美国财务报告对内部控制评价的要求

管理会计

      对管理层评估财务报告内部控制的程序提供了建议。管理层对内部控制的评估可以分四个步骤来完成，即：计划、设计有效性评价、执行有效性评价、评估和报告。首先是计划阶段，主要内容包括：对高级管理人员进行教育，内容涵盖404条款及管理当局对财务报告内部控制有效性进行评价的特殊要求；建立任务小组并明确责任，设定管理层对财务报告内部控制有效性评价的时间表，并选取COSO或其他适当的标准进行评价；确定需要重点关注的内部控制，并对内部控制体系中涉及多个分部或单位的情况进行处理，确定哪些分部或单位应该包括在评估内容中，同时对确定的内部控制环节及相关的分部或单位形成内部控制文件。其次是对财务报告内部控制的设计有效性进行评价，内容包括：根据确定的标准，对形成文件的重要控制进行设计有效性评价，内容涵盖内部控制的每个层面（控制环境、风险评价、控制活动、信息与沟通、监控）以及每一个重要控制；检查现存的内部控制文件，发现存在的缺陷并进行必要的改进工作。第三阶段是对财务报告内部控制的执行有效性进行评价，具体的行动步骤有：管理层将所设计的内部控制责任分配到具体的岗位，并组织内部审计人员或第三方人员实施监控程序和评价活动，对每个分部、单位或环节进行内部控制执行有效性评价；将经理层和内部审计得出的关于内部控制有效性的结论以及他们在评价过程中发现的内部控制的重大控制缺陷或重要控制弱点告知CEO和CFO；CEO和CFO对发现的内部控制缺陷的重要性进行评价，并就采取的对策达成一致意见；将执行的关于控制的执行有效性评价程序和评价的结果形成文件；将得出的结论向审计委员会和外部审计人员报告，并就所发现的重大控制缺陷和重要控制弱点采取的对策取得他们的赞同。最后阶段是评估和报告阶段，内容有：将财务报告内部控制有效性的评价与审计人员的审核程序协调起来，对发现的内部控制缺陷实施必要的内部控制变更；发表管理层关于财务报告内部控制的申明，并将其作为公司年报的一部分予以公布；复查发现的重大控制缺陷和重要控制弱点以及采取的对策，并向法律顾问、审计委员会和董事会报告。

      强调“人”的重要性。报告认为，财务报告内部控制有效性评价应包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理层、内部审计和外部审计等各个方面，明确了评估的每个行动步骤由哪些高级管理人员负主要责任，以确保按时完成内部控制评价工作。

      界定了管理当局的责任。报告认为，管理层必须承担公司内部控制有效性的责任，并运用恰当的控制标准（如C0SO标准）来评价公司内部控制的有效性，对形成的评估结果有足够的证据支持，同时签署一份关于公司内部控制有效性的书面申明。为取得足够的证据支持管理层的评估结果，管理当局可以利用内部审计人员、管理人员、其他人员或第三方的工作，将其作为评价内部控制执行有效性的基础。相应地，管理当局可以雇佣外部审计师之外的注册会计师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。

      明确了审计师对财务报告内部控制有效性审核程序的构成要素。报告要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个重要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作为对重要账户余额、交易类别和披露的控制执行有效性的初始证据，但审计师可以根据他人的工作来改变自身评估工作的测试性质、时间和程度，但这样做要求审计师重复他人的一部分测试工作，并对每个重要账户、交易类别和披露相关的控制执行独立性测试。

      界定了内部控制有效性评价与财务报告审计的关系。两者即有不同，又有联系。首先，两者的目标不同。财务报表审计的目的是对财务报表是否在所有重大方面符合公认会计原则的规定发表意见，因而关注的是财务报告程序的结果。财务报表审计中也需要对公司的内部控制情况进行了解，并对控制风险进行评价，但这些工作主要是为了决定其它财务报表审计程序的属性、时间和程度，而并不需要单独对财务报告内部控制的有效性提供报告。而内部控制审计的目标却是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表意见，此时，独立审计师需要了解公司建立的财务报告内部控制，并对其设计有效性和执行有效性进行测试，要完成这项工作，审计师必须对财务报告程序（从交易的开始直到财务报告的编报完成）中的每一个重要控制的有效性进行评价。其次，两者也有联系，即都需要对财务报告内部控制的设计和执行有效性进行评价，审计师可以利用所取得的内部控制评价的证据来改变其它财务报告审计程序的属性、时间和程度。由于内部控制的内在局限性，审计师仍然需要执行实质性程序进行测试。此外，独立审计师可以根据内部控制有效性审计中发现的缺陷，来决定财务报表审计实质性测试过程的属性、时间和程度。