美国财务报告内部控制评价的发展及对我国的启示

部控制变更进行评价。（4）对1934年的《证券交易法》和1940年的《投资公司法》的相关规则和表格进行了修订，以满足302条款的书面证明要求，并根据《萨班斯—奥克斯利法案》302条款和906条款的要求提供该书面证明。（5）自2003年8月14日起生效。对第一个财政年度在2004年6月15日或以后结束的所谓“加速编报”（Accelerated Filer）公司（3），必须在该财政年度的年报中根据相关的披露要求提供管理层对财务报告内部控制的报告。对第一个财政年度在2004年6月15日或之后结束的非加速编报公司，包括外国私人发行公司（Foreign Private Issuer），必须在2005年4月15日或之后结束的财政年度年报中遵循内部控制报告的要求。（6）上市投资公司必须在2003年8月14日或以后遵循针对他们修订的规则和表格要求。特别是财政年度在2004年6月15日或之后结束的上市投资公司，必须遵循《证券交易法》规则13a-15（a）和15d-15（a）和《投资公司法》规则30a-3（a）的修订内容，维护财务报告的内部控制。

　　2.2003年3月18日，美国注册会计师协会（AICPA）发布财务报告内部控制审计的征求意见稿，作为对《萨班斯—奥克斯利法案》404条款的响应，主要内容包括：（1）对一些审计准则公报（SASs）和鉴征事务准则公报（SSAE）进行了修订，使之在财务报告内部控制有效性审计中更好地发挥作用。（2）作为一项完整的活动，公众公司（Public Company）审计包括财务报表审计和财务报告内部控制有效性审计两个部分。（3）独立审计师需要对审计工作进行计划，对公司的内部控制进行了解，对控制的设计有效性和执行有效性进行评价，进而发表审计意见。（4）对内部控制缺陷进行了定义。征求意见稿中将内部控制缺陷分为设计缺陷和执行缺陷，前者主要是指公司的控制结构和程序不完整，遗漏了一些必要的控制；或者现存的控制设计不合理，从而导致即使控制按照设计执行了，但无法达到控制的目标。后者则是指一项控制虽然设计合理，但没有得到有效的执行，或者执行控制的员工没有得到合理的授权或资质，从而导致控制不能得到有效的执行。征求意见稿中根据内部缺陷的严重程度将其分为重大控制缺陷（Significant Deficiency）和重要控制弱点（Material Weakness）两类。重大控制缺陷是指可能对公司管理层发表的申明中关于保证交易的发生、记账、过账、报告财务数据和财务报表保持一致的能力产生不利影响的内部控制缺陷。重要控制弱点是指在内部控制的组成部分的一个或多个方面存在重大控制缺陷，造成公司的内部控制不能将及时地防止或发现财务报表中实质性的错误表述的风险降低到一个较低的水平。（5）对财务报告内部控制评价发表无保留审计报告的限制条件做了规定。如公司内部控制中存在未更正的重要控制弱点，独立审计师不能发表财务报告内部控制有效的无保留意见，而应该根据重要控制弱点的性质，发表保留意见或仅对意见。根据征求意见稿的观点，财务报表中存在实质性错误表述，公司没有发现，而外部审计师发现了，则表明公司的内部控制中存在重要控制弱点。

　　3.针对上述提案和征求意见稿，各注册会计师事务所也积极行动起来，提出根据404条款进行财务报告内部控制评价的操作指引，典型的有McGladrey＆Pullen会计师事务所和KPMG会计师事务所发布的两份报告。这两份报告都对会计报告内部控制有效性评价提出了具体的操作建议，报告中新的、有价值的观点有：

　　（1）对管理层评估财务报告内部控制的程序提供了建议。报告认为，管理层对内部控制的评估可以分四个步骤来完成，即：计划、设计有效性评价、执行有效性评价、评估和报告。首先是计划阶段，主要内容包括：对高级管理人员进行教育，内容涵盖404条款及管理当局对财务报告内部控制有效性进行评价的特殊要求；建立任务小组并明确责任，设定管理层对财务报告内部控制有效性评价的时间表，并选取COSO或其他适当的标准进行评价；确定需要重点关注的内部控制，并对内部控制体系中涉及多个分部或单位的情况进行处理，确定哪些分部或单位应该包括在评估内容中，同时对确定的内部控制环节及相关的分部或单位形成内部控制文件。其次是对财务报告内部控制的设计有效性进行评价，内容包括：根据确定的标准，对形成文件的重要控制进行设计有效性评价，内容涵盖内部控制的每个层面（控制环境、风险评价、控制活动、信息与沟通、监控）以及每一个重要控制；检查现存的内部控制文件，发现存在的缺陷并进行必要的改进工作。第三阶段是对财务报告内部控制的执行有效性进行评价，具体的行动步骤有：管理层将所设计的内部控制责任分配到具体的岗位，并组织内部审计人员或第三方人员实施监控程序和评价活动，对每个分部、单位或环节进行内部控制执行有效性评价；将经理层和内部审计得出的关于内部控制有效性的结论以及他们在评价过程中发现的内部控制的重大控制缺陷或重要控制弱点告知CEO和CFO；CEO和CFO对发现的内部控制缺陷的重要性进行评价，并就采取的对策达成一致意见；将执行的关于控制的执行有效性评价程序和评价的结果形成文件；将得出的结论向审计委员会和外部审计人员报告，并就所发现的重大控制缺陷和重要控制弱点采取的对策取得他们的赞同。最后阶段是评估和报告阶段，内容有：将财务报告内部控制有效性的评价与审计人员的审核程序协调起来，对发现的内部控制缺陷实施必要的内部控制变更；发表管理层关于财务报告内部控制的申明，并将其作为公司年报的一部分予以公布；复查发现的重大控制缺陷和重要控制弱点以及采取的对策，并向法律顾问、审计委员会和董事会报告。

　　（2）强调“人”的重要性。报告认为，财务报告内部控制有效性评价应包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理层、内部审计和外部审计等各个方面，明确了评估的每个行动步骤由哪些高级管理人员负主要责任，以确保按时完成内部控制评价工作。

　　（3）界定了管理当局的责任。报告认为，管理层必须承担公司内部控制有效性的责任，并运用恰当的控制标准（如C0SO标准）来评价公司内部控制的有效性，对形成的评估结果有足够的证据支持，同时签署一份关于公司内部控制有效性的书面申明。为取得足够的证据支持管理层的评估结果，管理当局可以利用内部审计人员、管理人员、其他人员或第三方的工作，将其作为评价内部控制执行有效性的基础。相应地，管理当局可以雇佣外部审计师之外的注册会计师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。

　　（4）明确了审计师对财务报告内部控制有效性审核程序的构成要素。报告要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个重要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作为对重要账户余额、交易类别和披露的控制执行有效性的初始证据，但审计师可以根据他人的工作来改变自身评估工作的测试性质、时间和程度，但这样做要求审计师重复他人的一部分测试工作，并对每个重要账户、交易类别和披露相关的控制执行独立性测试。

　　（5）界定了内部控制有效性评价与财务报告审计的关系。两者即有不同，又有联系。首先，两者的目标不同。财务报表审计的目的是对财务报表是否在所有重大方面符合公认会计原则的规定发表意见，因而关注的是财务报告程序的结果。财务报表审计中也需要对公司的内部控制情况进行了解，并对控制风险进行评价，但这些工作主要是为了决定其它财务报表审计程序的属性、时间和程度，而并不需要单独对财务报告内部控制的有效性提供报告。而内部控制

上一页  [1] [2] [3] [4]  下一页