IIA精心制定的框架具有目标导向性。它是对内部控制主题最通用和最简洁的表述。第1期SIAS只有简短的10页,而COSO框架文件超过100页,CoCo的指南超过30页。IIA框架中思想的独一无二性明显地体现在许多方面。首先,它认识到控制既受到组织内部力量的影响,也受到组织外部力量的影响。它的合理保证概念与将偏差减少到可以忍受水平所采取的行动相联系。IIA概念中还隐含着这么一个看法:只要雇员正常地执行任务,就可以防止或检测重大的错误和不合法的行为。IIA框架中增加的另外一点是它突出了实现结果的价值,这反映在它表述的最后一个内部控制目标:实现既定经营和计划的目标和目的上。在承认实现的结果是控制效果的一个重要指标这一点上,它结合了CoCo和MBNQA框架的观点。也许应用IIA内部控制概念的最大的缺点也是它的简短性。可能有相当多的公司不情愿把他们的评估和检查建立在一个看起来缺乏全面发展的思想的概念基础之上。他们将更愿意寻求比IIA提供的更详细的指南。而且,IIA缺乏其他专业协会(如AICPA、FEI)拥有的权力。一些机构必然会对IASB区分适当控制和有效控制的努力感到困惑。有人会宣称,“适当控制”和“有效控制”这两个词语有着基本等价的含义,任何区别都不是本质的。如果存在实质区别,那就应该有一个更可取的概念使得一个控制系统的设计和实施既适当又有效。尽管它具有成为最有影响的框架的潜力,但是这个缺点加上框架的简短性和缺乏权力,可能足以限制它在商业界的使用。
内部控制政策与报告
一、内部控制政策
(一)目的与评估准则
所有的政策、程序、过程、系统、功能、活动和任务都应当结合充分的内部控制来进行设计和运作,以保证它们满足董事会所采取的有效内部控制的需要。政策的目的是为了保证内部控制作为所有上市公司的政策、程序、系统、功能、活动和任务的一个不可分割的组成部分而设计并得到维持的,以便实现使顾客满意的承诺;向员工提供发展、福利和竞争性补偿;遵守法律、规章和合同要求;满足其他利益相关者的需要和约定;向股东提供竞争性的利润回报。
进行评估的人员应当对评估主题、控制要素和评估目的有充分的了解和把握;评估过程应当是公正无偏的;整个评估应当做到完备可靠;评估结果应当以适当的方式传达给相关职位上的人,以便于他们规避风险、抓住机遇;评估过程应当留下相应记录,以便将来分析评估过程的有效性——对于评估的评估。
(二)内部控制责任角色
内部控制的责任角色一般定位如下:(1)董事会担负维持整个公司内部控制的有效性的最终责任。在董事会履行其责任时,它可以把监督和报告的责任下放给某些委员会。董事会定期收到并评估那些委员会送来的有关内部控制有效性的报告,并为保证持续有效而采取必要的行动。董事会可以经常地请外部的专家就内部控制提出适当的建议和忠告。(2)审计委员会由董事会授权指导内部控制监督过程。审计委员会负责了解内部控制的概念、方式和问题,并且理解和接受管理层用来衡量内部控制效率的标准。审计委员会应当定期与管理层中直接负责内部控制的人见面,并从这些人那里接受有关内部控制的确认和其他信息。审计委员会也从公司副总裁和首席审计官那里接受独立的确认和其他信息,以用于判定内部控制的有效性。审计委员会可以随时请外部专家来提供适当的建议和忠告。(3)CEO负责组织、策划、指导和控制公司管理高层人员,要为实现该目标的远景规划、使命、战略、目标和计划负责任,以期实现内部控制的目标。另外,CEO还负责公司的内部控制在各种因素上的表现、成绩及维持公司的核心能力,以为其在市场上提供比较优势。CEO可以向适合的管理人员下放权力以利上述责任的实施,但要为他们的行为结果负责。(4)总裁负责保证整个公司的运作与它的政策、程序、计划相符,以实现公司的目标战略、计划和远景规划。总裁负责觉得有必要的有关内部控制技术的建立和维护,以保证内部控制达到董事会所设立的有效控制标准。总裁向CEO和审计委员会提供书面报告,报告应包括他的意见及有关整个公司内部控制在何种程度上达到规定的有效控制标准的信息。总裁可以向适合的公司管理人员下放权力以利上述责任的实施,但要为他们的行为负责。(5)CFO负责设计和维持实现公司财务目标的财务政策、程序、过程、系统、功能和任务方面的内部控制技术,包括维持一个有充足资本来源支持的竞争性的资本结构;提供决策所需的以及符合相关性和可靠性的财务信息及分析,并且符合财务方面的法律和规章;定期呈递报告使管理层和董事会可以监管公司在实现企业目标的过程中做出的成绩。CFO向总裁、CEO和审计委员会提供定期的书面报告,提供他的意见及其职责范围内的内部控制在何种程度上达到规定的有效控制标准的信息。CFO可以向适合的公司管理人员下放权力以利上述责任的实施,但要为他们的行为结果负责。
(6)副总裁和首席审计师(CAE)负责设计和执行内部控制的内部审计计划,为公司人员独立地报告意见和其他信息提供基础。CAE可以向适合的公司管理人员下放权力以利上述责任的实施,但要为他们的行为结果负责。(7)其他高级职员和经理负责设计和维持内部控制技术,只要他们认为这些技术是在他们职责范围内的、有助于保证实现相关战略、计划和目标的政策、计划、程序、过程、系统、功能、活动和任务进行评判时所必需的即可。这些高级职员和经理向他们的顶头上司提供定期的书面报告,提供他们的意见及其职责范围内的内部控制在何种程度上达到规定有效控制标准的信息。高级职员和经理可以向适合的公司管理人员下放权力以利上述责任的实施,但要为行为结果负责。(8)内部控制筹划指导委员会由总裁、副总裁和CFO、CAE以及高级管理人员和公司各营运部门的领导组成,由总裁执掌,目的是保证内部控制监督过程和内部控制按所设想的状态运行。
二、内部控制报告
内部控制报告的因果关系假设认为,强制要求披露内部控制报告可以促使管理层改进财务报告。而自我选择假设认为,自愿发布内部控制报告本身就预示着公司没有重大的内部控制和财务报告方面的问题,强制要求内部控制报告不会改变根本的控制意识,内部控制也就不会得到改进,但强制内部控制报告加入审计师的审核可以改进内部控制。自愿披露内部控制信息非但不是愚蠢,反而是向股东沟通管理层运营业务相关信息的良好途径。对于有优秀管理层的公司,为了帮助股东将他们与那些较差的同行区别开来,此类报告是绝佳机会。而对于较差的公司,这类报告是一个压力,推动他们向更高的水平迈进。SEC、GAO、FDIC、AICPA、FEI、COSO、TreadWay和FCPA深刻影响了美国和世界其他地方的公司有关内部控制的思维方法。有一个原因将他们联系在一起:他们承诺,要与产生公众巨额损失的财务失败作斗争。这些利益集团认为,在和财务失败的斗争中,有效的武器是充分、公允地披露财务信息。充分公正地财务披露可能只是一个理想,通常超出了标准制定者的能力范围,不幸的是,在财务报告过程中也许已经给了不道德的人足够的回旋余地。财务报告过程被欺诈的管理层操纵的实例数量已经导致了对该过程的内部控制,从而要比内部控制的其他方面更为重要。多数大型公众公司的管理层在给股东的年度报告中,通常进行自愿披露。自愿披露主要的不信任者来自隶属于美国律师协会的法律和会计委员会、商业法律委员会,他们认为大多数公司任何信息的公开报告是一项严肃的活动,而公司并不都是要披露的此领域的技术专家。
总体上,建议内部控制报告的内容有:描述管理层对财务报告的责任,描述管理层对财务报告内部控制的责任,指出审计委员会监督财务报告的参与程度,描述内部和外部审计师的责任,管理层对财务报告内部控制效果的意见。近年来,这些报告基本上被当作管理报告。支持管理报告的人认为它可以帮助减少财务报告欺诈的发生率——如果不是幻想,也是一种理想化的结果。另外,还有三个原因:有关财务报告内部控制的信息对股东是有用的,对财务报告内部控制的公开报告可以让管理层更加关注内部控制的这个方面,管理报告可以促进公众理解管理层和外部审计师对财务报告的责任和义务。大型公众公司的管理层开始进行管理报告,连同提供内部控制、内部审计和外部审计义务的信息。
然而,大量的小型公司并不提供类似的报告,相当数量的大型公司继续在年度报告中忽略此类报告。不报告的原因可能是:没有规定要求提供管理报告;他们认为这类报告中一般的解释对读者没有任何实际价值;可能引起误解,尤其是对内部控制或某方面努力提供某种形式的保证时。这也印证了一句格言:对于公开披露,不要自愿做任何事情。
内部控制审核报告与管理建议书
一、内部控制审核报告
(一)内部控制审核的含义与业务约定书
内部控制审核是指注册会计师接受委托,就被审核单位管理当局对特定日期与会计报表相关的内部控制有效性的认定进行审核,并发表审核意见。按照国家有关法规的要求,建立健全内部控制并保持其有效性,是被审核单位管理当局的责任。了解、测试和评价内部控制,出具审核报告,是注册会计师的责任。注册会计师应当保持应有的职业谨慎,关注内部控制的固有限制,获取充分、适当的证据,将审核风险降低至可接受的水平。
注册会计师应当在了解被审核单位基本情况的基础上,考虑自身能力和能否保持独立性,初步评估审核风险,确定是否接受委托。如果接受委托,会计师事务所应当与委托人就约定事项达成一致意见,并签订业务约定书。业务约定书应当包括以下主要内容:委托目的,委托业务的性质,审核范围,被审核单位管理当局的责任和注册会计师的责任,内部控制的固有限制,评价内部控制有效性的标准,报告分发和使用的限制。
(二)审核计划
在制订审核计划前,注册会计师应当向被审核单位管理当局获取有关内部控制有效性的书面认定,以及内部控制手册、流程图、调查问卷和备忘录等文件。在制订审核计划时,注册会计师应当考虑以下主要因素:被审核单位所在行业的情况,包括行业景气程度、经营风险、技术进步等;被审核单位的内部情况,包括组织结构、经营特征、资本构成、生产和业务流程、员工素质等;被审核单位近期在经营和内部控制方面的变化;管理当局的诚信、能力及发生舞弊的可能性;管理当局评价内部控制有效性的方法和证据;对重要性水平、固有风险及其他与确定内部控制重大缺陷有关的因素的初步判断;特定内部控制的性质及其在内部控制整体中的重要性;对内部控制有效性的初步判断;从其他专业服务中了解到的有关被审核单位内部控制的情况。如果被审核单位有多个经营场所,注册会计师应当考虑以下因素选择某些经营场所的内部控制进行了解和测试:不同场所之间经营活动和内部控制的相似性;会计处理的集中程度;控制环境的有效性,尤其是管理当局对各经营场所行使授权的控制和有效监督经营活动的能力;各经营场所发生交易的性质和金额。内部审计的工作结果是管理当局评价内部控制有效性的重要基础,注册会计师应当考虑被审核单位内部审计人员的专业能力、独立性及工作范围。
(三)审核程序