（会计学专业论文）美国内部控制评价与披露的发展及其借鉴.pdf

内容摘要 近年来，随着国内外相继爆出一系列会计丑闻，全社会对财务信息失真问题 给予了空前的关注。美国上市公司的财务欺诈引起了美国资本市场的诚信危机， 为了应对安然财务丑闻及随后的一系列上市公司财务欺诈事件所造成的美国股 市危机，重树投资者对股市的信心，2 0 0 2 年7 月2 6 日，美国国会以绝对多数通 过了关于会计和公司治理一揽子改革的萨班斯一奥克斯利法案( 简称萨班 斯法案) 。该法案提出了财务报告内部控制的新概念，为内部控制的研究和发 展开辟了一个新的视角，也推动了美国乃至全球研究内部控制的新热潮。2 0 0 4 年9 月颁布的企业风险管理一总体框架不论在框架上、还是要素方面，都有 相当火突破，对企业内部控制理论与实务发展都具有十分重要的影响。目前，我 国正在推进内部会计控制规范体系的建设，在探索内部会计控制规范的实施机制 方面也取得了较大进展，如上海证券交易所于2 0 0 5 年4 月颁布了上市公司内 部控制指引( 征求意见稿) ，财政部也正在致力于内部控制指引的建设，财务 报告内部控制的评价与披露研究丌始逐步得到政府及有关监管组织、注册会计师 和理论界的认川。在这种背景f ，如何借鉴和吸收美国内部控制新发展的经验， 完善我国内部控制评价和披露成为内部控制理论和实务界急待解决的问题。 本文主要以规范研究为主，从财务报告信息失真与企业风险八要素关系入 手，阐明管理层建立并维持有效的内部控制评价与披露制度能够有效地防范财务 报告信息失真。然后，引入美国萨班斯法案，详细介绍了财务报告内部控制 评价的演化，分别介绍了美国理论界和实务界在财务报告内部控制评价建设中所 取得的成果，提出改进和完善我国内部控制评价建设的相关建议。此后介绍了美 国财务报告内部控制信息披露的内容与发展，对我国上市公司2 0 0 4 年内部控制 信息披露的情况进行了描述性分析，结合我国的具体情况和美国的经验提出了完 善我国内部控制信息披露的建设性建议。论文在一定程度上丰富了内部控制的理 论与实务，力求对现阶段改进我国企业内部控制有一定的指导意义。 关键词：内部控制评价：内部控制信息披露；启示与借鉴 a b s t r a c t r e c e n t l y ，t h es e r i e so fb u s i n e s sf a i l u r ew e r ee x p o s e d t h er e l i a b i l i t yo ft h e f i n a n c i a ls t a t e m e n t sw a sb e e np a i dm o r ea t t e n t i o n t h ef r a u do ft h ea m e r i c al i s t e d c o m p a n i e ss t r u c kt h ec o n f i d e n c eo fi n v e s t o r st oc a p i t a lm a r k e t t ob u i l du pt h e i n v e s t o r s t r u s tt ot h ea m e r i c as t o c km a r k e t ，t h ec o n g r e s si n t r o d u c e das e r i e so f r e f o r ms t e p s ：t h es a r b a n e s o x l e y ( s o x ) a c to f2 0 0 2 ，w h i c hp u tf o r w a r dt h en e w c o n c e p to fi n t e r n a lc o n t r o le v a l u a t i o na n de x p o s u r eo v e rf m a n c i a lr e p o r t i n g ，p i o n e e ra n e wr e s e a r c hf i e l d ，p r o m o t et h er e s e a r c ht i d eo fi n t e m a lc o n t r o la l lo v e rt h ew o r l d t h ec o s oc o m m i t t e ei s s u e de n t e r p r i s er i s km a n a g e m e n t i n t e g r a t e df r a m e w o r ko f 2 0 0 4 ，w h i c hb r o k et h r o u g hb o t hi nf i a m e w o r ka n de l e m e n t s a tp r e s e n t ，c h i n am a d e b i gp r o g r e s si ni n t e r n a la c c o u n t i n gc o n t r o lc o n s t r u c t i o n s ，f o re x a m p l e ，s h a n g h a is t o c k e x c h a n g ei s s u e dl i s t e dc o m p a n yi n t e m a lc o n t r o ld i r e c ti n2 0 0 5 ( d r a f o ，a n dm i n i s t r yo f f i n a n c ep e o p l e sr e p u b l i co fc h i n aa na c c e l e r a t i n gt h ec o n s t r u c t i o na b o u ti n t e r n a l c o n t r o ld i r e c t ，a tt h es a m et i m e ，i n t e r n a lc o n t r o le v a l u a t i o na n de x p o s u r eo v e r f m a n c i a lr e p o r t i n gb r o u g h tt h ea t t e n t i o n so fm o r ea n dm o r eg o v e r n m e n t sa n d s u p e r v i s i o no r g a n i z a t i o n sa n dc p ao r g a n i z a t i o n s s oa ts u c hb a c k g r o u n d ，w es h o u l d s e t t l et h ep r o b l e mo f h o wt ou s ea m e r i c ae x p e r i e n c ef o rr e f e r e n c e t h i sd i s s e r t a t i o na d o p t e dn o r m a t i v em e t h o d b e g a nw i t ht h er e l a t i o no ft h e f i n a n c i a ls t a t e m e n t sr e l i a b i l i t ya n de r m e i g h te l e m e n t s ，i l l u s t r a t e si n t e m a lc o n t r o l e v a l u a t i o na n dd i s c l o s u r et h a ts h o u l db ee s t a b l i s h e db ym a n a g e m e n te a r la c h i e v e r e l i a b l ef i n a n c i a ls t a t e m e n t se f f e c t i v e l y t h ea r t i c l ei n t r o d u c e ss a r b a n e s - o x l e ya c t t h a tc l a r i f i e st h em e r i t sa n dc o n c e p t i o no ft h ei n t e r n a lc o n t r o le v a l u a t i o no v e r f m a n c i a ls t a t e m e n t s t h e nt h ea r t i c l ea l s oi n t r o d u c e st h es u c c e s so ft h ei n t e r n a l c o n t r o le v a l u a t i o no v e rf i n a n c i a ls t a t e m e n t si na m e r i c a i na d d i t i o n ，t h ea r t i c l e a n a l y s e st h es i t u a t i o no fi n t e r n a lc o n t r o le v a l u a t i o ni no u rc o u n t r y t h e n ，t h i sa r t i c l e i n t r o d u c e st h ec o n t e n t sa n dd e v e l o p m e n t so f a m e r i c ai n t e r n a lc o n t r o lo v e rf i n a n c i a l r e p o r ta n ds t u d i e dt h ei n t e r n a lc o n t r o ld i s c l o s u r es t a t u so fc h i n ai n2 0 0 4 ，g i v e ss o m e s u g g e s t i o n st os t r e n g t ho u ri n t e r n a lc o n t r o ld i s c l o s u r e k e yw o r d s ：i n t e r n a lc o n t r o le v a l u a t i o na n di n f o r m a t i o ne x p o s u r e ；s u g g e s t i o n s 厦门大学学位论文原创性声明 兹呈交的学位论文，是本人在导师指导下独立完成的研究成 果。本人在论文写作中参考的其他个人或集体的研究成果，均在 文中以明确方式标明。本人依法享有和承担由此论文产生的权利 和责任。 声明人。签名，：彩舌0 5 砌年6 月孑日 厦门大学学位论文著作权使用声明 本人完全了解厦门大学有关保留、使用学位论文的规定。厦 门大学有权保留并向国家主管部门或其指定机构送交论文的纸 质版和电子版，有权将学位论文用于非赢利目的的少量复制并允 许论文进入学校图书馆被查阅，有权将学位论文的内容编入有关 数据库进行检索，有权将学位论文的标题和摘要汇编出版。保密 的学位论文在解密后适用本规定。 本学位论文属于 1 、保密() ，在年解密后适用本授权书。 2 、不保密( ) ( - i , f l 在以上相应括号内打“4 ”) 作者签名：萝、舌 导师签名： 日期：多刀c ；年多月萝日 日期t年月e t 第一章引言 第一章引言 一、问题的提出与研究动因 美国“安然公司破产案”及其后的一系列上市公司财务丑闻，严重打击了全 球投资者的信心，对世界经济造成了极大的破坏，当我们反思和分析这些财务丑 闻背后的经济根源和制度背景时，内部控制失败是这些公司所具有的共同特征之 一。有效的内部控制是企业对抗财务欺诈的第一道防线，一个设置全面、实施有 效并被经常监控的内部控制系统在预防和察觉财务欺诈中能够发挥关键性作用 ( c a r p e n t e r ，2 0 0 1 ) 。 内部控制的研究由来已久。自1 9 9 2 年c o s o 委员会发布了内部控制 整体框架开始，内部控制指引f 为全球所接受。公司的董事会、监督委员会和 高级管理人员正把c o s o 框架应用于内部控制的监督过程，而且应用的公司越 来越多。通过五大会计师事务所的推广活动，美国注册会计师协会的成员事务所 已经把接受c o s o 框架作为上市公司披露内部控制有效性的基础，并以此为阻 止财务舞弊的一种有效方法。令人遗憾的是，人们良好的愿望在今天尚没有成为 现实。全球资本市场在迈入2 1 世纪的时候，相继出现了大量的虚假信息披露和 恶性财务欺诈事件，这暴露了我们现有的内部控制系统未能对公司财务报告的可 靠性提供足以让广大投资者满意的合理保证。本文通过借鉴财务报告内部控制评 价和披露的新发展，为建立和健全我国财务报告内部控制制度提出建设性建议， 力图使其成为能够阻止和及时发现财务报告中可能存在差错和舞弊的有力工具， 从而更好地保护投资者的利益。 二、研究现状与所要解决的问题 美国上市公司的财务欺诈引起了美国资本市场的诚信危机，为了虑对安然财 务丑闻及随后的一系列上市公司财务欺诈事件所造成的美国股市危机，重树投资 者对股市的信心，2 0 0 2 年7 月2 6 日，美国国会以绝对多数通过了关于会计和公 司治理一揽子改革的萨班斯一奥克斯利法案( 简称萨班斯法案) 。四天 后，布什总统在白宫签署法案，使其正式生效。萨班斯法案又被称为公众公 美国内部控制评价与披醋的发展及其借鉴 司会计制度改革及投资者保护法，一度被誉为“自富兰克林罗斯福时代以来美国 影响最广泛的公司商业准则的改革行动”。该法案提出了财务报告内部控制的新 概念，为内部控制的研究和发展开辟了个新的视角，也推动了美国乃至全球研 究内部控制的新热潮。 财务报告内部控制立足于保护投资者的利益，目的在于保证财务报告的真实 和完整，为制止上市公司财务欺诈、恢复投资者信心提供了有力的保障。目前， 财务报告内部控制研究的主要力量已经从以注册会计师为主扩展到更多的参与 者，美国的监管组织s e c 、p c a o b 等也在推动财务报告内部控制的研究和应用。 以全美反舞弊性财务报告委员会的发起组织c o s o 委员会为例，该组织由五个 会员组织组成，分别是l i m a ( 美国管理会计师协会) 、a a a ( 美国会计学会) 、 a i c p a ( 美国注册会计师胁会) 、f e i ( 国际财务执行官组织) 以及i i a ( 内部审 计师协会) ，各个会计师协会针对c o s o 报告的有关方面各司其职。c o s o 于1 9 9 2 年发表，并于1 9 9 4 年修订的内部控制一整体框架报告是国际内部控制理论 发展的一个里程碑。2 0 0 4 年9 月颁布的企业风险管理一总体框架不论在框 架上、还是要素方而，都有相当大突破。此外，美国公众公司会计监管委员会 ( p c a o b ) 于2 0 0 4 年1 2 月3 日发布财务呈报内部控制审计( a s 2 ) ，对财务呈 报内部控制的审计进行了详细的规定。这些规定对企业内部控制理论与实务发展 都具有十分重要的直接影响。目前。我国正在推进内部会计控制规范体系的建设， 在探索内部会计控制规范的实施机制方面也取得了较大进展。如上海证券交易所 于2 0 0 5 年4 月颁布了上市公司内部控制制度指引( 征求意见稿) ，财政部 也正在致力于内部控制指引的建设：2 0 0 4 年8 月财政部新颁布了同定资产、筹 资、存货三个控制规范( 征求意见稿) ，使己颁布的内部会计规范达到十二项， 基本形成了我国内部会计控制规范体系。财务报告内部控制的评价与披露研究开 始逐步得到政府及有关监管组织、注册会计师和理论界的认可。 另一方面，已在美国上市的非美国本土公司将在2 0 0 6 年7 月1 5 日前将评估 结论写入年度报告中，在美国上市的中国公司都将面临执行4 0 4 条款的问题。受 美国萨班斯法案4 0 4 条款影响，国内证券监管部门、上市公司和其他企业必将更 多关注内部控制及其评价问题，逐步引进、推广内部控制制度，必将成为一种发 展趋势( 高一斌，2 0 0 5 ) 。在这种背景下，如何借鉴和吸收美国内部控制新发展 第一章引言 的经验，完善我国内部控制评价和披露成为内部控制理论和实务界急待解决的问 题。本文主要以规范研究为主，从财务报告信息失真与企业风险八要素关系入手， 阐明管理层建立并维持有效的内部控制评价与披露制度能够有效地防范财务报 告信息失真。然后，引入美国萨班斯法案，介绍了美国理论界和实务界在财 务报告内部控制评价建设中所取得的成果，提出改进和完善我国内部控制评价建 设的相关建议。然后介绍了美国财务报告内部控制信息披露的内容与发展，鉴于 前人对我国上市公司内部控制信息披露情况的分析截止到2 0 0 3 年度，因此本文 以搜索方式对2 0 0 4 年上市公司内部控制信息披露的情况进行了描述性分析，结 合我国的具体情况和美国的经验提出了完善我国内部控制信息披露的建设性建 议。论文在一定程度上丰富了内部控制的理论与实务，力求对现阶段改进我国企 业内部控制有一定的指导意义。 美国内部控制评价与披露的发展及其借鉴 第二章财务报告内部控制与企业风险管理 超越内部会计控制 c o s o 委员会在1 9 9 2 年的内部控制整体框架报告中建立了现代企 业内部控制框架，标志着现代内部控制的发展进入了成熟的阶段。十年之后的 2 0 0 2 年7 月美国国会颁布的萨班斯法案首次提出对财务报告内部控制 ( h i t e m a lc o n t r o lo v e rf i n a n c i a lr e p o r t ，简称i c o f r ) 的有效性进行审计，s e c 在2 0 0 3 年的最终规则中对其进行了正式定义，使财务报告内部控制成为防止上 市公司舞弊欺诈行为、提高资本市场财务信息质量的新的理念，从而引起各方面 的高度关注。本章在简单介绍财务报告内部控制的概念之后，通过将其与内部会 计控制、企业风险管理等概念的比较阐明财务报告内部控制的内涵。 第一节内部控制发展的新方向财务报告内部控制 一、美国财务报告内部控制的概念 美国证券交易委员( s e c ) 在2 0 0 2 年发布的3 3 8 t 3 8 号提案中首次对财务 报告内部控制进行了诠释，该提案认为财务报告内部控制的目的是确保公司设计 的控制程序能为下列事项提供合理的保证：公司的业务活动经过合理的授权；保 护公司的资产避免未经授权或不恰当的使用；公司的业务活动被恰当的记录并报 告，从而保证上市公司的财务报表符合公认会计原则的编报要求。该定义符合美 国注册会计师协会审计准则公告3 1 9 条款的规定，并与萨班斯法案1 0 3 条款 中的内部控制定义保持一致( 朱荣恩等，2 0 0 3 ) 。 s e c2 0 0 3 年6 月的最终规则中将“财务报告内部控制”定义为“由公司的 首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司 的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财 务报表编制符合公认会计原则提供合理保证的控制程序，具体包括以下控制政策 和程序：( 1 ) 保持详细程度合理的会计记录，对资产的交易和处置情况准确公允 地反映；( 2 ) 为下列事项提供合理的保证：公司对发生的交易进行必要的记录， 4 第二章财务报告内部控制与企业风险管理超越内部会计控制 从而使财务撤表的编制满足公认会计原则的要求，公司所有的收支活动经过公司 管理层和董事的合理授权；( 3 ) 为防l l 或及时发现可能对财务报表产生重要影响 的未经授权的取得、使用和处置资产的行为提供合理保证。”其中的( 1 ) 、( 2 ) 与萨班斯法案1 0 3 条款中要求注册会计师事务所在审计或鉴证报告中进行内 部控制评价的内容保持一致，( 3 ) 则是针对公司资产的使用和处置提出的，表明 保护资产的安全完整是财务报告内部控制的有机组成部分( 刘亚莉、杨兴全， 2 0 0 4 ) 。 二、财务报告内部控制与内部会计控制之异同 与c o s o 报告中对内部控制的定义相比，s e c 在最终规则中对财务报告内 部控制的定义只包含了与财务报告可靠性目标相关的部分，而省略了经营活动的 效率效果的目标，遵循相关法律法规目标中也仅保留了诸如证券交易委员会财务 报告要求这类与财务报表编制直接相关的法律法规。这个定义与证券交易法 第1 3 ( b ) ( 2 ) ( b ) 款对内部会计控制的描述保持一致。 与内部会计控制明品不同的是财务报告内部控制强调了责任人和控制主体、 扩大了管理层授权的保证范围、体现了防止舞弊的积极作为的态度( 刘弧莉、杨 兴全，2 0 0 4 ) 。此外财务报告内部控制体现了事前预防和事后控制相结合的思想。 财务报告内部控制提出了为防止或及时发现可能对财务报表产生重要影响的未 经授权的取得、使用和处置资产的行为提供合理保证，表明了内部控制主动有效、 防止舞弊的积极预防的思想。 第二节企业风险管理与防范财务报告信息失真 一、内部控制与企业财务报告舞弊的防范 实践证明，良好的内部控制制度能够及时的发现舞弊，从而有效降低财务报 告舞弊的负面影响。美国注册舞弊审查师协会2 0 0 2 年报告中的统计结果显示， 通过内部控制发现舞弊的公司比例达到1 5 ，4 。事实上，在其他发现舞弊的途 径中直接或间接与内部控制有关的更多，例如员工举报( 2 6 3 ) 、客户或供货 商举报( t 3 。7 ) 、匿名举报( 6 2 ) 可以归集到内部控制框架中的信息与沟通 要索；而内部审计( 1 8 6 ) 则可以归集到内部控制框架中的监控要素( 朱荣恩 美国内部控制评价与披露的发展及其借鉴 等，2 0 0 4 ) 。美国注册舞弊审查师协会2 0 0 2 年报告中对受害公司的内部控制制 度进行了分析，调查结果显示约占9 0 的受害公司缺乏适当的内部控制制度， 或者内部控制制度被员工忽视，没有得到很好的执行( 朱荣恩等，2 0 0 4 ) 。由此 可见合理设计并得到有效执行的内部控制框架可以发现并防范舞弊的发生。 单纯的财务报告已不能满足投资者的需要，他们需要了解上市公司更多的信 息才能做出判断。由于内部控制的重要性，投资者逐渐要求了解公司内部控制状 况，在此情况下，内部控制评价也应运而生。为了了解内部控制的设计是否适当、 执行是否有效，企业管理当局( 或其指定人，如内部审计机构) 应定期根据一定 的标准对本单位内部控制设计和执行的有效性进行评估。管理当局对内部控制进 行自我评估后提出相应的评估报告。通过管理者对内部控制的评价报告，用户可 以一定程度上了解企业管理控制是否有效。如果企业有着良好的内部控制制度， 则企业的经营有序而有效，能够防范经营中的风险。反之，如果企业的内部控制 混乱，则风险较大，用户在做出投资决策时就必须谨慎，这促使一些投资者在投 资时关注企业内部控制。另一方面，作为投资者，企业的真正所有者，也有权知 道企、i k 的资产是否有保障。因此，内部控制信息对投资者而言是一项重要的决策。 二、c o s o 报告下的内部控制新发展一企业风险管理一总体框架( e 砌) 近年来，风险管理备受关注，并且，周遭环境日益清晰地表明，企业需要一 个健全的框架有效地识别、评估并管理风险。人们越来越认识到关注企业风险比 关注企业细节控制更为重要。 事实上几乎所有的公司都有一套管理制度，因此，企业董事会与管理层认为， 这些制度的贯彻与执行，就是内部控制的所有内容。其实，企业的管理资源是有 限的，控制也是需要成本的。如果将企业主要精力放在所有细小的或微不足道的 控制上，往往会舍本求末，表面上控制得很好，但浪费了许多管理资源，还会忽 视企业重大风险( 李若山等，2 0 0 5 ) 。于是，2 0 0 1 年c o s o 启动了一个项目，并 聘请普华永道会计公司开发了一个对管理层合理有用的、用于评价并改进组织企 业风险管理的框架。框架开发时正值企业丑闻与失败的高发期。之后，改善公司 治理与风险管理、颁布新的法律、规则及上市准则的呼声日益高涨。对企业风险 管理框架的需求，由此提供关键性的原则与概念、共同的理解基础以及明确的方 第二章财务报告内部控制与企业风险管理超越内部会计控制 向与指导变得日益迫切。 2 0 0 4 年9 月2 9 日，c o s o 正式发布了企业风险管理总体框架，描 述了适用于各类规模组织的企业风险管理的重要构成要素、原则与概念。框架集 中关注风险管理，为董事会与管理层识别风险、规避陷阱、把握机遇进而增加股 东价值提供了清晰的指南。企业风险管理总体框架指出，企业风险管理 的基本假设是每一主体存在的目的是为其股东创造价值，但所有主体都面临不确 定性，管理层的挑战便是确定在其为股东创造价值的过程中需在多大程度上接受 不确定性。不确定性同时代表风险与机遇，即侵蚀或增进价值的潜在性。企业风 险管理能使管理层有效地处理不确定性及与之相关的风险和机遇，增进创造价值 的能力。当管理层制定战略与目标，在增长与回报目标及相关风险之间进行最佳 权衡，并在追求主体目标的过程中有效率、有效益地配置资源时，实现价值最大 化。企业风险管理有助于风险偏好与企业战略的协调，改进风险反应决策，增进 识别风险与风险反应，识别并管理多元化风险与企业内部交叉风险，便于企业获 得健全的风险信息，促使管理层有效评估总的资本需求，确保有效的报告并遵循 法律与规则，避免损害主体声誉及产生类似后果。企业风险管理帮助主体实现既 定目标，避免过程中的陷阱与意外事件。 三、从c o s o 企业风险管理八要素角度分析财务报告信息失真与内部 控制 企业风险管理本身的健全性直接关系到财务信息的可靠性。企业风险管理包 含八个相互关联的构成要素。这些要素源自管理层经营企_ k 的方式，并与管理进 程融为一体。本文从内部控制报告的八个要素( 内部环境、目标设定、事件识别、 风险评估、风险反应、控制活动、信息与沟通和监控) 来分别分析其对有效防范 会计失真所产生的重要作用。 ( 一) 从内部环境分析财务报告信息失真 企业的内部环境是企业影响企业经营管理要素的集合，是其他所有风险管理 要素的基础，影响企业战略和目标的制定，业务活动的组织和风险的识别、评估 和执行等，其包括企业的风险管理哲学、风险偏好和风险文化、董事会监管、员 工道德价值和能力、管理哲学和经营风格以及管理部门分配权力和责任、组织和 美国内部控制评价与披露的发展及其借鉴 引导员工的方式等。然而大多数的财务报表舞弊行为都有高管人员参与，8 3 的 财务报表舞弊牵涉到首席执行官( c e o ) 和首席财务官( c f o ) 。按照参与程度 统计，c e o 是最主要的财务报表舞弊者( 7 2 ) ，其次是c f o ( 4 3 ) 、主计长 ( 2 1 ) 、其他副总经理( 1 8 ) 、非执行董事( 1 1 ) 、首席运营官( c 0 0 ) ( 7 ) ( 黄世忠、黄京菁，2 0 0 4 ) 。因此，内部环境是企业内部控制的核心，也是防范 财务报告舞弊的关键因素，它直接影响到内部控制的执行和贯彻以及企业内部控 制目标的实现。目前，我国国有企业中，“内部人控制”问题已成为一种比较普 遍的现象。企业管理者由于个体利益的追求，驱使其向会计人员施压，指使会计 人员弄虚作假，导致会计信息严重失真，操纵扭曲会计信息以维护和扩大自己的 利益；此外，会计信息这种“产品”的“生产者”会计人员业务素质和职业 道德不高，直接影响会计信息的质量。 ( 二) 从目标设定分析财务报告信息失真 企业为了实现其发展，管理者必须根据企业确定的任务或预期，制定企业各 个层面的目标，目标制定是企业风险管理的起点。在管理层识别影响其目标实现 的潜在事件之前，目标就必须已经制定。企业风险管理应确保管理层处于制定目 标的过程之中，所选择的目标支持主体的使命并与其风险偏好相一致。1 9 9 2 年 c o s o 报告关于内部控制的定义中没有目标设定这一要素。但是c o s o 报告在调 查许多大公司舞弊案中发现，许多内部控制的失败，往往是在一开始确定公司目 标时就已经注定了( 李若山等，2 0 0 5 ) 。如中航油公司将其设立目标从获得价格 相对平稳的国际油价到将其战略定位于通过投机性期货交易获取利差，而导致巨 额国有资产由于投机而损失殆尽，从很大程度上可以归因于目标定位的错误。 ( 三) 从事件识别分析财务报告信息失真 企业在实现其目标的过程中必然会遇到诸多不确定因素，为此管理者应对影 响企业目标实现的内部与外部事件必须进行甄别，区分风险与机遇。具有潜在负 面影响的事件代表了风险，要求管理层对其进行评价并做出反应，而具有潜在积 极影响的事件可能抵消负面的影响，它代表了机会。管理者应将机遇引导至管理 层的战略或目标制定过程中。而存在舞弊的公司在经营过程中往往不能针对不同 的事件采取相应的对策，对高风险事项仍采用一般程序处理，导致公司内部控制 失败。以“中航油事件”为例，2 0 0 3 年之前中航油石油期权交易均盈利，若公 第二章财务报告内部控制与企业风险管珲超越内部会计控制 司风险管理能识别事件中的机会与风险，就应认识到这一事项背后极有可能存在 巨大风险。因此，利用事项识别技巧( 例如事项目录、流程分析、主要事项指针 等) 来区分机会和风险就显得十分重要( 李若山等，2 0 0 5 ) 。 ( 四) 从风险评估分析财务报告信息失真 企业为了了解自身所面临的风险，并适时加以处理，必须设立可辨认风险和 管理相关风险的机制。分析风险、探讨风险发生的可能性与影响是确定如何对之 进行管理的基础，应内外一致地评估风险。财务报告信息失真是会计风险和审计 风险共同作用的结果。会计人员未能履行其责任给社会带来损失的可能性即为风 险。财务报告信息失真将会使信息使用者因为错误信息而产生损失，这就是由于 内部控制不完善产生财务报告信息失真所导致的风险。企业微观利益与社会宏观 利益的差异，在很大程度上诱发了缺乏自我约束能力的企业会计风险的产生。同 时，会计人员在企业中所处地位及会计法规对会计人员缺乏保护加大了会计风 险。 ( 五) 从风险反应分析财务报告信息失真 当对风险进行相应的评估后，管理者应制定不同的风险反应方案，在风险容 忍和成本效益原则前提下，考虑每个方案如何影响事项发生的可能性和事项对企 业的影响，并将风险与企业风险承受能力及风险偏好相结合。适合企业实际情况 的风险反应方案可保证企业对可能出现的风险采取相应的对策，同时确保企业不 偏离其目标设定，从而有效的防范财务报告舞弊行为的发生。若企业在风险面前 采取不适合的对策，将导致战略目标的不匹配，董事会或管理层极有可能通过粉 饰会计报表的方式掩盖其对风险评估的错误和应对风险方案的失误。 ( 六) 从控制活动分析财务报告信息失真 控制活动包括政策和程序两要素：政策规定应该做什么，程序则是政策产生 的效果。企业必须制定关于财务报告信息“生产”的内部控制政策和程序，并严 格执行，以保证财务报告信息的质量。财务报告信息即使依据合法真实的原始凭 证、依据合法合规的会计方法处理，也同样会产生财务报告信息失真，因为财务 报告受本身特点和制度制约，在会计政策、规范和制度上存在定的可选择性及 缺陷，难以做到提供完全真实的信息；并且在实务工作中，为了不同的目的，在 会计制度允许范围内，企业会选择不同的会计政策和方法，从而造成财务报告信 美国| j | 部控制评价与披露的发展及其借鉴 息的制度性失真。 ( 七) 从信息沟通分析财务报告信息失真 建立良好的适应企业发展的信息系统，有助于提高企业内部控制的效率和效 果，并保证会计流程的畅通和完整。一些缺乏有效内部控制的公司，由于管理薄 弱，往来款项缺少应有的凭证，无法做到账证相符：加之相关人员更换频繁，会 计记录混乱，会计处理随意，致使财务与经营业务运作脱节；还有些公司内部往 来长期不进行核对和清算。这种混乱的财务报告信息系统，不仅会影响会计师事 务所对公司经营状况的客观审计，也不利于公司管理层对本企业相关信息的准确 掌握，同时更不利于投资者对公司经营状况的正确分析和判断。 ( 八) 从监控分析财务报告信息失真 内部控制作为一个完整的系统，它是一个“动态过程”，对企业风险管理的 监控是评估风险管理要素的内容和运行以及一段时间的执行质量的一个过程。不 论是制度的制定执行，还是最终的评判，均需要恰当且不可缺少的监督，以使内 部控制程序更加完善，更加有效。企业通过持续监控和个别评估保证风险管理在 企业各管理层面和各部门得到执行。朱荣恩等( 2 0 0 4 ) 通过问卷调查的方式对我 国风险控制应用效果差的原因进行了分析，发现缺乏事前评估、事中监督和事后 考核的比例分别达到4 7 4 、4 2 8 和2 5 ，有2 2 4 的企业认为缺乏严格的呈 报和审批，4 1 4 的企业缺乏专门的风险评估部门和岗位。不少公司缺乏有效监 督，决策机制也不科学，导致某些管理人员和会计人员串通，扭曲会计信息。还 有些企业内审机构不健全，稽核人员无法保证财务报告信息的真实性和透明度。 通过上述分析可以看到高质量的财务报告信息是使内部控制有机、整体、有 效运转的一个不可缺少的因素，反过来内部控制各要素对财务报告信息的整体加 工过程都能够起到保证的作用。虽然有一些风险属于系统性风险，但绝大部分其 他风险都是可以通过适当的内部控制系统得到控制的。一旦实旌欺诈风险评估， 可以组织、识别、缓解和确认的风险必要程序、控制或其他步骤。特别是管理者 应当对那些被确认为高欺诈风险的活动以及组织财务信息报告程序所实施的内 部控制进行评估1 。因此内部控制的改善将推进财务报告体系透明度的提高，要 解决财务报告信息的质量问题，就必须建立和完善内部控制评价和制度。 1 美国注册会计帅协会( s a sn o9 9 ) ，管理层反欺诈计划和控制：对预防、阻止和发觉欺诈行为的指导 2 0 0 2 年1 0 月。 1 0 第二章财务报告内部控制与企业风险管理超越内部会计控制 第三节财务报告内部控制与企业风险管理的契合点 一、内部控制演进的两条道路 内部控制理论从产生、发展到现在，经历了漫长的过程，一般将其分为四个 阶段，即内部牵制阶段、内部控制制度阶段、内部控制结构阶段和内部控制框架 阶段( 丁瑞玲，2 0 0 5 ) 。自1 9 9 2 年美国c o s o 委员会提出内部控制框架报 告以来，该内部控制框架已经被世界上许多企业所采用，但理论界和实务界纷纷 对内部控制框架提出一些改进建议。在一系列公司丑闻与失败之后，萨班斯法 案拓展了对公众公司长期存在的要求，而企业风险管理总体框架拓展 了内部控制，对企业风险管理这一更宽泛的主题作了更全面地关注。强调内部控 制框架的建立应与企业的风险管理相结合。新的企业风险管理框架就是在1 9 9 2 年的研究成果内部控制框架报告的基础上，结合萨班斯法案在报告方面 的要求，进行扩展研究得到的。基于上述原因，王普松( 2 0 0 5 ) 认为企业风险管 理是继内部控制框架之后内部控制演变的一条线索，也是内部控制演变的主线。 风险管理框架建立在内部控制框架的基础上，内部控制框架则是企业风险管理必 不可少的一部分。而风险管理框架的范围比内部框架的范围更为广泛，是对内部 控制框架的扩展，是一个主要针对风险的更为明确的概念。尽管企业风险管理并 不旨在并且事实上也未曾替代内部控制框架，却将内部控制框架融入其中。因此， 公司利用企业风险管理框架，既能满足对内部控制的需求，亦能向更完善的风险 管理进程推进。 内部控制演变的另一条与其主线不通的发展道路是以保护所有者利益和满 足所有者需求为中心，逐步将内部控制的目标集中在保证财务报告的可靠性上， 这是内部控制发展的新方向( 王普松，2 0 0 5 ) 。财务报告内部控制是为了防范财 务报告编报过程中可能的风险而设立的一整套控制方法和程序。但内部控制的范 围则不仅仅局限于财务报告，其关注的焦点更多地集中在一套科学合理行之有效 的风险管理和控制程序。 二、财务报告内部控制与企业风险管理的契合点 尽管可以将财务报告内部控制和企业风险管理的发展作为内部控制演进的 美国内部控制评价与披露的发展及其借鉴 两个不同方向，本文认为不管是美国颁布“财务报告内部控制有效性评价”，还 是c o s o 企业风险管理总体框架其目的都是防止传统的内部控制面面俱 到却流于形式的缺陷，都直接指向资本市场上越来越严重的上市公司经营失败、 公司舞弊现象，通过突出责任主体、控制范围、事前预防的思想，为企业建立或 评判管理过程中的项目提供完整的原则、可用的术语和实务操作指南等来提高上 市公司财务信息质量，逐步改进资本市场信息质量具有重要意义。因此我国在借 鉴美国内部控制评价和披露的经验时应根据我国的实际情况借鉴其制度的本质。 同时注意到尽管财务报告内部控制强制性披露和企业风险管理虽然都非常有益， 但在现实操作中仍存在局限性。即决策主体人的判断可能出错；对风险作出反应 的决策与建立控制措施需要考虑相关的成本与效益；由于人们的疏忽诸如简单的 错误或者失误所引起的故障；由于几个人相互勾结，控制措施可能被规避；管理 层有能力践踏企业风险管理决策。上述局限性的存在使董事会与管理层对主体目 标的实现作出绝对保证成为不可能。 1 2 第三章美国财务报告内部控制评价概述 第三章美国财务报告内部控制评价概述 上市公司经营失败、公司舞弊的指控以及财务报表的重新编报( f i n a n c i a l s t a t e m e n tr e s t a t e m e n t ) ，都将注意力集中在财务报告内部控制( i n t e r n a lc o n t r o l o v e r f i n a n c i a lr e p o r t i n g ) 的健全性上，如何建立健全有效的财务报告内部控制制 度，管理层如何对财务报告的内部控制有效性进行评价，以及外部审计师在财务 报告的内部控制有效性审核中的作用就成了最紧迫的理论问题之一。 第一节美国财务报告内部控制评价演变过程 一、萨班斯法案颁布之前有关内部控制有效性的争论 2 0 世纪7 0 年代以来，管理层对内部控制有效性是否进行报告曾引起广泛的 争论，但直到萨班斯法案颁布之前，还没有形成统一的规范( 朱荣恩等，2 0 0 3 ) 。 美国证券交易委员会曾分别在1 9 7 9 年管理人员对内部会计控制的公告和1 9 8 8 年第3 4 2 5 9 2 5 号提案中试图强制要求管理人员就内部控制责仟和内部控制系统 的有效性的评估发表报告，并由具备一定资格的独立审计师对管理人员报告发表 意见。然而由于上述建议遭到反对，美国证券交易委员会并没有要求上市公司强 制提供内部控制报告。实务中仅有美国联合存款保险局1 9 9 1 发布联邦存款保 险公司改进法对受联邦存款保险公司检查的大型金融机构的管理人员针对内部 控制系统的有效性发布年度报告。此外，1 9 8 7 年t r e a d w a y 委员会也曾发布全 国舞弊性财务报告委员会报告，呼吁管理层应该在公司的年报中提供份报告， 以明确管理层对财务报告的责任，并对公司的内部控制系统及其有效性进行报 告。 美国注册会计师协会也颁布了鉴证业务准则第2 号一与企业财务报告相关 内部控制的报告( g a a s n o 2 ) 和鉴证业务准则第3 号一符合性鉴证 ( g a a s n o 3 ) 。按照上述两项准则的要求，注册会计师可以受聘对企业管理当 局的内部控制认定进行评价和出具报告。管理当局可以采取四种不同的方式对内 部控制提出认定：( 1 ) 内部控制结构的设计和实际运行的有效性；( 2 ) 内部控制 美国内部控制评价与披露的发展及其借鉴 结果的某一环节的设计和实际运行的有效性；( 3 ) 内部控制结构设计的适当性； ( 4 ) 根据管理机构规定的标准所建立的单位内部控制结构的涉及和运行的有效 性。相应的，注册会计师提供的服务可以由两种：一是审查和报告管理当局对其 财务报告中关于内部控制结构效果所做的认定；二是执行商定的与内部控制效果 有关的其它程序。但是，管理当局只有具备以下四项条件时，注册会计师才可以 接受对内部控制结构签发报告的业务：( 1 ) 承担内部控制结构效果的责任；( 2 ) 提供书面认定：( 3 ) 认定依据是一个合理的标准；( 4 ) 这一合理标准是有足够有 力证据支持，接受聘任的关键是确认适当的标准，控制标准可以是美国注册会计 师协会的公告、c o s o 报告或主管机关签发的按照适当程序处理的控制标准。 二、萨班斯法案中涉及财务报告内部控制评价的条款 2 0 0 2 年7 月，国会通过的萨班斯法案第一次对财务报告内部控制的有 效性提出了明确的要求。该法案中对内部控制的评价可分为两个步骤：先由管理 层对其建立的内部控制制度进行自身评价出具评价报告；然后由独立的外部审计 师对管理层的内部控制报告进行有效性鉴定( 朱荣恩等，2 0 0 3 ) 。 ( 一) 涉及管理层对其内部控制制度进行自身评价的条款 1 第1 0 3 号条款规定，管理层财务报告内部控制评估报告中，需要评价公 司的内部控制政策和程序是台包括了详细程度合理的记录，以准确公允地反映公 司的资产交易和处置情况。 2 。第3 0 2 号条款规定，公司首席执行官和首席财务官应当对所提交的年度 或季度报告签署书面证明，并且保证内部控制程序的设计应当确保企业内部其他 管理人员都能够知道公司及其纳入合并范围内的子公司的所有重大信息，尤其在 定期财务报告编制期间；保证在财务报告编制之前9 0 天内已经对公司内部控制 的有效性进行了评价；将关于内部控制有效性的结论反映在报告中；向外部审计 师和公司董事会卜f 的审计委员会报告了内部控制设计或运行中对公司财务信息 的记录加工汇总和报告产生不利影响的所有重火控制缺陷以及重要控制弱点。 ( = ) 涉及外部审计师对管理层内部控制报告作出鉴定报告的条款 第4 0 4 号条款规定，根据1 9 3 4 年证券交易法1 3 ( a ) 或1 5 ( d ) 款要求 递交年报的公司，管理层需要对财务报告内部控制进行报告。同时，该条款要求 1 4 第三章美国财务报告内部控制评价概述 这些公司的审计师对管理层的评估进行认证和报告。 三、萨班斯法案颁布后内部控制评价的新发