美英上市公司内部控制评价与报告体系的比较研究

1、美英上市公司内部控制评价与报告体系的比较研究 本文为国家自然科学基金项目“我国民营企业内部控制研究”（项目批准号：70272055）的阶段性研究成果。张宜霞（东北财经大学内部控制与风险管理研究中心 116025） 摘要 自美国SOX法案颁布以来，上市公司内部控制的评价与报告成为人们关注的一个新的焦点。在当前各国的上市公司内部控制评价与报告体系中，以美国的和英国 欧盟上市公司的内部控制评价与报告体系与英国的比较相似。的最为典型。二者在内部控制评价和报告的主体、评价和报告的内容和范围、评价的依据和标准以及评价和报告的时间和频率方面都存在很大的差异，代表着两种截然不同的方向。关键词 内部控制 内部控

2、制审计 Turnbull指南 原则导向一、美国的上市公司内部控制评价与报告 2001年以来，美国安然、世通等许多著名公司暴露出的一系列财务舞弊问题引起了社会公众的关注，严重影响了公众对公司会计实务、财务报告的信心以及投资者的信心，迫于这种压力和形势，2002年7月，美国国会通过并颁布了萨班斯奥克利法案（The Sarbanes - Oxley Act of 2002，SOX），致力于治理财务丑闻和财务报告中可能出现的问题，目的是为了恢复公众对公司会计实务和财务报告的信心。SOX法案结合公司的财务报告全面提高了对上市公司内部控制的要求，把过去的很多自愿和选择性做法变成了法定的、强制性的要求，其中

3、302节和404节尤为具体，对内部控制的评价和报告进行了明确的规定和要求。SEC根据SOX法案的规定于2003年6月发布了“最终规则”对相关问题提出了详细的规定。公众公司会计监管委员会（PCAOB）也于2004年发布了第二号审计准则（AS No.2），并在2004年末进行了修正。（一）美国的上市公司内部控制评价与报告体系SOX法案是为上市公司规定了一个内部控制的评价和报告体系，以提高内部控制的有效性，加强内部控制信息的透明度。根据SOX法案302节、404节以及SEC 的“最终规则”和PCAOB的AS No.2，美国上市公司内部控制的评价与报告体系包括：（1）公司管理层对财务报告内部控制的有效

4、性进行评价，对内向审计委员会报告、对外发布公开报告；（2）注册会计师对财务报告内部控制进行的审计，对管理层财务报告内部控制有效性评价发表鉴证意见以及对公司财务报告内部控制的有效性发表意见。美国上市公司财务报告内部控制评价与报告体系如图1所示：内部控制评价内部控制报告公司管理层对财务报告内部控制有效性的评价内部控制的对外报告注册会计师对财务报告内部控制的审计注册会计师的审计报告内部控制的对内报告对管理层评价的鉴证对内部控制有效性的评价图1 美国公司内部控制评价与报告体系（二）美国上市公司管理层对财务报告内部控制的评价与报告1评价依据SEC要求管理层的报告要确定管理层评估公司财务报告内部控制的有效

5、性时所用的评价框架。管理层对公司财务报告内部控制有效性的评价必须依据一个适当的、公认的控制框架，这个框架应是由一个团体或组织按照应有过程（due-process）的程序（包括框架要广泛的征求公众的评论）建立的。SEC认为，一个适当的框架必须满足以下条件：（1）没有偏见；（2）允许适当一致的定性和定量衡量公司的内部控制；（3）充分完整，没有忽略那些会改变公司内部控制有效性结论的相关要素；（4）与评价财务报告内部控制相关。SEC指出，COSO框架满足它们的标准，可以用作管理层内部控制年度评价和披露所要求的评价框架。但是，SEC没有要求应用某一个特定的框架（如COSO框架），因为，SEC认识到这样一

6、个事实：在美国之外可能存在其他评价标准 SEC指出，加拿大特许会计师协会发布的评估控制指南和英格兰&威尔士特殊会计师协会发布的Turnbull指南都是适当的框架。，并且将来在美国也会发展出除COSO以外的框架，它们符合法令的意图而不会减少投资者的利益。使用可以公开得到的衡量标准将会提高内部控制报告的质量，将会促进不同公司内部控制报告的可比性。2评价标准对于公司财务报告内部控制有效性的评价，SEC没有提出管理层可以据以断定公司财务报告内部控制有效的具体标准，但是，SEC设定了一个管理层确定公司财务报告内部控制有效的限度：如果管理层识别出公司财务报告内部控制中的一个或多个重要弱点（mate

7、rial weakness），管理层就不能断定公司的财务报告内部控制是有效的。而且，SEC也要求管理层的报告必须包含对管理层在评价过程中确定的公司财务报告内部控制中所有重要弱点的披露。“重要弱点”指的是“一个重大缺陷或重大缺陷的联合，会导致年度或期间财务报表的一个重要错报没有被阻止或发现的概率大于一个极小的可能性（remote likelihood）”。“重大缺陷”指的是“一个控制缺陷，或控制缺陷的联合，会对公司发起交易、授权、记录、处理或可靠地按照公认会计原则报告外部财务数据的能力产生有害影响，以至于公司年度或期间财务报表的一个超过无关紧要程度的错报没有被阻止或发现的概率大于一个极小的可能性

8、（remote likelihood）”。重要弱点和重大缺陷都表示内部控制设计或运行中的缺陷，都会对公司与管理层在公司财务报表中的认定保持一致、进行记录、处理总结和报告财务数据的能力产生不利影响。重要弱点构成一个比重要缺陷大的缺陷，累计的重要缺陷会构成公司财务报告内部控制的一个重要弱点。3评价方法与内容SEC认为，对财务报告内部控制实施评价的方法对不同的公司来说将会并且应当是不同的，因此，SEC的规则没有明确说明管理层评价财务报告内部控制应当应用的方法和程序。对公司财务报告内部控制的评估必须根据足以既能评价内部控制的设计又能测试内部控制运行有效性的程序进行。要受到这种评估的控制包括但不限于：（

9、1）对发起交易、记录、处理和调节账户余额、交易分类和披露以及财务报表中包含的相关认定的控制；（2）与非常规和非系统交易的动议和处理相关的控制；（3）与适当会计政策的选择和应用相关的控制；（4）与防止、识别和发现舞弊相关的控制。此外，公司在实施评价并形成有关财务报告内部控制有效性的评价结论时，必须保存证据（包括记录），为管理层对财务报告内部控制有效性的评价结论提供合理的支持。形成和保存这些证据是有效内部控制的一个内在要素。对财务报告内部控制有效性的评估必须得到与内部控制设计和测试程序相关的证据（包括记录）的支持。这些证据 需要鉴证或报告管理层对公司财务报告内部控制的评价的公共会计公司也要求公司形

10、成和保存这样一些证据，以支持管理层的评估。应当为以下事项提供合理的支持：（1）对内部控制是否用来防止或发现重要错报或遗漏的评价；（2）对测试进行了适当的规划和实施；（3）测试的结果得到了适当考虑。管理层对控制的评估并不意味着管理层必须亲自执行必要的活动来评价公司财务报告内部控制的设计以及测试其运行有效性。各种活动（包括那些为管理层提供据以形成评价结论所需信息的必要活动）可以在管理层的监督下由非管理层人员执行。公司测试活动的性质主要取决于公司的具体情况以及控制的重要性，但是，单独的询问一般不会为管理层的评估提供充分的依据。而且，根据SEC有关审计独立性的规则，审计师可以帮助管理层建立内部控制档案

11、，但是，管理层不能把其评估财务报告内部控制的责任转移给审计师。SEC建议的规则曾经要求美国的证券发行人每一季度都要对其财务报告内部控制进行全面的评价。但是，最终规则要求美国的证券发行人只有在财务季度期间发生的变动已经或相当可能对财务报告内部控制产生重要影响的情况下才实施季度评价。该评价必须由公司的管理层在CEO和CFO参与的情况下实施。4. 管理层对外的内部控制报告SOX法案302节的规则要求CEO和CFO在每一期间报告中都要保证他们已经披露了最近的一次评价之后公司内部控制发生的所有重大变化以及会对内部控制产生重大影响的其他因素，要求CEO和CFO在每一期间报告中都要保证他们已经向公司的审计师

12、和审计委员会披露了公司内部控制的所有“重大缺陷”、向公司的审计师披露了内部控制的所有“重要弱点”。SEC的“最终规则”对其进行了修改，要求每一个美国或非美国证券发行人的管理层要在发行人首席执行官和首席财务官（或履行类似职能的人）的参与下，评价发行人每一财务年度末财务报告内部控制的有效性。此外，还要求公司的年度报告要包括管理层的一个内部控制报告，这个报告主要包括：（1）陈述管理层为公司建立和维持充分的财务报告内部控制的责任；（2）一项陈述，确定管理层对公司财务报告内部控制的有效性执行规定的评价时所采用的框架；（3）管理层对公司的财务报告内部控制在最近财务年度的有效性的评估，包括一项有关公司的财务

13、报告内部控制是否有效的陈述。这项评估必须包括对管理层识别的公司财务报告内部控制重要弱点的披露。如果在公司的财务报告内部控制中存在一项或多项重要弱点，就不允许管理层得出结论，认为公司的财务报告内部控制是有效的。（4）一项陈述，说明审计财务报表（包括在年度报告中）的已登记公共会计公司已经就管理层对财务报告内部控制的评价出具了鉴证报告。SEC没有明确规定管理层的内部控制报告必须出现在公司年度报告中的什么地方，但是，它认为，管理层的评价报告靠近公共会计公司出具的相应鉴证报告非常重要。它预期，许多公司会选择把内部控制报告和鉴证报告放在接近MD&A披露的地方，或者紧靠公司财务报表前面的一份文档中。

14、5管理层对内的内部控制报告根据SOX法案以及SEC的相关规则，公司管理层不但要定期对外报出财务报告内部控制的报告，而且还要向公司的审计委员会报告内部控制的以下相关情况：（1）内部控制的设计或运行中，对公司记录、处理、汇总及编报财务数据的功能产生负面影响的所有重大缺陷，并向公司的审计师指出内部控制的重大缺陷；（2）在内部控制中担任重要职位的人员或其他雇员的欺诈行为，不论行为的影响是否重大。（三）美国外部注册会计师对公司财务报告内部控制的评价与报告SOX法案404（b）规定，审计师的鉴证和报告应当根据PCAOB发布或通过的鉴证业务准则进行，而且，这个评价过程不应当作为一项单独的业务。SEC的规则要

15、求每一个为公司出具或编制审计报告的注册公共会计公司要审查、鉴证和分别报告管理层有关公司财务报告内部控制有效性的报告。鉴证必须注明日期，亲自签名，标明该报告涵盖的期间，清晰的说明审计师的意见：管理层对公司财务报告内部控制有效性的评估在所有重大方面是否得到了公允的说明，或者必须包括一个不能表示整体意见的意见。管理层评估财务报告内部控制的鉴证报告可以与审计报告分开。2003年5月，PCAOB指定当时美国注册会计师协会（AICPA）制定的“鉴证业务准则公告”作为鉴证管理层评估财务报告内部控制有效性的准则，直到PCAOB发布进一步的准则。2004年3月，PCAOB发布了AS No.2，于是，AS No.

16、2成为审计师审计财务报告内部控制，鉴证管理层评估内部控制有效性的标准和依据，从而导致了审计实务的重大变化。1注册会计师对管理层内部控制报告的评价根据PCAOB的AS No.2，审计师在评价管理层内部控制报告时，应重点评价以下内容：（1）管理层是否适当表示了其建立和维持充分财务报告内部控制的责任。（2）管理层实施评价所应用的框架是否适当。（3）管理层对财务报告内部控制在公司最近财务年度末有效性的评价是否没有重要错报。（4）管理层是否以可以接受的形式表述了评价结果：管理层需要说明公司的财务报告内部控制是否有效；说明“管理当局没有注意到表明公司财务报告内部控制无效的事项”的消极保证声明是不能接受的；

17、如果公司的财务报告内部控制存在一个或多个重要弱点，那么，就不允许管理层得出公司的财务报告内部控制是有效的结论。（5）如果在公司的财务报告内部控制中识别出了重要弱点，那么，这些弱点（包括在此期间纠正了的重要弱点）是否得到了适当的披露。2注册会计师的财务报告内部控制审计报告根据AS No.2，对管理层对财务报告内部控制的评价出具的审计报告一般包括以下内容：（1）包含“独立”术语的标题；（2）确认管理层根据控制标准（如COSO发布的内部控制整合框架中建立的标准）对公司财务报告内部控制在特定日期有效性的评价结论；（3）确认包含管理层评价的那个管理层报告的标题（审计师使用的对公司财务报告内部控制的描述应

18、当与管理层在其报告中使用的相同）；（4）说明评价是管理层的责任；（5）说明审计师的责任是对管理层的评价表示意见以及根据审计师的审计对公司财务报告内部控制表示意见；（6）财务报告内部控制的定义；（7）说明该审计是根据PCAOB的准则实施的；（8）说明PCAOB的准则要求审计师规划和实施审计，以获得对是否在所有重要方面保持了有效财务报告内部控制的合理保证；（9）说明该项审计包括获得对财务报告内部控制的了解、评价管理层的评价、测试和评价内部控制设计和运行的有效性以及实施在具体情况下审计师认为必要的其他审计程序；（10）说明审计师认为其审计为意见提供了合理依据；（11）说明固有局限（由于固有局限，财务

19、报告内部控制可能不会防止或发现错报，而且，对未来期间任何有效性评价的预测通常会遭受这样的风险：控制可能会因为条件的变化而变得不充分，或者对政策或程序的遵守程度会降低）；（12）审计师的意见，管理层对财务报告内部控制在指定日期有效性的评价是否在所有重要方面根据控制标准进行了公允的说明；（13）审计师的意见，公司是否根据控制标准在指定日期、在所有重要方面保持了有效的财务报告内部控制；（14）审计公司的手工或印刷签名；（15）审计报告出具的城市和州（对非美国审计师来说，是城市和国家）；（16）审计报告的日期。二、英国上市公司的内部控制评价与报告体系 早在1994年，Cadbury委员会在其发布的名为

20、内部控制和财务报告的报告中要求英国各公司的董事会公布一份有关其内部财务控制制度的声明，这份声明必须至少包括：承认董事会对内部财务控制负责；为内部控制制度对重大的错报或遗漏的事项仅提供合理保证而非绝对保证作出解释；描述董事会为了确保有效的内部财务控制已经建立的关键程序；证实董事会已经审核过内部财务控制制度的有效性。Cadbury报告鼓励但不要求董事会对内部财务控制制度的有效性发表意见。根据英国当前的公司法、2003年的联合规则以及2005年10月发布的Turnbull指南等相关法律法规，英国公司内部控制评价与报告的体系主要包括以下内容：1审查内部控制有效性的责任审查内部控制的有效性是董事会责任的

21、重要组成部分。董事会需要根据提供给自己的信息和保证对有效性形成自己的看法，管理层有责任监督内部控制系统并向董事会提供已经这样做的保证。董事会各委员在审查过程中的职责，包括审计委员会的职责在内，应当由董事会决定，并取决于诸如董事会的规模和构成、公司经营的多样性和复杂性、公司所面对重大风险的性质等因素。如果董事会指定某一委员会代表董事会执行对内部控制的审查，相关委员会的工作结果应当向董事会报告并由董事会来考虑，董事会承担在年度报告和说明中披露内部控制的责任。2审查内部控制有效性的过程持续的有效监督是一个健全的内部控制系统的必要组成部分。但是，董事会不能单独依赖公司内嵌入的监督过程来解除其责任。它应

22、当定期收到和审查内部控制的有关报告。此外，为了使其公开的内部控制声明会确保在审查期间以及到年度报告和说明批准日为止董事会已经考虑了公司所有重大的内部控制情况，董事会应当进行年度评价。董事会应当确定其审查内部控制有效性所采取的程序。这应当既包括它在一年内所收到和审查的报告的内容和频率，也包括年度评价的过程，这样才会为公司年度报告和说明中的内部控制声明提供健全的、适当记录的支持。管理层向董事会提交的报告应在其涵盖的范围内均衡地评价重大风险以及内部控制系统在防范这些风险过程中的有效性。应当在报告中讨论所有已识别出的重大控制缺点或弱点，包括对公司已经产生或可能产生的影响以及正在采取的纠正措施。管理层与

23、董事会开诚布公地交流风险和控制的相关问题，是必不可少的。在审查该年度的报告时，董事会应当：（1）考虑什么是重大风险，并评价风险是如何被识别、评估和管理的；（2）评价相关内部控制系统在管理重大风险过程中的有效性，尤其注意已被报告过的所有重大内部控制缺点或弱点；（3）考虑是否正在及时地采取必要行动以纠正所有地重大缺点或弱点；（4）考虑调查结果是否表明需要更深入地监督内部控制系统。此外，为了对内部控制发布公开的声明，董事会应当进行年度评估。该评估应当考虑本年度董事会所审核过的报告中涉及到的问题以及为了确保董事会已经考虑了在审查期间以及到年度报告和说明批准日为止该公司内部控制的所有重大方面所必需的附加

24、信息。董事会的年度评估特别应当考虑：（1）自上次年度评估以来，重大风险在性质和程度上的变化以及公司对其经营和外部环境变化的反应能力；（2）管理层对风险和内部控制系统进行持续监督的范围与质量、（如果有内部审计）内部审计职能部门的工作以及其他能提供保证的措施；（3）监督结果向董事会（或董事会的委员会）沟通的内容和频率，这种沟通使得董事会能够对公司内控制的状况以及管理风险的有效性逐步形成连续的评估；（4）已在该年度内任何时刻被识别出的重大控制缺点或弱点的影响范围以及它们导致无法预见的结果或意外费用的程度（这些无法预见的结果或意外费用已经、可能会或在将来会对公司的财务绩效或采取状况产生重要影响）；（5

25、）公司公开报告过程的有效性。无论何时，如果董事会发现了内部控制的重大缺点或弱点，它应当确定这些缺点或弱点是如何发生的，并对管理层设计、运行和监督内部控制系统的持续过程的有效性进行重新评估。3董事会对内部控制的声明年度报告和说明应当包括一些有意义的、高级（high-level）的信息，董事会认为这些信息对帮助股东理解公司的风险管理过程和内部控制系统的主要特征来说是必要的，而且，不应当给出令人误解的印象。在描述公司如何应用联合规则C.2原则的声明中，董事会至少要披露：存在一个识别、评价和管理公司所面临重大风险的持续过程；这个过程在审查年度以及到年度报告和说明批准日为止安排得当；这个过程由董事会定期

26、审查，并与Turnbull指南一致。有关原则C.2应用情况的披露，董事会应当确认：董事会对公司的内部控制系统负责，而且负责审查其有效性。它也应当解释，这样一个系统是用来管理而不是消除未能实现经营目标的风险的，而且，只能对防止重大错报或损失提供合理而不是绝对的保证。有关联合规则的规定C.2.1，董事会应当总结其（适用的情况下，通过其委员会）在审查内部控制系统有效性过程中所应用的程序，并确认（confirm），已经或正在采取必要的行动以纠正从审查中识别出来的所有重大缺点或弱点。它也应当披露它处理年度报告和说明中披露的所有重大问题的重要内部控制方面时所应用的程序。如果董事会不能做出上述的一项或多项披

27、露，它应当说明这一情况并做出解释。上市规则要求董事会披露：是否未能对公司内部控制系统的有效性实施审查。 4注册会计师的责任根据上市登记规则，外部审计师要对董事会审查内部控制系统的有关遵循声明进行审查。审计实务委员会（APB）的指南建议，审计师应当评价公司公布的内部控制声明是否有文档记录的证明、是否适当反映了董事会审查内部控制系统的过程。如果审计师认为董事会的内部控制声明与审计师了解的情况不一致，那么，审计师要在审计报告中增加一个补充段。关于Turnbull指南中建议公司应当披露用来处理年度报告和说明中披露的所有重大问题的重要内部控制方面的过程，APB指南指出，审计师应当与董事们讨论他们为了确定

28、要在年度报告和说明中披露那些重大问题所采取的步骤，并评价内部控制声明是否适当的反映了这些过程。审计师没有被要求去评价董事所描述的过程是否会实际上纠正在年度报告和说明中描述的问题。在审查公司内部控制声明的过程中，外部审计师也要利用他们在财务报表审计中所获得的对公司的了解。英国上市公司内部控制评价与报告的体系如图2所示：董事会对外的内部控制声明评价内部控制有效性的报告注册会计师审查管理层对内部控制的年度评价审查鉴证性意见（说明段）图2 英国上市公司内部控制评价与报告的体系三、英美公司内部控制评价与报告模式的比较如前所述，英美两国的上市公司内部控制评价与报告体系是两种典型的模式，二者在内部控制评价与

29、报告的一些主要方面存在很大的差异。1Turnbull指南的广泛性和原则导向方法，有助于更好地理解和管理风险以及改进内部控制。在英国模式下，董事会和审计师审查的内部控制涵盖了所有类型的控制，而在美国模式下，管理层和审计师评价的仅限于财务报告内部控制。在英国模式下，董事会负责审查内部控制的有效性，管理层有责任监督内部控制系统，并向董事会提交评价内部控制有效性的报告；董事会要审查管理层的内部控制报告，对内部控制进行年度评估，并在年度报告中发布内部控制声明。而在美国模式下，管理层负主要责任，不但要向董事会下属的审计委员会报告，还要评估内部控制的有效性并对外发布内部控制报告。根据Turnbull审查小组

30、的调查，英国的公司和投资者认为，Turnbull指南的成功主要归因于Turnbull指南的广泛性和原则导向方法。一方面，它通过涵盖所有重要控制并把内部控制与风险管理联系在一起，它允许公司把注意力集中在其面对的最重要风险上；另一方面，它通过阐明高级原则而不是详细的过程，要求董事广泛的考虑公司的风险，并且使他们以一种适合公司特定情况的方式应用这项指南。这种广泛性和原则导向使得公司的董事会需要认真的考虑内部控制，而不是简单地委托给公司内一个低层级的项目小组，英国的投资者发现特别有益的正是这种高层对控制问题的考虑。相对来讲，美国对公司内部控制评价与报告的要求是规则导向的，进行了非常明确和详细的规定。欧

31、盟成员国和欧洲议会也正在讨论欧盟委员会的一项建议，要在第4和第7条公司法指令中引进与披露上市公司内部控制与风险管理系统相关信息的要求，上市公司需要在其年度报告和说明中包括“描述公司与财务报告过程有关的内部控制与风险管理系统的主要特征”。这一点与英国的做法非常相似，关注内部控制和风险管理，而不是狭隘的财务报告内部控制。正如Turnbull审查小组所言，“这次审查在公司和投资者之间找到了清晰的一致：对公司来说，考虑和管理所有重要风险很重要，更狭窄的关注财务报告控制将会是一个倒退。”2Turnbull指南是一个优良的业务实践，充分考虑了各公司的特性和市场导向Turnbull指南是为了实现以下目的：（

32、1）反映健全的经营实践，由此内部控制嵌入公司用来实现其目标的经营过程中；（2）在不断变化的经营环境中长期保持相关性；（3）使每一个公司能够根据其特定情况应用本指南。其对内部控制评价于报告的的要求是原则和市场导向的，采用了“遵守或解释”的理念。所以，从Turnbull审查小组的调查结果来看，那些把Turnbull指南看作是优良的业务实践而不是仅仅是一个遵守实施的公司从Turnbull指南获得了最多收益。与此相对的是，在美国模式下，管理层承担了主要的责任，内部控制的评价与报告很大程度上是对SOX法案以及SEC相关法规的遵守。3内部控制有效性的评价与报告在英国模式下，董事会每年至少一次对内部控制的有

33、效性进行审查，但在对外报告中主要是对联合规则的使用情况做出说明，并不需要对内部控制的有效性做出公开说明。在美国模式下，管理层需要在年度末对财务报告内部控制的有效性进行评价，并在对外的内部控制报告中陈述评价结果。在英国模式下，对公司在其内部控制报告中应当包含哪些其他信息进行过分规定，要求董事们在年度报告和说明中就公司内部控制系统的有效性做出声明是不适当的，几乎所有的公司和大部分投资者都反对引进这样的要求，因为他们认为：（1）要求做出一个“那些过程是有效的”声明将会导致昂贵的测试和鉴证工作达到一个低层次的细节，向股东进行这一报告的收益从目前的状况来看，投资者还没有区分那些根据SOX法案404节进行披露的公司和那些没有披露的公司，也没有认为遵守404节将会逐渐视代表一个更高标准的内部控制不足以规定这种要求，没有相应的收益，只有高昂的成本。而且也担心，成本甚至比美国更高，因为Turnbull指南不仅仅是财务报告内部控制，而是涵盖了所有内部控制。（2）考虑到非