萨班斯—奥克斯利法案下的内部控制框架思考

    2001年底发生的安然事件等一系列财务丑闻，暴露了美国核查体系的严重缺陷，而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益，并保护美国公众对资本市场的稳定、公正的信心的，安然等一系列事件无疑严重动摇了公众对会计师行业的信心。针对上述公司失败事件，美国国会在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。国会不仅要求管理层报告公司对财务报告的内部控制，而且要求外部审计师证实管理层报告的准确性。可以说，上述事件又一次让内部控制成为关注的焦点。

    对法案相关条款的回应

    2002年7月发布的《萨班斯—奥克斯利法案》第404节（a），以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。第404节还要求公司的外部审计师对管理层的评估意见出具“证明”，也就是说，向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。法案的第404节以及103节，指导公众公司会计监督委员会（PCAOB）制定用以管理外部审计师的证实工作，并就管理层对内部控制的有效性的评估进行报告的行业标准。

    2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。该标准关注对财务报告的内部控制的审计工作，以及这项工作与财务报表审计的关系问题。这项综合的审计会产生两份审计意见：一份针对财务报告的内部控制，另一份针对财务报表。对内部控制的审计涉及以下内容：评价管理层用于开展其内部控制有效性评估的过程 ； 评价内部控制设计和运转的效果 ； 形成对财务报告的内部控制是否有效的意见。

    该标准的出台，将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB主席William J. McDonough所称，“该标准是委员会采用的最为重要、意义最为深远的审计标准。过去，内部控制仅是管理者考虑的事情，而现在审计师们要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是最为有效地威慑舞弊的防范措施”。

    此外，SEC对该标准的认同等于从另外一个侧面承认了1992年发起人组织委员会（COSO）下属的杜德威委员会公布的《内部控制—综合框架》（也称COSO框架）。这也表明COSO框架已正式成为内部控制的标准。这是COSO的重大胜利，是COSO每个成员机构多年的不懈努力使这个框架获得了更大程度的认可。

    第2号审计标准有关内部控制的规定

    第2号审计标准依据COSO制定的内部控制框架制订，在“管理层用于开展其评估的框架”一节中，明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性。在美国，为管理层的评估目标提供的适宜框架就是COSO框架。当然，其他国家也公布了一些适宜的框架，如加拿大的COCO框架等。标准还指出，尽管不同的框架可能没有精确的含有与COSO一样的组成要素，但他们所含有的组成部分涵盖了COSO的所有常规主题。因此，如果管理层运用了区别于COSO的适宜框架时，审计师应以合理的方式运用2号审计标准中的概念和方针。

    标准认为，COSO框架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。而COSO以往对财务报告的内部控制观点不包含运营目标和合规性目标。不过，这两个目标与财务报表的表达与披露直接相关，有必要含在财务报告的内部控制中。而这三大目标都会对财务报告产生重大的影响，是关于财务报告的内部控制的组成部分。此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标。

    当然，PCAOB也敏感地意识到，为遵循第404节和第2号审计标准的要求所需的成本，会强加到很多公司（尤其是中小型公司）身上，同时也预见到美国公司在遵循第404节要求的头一年要承受巨额的成本。毕竟，按COSO框架设计和实施内部控制框架是需要投入的，公司内部的审计部门对内部控制的整体评估（不限于对财务报告的内部控制），以及外部审计师按标准规定对财务报告的内部控制和财务报表审计都需要大额的费用。尽管内部控制的性质和程度很大程度上取决于公司的规模和复杂程度，但多数公司的前期成本投入是在所难免的。只不过大型复杂化的国际性公司很可能需要广泛的综合性内部控制系统，而一些小公司或业务较为单一的公司，因其高层管理团队的道德行为和核心价值平时就与内部、外部当事人进行互动，可能会减少对精心设计的内部控制系统的需要。PCAOB预计，审计师会运用合理的专业判断来决定对内部控制的审计程度，并开展那些必要的测试来确定公司内部控制的有效性。

    不过，相对于以往各行其是的内部控制评估标准来说，PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。更为重要的是，该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础。毕竟，内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。

    对COSO框架的进一步思考

    纵观美国内部控制的发展史，不难看出其发展的每一个过程都与会计职业群体有深厚渊源。自1938年的“麦克森—罗宾斯事件”促使美国注册会计师协会（AICPA）发布内部控制定义起，到1977年美国国会发布《反国外贿赂法案》，至1992年COSO发布《内部控制—综合框架》，再到2002年美国国会发布《萨班斯—奥克斯利法案》以及PCAOB发布第2号审计标准，会计执业界都与此有密切关联。当然，迄今为止集大成者还要属COSO框架。 本文链接：http://www.qk112.com/lwfw/huijilunwen/huijikongzhi/218245.html