美国关于内部控制审计准则的改变
萨班斯法案第404条款(SOX404)一直因其严厉性和高昂的合规成本而成为理论界和实务界激烈讨论的问题。2007年5月,美国证券交易委员会(SEC)和公众公司会计监督委员会(PCAOB)都投票通过财务报告内部控制(ICFR)审计的最终准则、相应的独立的规则和对PCAOB原来审计准则的修改。新的第5号审计准则(AS5)《完善财务报告审计的财务报告内部控制审计》正式替代了第2号审计准则(AS2)《财务报告内部控制审计和财务报告审计联合执行》,这个准则应用于所有需要遵循SOX404条款的公司,不论规模大小和复杂程度。AS5要求审计师采用由上而下、风险导向的方法,并将精力集中于那些实质性薄弱环节,从而降低了审计成本,同时仍然能够实现保护投资者信心的目标。 一、AS2的产生和受到的争议 2002年,SOX被SEC接受,用来保护公司在未来不会因为缺少恰当的控制和审计关注而受到潜在的灾难性市场变化的影响。因为SOX是一项非常广泛和彻底的法案,所以非常有必要为审计师评价那些需要遵循SOX的公司提供特定的指南。SOX的一个主要内容是成立PCAOB,负责监管执行公众公司审计的会计师事务所及注册会计师。2004年,为了使审计人员能够胜任对内部控制有效性进行评价,PCAOB发布了AS2,以指导审计的计划与实施。该准则关注对财务报告内部控制的审计工作,以及这项工作与财务报告审计的关系问题。 AS2提出财务报告内部控制审计的目标是对管理层就企业财务报告内部控制有效性的评估发表意见。AS2要求审计人员评价管理层应用于评估内部控制的程序方法的可靠性;复核和使用一些管理层、内部审计人员和其他人的评价过程中取得的测试结果;或自己进行测试,以形成独立意见。SOX和AS2为审计师提供的指导是模糊的,审计师为了避免诉讼,宁愿采取全面的、成本高昂的积极的审计评价。对于SOX的执行成本高、需要花费企业大量资源的非议很多,CFO们开始意识到执行SOX就好像是剥洋葱,执行完一层控制的审计还有另外一层等着被审计。遵循AS2导致了过度审计。CEO和CFO整天忙于为了保证公司的披露控制和内部控制有效性而努力。AS2面临的挑战包括:资源和金钱上的高成本;在最小风险领域花费的努力和金钱;外部审计师不能使用其他人员的工作成果,导致冗余和重复劳动。 二、AS5的产生和主要修改内容 AS5是对许多公司面临的成本和收益困境的必要的回应。AS5使一个企业执行SOX的合规努力更加容易,减少了相关的成本,节省了时间和金钱。这项准则也可以把企业的焦点重新引回到对项目的风险管理上来。 1、AS5的主要目标 虽然AS2的原则还被保留,但是PCAOB的人员指出新准则变化的程度还是不容低估的。这些变化主要关注审计质量的提高,与PCAOB在2006年12月提出的四个目标相一致。 (1)关注最重要事项的内部控制审计; (2)消除为了取得目标利益不必要的程序; (3)提供根据公司规模和业务复杂程度来调整审计工作的清晰的、可以操作的指南; (4)使准则简单化; 2、AS5的主要变化 AS5是基于由上而下的方法和风险导向来评价内部控制。几个主要的变化可以大量减少合规成本并且保持投资者的信心。 (1)由上而下的方法(Top—down Approach) 使用由上而下的方法来评价内部控制意味着一个组织的内部控制评价是从实体层面控制(entity—level controls)的角度开始,再发展到过程层面控制和账户层面控制(process/account level controls)。新准则包括了对实体层面控制三个层次的分类以及每个分类如何影响其它控制的测试。分类包括:①对财务报告要素有直接影响的实体层面控制(direct);②对财务报告要素有间接影响的实体层面控制(indirect);③用来监控其他控制有效性而设计的控制(monitor)。 检验实体层面的控制,首先要保证内部控制的评价按照最普遍和最重要的顺序排序和检验,然后再到最细节和详细划分的地方。目的是集中精力检验关键的控制,借此来避免强调次级控制。减少一些过程层面控制的测试范围对于降低成本的影响是有显著效果的(dramatie)。 在采用由上而下的方法以前,通常都在交易或者过程层面控制执行广泛的测试,而不考虑在更高的层面上是否存在有效的控制。更高层面的控制包括一些项目,比如回顾、差异分析、审批和其他的监控方式。在很多情况下,对更高层次控制进行恰当的确认和适当的考虑能够减少,甚至完全消除过程层面控制的测试。 (2)充分利用风险导向的方法(Leveraging Risk—based Methodology) 风险评估不仅局限于辨别数量上重要的账户,也可以评价所有和财务报告相关的控制。可以定量的风险需要和账户、过程和控制相关联,来评价相应的舞弊风险、IT独立性、对管理人员越权(managementoverride)的敏感性。这个评估的结果会使关注点集中在合规项目和相关高风险领域的测试,同时显著地减少测试工作和控制失败的机会。通过评价和区分风险,审计师减少了低风险控制的测试,集中精力发现和评估承担着风险的项目。 AS5也同样要求在IT控制中使用风险导向的方法。IT风险是辨认和分析财务报告风险的拓展。通过把IT风险评估作为财务风险评估的一个组成部分,企业能够减少花费在设计和应用信息技术控制上的资本支出的金额。在财务报告风险评估的过程中,通过辨别和重要的IT应用相关的风险将会保证时间和资源的合理使用。IT控制通常是最有效率和效果的控制手段,因为一旦被应用就不会被改变。 (3)使用其他人工作成果的能力(use the work of others) PCAOB不再推荐使用准则《在审计中考虑和使用其他人的工作》(Considering and Using the Work of Oth-ers in an Audit)。相反,PCAOB的人员把这个准则中重要的方面整合到AS5中,鼓励审计师使用公司员工和内部审计师的工作成果。现行的AU322条款依然有效。 在评价企业的控制的时候,AS5允许外部审计师依赖其他人的工作成果。这个新的使用范围使得公司能够允许外部审计师依赖已经完成的交易测试和已经被管理层应用并且经过内部审计人员检验的控制,从而减少不必要的程序。 外部审计师在确定是否依赖其他人工作的时候要考虑三个因素:被测试事项的性质;执行测试人员的`专业胜任能力;执行测试人员的客观性。 考虑到外部审计的功能和责任,内部审计的过程越精确,外部审计师就越会信赖内部审计,执行更窄、更有效的测试范围,从而节省了劳动和成本并且同样保证了有效。 AS5使用其他人工作的范围包括分享管理当局、内部审计师和外部审计师所掌握的情况,极大地提高了效率。因此,有效地执行AS5的合规策略时,在可能的情况下,鼓励内外审计师的协作很重要。 (4)豁免了审计师对管理层内部控制评价程序的恰当性发表意见的要求 这可以大大减少审计时间,降低审计成本。PCAOB的人员声明在他们编写最终准则的过程中,非常注意区分审计师和管理当局在角色和责任上的差异,管理当局的评估和审计师的评价是相互补充的,并且必须都以加强财务报告的可靠性的思想来执行。因此,管理当局日常的与内部控制的互动使他的评估过程不同于审计师,审计师对于企业的熟悉程度远不如管理当局,也不会像管理当局那样经常地、有规律地与内部控制互动。 (5)审计师可以根据企业规模和复杂性调整审计工作 AS5整合了之前关于根据规模和复杂性调整审计工作的讨论,去掉了AS2中关于审计工作规模的单独的部分。PCAOB的人员也指出未来的准则。他们计划放松对于小企业和较少复杂性企业的内部控制审计的审计工作规模,这使得审计师可以根据每个公司的实际情况来调整审计工作。 3、AS5的其他变化 (1)统一PCAOB的审计准则和SEC的管理层解释指南中的术语 在可能的情况下,努力使得两个文件中的术语、定义和方法保持一致,使两个文件在关于ICFR的评估和判断过程相一致。例如:实质性薄弱环节(material weakness)和重大缺陷(significant deficiency),用实体层面控制(entity—level controls)取代公司层面控制(company—level controls)等。 (2)澄清了穿行测试的要求 在分析过评论意见之后,PCAOB的人员认为AS2对于穿行测试的指导掩盖了目标(overshadowed the objective)。因此,新准则要求审计师更加关注穿行测试的目标,而不是程序本身。不是特定类型的检查需要穿行测试,而是准则要求审计师获得对可能的错报的有效理解并且确定需要测试的控制。 (3)强调审计师的职业判断 AS5减少了说明性需要的数量,去掉了对于重大过程和交易事项主要分类的指导,允许审计师根据准则的原则执行更多的专业判断。可能导致不必要审计程序的强制性用语“必须”和“应该”的数量减少,允许审计师根据公司的实际情况安排审计的性质、时间和程序。因此,最终的准则非常强调审计师的职业判断。 (4)欺诈控制 欺诈评价是SOX合规项目中的重要组成部分,每个公司都有欺诈风险的固有水平。控制必须被设计成强调管理层越权的风险。对于欺诈的考虑贯穿到整个实体层面控制和其他普通控制的测试中,审计师应该在过程中就考虑控制如何能被合作方的逆向意图击溃。评价欺诈控制需要对企业有详尽的了解来形成企业存在舞弊可能的判断。理解那些在财务报告过程中起影响作用的财务报告环境很重要,包括品质、态度、伦理道德、动机和压力等。 对于小型的、组织结构简单的公司,评价管理层越权的风险在欺诈控制因素中特别重要。管理层可能的越权行为有:故意错报收入的性质和时间;记录虚假的交易;改变交易的合理的时间;建立或者反向操作结果;改变重要的或者非经常交易的相关记录。 理解企业的预算状况也很重要。对于不切实际的预算的早期质疑能有效地防范管理层控制越权来实现不切实际的目标。
最新推荐