从404条款、COSO框架到PCAOB

管理会计

      《SOX法案》的目标是加强公司治理、重建投资者的信心和化解诚信危机。其中，针对内部控制的内容主要是404条款。该条款引用COSO内部控制框架，作为对公司内部控制有效性进行审核的专业标准。404条款提出的内部控制评审要求，目的在于通过加强内部控制来改进公司治理状况，最终加强公司的责任。

　　COSO内部控制框架的内容涵盖企业运营的各个领域，要求管理层必须记录、检查内部控制系统的有效性、提供足够的证据并对内部控制的有效性公开发表声明。其中，对内部控制的定义是：由董事会、管理当局和其他员工实施的、为保证财务报告的可靠性、经营的有效性、以及遵循现行法规的等目标，达成所设定企业目标而提供合理保证的政策和实施程序。在这个定义中，既界定了内部控制的实施主体，也明确了内部控制的三个主要目标：透明可靠的财务报告；有效率和效益的经营；循规守法和保护企业财产安全。

　　COSO 报告将内部控制的整体架构表达为五要素，分别是控制环境、风险评估、控制活动、信息与沟通与监督。

　　说到COSO内部控制框架，就不能不提及1985年成立的反对舞弊虚假财务报告委员会，该委员会的重点任务是研究舞弊性财务报告产生的原因及对策。根据该委员会1987年工作报告的建议，又组成一个专门研究内部控制问题的委员会，这就是COSO。1992年，COSO提交的《内部控制——整体框架》，就是著名的COSO报告。经过两年的修改，1994年，COSO委员会提出了报告修改版，扩大了内部控制涵盖的范围，增加了与保障资产安全有关的控制，得到美国审计总署(GAO)的正式认可。与此同时，美国注册会计师协会AICPA全面接受COSO内部控制框架。

　　COSO内部控制框架提出了强化内部控制的体系结构，具有重要的历史意义和现实意义。不过，尽管其重要性早已得到专业界的普遍认可，但在实际应用方面一直比较滞后，直到《SOX法案》404条款明确将其作为建立内部控制的依据，局面才有所改观。自此，COSO内部控制框架在建立、审核和评价公司内部控制机制方面具有了法理依据地位。

　　2004年3月，依照《SOX法案》成立的公众公司会计监管委员会(PCAOB)发布第2号审计准则《与财务报告审计协同进行的对内部控制的审计》，并于2004年6月得到美国证监会(SEC)的批准，成为内部控制审计的法理依据。该准则要求审计师明确发表两项意见，一是针对管理层自己的流程评估，评价其结论是否在合理的基础上得出，是否令人心服；二是独立测试内部控制的有效性，以确认管理层的评估是否正确，并得到公允表达。

　　对公司的内部控制进行评估，就是要确认公司管理层是否有效地进行了以下工作：确认评估对象、范畴；评估控制的失效风险；评估主要发现是否与评估结果相一致；评估缺陷的严重性；就主要发现与有关方面进行沟通，等等。评估报告中所说的重要缺陷(material weakness)，是一个或多个控制弱点(control deficiency)的组合，重要缺陷会对公司财务数据流程(授权、处理、报告)造成负面影响，导致不能防范或发现财务信息的错报。审计人员将测试发现的问题进行汇总并评估，确认这些问题是否构成重要缺陷，从而形成审计意见。当财务报告的内部控制存在一个或一个以上重要缺陷，审计师必须发表否定意见。

　　于是，我们在UT斯达康公司和亚信公司的2005年度报告中，读到了针对公司内部控制的审计意见。其中，普华永道在为UT斯达康公司2005年度报告出具的审计师报告中，指出了UT斯达康公司在控制环境、所属单位监控、关联方交易、财务人员胜任能力等多个方面存在的十多项重要缺陷。