2002年的薩班斯一奧克斯利法案（Sarbanes-Oxley Act of 2002，本文簡稱薩班斯法案）對財務呈報程序產生了十分重大的影響。其中，404條款要求公眾公司管理當局對企業內部控制的有效性進行披露報告，注冊會計師必須對該份報告進行審計。在實踐層面，美國證券交易委員會（SEC）通過制定規則來具體執行薩班斯-奧克斯利法案404條款，這些規則為CEO和CFO對主體財務呈報內部控制（entity's inter nal control over financial reporting）和披露控制（disclosure control）的報告提供了指南；公眾公司會計監管委員會（PCAOB）通過為注冊會計師制定審計準則，直接影響注冊會計師該類審計合約的計劃與實施；COSO委員會制定內部控制標準框架，作為管理當局和注冊會計師進行內部控制評價的基礎。本文介紹上述幾方面的最新進展。

　　一、薩班斯法案404條款與SEC規則

　　為了配合薩班斯法案404條款有關內部控制規定的實施，SEC提出了“財務呈報內部控制”的操作性定義。SEC規則13a-15（f）規定：財務呈報內部控制是一個過程，由發行人的主要執行官員、主要財務官員或者行使類似職權的人員設計或監控，受發行人的董事會、管理當局和其他人員所影響，為財務呈報的可靠性和財務報表（供外部使用的）的編制符合公認會計原則提供合理的保證。具體包括以下控制政策和程序：（1）保持詳細合理的會計記錄，準確公允地反映發行人資產的交易和處置情況；（2）為下列事項提供合理的保證：發行人對發生的交易進行必要的紀錄，從而使財務報表的編制滿足公認會計原則的要求；發行人所有的收支活動均得到管理當局和董事的合理授權；（3）為下列事項提供合理保證，即防止或及時發現發行人的資產未經授權地取得、使用和處置，因為發行人資產的取得、使用和處置會對財務報表產生重大影響。從SEC財務呈報內部控制定義可以看出：其一，內部控制是一個廣義的概念，涉及到企業管理的各個方面。SEC將主體對內部控制的考慮限定在財務報表編制的內部控制的范圍內，因此使用了“財務呈報內部控制”這一術語。其二，SEC期望其所定義的內部控制與COSO委員會報告里的財務呈報目標相一致。其三，規則特別提到了主體資產的利用與處理，意在資產保護。

　　1.薩班斯法案404條款要求首席執行官（CEO）和首席財務官（CFO）對主體財務呈報內部控制的有效性進行評價和報告。該份報告包括在公司按年度遞交給SEC的10K表格（Form 10K）中，為此，SEC已經為其注冊成員制訂了規則，要求公司的10K表格必須包括：（1）管理當局對企業財務呈報內部控制的年度報告，具體為：①關于管理當局建立和維護適當企業財務呈報內部控制的責任報告；②管理當局用于評價企業財務呈報內部控制有效性的方法框架的報告；③管理當局對到最近財年末為止的企業財務呈報內部控制的有效性的評價，包括企業財務呈報內部控制是否有效的聲明，其中，必須披露管理當局所確認定的企業財務呈報內部控制的任何重大弱項，如果存在一個或多個重大弱項，則管理當局不得認定其財務呈報內部控制是有效的；④一個聲明，即會計事務所（對公司包含在年報中的財務報表進行審計的機構）已經對管理當局的財務呈報內部控制有效性評價意見簽發鑒證報告。（2）會計師事務所的鑒證報告，提供審計人員對管理當局財務呈報內部控制評價意見的鑒證報告。（3）財務呈報內部控制的變動，對于任何重大地影響或可以合理預期將重大地影響企業財務呈報內部控制的任何變動都應予以披露，該項披露要求從2003年8月14日起生效。上面所提及的其他規定，如管理當局對企業財務呈報內部控制有效性的報告及相關審計人員鑒證意見的生效日期，由公司的歸檔狀態決定，即①對第一個財政年度在2004年6月15日或以后結束的所謂“加速編報”（Accelerated filer）公司，必須在該財政年度的年報中開始遵守內部控制報告和鑒證要求；②小規模公司、外國私人發行人和其他非加速編報公司，要求在2005年4月15日或之后結束的財政年度年報中遵循新規則的所有規定。

　　2. 薩班斯法案302條款要求對主體“披露控制與程序”的有效性作出季度報告。為此，在SEC規則中，引入了一個新的概念，即“披露控制和程序”。SEC規則13a-15（e）將披露控制和程序定義為：被設計出來的控制和程序，應確保根據法案要求填寫和提交的報告中發行人應該披露的信息，按照委員會規則所規定的期間和格式，進行記錄、處理、匯總和報告。“披露控制和程序”包含證券交易法報告中所有重大的財務和非財務信息控制，包括重要合同簽訂、戰略關系變化、管理當局薪酬或法律事件等，其所包含的信息超過主體財務呈報內部控制的范圍。SEC的S-K規章307條款，要求管理當局披露公司主要執行官、主要財務官或者履行類似職權的人員在對到報告期間的披露控制和程序進行評價的基礎上，就企業披露控制和程序的有效性作出評價。除了對披露控制的報告外，公司的季度報告也必須披露主體財務呈報內部控制的重大變動。值得注意的是，在這些季度性文件中，沒有要求管理當局一定要對財務呈報內部控制進行評估和報告（只是要求按年度進行其評價），也沒有要求公司獨立審計人員一定要對管理當局的披露控制評價作出鑒證。

　　3. SEC建議所有公眾公司建立信息披露委員會，以監督披露的生產和核查過程。包括核查10Q-10K和其他SEC文件，盈利發放和其他適當披露的公眾信息；確定需要披露的重大性事件和交易；確定在披露控制和程序的設計和執行中的重大缺陷和不足；評價CEO和CFO對可能影響披露的重大信息的關注度。信息披露委員會的存在和有效運行，將會在評價主體內部控制有效性的工作范圍和工作性質方面產生重要影響：其一，信息披露委員會職能的有效運行，是強化主體控制環境的一個要素；其二，披露委員會的工作可以形成文檔，以利于工作小組縮減其工作范圍。

　　4.SEC要求公司的主要執行官和主要財務官簽署兩個書面證明，包括在公司的10Q和10K表格中。

　　這兩個書面證明是薩班斯法案302和906條款所要求的。（1）302條款，具體細化到SEC規則13a-14 （a）/15d-14（a）中，要求在呈交SEC季度和年度報告時提出證明：包括已經核查了[某個確定注冊公司的]的特定報告；報告中沒有存在任何重大的錯報和漏報而導致對本期報告產生了誤導性的信息；呈報的財務報表和其他報告公允地反映了注冊公司在所報告期間和時點上的財務狀況、經營業績和現金流動狀況；對建立和維護公司的披露控制和程序（如證券交易法13a-15（e）/15d-15（e）規定）和企業財務呈報內部控制報告（如證券交易法13a-15（f）/15d-15（f））承擔責任；已經向公司的審計師和公司董事會的審計委員會進行披露（或者行駛相同職權的人），等等。（2）906條款，包括對具體聯邦犯罪法典的證明，如證明報告是完全符合1934證券交易法的12（a）或15（d）中的條款要求，報告中的信息在所有重大方面公允地反映了企業的財務狀況和經營成果。

　　二、薩班斯法案404條款與PCAOB審計準則

　　為了配合審計人員對管理當局財務呈報內部控制有效性評價的審計工作，2004年PCAOB發布了第2號審計準則（AS2），用以指導審計的計劃與實施。

　　1.AS2提出財務呈報內部控制審計的目標是，對管理當局就企業財務呈報內部控制有效性的評價發表意見。這個目標分解為兩個步驟：管理當局必須對主體的內部控制進行評估并得出結論；審計人員將對管理當局就內部控制有效性的評價是否公允作出評價并發表獨立意見。因而，對內部控制進行了雙重評價，先是由管理當局，然后是審計人員。在一些情況下，審計人員可能對已經由企業執行過的測試進行再測試，不過，這并不減除管理當局對于內部控制存檔、測試和報告的責任。AS2指出，管理當局在財務呈報內部控制審計過程中的責任有：對企業財務呈報內部控制有效性承擔責任；運用恰當的控制標準評估企業財務呈報內部控制的有效性；有足夠的證據（包括文件）來支持其評估結論；就到最近財年末為止企業財務呈報內部控制的有效性作出書面的評估報告。如果管理當局未完成上面列舉的責任，那么，審計人員應以書面的形式與管理當局和審計委員會進行溝通，明確其對財務呈報內部控制的審計無法滿意地完成，以至無法發表意見。

　　2.AS2要求審計人員評估管理當局應用于評價主體內部控制的程序方法的可靠性；復核和使用一些管理當局、內部審計人員和其他人的評價過程中取得的測試結果；或自己進行測試，以形成獨立意見。（1）對管理當局評價程序的評估。準則要求審計人員必須理解和評價管理當局對財務呈報內部控制有效性的評價過程。在取得理解之后，審計人員要確定管理當局是否執行了以下步驟：第一，決定需要測試的控制，包括所有與財務報表重大會計賬戶和披露有關的認定的控制。一般來說，這些控制指有關發生、授權、記錄、處置和報告財務報表重要賬戶和披露以及報表中的相關認定的控制；對遵循公認會計原則的會計政策選擇與運用的控制；反舞弊的程序和控制；其他控制及其所依賴的信息技術總控制；對重要的偶發性和非系統性交易如涉及判斷和估計的賬目的控制；企業層面的控制，包括控制環境和年末財務報表編制過程的控制，如記入總分類帳的業務金額匯總的程序控制、記錄調整和非調整事項的控制活動（如報表合并、重分類等）。第二，評價控制失敗將導致的錯報的可能性和其他有效控制能夠達到相同控制目標的程度。第三，確保對多區域和多分部公司的評價涵蓋了下屬公司和部門。第四，評價控制設計的有效性。第五，評價控制執行的有效性，比如內部審計的控制測試，管理當局指導下的其他人進行的控制測試，利用服務機構的控制報告，控制應用證據的審查，進行自我評估測試以及部分的管理當局持續監督活動。僅僅完成這項評估是不夠的。為評估企業財務呈報內部控制的有效性，管理當局必須對與所有重大會計科目和披露有關的認定的控制進行評估。第六，確定財務呈報內部控制缺陷的重大性和可能性。第七，與審計人員和其他人員溝通。第八，評價結果是否合理，是否支持管理當局的評估結果。

　　3. AS2指出如果導致財務報表重大錯報的錯誤或舞弊在控制得到遵守的情況下會被制止或被發現，那么財務呈報內部控制的設計就是有效的。審計人員判定企業控制能否滿足控制的標準是：確定企業每個部門的控制目標；確定滿足每個目標的控制；如果控制有效執行，確定內部控制是否能防止或發現導致財務報表重大錯報的錯誤或舞弊。

　　4. AS2指出審計人員評價運行的有效性通過判定控制是否如其設計般執行，執行控制的人員是否具備必要的權力和素質以有效地執行控制程序來進行。對運行有效性的控制測試，包括對相關人員的詢問、相關證據的檢查、公司經營活動的觀察以及控制應用的重復執行。對于測試控制的時間安排，AS2作出了詳細規定，比如準則指出，對于重要的非常規性交易、帶有高度主觀判斷的賬戶或程序以及期末調整記錄的控制，審計人員應該在接近或正在那個時點上實行控制測試，而不是針對一段時期。對于控制測試的范圍，AS2要求審計人員每年都要收集足夠的證據，證明企業對財務呈報內部控制包括對所有內部控制環節的控制是否有效執行。這就意味著，審計人員每年必須收集控制有效性的證據，這些控制涉及所有財務報表重大賬戶和披露有關的認定。另外，AS2還對其他人員的工作的應用、財務呈報內部控制有效性的意見發表、財務呈報內部控制審計與財務報表審計的關系等內容作出了規范。

　　三、薩班斯法案404條款與COSO委員會

　　《企業風險管理綜合框架》內部控制標準體系是公司內部管理當局與外部注冊會計師完成財務呈報內部控制有效性評價的基礎。

　　在美國，COSO委員會于1992年制定的內部控制綜合框架（IC-IF）是至今管理當局和注冊會計師在財務呈報內部控制有效性評價方面的依據之一。薩班斯法案404條款頒布之后的一個新變化是，COSO委員會于2004年9月29日正式發布了《企業風險管理綜合框架》（ERM-IF），并提出將以ERM取代IC- IF.何時取代，未見時間表，但趨勢既定。

　　1. COSO委員會提出，企業風險管理是企業的董事會、管理層和其他員工共同參與的一個過程，應用于企業的戰略制定和企業的各個部門和各項經營活動，用于確認可能影響企業的潛在事項并在其風險偏好范圍內管理風險，對企業目標的實現提供合理的保證。根據管理者經營的方式劃分，企業風險管理包括八個相互關聯的組成要素：內部環境、目標設定、事件識別、評估風險、應對風險、控制活動、信息與溝通和監督。內部環境是企業風險管理的基礎，為企業風險管理所有其他組成部分運行提供了平臺和結構。

　　企業的目標制定是企業風險管理的起點，是其他步驟的驅動力量。整個過程是環環相扣的。在目標制定的前提下，企業需對影響目標的風險進行事件識別，進而對識別的事項進行風險評估，風險評估驅動風險反應，影響控制活動，信息與溝通和監督貫穿于企業風險管理的整個過程，并對前面的各個組成要素進行修正。這樣，企業風險管理不只是一個直線過程，即一個組成部分只會對下一個部分產生影響，而且是一個多元化的相互作用的過程，即幾乎任何組成部分都能夠并將會影響另一個部分。企業風險管理的八個組成部分體現的是一個動態的過程，是一個有機的整體。

　　2.內部控制綜合框架到企業風險管理綜合框架，不是局部的修補和簡單改良，而是在理念上的本質突破。體現在從“控制環境”到“內部環境”，這一修改使得企業關注的范圍不再局限于控制方面，而是從更寬闊的視野更綜合更直接地考慮各種因素對風險的影響；目標制定中增加“戰略目標”，使企業在追求短期利益的同時，從戰略的高度關注企業的長遠目標和可持續發展；將“風險評估”擴展為“事件識別”“風險評估”和“風險反應”，不是對原“風險評估”進行簡單的細化，而是代表著企業風險意識日益增強和積極主動管理風險。企業風險管理強調應對所有事件既包括正面事件與負面事件進行綜合識別，并且應該將其以適當的組合方式加以看待，而后通過對固有風險和剩余風險的綜合評估做出適當的風險應對措施。這樣一方面可以減少經營偏差的發生及相關成本和損失，另一方面有利于企業抓住機會（正面事件），及時調整策略，以達到經營和獲利目標，避免資源浪費。

　　四、啟示

　　美國上市公司監管機構推出的一系列針對內部控制的制度安排，對我國市場監管頗具借鑒意義。2004年年底發生的中航油（新加坡）事件說明了借鑒的緊迫性，盡管中航油（新加坡）內部存在風險控制方面的內部控制制度，照理應該是能夠滿足企業風險管理需要的，但由于管理層對內部控制的破壞，內部控制制度形同虛設，進而導致悲劇發生。這個案例告訴我們，必須評估企業內部控制的設計與執行兩個方面的有效性，確保內部控制規范真正落到實處，從而維護正常的市場秩序，保護投資人、債權人、經營者的長遠利益。從這個意義上看，借鑒薩班斯法案、SEC規則、PCAOB的審計準則和COSO的企業風險管理，我國監管機構在上市公司內部控制制度的強制性規定方面，應該有所作為。

　　主要參考文獻

　　Public Company Accounting Oversight Board ， 2004， Auditing Standard No. 2 - An Audit of Internal Control Over Financial Re- porting Performed in Conjunction with An Audit of Financial Statements

　　Michael Ramos， 2004， How to Comply with Sarbanes - Oxley Section 404， John Wiley ＆ Sons， Inc.

　　The Committee of Sponsoring Organization of the Treadway Commission， 2004， Enterprise Risk Management - Integrated Frame- work， Executive Summary Framework.

　　The Committee of Sponsoring Organization of the Treadway Commission， 2004， Enterprise Risk Management - Integrated Frame- work， Application Techniques

　　嚴暉，2004，風險導向內部審計研究，廈門大學博士學位論文打印稿

　　朱榮恩，賀欣，2003，內部控制框架的新發展——企業風險管理框架，《審計研究》，6

　　陳漢文，王華，鄭鑫成，2003，《安達信：事件與反思》，暨南大學出版社

　　劉宗柳，陳漢文，2000，《企業內部控制：理論、實務與案例》，中國財政經濟出版社

　　吳水澎，陳漢文，邵賢弟，2000，論改進我國企業內部控制，《會計研究》，9

　　吳水澎，陳漢文，邵賢弟，2000，企業內部控制理論的發展與啟示，《會計研究》，5