一、財務報告內部控制

　　內部控制涉及到企業(yè)的方方面面，針對財務報告的可靠性而設計和實施的財務報告內部控制只是其中的一個方面，有別于傳統(tǒng)的內部會計控制。

　　為了貫徹SOX 404條款關于財務報告內部控制的管理層評估和注冊會計師審計的要求，美國SEC于2003年9月發(fā)布了《最終規(guī)則》，正式提出了財務報告內部控制（Internal Control over Financial Reporting）的概念 ，強調了財務報告內部控制的目標在于合理保證財務報告的真實和完整。SEC選擇了一個目標比較單一的財務報告內部控制的概念，這是由于：第一，將內部控制的目標集中在財務報告可靠性上，更有利于保護廣大投資者利益；第二，SEC認為404條款中內部控制的核心是針對財務報告的；第三，即使是這樣一個比較狹窄的概念，也會給上市公司增加大量的報告義務和成本負擔；第四，歷史上注冊會計師對管理層內部控制評估的檢查、評價或鑒證的范圍從來就是針對財務報告內部控制。

　　根據SEC的定義，財務報告內部控制具體包括以下控制政策和程序：第一，保持合理詳細程度的會計記錄，準確公允地反映資產的交易和處置過程；第二，為下列事項提供合理的保證：公司對發(fā)生的交易都進行了必要的記錄，從而使財務報表的編制符合公認會計原則的要求；公司所有的收支活動都經過了管理層和董事會的合理授權；第三，為防止或及時發(fā)現(xiàn)公司資產未經授權的取得、使用和處置提供合理保證，這種未經授權的取得、使用和處置資產的行為可能對公司的財務報表產生重大影響。

　　財務報告內部控制的各項控制政策和程序，目的在于防止或發(fā)現(xiàn)財務報告可能的錯誤和舞弊。根據防止或發(fā)現(xiàn)錯誤弊端的層次，財務報告內部控制可以分為預防性控制和發(fā)現(xiàn)性控制，前者在于防止導致財務報表錯報的錯誤和舞弊的發(fā)生，比如對錄入的數據進行檢驗、限制對資產和文件的接觸等；后者在于發(fā)現(xiàn)已經發(fā)生的導致財務報表錯報的錯誤和舞弊，比如每月與銀行對賬、內部審計人員對財務記錄的檢查等。

　　財務報告內部控制是內部控制概念的發(fā)展，它與內部控制的傳統(tǒng)理解既有區(qū)別又有聯(lián)系。根據COSO報告對內部控制的定義，內部控制包含三個方面的目標，而財務報告內部控制只包含了與財務報告可靠性目標相關的部分；不包括與公司經營活動的效率效果方面的目標；對于遵循性方面，也只保留了如何遵循SEC關于財務報告要求這類與財務報告編制直接相關的法律法規(guī)。

　　二、財務報告內部控制審計目標

　　AS5第3段規(guī)定，財務報告內部控制審計的目標是對公司財務報告內部控制的有效性發(fā)表意見。如果存在重大缺陷，則被審計單位的財務報告內部控制是無效的。因此，注冊會計師必須計劃并執(zhí)行審計，以取得在管理層評估日被審計單位內部控制是否存在重大缺陷的證據。

　　1.財務報告內部控制的有效性

　　COSO認為，如果董事會和管理層能夠合理保證下述事項，那么就可以認為內部控制是有效的：他們了解公司的經營目標在何種程度上得到了實現(xiàn)；公布的財務報表是可信賴的；適用的法律和規(guī)章得到了遵循。

　　根據PCAOB的解釋，財務報告內部控制有效性是針對具體某一時點而言，更為明確地講，就是管理層評估日或者管理層簽署管理層評估報告的日期。做出這一規(guī)定是由財務報告內部控制的特性決定的，因為財務報告內部控制是一個連續(xù)動態(tài)的過程，雖然部分控制運行后能夠留下控制軌跡，如批準銷售、發(fā)貨等，但也有很多控制在運行后是無跡可查的，如具體的業(yè)務活動過程。注冊會計師在審計財務報告內部控制時所使用的審計程序往往只能獲取審計時點的證據，當然也就只能針對該時點的控制有效性發(fā)表審計意見。

　　做出此規(guī)定顯然背離了財務報表內部控制審計的初衷，因為開展財務報表內部控制審計業(yè)務是希望被審計單位能建立健全其內部控制，從而提高財務報告的可靠性。當注冊會計師對財務報告內部控制的有效性發(fā)表無保留意見時，只能意味著該時點是有效的，其他時段的有效性卻不得而知。實際上，整個時段的財務報告內部控制都會影響到財務報告的可靠性。因此，并不能根據財務報告內部控制有效性的結論來推斷財務報告的可靠性。

　　必須看到，財務報告內部控制審計服務的目標和功能是有限的，財務報告的可靠性并不能過分依賴于內部控制的外部審計來完成，更多的責任仍在于企業(yè)管理層建立健全內部控制并努力實現(xiàn)其有效執(zhí)行；而且對整個年度的內部控制做出評價，其成本是極其高昂的，也是無法實現(xiàn)的。同時，考慮到企業(yè)內部控制制度具有一定的持續(xù)性，并不是經常變化，從會計期末的內部控制也可以大概了解企業(yè)整個期間的內部控制情況。除此之外，財務報表審計中還要對企業(yè)其他期間的內部控制進行了解和評估。綜合以上分析，也許為了均衡起見，對某個時點的內部控制發(fā)表意見是不錯的選擇。

　　2.重要不足與重大缺陷

　　AS5在判斷財務報告內部控制的有效性時，嚴格區(qū)分了重要不足（significant deficiency）和重大缺陷（material weakness）。

　?。?）重要不足與重大缺陷的定義

　　如果財務報告內部控制的設計或執(zhí)行不能合理保證管理層或員工在履行其職責的過程中防止或及時發(fā)現(xiàn)財務報表中可能存在的錯報，則認為財務報告內部控制存在缺陷，可分為設計缺陷和運行缺陷。

　　根據重要性的原則，財務報告內部控制缺陷的嚴重程度是有差別的。如果一個控制缺陷可能導致的錯報或漏報對財務報表沒有明顯的實質性影響，不足以改變使用者的決策，這種控制缺陷就不具有重要性。從管理層評估和披露財務報告內部控制有效性的角度，控制缺陷可進一步劃分為重大缺陷和重要不足，AICPA在2003年對此進行了定義。但是，AICPA的定義只是考慮了控制缺陷導致的財務報表錯報的重要性，而忽視了產生這種錯報的可能性的大小。

　?。?）重大缺陷和重要不足的判斷

　　一項控制缺陷是重大缺陷還是重要不足，將影響到管理層對公司財務報告內部控制有效性的判斷。管理層在評估過程中，發(fā)現(xiàn)公司存在一個或多個重要不足，只要這些重要不足或組合尚未構成重大缺陷，管理層仍可認為公司的財務報告內部控制是有效的。但是，如果公司存在一個或多個重大缺陷，管理層就不能認為公司的財務報告內部控制是有效的。所以，合理判斷一個控制缺陷是否構成了重大缺陷還是重要不足非常重要。

　　公司管理層可以從兩個方面來判斷控制缺陷的嚴重程度。一方面，是一個控制缺陷或單獨或連同其他控制缺陷，導致財務報表產生錯報的金額大?。涣硪环矫?，是導致賬戶金額或列報產生錯報的可能性。

　　影響控制缺陷導致賬戶金額或列報產生錯報可能性的因素包括：財務報表賬戶、列報和有關認定的性質，比如關聯(lián)方交易包含較大的風險；有關資產或負債導致?lián)p失或舞弊的敏感性，高敏感性增加了風險；決定有關金額大小所需判斷的主觀性、復雜性或范圍；已知或被發(fā)現(xiàn)的越過一項控制的原因或頻率；一項控制與其他控制的相互影響或關系；控制缺陷的相互影響；控制缺陷可能的未來結果。

　　影響控制缺陷導致賬戶金額錯報大小的因素包括：暴露于控制缺陷的財務報表賬戶或交易類別；本期已經發(fā)生或將來預期發(fā)生的、暴露于控制缺陷的賬戶金額或交易類別的業(yè)務量。