不存在实质性漏洞的内部控制报告示例

 张  玉   编译

2002年发布的《萨班斯—奥克斯利法案》（SOX）引发了财务报告流程方面的许多重大变革。变革之一就是要求管理层按季度和年度，提交一份本单位财务报告期间内部控制有效性方面的报告。美国证券交易委员会（SEC）明确规定了有关管理层在季报和年报中报告内部控制要求，同时还要求各单位的首席执行官(CEO)和首席财务官(CFO)提交关于内部控制相应保证的声明书。

作为管理层测试和评价过程的结果，当测试确定截至年末内部控制中不存在实质性漏洞（material weaknesses）时，管理层可以得出内部控制是有效的结论。如果在年末存在实质性漏洞，管理层不能做出内部控制是有效的声明。

下面提供的是遵循美国证券交易委员会（SEC）报告要求的一份报告示例。该报告的第3段陈述了管理层关于内部控制的结论。SEC已经规定，管理层必须声明内部控制是否有效地运行。在管理层声明“没有注意到任何会让人们认为内部控制未能有效运行的事情”时，这种否定性的保证是不能接受的。

管理层关于财务报告内部控制报告的示例——不存在实质性漏洞

XYZ公司的管理层对建立和保持财务报告期间适当的内部控制负有责任。设计内部控制系统是为公司的管理层和董事会提供关于本公司发布的财务报表编制和公允表达的合理保证。

所有的内部控制系统，不管其设计得多么好，都有内在的局限性。因此，即使那些被确定是有效的系统也只能提供关于财务报表编制与表达的合理保证。ª

XYZ公司的管理层已经评估了截至20ⅹⅹ年12月31日财务报告期间内部控制的有效性。为了做出这种评估，我们使用了由美国反欺诈财务报告委员会（亦称特雷德威委员会 the Treadway  Commission）的发起组织委员（COSO）发布的《内部控制——整合框架》中所描述的作为财务报告期间有效内部控制的标准。根据我们的评估，我们认为，截至20ⅹⅹ年12月31日，本公司财务报告期间的内部控制是有效的。

我们的独立审计师已经出具了对我们关于本公司财务报告期间内部控制评估的验证报告。你们可以在ⅹⅹ页看到这份报告。

SEC规则没有要求这种关于内部控制的内在局限性的声明。它已包括在只用于说明性目的的报告示例中。

资料来源：《如何遵循SOX404 条款——评估内部控制的效果》

（美）迈克尔·拉莫斯著 李海风主译，张玉审校

中国时代经济出版社 2007年8月