美国证券交易委员会关于管理层报告财务报告内部控制的指引美国证券交易委员会发布企业内部控制标准委员会秘书处组织翻译张宜霞译目录I 引言II 解释指引－财务报告内部控制的评价[1]与评估A.评价过程1．识别财务报告风险与控制a.识别财务报告风险b.识别充分应对财务报告风险的控制c.对主体层面控制的考虑d.信息技术一般控制（general control）的作用e.支持评价结果的证明材料2．评价财务报告内部控制运行有效性的证据a.确定支持评价结果所需要的证据b.实施评价财务报告内部控制运行证据的程序c.支持评价结果的证明材料3．多场所的考虑B.报告的考虑1．控制缺陷的评价2．管理层对财务报告内部控制有效性评价结果的表述3．关于重大漏洞的披露4．重述以前发布的财务报表对管理层财务报告内部控制报告的影响5．财务报告内部控制某些不能评价的方面I 引言管理层有责任保持一个财务报告内部控制（“ICFR”）系统，它要为财务报告的可靠性以及按照公认会计原则对外编制财务报表提供合理保证。

美国证券交易委员会2003年6月通过的实施《2002年萨班斯－奥克斯利法案》[1]（“萨班斯－奥克斯利法案”）404条款的规则要求管理层每年评价财务报告内部控制在提供合理保证方面是否有效，并将评价结果披露给投资者[2]。

为了对其评价结果提供合理支持，管理层有责任保存包括文档记录在内的证明材料（evidential matter）。

这种证据也为第三方（如公司的外部审计师）评价（consider）管理层实施的工作提供了可能。

由于其固有的局限性，财务报告内部控制不能提供绝对的保证；它是一个涉及人的勤勉和遵循性的过程，而且，常遭受判断失误以及因人为过失（failure）而导致失效的影响。

财务报告内部控制也可能被串通舞弊或不当的管理层凌驾（management override）所绕过。

因为这些局限，无论是无意识的错误，还是舞弊，财务报告内部控制不能防止或发现所有的错报。

但是，这些固有局限是财务报告过程众所周知的特征，因此，在这个过程中设计防护措施以降低（尽管没有消除）这种风险是可能的。

在证券交易委员会实施规则中提及的术语“合理保证”与《1997年反国外贿赂行为法》[3]（FCPA）中的类似术语有关。

《证券交易法》第13（b）(7)款把“合理保证”和“适当详细”定义为：“这样一种详细水平和保证程度，它使谨慎的官员在处理自己的事务时感到满意”[4]。

证券交易委员会长期以来一直认为，“合理性”不是一个“公司记录正确性的绝对标准”[5]。

而且，证券交易委员会认识到：如果“合理性”是一个客观的标准，那么，在实施404条款和证券交易委员会规则的过程中，发行人对什么是“合理”的做出判断就存在一个范围。

因此，就实施404条款而言，术语“合理的”、“合理地”和“合理性”不表示一个单独的结论或方法，而是包括整个范围内适当的可能行为、结论或发行人可以合理地据以做出决策的方法。

自从2004年公司首次开始遵循以来，证券交易委员会收到了有关404款实施规则[6]的重要反馈。

这种反馈包括要求发布进一步的指引，以帮助公司管理层遵循证券交易委员会对财务报告内部控制的评价和披露要求。

本指引是对这些要求做出的反应，并反映了我们已经收到的重要反馈，也包括对我们2006年12月20日建议的解释指引的意见。

在阐明许多普遍识别出的关注领域时，本解释指引：解释了如何根据风险评估改变收集证据的评价方法；解释了把“日常相互作用”、“自我评估”和其他持续监控活动用作评价中的证据；解释了文档记录的目的以及管理层记录评价结果的依据如何灵活的选用方法；为管理层在低风险领域判断什么构成充分证据提供了重要的灵活性；容许管理层和审计师有不同的测试方法。

本解释指引围绕两条一般原则来组织。

第一条原则是，管理层应当评价其已经实施的控制是否充分应对了没有及时防止或发现财务报表重大错报的风险。

本指引描述了这条原则的一种自上而下、风险基础的方法，包括主体层面的控制在评估财务报告风险过程中的作用以及控制的充分性。

本指引通过容许管理层把精力集中在充分应对财务报表重大错报风险所需要的那些控制上，提高了效率。

本指引没有要求管理层识别流程中的每项控制或记录影响财务报告内部控制的所有业务流程。

相反，管理层可以将其评价过程和支持评价结果的文档记录集中在那些被认为充分应对了财务报表重大错报风险的控制上。

例如，如果管理层确定一项财务报表重大错报的风险被主体层面的控制充分应对了，那么，就不需要对其他控制实施进一步的评价了。

第二条原则是，管理层应当根据风险评估的结果评价控制运行的证据。

本指引提供了对评价所需的证据做出风险基础判断的一种方法。

这使管理层可以将评价程序的性质和范围与那些对可靠财务报告（即财务报表在重大方面是否是准确的）造成最大风险的财务报告领域协调一致。

因此，管理层能够在低风险的领域使用更有效的方法（如自我评估）来收集证据，在高风险领域实施更广泛的测试。

通过遵循这两条原则，我们认为，各种规模和复杂程度的公司将能够有效果和有效率的实施我们的规则。

解释指引重申了证券交易委员会的立场：为了设计一个能够满足公司需要并为其财务报告内部控制是否有效的年度披露提供一个合理依据的评价过程，管理层应当运用自己的经验和有依据的（informed）判断。

这容许管理层有充分和适当的灵活性来设计这样一种评价程序。

[7]规模较小的公众公司，其内部控制系统的复杂程度通常比规模较大的公众公司低，为了适应它们自己的实际情况和环境，可以应用本指引来调整（scale）和设计（tailor）评价方法和程序。

我们鼓励规模较小的公众公司[8]利用这种灵活性和可伸缩性来实施对财务报告内部控制的评价，既有效率又有效果的识别重大漏洞。

对财务报告内部控制实施初始评价所必需的工作（effort）在公司之间将会不同，在一定程度上是因为这种工作取决于管理层对当前财务报告风险的评估以及控制监督活动。

第一年的遵循之后，管理层识别财务报告风险和控制的工作通常情况下会减少，因为后续的评价应当更多的关注风险和控制的变化，而不是识别所有的财务报告风险和相关控制。

而且，在后续的每一年，风险和控制的记录将只需从前一（或几）年开始更新，而不是重新再做一个。

通过风险和控制的识别过程，管理层将会识别出要测试的那些控制，它们仅是那些实现财务报告内部控制目标（即对财务报告可靠性提供合理保证）所需要的控制以及运行证据可以更有效的获取的控制。

评价那些控制是否持续有效运行所要实施程序的性质和范围可以根据公司特定的环境来设计，这样可以避免不必要的遵循成本。

本指引假定管理层已经建立和保持了《反国外贿赂行为法案》所要求的一个内部会计控制系统。

它也不试图解释管理层应当如何设计财务报告内部控制以遵从其已选择的控制框架。

为了容许适当的灵活性，该指引没有为管理层提供完成评价所应当实施的步骤的清单。

本公告中的这个指引在联邦公报公布时即刻生效。

[9]作为这个解释公告的配套措施[10]，我们正在批准对《证券交易法》规则13a-15(c)和15d-15(c)的修正和对规则S-X的修改。

[11]对规则13a-15(c)和15d-15(c)的修正将会清楚的表明：按照本解释指引实施的评价是满足那些规则有关管理层年度评价要求的一种方式。

我们也修改了我们定义术语“重大漏洞”的规则，并修改了有关审计师对财务报告内部控制的鉴证报告的要求。

此外，我们正在征求对术语“重要缺陷”定义的更多建议。

[12]II 解释指引－财务报告内部控制的评价与评估本解释指引主要阐明下列问题：A.评价过程1．识别财务报告风险与控制a.识别财务报告风险b.识别充分应对财务报告风险的控制c.对主体层面控制的考虑d.信息技术一般控制的作用e.支持评价结果的证明材料2．评价财务报告内部控制运行有效性的证据a.确定支持评价结果所需要的证据b.实施评价财务报告内部控制运行证据的程序c.支持评价结果的证明材料3.多场所的考虑B.报告的考虑1．控制缺陷的评价2．管理层对财务报告内部控制有效性评价结果的表述3．重大漏洞的披露4．重述以前发布的财务报表对管理层财务报告内部控制报告的影响5．财务报告内部控制某些不能评价的方面A.评价过程财务报告内部控制[1]（ICFR）[2]的目标是为财务报告的可靠性和按照公认会计原则（GAAP）编制对外财务报表提供合理保证。

评价财务报告内部控制的目的是为管理层的年度评估（即财务报告内部控制在财务年度末[3]是否存在重大漏洞[4]）提供一个合理依据。

为了实现这个目标，管理层要识别对可靠财务报告的风险；评价是否存在应对这些风险的控制；并根据其风险评估结果评价包括在评价范围内的那些控制的运行证据。

[5]这一评价过程将会因公司而异，但是，本指引所描述的自上而下、风险基础的方法将会是实施这种评价的一种非常有效率和效果的方法。

评价过程指引分两个部分描述。

第一部分说明财务报告风险的识别以及评价管理层已实施的控制是否是充分应对了这些风险。

第二部分说明一种对评价财务报告内部控制是否有效的方法和程序做出判断的方法。

两个部分不但说明管理层应当如何将其评价的努力集中在对可靠财务报告的最大风险上面，而且都说明了主体层面的控制[6]如何影响评价过程。

[7]根据证券交易委员会的规则，管理层对财务报告内部控制有效性的年度评估必须根据一个适当控制框架[8]的有效内部控制的定义进行。

[9]这些控制框架定义了内部控制的构成要素，它们在一个有效的内部控制系统中预期会出现并发挥作用。

适用的内部控制框架把某些内部控制要素视为一个内部控制系统要有效所必需的要素，在评价有效性时，管理层要评价其财务报告内部控制是否包括了与这些内部控制要素相对应的政策、程序和活动。

框架的要素描述了一个内部控制系统的特征，它可能与公司财务报告内部控制的单个领域有关，可能普遍深入到许多领域或主体范围内。

因此，管理层的评价过程不但包括与特定财务报告领域相关的控制，还包括主体范围的控制以及所选控制框架确定的其他普遍内部控制要素。

本指引不打算替代某个控制框架中确定的有效内部控制系统的构成要素。

1．识别财务报告风险与控制管理层要评价是否已经实施了可以实现财务报告内部控制目标（即为财务报告的可靠性提供合理保证）的控制。

这一评价始于识别和评估可靠财务报告（即在重大方面准确的财务报表）的风险，包括这些风险的变化。

然后，管理层要评价是否付诸实施了（即在用）用来充分应对这些风险的控制。

在评估风险和识别哪些控制可以充分应对这些风险时，管理层通常会考虑公司主体层面的控制。

在此描述的评价方法容许管理层根据公司的财务报告风险（如下定义）调整其识别控制和为控制保存支持性证明材料的方式。

这样，管理层识别出的控制以及文档记录都是那些对实现财务报告内部控制目标来说重要的控制和文档记录。