邵志高　张　琴

【摘要】文章通过对美国财务报告内部控制信息披露规则演变的研究发现，美国财务报告内部控制信息披露的实施并不是一帆风顺，一些重要规则也是几经改变。美国的经验表明，尽管财务报告内部控制信息披露是大势所趋，但是在我国强制财务报告内部控制信息披露决不可操之过急。

【关键词】美国财务报告内部控制；信息披露；启示

安然等公司的会计丑闻促使美国国会痛下决心，最终通过了旨在打击上市公司会计舞弊，保障财务报告质量的《萨班斯法案》。《萨班斯法案》最重要的内容之一就是强制要求符合批报规则的公司对外披露内部控制信息。尽管1991年美国联邦存款保险改进法（FCICIA）曾经要求资产超过5亿美元的金融公司披露内部控制信息，但是像《萨班斯法案》这样要求如此大范围的公司公开披露内部控制信息在美国历史尚属首次。

《萨班斯法案》的影响迅速遍及整个世界。依据欧洲公司治理研究所（european corporate governance institute）的

调查，截至2004年末，已有26个欧洲国家颁布治理法或提议依照《萨班斯法案》强制公司披露内部控制信息。日本国会也于2007年颁布金融工具交易法（financial instruments and exchange law），规定所有上市公司在2008年4月1日之后的年报中提供内部控制评估报告。

上市公司披露内部控制信息已经是大势所趋。《萨班斯法案》以及美国财务报告内部控制（Internal Control over

Financial Reporting，后文简称ICFR）信息披露相关规则对我国内部控制信息披露政策的制定具有重要借鉴意义。国内已有学者开始这方面的研究。但这些文献主要集中于2002年《萨班斯法案》和2003年美国证券监督委员会（后文简称SEC）最终规则的研究，而在此之后美国内部控制新条款又不断推出，以前的部分规则也发生了较大改变。本文从ICFR新概念的推出入手，重点讨论时至今日美国上市公司ICFR的规则演变，希望对我国上市公司内部控制信息披露政策的制定提供有益的借鉴。

一、ICFR新概念的提出

自20世纪初以来，内部控制的含义不断演化。20世纪初到1936年，内部控制的目的主要是为了保障资产，尤其是现金，不被员工挪用和偷盗。1936年，AICPA在《注册会计师财务报表检验》（Examination of Financial statement by public accountants）公告中将内部控制定义为：“组织所采

用的用以保障现金和其它资产安全以及检查员工账簿记录准确性的方法和手段”。这一定义体现了内部控制的内部检查（internal check）功能。1949年，AICPA程序委员会发布一份特别报告将内部控制的定义扩展为：“企业所采用的用以保障资产安全、检查会计数据准确性与可靠性、促进经营效率以及鼓励遵守管理政策的组织计划和所有相关方法”。至此，经营效率和管理政策的遵循开始进入内部控制的讨论话题。1958年审计程序公告SAP29将内部控制分成两个主要部分，即内部管理控制和内部会计控制。从此，内部控制的这两种要素逐渐被会计行业所关注。

1985年，一个重要的民间组织全国反舞弊财务报告委员会（俗称Treadway委员会）成立，两年后发布了一个报告建议其发起组织（Committee of Sponsoring Organization of the Treadway Commission，后文简称COSO）努力整合各种内部控制概念和定义。最终，COSO于1992年发布了著名的《内部控制——整体框架》报告。COSO整体框架将内部控制定义为：“内部控制是一个受到董事会、经理层和其他人员影响的，为合理保证经营效率与效果、财务报告的可靠性、法律法规的遵循性而设计的过程。”COSO报告影响重大。经营效率与效果、财务报告质量和法律法规遵循的内部控制三要素观逐步为行业所接受。

由此可见，内部控制的含义已经发生了重大改变。内部控制的内容已经远不局限于财务报告的范畴。然而，《萨班斯法案》要求公司对外披露的是旨在保障财务报告质量的

内部控制信息，法案多次提到“财务报告内部控制结构和程序（internal control structure and procedures for financial

reporting）”的表述（如第404款（a）条），强调的是内部控制的财务报告要素。

但是，内部控制结构（internal control structure）又与当时广为接受的内部控制含义，即包括经营效率性和有效性、财务报告的可靠性以及遵守相关法律和规则等要素非常相近。为了突出《萨班斯法案》的财务报告要素精神，SEC在2003年最终准则中正式启用“财务报告内部控制”的表述。

最终规则中将ICFR定义为：“由公司的首席执行官、首席财务官或者公司行使类似职权的人员设计或监管的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满足外部使用的财务报表编制符合公认会计原则提供合理保证的控制程序”，具体控制政策和程序包括：（1）保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情况；（2）为下列事项提供合理的保证：公司对发生的交易进行必要的记录，从而使财务报表的编制满足公认会计原则的要求，公司所有的收支活动经过公司管理层和董事的合理授权；（3）为防止或及时发现公司

资产未经授权的取得、使用和处置提供合理保证， 这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影响。

与COSO 报告中对内部控制的定义相比，SEC的ICFR是COSO内部控制的子集。 SEC 在最终规则中对ICFR的定义仅包含了与财务报告可靠性目标相关的部分，而省略

了经营活动效率与效果的目标，遵循相关法律法规目标中

也仅保留了诸如证券交易委员会财务报告要求这类与财务报表编制直接相关的法律法规。

二、ICFR信息披露

（一）披露方式

自愿披露还是强制披露在美国一直广受争议。早在1979年和1988年，SEC就曾两次提议要求上市公司对外披露内部会计控制信息，但都遭到了强烈反对而搁置一边。COSO在1992年发布的《内部控制——整体框架》报告中提出同样建议，认为公司管理层应该定期对企业内部控制的设计和执行情况进行评价，并出具报告对外披露。尽管美国联邦存款保险改进法FDICIA在1991年开始强制要求资产超过5亿美元的金融机构披露内部控制报告，但是内部控制信息在一般上市公司始终是自愿披露。

《萨班斯法案》改变了这一现状。安然等公司的会计丑

闻最终导致了美国国会改变自愿披露方式的决心。2002年，国会最终通过了《萨班斯法案》，正式提出公司披露内部控制信息的强制要求。法案第404款明确规定，除了投资公司以外所有依据1934年证券交易法13（a）、15（b）编制年度报告的公司都应该在年度报告中出具一份内部控制报告，并责成SEC制定具体规则。2003年6月5日，SEC发布了最终规则，规定了上市公司执行《萨班斯法案》内部控制信息披露要求的具体内容。至此，内部控制信息披露由自愿披露方式正式转变为强制披露方式。

（二）披露内容

SEC2003年的最终规则将“财务报告内部控制结构和

程序”的表述修改为“财务报告内部控制”，要求管理层年度ICFR报告包括：（1）声明管理层有责任建立和保持充分的

财务报告内部控制；（2）声明已经确认用于评估财务报告内部控制有效性的标准框架；（3）对财务报告内部控制的评

估；（4）声明负责审计公司财务报表的会计师事务所对管理层所作的财务报告内部控制效率评估已经进行了验证并公布了验证报告。

但是，仅仅过去三年，SEC对披露内容作了重要修改：负责公司报表审计的外部审计师不必对管理层作出的ICFR评估报告进行验证，而只需就公司ICFR进行独立评估和报告。之所以进行修改，是因为SEC发现，由于2003年最终规则要求管理层所作的ICFR评估报告须经外部审计师的验证，因此，过去的三年中许多公司的管理层在ICFR的设计和评估时不得不参照审计准则AS2执行，而审计准则AS2是上市公司会计监督委员会（Public Company Accounting Oversight Board，后文简称PCAOB）用以指导注册会计师进行外部审计而制定的，所涉及的内部控制审计部分要求对公司整个经营效率进行评估，这显然超出ICFR的评估要求，因此大大增加了公司自我评估的成本。为了与SEC保持一致，PCAOB也在2007年发布的审计准则AS5中作了同样的修改。

（三）ICFR评价依据

是否指定亦或制定统一的评价标准以及如何制定适合所有公司的ICFR评价标准是2003年最终规则出台后SEC的重点议题。2003年SEC的最终规则认为没有必要制定统一的ICFR评价标准，也没有指定现有的某个内部控制框架作为这种统一标准，只是提出“COSO的整体框架是合适的框架之一”。

然而这种做法却引来了实务界尤其是小公司方面的较大批评，因为，他们在实际的评估过程中发现，COSO整体框架“对小公司实务操作性不强，似乎更适合大公司的评估要求”。SEC也意识到，尽管COSO整体框架确定了内部控制系统的要素和目标，但该框架并没有提出便于管理层评估ICFR有效性的具体方法。因此，是否制定指导所有公司

评价ICFR的评估指引重新提上了议事日程。为了确定制定指引的必要性，SEC 分别于2005年4月和2006年4月先后两次举行利益相关各方参与的圆桌会议，与会代表大都认为有必要制定指引。

SEC终于在2007年6月20日发布了期盼已久的评估指引——管理层财务报告内部控制报告指引。该指引的核心内容是，提出了一种管理层据以进行自上而下（top- down）、基于风险（risk-based）的财务报告内部控制评估方法。指引同时指出，该评估方法只是符合1934年证券交易法13a-15（c） 和 15d-15（c） 规则要求的评估方法之一，指引并没有否认COSO内部控制整体框架以及其它内部控制框架的评估作用。因此，公司仍然可以从SEC2007年指引和其它内部控制框架中选择适合的评估标准。

SEC的指引是针对现有框架难以适合小公司的评估需要提出来的。SEC的指引提出的是一种基于原则导向的评估指引，它允许不同规模的公司结合自身特征拟定合适的具体评估过程和程序，这样大大减少了小公司的评估成本。尽管该指引符合了规模不同公司的评估需要，但是原则导向的可操作性还有待实践的检验。

（四）ICFR报告验证

《萨班斯法案》和SEC2003年最终准则都要求：（1）管理层对公司ICFR有效性进行自我评估；（2）注册会计师对管理层所作的ICFR有效性评估报告进行验证。PCAOB在发布的审计准则AS2中也同样要求审计师对管理层所作的ICFR有效性评估报告进行验证。但是SEC在2007年发布的指引中修改了这一要求，指出审计师不必验证管理层所作的ICFR有效性评估报告，而只是单独就公司ICFR有效性发布独立观点。同样，PCAOB在2007年发布的替代前期准则AS2的新准则AS5中也作了类似修改。

（五）执行时间

自2003年最终规则指定上市公司执行ICFR披露规则以来，SEC几度延缓上市公司执行时间。SEC在2003年最终规则中要求：依据交易法12b-a在2004年6月15日之后属于“加速编报公司”（Accelerated Filer）的必须在该日期之后结束的第一个财政年度年报中提供管理层ICFR报告；依据交易法12b-a在2004年6月15日之后属于非加速编报公司，包括外国私人发行公司（Foreign Private

Issuer），必须在2005年4月15日或之后结束的财政年度年报中遵循ICFR的披露要求。然而实际执行的情况并不理想，许多公司尤其是小公司反映，在如此短的时间内很难配备胜任的人员设置和评估ICFR。而且执行ICFR披露迅速增加了公司成本，这也影响了披露要求的顺利执行。鉴于此，SEC将两类公司执行披露时间分别延迟到2004年11月15日和2006年7月15日。此后不久又给予流通市值少于700百万的accelerated公司另外45天的宽限，2005年9月，SEC 再次放宽了nonaccelerated公司及外国公司的期限，将执行披露期限延长至2007年7月15日之后的年度报告。

三、对我国的启示

我国涉及内部控制的信息披露文件主要是招股说明书和定期报告。2006年5月新修订的《公开发行证券的公司信息披露内容与格式准则第1号——招股说明书》第六十九

条规定，发行人应披露公司管理层对内部控制完整性、合理性及有效性的自我评估意见以及注册会计师对公司内部控制的鉴证意见。2005年修订的《公开发行证券的公司信息披露内容与格式准则第2号年度报告的内容与格式》第三十九条要求，监事会应该对公司是否建立完善的内部控制制度，公司董事、经理执行公司职务时有无违反法律、法规、公司章程或损害公司利益的行为发表独立意见。可见，我国只是在招股说明书中要求上市公司提供管理层内部控制评估报告和相应的审计师验证报告，而在对投资者更为重要的年度报告中并没有如此要求，只是要求监事会发表内部控制是否完善的独立意见。

然而，本文并不支持我国近阶段年度报告要求上市公司披露内部控制信息。强制内部控制信息披露决不可操之过急。首先，美国COFR信息披露的实施并不是一帆风顺。从2003年SEC规则决定放弃制定指引到2007年指引的最终推出，从2002年《萨班斯法案》和2003年SEC规则要求审计师对管理层ICFR评估报告进行验证到2007年SEC指引取消这一要求，以及SEC规定公司执行ICFR信息披露的时间的一再延迟，美国COFR信息披露的执行遇到了巨大的阻力，时至今日诸如重大控制弱点（Material Weakness）的

认定等关键问题仍在争论之中。其次，依据ICFR信息披露的一般要求，一些内控程序需要管理层的主观判断，这对管理层的业务能力和职业道德提出了较高要求，同时也需要一个完善的公司治理环境。而我国股改还未完全结束，许多公司治理结构还不完善，一些公司规模不大，是否能承受披露带来的成本？所有这些都是政策制定者需要慎重考虑的问题。●

【参考文献】

［1］ 周勤业，王啸. 美国内部控制信息披露的发展及其借鉴［J］.会计研究， 2005，（2）:24-31.

［2］ 朱荣恩，应唯和袁敏. 美国财务报告内部控制评价的发展及对我国的启示［J］.会计研究， 2003，（8）:48-53.

［3］ Neil baker. global debate over controls. The internal auditor， 2005，（1）:256-267.

［4］ Nagashima ohno and tsunematsu. internal control. International financial law review， 2007，（5）:183-196.