小议国外内部管控制度及其对我国的启示

[概述]美国的证券市场成熟，制度健全，其内部控制评价阅历了从自愿性到强迫性披露的进程，相关法规和制度丰厚、完善，各项制度协调分歧，相互配合。我国际部控制评价制度存在着披露方式化、复杂化，以及制度并未失掉有效执行等效果。完善我国际部控制评价制度的意见为：尽快出台并实施内部控制评价规范；由证监会出台一致的内部控制指引；完善核实评价制度，加大监管力度。

[中心词汇]内部控制评价；SOX法案；内部控制指引；美国；中国

随着现代企业的开展、证券市场的兴盛，作弊案件也随之添加，从而内部控制评价逐渐成为学术界关注的焦点。内部控制评价包括上市公司的自我评价和注册会计师的核实评价两局部，我国与之相对应的制度树立尚处于起步阶段。如何针对国情，剖析自创美国的阅历，树立起一套严密的内部控制评价制度，并使之有效运转，是促使上市公司树立健全内部控制制度，规避运营风险，保证资产平安，提高运营效率和效果，进而维护投资人利益亟待处置的效果。

一、美国的内部控制评价制度及其影响

(一)美国的内部控制自我评价制度

随着安然等财务欺诈案的频频曝光，2002年7月美国出台了经典的《萨班斯－奥克斯利法案》(以下简称SOX法案)，完毕了内部控制信息披露方式之争，标志着内部控制评价进入了强迫性阶段。SOX法案404条款要求管理层对与财务报告相关的内部控制停止自我评价出具报告，并要求公司内部审计人员对管理层的评价停止认证和报告。

为了落实SOX法案，美国证券买卖委员会(SEC)采取了举动，于2002年10月第33—8138号提案，并于2003年8月最终规则，规则除了投资公司之外的上市公司都应在年度报告中包括一份关于内部控制的报告，并规则了报告的内容和格式，同时要求在年报中披露“注册会计师鉴证报告”。SEC规则与财务报告牢靠性有关的内部控制信息必需强迫性披露。

COSO于2004年9月在《内部控制一全体框架》的基础上提出了《企业风险管理－全体框架》(Enter-priseRiskManagementFramework，以下简称ERM)，进一步拓展了内部控制内涵，如引入风险的概念，并将内部控制目的中的“财务报告牢靠性”扩展到了“报告牢靠性”，添加了“战略目的”，将内部控制评价要素从原来的“五要素”添加到“八要素”，这些打破更有力推进了内部控制评价的开展。COSO报告对内部控制框架研讨曾经比拟成熟，是企业管理应局和注册会计师对内部控制有效性评价的基础，不时为企业界停止内部控制管理和内部控制树立提供自创。

可见，SOX法案就内部控制自我评价提出强迫性要求、SEC就评价载体——自评报告内容与格式做出规则、COSO从概念界定人手界定了内部控制的外延并将评价要素扩展到八个，标志着美国的内部控制自我评价制度日趋完善。三者相互协调，亲密配合，构建出操作性较强的内部控制自我评价体系。

(二)美国的内部控制核实评价制度

内部控制自我评价报告作为投资决策的依据必需经注册会计师的鉴证。为维护投资人权益，美国注册会计师协会(AICPA)于2003年3月18日财务报告内部控制审计征求意见稿，规则群众公司审计包括财务报表审计和财务报告内部控制有效性审计两个局部，独立审计师需求对内部控制的设计有效性和执行有效性停止评价，并宣布审计意见；假设公司内部控制存在未更正的重要控制弱点，注册会计师不得宣布财务报告内部控制有效的无保管意见。

作为照应，美国上市公司会计师监管委员会(PCAOB)于2004年《评价准绳第2号——与财务报表评价协同停止的对财务报告内部控制的评价》，要求审计人员评价管理应局运用于评价主体内部控制的顺序方法的牢靠性，复核和运用一些管理应局和内审人员以及其他人员对内部控制评价进程取得的测试结果，或自己停止测试，以构成独立意见。该准绳为上市公司管理层关于财务报告内部控制有效性评价和注册会计师师评价公司的财务报表制定了要求并提供指引。2007年，PCAOB又出具了新的要求：《评价准绳第5号——与财务报表评价相整合的财务报告内部控制评价》，要求评价人员对内部控制评价采用风险导向的评价方法，将审计资源集中于能够招致严重错报风险的范围。

可见，美国的核实评价制度与自我评价制度相照应，仅限于与财务报表评价协同的财务报告内部控制评价。外延的特别限定可降低注册会计师的风险，添加核实评价的可操作性。这为世界各国遏制信息披露作弊，维护证券市场次第和投资人权益举动指明了方向，因此惹起普遍的关注。

二、我国的内部控制评价制度及其效果

美国作为资本市场最兴旺的国度，因其资本市场规则的严谨而历来被各国自创和效仿。SOX法案的出台催生了我国际部控制强迫性制度的发生，也促进了注册会计师对内部控制自我评价停止核实鉴证规则的出台。

(一)我国际部控制自我评价制度

1、证券买卖所的规则。2006年以前，我国关于内部控制的评价制度源于《地下发行证券信息披露规则》、《地下发行证券的公司信息披露内容与格式准绳》、《证券公司年度报告内容与格式准绳》和《初次地下发行股票及上市管理方法》，主要对证券、保险、商业银行等金融行业的内部控制评价提出要求，大局部上市公司处于自愿性评价阶段。随着中国航油(新加坡)有限公司事情及其他证券市场作弊和违规事情的发作，内部控制强迫性评价要求日益剧烈。上海证券买卖所于2006年6月5日了《上海证券买卖所上市公司内部控制指引》(以下简称《上交所内控指引》)，于2006年7月1日末尾执行。其中，第三十二条规则：“公司董事会应在年度报告披露的同时，披露年度内部控制自我评价报告，并披露会计师事务所对内部控制自我评价报告的核实评价意见。”第三十三条规则：“公司内部控制自我评价报告至少应包括如下内容：内部控制制度能否树立健全；内部控制制度能否有效实施；内部控制反省监视任务的状况；内部控制制度及其实施进程中出现的严重风险及其处置状况；对本年度内部控制反省监视任务方案完成状况的评价；完善内部控制制度的有关措施；下一年度内部控制有关任务方案。”该指引明白要求上市公司在年报外独自披露内部控制自评报告，比美国的SOX法案的规则还要严厉。《上交所内控指引》虽规则了评价内容，但披露本钱较高，操作性差。同年，深圳证券买卖所也于9月28日了《深圳证券买卖所上市公司内部控制指引》(以下简称《深交所内控指引》)，于2007年的7月1日执行。其中，第六十二条规则：“公司董事会应依据公司内部审计报告，对公司内部控制状况停止审议评价，构成内部控制自我评价报告。公司监事会和独立董事应对此报揭宣布意见。自我评价报告至少应包括以下内容：对照本指引及有关规则，说明公司内部控制制度能否树立健全和有效运转，能否存在缺陷；说明本指引重点关注的控制活动的自查和评价状况；说明内部控制缺陷和异常事项的改良措施；说明上一年度的内部控制缺陷及异常事项的改善停顿状况。”该指引要求上市公司随年度报告披露内部控制自评报告，并就自评报告内容做出规则，其披露项目及陈列顺序与《上交所内控指引》基本相反。

2、内部控制规范委员会的规则。为了一致我国的内部控制的树立并完善企业管理结构和内部约束机制，2006年7月15日财政部等五部委成立了内部控制规范委员会，于200§年6月结合了《内部控制基本规范》以及《企业内部控制运用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》征求意见稿(以下简称“配套指引”)。基本规范明白了内部控制目的、准绳、要素等实际基础，三个配套指引处置操作性效果。经过一年多的征求意见，2008年6月28日《企业内部控制基本规范》正式，于2009年7月1日在上市公司范围内执行，现又推延至2010年1月1日执行。该规范第四十六条规则：“企业应结合内部监视状况，活期对内部控制的有效性停止自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、顺序和频率，由企业依据运营业务调整、运营环境变化、业务开展状况、实践风险水平等自行确定。”为控制评价规范的树立奠定了基础。

(二)我国际部控制核实评价制度

《上交所内控指引》第三十三条规则，“会计师事务所应参照主管部门有关规则对公司内部控制自我评价报告停止核实评价。”《深交所内控指引》第六十三条规则：“注册会计师在对公司停止年度审计时，应参照有关主管部门的规则，就公司财务报告内部控制状况出具评价意见。”以上两个指引提出了对内部控制自我评价报告出具核实评价报告的要求。

注册会计师对内部控制出具核实意见的依据是2002年9月中国注册会计师协会的《内部控制审核指点意见》(以下简称《指点意见》)。其第二条规则：“本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理应局对特定日期与财务报表相关的内部控制有效性的认定停止审核，并宣布审核意见。”第二十九条规则：“注册会计师应当复核与评价审核证据，构成审核意见，出具审核报告。

财政部2006年公布的《中国注册会计师审计准绳第1121号——了解被审计单位及其环境并评价严重错报风险》(以下简称《第1121号准绳》)，其中第四十五条规则：“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，思索招致严重错报风险的要素，以及设计和实施进一步审计顺序的性质、时间和范围。”第四十六条规则：“内部控制是被审计单位为了合理保证财务报告的牢靠性、运营的效率和效果以及对法律法规的遵守，由管理层、管理层和其他人员设计和执行的政策和顺序。’’第四十七条规则：“内部控制包括下列要素：控制环境；风险评价进程；信息管理系统与沟通；控制活动；对控制的监视。”

《指点意见》就注册会计师核实评价提出强迫性要求；《第1121号准绳》就评价内容做出规则，并界定了内部控制的概念及其要素。

(三)简明评述

美国的证券市场成熟，制度健全，其内部控制评价阅历了从自愿性到强迫性披露的进程，相关法规和制度曾经很丰厚和完善，各项制度协调分歧，相互配合。SOX法案刚刚出台，SEE、COSO、CICPA、PCAOB等部门都纷繁做出照应，支持SOX法案的落实，并在实际上与SOX法案坚持分歧。我国受美国际部控制评价制度开展的影响，出台了强迫性披露规则，末尾了内部控制评价规范的树立，出台了注册会计师核实评价规则。但是，面对我国社会各界，如公司管理层、注册会计师和投资人对内部控制认同度低；证券市场起步晚，时间短，全体规模小，结构不完善的理想，上述内部控制评价制度显然站位过高，接轨过快，曾经引发了内部控制评价和披露方式化，过于复杂，以及制度并未失掉有效执行等效果。笔者以为缘由如下：

1、评价规范滞后。美国的SOX法案出台后，SEE立刻制定了配套的评价规范。我国两个买卖所内部控制指引出台两年后才公布《内部控制基本规范》，三个配套指引尚在征求意见；就《内部控制基本规范》而言，原定2009年7月1日执行，现又推延至2010年1月1日起执行。评价规范的缺失使上市公司元所适从。

2、评价制度之间不协调。首先，《内部控制基本规范》、《上交所内控指引》、《深交所内控指引》及《内部控制审核指点意见》对内部控制概念界定、评价主体、自评报告审核主体各有不同的规则；内部控制要素等的规则，《内部控制基本规范》、《上交所内控指引》和《深交所内控指引》也各不相反；《上交所内控指引》和《深交所内控指引》要求注册会计师对内部控制自我评价报告停止鉴证，而《内部控制基本规范》却没有明白说明。其次，2006年《上交所内控指引》要求上市公司于2006年7月1日起执行强迫披露内部控制评价报告，但是在2008年1月《关于做好上市公司2007年年度报告任务的通知》中，只是鼓舞有条件的上市公司同时披露董事会对公司内部控制的自我评价报告和审计机构对自我评价报告的核实评价意见，两者前后矛盾。

3、注册会计师核实评价范围大，从业风险很难规避。美国的核实评价制度仅就与财务报告相关的内部控制做出核实评价，而我国在内部控制自我评价的相关制度中，把内部控制评价的范围界定为狭义的视角：包括了公司战略层面、运营层面、财务报告层面及恪违法律层面。而在注册会计师内部控制核实评价制度规则上与内部控制自我评价制度相对应，范围逾越了财务报告内部控制范围。假设依据本钱效益准绳，把关注的重点放在与财务报告相关的内部控制上，出具的鉴证报告将带来审计合规性与核实评价完整性的质疑，风险在所难免。

三、完善我国际部控制评价制度的意见

针对上述效果，笔者以为应采取以下措施完善我国际部控制评价制度。

第一，尽快出台并实施内部控制评价规范。目前上市公司内部控制自我评价报告披露方式多种多样，评价依据也存在差异，信息运用者不能识别内部控制状况的优劣，无法做出合理的判别。因此，现已的《内部控制基本规范》的三个配套指引的征求意见稿应尽快完善出台，规范自我评价报告，为投资者决策提供依据。

第二，应由证监会出台一致的内部控制指引，与《内部控制基本规范》相配合，以一致内部控制相关概念界定、内部控制评价目的、内部控制评价要素等。这些制度的协调一致是完善内部控制制度并使之有效运转的基础。在一致明白的制度指引下，上市公司可以经过树立健全内部控制评价体系，合理规避运营风险，保证资产平安，提高运营效率和效果。

第三，完善核实评价制度，并加大监管力度。尽快一致内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。意见自创美国的阅历，将核实评价的范围限定为与财务报告相关的内部控制评价。要使内部控制评价制度落在实处，必需加大监管力度。我国上市公司监管弱化已成不争的理想。截止到目前为止，没有上市公司因内部控制评价及信息披露违规受四处分的，注册会计师也很少出具非无保管意见的内部控制核实评价报告。核实评价是对自我评价的再监视，而证监会和证券买卖所的监管是使整个评价制度有效执行，防止上市公司与会计师事务所合谋诈骗投资人的有力保证。意见监管部门加大处分力度，保证评价制度的有效执行。