編按:美國沙賓法案的影響愈來愈大,除了台商在美國掛牌的企業外,許多與美國企業有密切往來的大型代工廠,也必須配合相關規定,《今周刊》特邀請勤業眾信企業風險管理副總吳志洋,談台灣企業對這個法案應有的態度及因應方法。
從今年七月十五日起,美國沙賓法案(Sarbanes-Oxley)已開始適用於在美國掛牌的外國企業,如台積電、聯電、友達、中華電、日月光、矽品、旺宏、福雷電等,其他像是廣達、仁寶等跨國大型製造商,則因與美國企業有生意往來,也必須注意相關規範。目前也有消息指出,日本將在明年提出類沙賓法案的規定,到時勢必影響在日本上市的台灣公司,或是與日本生意往來密切的企業。
美國在二○○二年爆發安隆(Enron)、世界通訊(WorldCom)上市公司財報不實,以及公司管理失當的醜聞之後,讓許多投資者的信心在一夕之間崩潰,為了重建投資者的信心,美國主管當局決定制定沙賓法案。這是一九三三年之後,對美國證管局、公開發行公司及會計師影響最重大的財經改革法案。
所謂沙賓法案,就是美國證管會所監管成立的公開公司會計監督委員會(PCAOB)所建立的審計、品質控管會計事務所與會計師的調查與懲戒制度,凡是在美國上市的公司,都必須要遵守這項規定。而在沙賓法案眾多條文中,對公司影響最大的是四○四條款。
根據美國證管會規定,公司管理階層須提交一份內控自評報告,且經會計師審核。此外,還須成立審計委員會,而會計師可越過公司執行長(CEO)等高層主管,直接向審計委員會報告;公司須定期更換會計師;揭露支付會計師的費用;掛牌企業的所有海內外關係企業、工廠、辦事處、分公司財報都須符合規定等。若執行長、財務長等高層主管,有財報申報不實的情形,會被處二十至二十五年的刑期。
過去,在美國上市的企業,從未被要求建立類似台灣「內部控制」法令的管控制度;其實,過去雖然有管理的概念,但多不是以「內部控制」的模式出現。一般而言,在美國上市多年的企業,都會擁有一個非常多、非常詳細的作業手冊,但這本手冊的管理概念,與台灣熟悉的內部控制制度有些不同。因此,沙賓法案的出現,徹底改變過去對企業內部控制的看法。
沙賓法案主要管理對象是在美國上市的企業,包含美國上市的當地或是外商公司。「在美國上市」看似單純,但實際影響層面遠大於在美國有上市的企業法人。因為沙賓法案規範是針對與財務報表有關的內部控制。
內部控制的目的是什麼?其實就是降低風險。企業面對的風險千百種,但我們仔細分析過,多數都是來自企業內部,因為自己沒有管理好,而讓自己陷於危險的局面。例如,現在企業使用SAP企業管理系統時,最常遇到就是分享ID(帳號)的問題。因為SAP授權一個ID要兩、三萬美元,如果每個人都有一個,那還得了,所以就弄一個,大家來分享。但是,分享時往往會產生一個狀況,就是你做的事情跟我做的有衝突。最簡單的例子,就是管錢的人不管帳,但如果分享一個ID,這裡面就有很大的風險,員工自己做筆交易出來,就可以把錢轉出去了。
目前美國統計,站出來主動對外宣布,擁有良好的內部控制的企業,與宣布自己在內部控制上有重大缺失的企業相比,就股價而言,會有五%到六%的價差,而有重大缺失的比率,約占四分之一的上市企業。
要做好符合沙賓法案的內部控制,整體而言,需要設置四百到六百個控制點,檢查公司內部的作業程序,這數字比以前至少增加四○%到五○%。因此你可以想像,從三百個控制點,增加到六百個控制點,企業要付出的成本非常大。
除了控制點增加外,企業找尋外部顧問也是成本。當企業花一個小時,找外部顧問進來開會時,公司員工也得花一個小時陪著顧問,而且,這還沒有加上事前準備的時間。所以,公司付出去的開銷,絕對不是表面上看到,付給顧問費用而已。
目前,為執行沙賓法案,通常會分為三大階段:文件化(Documentation)、評估(Evaluation)與矯正(Remediation)。這三階段要做到完整,少則五、六千個小時,多則上萬個小時,最起碼都要花費新台幣五千萬元。以我做過的案子為例,一家在美國ADR(美國存託憑證)掛牌的晶片設計公司,光是花在顧問的時數,就已經到五千六百小時,這還不加上他們自己必須付出的時間。另外,自我評估的方法也差異很大,企業可以自己找內部員工執行,另外也可以請一大堆人來做自我評估,效果跟品質當然不一樣。我曾經遇到一個大型客戶,去年光是做自我評估的部分,如果交給一個人做就得花上一萬個工作天。
但是,以花費來說,公司規模還不是主要原因,反而是組織的複雜程度,以及業務項目的多樣性。如果組織夠複雜,即使規模很小,例如台北跟上海的營運模式不同,那就必須在兩個地方各做一套;再以業務形態為例,中華電信有固網、行動、網路等不同事業單位,不能用同一套的內部控制機制,其中光是收入循環一項,複雜度就會非常高。
我觀察,在執行內部控制時,有兩個門檻比較難達成,一個是內部控制的嚴謹度、第二則是內部控制的自我評估。沙賓法案執行後,要求每個會計科目的完整性、正確性等,都要跟內部控制緊密結合,這在過去是從來沒有發生的。所以,企業主會覺得,我有需要做到這樣嗎?比如說,為了確保資料正確,員工將單據輸入後,要有另外一個人檢查是否正確。但一般公司為講求效率,輸入完之後,就進行下個流程,老闆們會認為:如果真的有錯,客戶就會來抱怨。這其實是企業主的觀念問題,他們不願意多花一個人的成本,找來就只為了檢查輸入的正確性。
另外在自我評估上,目前美國要求的方法,基本上與會計師查帳的方法差不了太多,必須建立一個有效的抽樣機制。但是,不是每個人都做過查帳員,受過查帳的專業訓練,一旦要去抽樣,還要能夠評估抽回來的樣本,是否具有效力,這其實是非常高難度的,也是自我評估能否落實的關鍵。
現任勤業眾信會計師事務所企業風險管理副總經理。澳洲 Monash University經濟系學士(主修會計)。1993年加入勤業眾信擔任審計部查帳員,目前負責沙賓法案相關服務內部稽核、收入確認及Third Party Compliance等業務