「摘要」本文从美国《萨班斯——奥克斯利法案》404条款出发,对财务报告内部控制有效性评价做了相关的理解;在研究了SEC的提案和AICPA的征求意见稿的基础上,结合KPMG和McGladrey&Pullen会计师事务所提供的报告,提出了对我国财务报告内部控制有效性评价的启发和借鉴意义。
「关键词」财务报告;内部控制;有效性
上市公司经营失败、公司舞弊的指控以及财务报表的重新编报(Financial statement Restatements)(2),都将注意力集中在财务报告内部控制(Internal Control over Financial Reporting)的充分性上来。如何建立健全有效的财务报告内部控制制度,管理层如何对财务报告的内部控制有效性进行评价,以及外部审计师在财务报告的内部控制有效性审核中的作用就成了最紧迫的理论问题之一。本文从《萨班斯—奥克斯利法案》的最新规定出发,对我国财务报告内部控制评价提出自己的看法。
一、美国财务报告内部控制的新概念
内部控制概念的演变大致可划分为内部牵制、内部控制、内部控制结构和内部控制整体框架四个历史阶段。最初的内部控制定义可以追溯到美国注册会计师协会审计程序委员会1958年发布的《第29号审计程序公告》,其中,将内部控制分为内部会计控制和内部管理控制两个部分,并将内部会计控制与保护资产的安全完整和财务记录的可靠性直接联系在一起,具体的措施有交易授权与批准制度、资产的实物控制、从事财务记录和审核与从事经营或财产保管职务分离的控制。1972年,《第54号审计程序公告》对内部会计控制进行了重新定义,认为内部会计控制是组织计划以及关于保护资产安全完整和财务记录有效性的程序和记录,并对下列事项提供合理的保证:交易经过合理的授权进行;公司对交易进行了必要的纪录,以确保财务报表的编制与公认会计原则保持一致;资产的使用和处置经过管理层的适当授权;在合理期间内,对现存资产与资产的会计记录之间的任何差异采取了恰当的行动。
1992年,COSO委员会对内部控制进行了深入的研究。根据COSO委员会1992年提出的《内部控制-整体框架》报告中的定义,内部控制是受公司董事会、管理层和其他人员影响的,为达到经营活动的效率效果、财务报告的可靠性、遵循相关法律法规等目标提供合理保证而设计的过程。1995年,美国注册会计师协会审计准则委员会在其发布的《第78号审计准则公告》中,接受了COSO报告对内部控制的定义。
美国证券交易委员(SEC)在2002年发布的33-8138号提案中首次对财务报告内部控制进行了诠释,该提案认为,财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证:公司的业务活动经过合理的授权;保护公司的资产避免未经授权或不恰当的使用;公司的业务活动被恰当的记录并报告,从而保证上市公司的财务报表符合公认会计原则的编报要求。该定义符合美国注册会计师协会审计准则公告319条款的规定,并与《萨班斯——奥克斯利法案》103条款中的内部控制定义保持一致。
根据SEC2003年6月正式发布的最终规则中的定义,财务报告内部控制是指由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序,具体包括以下控制政策和程序:
1.保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况;
2.为下列事项提供合理的保证:公司对发生的交易进行必要的纪录,从而使财务报表的编制满足公认会计原则的要求;公司所有的收支活动经过公司管理层和董事的合理授权;
3.为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。
定义中的1、2两点与《萨班斯—奥克斯利法案》103条款中要求注册会计师事务所在审计或鉴证报告中进行内部控制评价的内容保持一致,第3点则是针对公司资产的使用和处置提出的,表明保护资产的安全完整是财务报告内部控制的有机组成部分。
与COS0报告中对内部控制的定义相比,SEC在最终规则中对财务报告内部控制的定义仅包含了与财务报告可靠性目标相关的部分,而省略了经营活动的效率效果的目标,遵循相关法律法规目标中也仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规。这个定义与《证券交易法》第13(b)(2)(B)款对内部会计控制的描述保持一致。
二、美国财务报告内部控制评价的最新进展
20世纪70年代以来,管理层对内部控制有效性是否进行报告曾引起广泛的争论,但直到《萨班斯—奥克斯利法案》颁布之前,还没有形成统一的规范。实务中仅有美国联合存款保险局(Federal Deposit Insurance Corporation)对加入保险的总资产超过5亿美元的金融机构要求提供管理层内部控制有效性的报告。2002年7月,国会通过的《萨班斯—奥克斯利法案》第一次对财务报告内部控制的有效性提出了明确的要求。该法案涉及内部控制的条款主要有:
1.第103款规定,对管理层财务报告内部控制评估的审计师报告,需要评价公司的内部控制政策和程序是否包括详细程度合理的纪录,以准确公允地反映公司的资产交易和处置情况;内部控制是否合理保证公司对发生的交易活动进行了必要的纪录,以满足财务报告编制符合公认会计原则的要求;是否合理保证公司的管理层和董事会对公司的收支活动进行了合理授权。
2.第302款规定,公司首席执行官和首席财务官应当对所提交的年度或季度报告签署书面证明,证明中涉及内部控制的内容包括:签字人员有责任建立和维护一套内部控制程序,并且这套内部控制程序的设计应当确保企业内部其他管理人员都能够知道公司及其纳入合并范围的子公司的所有重大信息,尤其在定期报告编制期间;保证在财务报告编制之前90天内已经对公司内部控制的有效性进行了评价;将关于内部控制有效性的结论反映在报告中;向外部审计师和公司董事会下的审计委员会报告了在内部控制设计或运行中对公司财务信息的记录、加工、汇总和报告产生不利影响的所有重大控制缺陷以及重要控制弱点。
3.第404款规定,根据1934年证券交易法中13(a)或15(d)款要求递交年报的公司,管理层需要对财务报告的内部控制进行报告。同时,该条款要求这些公司的审计师对管理层的评估进行认证和报告。
404条款的规定引起了法律界和职业界的广泛关注,SEC和AICPA积极行动起来,分别提出了自己的提案和征求意见稿
1.2002年10月22日,SEC发布第33-8138号提案,并于2003年6月5日颁布最终的规则,寻求为遵循404条款所需的过渡时间做法。主要内容有:(1)修订1934年证券交易法的相关内容,要求上市投资公司之外的公司在年报中包括一份管理层对公司财务报告内部控制的报告。该内部控制报告的内容必须包括:管理层签署申明,由其负责建立和维护充分的公司财务报告内部控制;公司在最近财政年度终了之时对财务报告内部控制的有效性进行评估;说明管理层进行公司财务报告内部控制有效性评估时采用的框架;提供一份申明,表明对公司财务报表进行审计的注册会计师事务所已经对公司管理层的财务报告内部控制评估报告提供了鉴证报告。(2)要求公司填报“注册会计师事务所鉴证报告(Registered Public Accounting Firm‘s Attestation Report)”,并作为年报的一部分予以公布。(3)要求管理层对公司季度内出现的、对公司财务报告内部控制具有重要影响或可能具有重要影响的任何财务报告内部控制变更进行评价。(4)对1934年的《证券交易法》和1940年的《投资公司法》的相关规则和表格进行了修订,以满足302条款的书面证明要求,并根据《萨班斯—奥克斯利法案》302条款和906条款的要求提供该书面证明。(5)自2003年8月14日起生效。对第一个财政年度在2004年6月15日或以后结束的所谓“加速编报”(Accelerated Filer)公司(3),必须在该财政年度的年报中根据相关的披露要求提供管理层对财务报告内部控制的报告。对第一个财政年度在2004年6月15日或之后结束的非加速编报公司,包括外国私人发行公司(Foreign Private Issuer),必须在2005年4月15日或之后结束的财政年度年报中遵循内部控制报告的要求。(6)上市投资公司必须在2003年8月14日或以后遵循针对他们修订的规则和表格要求。特别是财政年度在2004年6月15日或之后结束的上市投资公司,必须遵循《证券交易法》规则13a-15(a)和15d-15(a)和《投资公司法》规则30a-3(a)的修订内容,维护财务报告的内部控制。
2.2003年3月18日,美国注册会计师协会(AICPA)发布财务报告内部控制审计的征求意见稿,作为对《萨班斯—奥克斯利法案》404条款的响应,主要内容包括:(1)对一些审计准则公报(SASs)和鉴征事务准则公报(SSAE)进行了修订,使之在财务报告内部控制有效性审计中更好地发挥作用。(2)作为一项完整的活动,公众公司(Public Company)审计包括财务报表审计和财务报告内部控制有效性审计两个部分。(3)独立审计师需要对审计工作进行计划,对公司的内部控制进行了解,对控制的设计有效性和执行有效性进行评价,进而发表审计意见。(4)对内部控制缺陷进行了定义。征求意见稿中将内部控制缺陷分为设计缺陷和执行缺陷,前者主要是指公司的控制结构和程序不完整,遗漏了一些必要的控制;或者现存的控制设计不合理,从而导致即使控制按照设计执行了,但无法达到控制的目标。后者则是指一项控制虽然设计合理,但没有得到有效的执行,或者执行控制的员工没有得到合理的授权或资质,从而导致控制不能得到有效的执行。征求意见稿中根据内部缺陷的严重程度将其分为重大控制缺陷(Significant Deficiency)和重要控制弱点(Material Weakness)两类。重大控制缺陷是指可能对公司管理层发表的申明中关于保证交易的发生、记账、过账、报告财务数据和财务报表保持一致的能力产生不利影响的内部控制缺陷。重要控制弱点是指在内部控制的组成部分的一个或多个方面存在重大控制缺陷,造成公司的内部控制不能将及时地防止或发现财务报表中实质性的错误表述的风险降低到一个较低的水平。(5)对财务报告内部控制评价发表无保留审计报告的限制条件做了规定。如公司内部控制中存在未更正的重要控制弱点,独立审计师不能发表财务报告内部控制有效的无保留意见,而应该根据重要控制弱点的性质,发表保留意见或仅对意见。根据征求意见稿的观点,财务报表中存在实质性错误表述,公司没有发现,而外部审计师发现了,则表明公司的内部控制中存在重要控制弱点。
3.针对上述提案和征求意见稿,各注册会计师事务所也积极行动起来,提出根据404条款进行财务报告内部控制评价的操作指引,典型的有McGladrey&Pullen会计师事务所和KPMG会计师事务所发布的两份报告。这两份报告都对会计报告内部控制有效性评价提出了具体的操作建议,报告中新的、有价值的观点有:
(1)对管理层评估财务报告内部控制的程序提供了建议。报告认为,管理层对内部控制的评估可以分四个步骤来完成,即:计划、设计有效性评价、执行有效性评价、评估和报告。首先是计划阶段,主要内容包括:对高级管理人员进行教育,内容涵盖404条款及管理当局对财务报告内部控制有效性进行评价的特殊要求;建立任务小组并明确责任,设定管理层对财务报告内部控制有效性评价的时间表,并选取COSO或其他适当的标准进行评价;确定需要重点关注的内部控制,并对内部控制体系中涉及多个分部或单位的情况进行处理,确定哪些分部或单位应该包括在评估内容中,同时对确定的内部控制环节及相关的分部或单位形成内部控制文件。其次是对财务报告内部控制的设计有效性进行评价,内容包括:根据确定的标准,对形成文件的重要控制进行设计有效性评价,内容涵盖内部控制的每个层面(控制环境、风险评价、控制活动、信息与沟通、监控)以及每一个重要控制;检查现存的内部控制文件,发现存在的缺陷并进行必要的改进工作。第三阶段是对财务报告内部控制的执行有效性进行评价,具体的行动步骤有:管理层将所设计的内部控制责任分配到具体的岗位,并组织内部审计人员或第三方人员实施监控程序和评价活动,对每个分部、单位或环节进行内部控制执行有效性评价;将经理层和内部审计得出的关于内部控制有效性的结论以及他们在评价过程中发现的内部控制的重大控制缺陷或重要控制弱点告知CEO和CFO;CEO和CFO对发现的内部控制缺陷的重要性进行评价,并就采取的对策达成一致意见;将执行的关于控制的执行有效性评价程序和评价的结果形成文件;将得出的结论向审计委员会和外部审计人员报告,并就所发现的重大控制缺陷和重要控制弱点采取的对策取得他们的赞同。最后阶段是评估和报告阶段,内容有:将财务报告内部控制有效性的评价与审计人员的审核程序协调起来,对发现的内部控制缺陷实施必要的内部控制变更;发表管理层关于财务报告内部控制的申明,并将其作为公司年报的一部分予以公布;复查发现的重大控制缺陷和重要控制弱点以及采取的对策,并向法律顾问、审计委员会和董事会报告。
(2)强调“人”的重要性。报告认为,财务报告内部控制有效性评价应包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理层、内部审计和外部审计等各个方面,明确了评估的每个行动步骤由哪些高级管理人员负主要责任,以确保按时完成内部控制评价工作。
(3)界定了管理当局的责任。报告认为,管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如C0SO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。为取得足够的证据支持管理层的评估结果,管理当局可以利用内部审计人员、管理人员、其他人员或第三方的工作,将其作为评价内部控制执行有效性的基础。相应地,管理当局可以雇佣外部审计师之外的注册会计师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。
(4)明确了审计师对财务报告内部控制有效性审核程序的构成要素。报告要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个重要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作为对重要账户余额、交易类别和披露的控制执行有效性的初始证据,但审计师可以根据他人的工作来改变自身评估工作的测试性质、时间和程度,但这样做要求审计师重复他人的一部分测试工作,并对每个重要账户、交易类别和披露相关的控制执行独立性测试。
(5)界定了内部控制有效性评价与财务报告审计的关系。两者即有不同,又有联系。首先,两者的目标不同。财务报表审计的目的是对财务报表是否在所有重大方面符合公认会计原则的规定发表意见,因而关注的是财务报告程序的结果。财务报表审计中也需要对公司的内部控制情况进行了解,并对控制风险进行评价,但这些工作主要是为了决定其它财务报表审计程序的属性、时间和程度,而并不需要单独对财务报告内部控制的有效性提供报告。而内部控制审计的目标却是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表意见,此时,独立审计师需要了解公司建立的财务报告内部控制,并对其设计有效性和执行有效性进行测试,要完成这项工作,审计师必须对财务报告程序(从交易的开始直到财务报告的编报完成)中的每一个重要控制的有效性进行评价。其次,两者也有联系,即都需要对财务报告内部控制的设计和执行有效性进行评价,审计师可以利用所取得的内部控制评价的证据来改变其它财务报告审计程序的属性、时间和程度。由于内部控制的内在局限性,审计师仍然需要执行实质性程序进行测试。此外,独立审计师可以根据内部控制有效性审计中发现的缺陷,来决定财务报表审计实质性测试过程的属性、时间和程度。
三、对我国财务报告内部控制评价的启示和借鉴
我国自20世纪90年代起开始加大政府对内部控制的推动作用。现有的法律法规和行政规范中多项涉及到内部控制的内容。可以看出,政府监管部门对单位内部控制的建立健全提出了一定的要求,但没有对管理层进行内部控制制度有效性评价提供实质性指导,从而造成不同公司的管理层在进行内部控制的有效性评价时没有一个统一的标准。与此同时,我国的内部会计规范才刚刚开始,一套完整的内部会计控制规范体系的建立还有待时日,这也给内部控制有效性评价增加了难度。《萨班斯——奥克斯利法案》404条款、SEC发布的最终规则以及会计师事务所提供的报告,对我国财务报告内部控制有效性评价具有一定的启发和借鉴意义,具体如下:
1.通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定。目前,仅有2001年10月证监会发布“关于做好证券公司内部控制评审工作的通知”中对内部控制评审提出了明确的规定,即要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,会计师事务所应当向证券公司提交内部控制评审报告。而在其他规范中,没有对管理层进行财务报告内部控制有效性评价提出强制性规定。面对我国上市公司的经营失败和公司舞弊指控的增多,财务报告内部控制的重要性日益显现,这就对财务报告内部控制有效性进行评价提出了新的要求。我们应借鉴国外的经验,在相关法律法规中对内部控制评价提出明确的要求,以将财务报告错误表述的风险降低到一个恰当的水平。
2.建立统一科学的评价标准。美国的相关法律条款和实务都对在内部控制评价的早期确定科学的评级标准提出了要求,认为应采用诸如C0SO报告提出的内部控制完整框架的公认标准,作为财务报告内部控制有效性评价的标准。目前我国内部控制评价实务中,管理层建立健全有效的内部控制,一般是参照财政部发布的《内部会计控制规范——基本规范(试行)》进行的,内容主要是以单位的内部会计控制为主,同时兼顾与会计有关的控制;独立审计师内部控制审核业务则是根据中国注册会计师协会发布的《内部控制审核指导意见》进行的。由于缺乏一套完整的内部控制体系,造成内部控制有效性评价流于形式,没有和财务报告审计中的内部控制评价明显区分开来。因此,投入一定的人力、物力、财力,尽早建立一套完整的、公认的内部控制标准,使内部控制评价有章可循是必要的。
3.明确内部控制评价的内容。目前我国理论与实务界没有对内部控制评价的内容形成一致的意见。由于独立审计师对财务报告内部控制有效性进行审计时,主要是针对财务报告形成过程中所有重要的内部控制有效性进行评价,因此在确定内部控制评价的内容时,一方面应根据注册会计师与委托人达成的业务约定书内容,另一方面,还需要考虑审计师在审计初期确定的审核标准。
4.设计一套科学的行动指南,为管理层进行内部控制有效性评价提供指引。可以借鉴KPMG和McGladrey&Pullen会计师事务所报告中的做法,在单位内部组建由高级管理人员组成的专门小组,分步骤有计划地对内部控制的设计和执行情况进行检查和评价。单位可以聘请年报审计的注册会计师之外的中介机构或有关专业人员协助对本单位的内部控制的建立健全及有效性进行评价,并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进,保证财务报告的编报质量,降低财务风险。
5.明确内部控制评价的时间范围。尽管独立审计师发表的内部控制评价报告是针对特定时点进行的(一般是与所审计会计报表期间的期末资产负债表日相一致),但审计人员对内部控制有效性与否进行的测试工作则涵盖了一段时间。因此,KPMG会计师事务所提供的报告要求,管理层应该保证投入运行的内部控制必须运行了一段足够的时间,以便于审计师实行执行有效性测试工作。在确定我国内部控制有效性评价的时间范围时,应借鉴国外的有益经验,针对一段时间内的内部控制的有效性进行评价,并在管理层关于财务报告内部控制的申明中明确报告的期间范围,对超过一定期限的内部控制评价结果,还需要取得额外的证据来支持最终的评价结果。
6.管理层评价与外部审计师审核的协调一致性。管理层对内部控制有效性负责,必须选择适当的控制标准对公司的内部控制有效性进行评价,并获取足够的证据来支持最终的评价结果,同时需要签署一份关于公司内部控制有效性的书面申明。而审计师需要对管理层最终形成的内部控制评价报告意见提供足够的恰当证据。所以管理层应该加强与外部审计师的交流和沟通,例如所确定的重要的内部控制内容及原因;对重要内部控制形成的文件的完整性以及设计的合理性如何;在进行重要控制的执行有效性评价时采取的程序是否科学合理;发现的内部控制缺陷及其重要性如何,采用的改进措施是否有效等。管理层、内部审计人员以及管理层雇用的第三方的测试工作只能作为外部审计人员内部控制评价工作的一部分,但审计师还需要重复相关的测试工作,并进行执行有效性的独立测试,以保证审计结论的公允。
内部控制的建立健全和完善是一个长期的工作,我国的内部控制规范才刚刚开始,在此过程中,适当地借鉴美国等发达国家的有益经验和实际做法,可以为我国的会计服务市场的发展和内部控制评价的认识提供新的视角。目前,如何遵循404条款对财务报告内部控制有效性进行评价,美国的SEC已经形成了最终的规则,而AICPA还没有形成最终的审计准则,我们应进一步关注其进展,并结合我国的实际情况,建立健全符合我国国情的内部控制评价框架,以完善我国的内部控制评价工作。
主要参考文献
朱荣恩。2002.内部控制评价。中国时代经济出版社
中国人民银行关于印发《加强金融机构内部控制的指导原则》的通知,银发[1997]199号
证监会关于印发《关于加强期货经纪公司内部控制的指导原则》的通知,证监期货字[2000]12号
证监会关于印发《证券公司内部控制指引》的通知,证监发[2001]15号
证监会关于做好证券公司内部控制评审工作的通知,证监机构字[2001]202号
财政部关于印发《内部会计控制规范——基本规范(试行)》《内部会计控制规范——货币资金(试行)》的通知,财会[2001]41号
中国注册会计师协会关于印发《内部控制审核指导意见》的通知,会协[2002]41号
财政部关于印发《内部会计控制规范——采购与付款(试行)》和《内部会计控制规范——销售与收款(试行)》的通知,财会[2002]21号文
Sarbanes- Qxley section 404: management assessment of internal control and the proposed auditing standards, KPMG , March 2003
Assessing the effectiveness of internal control over financial reporting in accordance with section 404 of the Sarbanes - Oxiey Act of 2002,McGladrey&Pullen certified public accountants, Maruli 2003
Proposed rule: disclosure required by sections 404, 406 and 407 of the Sarbanes - Odey Act of 2002, SEC release No. 33 - 8138,October 22, 2002
Auditing an entity‘s internal control over financial reporting in conjunction with the financial statement audit and reporting on an entity’s internal control over financial reporting, AICPA, March 18, 2003
Final Rule: Management‘s Reports on Internal Control Over Financial Reporting and Certification of Disclosure in Exchange Act Periodic Reports, SEC, June 5, 2003
(1)本文系中国会计学会研究课题(2003)《财务报告内部控制研究》(批准号2001KJAO19)的阶段性研究成果。
(2)此处的重新编报,我们理解为随着上市公司财务报表舞弊和财务信息失真的增多,会计师事务所越来越多地要求公司对财务报表进行的重新表述。
(3)所谓的“加速编报”公司,在证券交易法12b-2规则中进行了定义,是指发行证券的公司在财政年度终了之时第一次符合下列的条件:1.发行证券公司的非附属机构持有的有投票权和无投票权的普通股市价总值超过7500万美元;2.发行证券的公司已经满足(证券交易法》13(a)或15(d)条款的要求达到至少12个日历月份;3.发行证券的公司至少已经按照《证券交易法》13(a)或15(d)条款的要求填报了一个年度的年报;4.发行证券的公司没有资格使用10-KSB表格和10-QSB表格填报其年报和季报。