在应对SOX法案挑战过程中,我国公司应加强企业控制环境的建设。通过企业文化建设、制定行为准则和道德规范,引导员工确立并坚定正确的价值取向,公司各级管理者应当以身作则以体现其高水平的道德标准;要确定企业的管理基调、道德观和价值观,找到整个企业重视风险的依据;设定明确的企业总体目标和与之相配套的具体目标;确定合理的组织架构和恰当的职责分工;保持有效的审计委员会的存在,使审计委员会能在公司治理中发挥重要作用。
(二)加强对企业风险的管理
COSO委员会2004年9月发布的《企业风险管理综合框架》指出,企业风险管理是企业的董事会、管理层和其他员工共同参与的一个过程,应用于企业的战略制定和企业的各个部门和各项经营活动,用于确认可能影响企业的潜在事项并在其风险偏好范围内管理风险,对企业目标的实现提供合理的保证。企业风险管理包括八个相互关联的组成要素:内部环境、目标设定、事件识别、评估风险、应对风险、控制活动、信息与沟通和监督。AS2规定,公司管理层必须识别重要会计科目和披露事项以及相关财务报表认定中存在的重大错报风险,并实施控制程序以预防或发现可能导致重大错报的现象。对于必须具备有效的风险评估基础的公司,如果其风险评估有效至少应被视为重要缺陷,并且是实质性漏洞存在的明显迹象。
在西方发达国家中,公司风险和风险管理成为管理者关注的头等大事,风险管理成为企业的一个重要职能。而我国目前进行全面风险管理的企业基本还局限在金融、保险等高风险行业,大部分企业仍处于加强企业内部控制建设的阶段,尚未建立相应的风险管理机制对风险进行系统的管理,也未形成清晰的风险管理理念、政策和程序。在应对SOX法案挑战的过程中,我国公司应借鉴《企业风险管理综合框架》的规定来加强对风险的管理。企业的目标制定是风险管理的起点,在目标制定的前提下,公司应对影响目标的风险进行事件识别,进而对识别的事项进行风险评估,风险评估驱动风险应对,从而影响控制活动,信息与沟通和监督贯穿于企业风险管理的整个过程,并对前面的各个组成要素进行修正。
(三)注重对信息系统的控制
随着社会信息化程度越来越高,信息成为维持社会经济活动及生产活动的重要基础资源。现代企业中,信息技术控制已整合在公司的整体控制环境中,不仅公司的很多业务流程由信息技术推进,并且控制目标的达成在很大程度上依靠信息系统的自动控制,很多的控制活动取决于信息系统的数据合成。对多数公司而言,会计报表的完整性依赖于系统中信息传递的完整性、准确性和及时性。如果信息系统控制存在重大缺陷,系统就无法及时提供真实、准确、完整的信息,并不能有效支撑公司的业务发展。
我国公司在信息系统建设方面投资规模大,系统更新换代快,系统功能的复杂以及系统外部环境的复杂情况,都使信息系统面临更大的风险。因此,公司应加强对信息系统安全、操作、变更、开发等方面的控制,通过建立统一的管理政策、规范操作流程、形成相应的文档记录以及恰当的职责分工等降低信息系统的风险。有效的信息系统能够创建和记录企业内部业务流程,使公司的CEO、CFO、员工和审计人员能够实时识别、分配、测试并监视内部控制与流程,确保业务流程根据内部控制标准执行。一旦系统发现任何违规行为,将向相关人员自动报警。
(四)重视发挥内部审计职能
COSO框架中一个重要的组成部分是“监控”,这项职能是由内部审计来完成的,即对公司整个内部控制过程的有效性实施再监督,内部审计的工作性质在很大程度上代表了公司内部监管的好坏。同时,管理层对财务报告签署书面声明时,也必须评估内审的有效性以支持他们的声明,因此,公司董事会和高级管理层一定要重视和发挥内部审计的职能作用。
我国公司传统的内部审计功能主要定位在运营、舞弊调查以及特殊项目审计工作,因此内审人员缺少执行内部控制审计所必需的胜任力和经验,尤其是内部审计职能的独立性和客观性方面。由于很多公司的内审工作需要向管理层汇报,而不是向审计委员会汇报,这一汇报渠道使得内审部在执行业务时缺少客观性。
