FC 110/13

财政委员会

I. 背 景

1. 财政委员会在2004年5月召开的第一O七届会议上讨论了粮农组织正式采用内部控制报告问题。正如在该届会议期间所指出的，本组织原则上不反对与审计帐目一起发布这种报告。

2. 秘书处根据委员会的要求，向第一O九届会议提交了一份文件，包括联合国系统中其他组织现行做法的研究结果，列出当前内部控制报告的最佳做法以及在本组织采用该报告形式会产生的问题。委员会注意到正式内部控制报告为众多制定标准机构认为是可取之举。委员会还注意到联合国系统中许多组织都已确认将考虑采用这种报告。

3. 粮农组织已经拥有了一个内容广泛的内部控制系统，这是多年来各级职工和管理层在总干事领导下开发和培育而成。外部审计员对内部控制给予评价和通报，使它成为本组织两年度审计的一部分。现在讨论的不是是否要采用内部控制系统，而是由本组织对这样的控制怎样进行正式报告。

4. 在讨论该议题时，委员会要求起草一份文件就该问题进一步提供信息，特别是有关正式内部控制报告的其它做法以供考虑，以及在本组织内实施此种报告所预计的费用。本文件就是为回应上述要求而编写。

II. 内部控制报告的备选做法

5. 关于正式内部控制报告可以有许多方法。不论是回顾的范围还是内部控制文献或是报告的种类都有许多方法。而本文只能在一般范围内做些有益的尝试。已经选出正式内部控制报告的例子是以下几个：

• 萨班－奥西利法案404节
• 基于坦布尔报告的英国公务员体系
• 国际复兴开发银行迄今为止的报告 (基于COSO框架)¹
• 实情报告

这些做法的要点都归纳在附件中。

6. 有关每种做法可能对资源产生影响的评论已载于表中，但没有提供不同做法所产生费用的详情，因为还没有关于实施和维护费用可比较也无可靠信息。这主要是因为费用要受到千差万异的环境和各类组织的影响。正如附件所指出，前三种做法使采用的组织付出大量费用和精力，主要与所需要的文件，评估和测试有关。因为这需要将本组织的资源大量投入而且还有高额外部审计费用。关于这一点，应该提及财政委员会2005年5月第一O九届会议文件所提供的信息：

“重要的是注意到在一个组织范围内采用正式内部控制报告需要长期而大量的工作，包括若干特殊阶段，特别是：

• 研究最适宜的报告形式和范围(对不受国家法律制约的那些组织而言)

• 内部监测职能正式化

• 制定适当报告方针

• 拟定具体制定计划

• 完成全组织风险评估

• 正式记载控制工作

• 评价控制工作及查明问题

• 保持正式记录

• 管理部分正式报告

这样一项工作必然涉及以职工时间、专家咨询等大量最初投资。此外，在开始执行之后的几年须保持报告系统，包括经常更新和检验以及保持正式记录，持续需要大量资源。

根据从一家大型会计公司收到的信息，无论是按照世界银行的实施工作还是根据因此采用的法律和标准，执行和保持正式内部控制报告都是一项艰巨的工作并且费用巨大。例如，根据美国进行的一项调查，实施萨班－奥西利法案404节的平均费用估计第一年要超过300万美元，还包括内部职工时间25,000多小时和外部审计费用平均增长大约50%。报告系统的维持费用预计在开始实施的第一年之后下降，但是仍然很大。”

7. 附件描述的第四种做法是提供一种报告形式，将本组织内部控制系统任何定性陈述排除在外，从而避免费用高昂的评估和检测过程。可考虑将该做法作为替代，与前面三种做法相比该替代法的实施无须太多额外资金。

III. 结 论

8. 正式内部控制报告的几种选项有一共同点，这就是若采用和维持这种报告就费用高昂并需占用大量内部和外部资源，还有启动投资和连续费用。

9. 鉴于以上情况，要考虑的关键问题有：

• 由于该问题还在联合国系统中酝酿，而且当前本组织也没有立法或按法规进行这种报告的要求，粮农组织还是否要进一步考虑采用正式内部控制报告？
  如果要考虑，应该怎样定这种报告的范围和目的。这就要考虑聘用外部专家以确定最为适宜的方案。
• 鉴于实施内部控制报告需要高额费用，包括建立和维持这种监测和报告系统，如这样做资金怎么办？若讨论资金就必须考虑与此有关的附加内部控制回顾和报告所产生的任何外部审计费。

10. 请财政委员会审议本文件并给予适当的指导。

11.

	萨班－奥西利法案(美国)	英国公务员系统，基于坦布尔报告	IBRD至今报告(基于COSO框架)2	实情报告3
内部控制评估范围	涵盖对财务报告的内部控制，包括资产保障。必须基于对程序的充分记载，评价，设计和测试运作效果－质询不能成为充分基础	评估包括所有支持实现实体目标的各种风险和相关控制，如不仅仅对财务报告进行控制。 实体必须具备风险管理评估框架，包括审查风险和控制的适当机制。 财务官员 (如部或机构的首长)在相当程度上确定怎样获得保证以便对内部控制效果进行报告。	内部控制被界定为是一个过程，由一个实体的各位领导和工作人员推动，旨在为实现下述三类目标提供合理保障： 财务报告的可靠性； 运作的效果和效率；及 遵守适用的法律和规定。	这种做法为现有的内部控制提供事实，对内部控制系统不进行定性评估。
报告范围	涵盖对财务报告的内部控制，包括资产保障。 必须包括对管理层建立和维持对财务报告以及类似管理评估进行充分内部控制的陈述。 必须包括评价效果的框架介绍－COSO框架已被公认是标准评估框架。 任何材料缺陷都必须要有管理层在报告中披露而且不能得出内部控制有效的结论。	包括所有支持实体成功的内部控制，如不仅仅是对财务报告进行控制。 包括管理层维持一个良好内部控制系统的责任介绍，指出该内部控制系统业已存在。对风险和控制框架以及对内部控制效果进行回顾。虽然报告不明确就控制系统的效果作出结论，但很明显这种回顾是将效果的评估记录在案。	仅仅包括对外部财务报告的内部控制。涉及COSO框架 要求有高级管理层就内部控制充分与否向审计委员会提出必要报告。	就现有内部控制提供事实，对本组织现有内部控制系统各部分提供信息。可根据COSO或INTOSAI4框架将报告分成几部分： 控制环境 风险分析 控制活动 信息和交流 内部控制监测 报告不包括对内部控制系统的效果和效率作任何陈述。
所需文件	必须保留事实根据，包括所有文件以支持管理层评估和对内部控制设计及运作效果进行测试。	文件和测试必须足以支持管理层关于内部控制效果的结论。	仅需有限补充文件
更新频率	年度全面更新。季度报告。	年度全面更新。	年度全面更新	两年度
EAUD的介入	EAUD必须就内部控制效果提出报告。 年度评价必须包括对每一进程测试。审计员不能依赖管理层的测试。 如果材料出现问题，必须发布批评意见。	国家审计局对管理层是否采纳指导意见，所作评论是否误导或与其它信息不吻合提出报告，其它信息指审计员了解的来自对财务报告的审计信息。 对内部控制系统必须进行审查，而外部审计员报告对内部控制的效果不提出意见。	EAUD要对管理层就内部控制的正式报告所提的意见是否公正提出看法。审查是根据美国注册会计师协会所制定的标准进行。	EAUD可将内部控制报告作为两年度审计进行审核。
关于资源影响的评论	萨班－奥西利法案是审查的各做法中最具说明性的，特别是在关于程序记载和遵守测试领域。 因而该做法对资金要求最多，这和公司本身测试有关也和外部审计员的工作有关。实施和维持这种报告所阐述的人力和物力若没有本组织将其它资源重新调配是无法实现的。	英国公务员做法要求机构决定怎样能获得必要的保证以对内部控制的效果提出报告。而且外部审计员报告的范围与萨班－奥西利法案所要求的相去甚远。 然而报告不仅限于对财务报告的控制，也包括所有支持该实体实现目标的所有内部控制。 实施这种做法所需资金要少于萨班－奥西利做法，这主要因为对怎样测试和记载内部控制及其效果无须太多描述。可是也需投入大量资金。	IBRD迄今为止的报告格式与萨班－奥西利法案相比需要较少资金，因为无须遵循特定法律框架，测试和文献要求太细。 该做法不受法律要求规范，因而比美国和英国做法更具灵活性。然而在本组织实施类似这样的内部控制报告系统也需占用本组织大量资金。	所需资金取决于报告的详细程度，但与其它三个做法相比只需有限的额外资金。

¹ 世界银行现正实施萨班－奥西利法案404节进行内部控制报告。附件所描述的做法是基于它们迄今为止的报告，这是实施404节之前。

² 由美国仅虚假财务报告委员会COSO委员会推出的内部控制综合框架。

³ 此作法明显不同于其它，不受任何法律框架制约，只有实事而非定性陈述。

⁴ 最高审计机关组织。