中美上市公司内部控制审计比较研究

王骥卓

【摘要】2011年10月，中国注册会计师协会发布了《企业内部控制审计指引实施意见》,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引，这是提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措，也标志着我国对上市公司内部控制制度的逐渐重视。从世界范围看,美国内部控制审计的发展历史最为悠久、最具有代表性,最值得我们借鉴。故本文从内部控制审计发展历程、定义、目标等几方面对两国上市公司内部控制审计进行比较研究。

【关键词】内部控制内部控制审计内部控制审计目标

2010年，我国《企业内部控制基本规范》及配套指引正式发布，这标志我国内部控制已转为过程内控、由会计控制转为全面风险管理型内控，我国企业已进入全面建设内部控制的新时期。2011年10月，中国注册会计师协会发布了《企业内部控制审计指引实施意见》,为注册会计师更有效地执行企业内部控制审计业务提供了全面的技术指引。这是提升我国上市公司财务报告信息披露质量和内部控制水平的重要举措，也标志着我国对上市公司内部控制制度的逐渐重视。从世界范围看,美国内部控制审计的发展历史最为悠久、最具有代表性,最值得我们借鉴。故本文在对美国、中国的上市公司内部控制审计进行梳理基础上，从内部控制审计发展历程、目标、构成要素等几方面对两国上市公司内部控制审计进行比较研究，以期更好地在符合中国国情的基础上，对我国建设和完善内部控制相关规范具有重要意义。

一、内部控制审计发展历程比较

（一）美国上市公司内部控制审计的发展历程

2002年，美国国会颁布了《萨班斯-奥克利法案》，首次提出对“财务报告内部控制”的有效性进行审计的要求。该法案的显著特征就是强制要求所有在美国上市的公司，除了定期的向公众提供财务报告以及相关的公司资料外，同时还要提供企业的内部控制报告，企业的经营者还要对其财务报告信息的真伪及其内部控制运行是否有效进行评价，注册会计师要分别对经营者评价后所报告的财务报告和内部控制制度进行审计，并发表审计意见。

随后，美国公众公司会计监督委员会（PCAOB）发布审计准则，对会计师事务所执行上市公司财务报告内部控制审计工作进行了规范。在当今美国,内部控制审计成为与财务报表审计并行的一种新审计业务,其发展大体经历三个阶段：在财务报表审计中的内部控制评价测试阶段；内部控制审核及报告阶段；财务报告内部控制审计的产生与发展阶段。需要特别说明的是,这三个阶段的划分是为理清美国内部控制审计的基本发展脉络,并不意味着到了内部控制审计阶段,再执行财务报表审计就不用进行内部控制评价了。

（二）我国上市公司内部控制审计的发展历程

2002年2月，中国注册会计师协会发布《内部控制审核指导意见》，对注册会计师就被审计单位管理当局与会计报表相关的内部控制有效性的认定进行审核，进而发表审核意见制定规范，正式确立了我国的内部控制审计制度。2003年4月中国内部审计协会颁布了《内部审计具体准则——内部控制审计》，它是为了规范内部审计人员审查与评价被审计单位的内部控制，根据《内部审计基本准则》而制定的。基于COSO框架的评价方法，从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、监督五个方面评价内部控制系统。

2005年10月，证监会发布《关于提高上市公司质量意见》的通知，要求上市公司对内部控制制度的完整性、合理性及实施的有效性进行定期检查和评估，同时要通过外部审计对公司的内部控制制度及公司的自我评估报告进行核实评价。2008年6月和2010年4月，我国财政部会同证监会、审计署、银监会和保监会等五部门分别发布了《企业内部控制基本规范》和《企业内部控制审计指引》等企业内部控制制度，确立了我国企业内部控制审计制度，要求执行内部控制规范体系的企业，必须聘请会计师事务所对其财务报告内部控制有效性进行审计。其中《企业内部控制审计指引》自2011年1月1日起在境内外同时上市的公司施行，自2012年1月1日起在上交所、深交所主板上市公司施行。2011年12月30日，深圳证券交易所在《关于做好上市公司2011年年度报告披露工作的通知》中第十六条规定：“2011年1月1日起先行执行《企业内部控制基本规范》（财会〔2008〕7号）（以下简称‘《规范》）的A+H公司和内控试点企业（见附件1），应按《规范》的要求披露内部控制自我评价报告和会计师事务所出具的内部控制审计报告。”

由此可见，美国的内部控制制度起步较早，发展已趋于成熟，拥有了一套相对独立，相对完善的准则指导体系。与之相比较，我国的内部控制审计起步晚，内部控制审计业务在我国仍然处于探索起步阶段，制度体系建设较为松散，仍然需要一个逐步适应、不断完善的过程。比如，美国PCAOB颁布的AS5指出的审计对象为管理层对财务报告内部控制的评估报告，而我国颁布的《内部控制鉴证指引》则是以企业内部控制为审计对象。

二、内部控制审计定义比较

（一）美国内部控制审计的定义

2002年6月，美国证券监管委员会（SEC）根据《萨班斯-奥克斯利法案》404条款的规定，要求上市公司的年度财务报告应包括一份对公司财务报告内部控制的评估以及一份由审计人员对此评估出具的审核报告。2004年美国PCAOB后续出台了AS2审计准则，这时内部控制审计的定义变为：公众公司的审计人员需要在财务报表审计的同时进行财务报告内部控制审计。具体来看，美国的内部控制审计定义在这两年中：对内部控制的保证程度从审核到审计在两年之间提高一个档次；评价内容由对评估报告转变为内部控制有效性。

（二）我国内部控制审计的定义

我国《企业内部控制审计指引》指出，内部控制审计，是指会计师事务所接受被审计单位委托，对被审计单位在特定基准日的内部控制设计与运行的有效性进行评价并出具审计意见。首先需要指出的是指引提出的内部控制审计的涵义中特定基准日的概念。这里所指的内部控制审计只是注册会计师基于特定基准日，对被审计单位的内部控制有效性发表审计意见，而不是对财务报表涵盖期间内的内部控制有效性发表审计意见。但由于内部控制的有效性并不是时点性的，而是时段性的概念，因此注册会计师不是只需要对该基准日的内部控制发表意见，而是要考察以该基准日为时点的一段时期内被审一计单位内部控制设计以及运行的情况。其次，《指引》中还指出，被审计单位的董事会应当建立健全并实施有效的内部控制，并对内部控制有效性进行评价，这是企业的内控责任。注册会计师的责任是对被审计单位的内部控制实施审计程序，并对其有效性发表审计意见。也就是说，是否建立并执行有效的内部控制是被审计单位的责任，而注册会计师的责任是对被审计单位内部控制建立与执行的有效性进行审计并发表审计意见。因此，审计对象是内部控制设计与运行的有效性，即设计有效且运行有效。

三、内部控制审计目标比较

众所周知,国际上通常认为内部控制应实现三大目标即合理保证：一是财务报告(含相关信息)的可靠性；二是经营的效率和效果；三是对法律法规的遵守。

（一）美国上市公司内部控制审计目标

2004年美国PCAOB颁布的AS2指出，审计目标是审计人员对管理当局对财务报告内部控制（Internal Control over Financial Reporting，以下简称ICFR）的有效性评估报告发表意见，指出审计人员要合理保证被审计单位的ICFR，在所有重大方面符合COSO报告或类似标准。由于PCAOB审计准则要求实行“整合审计”，通过整合审计，可以同时实现两种审计目标，审计人员既可以通过财务报表审计的发现来检查内部控制是否有效，也可通过ICFR审计得到的发现和结论，帮助审计人员更好地计划和实施审计程序，以确定财务报表是否公允地表达。这样，整合审计能改进两种审计的质量和公正性，有效节约成本。美国PCAOB颁布的AS5的修订中进一步明确内控审计目标，在对财务报告内控和财务报表的综合审计中，审计师应该设计他的控制测试，以同时完成两项审计的目标：一是获取足够的证据，以支持审计师对截至年末财务报告内控的意见；二是获取足够的证据，以支持审计师为审计财务报表开展的控制风险评估。

（二）我国上市公司内部控制审计目标

根据我国《内部控制审计指引》中的定义，内部控制审计的目标是就特定基准日内控的有效性获取合理保证。在整合审计中，注册会计师要同时实现两个目的：获取充分、适当的证据，支持在内部控制审计中对内部控制有效性发表的意见；获取充分、适当的证据，支持在财务报表审计中对控制风险的评估结果。

由此可见，美国强制必须实行整合审计，也必须同时实现两个目标，而中国可以在整合审计时同时实现两个目标；在分开审计时各自的目标也非常明确。

审计准则的国际趋同，不仅仅是国际会计师联合会对会员组织的要求，也是其他国际组织的要求。围绕着审计准则的国际趋同，我国进行了一系列艰苦而卓有成效的探索，取得了很大的成果，实现准则国际趋同，在我国职业界已经达成广泛的共识。

参考文献

[1]李金栋，王建中.中美内部控制审计比较研究[J].财会研究，2010（21）:65-67.

[2]阚京华，曹俊.美国财务报告内部控制审计准则变化解析[J].会计之友，2008（4）:62-63.

[3]普秀玲，王琳.中美内部控制审计发展比较研究[J].财会通讯，2011（1）:139-140.