美国[萨班斯―奥克斯利法案]及其启示

美国《萨班斯―奥克斯利法案》及其启示

编者按：

本文介绍了美国近年通过并且实行的一个新法案。尽快熟悉这个新的“游戏规则”，是准备到美国证券市场上市企业的必修课，同时对国内企业的规范运作、对有关管理部门进一步完善管理制度，都具有很好的参考和借鉴价值，因此推荐给读者一阅。

2002年7月，美国正式通过了《萨班斯―奥克斯利法案》（以下简称《萨―奥法》），它被誉为美国乃至全球“新的上市公司准则”。目前，国有商业银行正加紧改制，赴海外上市是其战略选择之一。我们认为，国有商业银行成功改制并上市的一个重要条件就是熟悉国际资本市场的游戏规则。作为新的公司指引，《萨―奥法》对上市公司的内控机制及外部审计作出了明确的严格规定，将给全球的上市公司带来深远影响。了解和把握这些规定对把美国作为上市目标市场的国有商业银行来说意义重大。

一、《萨―奥法》出台的背景及其主要内容

《萨―奥法》起源于2001年末爆发的美国安然事件。为整顿上市公司秩序、维护投资者信心，美国参议员萨班斯（Sar-banes ）和众议员奥克斯利（Oxley ）联合提出了《萨―奥法》，该法于2002年7月正式获得通过。《萨―奥法》是继美国1933年《证券法》、1934年《证券交易法》以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC ）之下的约14，000家公司，其中包括了大量的非美国公司。

总体来看，《萨―奥法》强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。

第一，严格界定了上市公司管理者的财务责任和义务。《萨―奥法》的第404条要求公司管理层应负担起建立完善内控制度的职责，首席执行官（CEO ）和首席财务官（CFO ）应对公司提交的财务报表的真实准确性提供书面保证，在公司的年度报告中必须出具一份“内部控制报告”，以“明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任”。内控报告还应包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序有效性的评估。法案的第302条和第906条则分别在民事和刑事方面直接规定了上市公司CEO 和CFO 的特别书证要求，对违反财务报表披露要求的行为，对个人的处罚额由5000美元提高至10万美元，并将判处的监禁期限由1年延长到10年，对团体的处罚额由10万美元提高到50万美元。新法案还规定，如果公司财务报告在12个月之内被宣布需要修改，无论修改是基于任何原因，CEO 和CFO 都将承担相应的法律责任。上述规定明确了管理层对内控制度建立的责任归属。

第二，强调了公司内部审计的作用与职责。与早期的《证券交易法》相比，《萨―奥法》更强调了公司审计委员会的作用和职能，新法案第301条要求所有的上市公司都必须设立审计委员会，其成员必须全部是独立董事，且至少有一名财务专家，监管财务报告的编撰过程。审计委员会的主要职责是：讨论每一年度和季度的财务报表并提出质疑；评估

公司对外发布的所有盈利信息和分析性预测；切实讨论公司的风险评估和管理政策；负责公司内部审计机构的建立及运行；负责聘请注册会计师事务所，给事务所支付报酬并监督其工作，受聘的会计师事务所应直接向审计委员会报告；接受并处理本公司会计、内部控制或审计方面的投诉；有权雇用独立的法律顾问、其他咨询顾问和外部审计师。

第三，对公司的信息披露作了明确要求。法案第401条规定，披露的每一份按照公认会计准则编制的财务报告都应反映所有由注册会计师事务所确认的重要调整事项；每一份年报和季报都应当充分披露重要的资产负债表外交易以及与有可能对公司现在或将来的财务状况产生重大影响的“未合并实体”之间的“其它关系”；如果SEC 要求公司提供预期财务报告，SEC 应发布有关制度以避免因预期财务报告包含虚假信息或重要信息被遗漏而误导使用者。

第四，对公司的外部审计作出严格规定。法案规定由美国政府和美国证监会共同组织建立一个独立的监督机构，制定各种审计行业规则，负责对所有审计机构和会计机构进行合规检查。也就是说，法案改变了审计行业的“自律”状况，而要求上市公司自己出费接受监管。

二、《萨―奥法》的重要影响

其一，法案的推出不可避免地增加了公司的管理成本。虽然《萨―奥法》并没有直接要求公司增加额外的审计工作，但在公司治理及相关的管理程序中增加了许多严格的内部制度和程序，这不可避免地增加了公司的管理费用，尤其是在财务审计上的支出成倍增加。

其二，明确了美国的监管机构对外国公司有监管权。《萨－奥法》明确指出，其法律效力适用于在SEC 注册的约14，000家公司，其中就包括了大量的非美国公司。虽然SEC 目前对非美国公司的审计委员会的具体组成提出了豁免条款，但从长远来看，这方面的监管会愈加严格和具体化。

其三，《萨－奥法》还对中国的上市公司监管起到了很大的示范效应。《萨－奥法》颁布后，中国证监会、财政部等监管机构充分借鉴了其中的有关内容，并联合发布了《关于证券期货审计业务签字注册会计师定期轮换的规定》，强制要求中国的上市公司轮换主审会计师，并已于2004年1月1日起正式实行。今后中国监管机构还将在明确上市公司负责人和财务主管的会计责任、规范信息披露、强化审计复核制度等方面作出严格规定。同时可以看出，中国监管机构将加大与美国监管机构的沟通与合作，这给国有商业银行的公司化改制提出了更高的要求。

三、《萨－奥法》对国有商业银行内控改进的启示

《萨－奥法》虽然不是中国本土的监管法律，但可以对国有商业银行内部控制的改进带来一些启示：第一，建立完善的内控机构。要构建独立权威的内部审计体系，最终形成以业务常规监管为主，银监会、审计署等外部监督机构→审计委员会→外部审计机构→内部审计机构→各业务部门的审计监督执行人员（稽核官员）→各业务线设计管理人员→业务操作人员的内控机构主线。（1）目前国有商业银行都设有监事会，但在监事会的组成及职能上并未突出其应有的独立性和权威性，可考虑

在行内组成独立的审计委员会，并负责聘请外部审计对银行进行外部审计，就外部审计报告作出自己的审定意见。审计委员会还应与风险管理委员会保持密切联系与配合，熟悉全行的风险识别与评估体系，制定内控手册。（2）目前国有商业银行的内部审计机构主要为稽核监督局，负责全行各业务部门及各级分支机构的风险性稽核、非现场稽核和业务流程全过程稽核。从长远来看，稽核监督局应逐步向监管人员的监管机构方向发展，常务人员由对业务“一专多能”的稽核监查人员组成，对各业务口的稽核官员和下级行进行监控。在稽核局进行专项稽核或定点稽核，人手不够时，可抽调各业务部门的稽核人员。同时应考虑按区域建立稽核监督中心，推行主稽核人制度。（3）各业务部门的审计监督执行人员具体承担各业务的监控职能，向稽核监督局汇报，并定期对稽核监督局制定的内控手册作出评估和建议。（4）业务线设计或管理人员主要负责产品线的设计与管理，向本业务部门的主管汇报，同时受本部门审计监督员的监督。（5）业务具体操作人员受业务管理人员的指导管理及本部门监督员的监督。

第二，确定并完善内控对象。首先要建立标准的业务流程。由各业务高层管理人员协同整合、设计业务流程，全面完成所有本外币、对公、个人等业务的流程再造。在明确业务流程后，定岗定责，明确每个人的职责及权限。结合流程再造，配套推进会计核算一体化改革，实现参数的集中统一管理。将防范风险落实到每个具体环节之中，并彻底实现前台交易与后台审核的分离。其次，应明确每项业务的规章制度。规章制度不同于业务操作流程，前者着重于业务风险控制，由审计委员会督促

稽核监督局组织完成。通过业务的整章建制，使管理制度逐步系统化、规范化、科学化，使每一项业务环节都纳入内部控制过程。

第三，建立高层人员的信息档案，推行首席财务官制度，强化高层管理人员的财务责任。通过国际知名的外部审计，改善国有商业银行的信息披露制度和程序。在推行薪酬制度改革的同时，国有商业银行应加大“责任落实到人”的改革力度，尤其要通过建立高层人员信息档案并进行动态监控等机制对管理层实行有效的监督。另外，国有商业银行应切实加强与外部审计的合作，依靠外部审计力量来推动全行全面内控体系的建立与完善。

美国《萨班斯―奥克斯利法案》及其启示

编者按：

本文介绍了美国近年通过并且实行的一个新法案。尽快熟悉这个新的“游戏规则”，是准备到美国证券市场上市企业的必修课，同时对国内企业的规范运作、对有关管理部门进一步完善管理制度，都具有很好的参考和借鉴价值，因此推荐给读者一阅。

2002年7月，美国正式通过了《萨班斯―奥克斯利法案》（以下简称《萨―奥法》），它被誉为美国乃至全球“新的上市公司准则”。目前，国有商业银行正加紧改制，赴海外上市是其战略选择之一。我们认为，国有商业银行成功改制并上市的一个重要条件就是熟悉国际资本市场的游戏规则。作为新的公司指引，《萨―奥法》对上市公司的内控机制及外部审计作出了明确的严格规定，将给全球的上市公司带来深远影响。了解和把握这些规定对把美国作为上市目标市场的国有商业银行来说意义重大。

一、《萨―奥法》出台的背景及其主要内容

《萨―奥法》起源于2001年末爆发的美国安然事件。为整顿上市公司秩序、维护投资者信心，美国参议员萨班斯（Sar-banes ）和众议员奥克斯利（Oxley ）联合提出了《萨―奥法》，该法于2002年7月正式获得通过。《萨―奥法》是继美国1933年《证券法》、1934年《证券交易法》以来又一部具有里程碑意义的法律，其效力涵盖了注册于美国证监会（SEC ）之下的约14，000家公司，其中包括了大量的非美国公司。

总体来看，《萨―奥法》强调了公司内控的重要性，从管理者、内部审计及外部审计等几个层面对公司内控作了具体规定，并设定了问责机制和相应的惩罚措施。

第一，严格界定了上市公司管理者的财务责任和义务。《萨―奥法》的第404条要求公司管理层应负担起建立完善内控制度的职责，首席执行官（CEO ）和首席财务官（CFO ）应对公司提交的财务报表的真实准确性提供书面保证，在公司的年度报告中必须出具一份“内部控制报告”，以“明确指出公司管理层对建立和保持一套完整的与财务报告相关的内部控制系统和程序所负有的责任”。内控报告还应包含管理层在财务年度期末对公司财务报告相关内部控制体系及程序有效性的评估。法案的第302条和第906条则分别在民事和刑事方面直接规定了上市公司CEO 和CFO 的特别书证要求，对违反财务报表披露要求的行为，对个人的处罚额由5000美元提高至10万美元，并将判处的监禁期限由1年延长到10年，对团体的处罚额由10万美元提高到50万美元。新法案还规定，如果公司财务报告在12个月之内被宣布需要修改，无论修改是基于任何原因，CEO 和CFO 都将承担相应的法律责任。上述规定明确了管理层对内控制度建立的责任归属。

第二，强调了公司内部审计的作用与职责。与早期的《证券交易法》相比，《萨―奥法》更强调了公司审计委员会的作用和职能，新法案第301条要求所有的上市公司都必须设立审计委员会，其成员必须全部是独立董事，且至少有一名财务专家，监管财务报告的编撰过程。审计委员会的主要职责是：讨论每一年度和季度的财务报表并提出质疑；评估

公司对外发布的所有盈利信息和分析性预测；切实讨论公司的风险评估和管理政策；负责公司内部审计机构的建立及运行；负责聘请注册会计师事务所，给事务所支付报酬并监督其工作，受聘的会计师事务所应直接向审计委员会报告；接受并处理本公司会计、内部控制或审计方面的投诉；有权雇用独立的法律顾问、其他咨询顾问和外部审计师。

第三，对公司的信息披露作了明确要求。法案第401条规定，披露的每一份按照公认会计准则编制的财务报告都应反映所有由注册会计师事务所确认的重要调整事项；每一份年报和季报都应当充分披露重要的资产负债表外交易以及与有可能对公司现在或将来的财务状况产生重大影响的“未合并实体”之间的“其它关系”；如果SEC 要求公司提供预期财务报告，SEC 应发布有关制度以避免因预期财务报告包含虚假信息或重要信息被遗漏而误导使用者。

第四，对公司的外部审计作出严格规定。法案规定由美国政府和美国证监会共同组织建立一个独立的监督机构，制定各种审计行业规则，负责对所有审计机构和会计机构进行合规检查。也就是说，法案改变了审计行业的“自律”状况，而要求上市公司自己出费接受监管。

二、《萨―奥法》的重要影响

其一，法案的推出不可避免地增加了公司的管理成本。虽然《萨―奥法》并没有直接要求公司增加额外的审计工作，但在公司治理及相关的管理程序中增加了许多严格的内部制度和程序，这不可避免地增加了公司的管理费用，尤其是在财务审计上的支出成倍增加。

其二，明确了美国的监管机构对外国公司有监管权。《萨－奥法》明确指出，其法律效力适用于在SEC 注册的约14，000家公司，其中就包括了大量的非美国公司。虽然SEC 目前对非美国公司的审计委员会的具体组成提出了豁免条款，但从长远来看，这方面的监管会愈加严格和具体化。

其三，《萨－奥法》还对中国的上市公司监管起到了很大的示范效应。《萨－奥法》颁布后，中国证监会、财政部等监管机构充分借鉴了其中的有关内容，并联合发布了《关于证券期货审计业务签字注册会计师定期轮换的规定》，强制要求中国的上市公司轮换主审会计师，并已于2004年1月1日起正式实行。今后中国监管机构还将在明确上市公司负责人和财务主管的会计责任、规范信息披露、强化审计复核制度等方面作出严格规定。同时可以看出，中国监管机构将加大与美国监管机构的沟通与合作，这给国有商业银行的公司化改制提出了更高的要求。

三、《萨－奥法》对国有商业银行内控改进的启示

《萨－奥法》虽然不是中国本土的监管法律，但可以对国有商业银行内部控制的改进带来一些启示：第一，建立完善的内控机构。要构建独立权威的内部审计体系，最终形成以业务常规监管为主，银监会、审计署等外部监督机构→审计委员会→外部审计机构→内部审计机构→各业务部门的审计监督执行人员（稽核官员）→各业务线设计管理人员→业务操作人员的内控机构主线。（1）目前国有商业银行都设有监事会，但在监事会的组成及职能上并未突出其应有的独立性和权威性，可考虑

在行内组成独立的审计委员会，并负责聘请外部审计对银行进行外部审计，就外部审计报告作出自己的审定意见。审计委员会还应与风险管理委员会保持密切联系与配合，熟悉全行的风险识别与评估体系，制定内控手册。（2）目前国有商业银行的内部审计机构主要为稽核监督局，负责全行各业务部门及各级分支机构的风险性稽核、非现场稽核和业务流程全过程稽核。从长远来看，稽核监督局应逐步向监管人员的监管机构方向发展，常务人员由对业务“一专多能”的稽核监查人员组成，对各业务口的稽核官员和下级行进行监控。在稽核局进行专项稽核或定点稽核，人手不够时，可抽调各业务部门的稽核人员。同时应考虑按区域建立稽核监督中心，推行主稽核人制度。（3）各业务部门的审计监督执行人员具体承担各业务的监控职能，向稽核监督局汇报，并定期对稽核监督局制定的内控手册作出评估和建议。（4）业务线设计或管理人员主要负责产品线的设计与管理，向本业务部门的主管汇报，同时受本部门审计监督员的监督。（5）业务具体操作人员受业务管理人员的指导管理及本部门监督员的监督。

第二，确定并完善内控对象。首先要建立标准的业务流程。由各业务高层管理人员协同整合、设计业务流程，全面完成所有本外币、对公、个人等业务的流程再造。在明确业务流程后，定岗定责，明确每个人的职责及权限。结合流程再造，配套推进会计核算一体化改革，实现参数的集中统一管理。将防范风险落实到每个具体环节之中，并彻底实现前台交易与后台审核的分离。其次，应明确每项业务的规章制度。规章制度不同于业务操作流程，前者着重于业务风险控制，由审计委员会督促

稽核监督局组织完成。通过业务的整章建制，使管理制度逐步系统化、规范化、科学化，使每一项业务环节都纳入内部控制过程。

第三，建立高层人员的信息档案，推行首席财务官制度，强化高层管理人员的财务责任。通过国际知名的外部审计，改善国有商业银行的信息披露制度和程序。在推行薪酬制度改革的同时，国有商业银行应加大“责任落实到人”的改革力度，尤其要通过建立高层人员信息档案并进行动态监控等机制对管理层实行有效的监督。另外，国有商业银行应切实加强与外部审计的合作，依靠外部审计力量来推动全行全面内控体系的建立与完善。