美国内部控制审计制度及其对我国的启示

美国内部控制审计制度及其对我国的启示

[摘要]内部控制审计是提升企业内部控制有效性的重要制度安排。美国已建立起由SOX法案、SEC最终规则和PCAOB审计准则构成的内部控制审计制度体系，相关规定基本协调一致、相互配合。我国在充分借鉴美国经验的基础上，已于2010年4月初步确立了内部控制审计制度。我国内部控制审计制度演进的基本特征表现为：在注册会计师的保证程度上，从有限保证演变为合理保证；在审计范围上，从财务报告内部控制演变为广义的内部控制；在审计方法上，趋向于内部控制审计与财务报表审计的整合。

[关键词]内部控制审计；SOX法案；审计指引

随着2010年4月《企业内部控制配套指引》(以下简称《配套指引》)的出台，我国已基本建立起内部控制规范体系。该体系包括《企业内部控制基本规范》(以下简称《基本规范》)、18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》(以下简称《审计指引》)。《审计指引》第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。即注册会计师要在企业内部控制自我评价的基础上开展内部控制审计业务，发表审计意见，出具审计报告，并公开披露。这种制度安排对于促使企业提高经营管理水平和风险防范能力，保护投资人利益，维护证券市场秩序具有重要意义。由于注册会计师针对的是特定基准日的内部控制，特定基准日一般与会计期间的期末资产负债表日一致，所以本文只关注针对期末资产负债日特定时点的内部控制审计，不考虑公司发行上市时的内部控制审计。

一、美国内部控制审计制度及其评价

(一)美国内部控制审计制度

美国的内部控制审计制度体系包括三个层次：联邦层次的法律、行政法层次的规范以及行业组织层次的制度。 为了保证SOX法案的有效实施，在SOX法案发布之后，美国政府监管机构又出台了相关的行政法层次的规范。SEC(美国证券监督委员会)于2003年11月发布了《最终规则——管理层对财务报告内部控制的报告及其对定期披露的证明》(以下简称《最终规则》)。《最终规则》要求除投资公司之外的所有公司均须在年度报告中提供一份会计师事务所对公司管理层的财务报告内部控制评估报告出具的鉴证报告。

为了贯彻SOX法案404条款和SEC的要求，PCAOB(美国公众公司会计监督委员会)于2004年发布了《第2号审计准则——与财务报表审计相协同进行的财务报告内部控制审计》(以下简称AS2)，用以具体指导审计人员对公司管理层出具的内部控制评价报告的审计。

(二)简要评述

第一，美国内部控制审计制度的建立主要源于监管需求，旨在保护社会公众利益和维护证券市场秩序。无论是SOX法案对管理层内部控制自我评价的测试和评价要求，还是SEC对财务报告内部控制评估报告出具鉴证报告的规定，都围绕不断增强财务报告及相关信息的可靠性、满足投资者对高质量财务信息的需求展开。

第二，AS2和AS5是为贯彻SOX法案404条款和SEC的要求，规范注册会计师开展内部控制审计业务，规避审计风险做出的制度安排。美国注册会计师主要关注的是财务报告内部控制，而不是整个内部控制，这在一定程度上规避了注册会计师的审计风险。

第三，整合审计是一项强制性要求。整合审计是指同一会计师事务所对同一被审计单位既进行内部控制审计又进行财务报表审计。AS5规定必须由同一家会计师事务所对内部控制审计与财务报表审计整合进行。现代审计也因此进入了一个财务报表审计与财务报告内部控制审计并重的全新时代。

美国的证券市场起步早、发展成熟，内部控制审计的相关制度也较丰富和完善，相关制度基本协调一致、相互配合，从而引领了内部控制审计的发展方向，被其他国家借鉴和效仿。我国在充分借鉴美国成熟经验的基础上，初步建立起了内部控制审计制度。

二、我国内部控制审计制度的分类设计

我国企业内部控制审计业务最早出现在金融类上市公司，目前针对拟公开发行证券的商业银行、保险公司和证券公司等金融类上市公司的内部控制审计的规定已经比较成熟和完善。美国SOX法案等的出台催生了我国内部控制强制性制度的产生，也促进了注册会计师对内部控制有效性进行审计的制度的出台。

(一)注册会计师协会的设计

美国SOX法案出台以前，中国注册会计师协会(以下简称中注协)从行业自律视角于2002年2月15日单独发布了《内部控制审核指导意见》(以下简称《指导意见》)。《指导意见》第二条规定：“本意见所称内部控制审核，是指注册会计师接受委托，就被审核单位管理当局对特定日期与财务报表相关的内部控制有效性的认定进行审核，并发表审核意见。”第二十九条规定：“注册会计师应当复核与评价审核证据，形成审核意见，出具审核报告。”《指导意见》对于规范注册会计师执行内部控制审核业务、明确工作要求、保证执业质量发挥了重要作用，被认为是我国内部控制审计制度的雏形。此时的审核工作范围仅限于与财务报表相关的内部控制，与美国的内部控制审计工作范围相一致，这大大降低了注册会计师的审核风险，增加了审核的可操作性。

2008年6月，为了配合《基本规范》的施行，中注协又发布了《企业内部控制鉴证指引》(征求意见稿)，旨在为注册会计师执行企业内部控制鉴证业务提供专业规范和指导。其中第二条规定：“本指引所称内部控制与财政部发布的《企业内部控制基本规范》中的定义一致。本指引所称企业内部控制鉴证，是

指会计师事务所接受委托，对企业与财务报告相关的内部控制的有效性进行鉴证，并发表鉴证意见。”此征求意见稿将内部控制审计界定在“与财务报告相关的”内部控制，虽未能正式出台，但对内部控制审计制度建设所起的推动作用毋庸置疑。

(二)证券交易所的助推

美国SOX法案出台后，内部控制自我评价和注册会计师内部控制审计评价及评价结果的披露成为强制性规则，这直接催生了我国上海证券交易所(以下简称上交所)和深圳证券交易所(以下简称深交所)中国版SOX法案的出台。 虽然这一中国版的SOX法案，因评价标准滞后、内部控制社会认同度低等原因执行效果并不理想，但对加强上市公司内部控制，促进上市公司规范运作、健康发展和提高风险管理水平，保护投资者合法权益起到了积极的作用。

(三)政府部门的制度安排

美国内部控制审计制度的建立主要源于政府部门监管视角的考虑。而我国最早关注并积极推动内部控制审计的部门是注册会计师协会和证券交易所，政府部门的制度则相对滞后。 2010年4月26日，五部委又发布了《配套指引》。其中《审计指引》是注册会计师执行内部控制审计业务的执业准则。该指引第二条规定，内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。内部控制有效性是指企业建立与实施内部控制能够为控制目标的实现提供合理的保证。注册会计师需在企业自我评价的基础上开展内部控制审计业务，发表意见、出具审计报告，并公开披露。这意味着，企业内部控制审计业务由原来的非常规性业务或面向少数企业的业务，变成了与财务报表审计一样的常规性业务，每年需执行一次。

我国没有完全照搬美国的做法，而是充分借鉴了其成熟的经验，并考虑了我国的国情，最终形成的内部控制审计制度体系与美国相比有自己独特的一面。

三、我国内部控制审计制度演进的基本特征

(一)注册会计师的保证程度：从有限保证演变为合理保证

中注协发布的《指导意见》要求注册会计师对内部控制有效性的认定进行审核，审核程序相对简单，对证据的数量和质量的要求相对较低，只能实现有限保证；而中国版的SOX法案和之后的《基本规范》、《审计指引》都要求注册会计师对内部控制进行审计，计划比较周密，程序也相对复杂，对证据的收集要求更充分、更适当，这就有可能实现合理保证。从有限保证转变为合理保证，可以看出我国对内部控制审计越来越重视。

(二)审计范围：从财务报告内部控制演变为广义的内部控制

基于注册会计师风险规避和成本效益原则，美国只要求注册会计师关注财务报告内部控制审计。我国最初推动内部控制审计发展的是中注协，出于规范审计工作、规避审计风险的考虑，将内部控制审计范围限定在与财务报表相关的内部控制上。当政府相关部门出于保护投资者利益、维护证券市场秩序的需要开始重视内部控制审计制度时，内部控制审计范围被扩展至广义的管理视角下的内部控制。

《审计指引》第四条规定，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加“非财务报告内部控制重大缺陷描述段”予以披露。与要求企业完整而全面地贯彻实施《基本规范》相一致，《审计指引》规定注册会计师审计的范围不限于财务报告内部控制，而是覆盖整个企业的内部控制体系。但是，考虑到注册会计师在内部控制审计过程中的风险责任承担能力，该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见，而对相关审计过程中注意到的非财务报告内部控制重大缺陷，则要求其增加描述段予以披露。

(三)审计方法：内部控制审计与财务报表审计的整合

美国内部控制审计制度体系规定内部控制审计与财务报表审计必须由同一家会计师事务所整合进行。而我国《审计指引》第五条规定，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行(即整合审计)。需要注意的是，此处所指的“整合”，不包括注册会计师对同一家企业既做咨询又做审计的情形。《基本规范》第十条明确规定，为企业内部控制提供咨询的会计师事务所，不得同时为同一企业提供内部控制审计服务。

内部控制审计要求对企业控制设计和运行的有效性进行测试，财务报表审计中也要求了解企业的内部控制，并在需要时测试控制，这是两种审计的相同之处，也是整合审计中应整合的部分。虽然内部控制审计和财务报表审计中的内部控制评价各有侧重，不可替代，但两者之间存在着充分的整合基础：首先，《审计指引》运用了《基本规范》中的内部控制概念，但要求注册会计师确定内部控制是否有效时，优先考虑与财务报表相关的内部控制，这与财务报表审计中的内部控制评价客体有交叠之处；其次，评价目的、方法和程序在很多方面表现出的一致性，评价结果的相互借鉴性使两者的整合成为必要和可行。