2022年美英上市公司内部控制评价与报告体系的比较研究.doc

美英上市公司内部控制评价与报告体系的比拟研究 本文为国家自然科学基金项目“我国民营企业内部控制研究〞〔项目批准号：70272055〕的阶段性研究成果张宜霞〔东北财经大学内部控制与风险管理研究中心 116025〕 [] 自美国SOX法案公布以来，上市公司内部控制的评价与报告成为人们关注的一个新的焦点在当前各国的上市公司内部控制评价与报告体系中，以美国的和英国 欧盟上市公司的内部控制评价与报告体系与英国的比拟相似的最为典型二者在内部控制评价和报告的主体、评价和报告的内容和范围、评价的依据和标准以及评价和报告的时间和频率方面都存在很大的差异，代表着两种截然不同的方向[关键词] 内部控制 内部控制审计 Turnbull指南 原那么导向一、美国的上市公司内部控制评价与报告 2001年以来，美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注，严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心，迫于这种压力和形势，2002年7月，美国国会通过并公布了?萨班斯－奥克利法案?〔The Sarbanes - Oxley Act of 2002，SOX〕，致力于治理财务丑闻和财务报告中可能出现的问题，目的是为了恢复公众对公司会计实务和财务报告的信心。

SOX法案结合公司的财务报告全面提高了对上市公司内部控制的要求，把过去的很多自愿和选择性做法变成了法定的、强制性的要求，其中302节和404节尤为具体，对内部控制的评价和报告进行了明确的规定和要求SEC根据SOX法案的规定于2003年6月发布了“最终规那么〞对相关问题提出了详细的规定公众公司会计监管委员会〔PCAOB〕也于2004年发布了第二号审计准那么〔AS No.2〕，并在2004年末进行了修正〔一〕美国的上市公司内部控制评价与报告体系SOX法案是为上市公司规定了一个内部控制的评价和报告体系，以提高内部控制的有效性，加强内部控制信息的透明度根据SOX法案302节、404节以及SEC 的“最终规那么〞和PCAOB的AS No.2，美国上市公司内部控制的评价与报告体系包括：〔1〕公司管理层对财务报告内部控制的有效性进行评价，对内向审计委员会报告、对外发布公开报告；〔2〕注册会计师对财务报告内部控制进行的审计，对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见美国上市公司财务报告内部控制评价与报告体系如图1所示：内部控制评价内部控制报告公司管理层对财务报告内部控制有效性的评价内部控制的对外报告注册会计师对财务报告内部控制的审计注册会计师的审计报告内部控制的对内报告对管理层评价的鉴证对内部控制有效性的评价图1 美国公司内部控制评价与报告体系〔二〕美国上市公司管理层对财务报告内部控制的评价与报告1．评价依据SEC要求管理层的报告要确定管理层评估公司财务报告内部控制的有效性时所用的评价框架。

管理层对公司财务报告内部控制有效性的评价必须依据一个适当的、公认的控制框架，这个框架应是由一个团体或组织按照应有过程〔due-process〕的程序〔包括框架要广泛的征求公众的评论〕建立的SEC认为，一个适当的框架必须满足以下条件：〔1〕没有偏见；〔2〕允许适当一致的定性和定量衡量公司的内部控制；〔3〕充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素；〔4〕与评价财务报告内部控制相关SEC指出，COSO框架满足它们的标准，可以用作管理层内部控制年度评价和披露所要求的评价框架但是，SEC没有要求应用某一个特定的框架〔如COSO框架〕，因为，SEC认识到这样一个事实：在美国之外可能存在其他评价标准 SEC指出，加拿大特许会计师协会发布的?评估控制指南?和英格兰&威尔士特殊会计师协会发布的?Turnbull指南?都是适当的框架并且将来在美国也会开展出除COSO以外的框架，它们符合法令的意图而不会减少投资者的利益使用可以公开得到的衡量标准将会提高内部控制报告的质量，将会促进不同公司内部控制报告的可比性2．评价标准对于公司财务报告内部控制有效性的评价，SEC没有提出管理层可以据以断定公司财务报告内部控制有效的具体标准，但是，SEC设定了一个管理层确定公司财务报告内部控制有效的限度：如果管理层识别出公司财务报告内部控制中的一个或多个重要弱点〔material weakness〕，管理层就不能断定公司的财务报告内部控制是有效的。

而且，SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公司财务报告内部控制中所有重要弱点的披露重要弱点〞指的是“一个重大缺陷或重大缺陷的联合，会导致年度或期间财务报表的一个重要错报没有被阻止或发现的概率大于一个极小的可能性〔remote likelihood〕〞重大缺陷〞指的是“一个控制缺陷，或控制缺陷的联合，会对公司发起交易、授权、记录、处理或可靠地按照公认会计原那么报告外部财务数据的能力产生有害影响，以至于公司年度或期间财务报表的一个超过无关紧要程度的错报没有被阻止或发现的概率大于一个极小的可能性〔remote likelihood〕〞重要弱点和重大缺陷都表示内部控制设计或运行中的缺陷，都会对公司与管理层在公司财务报表中的认定保持一致、进行记录、处理总结和报告财务数据的能力产生不利影响重要弱点构成一个比重要缺陷大的缺陷，累计的重要缺陷会构成公司财务报告内部控制的一个重要弱点3．评价方法与内容SEC认为，对财务报告内部控制实施评价的方法对不同的公司来说将会并且应当是不同的，因此，SEC的规那么没有明确说明管理层评价财务报告内部控制应当应用的方法和程序对公司财务报告内部控制的评估必须根据足以既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。

要受到这种评估的控制包括但不限于：〔1〕对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报表中包含的相关认定的控制；〔2〕与非常规和非系统交易的动议和处理相关的控制；〔3〕与适当会计政策的选择和应用相关的控制；〔4〕与防止、识别和发现舞弊相关的控制此外，公司在实施评价并形成有关财务报告内部控制有效性的评价结论时，必须保存证据〔包括记录〕，为管理层对财务报告内部控制有效性的评价结论提供合理的支持形成和保存这些证据是有效内部控制的一个内在要素对财务报告内部控制有效性的评估必须得到与内部控制设计和测试程序相关的证据〔包括记录〕的支持这些证据 需要鉴证或报告管理层对公司财务报告内部控制的评价的公共会计公司也要求公司形成和保存这样一些证据，以支持管理层的评估应当为以下事项提供合理的支持：〔1〕对内部控制是否用来防止或发现重要错报或遗漏的评价；〔2〕对测试进行了适当的规划和实施；〔3〕测试的结果得到了适当考虑管理层对控制的评估并不意味着管理层必须亲自执行必要的活动来评价公司财务报告内部控制的设计以及测试其运行有效性各种活动〔包括那些为管理层提供据以形成评价结论所需信息的必要活动〕可以在管理层的监督下由非管理层人员执行。

公司测试活动的性质主要取决于公司的具体情况以及控制的重要性，但是，单独的询问一般不会为管理层的评估提供充分的依据而且，根据SEC有关审计独立性的规那么，审计师可以帮助管理层建立内部控制档案，但是，管理层不能把其评估财务报告内部控制的责任转移给审计师SEC建议的规那么曾经要求美国的证券发行人每一季度都要对其财务报告内部控制进行全面的评价但是，最终规那么要求美国的证券发行人只有在财务季度期间发生的变动已经或相当可能对财务报告内部控制产生重要影响的情况下才实施季度评价该评价必须由公司的管理层在CEO和CFO参与的情况下实施4. 管理层对外的内部控制报告SOX法案302节的规那么要求CEO和CFO在每一期间报告中都要保证他们已经披露了最近的一次评价之后公司内部控制发生的所有重大变化以及会对内部控制产生重大影响的其他因素，要求CEO和CFO在每一期间报告中都要保证他们已经向公司的审计师和审计委员会披露了公司内部控制的所有“重大缺陷〞、向公司的审计师披露了内部控制的所有“重要弱点〞SEC的“最终规那么〞对其进行了修改，要求每一个美国或非美国证券发行人的管理层要在发行人首席执行官和首席财务官〔或履行类似职能的人〕的参与下，评价发行人每一财务年度末财务报告内部控制的有效性。

此外，还要求公司的年度报告要包括管理层的一个内部控制报告，这个报告主要包括：〔1〕陈述管理层为公司建立和维持充分的财务报告内部控制的责任；〔2〕一项陈述，确定管理层对公司财务报告内部控制的有效性执行规定的评价时所采用的框架；〔3〕管理层对公司的财务报告内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务报告内部控制是否有效的陈述这项评估必须包括对管理层识别的公司财务报告内部控制重要弱点的披露如果在公司的财务报告内部控制中存在一项或多项重要弱点，就不允许管理层得出结论，认为公司的财务报告内部控制是有效的〔4〕一项陈述，说明审计财务报表〔包括在年度报告中〕的已登记公共会计公司已经就管理层对财务报告内部控制的评价出具了鉴证报告SEC没有明确规定管理层的内部控制报告必须出现在公司年度报告中的什么地方，但是，它认为，管理层的评价报告靠近公共会计公司出具的相应鉴证报告非常重要它预期，许多公司会选择把内部控制报告和鉴证报告放在接近MD&A披露的地方，或者紧靠公司财务报表前面的一份文档中5．管理层对内的内部控制报告根据SOX法案以及SEC的相关规那么，公司管理层不但要定期对外报出财务报告内部控制的报告，而且还要向公司的审计委员会报告内部控制的以下相关情况：〔1〕内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷；〔2〕在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不管行为的影响是否重大。

〔三〕美国外部注册会计师对公司财务报告内部控制的评价与报告SOX法案404〔b〕规定，审计师的鉴证和报告应当根据PCAOB发布或通过的鉴证业务准那么进行，而且，这个评价过程不应当作为一项单独的业务SEC的规那么要求每一个为公司出具或编制审计报告的注册公共会计公司要审查、鉴证和分别报告管理层有关公司财务报告内部控制有效性的报告鉴证必须注明日期，亲自签名，标明该报告涵盖的期间，清晰的说明审计师的意见：管理层对公司财务报告内部控制有效性的评估在所有重大方面是否得到了公允的说明，或者必须包括一个不能表示整体意见的意见管理层评估财务报告内部控制的鉴证报告可以与审计报告分开2003年5月，PCAOB指定当时美国注册会计师协会〔AICPA〕制定的“鉴证业务准那么公告〞作为鉴证管理层评估财务报告内部控制有效性的准那么，直到PCAOB发布进一步的准那么2004年3月，PCAOB发布了AS No.2，于是，AS No.2成为审计师审计财务报告内部控制，鉴证管理层评估内部控制有效性的标准和依据，从而导致了审计实务的重大变化1．注册会计师对管理层内部控制报告的评价根据PCAOB的AS No.2，审计师在评价管理层内部控制报告时，应重点评价以下内容：〔1〕管理层是否适当表示了其建立和维持充分财务报告内部控制的责任。

〔2〕管理层实施评价所应用的框架是否适当〔3〕管理层对财务报告内部控制在公司最近财务年度末有效性的评价是否没有重要错报〔4〕管理层是否以可以接受的形式表述了评价结果：管理层需要说明公司的财务报告内部控制是否有效；说明“管理当局没有注意到说明公司财务报告内部控制无效的事项〞的消极保证声明是不能接受的；如果公司的财务报告内部控制存在一个或多个重要弱点，那么，就不允许管理层。