(2)强调“人”的重要性。报告认为,财务报告内部控制有效性评价应包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理层、内部审计和外部审计等各个方面,明确了评估的每个行动步骤由哪些高级管理人员负主要责任,以确保按时完成内部控制评价工作。
(3)界定了管理当局的责任。报告认为,管理层必须承担公司内部控制有效性的责任,并运用恰当的控制标准(如C0SO标准)来评价公司内部控制的有效性,对形成的评估结果有足够的证据支持,同时签署一份关于公司内部控制有效性的书面申明。为取得足够的证据支持管理层的评估结果,管理当局可以利用内部审计人员、管理人员、其他人员或第三方的工作,将其作为评价内部控制执行有效性的基础。相应地,管理当局可以雇佣外部审计师之外的注册师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。
(4)明确了审计师对财务报告内部控制有效性审核程序的构成要素。报告要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个重要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作为对重要账户余额、交易类别和披露的控制执行有效性的初始证据,但审计师可以根据他人的工作来改变自身评估工作的测试性质、时间和程度,但这样做要求审计师重复他人的一部分测试工作,并对每个重要账户、交易类别和披露相关的控制执行独立性测试。
(5)界定了内部控制有效性评价与财务报告审计的关系。两者即有不同,又有联系。首先,两者的目标不同。财务报表审计的目的是对财务报表是否在所有重大方面符合公认会计原则的规定发表意见,因而关注的是财务报告程序的结果。财务报表审计中也需要对公司的内部控制情况进行了解,并对控制风险进行评价,但这些工作主要是为了决定其它财务报表审计程序的属性、时间和程度,而并不需要单独对财务报告内部控制的有效性提供报告。而内部控制审计的目标却是对公司是否在所有重大方面建立健全了财务报告的有效内部控制发表意见,此时,独立审计师需要了解公司建立的财务报告内部控制,并对其设计有效性和执行有效性进行测试,要完成这项工作,审计师必须对财务报告程序(从交易的开始直到财务报告的编报完成)中的每一个重要控制的有效性进行评价。其次,两者也有联系,即都需要对财务报告内部控制的设计和执行有效性进行评价,审计师可以利用所取得的内部控制评价的证据来改变其它财务报告审计程序的属性、时间和程度。由于内部控制的内在局限性,审计师仍然需要执行实质性程序进行测试。此外,独立审计师可以根据内部控制有效性审计中发现的缺陷,来决定财务报表审计实质性测试过程的属性、时间和程度。
三、对我国财务报告内部控制评价的启示和借鉴
我国自20世纪90年代起开始加大政府对内部控制的推动作用。现有的法规和行政规范中多项涉及到内部控制的。可以看出,政府监管部门对单位内部控制的建立健全提出了一定的要求,但没有对管理层进行内部控制制度有效性评价提供实质性指导,从而造成不同公司的管理层在进行内部控制的有效性评价时没有一个统一的标准。与此同时,我国的内部会计规范才刚刚开始,一套完整的内部会计控制规范体系的建立还有待时日,这也给内部控制有效性评价增加了难度。《萨班斯——奥克斯利法案》404条款、SEC发布的最终规则以及会计师事务所提供的报告,对我国财务报告内部控制有效性评价具有一定的启发和借鉴意义,具体如下:
1.通过法律法规的形式对财务报告内部控制有效性评价进行强制性规定。,仅有2001年10月证监会发布“关于做好证券公司内部控制评审工作的通知”中对内部控制评审提出了明确的规定,即要求证券公司根据“证券公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控制进行评审,会计师事务所应当向证券公司提交内部控制评审报告。而在其他规范中,没有对管理层进行财务报告内部控制有效性评价提出强制性规定。面对我国上市公司的经营失败和公司舞弊指控的增多,财务报告内部控制的重要性日益显现,这就对财务报告内部控制有效性进行评价提出了新的要求。我们应借鉴国外的经验,在相关法律法规中对内部控制评价提出明确的要求,以将财务报告错误表述的风险降低到一个恰当的水平。