美国内部控制审计制度及其对我国的启示

美国内部控制审计制度及其对我国的启示

美国内部控制审计制度及其对我国的启示[摘要]内部控制审计是提升企业内部控制有效性的重要制度安排。美国已建立起由SOX法案、SEC最终规则和PCAOB审计准则构成的内部控制审计制度体系，相关规定基本协调一致、相互配合。我国在充分借鉴美国经验的基础上，已于2010年4月初步确立了内部控制审计制度。我国内部控制审计制度演进的基本特征表现为：在注册会计师的保证程度上，从有限保证演变为合理保证；在审计范围上，从财务报告内部控制演变为广义的内部控制；在审计方法上，趋向于内部控制审计与财务报表审计的整合。

[关键词]内部控制审计；SOX法案；审计指引

www.LWlM.com

随着2010年4月《企业内部控制配套指引》(以下简称《配套指引》)的出台，我国已基本建立起内部控制规范体系。该体系包括《企业内部控制基本规范》(以下简称《基本规范》)、18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称《审计指引》)。《审计指引》第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师要在企业内部控制自我评价的基础上开展内部控制审计业务，发表审计意见，出具审计报告，并公开披露。这种制度安排对于促使企业提高经营管理水平和风险防范能力，保护投资人利益，维护证券市场秩序具有重要意义。由于注册会计师针对的是特定基准日的内部控制，特定基准日一般与会计期间的期末资产负债表日一致，所以本文只关注针对期末资产负债日特定时点的内部控制审计，不考虑公司发行上市时的内部控制审计。

一、美国内部控制审计制度及其评价

(一)美国内部控制审计制度

美国的内部控制审计制度体系包括三个层次：联邦层次的法律、行政法层次的规范以及行业组织层次的制度。

受2001年安然、世通等事件的影响，美国国会于2002年7月25日通过了SOX法案。SOX法案作为联邦层次的法律，是美国政府制定的涉及范围最广、处罚措施最严厉且最具影响力的公司法律。其中404条款(b)规定，担任公司年度报告审计的会计公司应当对管理层对内部控制的评价进行测试和评价，并出具评价报告，且上述评价过程不应当作为一项单独的业务。

为了保证SOX法案的有效实施，在SOX法案发布之后，美国政府监管机构又出台了相关的行政法层次的规范。SEC(美国证券监督委员会)于2003年11月发布了《最终规则——管理层对财务报告内部控制的报告及其对定期披露的证明》(以下简称《最终规则》)。《最终规则》要求除投资公司之外的所有公司均须在年度报告中提供一份会计师事务所对公司管理层的财务报告内部控制评估报告出具的鉴证报告。

为了贯彻SOX法案404条款和SEC的要求，PCAOB(美国公众公司会计监督委员会)于2004年发布了《第2号审计准则——与财务报表审计相协同进行的财务报告内部控制审计》(以下简称AS2)，用以具体指导审计人员对公司管理层出具的内部控制评价报告的审计。

自AS2实施以来，PCAOB一直密切监督会计公司执行各项要求的有关进展。监督结果显示，AS2的部分条款不清晰或者与SEC的要求有差别，也有部分条款规定过细，不利于注册会计师的职业判断，或不适合小企业审计的要求。因此，2007年PCAOB又发布了《第5号审计准则——与财务报表审计相结合的财务报告内部控制审计》(以下简称AS5)，以取代2004年发布的AS2。AS5相对于AS2进行的改进主要体现在以下几方面：(1)AS5要求审计人员采用自上而下的方法，将审计资源集中于高风险领域，并尽量减少不必要的审计程序以提高审计效率；(2)AS5取消了对管理层内部控制自我评估程序进行评价的要求；(3)AS5鼓励但不强制要求在每个重要的流程中进行穿行测试；(4)AS5指出在证据充分的情况下，财务报告内部控制审计与财务报表审计可以进行有效的整合；(5)AS5允许外部审计根据公司的规模和复杂性以及它的营运单元来量身定制其审计程序。

(二)简要评述

第一，美国内部控制审计制度的建立主要源于监管需求，旨在保护社会公众利益和维护证券市场秩序。无论是SOX法案对管理层内部控制自我评价的测试和评价要求，还是SEC对财务报告内部控制评估报告出具鉴证报告的规定，都围绕不断增强财务报告及相关信息的可靠性、满足投资者对高质量财务信息的需求展开。

第二，AS2和AS5是为贯彻SOX法案404条款和SEC的要求，规范注册会计师开展内部控制审计业务，规避审计风险做出的制度安排。美国注册会计师主要关注的是财务报告内部控制，而不是整个内部控制，这在一定程度上规避了注册会计师的审计风险。

第三，整合审计是一项强制性要求。整合审计是指同一会计师事务所对同一被审计单位既进行内部控制审计又进行财务报表审计。AS5规定必须由同一家会计师事务所对内部控制审计与财务报表审计整合进行。现代审计也因此进入了一个财务报表审计与财务报告内部控制审计并重的全新时代。

美国的证券市场起步早、发展成熟，内部控制审计的相关制度也较丰富和完善，相关制度基本协调一致、相互配合，从而引领了内部控制审计的发展方向，被其他国家借鉴和效仿。我国在充分借鉴美国成熟经验的基础上，初步建立起了内部控制审计制度。

二、我国内部控制审计制度的分类设计

我国企业内部控制审计业务最早出现在金融类上市公司，目前针对拟公开发行证券的商业银行、保险公司和证券公司等金融类上市公司的内部控制审计的规定已经比较成熟和完善。美国SOX法案等的出台催生了我国内部控制强制性制度的产生，也促进了注册会计师对内部控制有效性进行审计的制度的出台。

(一)注册会计师协会的设计

美国SOX法案出台以前，中国注册会计师协会(以下简称中注协)从行业自律视角于2002年2月15日单独发布了《内部控制审核指导意见》(以下简称《指导意见》)。《指导意见》第二条规定：“本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核，并发表审核意见。”第二十九条规定：“注册会计师应当复核与评价审核证据，形成审核意见，出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用，被认为是我国内部控制审计制度的雏形。此时的审核工作范围仅限于与财务报表相关的内部控制，与美国的内部控制审计工作范围相一致，这大大降低了注册会计师的审核风险，增加了审核的可操作性。

2008年6月，为了配合《基本规范》的施行，中注协又发布了《企业内部控制鉴证指引》(征求意见稿)，旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。其中第二条规定：“本指引所称内部控制与财政部发布的《企业内部控制基本规范》中的定义一致。本指引所称企业内部控制鉴证，是指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。”此征求意见稿将内部控制审计界定在“与财务报告相关的”内部控制，虽未能正式出台，但对内部控制审计制度建设所起的推动作用毋庸置疑。

(二)证券交易所的助推www.LWlM.com

美国SOX法案出台后，内部控制自我评价和注册会计师内部控制审计评价及评价结果的披露成为强制性规则，这直接催生了我国上海证券交易所(以下简称上交所)和深圳证券交易所(以下简称深交所)中国版SOX法案的出台。

2006年6月5日，上交所发布了《上海证券交易所上市公司内部控制指引》(以下简称《上交所内控指引》)，于2006年7月1日开始执行。其中，第三十二条规定：“公司董事会应在年度报告披露的同时，披露年度内部控制自我评估报告，并披露会计师事务所对内部控制自我评估报告的核实评价意见。”同年9月28日，深交所也发布了《深圳证券交易所上市公司内部控制指引》(以下简称《深交所内控指引》)，于2007年7月1日执行。其中，第六十三条规定：“注册会计师在对公司进行年度审计时，应参照有关主管部门的规定，就公司财务报告内部控制情况出具评价意见。”《深交所内控指引》要求聘请的注册会计师只针对财务报告内部控制情况出具评价意见，而《上交所内控指引》的规定则针对广义的内部控制，包括财务报告内部控制和非财务报告内部控制。

虽然这一中国版的SOX法案，因评价标准滞后、内部控制社会认同度低等原因执行效果并不理想，但对加强上市公司内部控制，促进上市公司规范运作、健康发展和提高风险管理水平，保护投资者合法权益起到了积极的作用。

(三)政府部门的制度安排

美国内部控制审计制度的建立主要源于政府部门监管视角的考虑。而我国最早关注并积极推动内部控制审计的部门是注册会计师协会和证券交易所，政府部门的制度则相对滞后。

2006年7月15日，为了统一我国的内部控制的建设并完善企业治理结构和内部约束机制，财政部会同证监会、审计署、银监会、保监会(以下简称五部委)成立了内部控制标准委员会，直至2008年6月28日才正式发布《基本规范》。该规范第十条规定：“接受企业委托从事内部控制审计的会计师事务所，应当根据本规范及其配套办法和相关执业准则，对企业内部控制的有效性进行审计，出具审计报告。”

2010年4月26日，五部委又发布了《配套指引》。其中《审计指引》是注册会计师执行内部控制审计业务的执业准则。该指引第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。注册会计师需在企业自我评价的基础上开展内部控制审计业务，发表意见、出具审计报告，并公开披露。这意味着，企业内部控制审计业务由原来的非常规性业务或面向少数企业的业务，变成了与财务报表审计一样的常规性业务，每年需执行一次。

我国没有完全照搬美国的做法，而是充分借鉴了其成熟的经验，并考虑了我国的国情，最终形成的内部控制审计制度体系与美国相比有自己独特的一面。

三、我国内部控制审计制度演进的基本特征

(一)注册会计师的保证程度：从有限保证演变为合理保证

中注协发布的《指导意见》要求注册会计师对内部控制有效性的认定进行审核，审核程序相对简单，对证据的数量和质量的要求相对较低，只能实现有限保证；而中国版的SOX法案和之后的《基本规范》、《审计指引》都要求注册会计师对内部控制进行审计，计划比较周密，程序也相对复杂，对证据的收集要求更充分、更适当，这就有可能实现合理保证。从有限保证转变为合理保证，可以看出我国对内部控制审计越来越重视。

(二)审计范围：从财务报告内部控制演变为广义的内部控制

基于注册会计师风险规避和成本效益原则，美国只要求注册会计师关注财务报告内部控制审计。我国最初推动内部控制审计发展的是中注协，出于规范审计工作、规避审计风险的考虑，将内部控制审计范围限定在与财务报表相关的内部控制上。当政府相关部门出于保护投资者利益、维护证券市场秩序的需要开始重视内部控制审计制度时，内部控制审计范围被扩展至广义的管理视角下的内部控制。

《审计指引》第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。与要求企业完整而全面地贯彻实施《基本规范》相一致，《审计指引》规定注册会计师审计的范围不限于财务报告内部控制，而是覆盖整个企业的内部控制体系。但是，考虑到注册会计师在内部控制审计过程中的风险责任承担能力，该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见，而对相关审计过程中注意到的非财务报告内部控制重大缺陷，则要求其增加描述段予以披露。

(三)审计方法：内部控制审计与财务报表审计的整合

美国内部控制审计制度体系规定内部控制审计与财务报表审计必须由同一家会计师事务所整合进行。而我国《审计指引》第五条规定，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行(即整合审计)。需要注意的是，此处所指的“整合”，不包括注册会计师对同一家企业既做咨询又做审计的情形。《基本规范》第十条明确规定，为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

内部控制审计