首页>网上期刊>期刊名称>期刊内容> 正文

美国内部控制鉴证制度的演变及其对我国的启示

2007-11-12 13:54 《新理财》·唐宇 陈广垒 【 】【打印】【我要纠错

  美国内部控制鉴证制度的演变

  作为注册会计师鉴证业务的重要组成内容,美国内部控制鉴证制度的确立是证券监管机构、公共会计公司、上市公司和社会公众等相关利益主体长期博弈的结果。

  20世纪70、80 年代,美国经济开始出现“滞胀”现象。公众公司尤其是上市公司出现的舞弊财务报告、公司管理层滥用职权(如非法政治捐赠)和破产倒闭等事件,迫使联邦政府监管机构、企业界、学术界和社会公众开始重新反思公司治理和内部控制问题。1977年,美国国会通过《反国外贿赂法案》,规定所有向证券交易委员会(SEC)注册的企业应针对交易和资产建立符合成本效益原则的内部会计控制。美国国会也对公众公司建立并维持适当的内部控制表示强烈关注,直接导致全美反欺诈财务报告委员会的成立(NCFR或称为the Treadway Commission)。1987年10月,Treadway委员会发表研究报告,建议所有上市公司应当在年度财务报告中附列有管理层签名的内部控制报告(MRIC)。Treadway委员会认为,MRIC具有两方面的积极作用:(1)首席执行官和(或)首席财务官的签名可能促使其关注在财务报告和内部控制方面的责任;(2)传递最高管理层建立并维持适当内部控制的承诺。但是,Treadway委员会并不要求注册会计师对MRIC提供鉴证。美国注册会计师协会(AICPA)下属的公共监督委员会(POB)认为,在发布MRIC之前进行评估可能有助于改善企业内部控制系统。AICPA在1993年白皮书中指出,内部控制系统是防止欺诈财务报告的主要防线,投资者应当获得关于内部控制系统的独立评估。1994年,AICPA主席建议,公司管理层应当对内部控制的有效性发表报告,且注册会计师对管理层报告提供评估。1990年,美国众议院举行听证会,就强制性提供MRIC提出立法建议草案。但是,该草案在1991年被参议院否决而未能成为正式法律。

  在国会和社会公众的压力下, SEC分别于1980年和1989年在条例S-X303项及其修订中要求在管理当局讨论与分析(MD&A)中披露内部控制。但是,上市公司反对提供MRIC,认为这将增加其运营成本,不符合1977年《反国外贿赂法案》确立的成本效益原则。此外,SEC内部在对待MRIC方面也存在较大分歧。例如,两任首席会计师Schuetze和Burton对MRIC的作用认识不一。因此,SEC并没有强制规定上司公司应当提交管理层关于内部控制的报告,上市公司在提交MRIC方面更多表现为自愿性,且披露的内容较为广泛。McMullen、Raghunandan和Rama(1996)归纳指出,在2221家上市公司中,提供MRIC的只占33.41%,且披露最多的三项内容(80%以上)分别是审计委员会开展的活动、合理保证的含义和保障资产安全的措施。只有7.4%的上市公司表示在年末内部控制是有效的。

  在不存在强制性MRIC的情况下,为了减轻可能遭遇的法律责任,注册会计师不存在对内部控制提供鉴证的压力和必要性。例如,莫茨和夏拉夫(1990)认为,内部控制本身是一个极为广泛的命题。内部控制评价不过是对不可估量的事物进行的犯难的、主观的衡量。因此,独立审计人员承担审查和评价内部控制的责任是非常危险的。但是,他们也指出,对内部控制进行检查和评价是良好审计计划中必不可少的,也是审计人员能为其委托人服务的重要领域。在传统风险导向审计模型下,注册会计师主要利用复合性测试的评价结果来确定实质性测试的性质、事件和范围。

  经济社会对信息需求的迅速变化导致注册会计师服务的性质、范围和领域不断扩展。随着资本市场尤其是衍生市场的发展,财务信息和非财务信息的披露都显得十分重要,注册会计师逐渐成为全球资本市场经济决策信息的主要提供者。在非审计业务迅速发展的背景下,AICPA依据COSO报告先后发布多项与内部控制直接相关的审计准则和鉴证准则,其中审计准则主要包括SASNo78(1996年)和SASNo94(2001年),鉴证准则主要是SSAENo10(合并SSAENo1-9而成)(2001年)。其中,SSAENo9要求注册会计师不再针对管理层报告而直接针对内部控制的有效性提交报告。

  2001年12月,美国发生以安然和世通公司财务舞弊为代表的一系列事件,沉重地打击了资本市场的信心。为了重振资本市场和保护投资者,2002年7月,美国国会通过《萨班斯——奥克斯利法案》(Sarbanes-Oxley Act of 2002)。法案涉及内部控制的主要条款分别是103、302和404节,其最显著之处在于正式以法律的形式要求上市公司管理层在年度报告中包括内部控制报告,由担任年报审计的会计公司按照公众公司会计监督委员会(PCAOB)发布或认可的准则进行测试和评价,并出具评价报告,且上述评价过程不应当作为一项单独的业务。为了更好地实施第404节的要求,2002年10月,SEC发布关于管理层财务报告内部控制书面声明的征求意见稿,并于2003年8月14日正式生效。最终规则的主要内容有:(1)适用1934年《证券交易法》的公司(除注册投资公司外),应当在年度报告中包括一份管理层关于财务报告内部控制的报告,且注册公共会计公司出具的鉴证报告是年度报告的组成内容;(2)管理层对季度内发生的、对财务报告内部控制存在重大影响或可能重大影响的任何财务报告内部控制变动进行评价;(3)对《1934年证券交易法》和《1940年投资公司法》的相应规则和表格进行修订,以满足302节书面证明的要求,并根据《萨班斯——奥克斯利法案》302节和906节的要求在定期报告中提供书面证明。在会计职业界,2003年3月,AICPA发布财务报告内部控制审计征求意见稿,对注册会计师财务报告内部控制实施现场审计和出具报告作出明确要求。此外,一些大型会计公司(如毕马威)也纷纷对财务报告内部控制评价提出具体的操作建议。2004年3月,PCAOB根据《萨班斯——奥克斯利法案》404节的要求,制定第2号审计准则《与财务报表审计协同进行的财务报告内部控制审计》(以下简称ASNo2),对注册会计师在针对财务报表审计的同时如何开展财务报告内部控制审计提出明确要求。

  《萨班斯——奥克斯利法案》和SEC相应规则的发布,标志着美国财务报告内部控制审计正式超越检查业务范围,成为财务报告制度的重要组成部分。

  我国内部控制鉴证制度及其存在的主要问题

  在我国注册会计师审计准则中,内部控制强弱一直是注册会计师确定实质性测试程序的重要依据。2006年2月,财政部发布《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》,全面地借鉴了COSO报告的内容,对控制测试的性质、时间和范围作出规定。在内部控制鉴证制度方面,2002年2月,中国注册会计师协会发布《内部控制审核指导意见》(以下简称《意见》),对注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见制定规范,从而正式确立了我国的内部控制鉴证制度。

  随着证券市场的发展,我国的内部控制鉴证制度日益不能适应推动公司管理层切实履行经管和受托责任、保护投资者利益和提高审计效率、效果的需要,且不能实现与国际惯例接轨。这些缺陷主要表现在:

  1.内部控制评价规范的法律级次低。《公司法》和《证券法》没有明确要求公司建立有效的内部控制及其鉴证制度。目前,证监会主要通过规范性文件的形式要求进行内部控制评价,如《公开发行证券的公司信息披露编报规则》和《公开发行证券的公司信息披露内容与格式准则》。此外,2006年,上海和深圳证券交易所分别发布《上市公司内部控制指引》,要求从2006年年度报告起披露管理层关于内部控制的自我评价报告,并由会计师事务所发表评价意见。

  2.内部控制鉴证制度强制力弱。目前,对内部控制评价仅限于首发和增发环节,对于在定期报告中披露内部控制没有强制性要求。

  3.缺乏统一的内部控制鉴证标准。与美国内部控制审计相比,我国现阶段尚不存在权威且公认的内部控制理论框架,这导致内部控制评价缺乏科学、统一的标准。虽然证监会要求发行人在首发和增发时注册会计师对内部控制的合理性、完整性和有效性进行评价,并出具评价报告。但是,这些规范并没有明确注册会计师判断“三性”的标准。目前,我国上市公司中对内部控制评价倾向于对内部会计控制的评价。

  4.缺乏科学、合理的内部控制鉴证规范。与ASNo2相比,《意见》主要存在下列四个方面的显著缺陷:(1)范围较小。《意见》将范围确定为与会计报表相关的内部控制,而ASNo2强调财务报告内部控制。(2)保证程度较低。《意见》将注册会计师提供的内部控制鉴证界定为审核。从性质上看,类似于AICPA在SSAE中提出的检查。ASNo2将内部控制鉴证界定为一项与财务报表审计协同进行的审计活动,是一种整体性审计。(3)缺乏明确的评价标准。《意见》没有提及实施内部控制审计所依据的具体标准,导致难以判断内部控制是否有效。ASNo2规定,COSO报告为管理层评价财务报告内部控制有效性提供了适当和可用的标准。(4)缺乏切实可行的评价程序。《意见》要求注册会计师遵循三个程序,ASNo2对注册会计师如何开展财务报告内部控制审计作出详细的规定。

  此外,报告名称也存在不一致现象。例如,兴业银行首次发行股票招股意向书中针对同一份报告出现了三个不同措辞:内部控制鉴证报告、内部控制评价报告和内部控制审核报告。

  完善我国内部控制鉴证业务的若干建议

  1.通过法律法规的形式确立内部控制鉴证制度

  针对相关内部控制鉴证制度法律级次较低的现状,应当在借鉴国外立法和实践经验的基础上,尽快制定强制实行内部控制鉴证的法律法规,或者在相关法律法规如《公司法》和《证券法》中等对管理层报告财务报告内部控制,以及会计师事务所针对管理层关于财务报告内部控制有效性评价实施鉴证等提出明确要求。

  2.建立财务报告内部控制鉴证业务的执业规范

  通过《意见》与ASNo2比较,可以发现前者在效力和内容等方面存在缺陷,需要进一步修订。具体来说,应当考虑三方面的主要问题:一是《意见》在中国注册会计师审计准则框架中的地位问题,建议直接作为受《中国注册会计师其他鉴证业务准则第3101号——历史财务信息审计或审阅以外的其他鉴证业务》制约的一项其他鉴证业务准则;二是在内容上参照ASNo2进一步补充和完善,可以考虑按照现代风险导向审计的思路来完善所需实施的审计程序,包括从总体层次和具体认定层次来分别采取不同的应对措施;三是内部控制是一个十分广泛的命题,建议在修订时将鉴证对象确定为与财务报表审计协同进行的财务报告内部控制。

  3.建立财务报告内部控制鉴证业务的评价标准

  财务报告内部控制鉴证业务属于历史财务信息审计或审阅业务之外的其他鉴证业务。正如在开展历史财务信息审计或审阅业务需要依据会计准则和相关会计制度,在开展财务报告内部控制时,审计师同样也需要一定的判断标准。在美国,ASNo2明确将COSO报告作为判断财务报告内部控制有效性的框架。在我国,虽然财政部从2001年先后发布《内部会计控制规范——基本规范》和许多具体控制规范。但是,这些规范在形式上属于内部会计控制标准,且较为散乱,难以满足财务报告内部控制鉴证业务的需要。因此,作为会计法的执行主体,财政部应当尽快发布适应我国国情和市场经济发展需要的内部控制标准,为开展内部控制鉴证业务提供标准。

  4.建立具有可操作性的内部控制评价指南,为管理层评价财务报告内部控制的有效性提供指引

  从美国的实践来看,注册会计师开展财务报告内部控制鉴证业务,是以管理层关于财务报告内部有效性的评价报告为前提条件和对象的。目前,我国证监会在信息披露规范中并没有明确要求上市公司管理层提供关于内部控制有效性的报告。例如,《公开发行证券的公司信息披露内容与格式准则第2号——年度报告的内容与格式》(2005年修订)仅仅要求在第三章第七节“监事会报告”披露公司是否建立完善的内部控制制度。信息披露编报规则第1、3、5、7、8 和18号也仅是要求商业银行等金融机构管理层就内部控制的完整性、合理性和有效性作出说明。这在一定程度上导致上市公司之间管理层做出的内部控制评价报告缺乏可比性,不利于投资者作出科学、合理的投资决策。因此,监管机构应当尽快制定财务报告内部控制有效性评价的指南或指引,提高上市公司管理层组织实施财务报告内部控制有效性评价的可操作性。