（江西理工大学软件学院 江西南昌 330013）

一、美国财务报告内部控制（ICOFR）评价

（一）ICOFR评价披露方式：由自愿转为强制。美国早在1934年就强制要求企业建立和保持内部控制体系，为企业财务报告准确性和资产的安全性提供合理保障。1934年《证券交易法》是美国第一次对内部控制进行的立法。1977年美国国会通过的《反国外贿赂法》中有关会计条款就要求在美国上市的公司保持适当的内部控制系统，它极大提高了公司内部控制的地位。1979年和1988年SEC也曾两次提议上市公司应对外披露内部会计控制信息，但因大、小公司质疑其执行成本过高遭到有关各方强烈反对而被搁置。之后，COSO在1992年发布了《内部控制——总体框架》，提出公司管理层应定期对企业内部控制的合理性及执行的有效性进行评价并对外出具报告，但当时内部控制信息始终是自愿披露的。因此，美国ICOFR由直接披露向强制披露的过程一直受到各方的争议。

安然事件以及之后一系列财务丑闻的爆发，使企业监管层认识到有效的内部控制对于保证财务报告可靠性的重要作用。在这一背景下，2002年美国国会最终通过了《萨克斯—奥克斯利法案》（简称 SOX法案），该法案的302节和404节要求公司管理当局评价和报告公司的财务报告内部控制，独立审计师对公司ICOFR的评价进行鉴证。2003年6月5日SEC发布了最终规则，规定了上市公司执行SOX法案内部控制信息要求的具体内容。随后，美国成立了公众公司会计监督委员会 （简称PCAOB），该委员会先后制定了审计准则第2号和第5号来规范和指导审计师的审计行为。至此，美国上市公司内部控制信息披露由自愿披露正式转变为强制披露方式。

（二）ICOFR评价内容：由公司全部经营效率转为与财务报告相关。根据SOX法案的302节“公司财务报告的责任”和404节“管理层对内部控制的评价”以及SEC的相关规定，美国上市公司ICOFR评价与报告应该包括两部分内容：一是公司管理层对ICOFR有效性进行评价，并向公司审计委员会和对外发报告；二是注册会计师对管理层ICOFR有效性评价发表鉴证意见。美国的做法是基于监管成本以及监管效力等因素的考虑，故监管层目前只选择了对ICOFR的披露进行管制，对内部控制的其他方面则更多地采用自愿的形式，这突出了ICOFR的重要性，避免了内部控制披露要求的面面俱到，而实际执行时却流于形式，所以ICOFR评价内容具有明显的针对性和可操作性。

（三）ICOFR评价的执行成本：中小企业难以承受。SOX法案以及相关的根本性立法给美国公众公司和投资者带来了很大的利益，它对于投资者起到了重要的保护作用，是最为有效的威慑舞弊的防范措施。但它曾遭到美国包括大、小公司的利益集团的空前反对。他们认为执行404节和302节造成大量的执行成本。按照2003年6月SEC最终规则的估计，上市公司执行404节的平均成本在91 000美元左右。国际财务执行官协会（FEI）研究发现，第一年404节执行成本支出在310-810万美元之间，第二年上市公司执行成本仍然高达380万美元。设计和维护流程文件、测试关键控制和注册会计师鉴证被认为是执行成本中最高的前三位 （美国Parveen P.Gupta，2006），与第一年实施 SOX 的成本相比，第二年执行SOX的各种成本大幅下降。此外还有以下潜在因素对注册会计师评价ICOFR的成本有较大影响：（1）缺少SEC或其他专业组织制定的实务指南。（2）详细评价法导致成本高、效率低。（3）注册会计师和公司管理层执行团队合作不佳以及受成本效益原则的困扰。为了进一步落实SOX法案，美国SEC和PCAOB采取了多项措施，以设法降低内部控制评价制度的成本和增进其执行效果。比如，推迟小企业及外国大企业404节的实施时间，针对小企业开发了《小企业内部控制框架》，制定第5号审计准则以取代第2号审计准则，精简审计程序，使用整合审计的工作成果等。

二、日本财务报告内部控制评价

（一）日本ICOFR评价依据：两个层次。日本ICOFR评价依据包括两个层次：法律法规层次——2006年6月日本议会通过的《金融商品交易法》；技术规范层次——2007年2月日本企业会计审计会正式发布的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定（意见书）》和同时颁布的《财务报告内部控制评价与审计准则》（简称为评价与审计准则），以及《财务报告内部控制评价与审计实施准则》（简称为实施准则），要求上市公司自2008年4月1日以后开始进行会计年度ICOFR的评价与审计。以上法规共同为企业管理层以及公认会计师对ICOFR评价提供指导。日本内部控制评价与审计准则主要由三部分组成：内部控制基本框架、财务报告内部控制评价及报告和财务报告内部控制的审计。“财务报告内部控制评价及报告”和“财务报告内部控制的审计”分别阐述了管理层对财务报告内部控制的有效性评价和注册会计师进行审计的思路。

（二）日本ICOFR的基本框架——超越COSO框架。在借鉴美国SOX法案主要内容的基础上，日本在意见书中规定了全新的内部控制框架，提出了建立内部控制的四个目标和六个基本要素。四目标：除了COSO报告中包括的提高业务活动的效率性、财务报告的可靠性与经营活动的合法性三个目标外，还增加了“资产保全”目标。内部控制的基本要素，除了吸收美国COSO报告中的关于控制环境、风险评估、控制活动、信息与沟通和监控被多数国家认可的五要素以外，考虑到随着IT环境变化发展，IT渗透企业以及信息系统反馈与ICOFR制度密切相关，日本增加了“对IT的应付”这一新的基本要素。IT的应对在内部控制框架中体现了日本信息技术的飞跃发展对组织产生的深刻影响。IT内部控制是日本内部控制框架的重要特征。在管理层评估内部控制有效性时，日本与美国都是采用自上而下基于风险导向的方法。但与美国不同的是，日本意见书实施准则规定：由管理层评估使用IT的控制是评估业务水平控制的重要内容。实施准则包括：使用IT内部控制的评价、评价范围的决定、评价单位的认定及使用IT的内部控制的构建状况和运行状况有效性的评价四方面。

（三）日本ICOFR评价——与财务报告审计相关联。具体体现在：（1）ICOFR评价与财务报表审计协同进行。两个审计过程可由同一个注册会计师执行，并且可互相利用对方的审计证据。这样可以缩小测试范围，减少审计工作量和降低执行成本。（2）主要评价与财务报告相关的内部控制。内部控制是一个非常广泛的概念，日本审计准则的内部控制评价范围只与财务报告相关，这与美国相同。日本准则同时对公认会计师进行ICOFR的评价范围做了要求，其内容主要包括管理层对内部控制评价范围的适当性、评价范围所选择方法的合理性、内部控制有效性评价适当性以及内部控制重大缺陷的报告适当性等几部分。（3）内部控制评价报告原则上可与财务报表审计合并编制。所以日本财务报告内部控制评价执行标准是与财务报告审计相关联的。日本以上的做法也是基于成本效益原则的考虑。

三、美日经验对我国的借鉴

美国的财务报告内部控制体系较为成熟，而日本的经济和人文环境与我国较为相似，美、日两国ICOFR评价经验对于我国上市公司如何实施ICOFR评价具有重要的借鉴意义。

（一）关注IT的应对。2008年6月我国五部委联合发布了《企业内部控制基本规范》，表明我国在内部控制评价和审计中取得了重大成就。但基本规范中提出的我国内部控制五要素中不包括内部控制IT的应对，这不得不说是一个缺憾。目前IT环境迅速发展，IT已渗透到企业经济业务的各方面，组织的业务内容在很大程度上依赖信息技术，组织信息系统与IT高度结合，如果离开了IT信息技术上市公司将无法进行业务活动。上市公司各项业务活动对IT的应对已成为公司实现内部控制目标必不可少的内容，因此我国应借鉴日本的做法，将IT的应对作为内部控制的基本要素之一，及时制订与IT内部控制相关的ICOFR评价和审计的具体措施。

（二）通过法律形式对我国ICOFR的有效性评价进行强制性规定并严加监管。我国开展内部控制评价和审计工作时间不长，取得了一定的成就，企业内控重视程度、经营管理水平、风险防范与应对能力都有显著提高，但也存在不少问题。截至2012年12月1日，沪、深交易所共有2 492家上市公司，其中2 244家披露了内部控制评价报告，占比90.64%，还有9.36%没披露；有2 236家上市公司未披露内控缺陷，占比99.64%，8家上市公司内控存在重大缺陷。内部控制审计情况：2012年共有1 532家上市公司披露了内部控制审计报告，占比仅为61.48%，其中内控审计结论为标准无保留意见的为1 506家，占98.%，非标准意见的是26家，占1.7%。从中可以看出，目前还有不少上市公司未披露ICOFR评价和审计的情况，公司财务报告的可靠性无法得到保证。所以我国有必要借鉴美国的做法，通过法律形式对ICOFR的有效性评价进行强制性规定。为了更好地推动内控规范体系的落地，应针对不同行业以及企业现实需求，研究特殊行业运作特点、共性风险和行之有效的控制措施，及时制定和发布行业实务指南。针对目前有些公司内控缺陷认定的随意性，监管部门应研究制定内控缺陷认定指南。在修改《会计法》、《证券法》等相关法律法规时增加内部控制相关条款，提升内控要求的法律层次，进一步明确企业及相关中介机构对内控的责任。要建立健全考试和培训制度，将内控的规范知识纳入到会计从业和专业技术职称考试以及继续教育的内容中，培育壮大内控专业技术队伍人才。财政部、证监会及派出机构要加大监管资源的投入，形成合力，加大对有关企业、会计师事务所和咨询机构实施规范体系的监督检查力度，坚决查处内控评价工作走过场、缺陷认定不客观、评价结论不适当和内控信息披露不充分的违规违法行为。

（三）明确内部控制评价范围和审计方法与财务报告相关且协同整合。根据前面的论述可知，第一，目前美国和日本的内部控制评价与财务报告相关，这样可突出重点和降低高昂的评价费用以降低内控评价的工作阻力，使公司内控评价工作得以顺利开展。第二，美国第5号审计准则明确指出，审计人员在进行财务报告审计的同时进行ICOFR的审计，并提出了整合审计理念，日本在相关准则中也明确要求内部控制审计和财务报告审计两个过程协同进行，并且可以由同一家会计师事务所的同一注册会计师进行，因为它们程序关联，目标一致，相互补充。而我国《企业内部控制应用指引》和《企业内部控制评价指引》规定企业内部控制评价范围是全面的评价，与其相适应的鉴证必然是全面的。由于企业内部控制具有复杂性和多样性，注册会计师对被审计单位内部控制进行全面了解和评价是非常困难的。另外，我国《企业内部控制审计指引》规定注册会计师可以进行内部控制审计，也可将内部控制审计与财务报告审计整合进行。这与美国和日本的相关规定不同。所以建议我国应借鉴日、美两国的做法，将我国企业内部控制的评价范围和方法明确为与财务报告相关且协同整合进行。这样不仅可以充分利用审计资源，而且还可以大大降低ICOFR评价成本，提高ICOFR的评价质量和效率。