萨班斯·奥克斯利法案

萨班斯·奥克斯利法案简述

萨班斯·奥克斯利法案是美国立法机构依据安然有限公司、世界通讯公司等财务欺诈事件破产暴露出来的公司和证券监管困难所立的监管法规，简称《SOX法案》或《索克思法案》。

萨班斯·奥克斯利法案全称《2002年公众公司会计改革和投资人保护法案》由参议院银行委员会主席萨班斯（Paul Sarbanes）和众议院金融服务委员会（Committee on Financial Services）主席奥克斯利（Mike Oxley）联合提出，又被称作《2002年萨班斯-奥克斯利法案》。该法案对美国《1933年证券法》、《1934年证券交易法》作出大幅修订，在公司治理、会计职业监管、证券市场监管等方面做出了很多新的规定。

萨班斯·奥克斯利法案的立法背景

2001年12月美国最大的能源公司之一安然公司，忽然申请破产保护，此后上市公司和证券市场丑闻持续，非凡是2002年6月的世界通信公司会计丑闻事件，“彻底冲击了投资人对资本市场的信心”（国会数据，2002）。美国国会和政府增速通过了该法案以图更改这一局势。法案的第一句话：“遵守证券法律以提升公司披露的精准性和牢靠性，进而保护投资人及其余目的。”

美总统小布什在签署该法案的新闻公布会上称“这是自罗斯福总统以来美国商业界影响最为深远的改革法案 ”。

萨班斯·奥克斯利法案最初于2002年2月14号提交给国会众议院金融服务委员会，到7月25号国会参众两院最终通过，先后有6个版本：2月14号、4月22号、4月24号、7月15号、7月24号、7月25号（最后版本）。

萨班斯·奥克斯利法案的首要内容

最后修订完稿的该法案共分11章，第1至第6章首要涉及对会计职业及公司举动的监管，包含：

建立一个独立的公众公司会计监管委员会(Public Company Accounting Oversight Board, PCAOB)，对上市公司审计执行监管；

通过负责合夥人轮换制度以及咨询与审计服务不兼容等提升审计的独立性；

限定公司高管人士的举动，改观公司治理结构等，以增进公司的数据责任；

增强财务数据的披露；

通过增长拨款和僱员等来提升美国证监会的执法能力。

第8至第11章首要是提升对公司高层主管及白领犯罪的刑事责任，比如，

针对安达信销毁安然审计档案事件，制订法规，销毁审计档案最高可判10年监禁，在联邦调查及破产事件中销毁档案最高可判20年监禁；

加深公司高管层对财务数据的责任，公司高管须对财务数据的真实性宣誓，供应不实财务数据将获10年或20年的刑事责任。

法案第7章要求有关部门在该法案正式生效后的指定日期内（一般都在6个月到9个月）提交若干份研究数据，包含：会计师事务所合并、信贷评等机构、市场违规者、（法律的）实施、投资银行等研究数据，以供有关实施机构参考，并作为将来立法的参照。

美国2001年到2002年度所暴发的各类公司丑闻事件中，企业治理阶层无疑应该负有最首要的责任，因此，该法案的首要内容之一就是清晰公司治理阶层责任（如对公司内部控制执行评估等）、特别是对股东所承受的受讬责任，同期，加大对公司治理阶层及白领犯罪的刑事责任。企业会计人士以及外部审计人士在这些事件中的负面作用，难以否定，比如，安然通过复杂的非凡目的主体安排，虚构利润、隐瞒债务，而世界通讯则是赤裸裸的假帐，提升财务数据的牢靠性，形成该法案的其他首要内容，法案的要求包含：

建立一个独立机构来监管上市公司审计

审计师定期轮换

全面修订会计准则

制订有关审计委员会成员组成的标准

要求治理层即时评估内部控制、更即时的财务数据

对审计时供应谘询服务执行制约等。

从全部法案的次序安排来说，这些内容排在前三章，而篇幅也胜过2/3。因此，该法案更像一个会计改革法案。

对萨班斯·奥克斯利法案的批评

对萨班斯-奥克斯利法案的批评，首要来自某些企业与美国金融业者。他们觉得该法案的一部分规定过于严格，放大了企业（非凡是小型企业）的审计成本，减弱了其它国家企业到美国金融市场上市筹资的爱好。

萨班斯·奥克斯利法案评论与启示

萨班斯·奥克斯利法案标志着美国证券法律根本思想的转变：从披露转向本质性管制。即使该法案立法匆忙，但它依然历经了将差不多20次的公开听证，同期，美国国会有关人士对该法案展开了较充分地争论，并尽或许地制约该法案对经济运行的负面影响。比如，针对Gramm提出的小型企业困难，法案保留了由PCAOB按个案审批豁免的权力（第201节）。

萨班斯·奥克斯利法案带给其余国家的启示

法律重在有效实施，才可起到预期的约束作用。美国公司治理阶层1980年代到1990年代的收入风险结构不合理，期权收益高、法律风险低，美国监管机构事后加大了对公司治理层的法律约束，相继对公司丑闻事件的当事人提起公诉。安然公司相继有数十人被起诉。安然的前首席实施官杰弗里·斯基林（J.Skilling）、安然的创立者肯尼斯·雷依(K.Lay)被起诉，2005年5月25号被宣判有罪，分别获185年和165年监禁。世界通讯公司的财务总监、创立者近期也被起诉。

建立合理、平稳的预期。人的举动在很大程度上建立在其对将来合理预期之上，而完善的法律制度将保障人建立该种预期的根据。美国公司治理阶层近乎贪婪的预期与其1980年代到1990年代的低风险不无关联。美国监管当局通过起诉与惩罚有错或者有罪治理者，以图形成一种新的预期：公司治理层需要自我约束。

政府适度管制。绝对无管制的市场轻易迈向极端和混乱。但前苏联及中国的财经监管历史也确认，高度管制同样不利于经济的成长。尽管安然等丑闻暴发，为政府介入、增强管制给予了绝佳的托词，但美国立法辩论过程中，仍有很大多议员对政府管制持审慎立场。美总统小布什大力推行的减税政策的经济思想也是：让市场自己运行，政府应该少把握资源、少介入经济。

萨班斯·奥克斯利法案下的内部控制框架思考

2001年末发生的安然事件等一连串财务丑闻，暴露了美国核查体系的严重缺陷，而上述核查体系原先是用来保护公众公司的股东、养老金受益人和员工的利益，并保护美国公众对资本市场的平稳、公正的信心的，安然等一连串事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失利事件，美国国会在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个大量的、新的监督体制，并会对财务数据的内部控制作为关注的具体内容。国会不仅要求治理层数据公司对财务数据的内部控制，而并要求外部审计师确认治理层数据的精准性。可以说，上述事件又一次让内部控制形成关注的重心。

对法案有关条款的回应

2002年7月公布的《萨班斯—奥克斯利法案》第404节（a），以及美国证券交易委员会（SEC）的相应实行标准，要求公众公司的治理层评估和数据公司近期年度的财务数据的内部控制的有效性。第404节还要求公司的外部审计师对治理层的评估意见出具“确认”，也就是说，向股东和公众供应一个信赖治理层对公司财务数据的内部控制描述的独立理由。法案的第404节以及103节，指导公众公司会计监督委员会（PCAOB）策划用以治理外部审计师的确认工作，并就治理层对内部控制的有效性的评估执行数据的行业标准。

2004年3月9号，PCAOB公布了其第2号审计标准：“与财务报表审计有关的针对财务数据的内部控制的审计”，并于6月18号经SEC准许。该标准关注对财务数据的内部控制的审计工作，以及这项工作与财务报表审计的关系困难。这项综合的审计会造成两份审计意见：一份针对财务数据的内部控制，另一份针对财务报表。对内部控制的审计涉及下方内容：评价治理层用于开展其内部控制有效性评估的过程 ； 评价内部控制设计和运作的效果 ； 形成对财务数据的内部控制能否有效的意见。

该标准的出台，会对组成有效公司治理基石的董事会、治理层、外部审计师与内部审计师造成深远的影响。正如PCAOB主席William J. McDonough所称，“该标准是委员会采取的最为重要、意义最为深远的审计标准。以往，内部控制仅是治理者考虑的事情，而当下审计师们要对内部控制执行具体的试探和检查。这一过程会对投资人起到重要的保护作用，由于牢固的内部控制是抵御不当举动的头道防护线，是最为有效地威慑舞弊的防范措施”。

另外，SEC对该标准的认同等于从此外一个侧面承认了1992年发起人组织委员会（COSO）下属的杜德威委员会发布的《内部控制—综合框架》（也称COSO框架）。这也显示COSO框架已正式形成内部控制的标准。这是COSO的巨大胜利，是COSO每个成员机构多年的不懈付出使这个框架得到了更大程度的认可。

第2号审计标准相关内部控制的规定。

第2号审计标准根据COSO策划的内部控制框架制订，在“治理层用于开展其评估的框架”一节中，清晰治理层要根据一个适宜且公认的由专家群体遵照应有的程序策划的控制框架，来评估公司财务数据内部控制的有效性。在美国，为治理层的评估目标供应的适宜框架就是COSO框架。诚然，其余国家也发布了一部分适宜的框架，如加拿大的COCO框架等。标准还表示，即使不同的框架或许没有精确的含有与COSO一样的构成要素，但他们所含有的构成部分涵盖了COSO的所有常规主题。所以，假如治理层运用了区别于COSO的适宜框架时，审计师应以合理的方式运用2号审计标准中的概念和方针。

标准觉得，COSO框架能证实出内部控制的三大首要目标，即经营的效率和效果，财务数据的牢靠性，以及遵守适用的法律和规章。而COSO以往对财务数据的内部控制看法不包含经营目标和合规性目标。然而，这两个目标与财务报表的表达与披露直接有关，有必要含在财务数据的内部控制中。而这三大目标全将对财务数据造成巨大的影响，是有关财务数据的内部控制的构成部分。另外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大构成要素，服务于上述三大目标。

诚然，PCAOB也敏感地意识到，为遵循第404节和第2号审计标准的要求所需的成本，会强加到很多公司（特别是中小型公司）身上，同期也预见到美国公司在遵循第404节要求的头一年要承受巨额的成本。究竟，按COSO框架设计和实行内部控制框架是需要投入的，公司内部的审计部门对内部控制的整体评估（不限于对财务数据的内部控制），以及外部审计师按标准规定对财务数据的内部控制和财务报表审计都需要大额的费用。即使内部控制的性质和程度很大程度上取决于公司的范围和复杂程度，但多数公司的前期成本投入是在所难免的。只然而大型复杂化的国际性公司很或许需要大量的综合性内部控制系统，而一部分小公司或业务较为单一的公司，因其高层治理团队的道德举动和核心价值平时就与内部、外部当事人执行互动，或许会降低对精心设计的内部控制系统的需要。PCAOB预计，审计师会运用合理的专业判定来决定对内部控制的审计程度，并开展那些必要的试探来确定公司内部控制的有效性。

然而，相对于以往各行其是的内部控制评估标准来看，PCAOB的工作对于规范化的内部控制设计、实行、监督、评估与持续改进是有巨大进步意义的，它使很多美国公司的各层治理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估给予了一个基础。更为重要的是，该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了不错的基础。究竟，内部控制监督过程需要审计委员会、高层治理者、外部审计师和内部审计师的共同参与。

对COSO框架的更深一步思考

纵观美国内部控制的成长史，不难看出其发展的每一个过程都与会计职业群体有深厚渊源。从1938年的“麦克森—罗宾斯事件”促使美国注册会计师协会（AICPA）公布内部控策划义起，到1977年美国国会公布《反国外贿赂法案》，到1992年COSO公布《内部控制—综合框架》，再到2002年美国国会公布《萨班斯—奥克斯利法案》以及PCAOB公布第2号审计标准，会计执业界都与此有紧密关联。诚然，目前为止集大成者还要属COSO框架。

正如前文所述，COSO框架在2004年形成了美国的内部控制标准，这与COSO策划该框架的初衷是相符的。COSO的提纲部分就声明公司的高级实施官长期以来一直在谋求更好地控制其所治理的企业。高级实施官对内部控制的爱好恐怕来自有效的内部控制是保证公司资产免受治理层、雇员或其余人的违法举动和相似错误引起的不利后果的最后屏障这个看似不可动摇的如果。而PCAOB也相信，为获取牢靠的财务报表，机构务必维持内部控制的运作，以便了解各类记录的精准性，各类交易和资产的处理的公允反应情形，并对各类交易记录的充分性供应保证，且收支工作都经治理层和领导者授权。如此，就能依据一般公认会计原则（GAAP）编制财务报表。内部控制的运作还能保证上述步骤的运作，以防止或发现对财务报表造成巨大影响的资产的盗用、未经授权运用或处置情形。简言之，假如公司治理层能确认其对簿记工作实行了适当的内部控制，用于编制精准财务报表的账簿和记录是充分的，并遵守了公司资产的运用规则，投资人就将对公司财务报表的牢靠性更为信任。

另外，当今世界此外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury数据、国际内部审计师协会（IIA）的SAC、信息系统审计与控制协会的（ISACA）的Cobit都与COSO框架紧密有关。中国相关部门策划的内部控制标准，包含证监会公布的“证券公司内部控制指示（2003）”、中国人民银行公布的“商业银行内部控制指示（2002）”、中国内部审计协会公布的“内部审计准则——内部控制（2003）”，其核心目标也与COSO框架一脉相承。

诚然，在肯定COSO框架价值的同期，我们也不应忽略一部分不同的意见。比如，早在1993年，AICPA下属的公众监督委员会（POB）就建议SEC要求在证券交易所登记的公众公司的治理层在其年度财务数据（向股东公布的年度数据）中包含一份与财务数据相关的公司内部控制系统有效性的数据。这个建议是想将COSO的内部控制标准用于有效性的评价。可当时SEC并没有采取这个建议。仍有，在COSO框架发布不久，美国审计总署（GAO）就曾对该框架的很多方面提出过批评，并指责这个框架有严重缺陷，其内部控策划义中缺乏保障资产的概念，还觉得这个框架对内部控制重要性的强调不够，丧失了改观内部控制监督和评估的可能。另外，对COSO框架最具考验的来自其自身的概念基础以及其余非会计执业界策划的标准。COSO框架声称，并没有是所有的治理责任均为内部控制的构成部分，因此将战略计划、目标设定、维持核心竞争力、董事会责任等要素消除在外。而很多公司的运营失利很多是因运营战略的失利，公司不具有效的治理结构，运营业绩显著差于业界平均水准所引起。显然，COSO框架对这些困难的关注是不够的，它将注重力汇聚在如何对外披露与财务数据相关的内部控制止。而PCAOB的第2号标准再一次加深了这个困难。之所以会出台如此的标准，我们不难想象。由于每一次公司危机全将使会计师承受重大阻力，他们力图让COSO框架形成公司内部控制的基础，以期来阻止财务数据的舞弊举动。

然而，会计执业界的上述制度安排，能否能有效规避其本身的风险呢？或者说，这自身能否就有风险？这是一个值得讨论的困难。究竟，对内部控制的理解是在持续演进的。伴随民众对内部控制越发熟悉，积攒的经验越多，他们对内部控制的理解就会随时间而更改，而这或多或少取决于影响和决定内部控制的诸多力量。而且，不同的利益群体对内部控制的看法存在不同的熟悉。换句话说，会计行业与非会计行业在关注内部控制的困难上是有巨大差别的，如何将令计界的内部控制语言转换为治理界的内部控制语言，仍是一个需要长期沟通的困难。不管怎样，内部控制的目标务必和企业谋求生存和价值创造机会的付出相统一。

总之，无论COSO框架，依旧PCAOB的付出，有一点是非常清晰的，就是要在企业内部建立一个基本的控制框架，作为治理层评估财务数据内部控制的基准。这也是企业发展到一定程度在治理方面的必然要求，它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。中国的各种企事业单位也要从COSO的框架中吸收合理的内核，这会有利于机构治理层次的提高，实施能力的到位；中国注册会计师行业也应从中汲取经验。究竟，中国正面对一个国际化的舞台，在一部分标准、框架的策划上应与世界主流框架维持统一，如此才有沟通的机会，有平等对话的机会，有更深一步发展的机会。