美國自2001年起陸續發生安隆有限公司(“ENRON”)及世界通訊公司(“WorldCom Group”)等財務弊案後,造成股市劇烈崩盤,引起數萬名投資大眾的恐慌及財物損失,並對企業的營運產生了極大的信心危機,因此,為重建大眾對財務報導的信心,美國政府於2002年通過沙賓法案(Sarbanes-Oxley Act),在眾多條文中,對企業影響最大的就是404條款,其中404(a)條款規範所有在美國公開發行以上的公司,都必須遵循該法令的規定,公司管理階層必須每年評估及揭露關於財務報導的內部控制有效性,以確保所呈報的財務報表之允當性,且404(b)條款亦要求每年度須委由查核其財務報表的簽證會計師對於管理當局所報導的財務報導內部控制之有效性進行查核並提出審查報告。
繼美國推出沙賓法案後,日本亦要求自2008年4月1日以後的會計年度開始實施日本版的沙賓法案(J-SOX),強力要求日本上市公司包含母公司、海外子公司都應遵循J-SOX的規範,如同美國沙賓法案(US-SOX),企業也必須每年評估及揭露關於財務報導的內部控制有效性,且必須委由簽證會計師針對被查核的企業所揭露的內部控制有效性聲明及內部控制報告書表達意見。因此,在美國/日本上市的台灣公司、美國/日本公司在台灣的重要子公司,都會受到衝擊影響,必須遵循及配合當地的沙賓法令規範。
針對現行或是未來想要在美國/日本上市的台灣公司,具體應如何因應及合理遵循沙賓法案的規範? KPMG以企業風險管理、內部控制與內部稽核的角度,提出建議並彙整框架如下:
一、 建置組織團隊、職掌及監督治理單位:企業應考量公司人力資源,評估選擇適合的主責單位,比較常見的會是由稽核、財會部門負責統籌、主導公司進行內部自我評估,向管理階層、董事會及審計委員會報告沙賓內控執行結果,並擔任與外部簽證會計師的聯繫、溝通窗口。另外,企業應同時規劃及安排內部自我評估的進行方式、進度、時程、里程碑及所需的資源。
二、 辨識沙賓內控之適用範圍及執行風險評估:依據COSO 2013內部控制整合性架構之5大要素、17項原則,透過從上而下(Top-down)及風險導向(Risk-based)的方式,辨別沙賓內控之適用範圍,包含適用範圍的企業公司個體、對應適用之循環或作業流程,並依據對財務報導相關風險之認知與判斷,區分為企業層級曁IT相關控制、流程或循環層級,鑑別出不同等級的風險項目並設計對應適當之控制,以達到控管甚至降低該風險之目的。
三、 內部控制書面化:企業應將上述辨識出與財務報導相關的風險、控制設計書面化,包含風險控制矩陣(Risk Control Matrix, RCM)、流程圖(Flow Chart)、作業程序書(Narrative)及其他內部控制相關文件(例如:作業辦法) ,以利同仁瞭解遵循並作為執行自我測試評估的依據。
四、 評估內控設計及執行的有效性:企業應評估與財務報導有關之內部控制其設計及執行的有效性,設計有效性測試應針對所有與財務報導有關的控制進行訪談瞭解作業流程,並利用穿透性測試的手法,選取一個樣本貫穿瞭解實際控制運作與制度設計是否一致,而執行有效性測試則係瞭解控制實施的落實情形,可利用抽樣手法,藉以了解實際控制運作具體執行情形,且企業應將自我測試評估之結果予以書面化,並妥善保存相關測試評估的佐證文件。
五、 辨識並修正缺失:在測試評估過程中,若發現有實際控制運作與制度設計不一致,或是有未依設計之控制落實執行之情形,則該控制即為失效,企業應進一步瞭解該控制是否還有其他補償性控制可降低風險,並與相關作業循環負責人溝通及改正前述缺失,且主責單位應監督改善計畫之執行狀況,以確保所有缺失皆已完成改善。
六、 管理當局出具內控聲明書:主責單位依照缺失判定之評估標準,以及改善行動追蹤情形,向管理當局、董事會及審計委員會,報告當年度沙賓內控自評的結果,確認沙賓內控是否有效,並提交沙賓內部控制聲明書供管理階層(董事長及財務長)覆核,並於上述聲明書簽署具名向外界公開揭露。
七、 簽證會計師出具內控查核意見:每年度會由企業委任的簽證會計師執行內部控制之查核,並針對企業所揭露的內部控制有效性聲明及內部控制報告書表達意見,故企業應配合簽證會計師之要求提供所需文件,並安排相關部門進行訪談及穿透性測試,若在查核過程中簽證會計師有任何發現事項,企業應妥善溝通並配合進行改善行動,以確保企業符合沙賓內控之規範要求。
台灣公開發行及上市櫃公司基本上已依據台灣的法令規範「公開發行公司建立內部控制制度處理準則」建置涵蓋策略、營運、財務報導及法令遵循相關的內部控制制度,但是美國跟日本沙賓內控跟一般內部控制制度在本質上還是略有差異,沙賓內控僅強調與財務報導有關的流程及內部控制,故企業在辨識適用範圍及進行風險評估時,應重新盤點及審視公司哪些循環的流程及控制點係與財務報導相關,以進行風險連結、文件書面化及執行自我測試評估,但這些工作都需要耗費大量時間與人力成本,且考量大部分企業並未有專責單位或是日常的作業無法再抽出多餘的人力及時間,故建議企業可以尋求外部專業顧問的支援,以此為基礎逐步自行調整為適用於企業的模式。
蘇婉慧
KPMG安侯企管風險顧問服務協理
E:cathysu@kpmg.com.tw