后萨班斯时代国际内部控制的发展趋势

后萨班斯时代国际内部控制的发展趋势

一、前言

2003年9月，国际内部审计师协会（简称IIA）总部前执行副主席理查德·钱伯斯先生（Richard F. Chambers）访华，他在北京举办的国际内部审计高级研讨班演讲的专题之一《国际内部审计的发展趋势》中提到的三大发展趋势：一是重新介入内部控制；二是推动更有效的公司治理；三是对内部审计师的期望在改变。2004年6月，时任IIA理事会主席的鲍伯麦克唐纳先生（Bob McDonald）访华，他为中国内部审计师演讲的内容中再次提到了国际内部审计发展的上述三大趋势。

这引发了两个问题：第一，这两位IIA的高级官员都提到这三大发展趋势，证实这种提法不是某个人的研究成果，而是IIA认可的对外宣传的统一提法；第二，为什么国际内部审计发展趋势中未列入当前最时髦的风险治理、风险评价或风险评审的内容？

2004年12月，IIA发布了美国反欺诈性财务报告委员会的主办机构委员会（简称COSO）的《企业风险治理-一体化框架》。该框架规定了必不可少的企业风险治理的八个相关组成部分，讨论了要害的企业风险治理原则、概念、效果和局限性等内容，建议用一种企业风险治理的共同语言，为企业风险治理提供方向和指南。《企业风险治理-一体化框架》重要意义在于：它改变了人们对“风险是指可能对实现组织目标产生负面影响的事情或活动”的片面熟悉。风险既是挑战，也是机遇，“治理层所面临的最严重挑战是决定本企业预备接受多大的风险，因为风险可以经过奋斗而创造价值。”“当治理层制定的战略目标能达到增长和利润目标与相关风险之间的最佳平衡，并在追求本企业目标的过程中有效地调度资源时，能实现企业价值的最大化。”

综上所述，可以看出，国际内部审计三大发展趋势中，前两大趋势-重新介入内部控制和推动更有效的公司治理，重视的是加强企业的制度建设；后一趋势：对内部审计师的期望在改变，强调的是提高内部审计人员的整体素质。制度建设加强了，治理漏洞堵塞了，人的素质又相应提高了，自然企业所面临的风险会大大减少，即使出现风险也会采取措施加以防范或控制，使之转化为新的发展机遇。这就是IIA提出的国际内部审计三大发展趋势的高明之处。

二、背景

2001年11月，安然公司财务丑闻曝光，6个月后，世界通讯公司再度爆发丑闻，由此引发的多米诺骨牌效应，造成了这一期间美国有338家上市公司，总计4093亿美元的资产申请破产保护。2002年7月30日，美国紧急出台了公司改革法案《萨班尼斯-奥克斯莱法案》（Sarbanes- Oxley Act），又成立了一个新的监管机构来监管会计职业界和公司董事会。该法案是1930年以来美国证券立法中最具影响的法案，它加重了公司主要治理者的法律责任；加强了对公司高级治理层的收入监管；对公司内部的审计委员会作出法律规范；强化了对公司外部审计的监管；加强了信息披露制度和其他有关公司监管的规定。

随着安然、世通申请破产保护、安达信退出审计业，美国朝野人士分别从四条战线同时出击：个体股民的诉讼、证券交易委员会的稽查、司法部的刑事起诉和国会的调查。痛定思痛，美国各界人士的舆论渐渐聚集在探讨产生这些财务丑闻和欺诈行为的根源-一些企业的商业道德沦丧，良心泯灭上。在营造企业树立诚信的商业道德和维护“企业良心”的外部环境上，美国的法律不可谓不多；美国对企业的监管体制不可谓不严；美国拥有“五大”在内的众多超巨型国际会计师事务所，其审计技术和手段不可谓不先进，在此情况下，仍出现那么多财务丑闻和欺诈行为，人们不得不把关注的焦点从企业的外部环境转向企业内部控制机制上。由于内部审计在企业经营治理中处于极其重要的地位，它既是企业内部控制机制的重要组成部分，又是监督与评价内部控制的主要手段，因此，人们把内部审计当作“企业良

心”，当作维护企业道德文化的最后一道防线。

安然和世通财务丑闻发生后，国际内部审计师协会（IIA）提出公司治理的方向是：加强对治理层职业道德的劝说，落实会计制度改革对财务报表透明化的要求，设立外部独立董事职位，强化内部控制机制，要求内部和外部审计人员自律。下面分别介绍国际内部审计的三大发展趋势。

三、发展趋势之一：再次介入内部控制

在20世纪80年代，内部控制是企业治理的重要内容，检查和评价内部控制制度是否充分、有效和具有可操作性是内部审计的重要工作。从1991年开始，世界许多大公司开始了兼并、重组和公司治理的过程，企业面临的风险普遍增大。主要原因是：企业实行多样化经营，进入了众多以前未涉及的领域；实施国际化发展战略，控制链大大延长；信息技术在经营治理中广泛应用导致计算机犯罪增加。在这种情况下，企业开始注重风险治理，内部审计的重点也从以制度为基础审计（英国、澳大利亚等国的提法）或称内部控制评审（美国和加拿大的提法）转向以风险为基础审计，或称风险导向审计。到2001年（企业兼并重组改革10年后），许多公司财务丑闻的出现，如美国的安然、世通和意大利的帕玛拉特等公司财务丑闻，使各公司面临了一些灾难性问题。同时，也影响了注册会计师事务所的信誉和形象，各大会计师事务所都修改了审计制度方面的要求。例如，会计师事务所不能同时做审计和咨询业务。

在此情况下，公司的内部审计职能得到了加强，内部审计人员正面临着前所未有的挑战。由于安然公司内部审计人员对账外负债业务的揭示以及世通公司内部审计人员对38.5亿美元费用违规列入资本支出项目的揭示，使内部审计的作用得到了公众和监管部门的肯定。辛西亚。库珀（内部审计主任）在世通案件中的突出表现不仅使全世界的内部审计工作者熟悉到内部审计工作责任的重大，也使决策层、治理层对内部审计的必要性和重要性有了新的熟悉。

（一）再次介入内部控制的原因

《萨班尼斯-奥克斯莱法案》明确要求上市公司的年报应包括内部控制的评价部分。国际内部审计再次介入内部控制这一领域是与该法案的明确要求密切相关的。这是因为人们已经熟悉到内部控制在组织目标实现过程中所起的要害作用，因此，企业内部控制的运行状况已不在是企业内部关心的对象，而越来越受到外部相关人士的关注。

2002年《萨班尼斯-奥克斯莱法案》中关于加强内部控制的条款如下：

第103条款-审计、质量控制和独立性准则及规定，要求外部审计师在每份审计报告中说明审计师对上市公司内部控制构成及程序的测试范围，并在该审计报告或单独的报告中注明。

第302条款-公司对财务报告的责任，要求建立、评价和报告关于财务报告披露的内部控制；

第404条款-治理层对内部控制的评价

（1）内部控制方面的要求-证券交易委员会（SEC）应当制定规定，要求按《1934年证券交易法》第13条（a）或第15条（d）编制年度报告包括内部控制报告，其内容包括：强调公司治理层建立和维护内部控制制度及相应控制程序充分有效的责任；

上市公司治理层最近财政年度末对内部控制制度及控制程序有效性的评价。

（2）内部控制评价报告

对于本条款（1）中要求的治理层对内部控制的评价，担任年度财务报告审计的会计公司应当对其进行测试和评价，并出具评价报告。上述评价和报告应当遵循委员会发布或认可的准则。上述评价过程不应当作为一项单独的业务。

（二）内部控制