美国内部控制评价制度及对我国内控体系实施的思考

如何针对国情，分析借鉴美国的经验，建立起一套严密的内部控制评价制度，并使之有效运行，是促使上市公司建立健全内部控制制度，规避经营风险，保证资产安全，提高经营效率和效果，进而保护投资人利益亟待解决的问题。
　　
　　一、美国的内部控制评价制度及其影响
　　
　　(一)美国的内部控制自我评价制度
　　随着安然等财务欺诈案的频频曝光，2002年7月美国出台了经典的《萨班斯－奥克斯利法案》(以下简称SOX法案)，结束了内部控制信息披露方式之争，标志着内部控制评价进入了强制性阶段。SOX法案404条款要求管理层对与财务报告相关的内部控制进行自我评估出具报告，并要求公司内部审计人员对管理层的评估进行认证和报告。
　　为了落实SOX法案，美国证券交易委员会(SEC)采取了行动，于2002年10月发布第33—8138号提案，并于2003年8月发布最终规则，规定除了投资公司之外的上市公司都应在年度报告中包括一份关于内部控制的报告，并规定了报告的内容和格式，同时要求在年报中披露“注册会计师鉴证报告”。SEC规定与财务报告可靠性有关的内部控制信息必须强制性披露。
　　COSO于2004年9月在《内部控制一整体框架》的基础上提出了《企业风险管理－整体框架》(Enter-prise Risk Management Framework，以下简称ERM)，进一步拓展了内部控制内涵，如引入风险的概念，并将内部控制目标中的“财务报告可靠性”扩展到了“报告可靠性”，增加了“战略目标”，将内部控制评价要素从原来的“五要素”增加到“八要素”，这些突破更有力推动了内部控制评价的发展。COSO报告对内部控制框架研究已经比较成熟，是企业管理当局和注册会计师对内部控制有效性评价的基础，一直为企业界进行内部控制管理和内部控制建设提供借鉴。
　　可见，SOX法案就内部控制自我评价提出强制性要求、SEC就评价载体——自评报告内容与格式做出规定、COSO从概念界定人手界定了内部控制的外延并将评价要素扩展到八个，标志着美国的内部控制自我评价制度日趋完善。三者相互协调，密切配合，构建出操作性较强的内部控制自我评价体系。
　　
　　(二)美国的内部控制核实评价制度
　　内部控制自我评价报告作为投资决策的依据必须经注册会计师的鉴证。为维护投资人权益，美国注册会计师协会(AICPA)于2003年3月18日发布财务报告内部控制审计征求意见稿，规定公众公司审计包括财务报表审计和财务报告内部控制有效性审计两个部分，独立审计师需要对内部控制的设计有效性和执行有效性进行评价，并发表审计意见；如果公司内部控制存在未更正的重要控制弱点，注册会计师不得发表财务报告内部控制有效的无保留意见。
　　作为响应，美国上市公司会计师监管委员会(PCAOB)于2004年发布《评价准则第2号——与财务报表评价协同进行的对财务报告内部控制的评价》，要求审计人员评估管理当局应用于评价主体内部控制的程序方法的可靠性，复核和使用一些管理当局和内审人员以及其他人员对内部控制评价过程取得的测试结果，或自己进行测试，以形成独立意见。该准则为上市公司管理层对于财务报告内部控制有效性评估和注册会计师师评价公司的财务报表制定了要求并提供指引。2007年，PCAOB又出具了新的要求：《评价准则第5号——与财务报表评价相整合的财务报告内部控制评价》，要求评价人员对内部控制评价采用风险导向的评价方法，将审计资源集中于可能导致重大错报风险的领域。
　可见，美国的核实评价制度与自我评价制度相呼应，仅限于与财务报表评价协同的财务报告内部控制评价。外延的特别限定可降低注册会计师的风险，增加核实评价的可操作性。这为世界各国遏制信息披露舞弊，维护证券市场秩序和投资人权益行动指明了方向，因而引起广泛的关注。
　　
　　
　　论文检测天使-免费论文相似性查重http://www.jiancetianshi.com
[1]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0425/fontbr二、我国的内部控制评价制度及其问题
　　
　　美国作为资本市场最发达的国家，因其资本市场规则的严谨而历来被各国借鉴和效仿。SOX法案的出台催生了我国内部控制强制性制度的产生，也促进了注册会计师对内部控制自我评价进行核实鉴证规则的出台。
　　
　　(一)我国内部控制自我评价制度
　　1、证券交易所的规则。2006年以前，我国对于内部控制的评价制度源于《公开发行证券信息披露规则》、《公开发行证券的公司信息披露内容与格式准则》、《证券公司年度报告内容与格式准则》和《首次公开发行股票及上市管理办法》，主要对证券、保险、商业银行等金融行业的内部控制评价提出要求，大部分上市公司处于自愿性评价阶段。随着中国航油(新加坡)有限公司事件及其他证券市场舞弊和违规事件的发生，内部控制强制性评价要求日益强烈。上海证券交易所于2006年6月5日发布了《上海证券交易所上市公司内部控制指引》(以下简称《上交所内控指引》)，于2006年7月1日开始执行。其中，第三十二条规定：“公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。”第三十三条规定：“公司内部控制自我评估报告至少应包括如下内容：内部控制制度是否建立健全；内部控制制度是否有效实施；内部控制检查监督工作的情况；内部控制制度及其实施过程中出现的重大风险及其处理情况；对本年度内部控制检查监督工作计划完成情况的评价；完善内部控制制度的有关措施；下一年度内部控制有关工作计划。”该指引明确要求上市公司在年报外单独披露内部控制自评报告，比美国的SOX法案的规定还要严格。《上交所内控指引》虽规定了评价内容，但披露成本较高，操作性差。同年，深圳证券交易所也于9月28日发布了《深圳证券交易所上市公司内部控制指引》(以下简称《深交所内控指引》)，于2007年的7月1日执行。其中，第六十二条规定：“公司董事会应依据公司内部审计报告，对公司内部控制情况进行审议评估，形成内部控制自我评价报告。公司监事会和独立董事应对此报告发表意见。自我评价报告至少应包括以下内容：对照本指引及有关规定，说明公司内部控制制度是否建立健全和有效运行，是否存在缺陷；说明本指引重点关注的控 制活动的自查和评估情况；说明内部控制缺陷和异常事项的改进措施；说明上一年度的内部控制缺陷及异常事项的改善进展情况。”该指引要求上市公司随年度报告披露内部控制自评报告，并就自评报告内容做出规定，其披露项目及排列顺序与《上交所内控指引》基本相同。
　　2、内部控制标准委员会的规定。为了统一我国的内部控制的建设并完善企业治理结构和内部约束机制，2006年7月15日财政部等五部委成立了内部控制标准委员会，于200§年6月联合发布了《内部控制基本规范》以及《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》征求意见稿(以下简称“配套指引”)。基本规范明确了内部控制目标、原则、要素等理论基础，三个配套指引解决操作性问题。经过一年多的征求意见，2008年6月28日《企业内部控制基本规范》正式发布，于2009年7月1日在上市公司范围内执行，现又推迟至2010年1月1日执行。该规范第四十六条规定：“企业应结合内部监督情况，定期对内部控制的有效性进行自我评价，出具内部控制自我评价报告。内部控制自我评价的方式、范围、程序和频率，由企业根据经营业务调整、经营环境变化、业务发展状况、实际风险水平等自行确定。”为控制评价标准的建立奠定了基础。
　　
　　(二)我国内部控制核实评价制度
　　《上交所内控指引》第三十三条规定，“会计师事务所应参照主管部门有关规定对公司内部控制自我评估报告进行核实评价。”《深交所内控指引》第六十三条规定：“注册会计师在对公司进行年度审计时，应参照有关主管部门的规定，就公司财务报告内部控制情况出具评价意见。”以上两个指引提出了对内部控制自我评估报告出具核实评价报告的要求。 　　注册会计师对内部控制出具核实意见的依据是2002年9月中国注册会计师协会发布的《内部控制审核指导意见》(以下简称《指导意见》)。其第二条规定：“本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核，并发表审核意见。”第二十九条规定：“注册会计师应当复核与评价审核证据，形成审核意见，出具审核报告。，，
　　财政部2006年颁布的《中国注册会计师审计准则第1121号——了解被审计单位及其环境并评估重大错报风险》(以下简称《第1121号准则》)，其中第四十五条规定：“注册会计师应当了解与审计相关的内部控制以识别潜在错报的类型，考虑导致重大错报风险的因素，以及设计和实施进一步审计程序的性质、时间和范围。”第四十六条规定：“内部控制是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守，由治理层、管理层和其他人员设计和执行的政策和程序。’’第四十七条规定：“内部控制包括下列要素：控制环境；风险评估过程；信息系统与沟通；控制活动；对控制的监督。”
　　《指导意见》就注册会计师核实评价提出强制性要求；《第1121号准则》就评价内容做出规定，并界定了内部控制的概念及其要素。
　　
　　(三)简要评述
　　美国的证券市场成熟，制度健全，其内部控制评价经历了从自愿性到强制性披露的过程，相关法规和制度已经很丰富和完善，各项制度协调一致，相互配合。SOX法案刚刚出台，SEE、COSO、CICPA、PCAOB等部门都纷纷做出响应，支持SOX法案的落实，并在理论上与SOX法案保持一致。我国受美国内部控制评价制度发展的影响，出台了强制性披露规则，开始了内部控制评价标准的建设，出台了注册会计师核实评价规则。但是，面对我国社会各界，如公司管理层、注册会计师和投资人对内部控制认同度低；证券市场起步晚，时间短，整体规模小，结构不完善的现实，上述内部控制评价制度显然站位过高，接轨过快，已经引发了内部控制评价和披露形式化，过于简单，以及制度并未得到有效执行等问题。笔者认为原因如下：
　　1、评价标准滞后。美国的SOX法案出台后，SEE立即制订了配套的评价标准。我国两个交易所内部控制指引出台两年后才颁布《内部控制基本规范》，三个配套指引尚在征求意见；就《内部控制基本规范》而言，原定2009年7月1日执行，现又推迟至2010年1月1日起执行。评价标准的缺失使上市公司元所适从。
　　2、评价制度之间不协调。首先，《内部控制基本规范》、《上交所内控指引》、《深交所内控指引》及《内部控制审核指导意见》对内部控制概念界定、评价主体、自评报告审核主体各有不同的规定；内部控制要素等的规定，《内部控制基本规范》、《上交所内控指引》和《深交所内控指引》也各不相同；《上交所内控指引》和《深交所内控指引》要求注册会计师对内部控制自我评价报告进行鉴证，而《内部控制基本规范》却没有明确说明。其次，2006年《上交所内控指引》要求上市公司于2006年7月1日起执行强制披露内部控制评价报告，但是在2008年1月《关于做好上市公司2007年年度报告工作的通知》中，只是鼓励有条件的上市公司同时披露董事会对公司内部控制的自我评估报告和审计机构对自我评估报告的核实评价意见，两者前后矛盾。
　　3、注册会计师核实评价范围大，从业风险很难规避。美国的核实评价制度仅就与财务报告相关的内部控制做出核实评价，而我国在内部控制自我评价的相关制度中，把内部控制评价的范围界定为广义的视角：包括了公司战略层面、经营层面、财务报告层面及遵守法律层面。而在注册会计师内部控制核实评价制度规定上与内部控制自我评价制度相对应，范围超越了财务报告内部控制范围。如果根据成本效益原则，把关注的重点放在与财务报告相关的内部控制上，出具的鉴证报告将带来审计合规性与核实评价完整性的质疑，风险在所难免。
　　
　　三、完善我国内部控制评价制度的建议
　　
　　针对上述问题，笔者认为应采取以下措施完善我国内部控制评价制度。
　　 论文检测天使-免费论文检测软件http://www.jiancetianshi.com
第一，尽快出台并实施内部控制评价标准。目前上市公司内部控制自我评价报告披露形式多种多样，评价依据也存在差异，信息使用者不能识别内部控制状况的优劣，无法做出合理的判断。因此，现已发布的《内部控制基本规范》的三个配套指引的征求意见稿应尽快完善出台，规范自我评价报告，为投资者决策提供依据。
　　第二，应由证监会出台统一的内部控制指引，与《内部控制基本规范》相配合，以统一内部控制相关概念界定、内部控制评价目标、内部控制评价要素等。这些制度的协调统一是完善内部控制制度并使之有效运行的基础。在统一明确的制度指引下，上市公司能够通过建立健全内部控制评价体系，合理规避经营风险，保证资产安全，提高经营效率和效果。
　　第三，完善核实评价制度，并加大监管力度。尽快统一内部控制自我评价制度和注册会计师核实评价制度，降低注册会计师执业风险，合理保证注册会计师的利益。建议借鉴美国的经验，将核实评价的范围限定为与财务报告相关的内部控制评价。要使内部控制评价制度落在实处，必须加大监管力度。我国上市公司监管弱化已成不争的事实。截止到目前为止，没有上市公司因内部控制评价及信息披露违规受到处罚的，注册会计师也很少出具非无保留意见的内部控制核实评价报告。核实评价是对自我评价的再监督，而证监会和证券交易所的监管是使整个评价制度有效执行，防止上市公司与会计师事务所合谋欺骗投资人的有力保证。建议监管部门加大处罚力度，保证评价制度的有效执行。