一、《薩班斯法案》404條款的背景及主要內容

　　美國上市公司發生的管理層舞弊、董事會監督不力、獨立審計師不“獨立”等現象引起了投資者的強烈不滿，作為美國資本市場支柱之一的投資者信心受到了極大的打擊。為了挽回投資者的信心，2002年美國國會通過了《薩班斯法案》，旨在加強上市公司財務呈報過程的每個環節，以維護外部投資者的利益。其中，404條款規定：

　　“管理層必須在公司年度報告中對內部控制進行報告，包括：（1）管理層有責任建立和維持充分的內部控制結構和財務報告程序的聲明；（2）在公司最近的財務年度期末，對公司內部控制結構和財務報告程序的有效性進行評估。同時，為上市公司提供審計業務的會計事務所必須就管理層對與財務報告相關的內部控制評估進行鑒證，并提供報告。”

　　筆者認為，404條款或許希望通過完善上市公司內部控制結構、明確內部控制責任以及對其進行有效監督，從而強化財務報告呈報中的內部控制環節，達到保護外部投資者的目的。該條款將對注冊會計師上市公司年報審計業務和內部控制鑒證業務兩方面產生影響。為及時指導會計職業界，美國審計準則委員會頒布了《審計準則（征求意見稿）———在財務報告審計過程中對與財務呈報相關的企業內部控制的審計》和《鑒證業務準則公告———對與財務呈報相關的企業內部控制的報告》。新準則重新定義了“上市公司財務報告年度審計”，將其看作既包括年度財務報告審計，又包括內部控制鑒證的統一活動。其中，內部控制評價方面的主要變動體現在以下幾方面：

　　（一）擴大了內部控制測試范圍

　　“內部控制鑒證”是指審計師根據內部控制標準，對處在某一時點的企業是否已在所有重大方面保持了有效的內部控制發表意見。但為了對財務報表發表意見而進行的內部控制了解和測試，在性質、時間和范圍上不足以作為對內部控制發表意見的依據，因為：（1）控制測試的范圍不夠廣；（2）控制測試不能為內部控制的執行效率提供恰當水平的保證。

　　（二）提高了對內部控制的保證水平

　　一般而言，注冊會計師提供的財務報告相關內部控制鑒證業務包括檢查、復核及商定程序三個保證水平。

　　通常情況下，審計師為了對財務報表發表意見而進行的內控測試，只需要對內控的執行效率提供中等或低等水平的保證；而根據新準則，為了對內部控制發表意見，審計人員所進行的內部控制測試應該足夠對內部控制的執行效率提供高水平的保證。

　　二、美國鑒證準則與我國相關準則的比較

　　《薩班斯法案》404條款使“與財務呈報相關的內部控制鑒證”成為一項法定業務。AICPA隨后頒布的《鑒證業務準則公告———對與財務呈報相關的企業內部控制的報告》，對一些重要概念進行了重新說明或定義，希望在保護職業界的同時，為注冊會計師執行鑒證業務提供指導。

　　（一）“與財務呈報相關的內部控制和程序”的定義

　　新準則將“與財務呈報相關的內部控制和程序”定義為與編制財務報告相關的內部控制，主要強調了內部控制目標中的“財務報告可靠性”的目標。

　　我國《內部控制審核指導意見》（以下簡稱《意見》）中的內部控制僅指“與會計報表相關的內部控制”，而該《意見》的目的在于“規范注冊會計師執行內部控制審核業務”。這里是否將內部控制等同于與會計報表相關的內部控制？而且，《意見》未對“與財務報表相關的內部控制”的范圍進行界定。考慮到我國目前對內部控制目標界定缺乏一致性，中注協、證監會和財政部各有各的規定，而內部控制本身又是相互關聯，極難完全劃分開，筆者認為《意見》對“與財務報表相關的內部控制”不加以界定，其初衷可能是讓注冊會計師更多的根據實際情況來運用職業判斷，但卻可能導致被審核的業務范圍界定不清、審計師責任范圍模糊，進而引發法律責任。

　　（二）對“恰當的”內部控制評價標準進行了定義

　　新準則用“恰當的標準”替代“可接受的標準”，提高了注冊會計師提供內部控制鑒證業務的“門檻”。審計師必須在下列條件滿足的情況下才可能對企業內部控制的有效性進行檢查：（1）責任方必須運用恰當的標準對公司內部控制的有效性進行評價；（2）責任方用以評價企業內部控制有效性的標準必須恰當、必須由專家小組根據恰當的程序制定，比如COSO提出的《內部控制———完整框架》。

　　筆者認為，由于與財務報告相關的內部控制鑒證業務成為與年報審計一起進行的法定業務，鑒證報告的使用范圍將面向全體公眾（不再限于公司的董事會或監管部門等有限范圍）。這種內部控制“外部化”趨勢擴大了審計師的責任范圍。而管理層對公司內部控制的評價是鑒證業務的重要基礎，AICPA有動機通過提高鑒證服務的門檻，使管理層采用高質量的內部控制標準，在一定程度上可以避免因內部控制評價標準缺陷而導致鑒證報告失實的情況，從而保護注冊會計師。

　　同時，從《審計準則第78號———在財務報告審計中對內部控制的考慮》開始，涉及上市公司年報審計的準則統一采用了COSO報告中關于內部控制定義、元素、評價標準等內容。《薩班斯法案》404條款使財務報告相關的內部控制鑒證成為年度財務報告審計同時進行的法定業務。AICPA可能希望用一個與現有審計準則邏輯一致、統一的內部控制評價標準來規范管理層評價過程，讓管理層的評價和審計師的評估能夠在一個公認的標準下進行。

　　我國《內部控制審核指導意見》第26條規定的比較籠統，僅要求“管理當局已對內部控制的有效性進行了評價”。筆者認為，如果管理當局缺乏評價內部控制所需的恰當標準，很可能導致其評價過程無所適從或流于形式，影響審計師執行審核業務的基礎，進而增加審核風險。

　　（三）對于發現的內部控制重大缺陷的處理

　　新準則規定：“從事企業內部控制有效性鑒證業務的審計師，應該向被審核企業的審計委員會以書面形式對所發現的重大缺陷和重大不足進行報告。為了保證信息的及時傳遞，審計師可以選擇與它的客戶在鑒證過程中加以溝通，也可以在鑒證業務結束之后進行溝通。”

　　我國《內部控制審核指導意見》僅要求“對已發現的內部控制重大缺陷，注冊會計師應當及時以書面形式與被審核單位溝通”。《意見》相對模糊的規定可能會在審計師執業過程中引發許多問題。比如，審核中發現的內部控制缺陷與被審核單位的管理層或董事會有關，審計師應該找誰？如果審計師接受客戶委托，對公司的收購標的公司的內部控制進行審核，那么他是否有責任就審核中發現的重大缺陷與目標公司進行溝通？《意見》或許應該結合公司治理的特點，特別對與上市公司，規定注冊會計師與審計委員會進行溝通，避免管理層逾越內部控制情況的發生。

　　三、我國內控鑒證反思

　　從近年來發生的鄭百文、銀廣夏等一系列上市公司惡性舞弊案例可以看出我國上市公司內部控制還存在漏洞，急需注冊會計師內部控制鑒證業務把關。我國目前對內部控制的披露要求不斷提高，進行內部控制鑒證的范圍也在不斷擴大。如《上市公司新股發行管理辦法》規定，申請發行新股的上市公司必須提交注冊會計師關于發行人內部控制制度的評價報告；中國證監會明確指出，基金公司從2004年起必須聘請會計師事務所對其內部控制進行專項評價，評價結果將會影響公司各項業務的資格。

　　內部控制鑒證業務的提供涉及公司管理層、董事會以及注冊會計師等多個方面，離不開眾多外部條件的共同配合，筆者認為應該注意以下幾方面：

　　第一，建立邏輯統一的內部控制框架。目前我國內部控制鑒證業務準則和公司管理層采用的內部控制標準在目標、控制要素等基本概念存在眾多不一致的地方。而管理層、注冊會計師和報告的使用者之間在內部控制基本概念上達成“共識”是有效開展內部控制鑒證服務的前提。

　　第二，管理層應該提供能夠“可審計的”內控制度。由于內部控制審核業務是注冊會計師對管理層對內部控制評價報告進行進一步的審核，為使審核工作順利進行，管理層需要對某些具體流程重新設計，使相關內部控制具有“可審計性”。KPMG針對這一要求，提出了相關建議，具體包括：劃定評價范圍、制定評價計劃；進行記錄控制；對設計及運作的有效性進行評價，并溝通評價結果、彌補缺陷；指明、歸集、評價內部控制設計和運作上的缺陷；準備財務報告相關內部控制有效性的書面聲明報告等。

　　第三，理解內部控制在治理舞弊方面的局限性。良好的內部控制本身并不能保證公司經營成功，而且在財務報告可靠性及合規性方面，內部控制也僅能提供“合理”的保證，而非“絕對”保證。對于高層管理人員舞弊而言，內部控制比較容易被逾越。除了本文提到的內部控制外，還應該增加高層管理人員責任、加強審計委員會防止舞弊能力等多方面內容。

　　第四，加強注冊會計師的專業勝任能力。由于內部控制的多樣性和復雜性，對內部控制進行鑒證服務需要很強的專業勝任能力。從絕大多數會計師事務所目前的情況來看，注冊會計師大都為會計、財務領域的專業人才，要求注冊會計師對企業的內部控制進行評價并出具評價意見報告，從某種程度上來說已經超越了注冊會計師的專業勝任能力。

　　第五，進一步明確各方應該承擔的責任，建立有效的責任判定標準。由于內部控制鑒證業務包括管理層評價及注冊會計師審核兩個步驟，一旦出現經營失敗，很可能引發是否因為內部控制失效而導致經營失敗以及應該由管理層來承擔或由注冊會計師來承擔責任等大量復雜問題的認定工作，因此，針對這些責任的研究就顯得非常必要。

　　（作者單位：中國人民銀行南京分行）