浅谈国内外内部控制审计制度体系

【摘 要】随着安然、世通等财务欺诈案的频频曝光，内部控制的有效性倍受质疑，内部控制审计问题也引起了社会各界的关注。美国政府及其监管部门对于企业内部控制及其审计进行了全面的检讨与反思，在监管力量的推动下逐步建立起由SOX法案、SEC最终规则和PCAOB审计准则构成的内部控制审计制度体系。2006年《上交所内控指引》和《深交所内控指引》的，显示出我国在充分借鉴其成熟经验的基础上建立了内部控制规范体系。2010年4月《内部控制审计指引》的颁布标志着我国正式确立了内部控制审计制度，内部控制审计业务由原来的非常规性的或面向少数企业的业务，变成了与传统财务报表审计一样的常规性业务，每年需执行一次。内部控制审计制度及其运行成为理论界与实务界关注的焦点。

【关键词】内部控制；内部控制审计；制度

从世界范围来看，美国是内部控制审计发展最悠久、最具代表性的国家。随着制度基础审计的产生，刚开始只是在财务报表审计中关注内部控制，此时的内部控制评价只是个辅业务；随着经济的不断发展，内部控制日益受到重视，内部控制评价也从是财务报表审计的辅业务演变为一项单独的业务，亦即内部控制审核业务；安然事件的发生，SOX法案的颁布，标志着真正意义上的内部控制审计业务的产生。

一、美国内部控制审计制度

美国的内部控制审计制度体系包括三个层次：联邦层次的法律、行政法层次的规范以及行业组织层次的制度。

受2001年安然、世通等事件的影响，美国国会于2002年7月25日颁布了SOX法案。作为联邦层次法律的SOX法案是美国政府机构制定的最具影响力、涉及范围最广的法律。其中404条款（b）规定，会计师事务所必须对管理层内部控制的自我评估报告进行审计。这标志着由内部控制审核业务演变为内部控制审计业务，是内部控制审计发展的一个里程碑。

为了保证SOX法案的有效实施，在SOX法案之后，美国政府监管机构又出台了相关的行政法层次的规范。2003年11月SEC《最终规则》，要求所有公司（投资公司除外）都需要在年度报告中披露会计师事务所对公司管理层的财务报告内部控制评估报告出具的鉴证报告。

为了贯彻SOX法案404条款和SEC的要求，AICPA于2003年3月了财务报告内部控制审计准则（征求意见稿）。在此基础上，PCAOB于2004年了AS2准则，用以详尽、具体地指导审计师对公司管理层出具的内部控制评价报告实施的审计。

自SOX法案和AS2实施以来，PCAOB一直密切关注公司和会计事务所执行各项制度的有关情况。结果显示，AS2的部分条款与SOX法案和SEC《最终规则》的要求有差别，且高额的实施成本引发了很大的争议。因此，2007年PCAOB又了AS5准则，以取代2004年的AS2准则。AS5准则相对于AS2准则进行的改进主要体现以下几方面：（1）要求外部审计师采用自上而下的风险导向审计法，并将审计资源重点集中于高风险领域，以提高审计效率；（2）取消了对管理层内部控制自我评估报告进行评价的要求；（3）鼓励但不强制要求穿行测试在每个重要的流程中必须执行，指出应重视的是穿行测试的目标而不是其程序本身；（4）指出财务报告内部控制审计应当与财务报表审计相结合，即整合审计；（5）允许审计师根据公司的规模和复杂性来制定适合的审计程序。

综上可以看出：

第一，美国内部控制审计制度的建立主要源于监管需求，旨在保护社会公众利益和维护证券市场秩序，无论是SOX法案对管理层内部控制自我评价的审计要求，还是SEC对财务报告内部控制评估报告出具鉴证报告的规定，都围绕不断增强财务报告及相关信息的真实可靠性展开。可见，美国内部控制审计的对象主要是狭义的内部控制方面。

第二，AS2准则和AS5准则是为贯彻SOX法案404条款和SEC的要求，规范注册会计师开展内部控制审计业务，规避审计风险做出的制度安排。美国注册会计师主要关注的是财务报告内部控制，而不是整个内部控制，这在一定程度上减轻了注册会计师的审计风险。

第三，整合审计是一项强制性要求。整合审计是指由公司聘请同一家会计师事务所进行内部控制审计与财务报表审计。AS5准则规定财务报告内部控制审计与财务报表审计必须整合进行。现代审计也因此进入了一个财务报告内部控制审计与财务报表审计平行的整合审计的全新时代。

美国的证券市场起步早、发展成熟，内部控制审计的相关制度也较丰富和完善，相关制度基本协调一致、相互配合，从而引领了内部控制审计的发展方向，被其他国家借鉴和效仿。

二、日本的内部控制审计制度

2004年爆发了西武铁路等财务舞弊事件，为保护投资者利益、强化对企业管理者受托责任的监督，日本开始强调对内部控制的重视。2005年日本颁布了《公司法》，强制要求企业必须设计和实施内部控制。2006年日本了《金融商品法》，被喻为“日本SOX法案”，规定注册会计师对管理层对内部控制的评价发表意见并出具报告。

继美国AS2准则出台后，2005年1月隶属于日本金融厅的企业会计审计会成立了内部控制专业委员会（以下简称委员会），决定对制定管理层对财务报告内部控制有效性进行评价的标准及注册会计师审计标准开始进行审议。同年2月委员会在研究各国内部控制准则的同时，对即在国际上通行又符合日本实际情况且具有有效性的准则进行了审议。

在此基础上，2005年7月委员会公布了财务报告内部控制评价与审计准则的公开征求意见稿，通过对收到的意见进行归纳整理，于12月8日对外公布了《财务报告内部控制评价与审计准则（案）》（以下简称准则（案））。在整理这一准则（案）时，由于很多意见要求拟定这一准则（案）的实施细则和指南。因此，委员会下属的工作小组开始研讨实务方面的具体操作问题，接着对实施准则（案）进行了研究。2006年11月委员会公布了实施准则（案）征求意见稿，为实务操作提供了应用指南。又经过了几个月的广泛讨论和修订工作，委员会在2007年2月15日审议了《意见书》。与此同时，为了配合2006年《金融商品交易法》中关于内部控制报告制度的实施，委员会还公布了《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》（以下简称《准则和实施准则》）。《准则和实施准则》，与根据《金融商品交易法》所引进的内部控制报告制度的施行时间相配合，适用于自2008年4月1日以后开始的会计年度的财务报告内部控制的评价与审计。

《准则和实施准则》中所述的内部控制审计，应与财务报表审计作为一个整体进行，原则上由同一事务所的同一审计员实施。其中还明确规定：内部控制审计的审计计划应与财务报表审计的审计计划作为一个整体拟定，并且在各自审计过程中所取得的审计证据可以相互利用。

三、我国的内部控制审计制度

我国企业内部控制审计业务最早出现在金融类上市公司，目前针对拟公开发行证券的商业银行、保险公司和证券公司等金融类上市公司的内部控制审计的规定已经比较成熟和完善。美国SOX法案等制度的出台直接促使我国制定内部控制强制性制度，也促进了内部控制审计制度的出台。

（一）注册会计师协会的设计

美国SOX法案出台以前，中国注册会计师协会（以下简称中注协）从行业自律视角于2002年2月15日了《内部控制审核指导意见》（以下简称《审核指导意见》）。其中第二条对内部控制审核进行了概念界定，规定注册会计师应对管理层对特定日期与财务报表相关的内部控制有效性的认定进行审核，并发表审核意见。第二十九条规定，注册会计师应当根据审核证据形成意见，出具审核报告。这是我国内部控制审计制度的雏形，对规范注册会计师执行内部控制审核业务，明确工作要求，保证执业质量发挥了重要作用。此时的审核工作范围仅限于与财务报表相关的内部控制，与美国内部控制审计工作范围不谋而合，这大大降低了注册会计师的审核风险，增加了审核的可操作性。

2008年6月为了配合《基本规范》的施行，中注协又了《企业内部控制鉴证指引（征求意见稿）》（以下简称《征求意见稿》），旨在为注册会计师执行企业内部控制鉴证业务提供专业引导服务。第二条规定，会计师事务所应对财务报告内部控制的有效性进行鉴证，发表鉴证意见。此征求意见稿虽未能正式出台，但对内部控制审计制度建设所起的推动作用毋庸置疑。

（二）证券交易所的助推

美国SOX法案出台后，内部控制自我评价和注册会计师内部控制审计评价及评价结果的披露成为强制性规则，这直接催生了我国上交所和深交所“中国版SOX法案”的出台。

2006年6月5日，上交所了在本年7月1日开始执行的《上交所内控指引》。第三十二条规定，公司在年度报告中应会计师事务所对内部控制自我评估报告的核实评价意见。同年，深交所也于9月28日了《深交所内控指引》），于2007年7月1日执行。其中，第六十三条规定，注册会计师应对公司财务报告内部控制情况进行审计并出具评价意见。

前者的规定是针对广义的内部控制，包括财务报告内部控制和非财务报告内部控制，而后者只要求注册会计师针对财务报告内部控制情况出具评价意见，即狭义的内控制。

（三）政府部门的制度安排

美国内部控制审计制度的建立主要源于政府部门监管视角的考虑。而我国最早关注并积极推动内部控制审计的部门是注册会计师协会和证券交易所，政府部门的制度则相对滞后。

为了加强和规范企业内部控制，维护市场经济秩序和社会公众利益，五部委于2006年7月15日联合发起成立了内部控制标准委员会，但是直到2008年6月28日五部委才正式《基本规范》。其中第十条规定，受聘的会计师事务所应对企业内部控制的有效性进行审计，发表审计意见并出具报告。

2010年4月26日，六部委又了《配套指引》。其中《审计指引》是注册会计师执行内部控制审计业务的执业准则。该指引第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。注册会计师需在企业自我评价的基础上开展内部控制审计业务，发表意见出具审计报告，并公开披露。

《审计指引》的颁布标志着企业内部控制审计业务由原来的非常规性业务或面向少数企业的业务，变成了与传统财务报表审计一样的常规性业务，每年需执行一次。综上所述，我国并没有完全照搬美国的做法，而是充分借鉴了其成熟的经验，并充分考虑了我国的国情，最终形成了适应我国实际情况的内部控制审计制度体系。

四、小结

综上所述，美国内部控制审计的相关制度较丰富和完善，相关制度基本协调一致、相互配合，建立了由SOX法案、SEC最终规则和PCAOB审计准则构成的内部控制审计体系。日本也了《金融商品交易法》、《意见书》及其《准则和实施准则》，相关内部控制审计制度也相对完善。我国内部控制审计制度的发展是充分借鉴了国外成熟的经验，并充分考虑了我国的国情，最终形成具备我国特色的内部控制审计制度体系。我国现行的内部控制审计制度规范有注册会计师颁布的《内部控制审核指导意见》，《上交所内控指引》和《深交所内内控指引》，政府部门出台的《基本规范》和《审计指引》。我国现行没有法律层次的内部控制审计制度安排，不具备足够强大的威慑力和影响力，现行制度安排中原则性意见和指导性规则较多，但可操作性不强。不同的部门出台了内部控制审计的相关制度，制度政出多门，虽然各制度都对内部控制及其审计做出了相关说明，但其侧重点不同，所界定的概念及其业务准则都有所差异。

参考文献：

[1]晓芳，张军.美国内部控制评价制度体系的研究及启示[J].未来与发展，2010（3）：78-82.

[2]张龙平，陈作习.美国内部控制审计制度的理论分析及启示[J].中南财经政法大学学报，2009（1）：89-94.

[3]张龙平，陈作习，宋浩.美国内部控制审计的制度变迁及启示[J].会计研究，2009（2）：75-80.

[4]日本企业会计审议会.日本内部控制评价与审计准则[M].李玉环译.大连：东北财经大学出版社，2007.

[5]中国注册会计师协会.内部控制审核指导意见[Z].2002.

[6]中国注册会计师协会.企业内部控制鉴证指引（征求意见稿）[Z].2008.