美国证券交易委员会对财务报告内部控制的规则要求

张 玉 编译   

美国证券交易委员会（SEC）对财务报告内部控制的规则要求如下：

    • 管理层评估单位财务报告内部控制的效果；

    • 独立审计人员审计管理层关于内部控制的报告；

    • 管理层要按季度报告单位的披露控制和程序的效果。

SEC 的规则要求概述了同内部控制相关的审计准则；描述了评价单位内部控制的结构化方法；对外部顾问构建的用于帮助管理层评价内部控制效果，以及独立审计人员审计管理层有关内部控制的报告业务提供建议。

    一、管理层要评估单位的内部控制

    2002年的《萨班斯——奥克斯利法案》（SOX）在财务报告流程的许多方面引发了重大变革。变革之一就是要求管理层按季度和年度，提交一份单位对财务报告期间单位内部控制特定效果的报告。   

    （一）内部控制的定义

    为了遵循《萨班斯——奥克斯利法案》的内部控制报告要求，美国证券交易委员会的规则提供了对财务报告的内部控制的工作定义。该规则13（a)-15(f)按如下内容来界定对财务报告的内部控制一词：

    对财务报告期间内部控制是一个由（股票）发行人的主要经理人员和主要财务官、或从事类似职能的人员设计或受其监督的流程，该流程受发行人的董事会、管理层和其他人员的影响，为财务报告的可靠性和依照一般公认会计原则编制对外财务报表提供合理的保证。它包括以下政策和程序：

    1、保持能在合理的细节水平上准确、公允地反映发行人的交易和资产处置的记录；

    2、对依照一般公认会计原则编制财务报表所需的交易记录提供合理的保证，对根据发行人的管理层和董事会授权发生的收入和费用提供合理的保证；

    3、就预防或及时检查可能实质性影响发行人的财务报表的未经授权的收购、使用或处置资产提供合理的保证。

在考虑美国证券交易委员会的定义时，应该注意以下几点：

    • 内部控制是一个广义的概念，延伸到了一个企业各个领域的管理工作。SEC的定义将单位内部控制的考虑事项，收缩到了财务报表的编制方面。因此，我们使用了“对财务报告的内部控制”一词。

    • SEC希望这个定义同美国反欺诈性财务报告委员会的发起组织委员会（COSO）提供的与财务报告目标有关的内部控制定义保持一致。

    • SEC的规则明确提到单位资产的使用或处置，即资产的安全保障。

    （二）年度报告

    《萨班斯——奥克斯利法案》404条款要求，首席执行官（CEO）和首席财务官（CFO）评价并报告单位对财务报告的内部控制效果的报告。这份报告包含在公司10K表格中，每年都要向SEC报送。SEC已经采纳了（上市）登记方有效实施《萨班斯——奥克斯利法案》404条款要求的规则。

    根据SEC的规则，公司的10K表格必须包括以下内容：

    1、管理层对财务报告的内部控制的年度报告。公司对财务报告的内部控制的报告包括：

    （1）管理层建立和保持对财务报告的适当内部控制的声明。

    （2）识别管理层评价对财务报告的内部控制效果所用框架的声明。

    （3）在最近的财政年度末，管理层对公司财务报告期间内部控制效果的评估，包括对财务报告期间内部控制是否有效的声明。这个讨论必须包括由管理层识别的、对公司财务报告期间内部控制是否存在实质性漏洞的披露事项。如果公司财务报告期间内部控制中存在一个或多个实质性漏洞，管理层不能得出（上市）登记方对财务报告的内部控制是有效的结论。

  （4）在年度报告中包含会计师事务所审计财务报表的声明，这份声明对（上

市）登记方的管理层评估财务报告期间内部控制出具了一份证明报告。

    2、会计师事务所的证明报告。会计师事务所就公司管理层对财务报告期间

内部控制的评估提供证明报告。

    3、财务报告期间内部控制中的变动。披露公司对财务报告期间内部控制有实质性影响的变动，或者公司有可能对财务报告期间内部控制产生实质性影响的变动。

    公司向SEC报送的年度报告，也应该包括管理层对单位的披露控制与程序是否有效的第4季度的报告。

    （三）季度报告

    《萨班斯——奥克斯利法案》302条款要求管理层按季度报告单位的“披露控制和程序”的效果。SEC的S—K规定的307条款通过公司按季报送的10Q表格来执行这项要求，要求管理层：

披露公司主要经理人员和主要财务官员，或实施类似职能人员根据对有关控制和程序的评价，对报告期末有关公司披露控制和程序的效果方面的结论。

    除了报告的披露控制以外，公司的季度报告也必须披露单位财务报告期间内部控制中发生的实质性变化。

请注意这些季度报告的以下方面：

• 管理层不用对财务报告期间的内部控制进行评价或报告。这种评价每年只需进行一次。

• 公司的独立审计人员不用去证明管理层对披露控制的评价。

    （四）披露控制与程序

    根据这些规则，SEC采用了披露控制和程序这一新概念，它不同于先前定义的对财务报告的内部控制。SEC的规则13a—15(e) 对披露控制和程序的定义如下：

    设计披露控制和程序是为了确保发行人根据证券交易法案报送或提交的报告中，在SEC的规则和表格规定的时间期限内，要求披露的信息都得到了：

    • 记录

    • 处理

    • 汇总

    • 报告

披露控制和程序包括（但不限于）以下设计的程序和控制，即确保发行人根据证券交易法案报送或提交的报告中要求披露的信息都汇集起来并向发行人的管理层进行沟通，包括首席执行官和首席财务官，或实施类似职能的人员，及时就所要求的披露事项进行决策。

    因此，“披露控制和程序”会围绕证券交易法案报告中对所有实质性的财务或非财务信息的控制。不在披露控制和程序范畴内的信息，不会成为单位对财务报告期间内部控制的组成部分，这些信息可能包括：签署重要的合同、战略关系的变化、管理层的薪酬、或者法律诉讼。

    （五）披露委员会

     SEC的规则不仅要求对披露控制和程序进行评估，还建议所有上市公司都创建一个披露委员会来监管旨在形成并审核有关披露事项的流程，它包括：

    • 审核10Q表格、10K表格以及SEC要求报送的其他文件；审核盈余信息的发布；以及审核针对恰当披露的其它公共信息。

    • 确定构成重大交易或事件的要求披露的内容。

    • 确定和识别披露控制和程序的设计或运行效果中重要缺陷和实质性漏洞。

    • 评估CEO和CFO对可能影响披露事项的实质性信息的认识。

单位存在一个披露委员会并且有效运行，对于评价单位的内部控制效果者想工作的性质和范围，会有重大影响。举例来说：

    • 可以将披露委员会的有效运转看作是强化单位控制环境的一个要素。

    • 披露委员会的工作可以形成文本文件，业务团队可以利用这些文本记录来减少其工作范围。

资料来源：《如何遵循SOX404 条款——评估内部控制的效果》

（美）迈克尔·拉莫斯著李海风主译，张玉审校

中国时代经济出版社 2007年8月