满足SOX404不是内部控制最根本目标.docVIP

满足SOX404不是内部控制最根本的目标 　　上市公司满足了证券监管机构的要求，只不过是建立内部控制机制的一部分，而不是全部。实现透明可靠的财务报告，只是内部控-制的第一级目标；更为重要的内部控制目标，在于实现有效率与有效益的经营、循规守法和保护企业财产安全 　　时下讨论公司内部控制，几乎言必谈《SOX法案》302条款和404条款。其实，这是远远不够的。上市公司满足了证券监管机构的要求，只不过是建立内部控制机制的一部分，而不是全部。换句话说，实现透明可靠的财务报告，只是内部控制的第一级目标。而更为重要的内部控制目标，在于实现有效率与有效益的经营、循规守法和保护企业财产安全。同时，应该强调的是，上市公司就数量而言只不过是全部企业中的很小一部分，众多的非上市及中小企业同样需要内部控制。 　　 　　UT斯达康的挫折 　　 　　《SOX法案》全称《公众公司会计改革和投资者保护法案》（也简称“萨班斯法案”），系美国总统布什2002年7月30日签署，自公布之日起30天内对美国公司生效，对美国以外的公司则从20 05年7月15日（后推延到2006年7月15日）之后结束的会计年度开始执行。由于我国实行自然会计年度，上市公司年度报告在每年4月底之前公布，而对内部控制有效性的评估报告是与年度审计报告同时发布，所以，中国公司是在2007年春季发布2006年年度报告，多出了半年左右的‘缓刑’时间。事实上，已经有多家中国公司提前步入了《SOX法案》轨道，其中包括搜狐网、新浪网、亚信控股、UT斯达康等公司。翻开亚信控股公司2005年年报，第49页是德勤会计师事务所于2006年3月15日签署的独立注册公众会计师事务所报告，其中，针对亚信公司与财务报告有关的内部控制有效性，出具的是一份典型的、具有肯定含义的标准意见。 　　翻开UT斯达康公司2006年6月26日发布的2005年年报，在普华永道会计师行长长的审计师报告中，开头是一段声明，大意是：“我们对UT斯达康公司2004、2005年的合并财务报表、以及2005年的内部控制实施了审计，我们的审计是遵循美国公众公司会计监管委员会制定的标准）”；审计师报告末尾则是一段带负面含义的综合评价，大意是：“我们认为，UT斯达康公司管理者对2005年底公司财务报告未能达到有效内部控制的评价，在所有重要方面是公允表达的。我们还认为，由于存在对实现控制标准的重要缺陷，UT斯达康公司没有能够达到基于COSO内部控制整合框架的有效内部控制”。 　　解读普华永道会计师行的审计声明和审计意见，我们至少结识了这样几个关键概念：有关财务报告的内部控制、公众公司会计监管委员会（PCAOB）、管理者自己对内部控制的评价、COSO内部控制整合框架、内部控制重要缺陷、等等。 　　怎样理解这些概念？从对UT斯达康的审计意见中能够得到何种启示呢？ 　　 　　从404条款、COSO框架到PCAOB 　　 　　《SOX法案》的目标是加强公司治理、重建投资者的信心和化解诚信危机。其中，针对内部控制的内容主要是404条款。该条款引用COSO内部控制框架，作为对公司内部控制有效性进行审核的专业标准。404条款提出的内部控制评审要求，目的在于通过加强内部控制来改进公司治理状况，最终加强公司的责任。 　　 　　COSO内部控制框架的内容涵盖企业运营的各个领域，要求管理层必须记录、检查内部控制系统的有效性、提供足够的证据并对内部控制的有效性公开发表声明。其中，对内部控制的定义是：由董事会、管理当局和其他员工实施的，为保证财务报告的可靠性、经营的有效性、以及遵循现行法规等目标，达成所设定企业目标而提供合理保证的政策和实施程序。在这个定义中，既界定了内部控制的实施主体，也明确了内部控制的三个主要目标：透明可靠的财务报告、有效率和效益的经营、循规守法和保护企业财产安全。　COSO 报告将内部控制的整体架构表达为五要素，分别是控制环境、风险评估、控制活动、信息与沟通和监督。五要素之间的关系如图1所示。 　　说到COSO内部控制框架，就不能不提及1985年成立的反对舞弊虚假财务报告委员会，该委员会的重点任务是研究舞弊性财务报告产生的原因及对策。根据该委员会1987年工作报告的建议，又组成一个专门研究内部控制问题的委员会，这就是COSO。1992年，COSO提交的《内部控制――整体框架》，就是著名的COSO报告。经过两年的修改，1994年，COSO委员会提出了报告修改版，扩大了内部控制涵盖的范围，增加了与保障资产安全有关的控制，得到美国审计总署（GAO）的正式认可。与此同时，美国注册会计师协会AICPA全面接受COSO内部控制框架。 　　COSO内部控制框架提出了强化内部控制的体系结构，具有重要的历史意义和现实意义。不过，尽管其重要性早已得到