【摘要】文章通過對美國財務(wù)報告內(nèi)部控制信息披露規(guī)則演變的研究發(fā)現(xiàn)，美國財務(wù)報告內(nèi)部控制信息披露的實施并不是一帆風(fēng)順，一些重要規(guī)則也是幾經(jīng)改變。美國的經(jīng)驗表明，盡管財務(wù)報告內(nèi)部控制信息披露是大勢所趨，但是在我國強制財務(wù)報告內(nèi)部控制信息披露決不可操之過急。

　　【關(guān)鍵詞】美國財務(wù)報告內(nèi)部控制；信息披露；啟示

　　安然等公司的會計丑聞促使美國國會痛下決心，最終通過了旨在打擊上市公司會計舞弊，保障財務(wù)報告質(zhì)量的《薩班斯法案》。《薩班斯法案》最重要的內(nèi)容之一就是強制要求符合批報規(guī)則的公司對外披露內(nèi)部控制信息。盡管1991年美國聯(lián)邦存款保險改進(jìn)法（FCICIA）曾經(jīng)要求資產(chǎn)超過5億美元的金融公司披露內(nèi)部控制信息，但是像《薩班斯法案》這樣要求如此大范圍的公司公開披露內(nèi)部控制信息在美國歷史尚屬首次。

　　《薩班斯法案》的影響迅速遍及整個世界。依據(jù)歐洲公司治理研究所（european corporate governance institute）的調(diào)查，截至2004年末，已有26個歐洲國家頒布治理法或提議依照《薩班斯法案》強制公司披露內(nèi)部控制信息。日本國會也于2007年頒布金融工具交易法（financial instruments and exchange law），規(guī)定所有上市公司在2008年4月1日之后的年報中提供內(nèi)部控制評估報告。

　　上市公司披露內(nèi)部控制信息已經(jīng)是大勢所趨?！端_班斯法案》以及美國財務(wù)報告內(nèi)部控制（Internal Control over Financial Reporting，后文簡稱ICFR）信息披露相關(guān)規(guī)則對我國內(nèi)部控制信息披露政策的制定具有重要借鑒意義。國內(nèi)已有學(xué)者開始這方面的研究。但這些文獻(xiàn)主要集中于2002年《薩班斯法案》和2003年美國證券監(jiān)督委員會（后文簡稱SEC）最終規(guī)則的研究，而在此之后美國內(nèi)部控制新條款又不斷推出，以前的部分規(guī)則也發(fā)生了較大改變。本文從ICFR新概念的推出入手，重點討論時至今日美國上市公司ICFR的規(guī)則演變，希望對我國上市公司內(nèi)部控制信息披露政策的制定提供有益的借鑒。

　　一、ICFR新概念的提出

　　自20世紀(jì)初以來，內(nèi)部控制的含義不斷演化。20世紀(jì)初到1936年，內(nèi)部控制的目的主要是為了保障資產(chǎn)，尤其是現(xiàn)金，不被員工挪用和偷盜。1936年，AICPA在《注冊會計師財務(wù)報表檢驗》（Examination of Financial statement by public accountants）公告中將內(nèi)部控制定義為：“組織所采用的用以保障現(xiàn)金和其它資產(chǎn)安全以及檢查員工賬簿記錄準(zhǔn)確性的方法和手段”。這一定義體現(xiàn)了內(nèi)部控制的內(nèi)部檢查（internal check）功能。1949年，AICPA程序委員會發(fā)布一份特別報告將內(nèi)部控制的定義擴展為：“企業(yè)所采用的用以保障資產(chǎn)安全、檢查會計數(shù)據(jù)準(zhǔn)確性與可靠性、促進(jìn)經(jīng)營效率以及鼓勵遵守管理政策的組織計劃和所有相關(guān)方法”。至此，經(jīng)營效率和管理政策的遵循開始進(jìn)入內(nèi)部控制的討論話題。1958年審計程序公告SAP29將內(nèi)部控制分成兩個主要部分，即內(nèi)部管理控制和內(nèi)部會計控制。從此，內(nèi)部控制的這兩種要素逐漸被會計行業(yè)所關(guān)注。

　　1985年，一個重要的民間組織全國反舞弊財務(wù)報告委員會（俗稱Treadway委員會）成立，兩年后發(fā)布了一個報告建議其發(fā)起組織（Committee of Sponsoring Organization of the Treadway Commission，后文簡稱COSO）努力整合各種內(nèi)部控制概念和定義。最終，COSO于1992年發(fā)布了著名的《內(nèi)部控制——整體框架》報告。COSO整體框架將內(nèi)部控制定義為：“內(nèi)部控制是一個受到董事會、經(jīng)理層和其他人員影響的，為合理保證經(jīng)營效率與效果、財務(wù)報告的可靠性、法律法規(guī)的遵循性而設(shè)計的過程。”COSO報告影響重大。經(jīng)營效率與效果、財務(wù)報告質(zhì)量和法律法規(guī)遵循的內(nèi)部控制三要素觀逐步為行業(yè)所接受。

　　由此可見，內(nèi)部控制的含義已經(jīng)發(fā)生了重大改變。內(nèi)部控制的內(nèi)容已經(jīng)遠(yuǎn)不局限于財務(wù)報告的范疇。然而，《薩班斯法案》要求公司對外披露的是旨在保障財務(wù)報告質(zhì)量的內(nèi)部控制信息，法案多次提到“財務(wù)報告內(nèi)部控制結(jié)構(gòu)和程序（internal control structure and procedures for financial reporting）”的表述（如第404款（a）條），強調(diào)的是內(nèi)部控制的財務(wù)報告要素。

　　但是，內(nèi)部控制結(jié)構(gòu)（internal control structure）又與當(dāng)時廣為接受的內(nèi)部控制含義，即包括經(jīng)營效率性和有效性、財務(wù)報告的可靠性以及遵守相關(guān)法律和規(guī)則等要素非常相近。為了突出《薩班斯法案》的財務(wù)報告要素精神，SEC在2003年最終準(zhǔn)則中正式啟用“財務(wù)報告內(nèi)部控制”的表述。

　　最終規(guī)則中將ICFR定義為：“由公司的首席執(zhí)行官、首席財務(wù)官或者公司行使類似職權(quán)的人員設(shè)計或監(jiān)管的，受到公司的董事會、管理層和其他人員影響的，為財務(wù)報告的可靠性和滿足外部使用的財務(wù)報表編制符合公認(rèn)會計原則提供合理保證的控制程序”，具體控制政策和程序包括：（1）保持詳細(xì)程度合理的會計記錄，準(zhǔn)確公允地反映資產(chǎn)的交易和處置情況；（2）為下列事項提供合理的保證：公司對發(fā)生的交易進(jìn)行必要的記錄，從而使財務(wù)報表的編制滿足公認(rèn)會計原則的要求，公司所有的收支活動經(jīng)過公司管理層和董事的合理授權(quán)；（3）為防止或及時發(fā)現(xiàn)公司資產(chǎn)未經(jīng)授權(quán)的取得、使用和處置提供合理保證， 這種未經(jīng)授權(quán)的取得、使用和處置資產(chǎn)的行為可能對財務(wù)報表產(chǎn)生重要影響。

　　與COSO 報告中對內(nèi)部控制的定義相比，SEC的ICFR是COSO內(nèi)部控制的子集。 SEC 在最終規(guī)則中對ICFR的定義僅包含了與財務(wù)報告可靠性目標(biāo)相關(guān)的部分，而省略了經(jīng)營活動效率與效果的目標(biāo)，遵循相關(guān)法律法規(guī)目標(biāo)中也僅保留了諸如證券交易委員會財務(wù)報告要求這類與財務(wù)報表編制直接相關(guān)的法律法規(guī)。

　　二、ICFR信息披露

　　（一）披露方式

　　自愿披露還是強制披露在美國一直廣受爭議。早在1979年和1988年，SEC就曾兩次提議要求上市公司對外披露內(nèi)部會計控制信息，但都遭到了強烈反對而擱置一邊。COSO在1992年發(fā)布的《內(nèi)部控制——整體框架》報告中提出同樣建議，認(rèn)為公司管理層應(yīng)該定期對企業(yè)內(nèi)部控制的設(shè)計和執(zhí)行情況進(jìn)行評價，并出具報告對外披露。盡管美國聯(lián)邦存款保險改進(jìn)法FDICIA在1991年開始強制要求資產(chǎn)超過5億美元的金融機構(gòu)披露內(nèi)部控制報告，但是內(nèi)部控制信息在一般上市公司始終是自愿披露。

　　《薩班斯法案》改變了這一現(xiàn)狀。安然等公司的會計丑聞最終導(dǎo)致了美國國會改變自愿披露方式的決心。2002年，國會最終通過了《薩班斯法案》，正式提出公司披露內(nèi)部控制信息的強制要求。法案第404款明確規(guī)定，除了投資公司以外所有依據(jù)1934年證券交易法13（a）、15（b）編制年度報告的公司都應(yīng)該在年度報告中出具一份內(nèi)部控制報告，并責(zé)成SEC制定具體規(guī)則。2003年6月5日，SEC發(fā)布了最終規(guī)則，規(guī)定了上市公司執(zhí)行《薩班斯法案》內(nèi)部控制信息披露要求的具體內(nèi)容。至此，內(nèi)部控制信息披露由自愿披露方式正式轉(zhuǎn)變?yōu)閺娭婆斗绞健?/p>

　?。ǘ┡秲?nèi)容

　　SEC2003年的最終規(guī)則將“財務(wù)報告內(nèi)部控制結(jié)構(gòu)和程序”的表述修改為“財務(wù)報告內(nèi)部控制”，要求管理層年度ICFR報告包括：（1）聲明管理層有責(zé)任建立和保持充分的財務(wù)報告內(nèi)部控制；（2）聲明已經(jīng)確認(rèn)用于評估財務(wù)報告內(nèi)部控制有效性的標(biāo)準(zhǔn)框架；（3）對財務(wù)報告內(nèi)部控制的評估；（4）聲明負(fù)責(zé)審計公司財務(wù)報表的會計師事務(wù)所對管理層所作的財務(wù)報告內(nèi)部控制效率評估已經(jīng)進(jìn)行了驗證并公布了驗證報告。

　　但是，僅僅過去三年，SEC對披露內(nèi)容作了重要修改：負(fù)責(zé)公司報表審計的外部審計師不必對管理層作出的ICFR評估報告進(jìn)行驗證，而只需就公司ICFR進(jìn)行獨立評估和報告。之所以進(jìn)行修改，是因為SEC發(fā)現(xiàn)，由于2003年最終規(guī)則要求管理層所作的ICFR評估報告須經(jīng)外部審計師的驗證，因此，過去的三年中許多公司的管理層在ICFR的設(shè)計和評估時不得不參照審計準(zhǔn)則AS2執(zhí)行，而審計準(zhǔn)則AS2是上市公司會計監(jiān)督委員會（Public Company Accounting Oversight Board，后文簡稱PCAOB）用以指導(dǎo)注冊會計師進(jìn)行外部審計而制定的，所涉及的內(nèi)部控制審計部分要求對公司整個經(jīng)營效率進(jìn)行評估，這顯然超出ICFR的評估要求，因此大大增加了公司自我評估的成本。為了與SEC保持一致，PCAOB也在2007年發(fā)布的審計準(zhǔn)則AS5中作了同樣的修改。

　?。ㄈ㊣CFR評價依據(jù)

　　是否指定亦或制定統(tǒng)一的評價標(biāo)準(zhǔn)以及如何制定適合所有公司的ICFR評價標(biāo)準(zhǔn)是2003年最終規(guī)則出臺后SEC的重點議題。2003年SEC的最終規(guī)則認(rèn)為沒有必要制定統(tǒng)一的ICFR評價標(biāo)準(zhǔn)，也沒有指定現(xiàn)有的某個內(nèi)部控制框架作為這種統(tǒng)一標(biāo)準(zhǔn)，只是提出“COSO的整體框架是合適的框架之一”。

　　然而這種做法卻引來了實務(wù)界尤其是小公司方面的較大批評，因為，他們在實際的評估過程中發(fā)現(xiàn)，COSO整體框架“對小公司實務(wù)操作性不強，似乎更適合大公司的評估要求”。SEC也意識到，盡管COSO整體框架確定了內(nèi)部控制系統(tǒng)的要素和目標(biāo)，但該框架并沒有提出便于管理層評估ICFR有效性的具體方法。因此，是否制定指導(dǎo)所有公司評價ICFR的評估指引重新提上了議事日程。為了確定制定指引的必要性，SEC 分別于2005年4月和2006年4月先后兩次舉行利益相關(guān)各方參與的圓桌會議，與會代表大都認(rèn)為有必要制定指引。

　　SEC終于在2007年6月20日發(fā)布了期盼已久的評估指引——管理層財務(wù)報告內(nèi)部控制報告指引。該指引的核心內(nèi)容是，提出了一種管理層據(jù)以進(jìn)行自上而下（top- down）、基于風(fēng)險（risk-based）的財務(wù)報告內(nèi)部控制評估方法。指引同時指出，該評估方法只是符合1934年證券交易法13a-15（c） 和 15d-15（c） 規(guī)則要求的評估方法之一，指引并沒有否認(rèn)COSO內(nèi)部控制整體框架以及其它內(nèi)部控制框架的評估作用。因此，公司仍然可以從SEC2007年指引和其它內(nèi)部控制框架中選擇適合的評估標(biāo)準(zhǔn)。

　　SEC的指引是針對現(xiàn)有框架難以適合小公司的評估需要提出來的。SEC的指引提出的是一種基于原則導(dǎo)向的評估指引，它允許不同規(guī)模的公司結(jié)合自身特征擬定合適的具體評估過程和程序，這樣大大減少了小公司的評估成本。盡管該指引符合了規(guī)模不同公司的評估需要，但是原則導(dǎo)向的可操作性還有待實踐的檢驗。

　?。ㄋ模㊣CFR報告驗證

　　《薩班斯法案》和SEC2003年最終準(zhǔn)則都要求：（1）管理層對公司ICFR有效性進(jìn)行自我評估；（2）注冊會計師對管理層所作的ICFR有效性評估報告進(jìn)行驗證。PCAOB在發(fā)布的審計準(zhǔn)則AS2中也同樣要求審計師對管理層所作的ICFR有效性評估報告進(jìn)行驗證。但是SEC在2007年發(fā)布的指引中修改了這一要求，指出審計師不必驗證管理層所作的ICFR有效性評估報告，而只是單獨就公司ICFR有效性發(fā)布獨立觀點。同樣，PCAOB在2007年發(fā)布的替代前期準(zhǔn)則AS2的新準(zhǔn)則AS5中也作了類似修改。

　　（五）執(zhí)行時間

　　自2003年最終規(guī)則指定上市公司執(zhí)行ICFR披露規(guī)則以來，SEC幾度延緩上市公司執(zhí)行時間。SEC在2003年最終規(guī)則中要求：依據(jù)交易法12b-a在2004年6月15日之后屬于“加速編報公司”（Accelerated Filer）的必須在該日期之后結(jié)束的第一個財政年度年報中提供管理層ICFR報告；依據(jù)交易法12b-a在2004年6月15日之后屬于非加速編報公司，包括外國私人發(fā)行公司（Foreign Private Issuer），必須在2005年4月15日或之后結(jié)束的財政年度年報中遵循ICFR的披露要求。然而實際執(zhí)行的情況并不理想，許多公司尤其是小公司反映，在如此短的時間內(nèi)很難配備勝任的人員設(shè)置和評估ICFR。而且執(zhí)行ICFR披露迅速增加了公司成本，這也影響了披露要求的順利執(zhí)行。鑒于此，SEC將兩類公司執(zhí)行披露時間分別延遲到2004年11月15日和2006年7月15日。此后不久又給予流通市值少于700百萬的accelerated公司另外45天的寬限，2005年9月，SEC 再次放寬了nonaccelerated公司及外國公司的期限，將執(zhí)行披露期限延長至2007年7月15日之后的年度報告。

　　三、對我國的啟示

　　我國涉及內(nèi)部控制的信息披露文件主要是招股說明書和定期報告。2006年5月新修訂的《公開發(fā)行證券的公司信息披露內(nèi)容與格式準(zhǔn)則第1號——招股說明書》第六十九條規(guī)定，發(fā)行人應(yīng)披露公司管理層對內(nèi)部控制完整性、合理性及有效性的自我評估意見以及注冊會計師對公司內(nèi)部控制的鑒證意見。2005年修訂的《公開發(fā)行證券的公司信息披露內(nèi)容與格式準(zhǔn)則第2號年度報告的內(nèi)容與格式》第三十九條要求，監(jiān)事會應(yīng)該對公司是否建立完善的內(nèi)部控制制度，公司董事、經(jīng)理執(zhí)行公司職務(wù)時有無違反法律、法規(guī)、公司章程或損害公司利益的行為發(fā)表獨立意見。可見，我國只是在招股說明書中要求上市公司提供管理層內(nèi)部控制評估報告和相應(yīng)的審計師驗證報告，而在對投資者更為重要的年度報告中并沒有如此要求，只是要求監(jiān)事會發(fā)表內(nèi)部控制是否完善的獨立意見。

　　然而，本文并不支持我國近階段年度報告要求上市公司披露內(nèi)部控制信息。強制內(nèi)部控制信息披露決不可操之過急。首先，美國COFR信息披露的實施并不是一帆風(fēng)順。從2003年SEC規(guī)則決定放棄制定指引到2007年指引的最終推出，從2002年《薩班斯法案》和2003年SEC規(guī)則要求審計師對管理層ICFR評估報告進(jìn)行驗證到2007年SEC指引取消這一要求，以及SEC規(guī)定公司執(zhí)行ICFR信息披露的時間的一再延遲，美國COFR信息披露的執(zhí)行遇到了巨大的阻力，時至今日諸如重大控制弱點（Material Weakness）的認(rèn)定等關(guān)鍵問題仍在爭論之中。其次，依據(jù)ICFR信息披露的一般要求，一些內(nèi)控程序需要管理層的主觀判斷，這對管理層的業(yè)務(wù)能力和職業(yè)道德提出了較高要求，同時也需要一個完善的公司治理環(huán)境。而我國股改還未完全結(jié)束，許多公司治理結(jié)構(gòu)還不完善，一些公司規(guī)模不大，是否能承受披露帶來的成本？所有這些都是政策制定者需要慎重考慮的問題。

　　【參考文獻(xiàn)】

　?。?］ 周勤業(yè)，王嘯. 美國內(nèi)部控制信息披露的發(fā)展及其借鑒［J］.會計研究， 2005，（2）:24-31.

　?。?］ 朱榮恩，應(yīng)唯和袁敏. 美國財務(wù)報告內(nèi)部控制評價的發(fā)展及對我國的啟示［J］.會計研究， 2003，（8）:48-53.

　?。?］ Neil baker. global debate over controls. The internal auditor， 2005，（1）:256-267.

　　［4］ Nagashima ohno and tsunematsu. internal control. International financial law review， 2007，（5）:183-196.