時下討論公司內(nèi)部控制，幾乎言必談《SOX法案》302條款和404條款。其實，這是遠遠不夠的。上市公司滿足了證券監(jiān)管機構(gòu)的要求，只不過是建立內(nèi)部控制機制的一部分，而不是全部。換句話說，實現(xiàn)透明可靠的財務(wù)報告，只是內(nèi)部控制的第一級基本目標(biāo)。而更為重要的內(nèi)部控制目標(biāo)，在于保護企業(yè)財產(chǎn)安全、實現(xiàn)有效率和有效益的經(jīng)營以及循規(guī)守法。同時，應(yīng)該強調(diào)的是，上市公司就數(shù)量而言只不過是全部企業(yè)中的很小一部分，眾多的非上市及中小企業(yè)同樣需要內(nèi)部控制。

　　UT斯達康的挫折

　　《SOX法案》全稱《公眾公司會計改革和投資者保護法案》(也簡稱“薩班斯法案”)，系美國總統(tǒng)布什2002年7月30日簽署，自公布之日起30天內(nèi)對美國公司生效，對美國以外的公司則從2005年7月15日(后推延到2006年7月15日)之后結(jié)束的會計年度開始執(zhí)行。

　　由于我國實行自然會計年度，上市公司年度報告在每年4月底之前公布，而對內(nèi)部控制有效性的評估報告是與年度審計報告同時發(fā)布，所以，從某種意義上講，中國公司在2007年春季發(fā)布2006年年度報告之前，多出了半年左右的‘緩刑’時間。事實上，已經(jīng)有多家中國公司提前步入了《SOX法案》軌道，其中包括搜狐網(wǎng)、新浪網(wǎng)、亞信控股、UT斯達康等公司。

　　翻開亞信控股公司2005年年報，第49頁是德勤會計師事務(wù)所于 2006年3月15日簽署的獨立注冊公眾會計師事務(wù)所報告，其中，針對亞信公司與財務(wù)報告有關(guān)的內(nèi)部控制有效性，出具的是一份典型的、具有肯定含義的標(biāo)準(zhǔn)意見。

　　翻開UT斯達康公司2006年6月26日發(fā)布的2005年年報，在普華永道會計師行長長的審計師報告中，開頭是一段聲明，大意是：“我們對UT斯達康公司2004、2005年的合并財務(wù)報表、以及2005年的內(nèi)部控制實施了審計，我們的審計是遵循美國公眾公司會計監(jiān)管委員會制定的標(biāo)準(zhǔn))”；審計師報告末尾則是一段帶負面含義的綜合評價，大意是：“我們認為，UT斯達康公司管理者關(guān)于對2005年底公司財務(wù)報告未能達到有效內(nèi)部控制的評價，在所有重要方面是公允表達的。我們還認為，由于存在對實現(xiàn)控制標(biāo)準(zhǔn)的重要缺陷，UT斯達康公司沒有能夠達到基于COSO內(nèi)部控制整合框架的有效內(nèi)部控制”。

　　解讀普華永道會計師行的審計聲明和審計意見，我們至少結(jié)識了這樣幾個關(guān)鍵概念：有關(guān)財務(wù)報告的內(nèi)部控制、公眾公司會計監(jiān)管委員會(PCAOB)、管理者自己對內(nèi)部控制的評價、COSO內(nèi)部控制整合框架、內(nèi)部控制重要缺陷、等等。

　　怎樣理解這些概念？從UT斯達康的審計意見能夠得到何種啟示呢？

　　從404條款、COSO框架到PCAOB

　　《SOX法案》的目標(biāo)是加強公司治理、重建投資者的信心和化解誠信危機。其中，針對內(nèi)部控制的內(nèi)容主要是404條款。該條款引用COSO內(nèi)部控制框架，作為對公司內(nèi)部控制有效性進行審核的專業(yè)標(biāo)準(zhǔn)。404條款提出的內(nèi)部控制評審要求，目的在于通過加強內(nèi)部控制來改進公司治理狀況，最終加強公司的責(zé)任。

　　COSO內(nèi)部控制框架的內(nèi)容涵蓋企業(yè)運營的各個領(lǐng)域，要求管理層必須記錄、檢查內(nèi)部控制系統(tǒng)的有效性、提供足夠的證據(jù)并對內(nèi)部控制的有效性公開發(fā)表聲明。其中，對內(nèi)部控制的定義是：由董事會、管理當(dāng)局和其他員工實施的、為保證財務(wù)報告的可靠性、經(jīng)營的有效性、以及遵循現(xiàn)行法規(guī)的等目標(biāo)，達成所設(shè)定企業(yè)目標(biāo)而提供合理保證的政策和實施程序。在這個定義中，既界定了內(nèi)部控制的實施主體，也明確了內(nèi)部控制的三個主要目標(biāo)：透明可靠的財務(wù)報告；有效率和效益的經(jīng)營；循規(guī)守法和保護企業(yè)財產(chǎn)安全。

　　COSO 報告將內(nèi)部控制的整體架構(gòu)表達為五要素，分別是控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通與監(jiān)督。

　　說到COSO內(nèi)部控制框架，就不能不提及1985年成立的反對舞弊虛假財務(wù)報告委員會，該委員會的重點任務(wù)是研究舞弊性財務(wù)報告產(chǎn)生的原因及對策。根據(jù)該委員會1987年工作報告的建議，又組成一個專門研究內(nèi)部控制問題的委員會，這就是COSO。1992年，COSO提交的《內(nèi)部控制——整體框架》，就是著名的COSO報告。經(jīng)過兩年的修改，1994年，COSO委員會提出了報告修改版，擴大了內(nèi)部控制涵蓋的范圍，增加了與保障資產(chǎn)安全有關(guān)的控制，得到美國審計總署(GAO)的正式認可。與此同時，美國注冊會計師協(xié)會AICPA全面接受COSO內(nèi)部控制框架。

　　COSO內(nèi)部控制框架提出了強化內(nèi)部控制的體系結(jié)構(gòu)，具有重要的歷史意義和現(xiàn)實意義。不過，盡管其重要性早已得到專業(yè)界的普遍認可，但在實際應(yīng)用方面一直比較滯后，直到《SOX法案》404條款明確將其作為建立內(nèi)部控制的依據(jù)，局面才有所改觀。自此，COSO內(nèi)部控制框架在建立、審核和評價公司內(nèi)部控制機制方面具有了法理依據(jù)地位。

　　2004年3月，依照《SOX法案》成立的公眾公司會計監(jiān)管委員會(PCAOB)發(fā)布第2號審計準(zhǔn)則《與財務(wù)報告審計協(xié)同進行的對內(nèi)部控制的審計》，并于2004年6月得到美國證監(jiān)會(SEC)的批準(zhǔn)，成為內(nèi)部控制審計的法理依據(jù)。該準(zhǔn)則要求審計師明確發(fā)表兩項意見，一是針對管理層自己的流程評估，評價其結(jié)論是否在合理的基礎(chǔ)上得出，是否令人心服；二是獨立測試內(nèi)部控制的有效性，以確認管理層的評估是否正確，并得到公允表達。

　　對公司的內(nèi)部控制進行評估，就是要確認公司管理層是否有效地進行了以下工作：確認評估對象、范疇；評估控制的失效風(fēng)險；評估主要發(fā)現(xiàn)是否與評估結(jié)果相一致；評估缺陷的嚴重性；就主要發(fā)現(xiàn)與有關(guān)方面進行溝通，等等。評估報告中所說的重要缺陷(material weakness)，是一個或多個控制弱點(control deficiency)的組合，重要缺陷會對公司財務(wù)數(shù)據(jù)流程(授權(quán)、處理、報告)造成負面影響，導(dǎo)致不能防范或發(fā)現(xiàn)財務(wù)信息的錯報。審計人員將測試發(fā)現(xiàn)的問題進行匯總并評估，確認這些問題是否構(gòu)成重要缺陷，從而形成審計意見。當(dāng)財務(wù)報告的內(nèi)部控制存在一個或一個以上重要缺陷，審計師必須發(fā)表否定意見。

　　于是，我們在UT斯達康公司和亞信公司的2005年度報告中，讀到了針對公司內(nèi)部控制的審計意見。其中，普華永道在為UT斯達康公司2005年度報告出具的審計師報告中，指出了UT斯達康公司在控制環(huán)境、所屬單位監(jiān)控、關(guān)聯(lián)方交易、財務(wù)人員勝任能力等多個方面存在的十多項重要缺陷。

　　內(nèi)控機制的真正目的

　　設(shè)計企業(yè)內(nèi)部控制機制，是否只是為了應(yīng)對外部壓力、滿足形式上的需要，如應(yīng)付監(jiān)管機構(gòu)、向股東交代、給社會各界看；強化內(nèi)部控制是否是企業(yè)經(jīng)營管理的需要？答案似乎顯而易見：內(nèi)部控制當(dāng)然既要保證滿足外部要求，也要保證企業(yè)正常運營。然而，現(xiàn)實社會中的情況遠非如此簡單與理想化。

　　我們知道，《SOX法案》404條款要求的內(nèi)部控制建設(shè)及有效性審計，是針對財務(wù)報告的。從UT斯達康公司和亞信公司的年度報告中讀到的針對內(nèi)部控制的審計意見，無論肯定含義還是否定含義，都只是針對財務(wù)報告的編制和公布。換句話說，都只是針對生產(chǎn)經(jīng)營結(jié)果的財務(wù)表述和信息披露，而不是針對生產(chǎn)經(jīng)營和管理本身。然而，在COSO內(nèi)部控制框架文件中，透明可靠的財務(wù)報告只是企業(yè)內(nèi)部控制系統(tǒng)的三大主要目標(biāo)之一。

　　可以這樣說，作為著眼于保護社會公眾利益的證券監(jiān)管機構(gòu)，不論是美國的SEC還是中國的證監(jiān)會，最關(guān)注的當(dāng)然是與證券市場正常運轉(zhuǎn)密切相關(guān)的公司財務(wù)信息披露質(zhì)量，因為財務(wù)信息披露影響到投資人(包括現(xiàn)實投資人和潛在投資人)、其他利益相關(guān)者的決策行為和后果；而對于公司的現(xiàn)實投資人、經(jīng)營決策者、管理層以及員工來講，實現(xiàn)透明可靠的財務(wù)報告只是內(nèi)部控制的第一級基本目標(biāo)。

　　一句話，滿足《SOX法案》404條款的要求，只不過是建立內(nèi)部控制機制的一部分，而不是全部。更何況，上市公司以至公眾公司，只是全社會中所有企業(yè)中的一小部分。對于更多的非上市、非公眾企業(yè)來說，內(nèi)部控制的目標(biāo)當(dāng)然就更不僅僅限于透明可靠的財務(wù)信息了。

　　如是觀之，既使得到了外部審核和評價的肯定意見，并不意味著公司內(nèi)部控制機制就一定是令人滿意的！更為重要的內(nèi)部控制目標(biāo)，在于有效率和有效益的經(jīng)營、循規(guī)守法和保護企業(yè)財產(chǎn)安全。

　　這樣，對公司至少提出了兩點要求。

　　首先，設(shè)置必要的內(nèi)部控制部門，給予適當(dāng)?shù)穆毼缓捅匾穆殭?quán)，特別要注意內(nèi)部控制部門‘空化’問題，不要讓內(nèi)部控制部門成為擺設(shè)品。

　　其次，人員配置和制度設(shè)計要匹配，絕對避免身兼具有角色沖突性的多個職務(wù)；同時要注意，在人員配置時應(yīng)避免關(guān)系密切人員或者利益密切人員進行相互監(jiān)督；應(yīng)最大可能地預(yù)先控制經(jīng)理人道德風(fēng)險漏洞。

　　自我評價與內(nèi)部審計

　　其實，我國企業(yè)內(nèi)部控制已經(jīng)不是最新命題，目前至少已經(jīng)具備了包含“內(nèi)部控制”字樣的諸種規(guī)范文件和實踐：2001年起財政部頒布《內(nèi)部會計控制規(guī)范》系列，2002年中央銀行頒布《商業(yè)銀行內(nèi)部控制指引》，2002年證監(jiān)會頒布《證券公司內(nèi)部控制指引》，2004年銀監(jiān)會頒布《商業(yè)銀行內(nèi)部控制評價試行辦法》，等等；我國商業(yè)銀行、證券公司等金融機構(gòu)的年度報告中，已經(jīng)實施并包含了注冊會計師針對會計報表和財務(wù)信息的內(nèi)部控制審核評價報告。

　　只是，由于強化公司內(nèi)部控制并非一朝一夕之事，加之專業(yè)性強，所以沒有成為大眾媒體緊緊追逐的熱點，只有專業(yè)人士才會仔細跟蹤觀察。由于《SOX法案》涉及所有中國在美上市的公司，讓國內(nèi)媒體和民眾對內(nèi)部控制問題特別關(guān)心起來。

　　必須指出，從形式上建立起完整的企業(yè)內(nèi)部控制制度，并不等于為企業(yè)實現(xiàn)正常運營加上了保險鎖。內(nèi)部控制制度的‘控制’功能決不會自動發(fā)揮。任何內(nèi)部管理制度，無論其理論基礎(chǔ)如何雄厚、實施方案如何詳盡，在其實施過程中能不能發(fā)生作用，能不能落到實處，能不能達到效果，關(guān)鍵因素還是在于‘人’。制度不是自動化機器，不會自動運轉(zhuǎn)，制度要依靠全體員工來落實。作為制度的制訂者和監(jiān)督者，董事會和高管層首先要率己，帶頭遵守，才能上行下效，保證制度真正落實和貫徹。

　　控制自我評價(CSA)就是一種使內(nèi)部控制融入組織程序的自我審查機制，它強調(diào)經(jīng)理層的控制意識和控制的責(zé)任，由公司全體員工共同對風(fēng)險控制進行持續(xù)評價、持續(xù)監(jiān)控或關(guān)鍵監(jiān)控?？刂谱晕以u價有自身理論模型和一整套措施，但具體由誰來負責(zé)日常執(zhí)行呢？

　　于是，內(nèi)部審計制度閃亮登場。

　　歷史上，內(nèi)部審計制度就是作為組織機構(gòu)的控制職能而產(chǎn)生的，服務(wù)于組織的督察、考核、評價等控制職能。傳統(tǒng)的內(nèi)部審計偏重在財務(wù)方面，現(xiàn)代內(nèi)部審計則跳出了財務(wù)圈子。盡管內(nèi)部審計本身就是控制的一個類型，但還有更大范圍的其他多種控制。內(nèi)部審計的具體角色就是幫助考核、評價其他的多種控制。在組織機構(gòu)建立計劃并根據(jù)運營著手計劃執(zhí)行時，一定會監(jiān)控運營狀況，確保實現(xiàn)組織機構(gòu)的既定目標(biāo)，我們可以將這些深層次的努力看作是控制?；诳刂颇康?，內(nèi)部審計人員會檢查和評價組織的所有活動，從而為組織提供保障服務(wù)。內(nèi)部審計人員通過評價現(xiàn)有的控制，就能幫助有關(guān)的責(zé)任人更有效的實現(xiàn)結(jié)果，并為協(xié)助改進有關(guān)控制提供依據(jù)。當(dāng)然，現(xiàn)在的內(nèi)部審計行業(yè)，不僅僅關(guān)注內(nèi)控，它還關(guān)注風(fēng)險管理、治理過程的有效性。

　　毫無疑問，《SOX法案》404條款使內(nèi)部審計人員的角色和職責(zé)再一次發(fā)生變化。在組織機構(gòu)整體的內(nèi)部控制框架中，內(nèi)部審計的重要性較以往增加了許多。為了使內(nèi)部控制框架有效，審計人員必定要很好的理解內(nèi)部控制，每一位涉及《SOX法案》404條款評審的內(nèi)部審計人員，都應(yīng)當(dāng)了解公認會計原則(GAAP)及其相應(yīng)的財務(wù)控制?！禨OX法案》的條款不僅對美國上市公司的內(nèi)部審計人員產(chǎn)生了重要的影響，還引發(fā)了當(dāng)代內(nèi)部審計的新規(guī)則?，F(xiàn)在的內(nèi)部審計，在同審計委員會、高層管理者(特別是財務(wù)高管)以及外部審計師打交道時，必須扮演稍微不同的角色。

　　可以說，隨著《SOX法案》在全球影響的擴展，內(nèi)部審計發(fā)揮作用的范圍及其所扮演的角色都在不斷擴大，而組織機構(gòu)對于內(nèi)部審計職能的期望也在不斷增加。如何構(gòu)建戰(zhàn)略性的內(nèi)部審計職能以便為組織機構(gòu)增值，如何培養(yǎng)具有勝任能力的內(nèi)部審計人員服務(wù)于組織機構(gòu)，不僅是高層管理當(dāng)局考慮的問題，也成為困惑當(dāng)前內(nèi)部審計行業(yè)人員的關(guān)鍵問題。

　　固有局限

　　必須指出，無論內(nèi)部控制制度被設(shè)計得多么完美，運行得多么符合設(shè)計者的預(yù)期，都不是萬能的，因為其自身存在著固有的內(nèi)生性局限，具體表現(xiàn)在以下幾個方面。

　　首先，人為疏忽、分心、疲憊、誤解指令、判斷失誤等，可能使健全有效的內(nèi)部控制失靈；

　　其次，內(nèi)部控制一般是為經(jīng)常發(fā)生的經(jīng)濟業(yè)務(wù)而設(shè)計的，因此一旦發(fā)生異?；蛭搭A(yù)計到的業(yè)務(wù)，就會有失控或原有控制不適用的可能性；

　　第三，管理階層為美化企業(yè)財務(wù)業(yè)績或遵循法令狀況等目的，不遵守已經(jīng)明確制定的政策或程序(美國Treadway委員會曾指出，至少有66%的欺詐性財務(wù)報告訴訟案，與最高管理當(dāng)局逾越內(nèi)部控制有關(guān))；

　　最后，控制成本與效益都是難以確切計量的，因此需要運用主觀判斷做出決策。

　　并且，在出現(xiàn)以下幾種情況時，內(nèi)部控制將很有可能失效：

　　一是串通舞弊謀取個人私利：不兼容職務(wù)分離是為了達到相互監(jiān)督的效果，但若負有不同職責(zé)的員工串通舞弊，或本企業(yè)員工通過外部關(guān)系規(guī)避控制，協(xié)同作弊，將會導(dǎo)致內(nèi)部控制失效；

　　二是濫用權(quán)力：如果公司管理層故意舞弊，不受法規(guī)、制度的約束，將會導(dǎo)致內(nèi)部控制失效；

　　三是如果執(zhí)行內(nèi)部控制制度的人員素質(zhì)較差，不具備勝任能力，難以履行其控制職責(zé), 內(nèi)部控制制度也難以發(fā)揮作用。

　　在我國的銀行業(yè)，內(nèi)部控制的固有局限性體現(xiàn)得最為明顯。一般而言，金融業(yè)尤其是銀行業(yè)的內(nèi)部控制制度建設(shè)，在我國企業(yè)界是走在前面的。但最近幾年，銀行業(yè)不斷出現(xiàn)違規(guī)違法案件，并造成一定的經(jīng)濟損失和行業(yè)信譽損失。這不僅告訴我們內(nèi)部控制制度建設(shè)的重要性，而且也充分說明建設(shè)制度固然重要，有效地實施制度更為重要。