一、《萨班斯法案》404条款的背景及主要内容
美国上市公司发生的管理层舞弊、董事会监督不力、独立审计师不“独立”等现象引起了投资者的强烈不满,作为美国资本市场支柱之一的投资者信心受到了极大的打击。为了挽回投资者的信心,2002年美国国会通过了《萨班斯法案》,旨在加强上市公司财务呈报过程的每个环节,以维护外部投资者的利益。其中,404条款规定:
“管理层必须在公司年度报告中对内部控制进行报告,包括:(1)管理层有责任建立和维持充分的内部控制结构和财务报告程序的声明;(2)在公司最近的财务年度期末,对公司内部控制结构和财务报告程序的有效性进行评估。同时,为上市公司提供审计业务的会计事务所必须就管理层对与财务报告相关的内部控制评估进行鉴证,并提供报告。”
笔者认为,404条款或许希望通过完善上市公司内部控制结构、明确内部控制责任以及对其进行有效监督,从而强化财务报告呈报中的内部控制环节,达到保护外部投资者的目的。该条款将对注册会计师上市公司年报审计业务和内部控制鉴证业务两方面产生影响。为及时指导会计职业界,美国审计准则委员会颁布了《审计准则(征求意见稿)———在财务报告审计过程中对与财务呈报相关的企业内部控制的审计》和《鉴证业务准则公告———对与财务呈报相关的企业内部控制的报告》。新准则重新定义了“上市公司财务报告年度审计”,将其看作既包括年度财务报告审计,又包括内部控制鉴证的统一活动。其中,内部控制评价方面的主要变动体现在以下几方面:
(一)扩大了内部控制测试范围
“内部控制鉴证”是指审计师根据内部控制标准,对处在某一时点的企业是否已在所有重大方面保持了有效的内部控制发表意见。但为了对财务报表发表意见而进行的内部控制了解和测试,在性质、时间和范围上不足以作为对内部控制发表意见的依据,因为:(1)控制测试的范围不够广;(2)控制测试不能为内部控制的执行效率提供恰当水平的保证。
(二)提高了对内部控制的保证水平
一般而言,注册会计师提供的财务报告相关内部控制鉴证业务包括检查、复核及商定程序三个保证水平。
通常情况下,审计师为了对财务报表发表意见而进行的内控测试,只需要对内控的执行效率提供中等或低等水平的保证;而根据新准则,为了对内部控制发表意见,审计人员所进行的内部控制测试应该足够对内部控制的执行效率提供高水平的保证。
二、美国鉴证准则与我国相关准则的比较
《萨班斯法案》404条款使“与财务呈报相关的内部控制鉴证”成为一项法定业务。AICPA随后颁布的《鉴证业务准则公告———对与财务呈报相关的企业内部控制的报告》,对一些重要概念进行了重新说明或定义,希望在保护职业界的同时,为注册会计师执行鉴证业务提供指导。
(一)“与财务呈报相关的内部控制和程序”的定义
新准则将“与财务呈报相关的内部控制和程序”定义为与编制财务报告相关的内部控制,主要强调了内部控制目标中的“财务报告可靠性”的目标。
我国《内部控制审核指导意见》(以下简称《意见》)中的内部控制仅指“与会计报表相关的内部控制”,而该《意见》的目的在于“规范注册会计师执行内部控制审核业务”。这里是否将内部控制等同于与会计报表相关的内部控制?而且,《意见》未对“与财务报表相关的内部控制”的范围进行界定。考虑到我国目前对内部控制目标界定缺乏一致性,中注协、证监会和财政部各有各的规定,而内部控制本身又是相互关联,极难完全划分开,笔者认为《意见》对“与财务报表相关的内部控制”不加以界定,其初衷可能是让注册会计师更多的根据实际情况来运用职业判断,但却可能导致被审核的业务范围界定不清、审计师责任范围模糊,进而引发法律责任。
(二)对“恰当的”内部控制评价标准进行了定义
新准则用“恰当的标准”替代“可接受的标准”,提高了注册会计师提供内部控制鉴证业务的“门槛”。审计师必须在下列条件满足的情况下才可能对企业内部控制的有效性进行检查:(1)责任方必须运用恰当的标准对公司内部控制的有效性进行评价;(2)责任方用以评价企业内部控制有效性的标准必须恰当、必须由专家小组根据恰当的程序制定,比如COSO提出的《内部控制———完整框架》。
笔者认为,由于与财务报告相关的内部控制鉴证业务成为与年报审计一起进行的法定业务,鉴证报告的使用范围将面向全体公众(不再限于公司的董事会或监管部门等有限范围)。这种内部控制“外部化”趋势扩大了审计师的责任范围。而管理层对公司内部控制的评价是鉴证业务的重要基础,AICPA有动机通过提高鉴证服务的门槛,使管理层采用高质量的内部控制标准,在一定程度上可以避免因内部控制评价标准缺陷而导致鉴证报告失实的情况,从而保护注册会计师。
同时,从《审计准则第78号———在财务报告审计中对内部控制的考虑》开始,涉及上市公司年报审计的准则统一采用了COSO报告中关于内部控制定义、元素、评价标准等内容。《萨班斯法案》404条款使财务报告相关的内部控制鉴证成为年度财务报告审计同时进行的法定业务。AICPA可能希望用一个与现有审计准则逻辑一致、统一的内部控制评价标准来规范管理层评价过程,让管理层的评价和审计师的评估能够在一个公认的标准下进行。
我国《内部控制审核指导意见》第26条规定的比较笼统,仅要求“管理当局已对内部控制的有效性进行了评价”。笔者认为,如果管理当局缺乏评价内部控制所需的恰当标准,很可能导致其评价过程无所适从或流于形式,影响审计师执行审核业务的基础,进而增加审核风险。
(三)对于发现的内部控制重大缺陷的处理
新准则规定:“从事企业内部控制有效性鉴证业务的审计师,应该向被审核企业的审计委员会以书面形式对所发现的重大缺陷和重大不足进行报告。为了保证信息的及时传递,审计师可以选择与它的客户在鉴证过程中加以沟通,也可以在鉴证业务结束之后进行沟通。”
我国《内部控制审核指导意见》仅要求“对已发现的内部控制重大缺陷,注册会计师应当及时以书面形式与被审核单位沟通”。《意见》相对模糊的规定可能会在审计师执业过程中引发许多问题。比如,审核中发现的内部控制缺陷与被审核单位的管理层或董事会有关,审计师应该找谁?如果审计师接受客户委托,对公司的收购标的公司的内部控制进行审核,那么他是否有责任就审核中发现的重大缺陷与目标公司进行沟通?《意见》或许应该结合公司治理的特点,特别对与上市公司,规定注册会计师与审计委员会进行沟通,避免管理层逾越内部控制情况的发生。
三、我国内控鉴证反思
从近年来发生的郑百文、银广夏等一系列上市公司恶性舞弊案例可以看出我国上市公司内部控制还存在漏洞,急需注册会计师内部控制鉴证业务把关。我国目前对内部控制的披露要求不断提高,进行内部控制鉴证的范围也在不断扩大。如《上市公司新股发行管理办法》规定,申请发行新股的上市公司必须提交注册会计师关于发行人内部控制制度的评价报告;中国证监会明确指出,基金公司从2004年起必须聘请会计师事务所对其内部控制进行专项评价,评价结果将会影响公司各项业务的资格。
内部控制鉴证业务的提供涉及公司管理层、董事会以及注册会计师等多个方面,离不开众多外部条件的共同配合,笔者认为应该注意以下几方面:
第一,建立逻辑统一的内部控制框架。目前我国内部控制鉴证业务准则和公司管理层采用的内部控制标准在目标、控制要素等基本概念存在众多不一致的地方。而管理层、注册会计师和报告的使用者之间在内部控制基本概念上达成“共识”是有效开展内部控制鉴证服务的前提。
第二,管理层应该提供能够“可审计的”内控制度。由于内部控制审核业务是注册会计师对管理层对内部控制评价报告进行进一步的审核,为使审核工作顺利进行,管理层需要对某些具体流程重新设计,使相关内部控制具有“可审计性”。KPMG针对这一要求,提出了相关建议,具体包括:划定评价范围、制定评价计划;进行记录控制;对设计及运作的有效性进行评价,并沟通评价结果、弥补缺陷;指明、归集、评价内部控制设计和运作上的缺陷;准备财务报告相关内部控制有效性的书面声明报告等。
第三,理解内部控制在治理舞弊方面的局限性。良好的内部控制本身并不能保证公司经营成功,而且在财务报告可靠性及合规性方面,内部控制也仅能提供“合理”的保证,而非“绝对”保证。对于高层管理人员舞弊而言,内部控制比较容易被逾越。除了本文提到的内部控制外,还应该增加高层管理人员责任、加强审计委员会防止舞弊能力等多方面内容。
第四,加强注册会计师的专业胜任能力。由于内部控制的多样性和复杂性,对内部控制进行鉴证服务需要很强的专业胜任能力。从绝大多数会计师事务所目前的情况来看,注册会计师大都为会计、财务领域的专业人才,要求注册会计师对企业的内部控制进行评价并出具评价意见报告,从某种程度上来说已经超越了注册会计师的专业胜任能力。
第五,进一步明确各方应该承担的责任,建立有效的责任判定标准。由于内部控制鉴证业务包括管理层评价及注册会计师审核两个步骤,一旦出现经营失败,很可能引发是否因为内部控制失效而导致经营失败以及应该由管理层来承担或由注册会计师来承担责任等大量复杂问题的认定工作,因此,针对这些责任的研究就显得非常必要。
(作者单位:中国人民银行南京分行)
