近年来，国内外很多上市公司出现的财务舞弊事件让企业的投资人、监管机构和其他信息使用者对企业内部控制的有效性产生了质疑，各国逐渐意识到有必要对上市公司内部控制制度的完善程度与有效程度进行相应的披露和评价。美国率先于2002年公布了以强化会计审计责任、规范企业行为、提高财务报告信息可靠性的《萨班斯——奥克斯利法案》（简称萨班斯法案），该法最显著的特征之一是要求所有在美国上市的企业，除定期提供财务报告及相关资料外，还要提供企业内部控制报告，并要求企业经营者对财务报告信息的真伪及内部控制运行的有效性进行评价，注册会计师要对经营者评价后报告的财务报告和内部控制制度分别进行审计并发表审计意见。日本在美国安然事件之后，同样也对当时采用的会计、审计制度进行了研究和反思，并于2006年6月7日通过了《金融商品交易法》，将对企业内部控制评价及审计的要求列入法律，之后于2007年2月15日由企业会计审议会公布了《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定（意见书）》，要求上市公司于2008年4月1日以后的会计年度开始实施，为企业内部控制评价以及公认会计师对内部控制鉴证提供技术规范和指导。

我国在2008年6月，由财政部等五部委联合下发了《企业内部控制基本规范》（以下简称规范），2010年4月26日，又联合发布了《企业内部控制应用指引》、《企业内部控制评价指引》及《企业内部控制审计指引》。此举必将有利于我国上市公司及大型国有企业内部控制制度的完善和有效性的提高，最终有利于增强上市公司信息披露的质量，为投资者正确决策提供相关信息。

本文特选取中、美、日三国的内部控制审计规范为研究对象，分析其中存在的差异，并为审计人员掌握和执行内部控制审计规范提供参考。

一、内部控制审计范围比较：与财务报告相关内部控制还是全部内部控制

美国的内部控制审计规范主要体现在萨班斯法案以及为配合其实施而由美国公众公司会计监督委员会（简称PCAOB）制定的《审计准则5号——内部控制审计》（简称AS5）。AS5明确规定该准则适用于审计师接受委托，对与财务报表审计有关的管理层对财务报告内部控制有效性评估所实施的审计。因此，美国的内部控制审计范围是与财务报告相关的内部控制。

日本的内部控制审计规范主要包括日本企业会计审议会发布的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》，这两部准则都是为了配合日本《金融商品交易法》规定的内部控制报告制度而制定的。两部准则规定，管理层对财务报告内部控制有效性评价的合理性应当由承担该企业财务报表审计的注册会计师的审计予以保证。因此，日本的内部控制审计的范围也是与财务报告相关的内部控制。

与美日相比，我国内部控制审计的范围有所不同。《内部控制审计指引》规定，“内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。”指引强调，“注册会计师执行内部控制审计工作，应当获取充分、适当的证据，为发表内部控制审计意见提供合理保证。”同时进一步指出，注册会计师应当对财务报告内部控制的有效性发表审计意见，并对内部控制审计过程中注意到的非财务报告内部控制的重大缺陷，在内部控制审计报告中增加‘非财务报告内部控制重大缺陷描述段’予以披露。”因此，我国内部控制审计的范围是“广义”的内控，不只包括对财务报告内部控制有效性发表审计意见，还需要对非财务报告内部控制重大缺陷予以描述。这些规定传达出一个重要的信息，即：注册会计师审计的范围应当覆盖企业内部控制整体而不限于财务报告内部控制。这与要求企业完整而全面地贯彻实施内部控制规范体系是一致的。但是，考虑到注册会计师在内部控制审计过程中的风险责任承担能力限制，该指引要求注册会计师针对企业财务报告内部控制有效性发表审计意见，而对相关审计过程中注意到的非财务报告内部控制重大缺陷，要求其增加描述段予以说明。

二、内部控制审计执行方式比较：整合审计还是单独审计

在内部控制审计的执行过程中，AS5规定财务报告内部控制审计应当与财务报表审计相结合。虽然两种审计的目标不同，但是审计师必须规划和实施审计工作，以同时实现两种审计目标，从而支持审计师对年末财务报告内部控制的意见，支持审计师为财务报表审计而实施的控制风险评估。因此，对于美国而言，内部控制审计的实施采取的是财务报告内部控制审计与财务报表审计相结合的整合审计。

日本《财务报告内部控制评价与审计准则》指出，内部控制审计原则上由同一审计人员（不仅意味着同一审计事务所，也意味着同一执行业务的合伙人）与财务报表审计作为一个整体进行。承担财务报表审计的审计人员，对管理层进行的财务报告内部控制有效性的评价结论进行审计，目的在于对管理层编制的内部控制报告是否依据一般公认合理的内部控制评价准则，在所有要点上是否适当表明内部控制有效性的评价结论，将基于审计人员自身取得的审计证据进行判断的结果作为意见并予以标明。在内部控制审计过程中所取得的审计证据，可以作为财务报表审计中内部控制评价的审计证据使用，财务报表审计过程中所取得的审计证据也可以作为内部控制审计的证据使用。

由此可见，美国和日本在执行内部控制审计时采用的手段相同，都是将财务报表审计与内部控制审计二者相结合，同时收集证据，并将所有资源同时应用于财务报告内部控制审计和财务报表审计，即将内部控制审计与财务报表审计打包作为一个整体同时进行，不仅审计资源共享，而且审计执行同步，从而达到了节约审计资源、提高审计效率的目的。而我国在《内部控制审计指引》中明确表明，注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。在整合审计中，注册会计师应当对内部控制设计与运行的有效性进行测试，以同时实现下列目标：一是获取充分、适当的证据，支持其在内部控制审计中对内部控制有效性发表的意见；二是获取充分、适当的证据，支持其在财务报表审计中对控制风险的评估结果。整合审计作为国际上普遍采用的方法，有利于提高审计效率。

三、内部控制审计报告比较：合并编制还是单独编制

AS5规定，审计师可以选择对公司的财务报表和财务报告内部控制出具一个联合的报告（即一个报告既包含对财务报表的意见又包含对财务报告内部控制的意见）或多个单独的报告。因此，美国对内部控制审计报告的出具是既可以联合编制也可以单独编制。与美国不同，日本的《财务报告内部控制评价与审计准则》和《财务报告内部控制评价与审计实施准则》要求，公认会计师编写审计报告，对管理层内部控制评价报告发表审计意见，内部控制审计报告原则上与财务报表审计的审计报告合并编写。

而我国《内部控制审计指引》虽然规定注册会计师可以进行整合审计，但是在出具报告时，要单独编制内部控制审计报告，即要求注册会计师出具的审计报告涉及财务报告内部控制和非财务报告内部控制两大方面，且不与财务报表审计报告合并。■

责任编辑 张璐怡