2008年6月28日,财政部等五部委联合发布了《企业内部控制基本规范》,并将于2009年7月1日起率先在上市公司范围内施行,企业内部控制应用、评价、审计等规则的制定也在紧锣密鼓进行中。日本与我国有着类同的经济环境和文化背景,在内部控制的建设、维护、评价和审计等方面也出台了相关规则。因此,研究日本内部控制相关规则及发展动态,对我国建设和完善内部控制相关规范具有重要意义。
一、日本相关法律、法规对内部控制的要求
1.明确了内部控制基本框架及经营者对内部控制的构建和维护责任
在借鉴美国《萨班斯奥克斯利法案》主要内容的基础上,日本结合本国企业内部控制的实际,提出了建立内部控制的四个目标及六项基本要素。在目标方面,除了国际通行的提高业务活动的效率、财务报告的可信度及经营活动的合法性三个目标外,考虑到日本资产的取得、使用及处分时,恰当的程序及确认等非常重要,又增加了“资产保全”目标。在内部控制基本要素方面,除吸收COSO报告关于控制环境、风险评估、控制活动、信息沟通和监控等被多数国家认可的五要素外,考虑到信息系统反馈与财务报告相关内部控制制度密切相关,又加入了“对IT(信息技术)的应对”这一新的基本要素。要求企业管理层构建包括上述要素在内的内部控制系统并充分发挥其功能。同时,相关法规还明确指出了内部控制的局限性及内部相关人员的责任:董事会有责任确定构建和运用内部控制的基本方针;管理层组织各项活动并在董事会确定的内部控制基本方针的基础上进行内部控制的构建和运用;监事会或审计委员会站在独立立场,对内部控制的构建和运用状况进行监督及检查,内部审计人员对其进行研究和评价,以促进内部控制的改善。
2.明确了管理层对内部控制有效性加以评价并对外报告的责任
日本的《金融商品交易法》及其后出台的内部控制评价与审计准则,不仅要求公司管理层有责任建立、实施内部控制,还明确要求所有在日本上市的公司管理层在合并报表层面上对内部控制有效性应加以评价并对外报告。公司的海外分公司、联营公司也应纳入评价和报告的范围,并且要求该评价主要在可能对财务报告的可靠性产生重要影响的范围内进行。因此,可以是对公司层面的整体评价,也可以是对业务层面的局部评价。原则上讲,经营者应从整体角度对其下所有单位和业务单元分别进行公司层面内部控制及财务核算和报告流程的评价。所有业务流程的评价需包括重要的单位和业务单元(联营企业除外)。在评价业务流程过程中,应按照业务单位在销售收入或其他指标的重要性水平来进行评价,以确定哪些单位需被纳入范围。另外,某些重要性水平较高的业务流程、重要业务单位的会计科目与公司的业务目标有密切联系的流程及对财务报告有重大影响的业务流程(如涉及高风险交易的业务单位或经营机构、涉及会计估计和经营者判断的重要项目,以及具有较高错报风险的非常规或异常交易等)均应被纳入评价范围。
在此基础上,管理层还要记录评价的步骤,确定内部控制重大缺陷的判断原则,重点关注可能导致财务报告产生重大虚假信息的相关内部控制的重大缺陷。通过编写和发布《内部控制报告书》,反映与财务报告相关内部控制有效性的评价结果。在报告书中对一些重要事项做出虚假记录者,处5年以下徒刑或500万日元以下的罚款。
3.明确了日本公认会计师(相当于中国的注册会计师)对财务报告相关内部控制的审计责任
公认会计师要充分了解企业环境和管理层对内部控制的构建、实施及其评价状况,判断审计重点并确定审计计划。而且,还要对经营者财务报告相关内部控制评价结果进行审计,并进一步讨论经营者所确定评价范围的适当性和经营者基于公司层面及具体业务层面的内部控制评价。公认会计师开展内部控制审计应遵守以下标准:要求审计的范围与财务报告相关的内部控制,是针对管理层编制的内部控制报告,内容主要包括管理层对内部控制评价范围(公司层面或具体业务层面)的适当性,确定该评价范围所选择方法和依据的合理性,对内部控制有效性评价是否适当,内部控制重大缺陷的报告是否适当等。在开展审计时,应充分考虑成本—效益原则,明确要求内部控制审计与财务报表审计协同进行,由承担该公司财务报表审计的同一审计主体(即同一事务所的同一公认会计师)实施。准则要求公认会计师编写审计报告,对管理层内部控制评价报告发表审计意见,内部控制审计报告原则上可以和财务报表审计报告合并编写。除采用上述形式降低审计成本外,还要求灵活运用审计风险模型,重点关注可能导致重大错报风险的内部控制范围,并将内部控制的不完备按对财务报告产生影响的大小分为“重大缺陷”和“漏洞”两类。