美国财务报告内部控制审计准则变化解析_PCAOBAS5和PCAOBAS2的比较

P C AO BAS5 和 P C AO BAS2 的比较南京大学阚京华南京财经大学会计学院曹 俊南京财经大学会计学院【摘 要】 2007 年 7 月, 美国公众公司会计监督委员会( PCAO B) 发布了新的内部控制审计标准PCAO B AS5与财务报表审计相整合的财务报告内部控制审计, 该准则取代了 2004 年发布的 PCAO B AS2。由此, 对内部控制审计和财务报表的审计方式产生了一定的 影响。本文采用比较的方法阐述了 PCAO B N O .5 和 PCAO B N O 2 针对内部控制审计要求的变化, 有助于外部审计师在资源和方法等方 面做出改变, 以完成财务报表和内部控制审计。【关键词】 PCAO B AS5; PCAO B AS2; 内部控制; 内部控制审计一、引言最近, 美国公众公司会计监督委员会 ( PCAOB) 发布了新的内部控 制审 计标准 : 审 计 准 则 5 号与 财 务 报 表 审 计 相 结 合 的 财 务 报 告 内 部 控 制 审 计( Aud itingSta nd a rd No.5 - An Aud it of Inte rna l Control Ove r Fina nc ia l Re p orting Tha t Is Inte g ra te d with An Aud it of Fina nc ia lSta te me nts , 简 称 AS5) 。PCAOB AS5 取代了 2004 年发布 的审 计准 则 2 号 Aud it- ing Sta nd a rd No.2- An Aud it of Inte rna l Control Ove r Fina nc ia l Re p orting Pe r- forme d in Conjunc tion with An Aud it ofFina nc ia l Sta te me nts , 简 称 AS2) , 对 内 部控制审计和财务报表的审计方式产生了重 要影响。AS5 强化了 PCAOB2005 年 5 月 发布的指南, 该指南要求外部审计人员使 用自上而下的风险基础审计方法执行内部 控制的审计, 它被看成是一种内部控制审 计实务最好的方法。尽管这种自上而下的 风 险 基 础 审 计 方 法 是 AS5 关 注 的 核 心 问通常就能够减少对业务流程层面的控制的测试。这两种情况都要求审计人员对业务 流程层面的控制和他们与企业整体层面控 制的交互作用有一个充分的了解。大量的 PCAOB 检查 报告 表明外 部审 计人员并没有使用由上而下的方法。同样 报告也表明宣称使用自上而下方法的外部 审计人员并没有充分测试和记录企业整体 层面的控制和业务流程层面的控制之间的 直接联系或没有测试和记录企业整体层面 的控制如何防止或发现相关认定的重大错 报。PCAOB 期望“外部审计人员对风险的 评 估 能 对 内 部 控 制 的 审 计 产 生 深 远 的 影 响”, 对风险导向证据的依赖不断增加。AS5 将风险和证据相联系, 这就需要摒弃固态的审计方法和以偏概全的思路。尤其 是 AS5 要求外部审计人员应该不断调整他 们的程序以反映审计人员所获得的信息, 包 括从内 部 控 制 和 财 务 报 表 中 获 得 的 信 息 。 AS5 也指出审计测试的性质、时间和范围的 不同组合能够提供与既定控制相关的风险 水平相对应的充分的证据。为了成功地实施 灵活而弹性的审计, 风险评估有必要在自上 而下审计方法的每个决策点都进行。( 二) 修改了对重要缺陷和重大缺陷的 定义AS2 和 AS5 在定义重要缺 陷( s ig nifi-c a nt d e fic ie nc y) 和 重 大 缺 陷( ma te ria l we a kne s s) 时 考 虑 了 SFAS No.5 的 三 大 概 率 界 限 : 极 小 可 能( re mote) 、可 能( re a -s ona b ly p os s ib le) 和很可能( p rob a b le) 。 如果把这三个界限看作是连续性的风险概 率的话, 还有一系列风险水平介于“极小可 能”、“可能”和“很可能”之间。AS2 使用“极 小可能”来定义重要和重大缺陷, 指出重要 的缺陷是指一个控制缺陷或若干个控制缺告的重大错报无法被预防和侦查的可能性大于“极小可能”。AS5 用“可能”这个术语替代了原来的 “极小可能”, 以此来定义重要缺陷和重大 缺陷。重大缺陷是指财务报告内部控制中工作 研 究的一个缺陷或若干个缺陷的集合,使公司的 年 度 或 中 期 财 务 报 告 的 重 大 错 报( ma -te ria l mis s ta te me nt) 可 能无法 被及 时 地 预 防 和 发 现 。 这 种 可 能 性 包 括 可 能( re a -审s ona b lyp os s ib le) 和很可能( p rob a b le) ;重要缺陷是指财务报告内部控制中的一个缺陷或若干个缺陷的集合 , 比重大缺陷严 重性轻一些, 但仍很重要足以引起那些有 责任 监 督 公 司 财 务 报 告 系 统 的 人 的 注 意 。 用“可能 ”这 个 专 业 术 语 来 定 义 重 要 缺 陷 , 会将那些介于“极小可能”和“可能”之间的 缺陷排除在重要缺陷之外。这样会减少审 计 师 所 识 别 的 重 大 缺 陷 和 重 要 缺 陷 的 数 量。公司的管理层和治理层应该明白这些, 当 外 部 审 计 人 员 识 别 出 的 重 大 缺 陷 下 降 时, 不要错误地认为内部控制是安全的。( 三) 修订了重大缺陷显著征兆( s trong ind ic a tors) 的构成AS5 取消了需要将已公布的财务情况 重述和企业整体层面控制环境失效至少应 该看作内部控制重要缺陷和重大缺陷显著 征兆考虑的规定。因为这种变化, 外部审计 师需要使用自己的判断确定何时财务重述 或公司整体层面控制失效不必被认为是内 部控制的缺陷。AS5 同样也阐明了未修正的重要缺陷 不必被认为是重大缺陷的显著征兆, 但是 公司整体层面上的控制缺陷除外。正因为 如此, 外部审计师 ( 可能也包括内部审计计广角题,但是审计准则的其他变化也是非常重要的, 如 AS5 修改了“重要缺陷”和“重大缺陷”的定义、修改了“重大缺陷”显著征兆的 构成、明确了审计中重要性的作用等。二、财务报告内部控制审计准则 PCAOBAS 5 的变化解析( 一) 强调了风险和所需获取的证据之 间的关系AS5 要求外部审计人员使用自上而下 的 风 险 基 础 审 计 方 法 执 行 内 部 控 制 的 审 计, 这种方法首先测试控制环境和了解财 务报表, 识别和评估重大错报风险。基于风 险 评 估 的 结 果 , AS5 要 求 外 部 审 计 人 员 识 别需要测试的重要账户和流程。就这点而 论 , AS5 强 调 风 险 评 估 及 把 风 险 评 估 与 审 计中所需获取的审计证据联系起来。AS5 允 许 减 少 业 务 流 程 层 次 的 测 试 。师)必须要不断地评估公司整体层面的控制是否无效。当公司整体层面的控制环境确实是无效的时候, 未修正的重要缺陷将 成为重大缺陷的显著征兆。AS5 中关于“财 务重述和未能对外部审计师建议做出反应 是否构成重大缺陷的显著征兆”的观点将 很可能导致内部控制否定意见的减少。( 四) 阐明 了审 计中 重要 性( ma te ria li- ty) 的角色陷的集合,对公司依一般公认会计原则可靠地确 认、授 权 、记 录 、处 理 和 报 告 外 部 财务数据的能力, 造成不利影响, 使其年度或 中期财务报告中重要的错报无法被预防和 侦 查的 可 能 性 大 于“ 极 小 可 能 ”; 重 大 的 缺 陷是指一个重要的控制缺陷或若干个重要 的控制缺陷的集合, 使年度或中期财务报尤其是在公司整体层面的控制较强,和业务流程层次的控制紧密相连时;并且或者公司整体层面的控制十分精确足以防止或发现相关认定的重大错报, 外部审计人员* 本文受到教育部研究生教育创新项目南京大学国际化会计学博士生项目( IAPHD) 的资助, 在此表示感谢。会 计 之 友 2008 年 第 4期 上62AS2 要求审计人员查找所有的内部控的内部控制整体有的测试。所减少的 作( 包括性质, 时间 与财务报表相关的制的潜在缺陷,而不仅仅是与财务报表相关的内部控制。这一要求使得公司在总体上采用了 COSO 框架, 包 括遵 守政 府的 规 章制度、公司的运营、信息的有效性等方面 的内部控制。AS5 鼓励公司仅仅关注与导 致财务报表错报相关的内部控制的缺陷。 更 明 确 的 是 , AS5 指 出 审 计 人 员 在 计划和执行内部控制审计时采用的重要性衡量标准应该与计划和执行财务报表审计时 所采用的重要性标准一致。这一要求使得 外部 审 计 人 员 审 计 工 作 的 范 围 发 生 改 变 , 可 以不 再 检 查 内 部 控 制 所 有 的 潜 在 缺 陷 , 而是全力以赴地去寻找导致财务报表重大 错报的内部控制的缺陷。( 五) 取消了对管理层内部控制自我评 估程序进行评价的要求S EC 规则曾要求报表发布者在每一会 计年度终了时, 使用合适的框架( 一般采用 COSO 内部控制框架, 虽然其它框架也能被 接受) 来评估其内部控制的有效性。为了在 AS2 的指导下完成审计工作, 外部审计人员 被要求评价管理层每年的内部控制自我评 估程序。如果外部审计人员认为管理层的自 我评估程序没有为其内部控制的自我评估 结论提供充分的支持, 那么就要求外部审计 师拒绝对公司的内部控制发表意见。在 AS5 和 SEC 的新的指南下, 外部审 计人员不再需要评价管理层每年的自我评 估程序。然而, 为了能够利用其它人员的工不起核心作用。例如, 决算程序的控制对务报表相关的内部心作用的, 当测试这些控制的时候 , 以前度的结果就不再值( 七) 重新调整 在 AS2 的规们 对 公 司 进 行 的 多 区 域( multi- loc a tio) 或多业务单元( multi- b us ine s s units)内部控制测试是否围都进行了测试。 人员对某一公司进工作 研 究的覆盖面广, 而不考虑和这些区域、业务元 相 联 系 的 财 务 报 表 中 重 大 错 报 风 险小。由于 AS2 关是错报风险大小, 接受了对内部控制 台取消了“要对公 单元进行控制测试 要求审计人员采用 测试的恰当的区域外部审计师在 哪些区 域 或 业 务要将对该区域或业 度及投入该区域或 联系。当某一区域 他区域或业务单元 公司合并会计报表 审计师可以减少对审计广角作,外部审计人员还需了解管理层的自我评估程序。因此, 管理层、内部审计人员以及外部审计师就有必要来协调他们各自的 工作。而审计委员会在这一协调过程中发 挥着重要的作用。( 六) 允许考虑先前审计所获得的信息AS5 允许外部审计人员基于以前年度 的审计工作而在某些领域减少测试。这就 取消了 AS2 要求审计师每年必须依靠当年 自己的审计工作的规定。AS5 要求外部审AS5 代表了管制者对那些不得不遵循步关注。在一个低风险的区域或业务单元,外部审计师可以首制的测试和那些合 于整个组织的控制的审计证据,而不区域或业务单元进哪些区 域 或 业 务部审计师可以考虑 如果公司的内部审 包括了 对 某 些 区部审 计师 就 可 以降低对业务区域或 ( 八) 消除了使 AS2 要求外部以支持对内部控制求外部审计人员仍 表和内部控制的审 放宽了外部审计人如,【主要参考文献】计人员在执行内部控制测试前 ,考虑以前年度审计( 包括财务报表和内部控制审计)所执行的程序的性质、时间、范围和测试的 结果以及自上一次审计以来内部控制或者 相关程序的任何变化。在全面的风险评估 基础上, 外部审计人员应该根据与特定控 制 相联 系 的 风 险 决 定 所 需 要 获 得 的 证 据 。 例如 , AS5 中 , 当 控 制 呈 现 低 风 险 时( 如 固 有风险较低, 复杂程度较低 , 自以前年度审 计后没有出现控制或程序的改变 , 以前年( 22) : p13- 18.作 ,碍Audit of Internal Control over Finan-度的测试没有发现缺陷等)可以单独使用作的情况, 如利用内部审计人员的工作穿行测试来评价控制运行的有效性。而在有较高风险的控制中, 仅仅采用穿行测试 是不够的。但是当年进行的穿行测试以及 其它测试的结果可以影响以后年度测试的 性质、时间和范围。AS5 不允许减少那些对财务报告相关AS2 中 规 定 :“ 在 内 部 控 制 审 计 过中, 外部审计人员对控制进行测试时, 可利用内部审计人员处于管理层指导下“在财 务 报 表 审 计 中 进 行 的 控 制 测 试 中能利用内部审计人效性起核心作用的控 当年的内部控制测试, 范围) 必须是该控制 内部控制的整体有效控制整体有效性是起 得依赖。多区域测试要求定下, 审计师必须评估引起对公司的大部分 这种要求导致许多审 行大范围的了解, 测注的是测试的覆盖面而 许多公司觉得他们被 的过度审计。AS5 的 司的大部分区域和业”的要求, 取而代之的 风险基础的方法来决 范围和业务单元。决策需要对一个公司 单 元 进 行 控 制 测 试 时 , 务单元的评估的风险业务单元的审计关注 或业务单元单独或和 合并一起没有可能引 存在重大错报时 , 外 这些区域或单元的进先评价公司整体层次 理保证恰当的控制贯 是否能为它们提供充 是直接对这些低风险 行控制测试 ; 在决策单 元 进 行 控 制 测 试 时 ,其他人员的工作。例 计人员在计划的工作域 或 业 务 单 元 的 审 计 , 整 合 内 部 审 计 师 的 工 单元测试的数目。用其他人员工作的障 审计师获取重要的证 发表的意见。而 AS5 然对他们出具的财务 计报告负责。但是 AS 员可利用的其它人员, 公司的其他人员以 的第三方的工作”。然员的工作”。制 AS5 为何时可以利用其他人员的工作 工 建立了一个统一框架 , 这个统一框架的基 对 础标准是: 被测项目的性质( 强调风险和相 性 关的活动) , 执 行 测 试 人 员 的 胜 任 能 力 及 财 客 观性。而 不管 这项 工作 是和公 司的 内部 核 控制 测 试 有 关( 只 要 执 行 这 项 工 作 的 人 员 年 的胜 任能 力 和 客 观 性 足 够“ 高 ”) 还 是 和 财 务 报表审 计有 关。外 部审 计师需 要研 究如何 运 用 这 一 框 架 判 断 在 审 计 中 公 司 员 工 他 的工 作 可 以 在 何 种 程 度 上 被 利 用 , 以 及 哪 ns 些人 的 工 作 可 以 被 利 用 , 哪 些 人 的 工 作 不 的 能 被利用 。范 ( 九) 重新调整了穿行测试的要求计 在 AS2 下, 外部审计人员必须对所有 试 主 要 的 交 易 层 次 执 行 穿 行 测 试( wa lk 单 throug h) , 而且穿行测试 不能 由其 他人 执 大 行。AS5 则鼓励但不强制要求在每个重要 不 的流程中进行穿行测试。同时, 在流程层面 迫 支持采用穿行测试并不排除使用除穿行测出 试以外的其他审计技术来获取对重要流程 务 中控制的了解。是 AS5 也允许外部审计人员利用其他人 定 提供的直接帮助进行穿行测试。然而外部 审计人员仍然必须主要和亲自参与到穿行的 测试中。在寻求其他人员对穿行测试进行 需 帮助前 , 外部审计人员需要明确哪些穿行 程 测试是重要的, 必须亲自执行, 这一点非常 相 重要。其 ( 十) 为较小的公司量身定制审计起 AS5 允许外部审计师根据公司的规模 部 和复杂性以及它的营运单元来量身定制其 一 审计程序。控 SOX404 条 款 的 公 司 提 出 问 题 的 合 理 回 穿 应。外部审计人员应该意识到这些变化, 并 分 要有意识地探讨如何从资源、应用于财务 的 报表和内部控制审计的方法方面来应对这 对 些变化。外中 1 阚京华. 美国强制性双重 内部 控制 评价 外 制 度 的 解 析 与 启 示. 经 济 管 理 , 2007,2 PCAO B.2004.Audit Standard AS2: An据 cial R eporting Performed in Conjunc- 要 tion with An Audit of Financial State- 报 ments.5 3 PCAO B.2007.Audit Standard AS5: An工 Audit of Internal Control over Finan-。 cial Statement That Is Integrated with程 An Audit of Financial Statement.以 4 Peter Woodlock.2007.Auditing Standard 及 AS5: Implications for Internal. Auditors 而 and Audit Committees.只 5 Internal Auditing. Sep/ O ct 2007, Vol.22, Iss5 917.63