以安然、世通为代表的发生在本世纪初的一系列特大财务欺诈和审计失败案例大大增加了立法部门对财务报告内部控制有效性的关注。继美国萨班斯法案颁布以后,日本也制定了类似的法律和规范。本文将比较美日在评估和审计财务报告内部控制要求上的异同,并提出对我国财务报告内部控制准则建设的几点启示。
一、美日对财务报告内部控制规定的相同点
1.背景、动机和实质相同。相似的丑闻,相似的动机,导致相似法律法规的制定,这是二者之间最基本的相同点。二者实质上都要求上市公司的管理层编制和提交内部控制报告,其中对内部控制有效性的评估是必不可少的组成部分。另外,管理层对内部控制有效性的评估结果也必须由审计师进行审计并出具审计意见。
2.管理层对内部控制的评估方法基本相同。在管理层评估内部控制有效性时,二者都采用自上而下的以风险为基础的方法。即首先评估对财务报告可信性有实质性影响的公司层内部控制,同时充分评估企业内外的风险并考虑整体上可能对财务报告有重大影响的所有事件,在此基础上再评估业务层的控制,主要侧重可能导致财务报告中重大错报的风险的评估。
3.财务报告内部控制审计的实施方法和内部控制报告的时间相同。为了充分使用审计证据,提高审计效率和效果,二者都将内部控制审计与财务报表的审计合并在一起进行,并且都要求管理层按年度报告对财务报告内部控制有效性进行评估,包括内部控制的设计和运行情况。
二、美日对财务报告内部控制规定的不同点
1.相关的法律和法规不同。美国萨班斯法案是由美国总统签署并由国会通过的关于上市公司会计改革和对投资者保护方面的法律,其中302、404和906条款规定了对财务报告内部控制的要求;美国证券交易委员会(SEC)的最终规则是管理层评估和报告财务报告内部控制的指南;美国公众公司会计监督委员会(PCAOB)第2号审计准则和第5号审计准则对审计师审计财务报告内部控制有效性做出了具体、详尽的指导。此外,上市公司还需遵循证券交易所发布的规定,例如纽约证券交易所、纳斯达克等的规定。在日本,金融商品交易法于2006年6月由议会通过,其中管理层对披露的准确性的报告、管理层对内部控制的报告和对管理层评估内部控制的审计报告是管理层和审计师在评估和审计财务报告内部控制的报告要求;2007年2月公布的“关于财务报告内部控制评估与审计准则以及财务报告内部控制评估与审计实施准则的制定(意见书)”(简称“意见书”),是管理层评估和审计师审计内部控制有效性的指南;为了使审计师在实施财务报告内部控制审计时与意见书一致,日本公认会计士协会在2007年6月发布了“财务报告内部控制指南”。
2.实施的范围和时间不同。美国萨班斯302条款和906条款分别在2002年8月29日和2002年7月30日生效,而404条款的生效日期几经推迟,最后多数大中型美国本土上市公司于2004年11月15日后结束的财政年度开始实施,外国发行人和小企业发行人的生效日期则延后至2006年7月15日。日本金融商品交易法和意见书都于2008年4月1日开始或以后的财政年度在日本所有的上市公司开始施行,外国发行人也必须同时遵守,并且对中小型企业也没有特殊规定。
3.内部控制的框架不同。美国萨班斯没有对具体内部控制框架提出要求,但SEC的最终规则认为,COSO框架满足一个恰当的、被认可的控制框架标准,可以作为管理层评估和报告内部控制有效性的依据。除COSO框架之外,将来在美国国内也可能开发其他符合条件且不降低投资者利益的框架。与美国不同,日本在意见书中规定了一个全新的内部控制框架,它是在COSO框架基础上创建的,但是又超越于COSO框架。除了COSO规定的目标和要素外,意见书中增加了一个目标(资产的保全)和一个要素(IT的对应)。从表述上看,日本内部控制框架更加严密;从实用性上看,日本内部控制框架也更能适应经济环境的发展变化以及日本企业的实际。
4.对IT内部控制的评估不同。美国萨班斯没有规定评估IT内部控制的具体指南,而IT的对应则是日本内部控制系统的一个重要特征。意见书中实施准则部分明确规定由管理层评估基于IT的控制是评估业务水平控制的一项重要内容,并定义了IT总体控制和IT业务处理控制,列举了评估IT总体控制的设计和运行有效性的具体实例;对于关于评估IT业务处理控制的设计和运行的有效性,也列示了考虑的要点。
5.对缺陷的分类不同。美日都要求在管理层提交的内部控制报告中披露内部控制的重大缺点。根据缺陷的严重程度,美国将内部控制缺陷分成控制缺陷、显著缺陷和实质性漏洞,但这种分类会使评估缺陷对财务报告影响的程序变得更加复杂。为减轻评估者的负担且与内部控制缺陷对财务报告可靠性的影响相一致,日本将内部控制缺陷分为控制缺陷和实质性漏洞两类。
6.内部控制的审计方式不同。美国采用直接报告的方式,即审计师直接审计和报告财务报告内部控制的有效性。在这种方式下,为审计管理层评估的财务报告内部控制的有效性取得审计证据,审计师必须计划和实施特定审计程序审计上市公司的内部控制。因此,审计师和被审单位都要承受过度的负担。而日本采用的是只审计管理层对内部控制有效性评估结果的间接报告方式,从而解决了直接审计被审单位内部控制有效性的过度负担的难题。
三、结论与启示
综上所述,美日对财务报告内部控制的规定最基本的相同点在于有着相同的背景和动机,最重要的相同点在于规定的实质,即二者都要求上市公司的管理层评估财务报告内部控制的有效性并要求审计师对管理层评估的结果进行审计。二者最主要的区别之一是日本发展了COSO内部控制框架,增加了一个目标和一个要素。最重要的区别是日本解决了美国萨班斯成本负担过重的问题,主要体现在对内部控制缺陷的分类以及采用间接报告方式审计管理层提交的评估内部控制有效性的报告。通过以上比较,笔者认为,有以下几点可供我国修订财务报告内部控制评估和审计准则时参考:
第一,内部控制的框架。日本内部控制框架以COSO框架为基础,又超越于COSO框架,特别是将资产的保全和IT的对应分别作为内部控制的目标和一个基本要素,对我国来讲很具有借鉴意义。因为作为经营者,有义务保全所有者委托其代管资产的安全、完整,而存货、应收账款等资产一向是内部控制的弱点,不正当地取得、使用和处分资产也是许多企业进行盈余操纵的重要手段。此外,目前企业的业务内容对IT的依赖越来越大,组织的信息系统与IT高度结合,在业务的处理过程中对企业内外IT采取适当的回应是企业实现内部控制目标所必不可少的。
第二,自上而下的风险基础方法。当今世界经济环境变化无常,任何企业都面临着诸多来自内部和外部的风险,对内部控制的评估不能脱离其赖以存在的环境,因此必须以风险为基础。目前我国大多数企业业务处理控制规范都相对完备,评估有章可循,但在公司层控制方面还有待改善。将公司层控制评估从业务处理评估中分离出来,重点进行规范,实施真正意义上的自上而下的风险基础方法进行评估,有助于财务报告内部控制有效性的提高。
第三,间接报告方法。有效的内部控制是编制可信赖的财务报表的前提,也为财务报表审计的有效实施提供了支持。审计师对内部控制的审计是对管理层评估内部控制有效性结果的检验,在考虑具体的审计程序时,要防止给审计师、财务报表的编制者和其他相关人员造成过重负担。日本所采用的间接报告方式可以有效地节约人力、物力和财力,在不影响审计结论的情况下达到资源的有效配置,值得我国在修订准则时借鉴。
(作者单位:浙江林学院 上海理工大学)