在安然和世通等公司丑闻的阴影下,为了重振投资者对美国资本市场的信心,布什总统于2002年7月30El签署了《2002年萨班斯-奥克斯利法案》。这一法案要求美国证券交易委员会(SEC)在严格的限期内实施它的各项条款,并且作为过去审计失败的结果,通过成立公众公司会计监察委员会(Public Company Accounting Oversight Board,PCAOB)剥夺了审计行业的行业自律权力。自从《2002年萨班斯一奥克斯利法案》带来的影响深远的公司治理改革开始实施以来,第404节一直占据媒体的头条位置,并且遭到受内部控制认证要求影响的各方的空前反对。404节规定的内部控制要求的核心内容是管理层和审计师依据一个“适当的”内部控制框架评估公司的财务报告内部控制有效性。根据SEC的第404节最终规则(Section 404 SECFinal Rules)和PCAOB的审计准则第2号,Treadway委员会的发起组织委员会(COSO)制定和发布的《内部控制——整合框架》(也被称为COSO1992,区别于COSO的另外两份文件,即《企业风险管理》和《小型企业指南》)符合其所陈述的适当性标准,因而管理层和外部审计师根据《2002年萨班斯-奥克斯利法案》第404节对企业内部控制有效性进行评估时都可以依赖这一框架的指导。
自从《2002年萨班斯-奥克斯利法案》被通过以来,人们已经对实施管理层和审计师认证的成本和相关利益进行了多项调查和研究。这些研究大部分都是针对这一新的要求带来的巨额成本而展开的。然而,迄今为止,还没人调查和研究公司及其外部审计师实际上是如何应用COSO1992框架评估和报告公司的财务报告内部控制有效性的。本项研究填补了这一空白,它是针对SEC的注册会员公司参照COSO1992框架执行第404节的控制有效性报告要求的具体实践展开的调查和研究。本文分析了来自各种规模的公司的374名受访者提交的答卷。另外,本文的研究动机也来自这样一个事实,即COSO1992框架建立之时并不存在对公司财务报告内部控制有效性发表正式意见和认证的要求。目前还没有人研究过这一控制框架在公司和审计师分别对SEC的注册会员公司的财务报告内部控制有效性发表意见的过程中的实用性。因此,对于世界各国的监管机构和准则制定机构来说,本项调查研究的结果为制定公共政策提供了重要的参考信息,也是评估美国的这些法规和其他国家的类似法规的实用性和有效性的重要依据。本项研究利用SEC注册会员公司的大量的反馈信息分析了一些与第404节所要求的认证相关的问题:外部审计师综合审计(即同时审计一家公司财务报表和内部控制认证)的应用;从上到下、风险导向以风险为导向的评估方法的意义和使用;有效地执行内部控制6-效性评估+j的技能要求;在欺诈风险评估和IT控制评估中COSO1992的五个控制要素的指导j意义和实际使用情况;识别公司的“关键控制”和确定得出有效性结论的适当的:证据和测试的数量;决定“重要的控制不足”和相关的补救计划;关于这些新法规的其他争议较多的问题。
总的来看,本项研究的结果表明,COSO1992框架提供了一个理解以及思考一个组织的内部控制的基本原理的模型,但是对于管理层持续地以低成本的方式对财务报告内部控制执行从上到下、风险导向的评估,COSO1992框架没有提供具体的实施指南。我们调研的受访者也指出,在执行许多具体评估程序.,如欺诈风险评估、IT控制评价、识别“关键控制”、决定能够断定财务报告内部控制有效所需最少的证据量和测试量时,他们并没有显著地依赖COSO1992框架提供的指南。最重要的是,管理层和审计师不知如何处理一个基本的问题,即要保证外部审计师向公众发布的对公司财务报表的意见的可靠性,到底需要多少控制和需要什么样的控制。
本项研究给COSO委员会的一些政策建议是:①应当在公司执行第404节规定的新的需求下重新评估COSO1992框架的适用性;②应当仔细和客观地评估管理层按照目前框架的指导对内部控制进行评估和报告是否对最小化一些“不希望出现”的负面效应,如大量的执行成本以及美国资本市场在世界上的地位受到侵蚀,有效率和有效果。另外,为了促进《2002年萨班斯-奥克斯利法案》相关的公司治理改革的持续顺利实施,涉及教育培训和内部控制认证相关活动的COSO组织应当共同发起一个调查管理层、外部审计师和内部审计师之间最重要的技能缺口的项目,进而提供一个能够填补这些缺口的通用的具体实施步骤。
展开