企业内部控制报告分析

企业内部控制报告分析
作者：冯巧根
来源：《财会通讯》2007年第04期
一、内部控制概述
美国企业改革法(Sarbanes－Oxley Act of 2002，又称《萨班斯—奥克斯利法案》，或简称SOX法案)404条规定：经营者有关公司财务报告的内部控制的评价结果——《内部控制报告》，需要在年度报告中加以披露；外部审计机构需要揭示经审计的《内部控制审计报告》。

这是美国审计制度的重大变迁，是安然等公司丑闻发生之后的制度完善之举。

在SOX法案颁布前，美国对内部控制的评价主要从审计的技术角度出发，此时对内部控制的评价是制度基础抽样审计的需求。

审计人员根据对内部控制制度的评价结果来确定财务报告实质性测试的性质、时间和范围，内部控制的评价是财务报告审计的附属工作，内部控制的评价并不是单独委托的独立鉴证业务，也不需对内部控制出具独立的审计报告。

与此同时被审计单位的经营者也无需对本公司的内部控制作出自我评价报告。

依据SOX法案404条规定，凡是2004年11月15日以后完成的经营年度报告，都必须揭示经营者内部控制自我评价的控制报告，并由外部审计机构出具相关的《内部控制审计报告》；美国COSO委员会发布了“企业风险管理综合框架”(简称ERM－IF)，作为管理当局和注册会计师进行内部控制评价的基础；公众公司会计监管委员会(PCAOB)在2004年6月对外公布了其已获SEC批准的第2号审计准则“对与财务报告审计相关联的财务报告内部控制的审计”(简称PCAOB AS2)，直接规范注册会计师对内部控制的审计。

在SOX法案404条规范下，2004年12月31日进行决算的美国公司在规定的时间里，由经营者根据Form 10－K年度报告——《项目9A：控制与手续》的要求，向美国证券交易委员会(SEC)提交《内部控制报告》。

根据美国调查机构Audit Analytics公司的资料汇总，截止2005年4月19日已向SEC提交资料FormIO－K的具体情况是：9.15％的公司(2689家中的246家)披露的是“内部控制无效”的经营者《内部控制报告》和外部审计机构的《内部控制审计报告》。

二、无效内部控制的涵义
有关评价这种不完备状况的影响所依据的指南是《控制的例外案例以及评价不完备的框架》，由9家美国会计师事务所共同编制完成。

经营者和审计机构利用这种指南可以作出如下的判断：依据运用的有效性测试来判断已发现的例外案例是否完备；对过程／交易层次的内部控制上的不完备，作出它们是重要的不完备还是重大缺陷的判断；对基于IT技术的全面控制的不完备，作出是重要的不完备还是重大缺陷的判断；对于IT技术全面控制之外的整个公司控制的不完备，作出是重要的不完备还是重大缺陷的判断。

对于这种评价结果，经营者以及审计机构对“重大的缺陷”存在一种以上判断情况时，经营者需要揭示所谓“本公司的内部控制
无效”的《内部控制报告》，外部审计机构则根据内部控制审计报告提出“内部控制无效”的“保留意见”(PCAOB AS2第175节)。

三、经营者的《内部控制报告》和外部审计机构的《内部控制审计报告》
在美国企业的年度报告《项目9A：控制和手续》中，要求披露如下资料：《揭示控制》、《有关财务报告的内部控制》以及《内部控制的变更》，其中的《有关财务报告的内部控制》是经营者的《内部控制报告》。

在无重大缺陷的情况下，经营者的内部控制报告如表2所示。

表2Pfizer公司2004年12月《内部控制报告》定制定了与财务报告相关的内部控制，并承担与之相关的责任。

本公司在财务报告内部控制上采取了如下的方针与措施：有关交易及资产处分，按照合理的会计清晰原则确保作出正确、公允的记录与反映；对于按一般公认会计准则编制的财务报表交易，应当作出相应的必要揭示，对于流入流出金额必须按规定取得经营者及董事会的同意，并且提供合理的保证；对财务报表涉及重要影响的本公司未确认取得的资产、使用及未作处分的情况，设计了防范和适时控制的机制，并据此提供合理的保证。

因为财务报告内部控制存在一定的局限性，客观上存在难以防止或者发现错误记录的情况。

此外，对未来有效性的预测，随着情况的变化进行不确定性风险控制或者出现有关方针或措施遵循程度下降的风险也是在所难免的。

经营者开展的是本公司2004年12月31日时点上的有关财务报告内部控制的有效性评价，这种评价是依据COSO的内部控制综合框架加以规范和应用的。

对于这种评价结果以及据此的相关规则，经营者确信本公司在2004年12月31日时点上的与有效的财务报告相关的内部控制是能够得到保证的。

本公司的独立审计机构，依据有关本公司财务报告的内部控制报告，对经营者进行了评价并发布了审计机构报告。

这份报告以《独立注册公认会计师事务所财务报告的内部控制报告》为题，包含在2004年度的财务报告之中。

Henry A．Mckmnell总裁以及CEO(署名)
David L．Shedlarz主要财务负责人(CFO)(署名)
Loretta V．Cangialosi财务部负责人(署名)
2005年2月24日
与经营者的内部控制报告书相对应，外部审计机构的《无保留意见》的《内部控制审计报告》的例，见表3所示。

表3Pfizer公司2004年年度《内部控制审计报告》Pfizer股份公司董事会及股东
我们依据COSO公布的“内部控制——控制框架”所确立的基准，对Pfizer公司及其子公司在2004年12月31日时点上经营者做出的保持了有效的财务报告内部控制的评价，经营者的内部控制评价包含在所附的管理当局的报告中。

保持有效的财务报告内部控制，并对财务报告内部控制的有效性进行评价是Pfizer公司及其子公司管理者的责任。

我们的责任是依据所实施的审计，对管理当局的评估和管理当局对公司财务报告的内部控制的有效性评价意见发表审计意见。

我们实施的审计是以上市公司会计监管委员会(美国)的准则为基准的。

该准则要求我们的审计合理确信并判断在所有重大方面被审单位是否保持了有效的内部控制。

我们的审计包括了解财务报告内部控制，评价管理者的自我评估，测试和评价内部控制的设计及其运行的有效性，以及结合实际情况认为必要的其它审计程序。

我们相信，我们的审计工作为发表意见供了合理的基础。

公司的财务报告内部控制是为了财务报告按照公认的会计准则编制和报告的可靠性外部目标的达成而提供合理保证而设计的一个过程。

在财务报告内部控制方面，主要的方针和措施有：公司的财务报告内部控制主要的方针和措施有：(1)有关交易及资产处分，按照合理的会计清晰原则确保作出正确、公允的记录与反映；(2)对于按一般公认会计准则编制的财务报表交易，应当作出相应的必要揭示，对于流入流出金额必须按规定取得经营者及董事会的同意，并且提供合理的保证；(3)对财务报表涉及重要影响的本公司未确认取得的资产、使用及未作处分的情况，设计了防范和适时控制的机制，并据此提供合理的保证。

因为财务报告内部控制存在一定的界限，客观存在着难以防止或者发现错误记录的情况。

此外，对未来有效性的预测，随着情况的变化进行不确定性风险控制或者出现有关方针或措施遵循程度下降的风险也是在所难免的。

我们在2004年12月3l日这一时点上，依据经营者评价对Pfizer公司及其子公司作出了维持有关有效的财务报告的内部控制。

对基于COSO公开发表的“内部控制——控制框架”方面确立的基准，认为在所有的重要方面，已做到了公平的揭示。

同时，我们在2004年12月31日，根据COSO公开发表的“内部控制——整合框架”确立的基准，确认Pfizer公司及其子公司在所有的重要方面具有维持有效财务报告内部控制的能力。

此外，我们以上市公司会计监管委员会(美国)的准则为基础，对Pfizer公司及其子公司的2004年以及2003年12月31日时点的合并资产负债表，以及2004年12月31日结束的3年间的各个会计期间的合并损益表、股东未分配收益以及现金流量表实施了审计，我们对2005年2月24日签署的审计报告以及有关这些合并财务报表，表示无任何保留意见。

KPMG LLP
New York,NY
2005年2月24日
此外，外部审计机构的内部控制审计必须由进行财务报表审计的会计师事务所承担(美国企业改革法404条(b))，并以财务报表审计的“综合审计”的形式加以展开(PCAOB AS2第145节)。

因此，外部审计机构是分别编制《财务报表审计报告》还是《内部控制审计报告》(这种情况下在各自的报告后面，即表3的最后一节加上诸如“财务报表审计意见的说明”之类的表述，以披露另一份报告书的审计意见)，或者仅编制包含两种意见的《综合审计报告》。

四、“保留意见”案例分析
上述是无保留意见的案例，这里以“重大缺陷”为例分析经营者的《内部控制报告》和审计机构的《内部控制审计报告》，根据与表2及表3的标准格式报告相比，将不同点摘出来加以说明。

详见表5与表6。

表5经营者《内部控制报告书》
经营者的内部控制报告
……我们就有关2004年12月31日时点的财务报告的内部控制发现了3个重大的缺陷。

包含在有关关联公司间交易的未实现收益及期末库存产品应当征收的费用，对于原材料、半成品，以及成品发生的各种成本信息，因没有作出公正的揭示，使得这方面的方针及手续是不完备的。

这些不完备会给本公司的存货资产和销售成本的会计核算产生重大影响。

包含在本公司的财务信息计算和编制方面所使用的报表计算软件，因计算机系统的信息发送控制和安全性是不充分的，故这方面的方针及手续是不完备的。

据此所编制的公司合并财务报表中的各种数据的完整性难以保证，进而对大部分数据的账户余额及揭示产生重大影响。

包含在顾客供货需求单上的价值验证及信用记录的认证，有关销售额以及销售债权的记录，以及职务分管等有关公司舞弊防范控制，其相关的方针及手续是不完备的。

这些不完备会对本公司销售额和销售债权的会计核算产生重大影响。

根据以上的重大缺陷，我们的结论是，本公司有关财务报告的内部控制系统在2004年12月31日时点上是无效的……。

表6审计机构《内部控制审计报告》
独立注册的公认会计事务所的报告
……以下重大缺陷的认别，关系到2004年12月31日时点对经营者的评价。

……我们认为，根据对经营者的评价,2004年12月31日的ISG公司以及其子公司与有效的财务报告相关的内部控制不能维持，这是基于COSO公开发表的“内部控制——控制框架”确立的基准进行的。

其他所有重要的方面，我们也作出了公正的表述。

此外，由于上述重大缺陷无法实现规范控制的目标。

我们在2004年12月31日。

对ISG公司依据COSC公开发表的“内部控制——综合的框架”作出判断，认为不能维持有效的与财务报告相关的内部控制。

表5、表6显示，“重大缺陷”的内容被具体地记载在经营者的“内部控制报告”中，与“企业继续经营的注解”一样。

首先，经营者在揭示这一信息的基础上，审计机构就这一揭示内容发表了有关“经营者内部控制的评价”的“公正的评价”。

在此基础上，审计机构本身作出了“内部控制无效”这种判断意见。

假如审计机构识别出了“重大缺陷”，而经营者没有揭示，审计机构在表明“经营者进行的评价是不公正的”这种意见的同时，还要表明“该公司的内部控制是无效的”这种意见。

(表4中的第二种模式)。

五、重大缺陷分析
由Deloitte & Touche，Ernst & Young，KPMG，PricewaterhouseCoopers等四大会计师事务所共同实施的对《财富》杂志上的1000家企业的匿名调查中，在90家中发现了不完备的情况，同时还得出如下结果：
在样本对象公司，发现2004年度平均有271家企业在内部控制上存在问题(这里面有若干家是重要的不完备，也有重大缺陷的企业)，但得到了改善。

2005年度预计会增加77家不完备企业，并加以改善。

2005年改善的不完备企业中的96％是单一的不完备，剩余的4％是重要的不完备或者重大的缺陷。

在被发现的90家企业中，合计有5项重大缺陷直到2004年度还未得到改善。

此外，根据美国有合作关系的信息提供公司Compliance Week的报告，通过对存在重大缺陷案例的分析，内部控制的不完备情况大致可以分成五种类型：财务报告系统与手续(决算修正环节、总账调整、存货资产相关的环节等)；“人的问题”(不充分的职务分权，在量与质上的人员不足、教育与监督)；内部控制“本本化”；收益确认基准；IT系统控制(安全、传送控制、后援、回复)等。

上述揭示还包括对过去年度修正的报告，经营者在决算时虽然没有确认财务报表的错误记载，然而审计机构进行财务报表审计却发现了重大的记载错误，这种情况也很多，是公司内部控制“重大缺陷”的起因。

这方面的预测与判断余地很大，需要有专门的知识。

关于税金计算的“重大缺陷”情况，有诸如“因缺乏公正和具有能力的人员，所得税会计不完备”，“未付税金总账存在无法调整的余额”，“国际标准的税务体系建设不到位”等的记载。

如果这种不完备发生在期中，那么，在对应措施采取的期末日加以改善的话，就有可能不再采用“重大缺陷”的表述；相反，若发生在期末决算完毕之后的期末日，则改善这种情况就不
存在，只能按“重大缺陷”加以表述。

这样在期末决算时按实施情况所作的预测计算(例如，税金计算等)，其“重大缺陷”的风险会很高。

其他方面，对大型公司出具保留意见的内部控制审计报告，揭示了这些企业非同—般的重大缺陷，并可以发现风险的升级。

详见表7。

六、内部控制报告的市场评价
根据mood's于2005年4月公开发表的报告，3月31日将报告提交给证券机构的1800家企业中，存在如下的情况：递交期限推迟的有16家(1％)；揭示“重大的缺陷”的企业有76家(4％)。

其结果是前者全部公司和后者中的“重大缺陷”情况，根据会计记录的判断(这些会计记录相当于“挑战性”的重要会计政策)，被认为无效并在大范围受到波及的公司有24家，总计是40家。

该报告将这些企业划分为“分类B”，除已经进入鉴别和作出了判断的公司外，其修正的结果表明，最大的2个层级的等级下降了。

这种内部控制问题，借助于等级鉴别及股价判断，形成影响企业价值的这种机制已经开始发挥作用。

七、SEC及PCAOB对策
为避开与EU适用国际会计准则而导人的初始年份，考虑到对美国国内的小规模公司导人而带来的工作量负荷情况，SEC在2005年3月2日将外国企业和小规模公司的404条的适用日期，从以前确定的2005年7月15日以后结束的经营年度，延迟到1年之后的2006年7月15日以后结束的会计年度起采用。

此外，有关小规模公司的COSO也推出新开发的追加辅导资料，并正在逐步进行。

2005年4月13日有关美国企业改革法404条的内部控制的公开圆桌会议由SEC召开。

对财务报表的编制方针、审计机构，以及投资者对有关新的内部控制规则导人初始年度所确认的成本、有利条件以及相应问题展开了探讨。

其中以下问题较为引人注目：应当将内部控制评价以更具风险标准的路径开展费用对比的效果评价；外部审计机构的内部控制审计以内部审计部门的结果为依据，并在认可岗位转换基准审计以及柔性的事前预防程序等方面，进一步谋求外部机构审计的效率性；为了便于判断有关评价的范围、不完备的定义等内容，有必要通过制度制定当局所追加的辅导(特别是经营者角度的辅导)加以明确。

在这些公开圆桌会议上接受的课题，2005年5月16日由SEC和PCAOB发行了追加的辅导。

在这两个部门的辅导材料中有以下要求：通过财务报表审计的“综合审计”，提高审计的效率；按照风险标准的垂直型路径开展公正的基于审计计划的判断；积极利用其他(自我评价、内部审计等)的测试结果；以过去的测试结果为基础决定第二年以后的测试水准以及IT自动化控制效率的检测手段等。

依据上述要求在2007年以后所开展的内部控制审计方面，能够根据经营者的评价以及外部审计机构的努力，提高外部审计效率。

这些方针与措施对于我国内部控制制度的建设，以及审计政策的确立将起到积极的参考作用，并有助于提高我国企业跨国经营的效率。

参考文献：
[1]PCAOB,2004,Audit Standard No 2：An Audit of InternalControl Over Financial Reporting Performed in Conjunction with Antudit of Financial Statements．
[2]The Committee of Sponsoring Organization of the TreadwayCommission，2004,Enterprlse Risk Management－Integrated Frame－work，Executive Summary Framework
[3]The Committee of Sponsoring Organization of the TreadwayCommission,1992，Internal Control－Integrated Frame work
[4]Guidance for Smaller Public Companies Reporting on InternalControl over Financial Reporting，Executive Summary Guidance．。