以安然、世通為代表的發生在本世紀初的一系列特大財務欺詐和審計失敗案例大大增加了立法部門對財務報告內部控制有效性的關注。繼美國薩班斯法案頒布以后,日本也制定了類似的法律和規范。本文將比較美日在評估和審計財務報告內部控制要求上的異同,并提出對我國財務報告內部控制準則建設的幾點啟示。
一、美日對財務報告內部控制規定的相同點
1.背景、動機和實質相同。相似的丑聞,相似的動機,導致相似法律法規的制定,這是二者之間最基本的相同點。二者實質上都要求上市公司的管理層編制和提交內部控制報告,其中對內部控制有效性的評估是必不可少的組成部分。另外,管理層對內部控制有效性的評估結果也必須由審計師進行審計并出具審計意見。
2.管理層對內部控制的評估方法基本相同。在管理層評估內部控制有效性時,二者都采用自上而下的以風險為基礎的方法。即首先評估對財務報告可信性有實質性影響的公司層內部控制,同時充分評估企業內外的風險并考慮整體上可能對財務報告有重大影響的所有事件,在此基礎上再評估業務層的控制,主要側重可能導致財務報告中重大錯報的風險的評估。
3.財務報告內部控制審計的實施方法和內部控制報告的時間相同。為了充分使用審計證據,提高審計效率和效果,二者都將內部控制審計與財務報表的審計合并在一起進行,并且都要求管理層按年度報告對財務報告內部控制有效性進行評估,包括內部控制的設計和運行情況。
二、美日對財務報告內部控制規定的不同點
1.相關的法律和法規不同。美國薩班斯法案是由美國總統簽署并由國會通過的關于上市公司會計改革和對投資者保護方面的法律,其中302、404和906條款規定了對財務報告內部控制的要求;美國證券交易委員會(SEC)的最終規則是管理層評估和報告財務報告內部控制的指南;美國公眾公司會計監督委員會(PCAOB)第2號審計準則和第5號審計準則對審計師審計財務報告內部控制有效性做出了具體、詳盡的指導。此外,上市公司還需遵循證券交易所發布的規定,例如紐約證券交易所、納斯達克等的規定。在日本,金融商品交易法于2006年6月由議會通過,其中管理層對披露的準確性的報告、管理層對內部控制的報告和對管理層評估內部控制的審計報告是管理層和審計師在評估和審計財務報告內部控制的報告要求;2007年2月公布的“關于財務報告內部控制評估與審計準則以及財務報告內部控制評估與審計實施準則的制定(意見書)”(簡稱“意見書”),是管理層評估和審計師審計內部控制有效性的指南;為了使審計師在實施財務報告內部控制審計時與意見書一致,日本公認會計士協會在2007年6月發布了“財務報告內部控制指南”。
2.實施的范圍和時間不同。美國薩班斯302條款和906條款分別在2002年8月29日和2002年7月30日生效,而404條款的生效日期幾經推遲,最后多數大中型美國本土上市公司于2004年11月15日后結束的財政年度開始實施,外國發行人和小企業發行人的生效日期則延后至2006年7月15日。日本金融商品交易法和意見書都于2008年4月1日開始或以后的財政年度在日本所有的上市公司開始施行,外國發行人也必須同時遵守,并且對中小型企業也沒有特殊規定。
3.內部控制的框架不同。美國薩班斯沒有對具體內部控制框架提出要求,但SEC的最終規則認為,COSO框架滿足一個恰當的、被認可的控制框架標準,可以作為管理層評估和報告內部控制有效性的依據。除COSO框架之外,將來在美國國內也可能開發其他符合條件且不降低投資者利益的框架。與美國不同,日本在意見書中規定了一個全新的內部控制框架,它是在COSO框架基礎上創建的,但是又超越于COSO框架。除了COSO規定的目標和要素外,意見書中增加了一個目標(資產的保全)和一個要素(IT的對應)。從表述上看,日本內部控制框架更加嚴密;從實用性上看,日本內部控制框架也更能適應經濟環境的發展變化以及日本企業的實際。
4.對IT內部控制的評估不同。美國薩班斯沒有規定評估IT內部控制的具體指南,而IT的對應則是日本內部控制系統的一個重要特征。意見書中實施準則部分明確規定由管理層評估基于IT的控制是評估業務水平控制的一項重要內容,并定義了IT總體控制和IT業務處理控制,列舉了評估IT總體控制的設計和運行有效性的具體實例;對于關于評估IT業務處理控制的設計和運行的有效性,也列示了考慮的要點。
5.對缺陷的分類不同。美日都要求在管理層提交的內部控制報告中披露內部控制的重大缺點。根據缺陷的嚴重程度,美國將內部控制缺陷分成控制缺陷、顯著缺陷和實質性漏洞,但這種分類會使評估缺陷對財務報告影響的程序變得更加復雜。為減輕評估者的負擔且與內部控制缺陷對財務報告可靠性的影響相一致,日本將內部控制缺陷分為控制缺陷和實質性漏洞兩類。
6.內部控制的審計方式不同。美國采用直接報告的方式,即審計師直接審計和報告財務報告內部控制的有效性。在這種方式下,為審計管理層評估的財務報告內部控制的有效性取得審計證據,審計師必須計劃和實施特定審計程序審計上市公司的內部控制。因此,審計師和被審單位都要承受過度的負擔。而日本采用的是只審計管理層對內部控制有效性評估結果的間接報告方式,從而解決了直接審計被審單位內部控制有效性的過度負擔的難題。
三、結論與啟示
綜上所述,美日對財務報告內部控制的規定最基本的相同點在于有著相同的背景和動機,最重要的相同點在于規定的實質,即二者都要求上市公司的管理層評估財務報告內部控制的有效性并要求審計師對管理層評估的結果進行審計。二者最主要的區別之一是日本發展了COSO內部控制框架,增加了一個目標和一個要素。最重要的區別是日本解決了美國薩班斯成本負擔過重的問題,主要體現在對內部控制缺陷的分類以及采用間接報告方式審計管理層提交的評估內部控制有效性的報告。通過以上比較,筆者認為,有以下幾點可供我國修訂財務報告內部控制評估和審計準則時參考:
第一,內部控制的框架。日本內部控制框架以COSO框架為基礎,又超越于COSO框架,特別是將資產的保全和IT的對應分別作為內部控制的目標和一個基本要素,對我國來講很具有借鑒意義。因為作為經營者,有義務保全所有者委托其代管資產的安全、完整,而存貨、應收賬款等資產一向是內部控制的弱點,不正當地取得、使用和處分資產也是許多企業進行盈余操縱的重要手段。此外,目前企業的業務內容對IT的依賴越來越大,組織的信息系統與IT高度結合,在業務的處理過程中對企業內外IT采取適當的回應是企業實現內部控制目標所必不可少的。
第二,自上而下的風險基礎方法。當今世界經濟環境變化無常,任何企業都面臨著諸多來自內部和外部的風險,對內部控制的評估不能脫離其賴以存在的環境,因此必須以風險為基礎。目前我國大多數企業業務處理控制規范都相對完備,評估有章可循,但在公司層控制方面還有待改善。將公司層控制評估從業務處理評估中分離出來,重點進行規范,實施真正意義上的自上而下的風險基礎方法進行評估,有助于財務報告內部控制有效性的提高。
第三,間接報告方法。有效的內部控制是編制可信賴的財務報表的前提,也為財務報表審計的有效實施提供了支持。審計師對內部控制的審計是對管理層評估內部控制有效性結果的檢驗,在考慮具體的審計程序時,要防止給審計師、財務報表的編制者和其他相關人員造成過重負擔。日本所采用的間接報告方式可以有效地節約人力、物力和財力,在不影響審計結論的情況下達到資源的有效配置,值得我國在修訂準則時借鑒。
