论文部分内容阅读
2002年7月25日,美国国会通过了《2002年萨班斯——奥克斯利法案》(也称《萨班斯法案》或《SOX法案》
根据《萨班斯法案》404条款,所有在美上市公司的管理当局,都必须在其年度报告中包括一个公司财务报告内部控制有效性的评估报告,同时还要求公司独立的外部审计师对此评估报告进行审计,并发表鉴证意见。该法案要求上市公司要保证在对交易进行财务记录的每一个环节,都有相应的内部控制制度,以便能够实时而系统地向管理当局提供业绩信息,指出内部控制的缺陷所在,甚至自行检举违法违规行为,以满足企业员工、股东和政府的期望与要求。因此,公司管理层和外部审计师的评价,成为所有在美上市公司满足萨班斯法案必须的步骤和条件。
一、萨班斯法案下管理层和审计师的职责
SOX法案404条管理层对内部控制的评价明确了管理层及审计师的职责,其中管理层在执行SOX法案中的职责主要是:1.采用适当标准对财务报告相关内控进行设计和评价。2.对评价过程及结果提供充分的证据。3.期末对财务报告相关内部控制出具评价报告。
审计师在执行SOX法案中的职责主要是:1.评估管理层的评估范围制定是否足够。2.采用测试方法对内控运行的有效性进行评估。3.评估内控缺陷的重要性(一般缺陷、重要缺陷、实质性漏洞)。4.报告审计意见。
二、企业内部控制评价的方法
对内部控制评价涉及两个方面:一是内部控制设计的有效性,即:内部控制的设计是否能够满足管理需要;二是内部控制执行的有效性,即:设计的内部控制是否得到一贯执行,以达到控制目的。常用的评价方法主要包括:
1.询问。通过访谈形式,了解控制活动的流程。询问本身并不能提供充分证据来证明一个内控是否在有效运行,只能帮助评价者了解公司的业务活动及控制要素。
2.观察。与询问相比,观察提供了更高程度的保证,通常用于评估自动化的内控。例如,通过对计算机应用情况的查看,了解管理层是否对公司计算机应用的内控进行详细的实施前和实施后审核,是否存在程序变动的内控较差情况,管理层有责任来确保自动内控如设计那样运行。对于量身定做的内部的应用软件,可能需要更多程序来验证这个内控设计是有效的。
3.检查。有效的测试通常需要在不同的业务情况下检查某个特定的经营场所或业务单位的内控(称为“选样”)。虽然管理层可能在选样中没有发现任何问题,从而得出内控在有效运行的结论,但是风险在选样中是固有的,内控不一定在任何时候都在有效地运行。对检查流程中涉及的重要步骤、控制中涉及的表单、记录、文件、部门组织架构、规章制度、实地查看系统操作情况等资料,需索取相关证据予以保留。
4.重新执行。即根据测试需要抽取一定数量的样本,从头到尾执行一遍流程,以验证控制点是否实际存在。重新执行某个内控能够提供最高程度的保证。将两种或多种测试结合起来使用,比只使用一种测试能提供更高程度的保证。会计科目,披露事项和业务流程越重要,包含的风险也就越大,而采用多种测试方法来获得证据就显得更加重要。
三、企业内部控制评价的步骤
内部控制的评价,主要包括内部控制设计的有效性和运行的有效性两个方面。可以采取下列步骤展开测试:
(一)评估管理层的范围制定是否足够
范围界定是404条款项目的重要环节之一,也是评估内控设计有效性的基础。公司管理层有责任对范围进行界定,而外部审计师则需要对有关界定进行评估以确保其足够性。范围确认主要包括:1.确认重要会计科目和披露事项。2.确定业务流程/子流程,并与重要会计科目和披露事项确认应对关系。3.会计报表认定:每项重要会计科目和披露事项的会计报表认定,都应该被全面地认定及测试,以确保内控措施能把相关的错报防止及发现。4.业务流程/子流程的风险评估。 此步骤的目的是评估各领域的测试工作的性质、时间和范围。一些风险的考虑因素为:对财务报告的影响程度;流程的复杂性;交易量;流程的集中化;流程固有的风险。5.经营场所的覆盖率。可以从定量和定性两方面进行,如5%税前利润/总收入;对财务的重要性、业务流程的集中程度、交易的性质和数量、发生错报的记录等。6.其它特别范围,如企业层面控制;反舞弊需考虑建立的机制;内外部双位并举的监督机制;微观与宏观双层并重的管理机制;奖励与惩罚双向并进的考评机制;治表与治本双轨并行的教育机制等。
(二)评估内控设计的有效性
对设计有效性的评估说明了一个内控系统的设计是否恰当,是否可以及时地防止或发现重要会计科目和披露事项中的重大错报。这个评估应该包含公司层面上普遍的内控和范围内流程的与所有相关认定有关的特定交易层面上的内控活动。这个过程需要结合内控记录的完整性进行。确认内控设计的有效性主要包括:1.确认控制目标及确认是否有足够及有效的内控活动以满足各控制目标及财务报表认定;2.各内控活动的设计是否能有效地防止或发现财务报告的错报;3.目标、风险、控制活动是否彼此协同;4.标准化的控制活动进行的标准化和属地灵活性的平衡。在评估某个特定内控提供的保证程度时,管理层应该考虑内控的性质,实施内控的方式,内控实施的一致性和由谁来实施内控。
(三)以测试方法评估内控运行的有效性
主要步骤如下:1.确定将要接受测试的内部控制活动:管理层必须证明,对于所有的重要会计科目、流程和经营场所,包含内控五个要素的控制都在有效地运行。2.确定由谁来执行测试;管理层可以采取以下程序对运行有效性进行评估。如:内部审计执行内控测试;在管理层指导下由其他人对内控进行测试;聘用服务机构进行测试;通过自我评估来进行测试;或是上述几种方式的组合。其中的一些可能会作为管理层持续的监督流程的一部分。在所有情况下,管理层都必须负责确定:执行这个工作的人员是否具备必要的能力和客观性;程序是否提供了足够的证据来支持管理层的评估。3.建立和执行测试计划:为了方便不同利益部门的审核和审批,正式的测试计划应该记录测试和测试结果的关键要素。测试计划应该包含所有选择出来供测试的内控,并明确指出以下的关键要素:待测试的关键控制;采用的测试方法;测试的范围;时间安排;测试程序、支持的财务报表认定及测试情况的描述。
(四)评估内控缺陷的重要性
内控缺陷包括一般内部控制缺陷、重要缺陷和实质性漏洞。一是一般的内部控制缺陷:如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中,及时防止或发现错报,那么就存在一般内部控制缺陷。二是重要缺陷:是一种严重影响公司根据公认会计准则要求对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总,重要缺陷能够在可能性大于“微小”的情况下,导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。三是实质性漏洞:导致年度或中期财务报告中的重大错报未被防止或发现的可能性大于“微小”的一个重要缺陷或多个重要缺陷的组合。
(五)报告审计意见
外部审计师在出具404审计意见之前,除了需向管理层取得包括确认管理层建立及保持有效的对于财务报告内部控制的责任及陈述管理层已经按照相关控制标准对公司内部控制的有效性进行了评估等内容在内的管理层声明外,还需向管理层及审计委员会以书面形式沟通以下事情:一是所有重要缺陷和实质性漏洞,并且需要明确区分重要缺陷和实质性漏洞。二是如果审计委员会对公司的外部财务报告过程及对于财务报告的内部控制的监督存在着重要缺陷或实质性漏洞,向公司的董事会传达该项事实。三是向管理层传达在审计过程中发现的财务报告内控中非重要缺陷的所有缺陷,并在进行传达时告知审计委员会。
另外,评价者在评估内控有效性的过程中,要制定明确的行动计划,尽量理解企业每项活动及内控系统的每项要素,充分发挥文件及文档的参阅作用,并定期进行评价,从而有效地保证评估效果。
根据《萨班斯法案》404条款,所有在美上市公司的管理当局,都必须在其年度报告中包括一个公司财务报告内部控制有效性的评估报告,同时还要求公司独立的外部审计师对此评估报告进行审计,并发表鉴证意见。该法案要求上市公司要保证在对交易进行财务记录的每一个环节,都有相应的内部控制制度,以便能够实时而系统地向管理当局提供业绩信息,指出内部控制的缺陷所在,甚至自行检举违法违规行为,以满足企业员工、股东和政府的期望与要求。因此,公司管理层和外部审计师的评价,成为所有在美上市公司满足萨班斯法案必须的步骤和条件。
一、萨班斯法案下管理层和审计师的职责
SOX法案404条管理层对内部控制的评价明确了管理层及审计师的职责,其中管理层在执行SOX法案中的职责主要是:1.采用适当标准对财务报告相关内控进行设计和评价。2.对评价过程及结果提供充分的证据。3.期末对财务报告相关内部控制出具评价报告。
审计师在执行SOX法案中的职责主要是:1.评估管理层的评估范围制定是否足够。2.采用测试方法对内控运行的有效性进行评估。3.评估内控缺陷的重要性(一般缺陷、重要缺陷、实质性漏洞)。4.报告审计意见。
二、企业内部控制评价的方法
对内部控制评价涉及两个方面:一是内部控制设计的有效性,即:内部控制的设计是否能够满足管理需要;二是内部控制执行的有效性,即:设计的内部控制是否得到一贯执行,以达到控制目的。常用的评价方法主要包括:
1.询问。通过访谈形式,了解控制活动的流程。询问本身并不能提供充分证据来证明一个内控是否在有效运行,只能帮助评价者了解公司的业务活动及控制要素。
2.观察。与询问相比,观察提供了更高程度的保证,通常用于评估自动化的内控。例如,通过对计算机应用情况的查看,了解管理层是否对公司计算机应用的内控进行详细的实施前和实施后审核,是否存在程序变动的内控较差情况,管理层有责任来确保自动内控如设计那样运行。对于量身定做的内部的应用软件,可能需要更多程序来验证这个内控设计是有效的。
3.检查。有效的测试通常需要在不同的业务情况下检查某个特定的经营场所或业务单位的内控(称为“选样”)。虽然管理层可能在选样中没有发现任何问题,从而得出内控在有效运行的结论,但是风险在选样中是固有的,内控不一定在任何时候都在有效地运行。对检查流程中涉及的重要步骤、控制中涉及的表单、记录、文件、部门组织架构、规章制度、实地查看系统操作情况等资料,需索取相关证据予以保留。
4.重新执行。即根据测试需要抽取一定数量的样本,从头到尾执行一遍流程,以验证控制点是否实际存在。重新执行某个内控能够提供最高程度的保证。将两种或多种测试结合起来使用,比只使用一种测试能提供更高程度的保证。会计科目,披露事项和业务流程越重要,包含的风险也就越大,而采用多种测试方法来获得证据就显得更加重要。
三、企业内部控制评价的步骤
内部控制的评价,主要包括内部控制设计的有效性和运行的有效性两个方面。可以采取下列步骤展开测试:
(一)评估管理层的范围制定是否足够
范围界定是404条款项目的重要环节之一,也是评估内控设计有效性的基础。公司管理层有责任对范围进行界定,而外部审计师则需要对有关界定进行评估以确保其足够性。范围确认主要包括:1.确认重要会计科目和披露事项。2.确定业务流程/子流程,并与重要会计科目和披露事项确认应对关系。3.会计报表认定:每项重要会计科目和披露事项的会计报表认定,都应该被全面地认定及测试,以确保内控措施能把相关的错报防止及发现。4.业务流程/子流程的风险评估。 此步骤的目的是评估各领域的测试工作的性质、时间和范围。一些风险的考虑因素为:对财务报告的影响程度;流程的复杂性;交易量;流程的集中化;流程固有的风险。5.经营场所的覆盖率。可以从定量和定性两方面进行,如5%税前利润/总收入;对财务的重要性、业务流程的集中程度、交易的性质和数量、发生错报的记录等。6.其它特别范围,如企业层面控制;反舞弊需考虑建立的机制;内外部双位并举的监督机制;微观与宏观双层并重的管理机制;奖励与惩罚双向并进的考评机制;治表与治本双轨并行的教育机制等。
(二)评估内控设计的有效性
对设计有效性的评估说明了一个内控系统的设计是否恰当,是否可以及时地防止或发现重要会计科目和披露事项中的重大错报。这个评估应该包含公司层面上普遍的内控和范围内流程的与所有相关认定有关的特定交易层面上的内控活动。这个过程需要结合内控记录的完整性进行。确认内控设计的有效性主要包括:1.确认控制目标及确认是否有足够及有效的内控活动以满足各控制目标及财务报表认定;2.各内控活动的设计是否能有效地防止或发现财务报告的错报;3.目标、风险、控制活动是否彼此协同;4.标准化的控制活动进行的标准化和属地灵活性的平衡。在评估某个特定内控提供的保证程度时,管理层应该考虑内控的性质,实施内控的方式,内控实施的一致性和由谁来实施内控。
(三)以测试方法评估内控运行的有效性
主要步骤如下:1.确定将要接受测试的内部控制活动:管理层必须证明,对于所有的重要会计科目、流程和经营场所,包含内控五个要素的控制都在有效地运行。2.确定由谁来执行测试;管理层可以采取以下程序对运行有效性进行评估。如:内部审计执行内控测试;在管理层指导下由其他人对内控进行测试;聘用服务机构进行测试;通过自我评估来进行测试;或是上述几种方式的组合。其中的一些可能会作为管理层持续的监督流程的一部分。在所有情况下,管理层都必须负责确定:执行这个工作的人员是否具备必要的能力和客观性;程序是否提供了足够的证据来支持管理层的评估。3.建立和执行测试计划:为了方便不同利益部门的审核和审批,正式的测试计划应该记录测试和测试结果的关键要素。测试计划应该包含所有选择出来供测试的内控,并明确指出以下的关键要素:待测试的关键控制;采用的测试方法;测试的范围;时间安排;测试程序、支持的财务报表认定及测试情况的描述。
(四)评估内控缺陷的重要性
内控缺陷包括一般内部控制缺陷、重要缺陷和实质性漏洞。一是一般的内部控制缺陷:如果内控设计或运行无法使管理层或员工在执行指定任务的正常过程中,及时防止或发现错报,那么就存在一般内部控制缺陷。二是重要缺陷:是一种严重影响公司根据公认会计准则要求对外部财务数据进行可靠的初始化处理、授权、记录、处理和报告的能力的一个内部控制缺陷或多个控制缺陷的汇总,重要缺陷能够在可能性大于“微小”的情况下,导致不能防止或发现错报金额大于“不重要”的年度或中期财务报告的错报。三是实质性漏洞:导致年度或中期财务报告中的重大错报未被防止或发现的可能性大于“微小”的一个重要缺陷或多个重要缺陷的组合。
(五)报告审计意见
外部审计师在出具404审计意见之前,除了需向管理层取得包括确认管理层建立及保持有效的对于财务报告内部控制的责任及陈述管理层已经按照相关控制标准对公司内部控制的有效性进行了评估等内容在内的管理层声明外,还需向管理层及审计委员会以书面形式沟通以下事情:一是所有重要缺陷和实质性漏洞,并且需要明确区分重要缺陷和实质性漏洞。二是如果审计委员会对公司的外部财务报告过程及对于财务报告的内部控制的监督存在着重要缺陷或实质性漏洞,向公司的董事会传达该项事实。三是向管理层传达在审计过程中发现的财务报告内控中非重要缺陷的所有缺陷,并在进行传达时告知审计委员会。
另外,评价者在评估内控有效性的过程中,要制定明确的行动计划,尽量理解企业每项活动及内控系统的每项要素,充分发挥文件及文档的参阅作用,并定期进行评价,从而有效地保证评估效果。