵
內部控制演進趨勢─美國沙賓404法案
致遠會計師事務所
企業風險管理部
序言
幾年前的安隆案事件,讓許多投資者的信心在一夕之間崩潰,為了重建投資者的信心,美國沙賓法案(Sarbanes-Oxley Act of 2002)因應而生,其中攸關企業內部控制的相關規定中,以法案中第404條之影響為最 (以下簡稱 SOX 404)。因相關規定十分複雜且需要詳細的規劃、設計及執行,導致許多公司為此備感困擾。Ernst & Young (以下簡稱 E&Y) 根據美國100 間大型企業針對 SOX 404所進行的相關活動,展開一系列的調查研究,歸納出各公司在遵循 SOX 404 時所面臨的問題,並進而提出因應方案。有鑒於SOX 404 法令的生效日期逐漸逼近,E&Y 藉此機會分享美國這100間大型企業在執行整個 SOX 404專案中的完成狀況,並深入探討論專案所面的問題。
概觀SOX 404專案程序
整體而言,實施SOX 404 專案可分為兩大階段: 計劃 (Planning) 與 執行 (Execution)。其中執行階段,尚另外涵蓋文件化 (Documentation)、評估 (Evaluation) 與矯正 (Remediation)等程序。根據 E&Y 的研究報告顯示,目前絕大部分的受訪公司仍在進行文件化程序,只有少部份受訪公司已在進行最後的評估與矯正程序。
有70% 之受查者表示,對於執行 SOX 404 專案共投入了超過 10,000 人工小時的精神;36% 則表示有可能會再額外增加 25,000的預算人工小時。而預算小時資增加的原因,主要是肇因於企業在執行SOX 404專案前並未明確的訂定專案方向與查核範圍所致。故為能有效執行SOX 404 專案,專案初期的溝通階段是非常重要的。
其他影響專案執行的因素尚包括:專案經理人、專案小組成員及專案管理方式,這些皆是有效執行SOX 404專案的輔助工具。若能在專案執行之初,針對區域性、技術性、企業複雜度、現有內部控制文件及專家顧問需求程度等因素加以考慮,並由專案執行委員會( Steering Committee )對專案小組成員的角色給予明確的定位,以及依需求給予適當的資源分配,必能更有效的執行SOX 404 專案,以達到最好的效果。
在今日對於財務專家及企業流程專家的需求日益增加的趨勢下,許多成功的 SOX 404 專案,其成員係由企業內部稽核及外部具有相關經驗之專家顧問所組成,許多企業已漸漸意識到SOX 404專案之專業需求,進而選擇與外部專業顧問團隊合作,試圖將財務控制、電腦化作業、稅務及其他相關資訊導入專案整體規劃中。而當SOX 404專案團隊獲得企業高階主管 (如:CEO、CFO) 的認同與支持時,將可大幅提昇整體專案運作之有效性,簡化由主管聲明、專案執行、評估至最後報告階段中穿插溝通的複雜程度。
一般來說,科技技術 (如:電腦化作業) 在實施 SOX 404 專案時佔有非常重要的地位,執行查核應用軟體 (如:分散式之應用軟體) 所需要的精神與時間是不可被低估的。未來,企業內具主導地位之電腦化作業勢必要與企業現有之其他系統作結合,以提供即時的處理及控管功能,在適當的責任授權下,於短時間內針對關鍵問題提出電腦制式化報告供高階主管使用。
企業現狀
針對SOX 404 專案的執行進度調查發現,超過一半之受訪企業處於文件化 (Documentation) 的階段,少數海外企業則是處於專案規劃階段 (Planning),只有四家受訪企業表示已處於最後階段 (Testing and Reporting)。整體而言,除了金融服務業執行SOX 404 專案的進度明顯較其他業界超前外,其餘企業不論規模大小,其執行SOX 404 專案的進度並無顯著的差別。
另外,對於企業整體層面的評估,以往的評估方式多半依據企業之內控文件及企業文化而定,對於關鍵控制點的稽核,許多企業係以會議的方式達成控管效果,例如,以預算會議相關記錄作為查核證據。在此情況下,若能結合來自專業顧問團隊不同的稽核技巧,將能有效提昇整體控制制度中的證據品質。
在 E&Y 調查的美國100家大型企業當中,48% 之受訪企業擁有多樣化及高複雜度之作業系統,企業現有之控管方式已不足以應付實際環境的複雜度,故需要結合外部專業顧問團隊的經驗,以協助其執行SOX 404 專案。E&Y 估計許多企業將把其注意力集中於方案變化、存取控管測試及因應措施方案以提昇系統之信賴度。
以上是 E&Y 對於業界執行沙賓 404 法案的相關研究,主要目的係為了提供讀者對於 SOX 404專案實施的概觀及對企業界之完成狀況有一初步了解,並幫助讀者提昇對沙賓 404 法案之理解
2
2002 年的沙賓法案 (SOA) 明定企業組織必須以文件記錄各項財務政策與流程,以改善財務報告的權責制度,提高製作財務報告的效率。 這項法案的主要目是要加強企業管理,恢復投資人的信心。
SOA 同時也提出了幾項已經預見的挑戰:
· 管理成本與 IT 成本越來越高
· 員工必須浪費時間來記載文件以符合法規要求
· 多方協同合作的需求越來越高
· 縮短報告的週期,可能減少簽核,提高錯誤發生的風險
· 企業系統太多,實際營運作業與資料很難一致
企業組織只要將不一致的流程換成採用智慧型文件的解決方案,將政策文件記錄與流程自動化,在時間要求內製作出精確的財務報告,降低達成符合 SOA 要求的成本。
當前的挑戰
90 年代末,投資人面臨了一些令人不安的新聞:在某些案例中,他們所看到的快速成長,竟然是用可疑的會計手法,甚或是直接的詐騙行為所造成的假象。企業醜聞充斥著頭版頭條,不僅加重了他們對經濟不穩定的憂心,亦打擊了投資人的信心。
為了減輕投資人的疑慮,並提供更有效的管理制度來經營企業,美國國會在 2002 年 7 月 30 日,將「沙賓法案」納入法律。雖然還有一些特別條款仍在形成中,但它所要傳達的訊息是很明確的,那就是:遵守「沙賓法案」不僅提高您企業的信用,也是您必須遵循的最高指導原則之一。
沙賓法案是為了重建投資大眾的信心並對公司財報是否有足夠的公開資訊並加強監控而發展的法案。而今大多數人對其的期望以及其包含的範圍,也都遠超過最初的設計了。
302 條款
302 條款自 2002 年 8 月開始實施,其要求 CEO 及 CFO 個人要對出每季及每年的財務報告背書並負責確保其正確性。美國大部份的大型公司都會遵守這項法令。雖然有那些證明,但仍有很多公司會為其財務報告的品質感到憂心。為了協助客戶達到「美國沙賓法案」的要求,「IBM 企業咨詢服務部」為您列出了有關遵守「302 條款」的關鍵性議題:
· 報告本身的限制。手工試算表與半人工的處理程序難保不出錯,是否正困擾著您?
· 資訊的完整度。報告的定義及/或計算結果不一致,您是否感到煩惱嗎?
· 公司的治理及責任。守法的問題會影響到公司的各個層面;您已安排好適當的資源,確定他們都適得其所嗎?所有事業單位及附屬公司是否全都依循法規在執行,讓所有高階主管的明確責任都能夠精確且完整?
· 緩慢的結案程序。在處理有關「美國沙賓法案」的問題時,時間是最重要的。您的基礎架構是否拖累了向外界報告的時間嗎?
404 條款
「美國沙賓法案」的條款中,最讓您感到憂心的應該是「404 條款」,它要求您的公司提供有關內部控管的年報,並由外部的帳務審查公司來證明。導入「404 條款」所帶來的挑戰包括:
· 控制管理不足。您在處理內部控制的定義、記錄、測試、監督及加強等工作時,所採行的相關程序是有效的嗎?
· 職權界定不明。這項新法案創造了一位掌管新責任的主辦人;誰在您的組織中負責哪些事呢?
· 文件管理策略落後。當您努力要達到「美國沙賓法案」的要求時,舊的內容和文件管理策略會為您帶來困擾嗎?
· 對「帳目不清」的審核追蹤鬆散。您因為文件、資料一致性或其他內部控制的連結鬆散,對「帳目不清」的問題感到頭痛嗎?
409 條款
「409 條款」仍在建構中,但是有些公司已經開始為可能的重大影響做準備;基本上它會要求各公司「即時」公開有關其財務狀況或運作的任何重大變更。
一旦 409 正式通過並導入,您會遭遇到什麼樣的挑戰呢?
· 監督能力不足。如果現在光是監督配合法令的活動和進度,就已經讓您煩惱不已,409條款是否讓您更易出錯呢?
· 變化不明顯或能見度受限。如果您公司的績效產生了重大變化,而您自己沒有馬上發現,您如何能夠快速地將這些變化公諸於世?
· 缺乏預測能力。您對公司的每一個點的業務績效有清楚的瞭解嗎?
· 溝通管道錯綜複雜。您公司的基礎架構缺乏適當的媒介來報告即時的重大事件嗎?若是如此,將很難達到 409 的要求。
· 組織文化。您的組織是否不敢向上級報告壞消息?這種心態讓領導者無法察覺到可能發生的重大事件,因為您的員工會等待並希望明天、下個月甚或下一季可以交出更好的成績來抵銷負面的事件。
IBM 可以協助您達到「美國沙賓法案」的要求。我們的「財務管理」服務結合了策略、方法及科技,支援您對「美國沙賓法案」所採取的行動,並協助您轉換商業流程,成為即時、隨需應變的環境,以為長久的成功打好基礎。
公司落實了沒
國內的內部控制在落實上可分為二種:一個是在設計上要能夠預防風險的發生,另一個則是能夠實際的落實,國內最普遍的現象是在落實的執行上較有問題,也因為這樣,結果也沒有真正做好內部稽核的工作。
若從美國的沙氏法來看,大部份會比較著重在公司層級的控制,包括整個企業的監督機制,可是這部份在國內到目前為止還是沒有串連的很好,例如從董事會、審計委員會等單位透過內部稽核自我評估的機制,來監督企業的內部控制是否有落實,但也因為這之間的關係沒有串連的很好,久而久之,企業的上層也沒有把內部控制當成是重要的,反而變成是形式上來應付法規的要求,不過現在比較好的是,有些企業己經開始協同專業人士來成立內部控制制度及督促和落實。
另外,美國的沙氏法規定每年都要做一次稽核,來了解企業在內部控制的落實為何,因為有人監督,所以企業自然會自我要求。但以國內的制度來說,一開始在公開發行時會有會計去做內部控制的實審,之後則是由企業自己自我評估、稽核及管理當局的內控說明書等方式來運作,等主管機關看到有問題時再找會計師去做專案的查核,但這會有時點的問題,也就是會有當發現問題已為時已晚的情況產生,所以應該是要建立一個較以平常性為稽核的制度,幫助才會較大。
檢視五步驟,確認落實度
對於已實施內部控制的企業來說,是否可確實的達到舞弊防制的效果,可由五個步驟來檢視:
1.檢視企業現有的內部控制:確認企業的內部控制是否齊全,再從中尋找是否有防制舞弊機制須改善的地方,一般來說,企業會成立專案小組,再跟監察人和外部稽核專家做持續的溝通,來檢查現有的內部控制作業是否夠嚴密,所以內部控制的檢視,要不斷的進行;
2.執行舞弊風險的評估:先依各業務循環劃分評估範圍,並建構公司完整的舞弊風險清單,再將公司舞弊風險與現有內部控制制度相連結,以找出內部控制制度設計上的缺失;
3.評估現有內部控制制度的有效性:在進行評估之前,除了要先設定客觀的評估標準,也要確保評估作業能夠在一致性的原則下進行,再以COSO內部控制架構對整體內部控制制度進行完整的評估;
4.評估內部控制待改善範圍:必須聚焦在可能會出現舞弊風險的地方,因為舞弊風險無法藉由內部控制制度來排除串謀的可能性,尤其是現在的企業因為高度電腦化的關係,電腦的資訊安全機制是否能有效受到規範,這就必須要依靠外部的專家(例如IT人員)來協助執行,以確保企業的資訊環境安全;
5.制定標準化的舞弊調查及矯正措施:針對影響程度不一的不當舞弊行為,應該要建置符合企業需求的標準化舞弊調查機制,以確保舞弊控管的效率,而舞弊調查也要配合適當的矯正措施(例如獎懲制度),來降低因舞弊行為而引發的損失。另外,此部份還需透過獨立董事、獨立監察人、審計委員會的設置,以及提高內部稽核單位的位階,並加強其獨立性,和外部稽核專家的參與等單位在職能上的發揮,才能達到預防舞弊發生的效果。
導入BS7799 標準─企業責無旁貸
什麼是防止駭客入侵網路、將病毒阻絕於外並將整體安全漏洞降至最低的最佳方法?英國標準協會 (British Standards Institute,簡稱 BSI),希望能透過 BS7799替所有企業 (不限英國境內) 解答這個問題。BS 7799 是一套完整的計劃,能有效建構資訊安全防護機制。IT 專業人員可將這套資訊安全標準規則當作藍圖,依其導引制定企業的安全政策與程序。
BS7799 首度於 1995 年公諸於世,企業只要作到 BS7799 的要求,並通過獨立稽核機構評鑑,便可獲頒 BS7799資訊安全認證,向其客戶與合作夥伴宣告,該企業網路內與他們相關的資料都受到適當的保護,而且該企業整體的安全度也值得信任。許多機構有感於面臨的安全威脅有增無減,也開始依照 BS7799 的規定施行,他們的目的不見得是要獲得認證證書,只是把 BS7799 當作最佳指導原則而已。
此套標準已廣為許多國家接受,包括澳洲、南非、紐西蘭、荷蘭與挪威等等。事實上,英國政府於 1998 年版的資料保護法案 (於 2000 年 1 月開始實施) 中,便建議英國境內企業應採用 BS7799,以便符合該項法案的規定。
※ 註:(1) ISO 17799已於2000年12月正式成為ISO標準
(2) BSI已於2000年公佈 Draft BS7799 Part II:2002供各界評估
瞭解 BS7799 條文
BS7799 共由三個主要部分組成:標準施行規範 (又稱最佳安全實務準則)、資訊安全管理系統標準規格、以及認證程序。導入 BS7799 並完成接受認證的準備工作,預估大約需要六到九個月的時間,視 IT 基礎架構的複雜程度而定。
第一部份:最佳實務準則
在最佳實務準則這個部分,共列舉了組織中十個最主要的部分、127 條控制項目與超過 500 條安管細項,以協助企業保護其資訊資產。第一部份主要著重在風險管理,目標為協助企業預先規劃安全政策,其中制定的控制項目不見得全部適用於每一個企業,但 BS7799 會協助閱讀者找出適用於其業務的部分。企業若要通過獲得認證,必須詳細敘述哪些控制項目不在其安全政策涵蓋範圍內,並提出充分的理由予以解釋。納入安管的項目包括網際網路使用方式、電子商務、電信通訊、行動運算、法律考量與人力資源等等。
第二部分:資訊安全管理
BS7799 的第二部分協助 IT 人員根據企業目標評估其網路資產,並排出優先順序,然後將這些資產整合到安全計劃,也就是資訊安全管理系統內。安全計劃包括四個階段:風險評估、風險管理、導入防護措施與適用條款。
· 風險評估:指的是分析資訊資產可能遭遇的各種狀況,及發生安全事件對企業目標可能造成的影響,例如具有惡意程式碼以及未經許可便進入網路的行為,都算是可能遇到的風險。
· 風險管理:指的是得以讓企業減低風險的計劃。風險管理使用的方法不限定於防火牆之類的網路防護措施,還包括實體安全、管理程序、突發事件應變計劃與人力資源規劃等等。
· 防護措施:指的是企業為了降低風險而規劃並建置的實際工具與資源。
· 適用條款:企業的安全計劃,是通過 BS7799 認證的必要條件,其中載明企業實際付諸實行的控制項目,以及為何挑選這些控制項目並加以實施的理由;此外,企業也必須列出 BS7799 內哪些控制項目並未受到引用施行,同時提出充足適當的理由加以解釋。
認證程序
企業必須通過安全稽核程序,才能獲得 BS7799 認證。由於接受稽核的準備工作非常繁雜,且所需時間長達半年到九個月,因此許多企業選擇僱用安全顧問協助他們進行這些準備工作。認證稽核共包含兩個部分。首先由接受委託的獨立稽核機構分析企業提出的適用條款,審查該企業對 BS7799 各條款的篩選是否合理,大約只要兩天即可完成。六個星期後,同一稽核機構會到企業現場勘查,評估企業安全政策與程序的施行成果以及企業對 BS7799 所有控制項目的遵循程度。稽核機構會檢驗企業採行的技術,並與各部門員工進行面談,以全盤了解企業實施的安全政策。稽核程序的第二步驟約需要一個星期。當企業通過稽核程序後,發證單位便會發給認證,而且以後每隔一段固定期間,企業都
必須重新接受稽核程序檢驗,才能繼續保有其獲得的認證資格。
BS7799 為企業帶來什麼好處?
BS7799 認證能為企業帶來許多重要的策略與營運優勢,包括:
· 強化企業安全:透過 BS7799 認證程序,可減少企業網路的弱點,並提高企業的風險控管能力。減少弱點意味著較少的安全漏洞,詐騙行為、財物風險與法律風險也會跟著減少,當然網路的連續運作時間與客戶信心也會隨之提高。
· 提高安全規劃效率: BS7799 列舉了分屬於十項領域共 127 條控制項目及其控制細項目,導引企業如何進行人力資源、法務與突發事件應變的規劃。這些針對資訊安全而提出的全面性詳細建議,可使得企業開始導入安全措施時,作到更完善、更容易管控且非常符合經濟效益。
· 提高安全管理成效:所有企業都必須開始制定或重新檢視其資訊安全政策與程序。與企業一般的安全計劃不同的是,BS7799 已證實是資訊安全的最佳實務準則法則。諸如 BT、HSBC、Marks and Spenser、Shell International 與 Unilever 都對 BS7799 的制定多所貢獻,並且在實際商業環境中測試過其成效。
· 持續保護:企業經過認證後,稽核機構的持續檢驗與BS7799的更新,將確保企業隨時了解最新的弱點以及最佳的實務準則法則。
· 改善合作關係:為了讓企業網路受到更好的保護,同時又要能進行電子資料交換(EDE),企業可以BS7799認證作為合作夥伴與供應商的安全要求。
· 安全的電子商務: BS7799 等於是一個安全徽章,無論是財務機構或電子商城,消費者都能輕易分辨出哪些是經過認證值得信賴的電子商務公司。
· 提高客戶信心:隨著客戶與廠商對網路安全漏洞愈來愈謹慎,他們也會開始尋求具體的安全保障,BS7799 認證能提供他們需要的信心。
· 提高稽核投資報酬率(ROI): BS7799 包含了一套認證程序與委託稽核機構。未來當 BS7799 成為業界標準時,便會有愈多的委託獨立稽核機構協助企業遵循稽核程序,以進行安全政策的檢測與評估,而安全稽核也會愈來愈準確可靠。
· 降低法律風險:企業通過 BS7799 認證後,將可減少因為安全突發事件而面臨的法律問題,因為法庭將會把企業符合該項標準的事實,認定為企業已經做到足夠程度的安全防護。
維護網路安全以保護資訊資產,已經是現今所有企業都非常重視的一部份,但建構並制定完整的安全政策畢竟不是件容易的事,幸好有 BS7799 這類網際網路安全標準程序,協助 IT 人員以更有效率的方式管理網路安全,以便獲得更佳效果。隨著企業每天面對的安全威脅有增無減,問題已經不再是「為什麼要導入 BS7799」,而是「為什麼不導入 BS7799」了。
美國從2001年底爆發安隆會計弊案後,促使參眾兩院在2002年7月通過了沙賓法(Sarbanes-Oxley Act of 2002),以期積極強化公司治理(governance)與責信(accountability),恢復投資大眾信心。雖然,沙賓法案(Sarbanes-Oxley Act)的適用對象,僅限於美國掛牌上市之公司和美國企業之海外分支機構及子公司。然而,幾位法學與財務背景的專家表示,公益組織應該以相同的標準,要求自身的運作。
這樣的倡導緣起於美國兩家著名的公益組織BoardSource、獨立部門(Independent Sector),於日前共同發表一份聲明文件,名為:「沙賓法對公益組織的意涵」(The Sarbanes-Oxley Act and Implications for Nonprofit Organizations) 。期許公益組織領袖仔細地了解沙賓法案的各項條款,並決議是否應該自發地採納其中的規範與精神。
為了協助公益組織領導者了解此法內容並激發討論,這兩個組織在11月份,針對此議題進行一系列的電話會議。其中一位參與人是現任華盛頓律師Marc Owens先生(先前任職於美國國稅局),他說:「如果董事們了解董事會的重要性,他們就能夠了解誠實且理性的治理之必要。」。
就企業責任上,沙賓法強制公開發行公司(Publicly traded companies)設置審計委員會(audit committee),並規範該委員會由獨立董事組成,亦即,沒有擔任公司管理層級職務,也不支薪者。 其主要目的是確保審計人員之獨立性,賦予審核公司財務記錄的權限與自主性,並監督經理人的工作成效。
再則,此法要求負責審核公司帳目的合夥人,以五年為任期進行輪替,並禁止任何已註冊之公開會計師事務所,同時提供公開發行公司審計及非審計服務。所謂非審計服務包括:簿記業務、與審計無關之法律服務或精算服務、投資顧問或投資銀行服務…等。更嚴格化管理階層對於財務報告之責任,要求CEO與財務總長確保對外發佈的財務報表,公正且準確地呈現實際的財務現況。
Owens先生提供公益組織運用此法的一套多層次途徑。舉例來說,任何一個組織都可以草擬有關如何避免利益衝突(conflict-of-interest)的方針,或者,要求每筆帳目須有兩個人簽核,作為初步的管控。倘若組織規模夠大,且無損於其設立宗旨時,甚至可以出版年度財務報表,或聘請外部審計人員。Owens先生認為,成立審計委員會對於公益組織而言,是合乎常理的。他說:「審計委員會的成員,應當不同於財務或投資委員會的成員,因為審計委員的責任是監督其他委員會是否克盡職責」。
排名全美第八大會計師事務所的美國運通稅務服務公司(American Express Tax and Business Services,簡稱TBS),其紐約區公益部門總經理Ian Benjamin說道,也許審計與財務委員會的功能,未來仍有重疊的可能。他說,這種例外的情況,將發生於審計委員會不再扮演監督投資業務的角色。「每個組織都需要仔細小心地自我檢視,再決定由誰擔任審計監督的職務。」,他說。
不過,與會者對於公益組織的執行長,在審計委員會的角色扮演,抱持不同的意見。Owens先生主張執行長不應該有任何形式的參與,以維護委員會的獨立性。而Benjamin先生則認為,執行長與財務長都應該列席,只有在涉及他們的工作表現討論時,需要離席。
最後,Owens先生表示,沙賓法有兩個條款,的確適用於公益組織。其一,保護舉發不法情事者:對於任何法人,不論營利與否,處罰或報復那些揭露可疑的詐欺案件或弊案的員工,是違法的。其二,禁止任何人竄改或銷毀相關文件,如有此情事,則應負起刑事責任。
參考資料:Stephen G. Greene, “Nonprofit Groups Urged to Follow Governance Act”, The Chronicle of Philanthropy. October 30, 2003. ( http://philanthropy.com/premium/articles/v16/i02/02006001.htm )
沙賓法案的內控成本
從今年七月十五日起,美國沙賓法案(Sarbanes-Oxley)已開始適用於在美國掛牌的外國企業,如台積電、聯電、友達、中華電、日月光、矽品、旺宏、福雷電等,其他像是廣達、仁寶等跨國大型製造商,則因與美國企業有生意往來,也必須注意相關規範。目前也有消息指出,日本將在明年提出類沙賓法案的規定,到時勢必影響在日本上市的台灣公司,或是與日本生意往來密切的企業。
美國在二○○二年爆發安隆(Enron)、世界通訊(WorldCom)上市公司財報不實,以及公司管理失當的醜聞之後,讓許多投資者的信心在一夕之間崩潰,為了重建投資者的信心,美國主管當局決定制定沙賓法案。這是一九三三年之後,對美國證管局、公開發行公司及會計師影響最重大的財經改革法案。
所謂沙賓法案,就是美國證管會所監管成立的公開公司會計監督委員會(PCAOB)所建立的審計、品質控管會計事務所與會計師的調查與懲戒制度,凡是在美國上市的公司,都必須要遵守這項規定。而在沙賓法案眾多條文中,對公司影響最大的是四○四條款。
根據美國證管會規定,公司管理階層須提交一份內控自評報告,且經會計師審核。此外,還須成立審計委員會,而會計師可越過公司執行長(CEO)等高層主管,直接向審計委員會報告;公司須定期更換會計師;揭露支付會計師的費用;掛牌企業的所有海內外關係企業、工廠、辦事處、分公司財報都須符合規定等。若執行長、財務長等高層主管,有財報申報不實的情形,會被處二十至二十五年的刑期。
過去,在美國上市的企業,從未被要求建立類似台灣「內部控制」法令的管控制度;其實,過去雖然有管理的概念,但多不是以「內部控制」的模式出現。一般而言,在美國上市多年的企業,都會擁有一個非常多、非常詳細的作業手冊,但這本手冊的管理概念,與台灣熟悉的內部控制制度有些不同。因此,沙賓法案的出現,徹底改變過去對企業內部控制的看法。
沙賓法案主要管理對象是在美國上市的企業,包含美國上市的當地或是外商公司。「在美國上市」看似單純,但實際影響層面遠大於在美國有上市的企業法人。因為沙賓法案規範是針對與財務報表有關的內部控制。
內部控制的目的是什麼?其實就是降低風險。企業面對的風險千百種,但我們仔細分析過,多數都是來自企業內部,因為自己沒有管理好,而讓自己陷於危險的局面。例如,現在企業使用SAP企業管理系統時,最常遇到就是分享ID(帳號)的問題。因為SAP授權一個ID要兩、三萬美元,如果每個人都有一個,那還得了,所以就弄一個,大家來分享。但是,分享時往往會產生一個狀況,就是你做的事情跟我做的有衝突。最簡單的例子,就是管錢的人不管帳,但如果分享一個ID,這裡面就有很大的風險,員工自己做筆交易出來,就可以把錢轉出去了。
目前美國統計,站出來主動對外宣布,擁有良好的內部控制的企業,與宣布自己在內部控制上有重大缺失的企業相比,就股價而言,會有五%到六%的價差,而有重大缺失的比率,約占四分之一的上市企業。
要做好符合沙賓法案的內部控制,整體而言,需要設置四百到六百個控制點,檢查公司內部的作業程序,這數字比以前至少增加四○%到五○%。因此你可以想像,從三百個控制點,增加到六百個控制點,企業要付出的成本非常大。
除了控制點增加外,企業找尋外部顧問也是成本。當企業花一個小時,找外部顧問進來開會時,公司員工也得花一個小時陪著顧問,而且,這還沒有加上事前準備的時間。所以,公司付出去的開銷,絕對不是表面上看到,付給顧問費用而已。
目前,為執行沙賓法案,通常會分為三大階段:文件化(Documentation)、評估(Evaluation)與矯正(Remediation)。這三階段要做到完整,少則五、六千個小時,多則上萬個小時,最起碼都要花費新台幣五千萬元。以我做過的案子為例,一家在美國ADR(美國存託憑證)掛牌的晶片設計公司,光是花在顧問的時數,就已經到五千六百小時,這還不加上他們自己必須付出的時間。另外,自我評估的方法也差異很大,企業可以自己找內部員工執行,另外也可以請一大堆人來做自我評估,效果跟品質當然不一樣。我曾經遇到一個大型客戶,去年光是做自我評估的部分,如果交給一個人做就得花上一萬個工作天。
但是,以花費來說,公司規模還不是主要原因,反而是組織的複雜程度,以及業務項目的多樣性。如果組織夠複雜,即使規模很小,例如台北跟上海的營運模式不同,那就必須在兩個地方各做一套;再以業務形態為例,中華電信有固網、行動、網路等不同事業單位,不能用同一套的內部控制機制,其中光是收入循環一項,複雜度就會非常高。
我觀察,在執行內部控制時,有兩個門檻比較難達成,一個是內部控制的嚴謹度、第二則是內部控制的自我評估。沙賓法案執行後,要求每個會計科目的完整性、正確性等,都要跟內部控制緊密結合,這在過去是從來沒有發生的。所以,企業主會覺得,我有需要做到這樣嗎?比如說,為了確保資料正確,員工將單據輸入後,要有另外一個人檢查是否正確。但一般公司為講求效率,輸入完之後,就進行下個流程,老闆們會認為:如果真的有錯,客戶就會來抱怨。這其實是企業主的觀念問題,他們不願意多花一個人的成本,找來就只為了檢查輸入的正確性。
另外在自我評估上,目前美國要求的方法,基本上與會計師查帳的方法差不了太多,必須建立一個有效的抽樣機制。但是,不是每個人都做過查帳員,受過查帳的專業訓練,一旦要去抽樣,還要能夠評估抽回來的樣本,是否具有效力,這其實是非常高難度的,也是自我評估能否落實的關鍵
內部控制演進趨勢─美國沙賓404法案
致遠會計師事務所
企業風險管理部
序言
幾年前的安隆案事件,讓許多投資者的信心在一夕之間崩潰,為了重建投資者的信心,美國沙賓法案(Sarbanes-Oxley Act of 2002)因應而生,其中攸關企業內部控制的相關規定中,以法案中第404條之影響為最 (以下簡稱 SOX 404)。因相關規定十分複雜且需要詳細的規劃、設計及執行,導致許多公司為此備感困擾。Ernst & Young (以下簡稱 E&Y) 根據美國100 間大型企業針對 SOX 404所進行的相關活動,展開一系列的調查研究,歸納出各公司在遵循 SOX 404 時所面臨的問題,並進而提出因應方案。有鑒於SOX 404 法令的生效日期逐漸逼近,E&Y 藉此機會分享美國這100間大型企業在執行整個 SOX 404專案中的完成狀況,並深入探討論專案所面的問題。
概觀SOX 404專案程序
整體而言,實施SOX 404 專案可分為兩大階段: 計劃 (Planning) 與 執行 (Execution)。其中執行階段,尚另外涵蓋文件化 (Documentation)、評估 (Evaluation) 與矯正 (Remediation)等程序。根據 E&Y 的研究報告顯示,目前絕大部分的受訪公司仍在進行文件化程序,只有少部份受訪公司已在進行最後的評估與矯正程序。
有70% 之受查者表示,對於執行 SOX 404 專案共投入了超過 10,000 人工小時的精神;36% 則表示有可能會再額外增加 25,000的預算人工小時。而預算小時資增加的原因,主要是肇因於企業在執行SOX 404專案前並未明確的訂定專案方向與查核範圍所致。故為能有效執行SOX 404 專案,專案初期的溝通階段是非常重要的。
其他影響專案執行的因素尚包括:專案經理人、專案小組成員及專案管理方式,這些皆是有效執行SOX 404專案的輔助工具。若能在專案執行之初,針對區域性、技術性、企業複雜度、現有內部控制文件及專家顧問需求程度等因素加以考慮,並由專案執行委員會( Steering Committee )對專案小組成員的角色給予明確的定位,以及依需求給予適當的資源分配,必能更有效的執行SOX 404 專案,以達到最好的效果。
在今日對於財務專家及企業流程專家的需求日益增加的趨勢下,許多成功的 SOX 404 專案,其成員係由企業內部稽核及外部具有相關經驗之專家顧問所組成,許多企業已漸漸意識到SOX 404專案之專業需求,進而選擇與外部專業顧問團隊合作,試圖將財務控制、電腦化作業、稅務及其他相關資訊導入專案整體規劃中。而當SOX 404專案團隊獲得企業高階主管 (如:CEO、CFO) 的認同與支持時,將可大幅提昇整體專案運作之有效性,簡化由主管聲明、專案執行、評估至最後報告階段中穿插溝通的複雜程度。
一般來說,科技技術 (如:電腦化作業) 在實施 SOX 404 專案時佔有非常重要的地位,執行查核應用軟體 (如:分散式之應用軟體) 所需要的精神與時間是不可被低估的。未來,企業內具主導地位之電腦化作業勢必要與企業現有之其他系統作結合,以提供即時的處理及控管功能,在適當的責任授權下,於短時間內針對關鍵問題提出電腦制式化報告供高階主管使用。
企業現狀
針對SOX 404 專案的執行進度調查發現,超過一半之受訪企業處於文件化 (Documentation) 的階段,少數海外企業則是處於專案規劃階段 (Planning),只有四家受訪企業表示已處於最後階段 (Testing and Reporting)。整體而言,除了金融服務業執行SOX 404 專案的進度明顯較其他業界超前外,其餘企業不論規模大小,其執行SOX 404 專案的進度並無顯著的差別。
另外,對於企業整體層面的評估,以往的評估方式多半依據企業之內控文件及企業文化而定,對於關鍵控制點的稽核,許多企業係以會議的方式達成控管效果,例如,以預算會議相關記錄作為查核證據。在此情況下,若能結合來自專業顧問團隊不同的稽核技巧,將能有效提昇整體控制制度中的證據品質。
在 E&Y 調查的美國100家大型企業當中,48% 之受訪企業擁有多樣化及高複雜度之作業系統,企業現有之控管方式已不足以應付實際環境的複雜度,故需要結合外部專業顧問團隊的經驗,以協助其執行SOX 404 專案。E&Y 估計許多企業將把其注意力集中於方案變化、存取控管測試及因應措施方案以提昇系統之信賴度。
以上是 E&Y 對於業界執行沙賓 404 法案的相關研究,主要目的係為了提供讀者對於 SOX 404專案實施的概觀及對企業界之完成狀況有一初步了解,並幫助讀者提昇對沙賓 404 法案之理解
2
全站熱搜
留言列表
