【摘要】文章通過對美國財務報告內部控制信息披露規(guī)則演變的研究發(fā)現(xiàn)，美國財務報告內部控制信息披露的實施并不是一帆風順，一些重要規(guī)則也是幾經(jīng)改變。美國的經(jīng)驗表明，盡管財務報告內部控制信息披露是大勢所趨，但是在我國強制財務報告內部控制信息披露決不可操之過急。

　　【關鍵詞】美國財務報告內部控制；信息披露；啟示

　　安然等公司的會計丑聞促使美國國會痛下決心，最終通過了旨在打擊上市公司會計舞弊，保障財務報告質量的《薩班斯法案》。《薩班斯法案》最重要的內容之一就是強制要求符合批報規(guī)則的公司對外披露內部控制信息。盡管1991年美國聯(lián)邦存款保險改進法（FCICIA）曾經(jīng)要求資產(chǎn)超過5億美元的金融公司披露內部控制信息，但是像《薩班斯法案》這樣要求如此大范圍的公司公開披露內部控制信息在美國歷史尚屬首次。

　　《薩班斯法案》的影響迅速遍及整個世界。依據(jù)歐洲公司治理研究所（european corporate governance institute）的調查，截至2004年末，已有26個歐洲國家頒布治理法或提議依照《薩班斯法案》強制公司披露內部控制信息。日本國會也于2007年頒布金融工具交易法（financial instruments and exchange law），規(guī)定所有上市公司在2008年4月1日之后的年報中提供內部控制評估報告。

　　上市公司披露內部控制信息已經(jīng)是大勢所趨?！端_班斯法案》以及美國財務報告內部控制（Internal Control over Financial Reporting，后文簡稱ICFR）信息披露相關規(guī)則對我國內部控制信息披露政策的制定具有重要借鑒意義。國內已有學者開始這方面的研究。但這些文獻主要集中于2002年《薩班斯法案》和2003年美國證券監(jiān)督委員會（后文簡稱SEC）最終規(guī)則的研究，而在此之后美國內部控制新條款又不斷推出，以前的部分規(guī)則也發(fā)生了較大改變。本文從ICFR新概念的推出入手，重點討論時至今日美國上市公司ICFR的規(guī)則演變，希望對我國上市公司內部控制信息披露政策的制定提供有益的借鑒。

　　一、ICFR新概念的提出

　　自20世紀初以來，內部控制的含義不斷演化。20世紀初到1936年，內部控制的目的主要是為了保障資產(chǎn)，尤其是現(xiàn)金，不被員工挪用和偷盜。1936年，AICPA在《注冊會計師財務報表檢驗》（Examination of Financial statement by public accountants）公告中將內部控制定義為：“組織所采用的用以保障現(xiàn)金和其它資產(chǎn)安全以及檢查員工賬簿記錄準確性的方法和手段”。這一定義體現(xiàn)了內部控制的內部檢查（internal check）功能。1949年，AICPA程序委員會發(fā)布一份特別報告將內部控制的定義擴展為：“企業(yè)所采用的用以保障資產(chǎn)安全、檢查會計數(shù)據(jù)準確性與可靠性、促進經(jīng)營效率以及鼓勵遵守管理政策的組織計劃和所有相關方法”。至此，經(jīng)營效率和管理政策的遵循開始進入內部控制的討論話題。1958年審計程序公告SAP29將內部控制分成兩個主要部分，即內部管理控制和內部會計控制。從此，內部控制的這兩種要素逐漸被會計行業(yè)所關注。

　　1985年，一個重要的民間組織全國反舞弊財務報告委員會（俗稱Treadway委員會）成立，兩年后發(fā)布了一個報告建議其發(fā)起組織（Committee of Sponsoring Organization of the Treadway Commission，后文簡稱COSO）努力整合各種內部控制概念和定義。最終，COSO于1992年發(fā)布了著名的《內部控制——整體框架》報告。COSO整體框架將內部控制定義為：“內部控制是一個受到董事會、經(jīng)理層和其他人員影響的，為合理保證經(jīng)營效率與效果、財務報告的可靠性、法律法規(guī)的遵循性而設計的過程。”COSO報告影響重大。經(jīng)營效率與效果、財務報告質量和法律法規(guī)遵循的內部控制三要素觀逐步為行業(yè)所接受。

　　由此可見，內部控制的含義已經(jīng)發(fā)生了重大改變。內部控制的內容已經(jīng)遠不局限于財務報告的范疇。然而，《薩班斯法案》要求公司對外披露的是旨在保障財務報告質量的內部控制信息，法案多次提到“財務報告內部控制結構和程序（internal control structure and procedures for financial reporting）”的表述（如第404款（a）條），強調的是內部控制的財務報告要素。

　　但是，內部控制結構（internal control structure）又與當時廣為接受的內部控制含義，即包括經(jīng)營效率性和有效性、財務報告的可靠性以及遵守相關法律和規(guī)則等要素非常相近。為了突出《薩班斯法案》的財務報告要素精神，SEC在2003年最終準則中正式啟用“財務報告內部控制”的表述。

　　最終規(guī)則中將ICFR定義為：“由公司的首席執(zhí)行官、首席財務官或者公司行使類似職權的人員設計或監(jiān)管的，受到公司的董事會、管理層和其他人員影響的，為財務報告的可靠性和滿足外部使用的財務報表編制符合公認會計原則提供合理保證的控制程序”，具體控制政策和程序包括：（1）保持詳細程度合理的會計記錄，準確公允地反映資產(chǎn)的交易和處置情況；（2）為下列事項提供合理的保證：公司對發(fā)生的交易進行必要的記錄，從而使財務報表的編制滿足公認會計原則的要求，公司所有的收支活動經(jīng)過公司管理層和董事的合理授權；（3）為防止或及時發(fā)現(xiàn)公司資產(chǎn)未經(jīng)授權的取得、使用和處置提供合理保證， 這種未經(jīng)授權的取得、使用和處置資產(chǎn)的行為可能對財務報表產(chǎn)生重要影響。

　　與COSO 報告中對內部控制的定義相比，SEC的ICFR是COSO內部控制的子集。 SEC 在最終規(guī)則中對ICFR的定義僅包含了與財務報告可靠性目標相關的部分，而省略了經(jīng)營活動效率與效果的目標，遵循相關法律法規(guī)目標中也僅保留了諸如證券交易委員會財務報告要求這類與財務報表編制直接相關的法律法規(guī)。

　　二、ICFR信息披露

　?。ㄒ唬┡斗绞?

　　自愿披露還是強制披露在美國一直廣受爭議。早在1979年和1988年，SEC就曾兩次提議要求上市公司對外披露內部會計控制信息，但都遭到了強烈反對而擱置一邊。COSO在1992年發(fā)布的《內部控制——整體框架》報告中提出同樣建議，認為公司管理層應該定期對企業(yè)內部控制的設計和執(zhí)行情況進行評價，并出具報告對外披露。盡管美國聯(lián)邦存款保險改進法FDICIA在1991年開始強制要求資產(chǎn)超過5億美元的金融機構披露內部控制報告，但是內部控制信息在一般上市公司始終是自愿披露。

　　《薩班斯法案》改變了這一現(xiàn)狀。安然等公司的會計丑聞最終導致了美國國會改變自愿披露方式的決心。2002年，國會最終通過了《薩班斯法案》，正式提出公司披露內部控制信息的強制要求。法案第404款明確規(guī)定，除了投資公司以外所有依據(jù)1934年證券交易法13（a）、15（b）編制年度報告的公司都應該在年度報告中出具一份內部控制報告，并責成SEC制定具體規(guī)則。2003年6月5日，SEC發(fā)布了最終規(guī)則，規(guī)定了上市公司執(zhí)行《薩班斯法案》內部控制信息披露要求的具體內容。至此，內部控制信息披露由自愿披露方式正式轉變?yōu)閺娭婆斗绞健?/p>

　?。ǘ┡秲热?

　　SEC2003年的最終規(guī)則將“財務報告內部控制結構和程序”的表述修改為“財務報告內部控制”，要求管理層年度ICFR報告包括：（1）聲明管理層有責任建立和保持充分的財務報告內部控制；（2）聲明已經(jīng)確認用于評估財務報告內部控制有效性的標準框架；（3）對財務報告內部控制的評估；（4）聲明負責審計公司財務報表的會計師事務所對管理層所作的財務報告內部控制效率評估已經(jīng)進行了驗證并公布了驗證報告。

　　但是，僅僅過去三年，SEC對披露內容作了重要修改：負責公司報表審計的外部審計師不必對管理層作出的ICFR評估報告進行驗證，而只需就公司ICFR進行獨立評估和報告。之所以進行修改，是因為SEC發(fā)現(xiàn)，由于2003年最終規(guī)則要求管理層所作的ICFR評估報告須經(jīng)外部審計師的驗證，因此，過去的三年中許多公司的管理層在ICFR的設計和評估時不得不參照審計準則AS2執(zhí)行，而審計準則AS2是上市公司會計監(jiān)督委員會（Public Company Accounting Oversight Board，后文簡稱PCAOB）用以指導注冊會計師進行外部審計而制定的，所涉及的內部控制審計部分要求對公司整個經(jīng)營效率進行評估，這顯然超出ICFR的評估要求，因此大大增加了公司自我評估的成本。為了與SEC保持一致，PCAOB也在2007年發(fā)布的審計準則AS5中作了同樣的修改。

　?。ㄈ㊣CFR評價依據(jù)

　　是否指定亦或制定統(tǒng)一的評價標準以及如何制定適合所有公司的ICFR評價標準是2003年最終規(guī)則出臺后SEC的重點議題。2003年SEC的最終規(guī)則認為沒有必要制定統(tǒng)一的ICFR評價標準，也沒有指定現(xiàn)有的某個內部控制框架作為這種統(tǒng)一標準，只是提出“COSO的整體框架是合適的框架之一”。

　　然而這種做法卻引來了實務界尤其是小公司方面的較大批評，因為，他們在實際的評估過程中發(fā)現(xiàn)，COSO整體框架“對小公司實務操作性不強，似乎更適合大公司的評估要求”。SEC也意識到，盡管COSO整體框架確定了內部控制系統(tǒng)的要素和目標，但該框架并沒有提出便于管理層評估ICFR有效性的具體方法。因此，是否制定指導所有公司評價ICFR的評估指引重新提上了議事日程。為了確定制定指引的必要性，SEC 分別于2005年4月和2006年4月先后兩次舉行利益相關各方參與的圓桌會議，與會代表大都認為有必要制定指引。

　　SEC終于在2007年6月20日發(fā)布了期盼已久的評估指引——管理層財務報告內部控制報告指引。該指引的核心內容是，提出了一種管理層據(jù)以進行自上而下（top- down）、基于風險（risk-based）的財務報告內部控制評估方法。指引同時指出，該評估方法只是符合1934年證券交易法13a-15（c） 和 15d-15（c） 規(guī)則要求的評估方法之一，指引并沒有否認COSO內部控制整體框架以及其它內部控制框架的評估作用。因此，公司仍然可以從SEC2007年指引和其它內部控制框架中選擇適合的評估標準。

　　SEC的指引是針對現(xiàn)有框架難以適合小公司的評估需要提出來的。SEC的指引提出的是一種基于原則導向的評估指引，它允許不同規(guī)模的公司結合自身特征擬定合適的具體評估過程和程序，這樣大大減少了小公司的評估成本。盡管該指引符合了規(guī)模不同公司的評估需要，但是原則導向的可操作性還有待實踐的檢驗。

　?。ㄋ模㊣CFR報告驗證

　　《薩班斯法案》和SEC2003年最終準則都要求：（1）管理層對公司ICFR有效性進行自我評估；（2）注冊會計師對管理層所作的ICFR有效性評估報告進行驗證。PCAOB在發(fā)布的審計準則AS2中也同樣要求審計師對管理層所作的ICFR有效性評估報告進行驗證。但是SEC在2007年發(fā)布的指引中修改了這一要求，指出審計師不必驗證管理層所作的ICFR有效性評估報告，而只是單獨就公司ICFR有效性發(fā)布獨立觀點。同樣，PCAOB在2007年發(fā)布的替代前期準則AS2的新準則AS5中也作了類似修改。

　　（五）執(zhí)行時間

　　自2003年最終規(guī)則指定上市公司執(zhí)行ICFR披露規(guī)則以來，SEC幾度延緩上市公司執(zhí)行時間。SEC在2003年最終規(guī)則中要求：依據(jù)交易法12b-a在2004年6月15日之后屬于“加速編報公司”（Accelerated Filer）的必須在該日期之后結束的第一個財政年度年報中提供管理層ICFR報告；依據(jù)交易法12b-a在2004年6月15日之后屬于非加速編報公司，包括外國私人發(fā)行公司（Foreign Private Issuer），必須在2005年4月15日或之后結束的財政年度年報中遵循ICFR的披露要求。然而實際執(zhí)行的情況并不理想，許多公司尤其是小公司反映，在如此短的時間內很難配備勝任的人員設置和評估ICFR。而且執(zhí)行ICFR披露迅速增加了公司成本，這也影響了披露要求的順利執(zhí)行。鑒于此，SEC將兩類公司執(zhí)行披露時間分別延遲到2004年11月15日和2006年7月15日。此后不久又給予流通市值少于700百萬的accelerated公司另外45天的寬限，2005年9月，SEC 再次放寬了nonaccelerated公司及外國公司的期限，將執(zhí)行披露期限延長至2007年7月15日之后的年度報告。

　　三、對我國的啟示

　　我國涉及內部控制的信息披露文件主要是招股說明書和定期報告。2006年5月新修訂的《公開發(fā)行證券的公司信息披露內容與格式準則第1號——招股說明書》第六十九條規(guī)定，發(fā)行人應披露公司管理層對內部控制完整性、合理性及有效性的自我評估意見以及注冊會計師對公司內部控制的鑒證意見。2005年修訂的《公開發(fā)行證券的公司信息披露內容與格式準則第2號年度報告的內容與格式》第三十九條要求，監(jiān)事會應該對公司是否建立完善的內部控制制度，公司董事、經(jīng)理執(zhí)行公司職務時有無違反法律、法規(guī)、公司章程或損害公司利益的行為發(fā)表獨立意見?？梢姡覈皇窃谡泄烧f明書中要求上市公司提供管理層內部控制評估報告和相應的審計師驗證報告，而在對投資者更為重要的年度報告中并沒有如此要求，只是要求監(jiān)事會發(fā)表內部控制是否完善的獨立意見。

　　然而，本文并不支持我國近階段年度報告要求上市公司披露內部控制信息。強制內部控制信息披露決不可操之過急。首先，美國COFR信息披露的實施并不是一帆風順。從2003年SEC規(guī)則決定放棄制定指引到2007年指引的最終推出，從2002年《薩班斯法案》和2003年SEC規(guī)則要求審計師對管理層ICFR評估報告進行驗證到2007年SEC指引取消這一要求，以及SEC規(guī)定公司執(zhí)行ICFR信息披露的時間的一再延遲，美國COFR信息披露的執(zhí)行遇到了巨大的阻力，時至今日諸如重大控制弱點（Material Weakness）的認定等關鍵問題仍在爭論之中。其次，依據(jù)ICFR信息披露的一般要求，一些內控程序需要管理層的主觀判斷，這對管理層的業(yè)務能力和職業(yè)道德提出了較高要求，同時也需要一個完善的公司治理環(huán)境。而我國股改還未完全結束，許多公司治理結構還不完善，一些公司規(guī)模不大，是否能承受披露帶來的成本？所有這些都是政策制定者需要慎重考慮的問題。

　　【參考文獻】

　?。?］ 周勤業(yè)，王嘯. 美國內部控制信息披露的發(fā)展及其借鑒［J］.會計研究， 2005，（2）:24-31.

　　［2］ 朱榮恩，應唯和袁敏. 美國財務報告內部控制評價的發(fā)展及對我國的啟示［J］.會計研究， 2003，（8）:48-53.

　?。?］ Neil baker. global debate over controls. The internal auditor， 2005，（1）:256-267.

　?。?］ Nagashima ohno and tsunematsu. internal control. International financial law review， 2007，（5）:183-196.