财务报告内部控制报告内涵及对我国的启示

一、财务报告内部控制报告的有关规定

近年来，上市公司经营失败、公司舞弊的指控以及财务报表的重述(financial statement restatements)都将注意力集中在财务报告内部控制的充分性上。但综观近年来发生的一系列财务欺诈案可以发现，像安然、新加坡中航油等财务欺诈案的发生，并不是因为这些公司财务报告内部控制不够充分，如新加坡中航油就一再强调公司有“严格的风险控制程序”，只不过这些财务报告内部控制是否有效值得怀疑。因此，管理当局如何对财务报告内部控制的有效性进行评价和报告成为当前紧迫的理论和实务问题。本文从财务报告内部控制报告的有关规定人手，结合财务报告内部控制报告的意义，分析美国财务报告内部控制报告对我国的启示。

(一)财务报告内部控制报告的内涵美国证券交易委员会(SEC)在2002年的33-8138号提案中首次对财务报告内部控制进行了诠释，该提案认为，财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证：公司的业务活动经过合理的授权；保护公司的资产避免未经授权或不恰当的使用；公司的业务活动被恰当的记录并报告，从而保证上市公司的财务报表符合公认会计原则的编报要求。

《2002年萨班斯――奥克斯利法案》(sarbanes-Oxley Act of2002，本文简称萨班斯法案)404条款要求公司必须就管理当局建立和保持充分的公司财务报告程序内部控制的职责进行报告，并报告管理当局对这些内部控制有效性的评价。同时，该条款及美国公众公司会计监督委员会(PCAOB)的审计准则要求从事审计的会计事务所也须对公司内部控制有效性和管理当局的评价发表意见。为了配合萨班斯法案404条款有关内部控制规定的实施，SEC在2003年6月正式的最终规则中提出了“财务报告内部控制”的操作性定义，SEC规则规定，财务报告内部控制是一个过程，是由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理当局和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表的编制符合公认会计原则提供合理的保证。具体包括以下控制政策和程序：(1)保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况；(2)为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报表的编制满足公认会计原则的要求；公司所有的收支活动均得到公司管理当局和董事的合理授权；(3)为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证，这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。从SEC财务报告内部控制的定义可以看出：其一，内部控制是一个广义的概念，涉及到企业管理的各个方面，SEC将主体对内部控制的考虑限定在财务报告编制的内部控制范围内，因此使用了“财务报告内部控制”这一术语。其二，SEC期望其所定义的内部控制与COSO委员会报告中的财务报告目标相一致。其三，上述第3点是针对公司资产的使用和处置提出的，表明保护资产的安全完整是财务报告内部控制的有机组成部分。

(二)萨班斯法案404条款与SEC规则对财务报告内部控制报告的规定主要包括以下内容：一是萨班斯法案404条款要求首席执行官(CEO)和首席财务官(CFO)对主体财务报告内部控制的有效性进行评价和报告。该份报告包括在公司按年度提交给SEC的表格中，为此，SEC已经为其注册成员制定了规则，要求公司提交的表格必须包括：(1)管理当局对企业财务报告内部控制的年度报告，具体为：关于管理当局建立和维护适当企业财务报告内部控制的责任报告；管理当局用于评价企业财务报告内部控制有效性的方法框架的报告；管理当局对到最近年末为止的企业财务报告内部控制的有效性评价，包括企业财务报告内部控制是否有效的声明，其中，必须披露管理当局所认定的企业财务报告内部控制的任何重大弱项，如果存在一个或多个重大弱项，则管理当局不得认定其财务报告内部控制是有效的；一个声明，即会计事务所(对公司包含在年报中的财务报表进行审计的机构)已经对管理当局的财务报告内部控制有效性评价意见签发鉴证报告。(2)会计事务所的鉴证报告，提供审计人员对管理当局财务报告内部控制评价意见的鉴证报告。(3)财务报告内部控制的变动，对于任何重要影响或可以合理预期将重要影响企业财务报告内部控制的任何变动都应予以披露，该项披露要求从2003年8月14日起生效。

二是SEC的S-K规章要求管理当局披露公司主要执行官、主要财务官或履行类似职权的人员在对报告期间的披露控制和程序进行评价的基础上，就企业披露控制和程序的有效性做出评价。

三是SEC要求公司的首席执行官和首席财务官签署两个书面证明，包括在公司提交的表格中。这两个书面证明是萨班斯法案302和906条款所要求的。(1)302条款要求在呈交SEC季度和年度报告时提出证明：包括已经核查了某个确定注册公司的特定报告；报告中没有存在任何重大的错报和漏报而导致对本期报告产生了误导性的信息；报告的财务报表和其他报告公允地反映了注册公司在所报告期间和时点上的财务状况、经营业绩和现金流动状况；对建立和维护公司的披露控制和程序以及企业财务报告内部控制报告承担责任；已经向公司的审计师和公司董事会的审计委员会进行披露(或者行使相同职权的人)等。(2)906条款包括对具体联邦犯罪法典的证明，如证明报告是完全符合1934年证券交易法中的条款要求，报告中的信息在所有重大方面公允地反映了企业的财务状况和经营成果。

二、财务报告内部控制报告的意义

财务报告内部控制报告的有关规定要求报告管理当局建立和保持充分的公司财务报告程序内部控制的职责：并报告管理当局对这些内部控制有效性的评价。财务报告内部控制报告具有重要的理论和现实意义。

(一)界定了管理当局的责任管理当局必须承担公司内部控制有效性的责任，并运用恰当的控制标准(如COSO标准)来评价公司内部控制的有效性，对形成的评估结果有足够的证据支持，同时签署一份关于公司内部控制有效性的书面申明。为取得足够的证据支持管理当局的评估结果，管理当局可以利用内部审计人员、管理人员、其他人员或第三方的工作，将其作为评价内部控制执行有效性的基础。相应地，管理当局可以雇佣外部审计师之外的注册会计师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。

(二)强调“人”的重要性财务报告内部控制有效性评价应包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理当局、内部审计和外部审计等各个方面，明确了评估的每个行动步骤由哪些高级管理人员负主要责任，以确保按时完成内部控制评价工作。

(三)保证信息披露的质量管理当局作为编制财务报告的一方，直接参与信息的制作，在信息的传输中处于主导地位。而广大

的股东(投资者)属于被动接受信息的一方，处于劣势。因此为减少信息不对称问题，政府机构通过制定会计准则、证券监管等，设置外部审计人员、投资分析人员等中介人员，以形成公司财务报告供给链，如图1所示：

在该供给链中，为保证投资者得到准确、及时的信息，其信息传输渠道的各个主体都必须以诚实信用为原则。但由于公司管理当局是信息输出的起点，因此，公司管理当局对编制的财务报告的可靠性和满足外部使用者的财务报表符合公认的会计原则就显得尤为重要；而要保证财务报告的可靠性和合法合规性，公司财务报告内部控制制度必须有效，其有效性由管理当局提供财务报告内部控制报告和发表财务报告内部有效性声明进行合理保证。

(四)完善公司内部控制制度通过为管理当局评估财务报告内部控制的程序提供建议，使管理当局认识到财务报告内部控制在企业内部控制中的重要作用，并且能够通过财务报告内部控制及时发现重大控制缺陷和重要管理要点，采取有效措施完善内部控制制度。通过向法律顾问、审计委员会和董事会报告财务报告中的内部控制薄弱之处，使公司财务报告情况更为透明，有利于内部控制制度的完善。

三、财务报告内部控制报告对我国的启示

美国萨班斯法案和SEC有关规则提出的一系列针对财务报告内部控制有效性的制度安排，对于我国公司内部控制有效性评价和报告具有一定的启发和借鉴意义。

(一)通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定目前，我国仅有2001年10月证监会的“关于做好证券公司内部控制评审工作的通知”中对内部控制评审提出了明确的规定，即要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审，会计师事务所应当向证券公司提交内部控制评审报告。而在其他规范中，没有对管理当局进行财务报告内部控制有效性评价提出强制性规定。面对我国上市公司的经营失败和公司舞弊指控的增多，财务报告内部控制的重要性日益显现，这就对财务报告内部控制有效性评价提出了新的要求。我国应借鉴国外的经验，在相关法律法规中对内部控制评价提出明确要求，将财务报告错误表述的风险降低到一个恰当的水平。

(二)制定相关规定要求管理当局提供财务报告内部控制有效性评价报告管理当局不仅要对财务报告内部控制的有效性进行评价，而且应将评价结果以书面声明的形式对外报告，以使外部投资者能够确定公司提供财务报告的程序合规合法，对财务报告的可靠性和对法律法规的遵循性提供合理保证。

(三)明确内部控制评价的内容目前我国理论与实务界没有对内部控制评价的内容形成一致的意见。由于独立审计师对财务报告内部控制有效性进行审计时，主要是针对财务报告形成过程中所有重要的内部控制有效性进行评价，因此在确定内部控制评价内容时，一方面应根据注册会计师与委托人达成的业务约定书内容，另一方面还需考虑审计师在审计初期确定的审核标准。除了独立审计师的审计外，企业自身进行评价时的评价内容也有待进一步明确。

(四)协调管理当局评价与外部审计师审核管理当局对内部控制有效性负责，必须选择适当的控制标准对公司的内部控制有效性进行评价，并获取足够的证据来支持最终的评价结果，同时要签署一份关于公司内部控制有效性的书面申明。而审计师需要对管理当局最终形成的内部控制评价报告意见提供足够的恰当证据。因此管理当局应加强与外部审计师的交流和沟通，如所确定的重要内部控制内容及原因；对重要内部控制形成的文件的完整性以及设计的合理性如何；在进行重要控制的执行有效性评价时采取的程序是否科学合理；发现的内部控制缺陷及其重要性如何，采用的改进措施是否有效等。管理当局、内部审计人员以及管理当局雇用的第三方测试工作只能作为外部审计人员内部控制评价工作的一部分，审计师还需重复相关的测试工作，并进行执行有效性的独立测试，以保证审计结论的公允。

借鉴萨班斯法案、SEC规则等，我国应采取对策加强财务报告内部控制有效性的评价和报告，我国监管机构在上市公司内部控制制度的强制性规定方面应有所作为。