贵州职业技术学院 辜明华

根据萨班斯法案的相关规定，上市公司除了要报告内部控制系统的有效性之外，还需要对内部控制系统的有效运行负责。企业在内部管理中要对该条例承担相应的责任是其中最具有挑战性的方面之一。中国企业的内部控制近年来发展尤为迅速，但是与发达国家的差距仍然较大。本文通过挖掘内部控制理论与404条款的内在联系，把内部控制理论发展的趋势及框架与404条款的执行实务相结合，证明404条款相关规定反映了内部控制理论的发展趋势，并分析了404条款对于公司制企业改善经营（效果和效率）的作用，以及中国的公司制企业如何借鉴404条款来改善内部控制流程。

一、萨班斯法案404条款与内部控制的联系

（一）管理层对内部控制的评价 萨班斯法案404条款以“管理层对内部控制的评价”为标题，反映出条款把内部控制评价作为加强内部控制首要内容的思想。在具体条款中，每一条都涉及了内部控制评价的不同方面。如果从内部控制评价的角度重新阅读404条款，就会总结出如下信息点：管理层确保内部控制程序充分有效；管理层对于保证内部控制的有效性负有责任；管理层要评估管理程序的有效性；管理层要出具内部控制评价报告；担任公司年报审计的会计公司应当对内部控制评价报告进行测试和评价，并出具评价报告。于是404条款对于内部控制评价的规定形成了如下的逻辑流程。从内部控制评价的逻辑流程图可以发现，执行内部控制评价的主体有两个方面：公司管理层和第三方独立审计公司。

图1 内部评价逻辑流程图

（二）自评和独立审计的评估思路 有效的内部控制系统的评审工作，是不断完善内部控制系统的重要组成部分，也给CEO和CFO对外签署的声明提供了强有力的保障。在内部控制系统的评审工作组织上，法案要求实现自评和独立审计相结合。尽管自评和独立审计各自的侧重点及其责任主体不同，但在具体业务操作上，自评和独立审计的工作思路和方法是基本相同的，都是遵循COSO架构的内部控制程序评估的流程、思路和测试方法。

评审人员首先选择内部控制程序进行评审，然后要评价设计的健全性，如果健全，则对其运行的有效性进行测试，最后综合运行测试和设计测试，对内部控制系统的有效性和健全性进行评价。如果设计测试的结果不健全，则直接对内部控制系统进行评价，而不再进行有效性测试。

图2 内控程序评估流程图

内部控制系统评估包含两点：首先确保测试健全，即设计的测试可以全面覆盖现有的内部控制流程，不健全的测试无法测出内部控制流程是否有效，这也需要在评估中进行反映；其次，运行健全的测试程序，根据测试结果判断内部控制流程是否有效，在评估中记录结论。对内部控制进行评价，针对的目标是确定内部控制程序是否有效。这里面反映出，404条款所承认的逻辑前提是，有效的内部控制程序可以合理保证经营的有效性和效率，并增加财务报告的可信度。这同时也从侧面证实了404条款与COSO整体架构的内在一致性。由于强调对于内部控制程序有效性的评价，尽管主观上公司把遵守404条款视为一个带有行政管理和合规性性质的工作来做，但客观上是一个不错的机会，可以对公司业务流程有效性进行改进，因为对于内部控制程序有效性的评估可以提高内部控制流程的效果和效率。因此可以得出，404条款对于内部控制发展的最大贡献是通过评估内部控制程序的有效性，来提高内部控制流程的效果和效率，并改进公司的业务流程，最终实现经营的效率和有效性。

二、萨班斯法案404条款对我国企业的借鉴

（一）404条款对我国公司制企业的启示

（1）我国内部控制理论的发展现状及不足。随着中国经济体制改革的深入和现代企业制度的逐步建立，内部管理和内部控制得到了越来越多企业的重视，国家有关部门和审计组织也开始加强内部控制理论的研究。尽管如此，中国的内部控制理论与西方发达国家还有很大差距。综合起来，中国内部控制理论的缺陷主要体现在以下几个方面：缺乏统一的内部控制理论指导；还没有形成内部控制的整体理论框架；理论和实践没有紧密结合，现存内部控制制度只注重制度的文字编写环节，忽略了实施流程。

（2）我国公司制企业的内部控制现状及缺陷。包括：企业管理者重开发、重生产，轻内部管理，未在整个企业经营管理的高度来考虑财务内部控制；内部控制还没有覆盖各个部门和环节的系统，还有薄弱点和空白点；企业虽然制定了不少内部控制规章制度，但大部分仅是纸上谈兵，流于形式，或者管理力度层层递减，得不到认真切实的执行；片面强调财务内部稽核和内部审计的作用，而忽视了企业其它部门在内部控制各个环节应发挥的作用。

（二）确立科学的内部控制程序评估思路

（1）风险评估。COSO框架主要包括企业风险管理的目标、要素和执行层次。根据COSO框架，在企业的内部控制体系中风险评估要素包括：目标设定、风险识别、风险评价和风险对策。按照404条款的合规性要求，公司管理层在评价企业内部控制体系的同时，需要对与财务报告相关的风险点进行评价，判断是否已在符合上述要求的内部控制体系控制之下。这里包含了一个按照风险大少决定内部控制实施成本的思想：风险愈大，内部控制实施成本愈大,因为内部控制的作用之一是防护功能，即规避风险的功能。

（2）评估内部控制效果。一是内部控制设计的有效性。评估设计的有效性说明一个内部控制系统的设计是否恰当，是否可以及时地防止或发现重要会计科目和披露事项中的重大错报。这个评估应该包含：公司层面上普遍的内部控制，管理层应该评估内部控制的其中四个要素，即控制环境，风险评估，信息和沟通以及监督；与范围内流程的所有相关认定有关的特定交易层面上的内部控制活动。在评估设计有效性时，管理层应该考虑：内部控制和业务的风险之间的整合（即业务流程和相关的内部控制在取得管理层的预期目标和管理风险方面是否有效），内部控制是否可以满足信息处理目标和保证相关的财务报表认定内部控制的频率：内部控制是否可以及时检查和防范确认的风险，即在某些情况下，一个检测性的内部控制可能就足够了，但是在另一些情况下，公司应该确保它有充分的预防性内部控制；执行内部控制人员的知识经验和实施内部控制的流程相关的职责分工；及时传达控制活动中的例外事件；在内部控制执行中使用信息的可靠性；内部控制包含的期间。二是需要进行运行有效性测试的内部控制。管理层必须确定和记录需要运行有效性测试的内部控制。确定准备测试的内部控制自然会和设计有效性的评估联系起来。这需要大量的判断，没有量化的公式或说明性的核对表可供管理层参考。对于所有重要的经营场所和具有重大特殊风险的经营场所，管理层必须对与其相关的所有重要的会计科目和披露事项的所有财务报表认定对应的内部控制进行测试。虽然一种内部控制可能会针对某个特定的认定，但是通常将预防性和检查性内部控制结合起来才是最有效的。

（三）借鉴内部控制程序评估的一般方法

（1）界定——评估的起点。界定包括确定必需的记录以及针对各披露事项、重要会计科目和公司各经营场所业务流程的内部控制情况所进行的控制测试的时间、性质和范围。界定的目的是识别重要业务流程/循环和应记录和测试的经营场所。

其一，确定业务流程/循环。业务流程/循环是内部控制评估的基础，管理层通过了解和记录业务流程/循环，能够确定内部控制方面的潜在不足（指没有与实现信息处理目标相应的内部控制），以及明确可实现信息处理目标/CAVR（准确性、完整性、有效性和接触限制)的内部控制工作。

上市公司实施404条款项目的目的之一是明确对公司外部财务报告中披露事项和重要会计科目进行相关财务报表认定的控制程序。管理层应通过从合并财务报表和附注开始，执行上述每一步骤，并最终明确对应于财务报表认定相关的控制活动和程序来达到这一目标。

对于那些不以提供公开财务报表为目的的非上市公司而言，确定业务流程/循环同样是必要的，其方法不一定要遵循上述流程，而是根据最初确定的内部控制目的找到合适的方法。但是由于财务报表本身的功能，即使是非上市公司，依据财务报表，也同样能发现哪些业务对企业是至关重要的。因此下面继续以财务报表作为确定依据为例进行论证，最终目的是确定企业重要的业务流程/循环，以便作为内部控制的对象。

其二，对业务子流程/子循环进行风险评估。在界定之后的下一个步骤就是明确在子流程/子循环中可能造成财务报表重大错报的风险（对于非上市公司，则可能是其他财务成果未能如实反映经营现状而造成的风险）。用风险评估结果来评估对各领域的测试工作的时间、性质和范围。比如，有些公司拥有较大的固定资产余额，但从性质上讲，不需要对余额进行过多的判断，因此其风险较低。风险评估需要大量的主观判断，应由那些具备丰富的相关风险知识和流程的管理层人员完成。

其三，经营场所的确定覆盖率。在各个业务的工作场所要合理地规划，管理层应确定对哪些经营场所进行内部控制评估。管理者应考虑下列几大要素，来确定应进行评估的经营场所或业务单位：主要经营地点的的财务和经营情况；主要经营地点的风险意外的发生；主要经营地点的确定；操作流程的内部控制程序的集中处理；共享服务环境中所占的比重。界定结束后，就可以在应执行内部控制的经营场所，确定和测试内部控制。

（2）记录——有效内部控制的证据。404条例规定要加强领导层对于企业财务的相关报告文献进行有效的控制和管理，以更好地支持、评估企业的内部管理成果。从另一方面来看，健全和完善内部管理监控的记录是提高内部管理监控的必然要求。因此完整记录的思想值得所有公司制企业采纳。

（3）测试——对于内部管理监控的实施效果确定。为了确定企业的内部管理监控的有效性如何，需要在每个重要经营地点运营中的风险和内部监控做出检测，检测的内容要包含检测对象的一切相关认定的内部控制的五个要素。检测过程包括4个关键的过程：

其一，确认将要接受测试的内部控制。测试的目的是检测一切相关的关键会计的科目、业务操作的流程、主要的经营地点，其中也包括内部监管的五个要素，这些都成为内部监管的重要成分。内部监管对于各项检测的实施计划的灵活性有很大的帮助，能更好地提升检测的有效性，让检测更加方便。测评和监管管理环境、有效资讯的传递、风险要素的测评和管理元素的内部控制管理的效果的评定还要借助更多的评价手段。这是因为控制活动比内部控制要素更容易区分重要程度的不同。管理层要对控制目标进行重要性的评估，以便确定哪些内部控制活动需要接受测试。

其二，确定由谁来执行测试。管理层确定由谁来执行测试的依据是：实施这个工作的从业者要拥有一定的能力和评判问题的客观性的眼光，实施的过程证据资料是否可以充分地验证管理层的测评。

其三，创立和实施检测的方案。检测的方案是记录检测和检测的最终结果的主要元素，检测的方案要能够提供出可以检测控制有效的结果，对于实施方案的关键元素要有确定性的标准。等待检测中的主要管理：检测按实施的方式分类成咨询、审核、二次实施、重查，明确检测的内容和检测的预期效果；检测实施流程的相关设定，检测的方案要切实落实程序和相关的支持性资料的获取，管理的项目应该包括由确定实施检测的主体对象、检测的时间、审核的地点等。在特殊的情况下检测一般包括的主要活动：咨询、观察、复合和二次实施。把2个或大于2个的检测相融合使用，这样所带来的效果比简单地使用一种检测手段的效果更加显著。相对来说会计操作流程以及风险在检测中更重要，这就要求企业要积极地采用检测的手段来获取相关的资料信息佐证

其四，评估检测的最终预期结果。一般而言，内部控制或者监督管理是否是可靠的落实，需要进行评估。而且，也需要较高程度地保证内部控制在有效地进行。企业为了达到评估检测的预期结果，不得不选择较小的例外率。在检测中要是出现例外事项，管理层要及时对所出现的例外事项进行有效的评价分析和细致调查，对此管理者也可以确定其并没有有效地实施内部管理。

（4）内部管理短板的评价。对内部管理短板的评价和相关的报告文献是一个慢慢发展的领域，这一领域的发展要求管理层能做出较高的评价、判定。

其一，内部管理短板的地位。内部管理短板可以具体细分为常规内部管理短板、关键短板和致命性的短板。常规内部管理短板指在管理层内部管理控制的实施过程和设计中处理不善，不能有效地防范发现问题，那么就会出现常规内部管理短板。关键短板指对于企业公认的企业相关的金融会计的细则要求和对外数据的处理、记录会造成很大的影响，一个企业中可能存在多个关键短板，这是由于企业报告的处理能力缺陷所导致的。致命性的短板指对于企业的年度报告和中期财务报告出现重要的毛病却不能及时发现，这是个致命的缺陷。

其二，内部管理短板识别、评价的阶段。内部管理短板识别、评价阶段的最终目标是为了确定内部管理短板的风险费用和弥补方案。通过内部管理短板进行识别评价，企业从事实上达到了改善内部控制流程和业务流程的目的。要是企业的管理层以为内部管理短板造成的财务报表认定或风险方案已经有了，则管理层要对其进行检查。这个补偿性内部管理是有效的，还应对内部控制缺陷进行分类，以确定缺陷产生原因，如管理职能失效，发现涉及高级管理层的任何程度的舞弊行为，控制环境失效，等等。但是由于在内部控制目的上的区别，中国非上市公司制企业并非必须对内部控制缺陷进行分类，通过这一步骤可以达到很好的反馈目的，帮助企业预防风险。

综上所述，界定、记录、测试、评估和报告是上市公司执行评价内部控制作用的步骤项目的流程，包括财务资料报告和中国公司制企业等，这些都可以借鉴来作为改善内部控制流程的指导框架。具体实施哪些步骤，要针对各个公司的内部控制现状和需要解决的现存问题，制定改善目标，然后选择有针对性的程序来实施。

［1］陈丽蓉：《萨班斯法案对财务呈报行为的综合影响》，《财会通讯》2009年第12期。

［2］从晓华：《萨班斯法案及其影响》，《中国农业会计》2010年第13期。

［3］丁平：《加强企业采购供应的内部控制》，《有色金属工业》2009年第12期。