到20世纪70年代中期,与内部控制相关的活动的优势已经出现在系统设置、审计等领域,主要集中在改善内部控制系统方式以及如何在审计中更好地考虑内部控制的方式上。然而,受到1973-1976年“水门事件”调查的影响,政府立法机构和规章制定部门开始密切关注内部控制。“水门事件”特别检举办公室和SEC分别进行了几个独立的调查,调查结果揭露出一个事实,即许多主要的美国公司对国外政府官员进行非法的政治援助、可疑或非法的支付,包括贿赂。作为对这些调查的反应,国会委员会举行了听证会,来听取大众关于美国公司对国外政府官员的不适当支付的意见。议案提交后,最终获得通过,并颁布了1977年国外行贿法案(Foreign Corrupt Practices Act of 1977,简称FCPA)。
除了反贿赂条款,FCPA还包括了一些属于会计和内部控制的条款。FCPA要求公司对外报告的披露者,设计一个内部会计控制系统,并维持其有效性,以期为下列目标提供合理的保证:(1)交易在管理当局的一般授权或特殊授权下执行;(2)交易按需被记录,以使资产在账面上得到反映;(3)只有在得到管理当局的一般授权或特殊授权后,资产的接近权才得到允许;(4)将账面资产和实存资产在合理的间期内进行核对,并对产生的任何差异均采取适当的措施。这些条款要求公司的管理当局设置账簿、记录和账户,以期精确并适当地放映公司资产的交易和处置,并要求管理当局保证内部会计控制系统的充分性,以期达到相关目标。因此,该法案暗含的一个关键主题,就是适当的内部控制应该能有效地阻止对国外政府官员的非法支付。
很快,随着FCPA的颁布生效,有关内部控制的活动就如洪峰大水一样猛然爆发了。许多公众公司将它们的内部审计职能部门的规模和职责大大地加大了,并更加密切地关注它们的内部控制系统。同时,不少组织,包括职业团体和监管机构,从各个不同的角度对内部控制进行研究,并发布了许多内控建议和指南。
美国注册会计师协会于1974年成立了审计师责任委员会,即著名的科恩委员会,以研究审计师的职责。科恩委员会的一个重要的建议,就是公司管理当局应出具与财务报告相一致的报告,以披露公司内部控制系统的状况。另外一个建议就是,要求审计师对管理当局出具的内部控制报告进行评价并报告。在科恩委员会发布了科恩委员会报告之后,财务经理人协会(FEI)给其成员发了一封信,在信中FEI认可了科恩委员会管理当局出具内部控制报告的建议,同时,为帮助其成员实施该建议,FEI还出具了指南。这些管理当局的报告目前已经越来越多地出现在公司提交给股东的年度报告中。
1979年,SEC又将科恩委员会和FEI的行动向纵深拓展了一步。SEC发布了征求意见稿,以广泛征求对于管理当局就公司内部会计控制报告的强制性要求的意见。这些征求意见稿同时也要求外部独立审计师对管理当局的内部会计控制报告出具评价报告。
SEC的征求意见稿是非常关键的,这有几个原因。征求意见稿认为,设置并维持公司的内部控制系统应成为管理当局的重要职责之一。而且,征求意见稿还表明,关于内部控制系统的有效性的信息,对于投资者更好地评价管理当局的经营业绩和职责是非常必要的,正如内部的或其他未经审计的财务信息的可靠性一样。虽然征求意见稿后来被撤销——因为其实施的成本、报告信息的非相关性,同时由于要求遵守法律的要求而与FCPA联系太密切,从而遭受批评——但它倾向更加强调管理当局对于内部和其他未经审计财务信息设置并维持有效的内部控制系统的职责。
也许部分地由于对FCPA立法和内部控制报告建议的反应,美国注册会计师协会于1979年成立了内部控制的特别顾问委员会,以对建立和评价内部控制提供指南。这个Minahan委员会,在FCPA颁布实施之前不久成立,但却填补了内部控制指南方面的空白。现存的指南主要包含在职业审计的文献中,并被审计师推进、改善了。附加的指南被认为对帮助管理当局履行其内部控制职责是必不可少的。虽然Minahan委员会并不是特地为这个目的而成立的,但Minahan委员会也承认,在其发布的报告中的指南,应该在管理当局和董事在考虑他们的公司是否符合FCPA有关内控的条款的要求时,会有很大帮助。
财务经理人研究基金会(Financial Executives Research Foundation,简称FERF),也对FCPA做出了反应,成立了一个研究小组,对美国公司的内部控制现状进行调查研究。该研究报告发表于1980年,它的一个主要贡献,就是列举了内部控制的特点、现状、实务和程序,并对内部控制的定义、特点、目标以及如何保证内控的有效性的差别极大的各种观点进行了综述。其次,和FERF研究相关的一个研究,是R.K. Mautz和J.Winjum合作的《管理控制系统标准》。该研究发表于1981年,为内部控制评价确立了更广的、概念性的标准。
从1980年到1985年,在审计职业界,关于内部控制的专业准则得到了很大的发展,并逐步精练。1980年,美国注册会计师协会发布了外部独立审计师对内部控制进行评价报告的准则。1982年,美国注册会计师协会发布公告,该公告包含了一个修改过的指南,该指南要求外部独立审计师在财务报表审计中研究和评价内部控制。1983年,内部审计师协会发布准则,该准则提出并修改了外部独立审计对内部控制特点、参与者在内控的建立、维持和评价方面的职责的指南。1984年,美国注册会计师协会发布了指南附录,考虑了内部控制过程中计算机的影响。
然而,直到1985年,公众的注意力才密集地聚焦在内部控制上。由于一系列公司破产案件和审计失败诉讼的发生,国会下属的委员会开始召开听证会,听证会集中在公众公司发生的一系列事情上。因为公众对管理当局的行为、财务报告的适当性以及外部独立审计师的有效性产生了怀疑。在听证过程中,司法部门讨论了旨在约束各种财务报告问题,包括要求公众公司的管理当局评价并报告内部控制的有效性。而且,该立法也包括了要求外部独立审计师对管理当局的内部控制报告提供意见的条款。虽然这个立法后来没有颁布实施,但下属的委员会扩展了听证会的范围,因为它考虑到了财务报告过程的其他方面,并突出了内部控制。
全国欺诈性财务报告委员会,即著名的Treadway委员会,创立于1985年,由AICPA、AAA、FEI、IIA以及IMA发起。Treadway委员会主要目标是识别了引发欺诈行财务报告的各种常见因素,并为减少这些事件的发生提供了建议。委员会的报告发布于1987年,为公众公司的管理当局和董事、公共会计职业界、SEC、其他的监管者以及司法部门和学术界都提供了建议。
Treadway委员会直接为内部控制提供了许多建议。它强调了控制环境、道德操守、胜任能力、审计委员会以及一个活跃且客观的内部审计的重要性。它也再次对管理当局对内部控制的有效性进行报告提出了要求。而且,Treadway委员会也要求五个发起组织合作,整合不同的内部控制概念和定义,以得出一个通用的参考观点。这意味着该指南将帮助公众公司改善他们的内部控制系统,并评估内部控制系统的有效性。
在这些建议的基础上,在COSO委员会的赞助下成立了一个工作小组,专门研究内部控制文献。这些工作的结果,后来由IMA出版,建议发起组织实施一个项目,为建立内部控制并对其有效性作出评估提供一个实务的、能被广泛接受的标准。这个工作小组建议这个标准应直接以管理当局的需求为导向,因为管理当局对建立、监控、评估和报告内部控制承担最主要的责任。然而,这个标准也应该通过一个过程开发出来,这个过程应得到对内部控制有重要利益的团体的认同,比如内部和外部审计师、教育界以及监管者。
美国注册会计师协会于1988年发布了修正后的内部控制审计准则(SAS No.55)。这意味着对一个企业的内部控制结构的要素定义得更加明确,同时也增加了外部独立审计师理解内部控制的能力,并为外部独立审计师在财务报表审计中评估控制风险提供指南。
SEC在1988年也对Treadway委员会关于管理当局内部控制报告的建议作出了反应。SEC发布了一个征求意见稿,要求管理当局对内部控制的职责及其对内部控制系统的有效性进行报告。另外,该意见稿也要求外部独立审计师在审计过程中涉及管理当局的内部控制报告。
监管者对内部控制有了不少动作之后几年来,其中有一些内部控制是针对一些特定的行业的,比如银行、储贷机构等等。立法提案,包括要求管理当局评估并报告内部控制有效性,以及外部独立审计师必须对管理当局的报告提供证明。一个同银行相关的提案,后来通过并颁布成为法律,即1991年联邦存款保险公司改善法(the Federal Deposit Insurance Corporation Improvement Act of 1991,简称FDICIA)。许多观察家都预期将会有更进一步的立法动议。
同样是在1991年,有两个相互独立的活动处理内部控制某些方面。其中一个时内部审计师研究基金会(the Institute of Internal Auditors Research Foundation)发布了一个报告,该报告为信息系统的控制和审计提供了指南,即Systems Auditability and Control。后来,美国审判委员会批准在刑事司法系统中使用一个指南,来评估对白领犯罪的制裁。这个指南,主要处理和遵守法律法规相关的内部控制,允许对那些采取有效的程序来预防和发现违法行为的企业,大大地降低惩罚的程度。
1992年,美国"反对虚假财务报告委员会",所属的内部控制专门研究委员会发起机构委员会,即COSO委员会,在进行专门研究后提出专题报告:《内部控制――整体架构(Internal Control一Integrated Framework)》,也称COSO报告。经过两年的修改,1994年COSO 委员会提出对外报告的修改篇,扩大了内部控制涵盖范围,增加了与保障资产安全有关的控制,得到了美国审计总署(General Accounting Office,GAO)的认可。与此同时。AICPA则全面接受COSO报告的内容,于1995年据以发布了《审计准则公告第78号》(SAS N0.78),并自1997年1月起取代了《审计准则公告第55号》。
2003年8月,COSO委员会又发布了《企业风险管理框架》征求意见稿,在内部控制基础上提出了风险管理的框架,由此将内部控制的5个要素扩充为基于风险管理的8个要素,将内控为风险管理服务的理念发挥得淋漓尽致。2004年9月,coso委员会发布了《企业风险管理框架》终稿,这是内部控制发展到风险管理层面的一个里程碑。
来源: ,版权归原作者所有,如涉侵权,请联系我们删除,谢谢!