中美内部控制评价体系发展比较分析

●淮北矿业股份有限公司财务部 张树忠

引言

进入21世纪，随着安然、世通等一系列财务舞弊案的频发，越来越多的注意力集中到内部控制的有效性上来。内部控制的关键在于评价，只有合理构建并有效执行内部控制评价体系，才能促使内部控制规范得到有效实施（池国华，2010）。国外关于内部控制评价的研究主要以美国为源头和中心，尤其以国会2002年颁布的《萨班斯——奥克斯利法案》（SOX 法案）和COSO 提出的一系列内部控制框架影响深远（戴文涛等，2013）。我国于2008年发布了《企业内部控制基本规范》以及相关的内部控制配套指引（2010），被称为中国版SOX 法案（杨雄胜等，2010），但就如何评价内部控制的有效性还颇具争议。通过对比我国与美国的内部控制评价体系，可以从另一层面了解我国内部控制评价的现状，对建立我国内部控制评价制度也有指导意义。

一、内部控制评价体系发展历程

内部控制评价是企业实施内部控制过程中的一种制度安排，要求管理层对企业内部控制的有效性进行评价，并出具评价报告（晓芳、张军，2010）。其发展历程可归纳为四个阶段：第一阶段始于20世纪40年代，以财务报表审计为目的；第二阶段始于80年代，以自我完善为目的；第三阶段始于90年代，以对外披露为目的；第四阶段始于21世纪，以内部控制审计为目的。

美国对内部控制的研究较早，在1934年的《证券交易法》中就提出了“内部会计控制”的概念。在SOX 法案颁布之前，对于内部控制信息的披露是自愿的，但实际上就是否应该以特定形式对外披露信息一直存在争论。1978年美国Cohen 委员会提交的一份有关内部控制系统评价报告中，要求注册会计师对评价报告出具独立审计意见。美国证券交易委员会也曾提议企业强制披露内部控制报告（1979,1998）。1992年COSO 委员会提出了内部控制五要素框架形式，要求上市公司定期对外披露评价报告和注册会计师的审计意见。安然、世通等财务舞弊案的发生催生了2002年SOX 法案的出台，标志着美国内部控制评价进入强制性阶段。之后COSO 于2004年颁布了《企业风险管理综合框架》，将风险引入内部控制中，并增加了内部控制评价要素，标志着美国内部控制自我评价制度日趋完善。为增强外部审计的独立性和有效性，美国上市公司会计师监管委员会（PCAOB）于2004年和2007年分别发布了“评价准则第2 号”和“评价准则第5号”,为注册会计师评价公司的财务报告表提供了指引，将审计集中到重大错报风险发生率高的领域，降低了注册会计师的风险。此外，美国证券交易委员会（SEC）2007年也发布了《管理层的财务报告内部控制报告指引》，对公司内部控制评价工作起到很好的引导和规范作用。

我国早期有关内部控制的研究是从财务会计角度出发的，1996年财政部发布的“独立审计准则第9 号”首先对内部控制和审计风险的定义和内容作了规定，还提出注册会计师要对企业内部控制进行审查。此时内部控制的评价还处在自愿评价阶段，但随着一些财务舞弊案的发生，越来越要求内部控制强制评价，研究的目光也逐渐转移到财务风险和审计风险角度。2006年6月上交所颁布的《上海证券交易所上市公司内部控制指引》就规定公司董事会要披露内部控制自我评估报告，并要求外部审计人员对评估报告出具审计意见。为统一我国的内部控制建设，2008年6月财政部、证监会等联合发布了《内部控制基本规范》，后来又发布了企业内部控制配套指引（2010）。《基本规范》对内部控制评价主体、评价依据、评价范围以及注册会计师的审计责任做了相关规定。相比SOX 法案，其规定的细化程度与现实贴近，为我国内部控制的执行、评价、审计提供了有效的应用指导。

二、内部控制评价体系比较分析

高质量的内部评价报告对于加强企业内部治理和保障利益相关者的利益、维护资本市场秩序至关重要（袁敏，2012）。在构建和完善内部控制评价体系过程中，我国和美国在内部控制评价范围、要点和方法的规定、选择上，既有相通之处，又各具特色。

（一）内部控制评价范围。放眼国际，内部控制评价范围主要有两大口径：财务报表内部控制口径和全面内部控制口径。内部控制产生于会计行业，其定义和解释与会计息息相关，从狭义上可认为内部控制就是财务报告内部控制的简称。美国SOX 法案第302 节对“公司对财务报告的责任”的规定以及第404 节对“管理层对内部控制的评价”的规定，是基于强化财务信息披露的要求提出的，这种内部控制评价的目的在于保障财务信息披露的有效性。PCAOB 的2 号准则和5 号准则也明确提出内部控制评价就是对财务报告内部控制有效性进行评价。我国早期也有一些内部控制评价规则是针对财务报告的，比如《深圳证券交易所上市公司内部控制指引》第六十三条规定注册会计师要对公司财务报告内部控制情况出具审计意见。全面内部控制口径源于COSO 报告，既包括财务报告，又包括经营业务和法律约束。《基本规范》和COSO 的前后两份报告都强调内部控制是一种“全员控制”，即董事会、监事会、经理层和员工共同为实现既定目标而进行的一种全面、全员、全过程的控制。“全员控制”理念强化了内部控制评价的社会功用，内部控制实践不再局限于公司会计职能范围内。尤其我国采用全口径评价意见，实现了与国际接轨，能更好地发挥内部控制评价的积极作用。

（二）内部控制评价要点。美国根据COSO 五要素，即以控制环境、风险评估、控制活动、信息与沟通、监控和其他各要素为主要内容确定评价要点，建立规范统一的评价模式（ COSO 框架）。COSO 框架在国际范围内得到很大认同，但在实际执行过程中遇到很多问题。比如Parveen P.Gupta(2006)对美国上市公司内部控制评价模式进行了调查，发现绝大多数公司并未使用COSO框架，其原因是该框架既没有以管理为中心，又缺乏可操作性。在COSO 框架基础上，把主要、突出问题作为评价重点，形成评价要点框架，也是现今普遍运用的模式。根据美国SEC 规定，合适的内部控制标准需要具备没有偏见、影响内部控制有效性的因素完整、允许定量和定性分析、与财务报告内部控制有联系四个要件。我国《基本规范》及配套指引形式上借鉴了COSO 框架意见，又要求重点关注重大风险领域。不过按要素评价可以很好地进行企业层面的总括评价（杨瑞平，2011），但不宜对经营业务层面进行深入评价。

（三）内部控制评价方法。根据内部控制评价要点，内部控制的评价方法可归纳为详细评价法和风险基础评价法（陈汉文、张宜霞，2008）。详细评价法的思路是在内部控制框架基础上，评价内部控制的设计和运行，评估存在的风险，识别漏洞，进而判断内部控制的有效性。SOX 法案第404 条强调内部控制评价既要评价内部控制设计，又要测试内部控制运行。根据这一思路，很多企业都采用详细评价方法。风险基础评价法的评价思路是先评估目标实现可能存在的风险，再判别这些风险是否存在，通过判别得出的相关证据来判断内部控制运行的有效性，最后评估控制缺陷，得出内部控制是否有效。SEC 于2007年发布的《管理层内部控制评价解释性指南》指出内部控制评价要以单位管理层为开端，采取自上而下、风险导向的评价方法。该评价方法很好地运用了“自上而下”和“风险基础”理念。我国《基本规范》中对一些详细评价法，如抽样法、穿行测试法、叙述式（文字表述法）等作了规定，但自上而下、风险导向评价方法的具体运用较少。

三、我国内部控制评价现状及其改进

总体上看，美国内部控制评价体系的发展相对完善，拥有自己的特色，对其他国家内部控制评价制度的建设影响深远。而内部控制评价体系的构建是一个持续改进的过程，尤其近年来雷曼、美林等一些被外审鉴证为“内部控制健全”的知名公司并未逃脱金融危机的影响，纷纷破产或被收购，引发了人们的思考。有学者认为是因为COSO 框架评价模型也缺乏可操作性，而且这些企业的公司治理也存在缺陷，致使内部控制形同虚设（张先治、戴文涛，2011）。但通过对比分析，可发现我国内部控制评价体系的完善程度与美国还相距甚远，还有许多需要完善的地方，从美国构建评价体系过程中也可以得到一些启示。

首先，《基本规范》及其配套指引仅对我国建立内部控制的基本原则、目标、框架及控制环节做了相关规定，具体如何执行以及宏观上如何促进和引导企业提高内控有效性并未作说明。对此，为督促和引导企业建立健全和持续改进内部控制制度，需要建立统一规范、能够有效执行的内部控制评价制度。其次，内部控制忽视整体风险管理，评价缺乏以风险为导向。内部控制并不是为了满足会计、审计的需求而存在，而是要通过建立内部控制规范来防范企业可能面临的风险。我国内部控制评价还处在查错防弊阶段，忽略了企业可能存在的重大风险。因此，需要进一步强调风险管理的价值，通过以风险管理为导向的内部控制评价，重点把握关键的评价点和评价方法，达到有效评价内部控制又节约评价成本。第三，缺乏对具体经营业务层面的深入评价。我国内部控制评价模式主要是按要素评价，大多是对内部环境、总体控制活动等做整体层次的评价，而很少对各类投资、筹资、采购等具体业务进行评价。因此在构建评价指标体系时要包括业务单元层面的指标体系，并且要加强企业与投资者、客户、政府等之间的信息沟通，为内部控制评价构建有效的信息沟通系统。■

1.池国华.2010.基于管理视角的企业内部控制评价系统模式[J].会计研究，10。

2.戴文涛、王茜、谭有超.2013.企业内部控制评价概念框架构建[J].财经问题研究，2。

3.晓芳、张军.2010.美国内部控制评价制度体系的研究及启示[J].未来与发展，3。

4.刘景艳.2013.中外内部控制评价体系发展比较研究[J].财会通讯，7。