1.2.2　内部控制审计

SOX法案的第302条款与第404条款中明令要求上市公司的管理层需要对内部控制的有效性负责，并在对外公开披露财务报告的同时披露经外部独立审计师审计的内部控制自我评价报告。SOX法案的实施是内部控制审计至关重要的转折点，标志着美国企业的内部控制评价报告由自愿性披露阶段正式进入强制性披露阶段。SOX法案的第404条款中首次提到内部控制审计相关含义：会计师事务所对上市公司的管理层设计及执行的内部控制进行外部独立评价并出具评价报告。随后，美国上市公司会计监督委员会（PCAOB）颁布的审计2号准则（以下简称AS2）明确指出，内部控制审计的目标是外部审计师对上市公司的财务报告内部控制有效性发表审计意见。2002年3月，中国注册会计师协会（简称中注协）颁布《内部控制审核指导意见》，明令规定上市公司应聘请外部独立审计师对公司财务报告的内部控制进行审核，并就其有效性发表审核意见。在此阶段，内部控制鉴证业务仅是提供有限保证的审核业务。直至2006年颁布《上市公司内部控制指引》，明令要求上市公司不仅要披露经审计的财务报告，也要披露管理层的内部控制自我评价报告，还需聘任外部独立审计师对内部控制评价报告出具核实意见。2010年，财政部等五部委联合发布《企业内部控制审计指引》，首次以书面形式规范定义内部控制审计：内部控制审计是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。

在内控审计指引中明确内控审计师需要对公司内控缺陷进行识别和评价，将内控缺陷分为一般缺陷、重要缺陷和重大缺陷，并增加了非财务报告重大缺陷的说明。当审计师发现公司存在内部控制重大缺陷或多个重要缺陷时需要出具非标准内控审计意见。一般缺陷和重要缺陷需要审计师对公司董事会进行说明。公司的内部控制评价报告也需要向外部审计师提交。