|
《SOX法案》的目标是加强公司治理、重建投资者的信心和化解诚信危机。其中,针对内部控制的内容主要是404条款。该条款引用COSO内部控制框架,作为对公司内部控制有效性进行审核的专业标准。404条款提出的内部控制评审要求,目的在于通过加强内部控制来改进公司治理状况,最终加强公司的责任。
COSO内部控制框架的内容涵盖企业运营的各个领域,要求管理层必须记录、检查内部控制系统的有效性、提供足够的证据并对内部控制的有效性公开发表声明。其中,对内部控制的定义是:由董事会、管理当局和其他员工实施的、为保证财务报告的可靠性、经营的有效性、以及遵循现行法规的等目标,达成所设定企业目标而提供合理保证的政策和实施程序。在这个定义中,既界定了内部控制的实施主体,也明确了内部控制的三个主要目标:透明可靠的财务报告;有效率和效益的经营;循规守法和保护企业财产安全。
COSO 报告将内部控制的整体架构表达为五要素,分别是控制环境、风险评估、控制活动、信息与沟通与监督。
说到COSO内部控制框架,就不能不提及1985年成立的反对舞弊虚假财务报告委员会,该委员会的重点任务是研究舞弊性财务报告产生的原因及对策。根据该委员会1987年工作报告的建议,又组成一个专门研究内部控制问题的委员会,这就是COSO。1992年,COSO提交的《内部控制——整体框架》,就是著名的COSO报告。经过两年的修改,1994年,COSO委员会提出了报告修改版,扩大了内部控制涵盖的范围,增加了与保障资产安全有关的控制,得到美国审计总署(GAO)的正式认可。与此同时,美国注册会计师协会AICPA全面接受COSO内部控制框架。
COSO内部控制框架提出了强化内部控制的体系结构,具有重要的历史意义和现实意义。不过,尽管其重要性早已得到专业界的普遍认可,但在实际应用方面一直比较滞后,直到《SOX法案》404条款明确将其作为建立内部控制的依据,局面才有所改观。自此,COSO内部控制框架在建立、审核和评价公司内部控制机制方面具有了法理依据地位。
2004年3月,依照《SOX法案》成立的公众公司会计监管委员会(PCAOB)发布第2号审计准则《与财务报告审计协同进行的对内部控制的审计》,并于2004年6月得到美国证监会(SEC)的批准,成为内部控制审计的法理依据。该准则要求审计师明确发表两项意见,一是针对管理层自己的流程评估,评价其结论是否在合理的基础上得出,是否令人心服;二是独立测试内部控制的有效性,以确认管理层的评估是否正确,并得到公允表达。
对公司的内部控制进行评估,就是要确认公司管理层是否有效地进行了以下工作:确认评估对象、范畴;评估控制的失效风险;评估主要发现是否与评估结果相一致;评估缺陷的严重性;就主要发现与有关方面进行沟通,等等。评估报告中所说的重要缺陷(material weakness),是一个或多个控制弱点(control deficiency)的组合,重要缺陷会对公司财务数据流程(授权、处理、报告)造成负面影响,导致不能防范或发现财务信息的错报。审计人员将测试发现的问题进行汇总并评估,确认这些问题是否构成重要缺陷,从而形成审计意见。当财务报告的内部控制存在一个或一个以上重要缺陷,审计师必须发表否定意见。
于是,我们在UT斯达康公司和亚信公司的2005年度报告中,读到了针对公司内部控制的审计意见。其中,普华永道在为UT斯达康公司2005年度报告出具的审计师报告中,指出了UT斯达康公司在控制环境、所属单位监控、关联方交易、财务人员胜任能力等多个方面存在的十多项重要缺陷。
|
|