美国关于内部控制审计准则的改变(1)

一、AS2的产生和受到的争议

2002年，SOX被SEC接受，用来保护公司在未来不会因为缺少恰当的控制和审计关注而受到潜在的灾难性市场变化的影响。因为SOX是一项非常广泛和彻底的法案，所以非常有必要为审计师评价那些需要遵循SOX的公司提供特定的指南。SOX的一个主要内容是成立PCAOB，负责监管执行公众公司审计的会计师事务所及注册会计师。2004年，为了使审计人员能够胜任对内部控制有效性进行评价，PCAOB发布了AS2，以指导审计的计划与实施。该准则关注对财务报告内部控制的审计工作，以及这项工作与财务报告审计的关系问题。

AS2提出财务报告内部控制审计的目标是对管理层就企业财务报告内部控制有效性的评估发表意见。AS2要求审计人员评价管理层应用于评估内部控制的程序方法的可靠性；复核和使用一些管理层、内部审计人员和其他人的评价过程中取得的测试结果；或自己进行测试，以形成独立意见。SOX和AS2为审计师提供的指导是模糊的，审计师为了避免诉讼，宁愿采取全面的、成本高昂的积极的审计评价。对于SOX的执行成本高、需要花费企业大量资源的非议很多，CFO们开始意识到执行SOX就好像是剥洋葱，执行完一层控制的审计还有另外一层等着被审计。遵循AS2导致了过度审计。CEO和CFO整天忙于为了保证公司的披露控制和内部控制有效性而努力。AS2面临的挑战包括：资源和金钱上的高成本；在最小风险领域花费的努力和金钱；外部审计师不能使用其他人员的工作成果，导致冗余和重复劳动。

二、AS5的产生和主要修改内容

AS5是对许多公司面临的成本和收益困境的必要的回应。AS5使一个企业执行SOX的合规努力更加容易，减少了相关的成本，节省了时间和金钱。这项准则也可以把企业的焦点重新引回到对项目的风险管理上来。

1、AS5的主要目标

虽然AS2的原则还被保留，但是PCAOB的人员指出新准则变化的程度还是不容低估的。这些变化主要关注审计质量的提高，与PCAOB在2006年12月提出的四个目标相一致。

（1）关注最重要事项的内部控制审计；

（2）消除为了取得目标利益不必要的程序；

（3）提供根据公司规模和业务复杂程度来调整审计工作的清晰的、可以操作的指南；

（4）使准则简单化；

2、AS5的主要变化

AS5是基于由上而下的方法和风险导向来评价内部控制。几个主要的变化可以大量减少合规成本并且保持投资者的信心。

（1）由上而下的方法（Top—down Approach）

使用由上而下的方法来评价内部控制意味着一个组织的内部控制评价是从实体层面控制（entity—level controls）的角度开始，再发展到过程层面控制和账户层面控制（process/account level controls）。新准则包括了对实体层面控制三个层次的分类以及每个分类如何影响其它控制的测试。分类包括：①对财务报告要素有直接影响的实体层面控制（direct）；②对财务报告要素有间接影响的实体层面控制（indirect）；③用来监控其他控制有效性而设计的控制（monitor）。

检验实体层面的控制，首先要保证内部控制的评价按照最普遍和最重要的顺序排序和检验，然后再到最细节和详细划分的地方。目的是集中精力检验关键的控制，借此来避免强调次级控制。减少一些过程层面控制的测试范围对于降低成本的影响是有显著效果的（dramatie）。

在采用由上而下的方法以前，通常都在交易或者过程层面控制执行广泛的测试，而不考虑在更高的层面上是否存在有效的控制。更高层面的控制包括一些项目，比如回顾、差异分析、审批和其他的监控方式。在很多情况下，对更高层次控制进行恰当的确认和适当的考虑能够减少，甚至完全消除过程层面控制的测试。

（2）充分利用风险导向的方法（Leveraging Risk—based Methodology）

风险评估不仅局限于辨别数量上重要的账户，也可以评价所有和财务报告相关的控制。可以定量的风险需要和账户、过程和控制相关联，来评价相应的舞弊风险、IT独立性、对管理人员越权（managementoverride）的敏感性。这个评估的结果会使关注点集中在合规项目和相关高风险领域的测试，同时显著地减少测试工作和控制失败的机会。通过评价和区分风险，审计师减少了低风险控制的测试，集中精力发现和评估承担着风险的项目。

AS5也同样要求在IT控制中使用风险导向的方法。IT风险是辨认和分析财务报告风险的拓展。通过把IT风险评估作为财务风险评估的一个组成部分，企业能够减少花费在设计和应用信息技术控制上的资本支出的金额。在财务报告风险评估的过程中，通过辨别和重要的IT应用相关的风险将会保证时间和资源的合理使用。IT控制通常是最有效率和效果的控制手段，因为一旦被应用就不会被改变。

（3）使用其他人工作成果的能力（use the work of others）

PCAOB不再推荐使用准则《在审计中考虑和使用其他人的工作》（Considering and Using the Work of Oth-ers in an Audit）。相反，PCAOB的人员把这个准则中重要的方面整合到AS5中，鼓励审计师使用公司员工和内部审计师的工作成果。现行的AU322条款依然有效。

在评价企业的控制的时候，AS5允许外部审计师依赖其他人的工作成果。这个新的使用范围使得公司能够允许外部审计师依赖已经完成的交易测试和已经被管理层应用并且经过内部审计人员检验的控制，从而减少不必要的程序。

外部审计师在确定是否依赖其他人工作的时候要考虑三个因素：被测试事项的性质；执行测试人员的专业胜任能力；执行测试人员的客观性。

考虑到外部审计的功能和责任，内部审计的过程越精确，外部审计师就越会信赖内部审计，执行更窄、更有效的测试范围，从而节省了劳动和成本并且同样保证了有效。

AS5使用其他人工作的范围包括分享管理当局、内部审计师和外部审计师所掌握的情况，极大地提高了效率。因此，有效地执行AS5的合规策略时，在可能的情况下，鼓励内外审计师的协作很重要。

（4）豁免了审计师对管理层内部控制评价程序的恰当性发表意见的要求

这可以大大减少审计时间，降低审计成本。PCAOB的人员声明在他们编写最终准则的过程中，非常注意区分审计师和管理当局在角色和责任上的差异，管理当局的评估和审计师的评价是相互补充的，并且必须都以加强财务报告的可靠性的思想来执行。因此，管理当局日常的与内部控制的互动使他的评估过程不同于审计师，审计师对于企业的熟悉程度远不如管理当局，也不会像管理当局那样经常地、有规律地与内部控制互动。

（5）审计师可以根据企业规模和复杂性调整审计工作

AS5整合了之前关于根据规模和复杂性调整审计工作的讨论，去掉了AS2中关于审计工作规模的单独的部分。PCAOB的人员也指出未来的准则。他们计划放松对于小企业和较少复杂性企业的内部控制审计的审计工作规模，这使得审计师可以根据每个公司的实际情况来调整审计工作。

3、AS5的其他变化

（1）统一PCAOB的审计准则和SEC的管理层解释指南中的术语

在可能的情况下，努力使得两个文件中的术语、定义和方法保持一致，使两个文件在关于ICFR的评估和判断过程相一致。例如：实质性薄弱环节（material weakness）和重大缺陷（significant deficiency），用实体层面控制（entity—level controls）取代公司层面控制（company—level controls）等。

（2）澄清了穿行测试的要求

在分析过评论意见之后，PCAOB的人员认为AS2对于穿行测试的指导掩盖了目标（overshadowed the objective）。因此，新准则要求审计师更加关注穿行测试的目标，而不是程序本身。不是特定类型的检查需要穿行测试，而是准则要求审计师获得对可能的错报的有效理解并且确定需要测试的控制。

（3）强调审计师的职业判断

AS5减少了说明性需要的数量，去掉了对于重大过程和交易事项主要分类的指导，允许审计师根据准则的原则执行更多的专业判断。可能导致不必要审计程序的强制性用语“必须”和“应该”的数量减少，允许审计师根据公司的实际情况安排审计的性质、时间和程序。因此，最终的准则非常强调审计师的职业判断。

（4）欺诈控制

欺诈评价是SOX合规项目中的重要组成部分，每个公司都有欺诈风险的固有水平。控制必须被设计成强调管理层越权的风险。对于欺诈的考虑贯穿到整个实体层面控制和其他普通控制的测试中，审计师应该在过程中就考虑控制如何能被合作方的逆向意图击溃。评价欺诈控制需要对企业有详尽的了解来形成企业存在舞弊可能的判断。理解那些在财务报告过程中起影响作用的财务报告环境很重要，包括品质、态度、伦理道德、动机和压力等。

对于小型的、组织结构简单的公司，评价管理层越权的风险在欺诈控制因素中特别重要。管理层可能的越权行为有：故意错报收入的性质和时间；记录虚假的交易；改变交易的合理的时间；建立或者反向操作结果；改变重要的或者非经常交易的相关记录。

理解企业的预算状况也很重要。对于不切实际的预算的早期质疑能有效地防范管理层控制越权来实现不切实际的目标。

三、AS5的预期执行效果调查

会计师事务所已经把AS5的基本原则融入了自己的工作当中。Eisner会计师事务所董事John Fodera说：“这减少了多余的和不必要的工作，降低了客户的成本。”在AS5的变化中，对于降低审计成本最重要的修订是允许外部审计师利用其他人的工作成果。一项调查显示，超过60％的企业（不包括尚未执行的小型企业）在审计师以外聘请咨询顾问来帮助达到404条款的要求。管理层聘请外部咨询顾问的动机和审计师对这些动机的理解在审计师决定是否依赖这种特殊的审计证据时起到重要的作用。

PCAOB明确表示在执行新准则的时候减少审计时间是一个目标，无论审计师采用咨询顾问的工作成果还是采用内部审计师的工作成果，都会实现AS5减少审计时间的目标。

四、启示

从AS5修改的内容和预期执行效果调查可以得到以下几点启示。

1、AS5提高了企业遵从SOX404条款的效果和效率。程序的简化，审计时间的减少和合规成本的降低，将更有利于SOX404的有效执行。企业遵从SOX的合规成本降低，也会增加美国资本市场对外国公司赴美国上市的吸引力。

2、AS5引导企业从风险的角度看内部控制。在制定评估程序时，采取由上而下风险评估的方法，着重于未有效实施内部控制而导致财务报告有重大错误的风险，从了解财务报告的固有风险开始，首先找出重大风险科目及其组成项目、相关交易的种类。并评估实体层面控制，然后设计交易层面控制，搜集相关风险已适当控制的证据，以取得评估的有效性。

风险管理和内部控制是一个硬币的两个方面，执行SOX404不是要增加更多的控制过程。使企业被众多复杂繁琐的控制掩埋，而是应该把内部控制放在风险管理中来考虑，保证控制能够有效实施。

在国际会计师联合会（International Federation of Accountants，IFAC）的企业职业会计师委员会（Profes-sional Accountants in Business Committee，PAIB）计划在2008年发布的原则导向内部控制实务指南中也特别强调从风险的角度看内部控制。2007年8月，PAIB委员会发布了一项新的研究报告——《从风险角度看内部控制》（Internal Control From a Risk—Based Perspective）。这份报告主要由资深财经记者Robert Bruce对10名商界的高级职业会计师的访谈构成，访谈涉及这些会计师在建立有效的内控系统和风险管理之间的联系方面丰富的经验和深入的见解。构成了内部控制实务指南的制定基础。

3、AS5的执行有利于内部控制与企业目标相结合。AS5不仅能降低合规成本，而且如果能恰当地利用，也为把企业的合规努力和企业的目标联系起来提供了一个框架。企业内部控制的有效设计和执行。以及识别可能对企业造成潜在影响的事项并在其风险偏好范围内管理风险，都是为企业目标的实现提供合理保证的过程。

4、在我国企业的应对策略中，应该加强从风险管理的角度设计和完善内部控制的观念，在设计和完善的过程中，充分地考虑企业的战略目标和风险管理的需要，保证内部控制被有效地设计并执行。