塞班斯奥克斯里

萨班斯·奥克斯利法案下的内部控制框架思考
2001年底发生的安然事件等一系列财务丑闻，暴露了美国核查体系的严重缺陷，而上述核查体系原本是用来保护公众公司的股东、养老金受益人和雇员的利益，并保护美国公众对资本市场的稳定、公正的信心的，安然等一系列事件无疑严重动摇了公众对会计师行业的信心。

针对上述公司失败事件，美国国会在2002年出台了《萨班斯—奥克斯利法案》，该法案为公众公司的外部审计师们创建了一个广泛的、新的监督体制，并将对财务报告的内部控制作为关注的具体内容。

国会不仅要求管理层报告公司对财务报告的内部控制，而且要求外部审计师证实管理层报告的准确性。

可以说，上述事件又一次让内部控制成为关注的焦点。

对法案相关条款的回应
2002年7月发布的《萨班斯—奥克斯利法案》第404节（a），以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。

第404节还要求公司的外部审计师对管理层的评估意见出具“证明”，也就是说，向股东和公众提供一个信赖管理层对公司财务报告的内部控制描述的独立理由。

法案的第404节以及103节，指导公众公司会计监督委员会（PCAOB）制定用以管理外部审计师的证实工作，并就管理层对内部控制的有效性的评估进行报告的行业标准。

2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。

该标准关注对财务报告的内部控制的审计工作，以及这项工作与财务报表审计的关系问题。

这项综合的审计会产生两份审计意见：一份针对财务报告的内部控制，另一份针对财务报表。

对内部控制的审计涉及以下内容：评价管理层用于开展其内部控制有效性评估的过程；评价内部控制设计和运转的效果；形成对财务报告的内部控制是否有效的意见。

该标准的出台，将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。

正如PCAOB主席William J. McDonough所称，“该标准是委员会采用的最为重要、意义最为深远的审计标准。

过去，内部控制仅是管理者考虑的事情，而现在审计师们要对内部控制进行详细的测试和检查。

这一过程将对投资者起到重要的保护作用，因为稳固的内部控制是抵御不当行为的头道防护线，是最为有效地威慑舞弊的防范措施”。

此外，SEC对该标准的认同等于从另外一个侧面承认了1992年发起人组织委员会（COSO）下属的杜德威委员会公布的《内部控制—综合框架》（也称COSO框架）。

这也表明COSO框架已正式成为内部控制的标准。

这是COSO的重大胜利，是COSO每个成员机构多年的不懈努力使这个框架获得了更大程度的认可。

第2号审计标准有关内部控制的规定。

第2号审计标准依据COSO制定的内部控制框架制订，在“管理层用于开展其评估的框架”一节中，明确管理层要依据一个适宜且公认的由专家群体遵照应有的程序制定的控制框架，来评估公司财务报告内部控制的有效性。

在美国，为管理层的评估目标提供的适宜框架就是COSO框架。

当然，其他国家也公布了一些适宜的框架，如加拿大的COCO框架等。

标准还指出，尽管不同的框架可能没有精确的含有与COSO一样的组成要素，但他们所含有的组成部分涵盖了COSO的所有常规主题。

因此，如果管理层运用了区别于COSO的适宜框架时，审计师应以合理的方式运用2号审计标准中的概念和方针。

标准认为，COSO框
架能确认出内部控制的三大主要目标，即运营的效率和效果，财务报告的可靠性，以及遵守适用的法律和规章。

而COSO以往对财务报告的内部控制观点不包含运营目标和合规性目标。

不过，这两个目标与财务报表的表达与披露直接相关，有必要含在财务报告的内部控制中。

而这三大目标都会对财务报告产生重大的影响，是关于财务报告的内部控制的组成部分。

此外，标准将控制环境、风险评估、控制活动、信息和沟通、监控作为框架的五大组成要素，服务于上述三大目标。

当然，PCAOB也敏感地意识到，为遵循第404节和第2号审计标准的要求所需的成本，会强加到很多公司（尤其是中小型公司）身上，同时也预见到美国公司在遵循第404节要求的头一年要承受巨额的成本。

毕竟，按COSO框架设计和实施内部控制框架是需要投入的，公司内部的审计部门对内部控制的整体评估（不限于对财务报告的内部控制），以及外部审计师按标准规定对财务报告的内部控制和财务报表审计都需要大额的费用。

尽管内部控制的性质和程度很大程度上取决于公司的规模和复杂程度，但多数公司的前期成本投入是在所难免的。

只不过大型复杂化的国际性公司很可能需要广泛的综合性内部控制系统，而一些小公司或业务较为单一的公司，因其高层管理团队的道德行为和核心价值平时就与内部、外部当事人进行互动，可能会减少对精心设计的内部控制系统的需要。

PCAOB预计，审计师会运用合理的专业判断来决定对内部控制的审计程度，并开展那些必要的测试来确定公司内部控制的有效性。

不过，相对于以往各行其是的内部控制评估标准来说，PCAOB的工作对于规范化的内部控制设计、实施、监督、评估与不断改进是有重大进步意义的，它使许多美国公司的各层管理者能在一个统一的框架内有效履行其内部控制的职责，并为会计师行业对内部控制的评估提供了一个基础。

更为重要的是，该标准将力促公司建立有效的内部控制监督体系，这为有效的公司治理奠定了良好的基础。

毕竟，内部控制监督过程需要审计委员会、高层管理者、外部审计师和内部审计师的共同参与。

对COSO框架的进一步思考
纵观美国内部控制的发展史，不难看出其发展的每一个过程都与会计职业群体有深厚渊源。

自1938年的“麦克森—罗宾斯事件”促使美国注册会计师协会（AICPA）发布内部控制定义起，到1977年美国国会发布《反国外贿赂法案》，至1992年COSO发布《内部控制—综合框架》，再到2002年美国国会发布《萨班斯—奥克斯利法案》以及PCAOB发布第2号审计标准，会计执业界都与此有密切关联。

当然，迄今为止集大成者还要属COSO框架。

正如前文所述，COSO框架在2004年成为了美国的内部控制标准，这与COSO制定该框架的初衷是吻合的。

COSO的纲要部分就声明公司的高级执行官长期以来一直在谋求更好地控制其所治理的企业。

高级执行官对内部控制的兴趣恐怕来自有效的内部控制是保证公司资产免受管理层、员工或其他人的违法行为和类似错误引起的不利后果的最后屏障这个看似不可动摇的假设。

而PCAOB也相信，为获取可靠的财务报表，机构必须保持内部控制的运转，以便了解各项记录的准确性，各项交易和资产的处理的公允反映情况，并对各项交易记录的充分性提供保证，且收支工作都经管理层和领导者授权。

这样，就能根据一般公认会计原则（GAAP）编制财务报表。

内部控制的运转还能确保上述步骤的运转，以防止或发现对财务报表产生重大影响的资产的盗用、未经授权使用或处置情形。

简言之，如果公司管理层能证明其对簿记工作实施了适当的内部控制，用于编制准确财务报表的账簿和记录是充分的，并遵守了公司资产的使用规则，投资者就会对公司财务报表的可靠性更为信任。

此外，当今世界另外几个主流内部控制框架如加拿大的CoCo、英国的Cadbury报告、国际内部审
计师协会（IIA）的SAC、信息系统审计与控制协会的（ISACA）的Cobit都与COSO框架紧密相关。

中国有关部门制定的内部控制标准，包括证监会发布的“证券公司内部控制指引（2003）”、中国人民银行发布的“商业银行内部控制指引（2002）”、中国内部审计协会发布的“内部审计准则——内部控制（2003）”，其核心目标也与COSO框架一脉相承。

当然，在肯定COSO框架价值的同时，我们也不应忽视一些不同的意见。

比如，早在1993年，AICPA下属的公众监督委员会（POB）就建议SEC要求在证券交易所登记的公众公司的管理层在其年度财务报告（向股东发布的年度报告）中包含一份与财务报告有关的公司内部控制系统有效性的报告。

这个建议是想将COSO的内部控制标准用于有效性的评价。

可当时SEC并没有采用这个建议。

还有，在COSO框架公布不久，美国审计总署（GAO）就曾对该框架的许多方面提出过批评，并指责这个框架有严重缺陷，其内部控制定义中缺乏保障资产的概念，还认为这个框架对内部控制重要性的强调不够，丧失了改善内部控制监督和评估的机会。

此外，对COSO框架最具挑战的来自其本身的概念基础以及其他非会计执业界制定的标准。

COSO框架声称，并不是所有的管理责任都是内部控制的组成部分，因而将战略计划、目标设定、保持核心竞争力、董事会责任等要素排除在外。

而许多公司的经营失败很多是因经营战略的失败，公司不具有效的治理结构，经营业绩明显低于业界平均水平所引起。

显然，COSO框架对这些问题的关注是不够的，它将注意力集中在如何对外披露与财务报告有关的内部控制止。

而PCAOB的第2号标准再一次强化了这个问题。

之所以会出台这样的标准，我们不难想象。

因为每一次公司危机都会使会计师承受巨大压力，他们力图让COSO框架成为公司内部控制的基础，以此来阻止财务报告的舞弊行为。

不过，会计执业界的上述制度安排，是否能有效规避其自身的风险呢？或者说，这本身是否就有风险？这是一个值得讨论的问题。

毕竟，对内部控制的理解是在不断演进的。

随着人们对内部控制越发熟悉，积累的经验越多，他们对内部控制的理解就会随时间而改变，而这或多或少取决于影响和决定内部控制的诸多力量。

并且，不同的利益群体对内部控制的观点存在不同的认识。

换句话说，会计行业与非会计行业在关注内部控制的问题上是有重大差别的，如何将会计界的内部控制语言转换为管理界的内部控制语言，仍是一个需要长期沟通的问题。

不管怎样，内部控制的目标必须和企业谋求生存和价值创造机会的努力相一致。

总之，无论COSO框架，还是PCAOB的努力，有一点是非常明确的，就是要在企业内部建立一个基本的控制框架，作为管理层评估财务报告内部控制的基准。

这也是企业发展到一定程度在管理方面的必然要求，它受公司治理、价值创造、风险和机会、管制、企业文化、技术发展及受托责任等各方面的影响。

中国的各类企事业单位也要从COSO的框架中吸收合理的内核，这会有助于机构管理层次的提升，执行能力的到位；中国注册会计师行业也应从中汲取经验。

毕竟，中国正面临一个国际化的舞台，在一些标准、框架的制定上应与全球主流框架保持一致，这样才有沟通的可能，有平等对话的可能，有进一步发展的可能。

COSO报告概述
COSO是全国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting）的英文缩写。

根据萨班斯法案第404节条款以及美国证券交易委员会（SEC）的相应实施标准，要求公众公司的管理层评估和报告公司最近年度的财务报告的内部控制的有效性。

2004年3月9日，PCAOB发布了其第2号审计标准：“与财务报表审计相关的针对财务报告的内部控制的审计”，并于6月18日经SEC批准。

SEC对该标准的认同等于从另外一个侧面承认了1992年
COSO公布的《内部控制—综合框架》（也称“COSO内部控制框架”）。

这也表明COSO框架已正式成为美国上市公司内部控制框架的参照性标准。

1992年Treadway委员会经过多年研究，针对公司行政总裁、其他高级执行官、董事、立法部门和监管部门的内部控制进行高度概括，发布《内部控制一整体框架》（Interna Control －Integrated Framework）报告，即通称的COSO报告。

该报告第一部分是概括；第二部分是定义框架，完整定义内部控制，描述它的组成部分，为公司管理层、董事会和其他人员提供评价其内部控制系统的规则；第三部分是对外部团体的报告；是为报告编制报表中的内部控制的团体提供指南的补充文件；第四部分是评价工具，提供用以评价内部控制系统的有用材料。

COSO报告提出内部控制是用以促进效率，减少资产损失风险，帮助保证财务报告的可靠性和对法律法规的遵从。

COSO报告认为内部控制有如下目标：经营的效率和效果（基本经济目标，包括绩效、利润目标和资源、安全），财务报告的可靠性（与对外公布的财务报表编制相关的，包括中期报告、合并财务报表中选取的数据的可靠性）和符合相应的法律法规。

[编辑]COSO报告中内部控制的组成
1.控制环境（Control environment）
它包括组织人员的诚实、伦理价值和能力；管理层哲学和经营模式；管理层分配权限和责任、组织、发展员工的方式；董事会提供的关注和方向。

控制环境影响员工的管理意识，是其他部分的基础。

2.风险评估（risk assessment）
是确认和分析实现目标过程中的相关风险，是形成管理何种风险的依据。

它随经济、行业、监管和经营条件而不断变化，需建立一套机制来辨认和处理相应的风险。

3.控制活动（control activities）
是帮助执行管理指令的政策和程序。

它贯穿整个组织、各种层次和功能，包括各种活动如批准、授权、证实、调整、经营绩效评价、资产保护和职责分离等。

4.信息和交流（information and communication）
信息系统产生各种报告，包括经营、财务、守规等方面，使得对经营的控制成为可能。

处理的信息包括内部生成的数据，也包括可用于经营决策的外部事件、活动、状况的信息和外部报告。

所有人员都要理解自己在控制系统中所处的位置，以及相互的关系；必须认真对待控制赋予自己的责任，同时也必须同外部团体如客户、供货商、监管机构和股东进行有效的沟通。

5.监控（monitoring）
监控在经营过程中进行，通过对正常的管理和控制活动以及员工执行职责过程中的活动
进行监控，来评价系统运作的质量。

不同评价的范围和步骤取决于风险的评估和执行中的监控程序的有效性。

对于内部控制的缺陷要及时向上级报告，严重的问题要报告到管理层高层和董事会。

[编辑]COSO报告中内部控制的职责
（l）管理层：CEO最终负责整个控制系统。

对大公司，CEO可把权限分配给高级经理，并评价其控制活动，然后，高级经理具体制定控制的程序和人员责任；对小公司，一切可更为直接，由最高经理具体执行。

（2）董事会：管理层对董事会负责，由董事会设计治理结构，指导监管的进行。

有效的董事会应掌握有效的上下沟通渠道，设立财务、内部审计等职能，防止管理层超越控制，有意歪曲事实来掩盖管理的缺陷。

（3）内部审计师：内审对评价控制系统的有效性具有重要作用，对公司的治理结构行使者监管的职能。

（4）内部其他人员：明确各自的职责，提供系统所需的信息，实现相应的控制；对经营中出现的问题，对不合法、违规行为有责任与上级沟通。

（5）外部人员。

公司的外部人员也有助于控制目标的实现，如外部审计可提供客观独立的评价，通过财务报表审计直接向管理阶层提供有用信息；另如法律部门、监管部门、客户、其他往来单位、财务分析师、信用评级公司、新闻媒体等也都有助于内部控制的有效执行。

[编辑]COSO报告的现实意义
COSO报告是在美国金融风险加剧，财务欺诈抬头，社会各界对内部控制和独立审计师寄予厚望的“危难”时刻，由五个职业会计团体联合并潜心研究近4年左右的时间才诞生的。

COSO报告中蕴涵了许多崭新的理念和思想。

这些理念和思想，不仅对过去，而且对现在甚至未来的企业管理、财会工作和独立审计都有着重要影响。

主要有以下几个方面：
1.准确定位内部控制基本目标。

COSO报告指出内部控制本身不是目的，而是实现目标的手段。

内部控制目标是帮助企业奔向经营目标、完成使命和减少经营过程中的风险。

用中国话来说就是为企业的经营和管理工作“保驾护航”。

2.提出三类目标、五项构成要素概念。

COSO把内部控制细分为经营效率与效果、财务报告可靠和遵纪守法三类子目标和控制环境、风险评估、控制活动、信息与沟通和监测活动五项构成要素。

这些概念的提出，为评价内部控制系统提供了一套完整的标准，使COSO 报告在理论和实际应用两个方面都较原来的内部控制学说有一个质的飞跃。

3.提出内部控制是“过程”，并由控制环境、风险评估、控制活动、信息与沟通和监测活动五项要素构成。

五项控制要素不是内部控制过程中先后顺序上的一道道工序，而是一个多方向交叉的多维的反复的过程。

COSO报告突出了内部控制过程中的复杂性和各控制要素之间有机的多维的联系与影响。

4.强调“人”的重要性。

COSO报告指出人和环境是推动企业发展的引擎。

内部控制是由人来设计和实施的，企业中的每位员工都受内部控制的影响，并通过自身的工作影响着他人的工作和整个内部控制系统。

所以，要求所有员工都应清楚他们在企业、在内部控制系统中的位置和角色，并协调一致，才能推进内部控制的有效运转。

5.认识到董事会在内部控制中的作用。

COSO认为董事会与公司内部控制之间是有联系的，企业中一些行为需要董事会批准或授权。

一个客观、能动和富有调查精神的董事会，能够及时发现并修正公司经理班子逾越内部控制的行炉。

6.强调内部控制系统系是“内置于”（built in）企业经营和管理过程中的一项基础设施（infrastructure），与管理活动的计划、执行和监控职能交织融合在一起，不是后天添加物（built on）。

同时内控系统应有应对不断变化的客观世界的机制。

[编辑]COSO报告的局限性
COSO报告是以职业会计师为主体队伍的研究成果，应用的现实特别是面对美国财务危机的现状，显示COSO报告在控制能力上的差距。

COSO报告中主要值得商榷的问题有：
1.没有充分认识到董事会对内部控制系统的至关重要性。

虽然COSO报告把董事会与内部控制联系起来，但它的这种联系仅仅局限于企业有一些事情需要董事会审批或授权，基本上把内部控制限定在CEO之下，而对董事会更为重要的作用和董事会与CEO之间的联系和制衡关注不够。

这好比设计一幢大厦，只看到了地上部分，忽视了地下基础。

2.COSO提倡的反映内部控制运行状态的“管理报告”的信息含量和可信性值得怀疑。

首先，从正常逻辑上考虑，如果一个企业的内部控制存在问题，企业能够如实地公示社会吗？第二，管理报告对内部控制的评价只是基于某一时点状况而言的。

根据COSO报告，企业不需披露在此时点之前存在的但已被发现和更正的内部控制缺陷。

第三，报告的范围仅限于与财务报告有关的内部控制，而财务报告只是经营结果的反映。

笔者认为内部控制系统的评估和持续监测是绝对必需的，但COSO建议的这种评估和披露方式容易误导投资者。

3.COSO报告中的“合理保证”、“成本效益”等词语，基本上是从会计上直接移植过来的，对于规避注册会计师法律责任是有好处的。

但对社会用户来说，增添了许多猜疑和无奈。

到底什么算是“合理保证”，如何做到“成本效益配比”，在实践中恐怕很难说清楚。

内部控制评价应通过提高评价标准和评价过程的客观性和透明度增加科学性。

4.把企业经营和管理中一些重要职能排斥在内部控制触角之外。

COSO一方面指出内部控制与管理各功能（计划、执行和监控）交织在一起，是内置于企业经营活动之中的。

另一方面却把目标设定、战略规划、核心竞争力培育、风险评估和管理等重要经营和管理活动排斥在内部控制系统之外。

5.基本目标与分类子目标之间存在差异。

根据COSO报告，内部控制基本目标是促使企业实现经营目标，并减少经营过程中的风险，其中既涉及了企业生存，也关注了企业发展。

发展和战略规划问题是企业所有问题的根本。

而三类子目标，基本上都属于维持企业当期经营的范畴，着眼点在于企业生存，没有站在企业战略高度关注未来发展。

另外，COSO报告将内部控制基本目标细分为三类特定目标的方法值得商榷。

这种分类方法的缺陷在其与
GAO就保护资产安全内部控制之讨论中，就表现出来了。

COSO认为，保护资产安全内部控制属于经营效果效率目标的范畴，已经包括在经营效果效率内部控制之中，而GAO认为保护资产安全内部控制涉及到资产价值真实性的问题，对财务报告可靠性有重大影响，应该包括在财务报告内部控制之中。

COSO也在报告中承认三类目标有时是重叠的。

6.评价内部控制有效性标准过于主观。

根据COSO报告，内部控制有效性有赖于对内部控制三类目标或五个控制要素的实现程度。

但评价标准基本上都是主观判断。

其实，一个企业内部控制是否有效完全可以通过它客观的市场业绩体现出来，例如企业市场价值，客户满意度，持续获利能力增长情况等。

7.内部控制系统中会计与审计的色彩太重，考虑企业现存的和微观的或规避风险的事情多，与业务平台和业务拓展关系不大，防范风险也是被动的，缺乏能动性。

所以，至今还有许多公司认为内部控制只是财务主管和财会人员的事情。

[编辑]COSO报告对我国企业的启示
企业是多重契约关系的组合，而股东会与董事会、董事会与经理班子之间的委托代理关系是其中最基本的契约关系，因此企业内部控制中的“内部”就应从组建法人治理结构开始。

建立健全董事会功能是企业最根本的内部控制。

“安然”、“施乐”和“世通”特大财务欺诈案件都直接与董事会功能失效和内部人控制泛滥有关。

同时，由于企业与外部关系人的经济联系和契约关系，在现代企业中发挥着越来越重要的作用，企业内部控制中的“内部”有时还要延伸至企业法律边界以外，将独立审计师、供应商资源、客户信用与需求和政府监管纳入企业内部控制系统。

“控制”与“反控制”是一对永恒的矛盾，企业内部控制的目的是追求企业持续“得到控制”，确保企业各类契约关系持续而有序地运行，确保企业有一个好的战略目标和管理团队，并按照既定目标持续高效地发展和增值，为企业各类契约当事人发现并创造价值。

企业内部控制是企业与生俱来的，它内置于企业经营和管理过程之中，并与之紧密联系、水乳交融，是同一事物的不同层面，不可割舍。

企业内部控制应是一个能动的驾御、监测和推动系统，它不仅要关心企业的现实生存，更应关注企业的未来发展；不但重视企业微观，同时也关心企业宏观；不只是简单的规避风险，更着眼于科学风险管理，重视通过业务发展减低风险；不仅要重视现行会计上已确认和计量的资产，更要关注人力资本、管理团队、核心竞争力、研发能力、客户资源、企业文化和品牌与商誉等软性资产在企业发展和控制活动中的重要作用，即在内部控制上要引入“全面资产”概念；不仅注重企业经理班子之下的内部控制，而且特别强调公司治理结构建设，强调企业法律边界以外可能对企业生存与发展有重大影响的各类要素。