2001年底發(fā)生的安然事件等一系列財務(wù)丑聞，暴露了美國核查體系的嚴重缺陷，而上述核查體系原本是用來保護公眾公司的股東、養(yǎng)老金受益人和雇員的利益，并保護美國公眾對資本市場的穩(wěn)定、公正的信心的，安然等一系列事件無疑嚴重動搖了公眾對會計師行業(yè)的信心。針對上述公司失敗事件，美國國會在2002年出臺了《薩班斯—奧克斯利法案》，該法案為公眾公司的外部審計師們創(chuàng)建了一個廣泛的、新的監(jiān)督體制，并將對財務(wù)報告的內(nèi)部控制作為關(guān)注的具體內(nèi)容。國會不僅要求管理層報告公司對財務(wù)報告的內(nèi)部控制，而且要求外部審計師證實管理層報告的準確性?？梢哉f，上述事件又一次讓內(nèi)部控制成為關(guān)注的焦點。

    對法案相關(guān)條款的回應(yīng)

    2002年7月發(fā)布的《薩班斯—奧克斯利法案》第404節(jié)（a），以及美國證券交易委員會（SEC）的相應(yīng)實施標準，要求公眾公司的管理層評估和報告公司最近年度的財務(wù)報告的內(nèi)部控制的有效性。第404節(jié)還要求公司的外部審計師對管理層的評估意見出具“證明”，也就是說，向股東和公眾提供一個信賴管理層對公司財務(wù)報告的內(nèi)部控制描述的獨立理由。法案的第404節(jié)以及103節(jié)，指導(dǎo)公眾公司會計監(jiān)督委員會（PCAOB）制定用以管理外部審計師的證實工作，并就管理層對內(nèi)部控制的有效性的評估進行報告的行業(yè)標準。

    2004年3月9日，PCAOB發(fā)布了其第2號審計標準：“與財務(wù)報表審計相關(guān)的針對財務(wù)報告的內(nèi)部控制的審計”，并于6月18日經(jīng)SEC批準。該標準關(guān)注對財務(wù)報告的內(nèi)部控制的審計工作，以及這項工作與財務(wù)報表審計的關(guān)系問題。這項綜合的審計會產(chǎn)生兩份審計意見：一份針對財務(wù)報告的內(nèi)部控制，另一份針對財務(wù)報表。對內(nèi)部控制的審計涉及以下內(nèi)容：評價管理層用于開展其內(nèi)部控制有效性評估的過程 ； 評價內(nèi)部控制設(shè)計和運轉(zhuǎn)的效果 ； 形成對財務(wù)報告的內(nèi)部控制是否有效的意見。

    該標準的出臺，將對構(gòu)成有效公司治理基石的董事會、管理層、外部審計師與內(nèi)部審計師產(chǎn)生深遠的影響。正如PCAOB主席William J. McDonough所稱，“該標準是委員會采用的最為重要、意義最為深遠的審計標準。過去，內(nèi)部控制僅是管理者考慮的事情，而現(xiàn)在審計師們要對內(nèi)部控制進行詳細的測試和檢查。這一過程將對投資者起到重要的保護作用，因為穩(wěn)固的內(nèi)部控制是抵御不當(dāng)行為的頭道防護線，是最為有效地威懾舞弊的防范措施”。

    此外，SEC對該標準的認同等于從另外一個側(cè)面承認了1992年發(fā)起人組織委員會（COSO）下屬的杜德威委員會公布的《內(nèi)部控制—綜合框架》（也稱COSO框架）。這也表明COSO框架已正式成為內(nèi)部控制的標準。這是COSO的重大勝利，是COSO每個成員機構(gòu)多年的不懈努力使這個框架獲得了更大程度的認可。

    第2號審計標準有關(guān)內(nèi)部控制的規(guī)定

    第2號審計標準依據(jù)COSO制定的內(nèi)部控制框架制訂，在“管理層用于開展其評估的框架”一節(jié)中，明確管理層要依據(jù)一個適宜且公認的由專家群體遵照應(yīng)有的程序制定的控制框架，來評估公司財務(wù)報告內(nèi)部控制的有效性。在美國，為管理層的評估目標提供的適宜框架就是COSO框架。當(dāng)然，其他國家也公布了一些適宜的框架，如加拿大的COCO框架等。標準還指出，盡管不同的框架可能沒有精確的含有與COSO一樣的組成要素，但他們所含有的組成部分涵蓋了COSO的所有常規(guī)主題。因此，如果管理層運用了區(qū)別于COSO的適宜框架時，審計師應(yīng)以合理的方式運用2號審計標準中的概念和方針。

    標準認為，COSO框架能確認出內(nèi)部控制的三大主要目標，即運營的效率和效果，財務(wù)報告的可靠性，以及遵守適用的法律和規(guī)章。而COSO以往對財務(wù)報告的內(nèi)部控制觀點不包含運營目標和合規(guī)性目標。不過，這兩個目標與財務(wù)報表的表達與披露直接相關(guān)，有必要含在財務(wù)報告的內(nèi)部控制中。而這三大目標都會對財務(wù)報告產(chǎn)生重大的影響，是關(guān)于財務(wù)報告的內(nèi)部控制的組成部分。此外，標準將控制環(huán)境、風(fēng)險評估、控制活動、信息和溝通、監(jiān)控作為框架的五大組成要素，服務(wù)于上述三大目標。

    當(dāng)然，PCAOB也敏感地意識到，為遵循第404節(jié)和第2號審計標準的要求所需的成本，會強加到很多公司（尤其是中小型公司）身上，同時也預(yù)見到美國公司在遵循第404節(jié)要求的頭一年要承受巨額的成本。畢竟，按COSO框架設(shè)計和實施內(nèi)部控制框架是需要投入的，公司內(nèi)部的審計部門對內(nèi)部控制的整體評估（不限于對財務(wù)報告的內(nèi)部控制），以及外部審計師按標準規(guī)定對財務(wù)報告的內(nèi)部控制和財務(wù)報表審計都需要大額的費用。盡管內(nèi)部控制的性質(zhì)和程度很大程度上取決于公司的規(guī)模和復(fù)雜程度，但多數(shù)公司的前期成本投入是在所難免的。只不過大型復(fù)雜化的國際性公司很可能需要廣泛的綜合性內(nèi)部控制系統(tǒng)，而一些小公司或業(yè)務(wù)較為單一的公司，因其高層管理團隊的道德行為和核心價值平時就與內(nèi)部、外部當(dāng)事人進行互動，可能會減少對精心設(shè)計的內(nèi)部控制系統(tǒng)的需要。PCAOB預(yù)計，審計師會運用合理的專業(yè)判斷來決定對內(nèi)部控制的審計程度，并開展那些必要的測試來確定公司內(nèi)部控制的有效性。

    不過，相對于以往各行其是的內(nèi)部控制評估標準來說，PCAOB的工作對于規(guī)范化的內(nèi)部控制設(shè)計、實施、監(jiān)督、評估與不斷改進是有重大進步意義的，它使許多美國公司的各層管理者能在一個統(tǒng)一的框架內(nèi)有效履行其內(nèi)部控制的職責(zé)，并為會計師行業(yè)對內(nèi)部控制的評估提供了一個基礎(chǔ)。更為重要的是，該標準將力促公司建立有效的內(nèi)部控制監(jiān)督體系，這為有效的公司治理奠定了良好的基礎(chǔ)。畢竟，內(nèi)部控制監(jiān)督過程需要審計委員會、高層管理者、外部審計師和內(nèi)部審計師的共同參與。

    對COSO框架的進一步思考

    縱觀美國內(nèi)部控制的發(fā)展史，不難看出其發(fā)展的每一個過程都與會計職業(yè)群體有深厚淵源。自1938年的“麥克森—羅賓斯事件”促使美國注冊會計師協(xié)會（AICPA）發(fā)布內(nèi)部控制定義起，到1977年美國國會發(fā)布《反國外賄賂法案》，至1992年COSO發(fā)布《內(nèi)部控制—綜合框架》，再到2002年美國國會發(fā)布《薩班斯—奧克斯利法案》以及PCAOB發(fā)布第2號審計標準，會計執(zhí)業(yè)界都與此有密切關(guān)聯(lián)。當(dāng)然，迄今為止集大成者還要屬COSO框架。

    正如前文所述，COSO框架在2004年成為了美國的內(nèi)部控制標準，這與COSO制定該框架的初衷是吻合的。COSO的綱要部分就聲明公司的高級執(zhí)行官長期以來一直在謀求更好地控制其所治理的企業(yè)。高級執(zhí)行官對內(nèi)部控制的興趣恐怕來自有效的內(nèi)部控制是保證公司資產(chǎn)免受管理層、員工或其他人的違法行為和類似錯誤引起的不利后果的最后屏障這個看似不可動搖的假設(shè)。而PCAOB也相信，為獲取可靠的財務(wù)報表，機構(gòu)必須保持內(nèi)部控制的運轉(zhuǎn)，以便了解各項記錄的準確性，各項交易和資產(chǎn)的處理的公允反映情況，并對各項交易記錄的充分性提供保證，且收支工作都經(jīng)管理層和領(lǐng)導(dǎo)者授權(quán)。這樣，就能根據(jù)一般公認會計原則（GAAP）編制財務(wù)報表。內(nèi)部控制的運轉(zhuǎn)還能確保上述步驟的運轉(zhuǎn)，以防止或發(fā)現(xiàn)對財務(wù)報表產(chǎn)生重大影響的資產(chǎn)的盜用、未經(jīng)授權(quán)使用或處置情形。簡言之，如果公司管理層能證明其對簿記工作實施了適當(dāng)?shù)膬?nèi)部控制，用于編制準確財務(wù)報表的賬簿和記錄是充分的，并遵守了公司資產(chǎn)的使用規(guī)則，投資者就會對公司財務(wù)報表的可靠性更為信任。

    此外，當(dāng)今世界另外幾個主流內(nèi)部控制框架如加拿大的CoCo、英國的Cadbury報告、國際內(nèi)部審計師協(xié)會（IIA）的SAC、信息系統(tǒng)審計與控制協(xié)會的（ISACA）的Cobit都與COSO框架緊密相關(guān)。中國有關(guān)部門制定的內(nèi)部控制標準，包括證監(jiān)會發(fā)布的“證券公司內(nèi)部控制指引（2003）”、中國人民銀行發(fā)布的“商業(yè)銀行內(nèi)部控制指引（2002）”、中國內(nèi)部審計協(xié)會發(fā)布的“內(nèi)部審計準則——內(nèi)部控制（2003）”，其核心目標也與COSO框架一脈相承。

    當(dāng)然，在肯定COSO框架價值的同時，我們也不應(yīng)忽視一些不同的意見。比如，早在1993年，AICPA下屬的公眾監(jiān)督委員會（POB）就建議SEC要求在證券交易所登記的公眾公司的管理層在其年度財務(wù)報告（向股東發(fā)布的年度報告）中包含一份與財務(wù)報告有關(guān)的公司內(nèi)部控制系統(tǒng)有效性的報告。這個建議是想將COSO的內(nèi)部控制標準用于有效性的評價。可當(dāng)時SEC并沒有采用這個建議。還有，在COSO框架公布不久，美國審計總署（GAO）就曾對該框架的許多方面提出過批評，并指責(zé)這個框架有嚴重缺陷，其內(nèi)部控制定義中缺乏保障資產(chǎn)的概念，還認為這個框架對內(nèi)部控制重要性的強調(diào)不夠，喪失了改善內(nèi)部控制監(jiān)督和評估的機會。此外，對COSO框架最具挑戰(zhàn)的來自其本身的概念基礎(chǔ)以及其他非會計執(zhí)業(yè)界制定的標準。COSO框架聲稱，并不是所有的管理責(zé)任都是內(nèi)部控制的組成部分，因而將戰(zhàn)略計劃、目標設(shè)定、保持核心競爭力、董事會責(zé)任等要素排除在外。而許多公司的經(jīng)營失敗很多是因經(jīng)營戰(zhàn)略的失敗，公司不具有效的治理結(jié)構(gòu)，經(jīng)營業(yè)績明顯低于業(yè)界平均水平所引起。顯然，COSO框架對這些問題的關(guān)注是不夠的，它將注意力集中在如何對外披露與財務(wù)報告有關(guān)的內(nèi)部控制止。而PCAOB的第2號標準再一次強化了這個問題。之所以會出臺這樣的標準，我們不難想象。因為每一次公司危機都會使會計師承受巨大壓力，他們力圖讓COSO框架成為公司內(nèi)部控制的基礎(chǔ)，以此來阻止財務(wù)報告的舞弊行為。

    不過，會計執(zhí)業(yè)界的上述制度安排，是否能有效規(guī)避其自身的風(fēng)險呢？或者說，這本身是否就有風(fēng)險？這是一個值得討論的問題。畢竟，對內(nèi)部控制的理解是在不斷演進的。隨著人們對內(nèi)部控制越發(fā)熟悉，積累的經(jīng)驗越多，他們對內(nèi)部控制的理解就會隨時間而改變，而這或多或少取決于影響和決定內(nèi)部控制的諸多力量。并且，不同的利益群體對內(nèi)部控制的觀點存在不同的認識。換句話說，會計行業(yè)與非會計行業(yè)在關(guān)注內(nèi)部控制的問題上是有重大差別的，如何將會計界的內(nèi)部控制語言轉(zhuǎn)換為管理界的內(nèi)部控制語言，仍是一個需要長期溝通的問題。不管怎樣，內(nèi)部控制的目標必須和企業(yè)謀求生存和價值創(chuàng)造機會的努力相一致。

    總之，無論COSO框架，還是PCAOB的努力，有一點是非常明確的，就是要在企業(yè)內(nèi)部建立一個基本的控制框架，作為管理層評估財務(wù)報告內(nèi)部控制的基準。這也是企業(yè)發(fā)展到一定程度在管理方面的必然要求，它受公司治理、價值創(chuàng)造、風(fēng)險和機會、管制、企業(yè)文化、技術(shù)發(fā)展及受托責(zé)任等各方面的影響。中國的各類企事業(yè)單位也要從COSO的框架中吸收合理的內(nèi)核，這會有助于機構(gòu)管理層次的提升，執(zhí)行能力的到位；中國注冊會計師行業(yè)也應(yīng)從中汲取經(jīng)驗。畢竟，中國正面臨一個國際化的舞臺，在一些標準、框架的制定上應(yīng)與全球主流框架保持一致，這樣才有溝通的可能，有平等對話的可能，有進一步發(fā)展的可能。