企业内部控制报告分析

企业内部控制报告分析

作者：冯巧根

来源：《财会通讯》2007年第04期

一、内部控制概述

美国企业改革法(Sarbanes－Oxley Act of 2002，又称《萨班斯—奥克斯利法案》，或简称SOX法案)404条规定：经营者有关公司财务报告的内部控制的评价结果——《内部控制报告》，需要在年度报告中加以披露；外部审计机构需要揭示经审计的《内部控制审计报告》。这是美国审计制度的重大变迁，是安然等公司丑闻发生之后的制度完善之举。在SOX法案颁布前，美国对内部控制的评价主要从审计的技术角度出发，此时对内部控制的评价是制度基础抽样审计的需求。审计人员根据对内部控制制度的评价结果来确定财务报告实质性测试的性质、时间和范围，内部控制的评价是财务报告审计的附属工作，内部控制的评价并不是单独委托的独立鉴证业务，也不需对内部控制出具独立的审计报告。与此同时被审计单位的经营者也无需对本公司的内部控制作出自我评价报告。

依据SOX法案404条规定，凡是2004年11月15日以后完成的经营年度报告，都必须揭示经营者内部控制自我评价的控制报告，并由外部审计机构出具相关的《内部控制审计报告》；美国COSO委员会发布了“企业风险管理综合框架”(简称ERM－IF)，作为管理当局和注册会计师进行内部控制评价的基础；公众公司会计监管委员会(PCAOB)在2004年6月对外公布了其已获SEC批准的第2号审计准则“对与财务报告审计相关联的财务报告内部控制的审计”(简称PCAOB AS2)，直接规范注册会计师对内部控制的审计。

在SOX法案404条规范下，2004年12月31日进行决算的美国公司在规定的时间里，由经营者根据Form 10－K年度报告——《项目9A：控制与手续》的要求，向美国证券交易委员会(SEC)提交《内部控制报告》。根据美国调查机构Audit Analytics公司的资料汇总，截止2005年4月19日已向SEC提交资料FormIO－K的具体情况是：9.15％的公司(2689家中的246家)披露的是“内部控制无效”的经营者《内部控制报告》和外部审计机构的《内部控制审计报告》。

二、无效内部控制的涵义

有关评价这种不完备状况的影响所依据的指南是《控制的例外案例以及评价不完备的框架》，由9家美国会计师事务所共同编制完成。经营者和审计机构利用这种指南可以作出如下的判断：依据运用的有效性测试来判断已发现的例外案例是否完备；对过程／交易层次的内部控制上的不完备，作出它们是重要的不完备还是重大缺陷的判断；对基于IT技术的全面控制的不完备，作出是重要的不完备还是重大缺陷的判断；对于IT技术全面控制之外的整个公司控制的不完备，作出是重要的不完备还是重大缺陷的判断。对于这种评价结果，经营者以及审计机构对“重大的缺陷”存在一种以上判断情况时，经营者需要揭示所谓“本公司的内部控制

无效”的《内部控制报告》，外部审计机构则根据内部控制审计报告提出“内部控制无效”的“保留意见”(PCAOB AS2第175节)。

三、经营者的《内部控制报告》和外部审计机构的《内部控制审计报告》

在美国企业的年度报告《项目9A：控制和手续》中，要求披露如下资料：《揭示控制》、《有关财务报告的内部控制》以及《内部控制的变更》，其中的《有关财务报告的内部控制》是经营者的《内部控制报告》。在无重大缺陷的情况下，经营者的内部控制报告如表2所示。

表2Pfizer公司2004年12月《内部控制报告》定制定了与财务报告相关的内部控制，并承担与之相关的责任。本公司在财务报告内部控制上采取了如下的方针与措施：有关交易及资产处分，按照合理的会计清晰原则确保作出正确、公允的记录与反映；对于按一般公认会计准则编制的财务报表交易，应当作出相应的必要揭示，对于流入流出金额必须按规定取得经营者及董事会的同意，并且提供合理的保证；对财务报表涉及重要影响的本公司未确认取得的资产、使用及未作处分的情况，设计了防范和适时控制的机制，并据此提供合理的保证。

因为财务报告内部控制存在一定的局限性，客观上存在难以防止或者发现错误记录的情况。此外，对未来有效性的预测，随着情况的变化进行不确定性风险控制或者出现有关方针或措施遵循程度下降的风险也是在所难免的。

经营者开展的是本公司2004年12月31日时点上的有关财务报告内部控制的有效性评价，这种评价是依据COSO的内部控制综合框架加以规范和应用的。对于这种评价结果以及据此的相关规则，经营者确信本公司在2004年12月31日时点上的与有效的财务报告相关的内部控制是能够得到保证的。

本公司的独立审计机构，依据有关本公司财务报告的内部控制报告，对经营者进行了评价并发布了审计机构报告。这份报告以《独立注册公认会计师事务所财务报告的内部控制报告》为题，包含在2004年度的财务报告之中。

Henry A．Mckmnell总裁以及CEO(署名)

David L．Shedlarz主要财务负责人(CFO)(署名)

Loretta V．Cangialosi财务部负责人(署名)

2005年2月24日

与经营者的内部控制报告书相对应，外部审计机构的《无保留意见》的《内部控制审计报告》的例，见表3所示。

表3Pfizer公司2004年年度《内部控制审计报告》Pfizer股份公司董事会及股东

我们依据COSO公布的“内部控制——控制框架”所确立的基准，对Pfizer公司及其子公司在2004年12月31日时点上经营者做出的保持了有效的财务报告内部控制的评价，经营者的内部控制评价包含在所附的管理当局的报告中。保持有效的财务报告内部控制，并对财务报告内部控制的有效性进行评价是Pfizer公司及其子公司管理者的责任。我们的责任是依据所实施的审计，对管理当局的评估和管理当局对公司财务报告的内部控制的有效性评价意见发表审计意见。

我们实施的审计是以上市公司会计监管委员会(美国)的准则为基准的。该准则要求我们的审计合理确信并判断在所有重大方面被审单位是否保持了有效的内部控制。我们的审计包括了解财务报告内部控制，评价管理者的自我评估，测试和评价内部控制的设计及其运行的有效性，以及结合实际情况认为必要的其它审计程序。我们相信，我们的审计工作为发表意见供了合理的基础。

公司的财务报告内部控制是为了财务报告按照公认的会计准则编制和报告的可靠性外部目标的达成而提供合理保证而设计的一个过程。在财务报告内部控制方面，主要的方针和措施有：公司的财务报告内部控制主要的方针和措施有：(1)有关交易及资产处分，按照合理的会计清晰原则确保作出正确、公允的记录与反映；(2)对于按一般公认会计准则编制的财务报表交易，应当作出相应的必要揭示，对于流入流出金额必须按规定取得经营者及董事会的同意，并且提供合理的保证；(3)对财务报表涉及重要影响的本公司未确认取得的资产、使用及未作处分的情况，设计了防范和适时控制的机制，并据此提供合理的保证。

因为财务报告内部控制存在一定的界限，客观存在着难以防止或者发现错误记录的情况。此外，对未来有效性的预测，随着情况的变化进行不确定性风险控制或者出现有关方针或措施遵循程度下降的风险也是在所难免的。

我们在2004年12月3l日这一时点上，依据经营者评价对Pfizer公司及其子公司作出了维持有关有效的财务报告的内部控制。对基于COSO公开发表的“内部控制——控制框架”方面确立的基准，认为在所有的重要方面，已做到了公平的揭示。同时，我们在2004年12月31日，根据COSO公开发表的“内部控制——整合框架”确立的基准，确认Pfizer公司及其子公司在所有的重要方面具有维持有效财务报告内部控制的能力。

此外，我们以上市公司会计监管委员会(美国)的准则为基础，对Pfizer公司及其子公司的2004年以及2003年12月31日时点的合并资产负债表，以及2004年12月31日结束的3年间的各个会计期间的合并损益表、股东未分配收益以及现金流量表实施了审计，我们对2005年2月24日签署的审计报告以及有关这些合并财务报表，表示无任何保留意见。

KPMG LLP

New York,NY