美日关于财务报告内部控制规定的比较与启示


以安然、世通为代表的发生在本世纪初的一系列特大财务欺诈和审计失败案例大大增加了

立法部门对财务报告内部控制有效性的关注。继美国萨班斯法案颁布以后，日本也制定了

类似的法律和规范。本文将比较美日在评估和审计财务报告内部控制要求上的异同，并提

出对我国财务报告内部控制准则建设的几点启示。

一、美日对财务报告内部控制规定的相同点

1.背景、动机和实质相同。相似的丑闻，相似的动机，导致相似法律法规的制定，这是

二者之间最基本的相同点。二者实质上都要求上市公司的管理层编制和提交内部控制报

告，其中对内部控制有效性的评估是必不可少的组成部分。另外，管理层对内部控制有效

性的评估结果也必须由审计师进行审计并出具审计意见。

2.管理层对内部控制的评估方法基本相同。在管理层评估内部控制有效性时，二者都采

用自上而下的以风险为基础的方法。即首先评估对财务报告可信性有实质性影响的公司层

内部控制，同时充分评估企业内外的风险并考虑整体上可能对财务报告有重大影响的所有

事件，在此基础上再评估业务层的控制，主要侧重可能导致财务报告中重大错报的风险的

评估。

3.财务报告内部控制审计的实施方法和内部控制报告的时间相同。为了充分使用审计证

据，提高审计效率和效果，二者都将内部控制审计与财务报表的审计合并在一起进行，并

且都要求管理层按年度报告对财务报告内部控制有效性进行评估，包括内部控制的设计和

运行情况。
二、美日对财务报告内部控制规定的不同点

1.相关的法律和法规不同。美国萨班斯法案是由美国总统签署并由国会通过的关于上市

公司会计改革和对投资者保护方面的法律，其中302、404和906条款规定了对财务报告

内部控制的要求；美国证券交易委员会（SEC）的最终规则是管理层评估和报告财务报告

内部控制的指南；美国公众公司会计监督委员会（PCAOB）第2号审计准则和第5号审计

准则对审计师审计财务报告内部控制有效性做出了具体、详尽的指导。此外，上市公司还

需遵循证券交易所发布的规定，例如纽约证券交易所、纳斯达克等的规定。在日本，金融

商品交易法于2006年6月由议会通过，其中管理层对披露的准确性的报告、管理层对内

部控制的报告和对管理层评估内部控制的审计报告是管理层和审计师在评估和审计财务报

告内部控制的报告要求；2007年2月公布的“关于财务报告内部控制评估与审计准则以

及财务报告内部控制评估与审计实施准则的制定（意见书）”（简称“意见书”），是管理

层评估和审计师审计内部控制有效性的指南；为了使审计师在实施财务报告内部控制审计

时与意见书一致，日本公认会计士协会在2007年6月发布了“财务报告内部控制指南”。

2.实施的范围和时间不同。美国萨班斯302条款和906条款分别在2002年8月29日和

2002年7月30日生效，而404条款的生效日期几经推迟，最后多数大中型美国本土上市

公司于2004年11月15日后结束的财政年度开始实施，外国发行人和小企业发行人的生

效日期则延后至2006年7月15日。日本金融商品交易法和意见书都于2008年4月1日

开始或以后的财政年度在日本所有的上市公司开始施行，外国发行人也必须同时遵守，并

且对中小型企业也没有特殊规定。

3.内部控制的框架不同。美国萨班斯没有对具体内部控制框架提出要求，但SEC的最终

规则认为，COSO框架满足一个恰当的、被认可的控制框架标准，可以作为管理层评估和

报告内部控制有效性的依据。除COSO框架之外，将来在美国国内也可能开发其他符合条
件且不降低投资者利益的框架。与美国不同，日本在意见书中规定了一个全新的内部控制

框架，它是在COSO框架基础上创建的，但是又超越于COSO框架。除了COSO规定的目标

和要素外，意见书中增加了一个目标（资产的保全）和一个要素（IT的对应）。从表述上

看，日本内部控制框架更加严密；从实用性上看，日本内部控制框架也更能适应经济环境

的发展变化以及日本企业的实际。

4.对IT内部控制的评估不同。美国萨班斯没有规定评估IT内部控制的具体指南，而

IT的对应则是日本内部控制系统的一个重要特征。意见书中实施准则部分明确规定由管

理层评估基于IT的控制是评估业务水平控制的一项重要内容，并定义了IT总体控制和

IT业务处理控制，列举了评估IT总体控制的设计和运行有效性的具体实例；对于关于评

估IT业务处理控制的设计和运行的有效性，也列示了考虑的要点。

5.对缺陷的分类不同。美日都要求在管理层提交的内部控制报告中披露内部控制的重大

缺点。根据缺陷的严重程度，美国将内部控制缺陷分成控制缺陷、显著缺陷和实质性漏

洞，但这种分类会使评估缺陷