一、引言
最近,美国公众公司会计监督委员会(PCAOB)发布了新的内部控制审计标准:审计准则5号——《与财务报表审计相结合的财务报告内部控制审计》(Auditing Standard No.5 -An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements,简称AS5)。PCAOB AS5取代了2004年发布的审计准则2号Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements,简称AS2),对内部控制审计和财务报表的审计方式产生了重要影响。AS5强化了PCAOB2005年5月发布的指南,该指南要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计,它被看成是一种内部控制审计实务最好的方法。尽管这种自上而下的风险基础审计方法是AS5关注的核心问题,但是审计准则的其他变化也是非常重要的,如AS5修改了“重要缺陷”和“重大缺陷”的定义、修改了“重大缺陷”显著征兆的构成、明确了审计中重要性的作用等。
二、财务报告内部控制审计准则PCAOB AS5的变化解析
(一)强调了风险和所需获取的证据之间的关系
AS5要求外部审计人员使用自上而下的风险基础审计方法执行内部控制的审计,这种方法首先测试控制环境和了解财务报表,识别和评估重大错报风险。基于风险评估的结果,AS5要求外部审计人员识别需要测试的重要账户和流程。就这点而论,AS5强调风险评估及把风险评估与审计中所需获取的审计证据联系起来。
AS5允许减少业务流程层次的测试。尤其是在公司整体层面的控制较强,并且和业务流程层次的控制紧密相连时;或者公司整体层面的控制十分精确足以防止或发现相关认定的重大错报,外部审计人员通常就能够减少对业务流程层面的控制的测试。这两种情况都要求审计人员对业务流程层面的控制和他们与企业整体层面控制的交互作用有一个充分的了解。
大量的PCAOB检查报告表明外部审计人员并没有使用由上而下的方法。同样报告也表明宣称使用自上而下方法的外部审计人员并没有充分测试和记录企业整体层面的控制和业务流程层面的控制之间的直接联系或没有测试和记录企业整体层面的控制如何防止或发现相关认定的重大错报。PCAOB期望“外部审计人员对风险的评估能对内部控制的审计产生深远的影响”,对风险导向证据的依赖不断增加。
AS5将风险和证据相联系,这就需要摒弃固态的审计方法和以偏概全的思路。尤其是AS5要求外部审计人员应该不断调整他们的程序以反映审计人员所获得的信息,包括从内部控制和财务报表中获得的信息。AS5也指出审计测试的性质、时间和范围的不同组合能够提供与既定控制相关的风险水平相对应的充分的证据。为了成功地实施灵活而弹性的审计,风险评估有必要在自上而下审计方法的每个决策点都进行。
(二)修改了对重要缺陷和重大缺陷的定义
AS2和AS5在定义重要缺陷(significant deficiency)和重大缺陷(material weakness)时考虑了SFAS No.5的三大概率界限:极小可能(remote)、可能(reasonably possible)和很可能(probable)。如果把这三个界限看作是连续性的风险概率的话,还有一系列风险水平介于“极小可能”、“可能”和“很可能”之间。AS2使用“极小可能”来定义重要和重大缺陷,指出重要的缺陷是指一个控制缺陷或若干个控制缺陷的集合,对公司依一般公认会计原则可靠地确认、授权、记录、处理和报告外部财务数据的能力,造成不利影响,使其年度或中期财务报告中重要的错报无法被预防和侦查的可能性大于“极小可能”;重大的缺陷是指一个重要的控制缺陷或若干个重要的控制缺陷的集合,使年度或中期财务报告的重大错报无法被预防和侦查的可能性大于“极小可能”。
AS5用“可能”这个术语替代了原来的“极小可能”,以此来定义重要缺陷和重大缺陷。重大缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合,使公司的年度或中期财务报告的重大错报(material misstatement)可能无法被及时地预防和发现。这种可能性包括可能(reasonably possible)和很可能(probable);重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合,比重大缺陷严重性轻一些,但仍很重要足以引起那些有责任监督公司财务报告系统的人的注意。用“可能”这个专业术语来定义重要缺陷,会将那些介于“极小可能”和“可能”之间的缺陷排除在重要缺陷之外。这样会减少审计师所识别的重大缺陷和重要缺陷的数量。公司的管理层和治理层应该明白这些,当外部审计人员识别出的重大缺陷下降时,不要错误地认为内部控制是安全的。
(三)修订了重大缺陷显著征兆(strong indicators)的构成
AS5取消了需要将已公布的财务情况重述和企业整体层面控制环境失效至少应该看作内部控制重要缺陷和重大缺陷显著征兆考虑的规定。因为这种变化,外部审计师需要使用自己的判断确定何时财务重述或公司整体层面控制失效不必被认为是内部控制的缺陷。
AS5同样也阐明了未修正的重要缺陷不必被认为是重大缺陷的显著征兆,但是公司整体层面上的控制缺陷除外。正因为如此,外部审计师(可能也包括内部审计师)必须要不断地评估公司整体层面的控制是否无效。当公司整体层面的控制环境确实是无效的时候,未修正的重要缺陷将成为重大缺陷的显著征兆。AS5中关于“财务重述和未能对外部审计师建议做出反应是否构成重大缺陷的显著征兆”的观点将很可能导致内部控制否定意见的减少。
(四)阐明了审计中重要性(materiality)的角色
AS2要求审计人员查找所有的内部控制的潜在缺陷,而不仅仅是与财务报表相关的内部控制。这一要求使得公司在总体上采用了COSO框架,包括遵守政府的规章制度、公司的运营、信息的有效性等方面的内部控制。AS5鼓励公司仅仅关注与导致财务报表错报相关的内部控制的缺陷。[page]
更明确的是,AS5指出审计人员在计划和执行内部控制审计时采用的重要性衡量标准应该与计划和执行财务报表审计时所采用的重要性标准一致。这一要求使得外部审计人员审计工作的范围发生改变,可以不再检查内部控制所有的潜在缺陷,而是全力以赴地去寻找导致财务报表重大错报的内部控制的缺陷。
(五)取消了对管理层内部控制自我评估程序进行评价的要求
SEC规则曾要求报表发布者在每一会计年度终了时,使用合适的框架(一般采用COSO内部控制框架,虽然其它框架也能被接受)来评估其内部控制的有效性。为了在AS2的指导下完成审计工作,外部审计人员被要求评价管理层每年的内部控制自我评估程序。如果外部审计人员认为管理层的自我评估程序没有为其内部控制的自我评估结论提供充分的支持,那么就要求外部审计师拒绝对公司的内部控制发表意见。
在AS5和SEC的新的指南下,外部审计人员不再需要评价管理层每年的自我评估程序。然而,为了能够利用其它人员的工作,外部审计人员还需了解管理层的自我评估程序。因此,管理层、内部审计人员以及外部审计师就有必要来协调他们各自的工作。而审计委员会在这一协调过程中发挥着重要的作用。
(六)允许考虑先前审计所获得的信息
AS5允许外部审计人员基于以前年度的审计工作而在某些领域减少测试。这就取消了AS2要求审计师每年必须依靠当年自己的审计工作的规定。AS5要求外部审计人员在执行内部控制测试前,考虑以前年度审计(包括财务报表和内部控制审计)所执行的程序的性质、时间、范围和测试的结果以及自上一次审计以来内部控制或者相关程序的任何变化。在全面的风险评估基础上,外部审计人员应该根据与特定控制相联系的风险决定所需要获得的证据。例如,AS5中,当控制呈现低风险时(如固有风险较低,复杂程度较低,自以前年度审计后没有出现控制或程序的改变,以前年度的测试没有发现缺陷等)可以单独使用穿行测试来评价控制运行的有效性。而在有较高风险的控制中,仅仅采用穿行测试是不够的。但是当年进行的穿行测试以及其它测试的结果可以影响以后年度测试的性质、时间和范围。
AS5不允许减少那些对财务报告相关的内部控制整体有效性起核心作用的控制的测试。所减少的当年的内部控制测试工作(包括性质,时间,范围)必须是该控制对与财务报表相关的内部控制的整体有效性不起核心作用。例如,决算程序的控制对财务报表相关的内部控制整体有效性是起核心作用的,当测试这些控制的时候,以前年度的结果就不再值得依赖。
(七)重新调整多区域测试要求
在AS2的规定下,审计师必须评估他们对公司进行的多区域(multi-locations)或多业务单元(multi-business units)的内部控制测试是否引起对公司的大部分范围都进行了测试。这种要求导致许多审计人员对某一公司进行大范围的了解,测试的覆盖面广,而不考虑和这些区域、业务单元相联系的财务报表中重大错报风险大小。由于AS2关注的是测试的覆盖面而不是错报风险大小,许多公司觉得他们被迫接受了对内部控制的过度审计。AS5的出台取消了“要对公司的大部分区域和业务单元进行控制测试”的要求,取而代之的是要求审计人员采用风险基础的方法来决定测试的恰当的区域范围和业务单元。
外部审计师在决策需要对一个公司的哪些区域或业务单元进行控制测试时,需要将对该区域或业务单元的评估的风险程度及投入该区域或业务单元的审计关注相联系。当某一区域或业务单元单独或和其他区域或业务单元合并一起没有可能引起公司合并会计报表存在重大错报时,外部审计师可以减少对这些区域或单元的进一步关注。在一个低风险的区域或业务单元,外部审计师可以首先评价公司整体层次控制的测试和那些合理保证恰当的控制贯穿于整个组织的控制是否能为它们提供充分的审计证据,而不是直接对这些低风险的区域或业务单元进行控制测试;在决策对哪些区域或业务单元进行控制测试时,外部审计师可以考虑其他人员的工作。例如,如果公司的内部审计人员在计划的工作中包括了对某些区域或业务单元的审计,外部审计师就可以整合内部审计师的工作,降低对业务区域或单元测试的数目。
(八)消除了使用其他人员工作的障碍
AS2要求外部审计师获取重要的证据以支持对内部控制发表的意见。而AS5要求外部审计人员仍然对他们出具的财务报表和内部控制的审计报告负责。但是AS5放宽了外部审计人员可利用的其它人员工作的情况,如利用内部审计人员的工作。
AS2中规定:“在内部控制审计过程中,外部审计人员对控制进行测试时,可以利用内部审计人员,公司的其他人员以及处于管理层指导下的第三方的工作”。然而“在财务报表审计中进行的控制测试中只能利用内部审计人员的工作”。
AS5为何时可以利用其他人员的工作建立了一个统一框架,这个统一框架的基础标准是:被测项目的性质(强调风险和相关的活动),执行测试人员的胜任能力及客观性。而不管这项工作是和公司的内部控制测试有关(只要执行这项工作的人员的胜任能力和客观性足够“高”)还是和财务报表审计有关。外部审计师需要研究如何运用这一框架判断在审计中公司员工的工作可以在何种程度上被利用,以及哪些人的工作可以被利用,哪些人的工作不能被利用。
(九)重新调整了穿行测试的要求
在AS2下,外部审计人员必须对所有主要的交易层次执行穿行测试(walk through),而且穿行测试不能由其他人执行。AS5则鼓励但不强制要求在每个重要的流程中进行穿行测试。同时,在流程层面支持采用穿行测试并不排除使用除穿行测试以外的其他审计技术来获取对重要流程中控制的了解。
AS5也允许外部审计人员利用其他人提供的直接帮助进行穿行测试。然而外部审计人员仍然必须主要和亲自参与到穿行测试中。在寻求其他人员对穿行测试进行帮助前,外部审计人员需要明确哪些穿行测试是重要的,必须亲自执行,这一点非常重要。
(十)为较小的公司量身定制审计
AS5允许外部审计师根据公司的规模和复杂性以及它的营运单元来量身定制其审计程序。
AS5代表了管制者对那些不得不遵循SOX404条款的公司提出问题的合理回应。外部审计人员应该意识到这些变化,并要有意识地探讨如何从资源、应用于财务报表和内部控制审计的方法方面来应对这些变化。[page]
