日本内部控制相关法规及对我国的借鉴意义
2008年6月28日,财政部等五部委联合发布了《企业内部控制基本规范》,并将于2009年7月1日起率先在上市公司范围内施行,企业内部控制应用、评价、审计等规则的制定也在紧锣密鼓进行中。日本与我国有着类同的经济环境和文化背景,在内部控制的建设、维护、评价和审计等方面也出台了相关规则。因此,研究日本内部控制相关规则及发展动态,对我国建设和完善内部控制相关规范具有重要意义。
一、日本相关法律、法规对内部控制的要求
1.明确了内部控制基本框架及经营者对内部控制的构建和维护责任
在借鉴美国《萨班斯奥克斯利法案》主要内容的基础上,日本结合本国企业内部控制的实际,提出了建立内部控制的四个目标及六项基本要素。在目标方面,除了国际通行的提高业务活动的效率、财务报告的可信度及经营活动的合法性三个目标外,考虑到日本资产的取得、使用及处分时,恰当的程序及确认等非常重要,又增加了“资产保全”目标。在内部控制基本要素方面,除吸收COSO报告关于控制环境、风险评估、控制活动、信息沟通和监控等被多数国家认可的五要素外,考虑到信息系统反馈与财务报告相关内部控制制度密切相关,又加入了“对IT(信息技术)的应对”这一新的基本要素。要求企业管理层构建包括上述要素在内的内部控制系统并充分发挥其功能。同时,相关法规还明确指出了内部控制的局限性及内部相关人员的责任:董事会有责任确定构建和运用内部控制的基本方针;管理层组织各项活动并在董事会确定的内部控制基本方针的基础上进行内部控制的构建和运用;监事会或审计委员会站在独立立场,对内部控制的构建和运用状况进行监督及检查,内部审计人员对其进行研究和评价,以促进内部控制的改善。
2.明确了管理层对内部控制有效性加以评价并对外报告的责任
日本的《金融商品交易法》及其后出台的内部控制评价与审计准则,不仅要求公司管理层有责任建立、实施内部控制,还明确要求所有在日本上市的公司管理层在合并报表层面上对内部控制有效性应加以评价并对外报告。公司的海外分公司、联营公司也应纳入评价和报告的范围,并且要求该评价主要在可能对财务报告的可靠性产生重要影响的范围内进行。因此,可以是对公司层面的整体评价,也可以是对业务层面的局部评价。原则上讲,经营者应从整体角度对其下所有单位和业务单元分别进行公司层面内部控制及财务核算和报告流程的评价。所有业务流程的评价需包括重要的单位和业务单元(联营企业除外)。在评价业务流程过程中,应按照业务单位在销售收入或其他指标的重要性水平来进行评价,以确定哪些单位需被纳入范围。另外,某些重要性水平较高的业务流程、重要业务单位的会计科目与公司的业务目标有密切联系的流程及对财务报告有重大影响的业务流程(如涉及高风险交易的业务单位或经营机构、涉及会计估计和经营者判断的重要项目,以及具有较高错报风险的非常规或异常交易等)均应被纳入评价范围。
在此基础上,管理层还要记录评价的步骤,确定内部控制重大缺陷的判断原则,重点关注可能导致财务报告产生重大虚假信息的相关内部控制的重大缺陷。通过编写和发布《内部控制报告书》,反映与财务报告相关内部控制有效性的评价结果。在报告书中对一些重要事项做出虚假记录者,处5年以下徒刑或500万日元以下的罚款。
3.明确了日本公认会计师(相当于中国的注册会计师)对财务报告相关内部控制的审计责任
公认会计师要充分了解企业环境和管理层对内部控制的构建、实施及其评价状况,判断审计重点并确定审计计划。而且,还要对经营者财务报告相关内部控制评价结果进行审计,并进一步讨论经营者所确定评价范围的适当性和经营者基于公司层面及具体业务层面的内部控制评价。公认会计师开展内部控制审计应遵守以下标准:要求审计的范围与财务报告相关的内部控制,是针对管理层编制的内部控制报告,内容主要包括管理层对内部控制评价范围(公司层面或具体业务层面)的适当性,确定该评价范围所选择方法和依据的合理性,对内部控制有效性评价是否适当,内部控制重大缺陷的报告是否适当等。在开展审计时,应充分考虑成本—效益原则,明确要求内部控制审计与财务报表审计协同进行,由承担该公司财务报表审计的同一审计主体(即同一事务所的同一公认会计师)实施。准则要求公认会计师编写审计报告,对管理层内部控制评价报告发表审计意见,内部控制审计报告原则上可以和财务报表审计报告合并编写。除采用上述形式降低审计成本外,还要求灵活运用审计风险模型,重点关注可能导致重大错报风险的内部控制范围,并将内部控制的不完备按对财务报告产生影响的大小分为“重大缺陷”和“漏洞”两类。
二、日本内部控制相关法规对我国的借鉴意义
1.推动相关法律、法规的进一步修订和完善
日本的《商法》、《公司法》及《金融商品交易法》等均对企业内部控制的建设、维护及披露提出了要求,特别是《金融商品交易法》更进一步明确了企业管理层对财务报告相关的内部控制有效性进行评价并对外发布内部控制报告、公认会计师对此评价进行审计的责任,以此来强制规范内部控制标准的制定、实施范围、效力等问题,在此基础上,以评价与审计的具体准则来规范其实施。
我国可以借鉴日本内部控制相关法规的要求,进一步推进国家在内部控制强制标准方面的相关立法,或通过推进《公司法》、《证券法》等相关法律的修订和完善,将对内部控制的评价和审计的主体、目标、范围、效力及时间等要求写入有关法律中,为开展此项工作提供高层次的法律要求并统驭我国证监会、证券交易所及财政部等部委发布的内部控制相关规范。在此基础上,推进《企业内部控制基本规范》及《企业内部控制应用指引》等规则的建设和实施,构建我国的内部控制理论框架和模型,指导企业内部控制建设的实践。同时,进一步推动企业内部控制评价及审计准则等相关技术规范的发布与实施,做好相关规则的协调与衔接,形成由相关法律、内部控制规范及评价和审计准则等构成的、适合各方面需求的多层次内部控制相关法律法规体系。
2.明确内部控制评价与审计的范围是与财务报告相关的内部控制
内部控制涉及企业管理的各个方面(如财务报告、企业经营及合规性方面的内部控制等),其复杂性和多样性使得外部审计师对内部控制进行审计非常困难。加之对外披露内部控制自我评价报告,是为使投资者获得财务报告是否存在重大错报及公司为避免重大错报而采取的控制措施,因而,企业管理层只需披露与财务报告相关的内部控制有效性评价报告,便可满足投资者的信息需求。因此,在我国进一步出台的企业内部控制评价和审计的相关规则中,可以借鉴日本的相关法律、法规,要求我国上市公司在年报中披露内部控制自我评价报告时,主要声明管理层对建立和保持恰当的、与财务报告相关的内部控制框架和程序负责及以最近会计年末为时点,对公司与财务报告相关的内部控制的框架和程序的有效性进行评价。同时,要求注册会计师对公司与财务报告相关的内部控制提供审计服务,以提高内部控制有效性评价的可信度。
3.内部控制评价和审计要充分考虑成本因素
管理层要对财务报告内部控制进行评价并出具报告,注册会计师审计其评价报告的恰当性,为财务报告的可靠性提供保证,如何既能实现上述目标,又不至于给企业增加太多负担,是准则中应考虑的。目前我国的相关规范中,内部控制审计和财务报表审计是分别进行的,无疑会加大公司成本负担。虽然为获取充分、适当的证据,内部控制审计中对内控有效性的测试比年度财务报表审计中对内控的测试范围要广泛的多。在年报审计中,注册会计师可以选择性地测试内部控制。而在内部控制审计中,要求注册会计师评价所有重要账户的相关认定的控制的有效性。但从注册会计师执行内部控制审计和年报审计时的实施情况来看,对被审计单位财务报表的审计与对其内部控制的审计有重叠和互通之处。为此,我国可借鉴日本的做法,在相关准则中,要求内部控制审计和财务报表审计协同进行,并可明确由同一家会计师事务所的同一注册会计师进行。同时,内部控制审计报告可以和财务报表审计报告合并编写。这样做既可以节约审计资源,又使得审计结论相互印证,更加真实可靠。