会计监管委员会
2004年3月9日,美国上市公司会计监管委员会(PCAOB)批准了第二号审计准则-“与财务报表审计相关的财务会计报告内部控制审计”。该准则适用于审计师同时审计客户的财务报表和管理当局对财务会计报告内部控制有效性所出具的评估的情况。委员会在准则草案后收到了190余封意见反馈信,随后对准则草案进行了一定的修订以提高其可理解度。本文对第二号准则中的重要条款进行了探讨,并指出了新准则与草案的差异之处。依照萨班斯-奥克斯莱法案,二号准则已提交美国证券交易委员会(SEC),等候最后的审批。
综述
PCAOB多次强调有效的内部控制结构的重要性。委员会还特别说明,“有效的财务会计报告内部控制对公司管理其事务,尽到其对投资者的责任至关重要。公司管理当局、公司所有者-投资公众-和其他相关方都需依赖公司呈报的财务信息来制定决策。”
委员会在其宣布采用第二号准则的公告中还指明,财务会计报告内部控制的审计是一个牵涉面很广的程序,维持有效内部控制,包括定期评估都是有成本的。然而委员会强调开发、维护和提高内部控制系统所带来的利益是多样的,同时,“主要的利益……是给公司、公司管理当局、董事会和审计委员会、所有者和其他利益关联方提供了一个财务会计报告的可靠基础。”与准则草案相比,新准则在成本效益原则方面迈进了一大步。
管理当局的责任
准则指出了审计师执行一项符合要求的内部控制审计的必要条件。正如SEC在实施萨班斯法案404节的规定中所要求的,管理当局必须:
-对公司财务会计报告内部控制的有效性负责;
-使用适当的控制标准(如COSO标准),评价公司财务会计报告内部控制的有效性;
-提供足够的证据,包括记录编制来支持评价,以及
-在公司最近的财年末,就公司财务会计报告内部控制的有效性出具书面评价。
审计师如果得出管理当局没有履行上面提到的责任,不能完成对内部控制的审计,就应当拒绝表示意见。
管理当局的评价程序
一个严格的内部控制有效性的评价程序应该提供信息帮助审计师理解公司的内部控制以及规划完成内部控制审计的必要工作。根据第二号准则的条款,管理当局评价内部控制有效性的程序应包括:
-确定需要测试的控制措施,包括所有与主要账户和财务报表披露相关的控制措施;
-评价控制失败导致财务报表错报的可能性、错报的重要程度、以及其它控制措施可能达成相同控制目标的程度;
-决定评价中应包括的特定地区或经营单位(适用于那些多场所或经营单位的公司);
-评价控制措施的设计和实施有效性;
-确定已识别的内部控制的缺失是否构成了重要缺失或实质性薄弱;
-将发现传达给相关方;
-对发现是否支持其评价进行评估。
有一点需要指出的是,管理当局不能使用审计师的程序或相关发现来支持其对内部控制有效性的评价。
管理当局的记录编制
管理当局所编制财务会计报告内部控制记录的深度和广度是管理当局、审计师和内部控制顾问需要深思熟虑的一个日常主题。全面且清晰的记录编制有利于管理当局对内部控制进行有效的评价和评估,同时为审计师发起审计程序提供一个坚实的平台。在确定管理当局的记录编制是否支持其评价时,审计师应评估记录编制的内容,包括:
-控制措施的设计,这些控制措施应覆盖所有与关键性账目和财务报表披露相关的管理当局声明;
-关于重要交易如何发起、授权、记录、处理和报告的信息;
-关于交易过程的足够充分的信息,足够充分指的是能够识别因错误或欺诈导致的实质性错报的发生;
-为预防和侦查欺诈而设计的控制措施;
-期末会计报告过程的控制措施;
-资产保全的控制措施;以及
-管理当局测试和评估的结果;
二号准则指出,管理当局的记录编制可以是纸质、电子格式或其它形式;记录编制的信息也可以是多样的,包括政策指南、流程模型、流程图、职位描述等。准则没有提供客观的方法来确定管理当局记录编制的充分性。但需要注意的是,记录编制的缺乏被认为是控制措施的缺失,审计师应就其严重程度和对审计师报告的可能影响进行讨论。
通过实际演练理解控制措施
二号准则要求审计师询问、观察执行控制措施的员工,检查实施控制措施的文档或实施后的文档记录,并且将这些文档与会计记录进行比较。通过这些方式审计师能够理解公司财务会计报告的内部控制。准则还进一步指出,“审计师达成这一目标最有效的方式就是对公司的关键流程进行实际演练。”
在实际演练中,审计师可以从发起点跟踪交易和事项直到财务报表,这个过程就包括公司的会计程序。准则要求审计师每年必须就每一关键交易类别执行至少一次实际演练,审计师应独立完成此项演练。准则中定义的关键交易类为那些能够给公司财务报表带来显著影响的业务。准则指出实体的期末财务报告程序就是一个关键性程序。
评价审计委员会监管的有效性
准则也强调了审计委员会在帮助制定“高层基调”时所起的关键性作用。审计师应评价发行人审计委员会的有效性,作为其对控制环境和内部控制的理解和评价的一个组成部分。审计委员会对外部财务会计报告和内部控制无效/低效的监管被认为是一个明显的缺失或内部控制实质性薄弱的标示。另外,准则要求将审计委员会监管无效的实例直接呈报给公司的董事会。
影响审计委员会监管有效性的因素包括管理当局成员的独立性,委员会责任的清晰表述,管理当局和审计委员会对责任的理解程度以及独立审计师和内部审计师的交流程度。
测试操作有效性
准则要求审计师获得控制措施关于操作有效性的证据。为了遵守准则的规定,审计师就需要测试这些控制措施的操作有效性。
在确定一项控制措施是否具备操作有效性时,审计师不仅应评价控制措施是否依照设计操作,还应该评价执行控制措施的个人具备必要的授权和资格。另外,在第二号准则下,审计师应在足够长的时期里获取控制有效性的证据。期间执行的任何测试都应及时更新以确保所测试的控制措施在年末仍然具备操作有效性。
利用他人的工作
发行人和审计师最为关注的另一个领域是审计师被允许使用他人工作的程度。在这点上,二号准则与准则草案保持了一致,准则要求在总体上,审计师自身的工作应为审计意见提供首要证据。准则定义的其他方工作包括内部审计师、公司其他个人和在管理当局或审计委员会授权下的第三方的工作。
准则指出,审计师不应使用其他人的工作来测试与控制环境相关的控制措施,包括为了预防和侦查欺诈制定的控制措施和应执行的实际演练。但准则允许审计师使用其他方提供的信息技术一般性控制措施和期末财务报告程序的相关控制措施。而在准则草案中则要求这些方面的审计工作均要由审计师执行。
准则草案中定义了三类控制措施和审计师被允许使用其他方工作来形成结论的程度。而第二号准则以一个概念框架取而代之。这一框架重点在于控制措施的性质和执行程序个人的能力和客观性。二号准则明确指出,如果管理当局在测试操作有效性时使用自我评价程序,则执行评价的个人不应视为客观,因此,独立审计师不能使用其工作。
评估测试结果
准则要求审计师评价所识别的控制措施缺失的严重程度,这点与准则草案保持了一致。实际上,在2003年10月准则草案以来,委员会就何谓“显著的缺失”展开了多次讨论。委员会指出,在反对草案“显著缺失”之定义的反馈意见中,多数认为该定义的起点过低,如果依照草案规定,大多数内部控制的缺失将被确认为“显著的缺失”。
二号准则保留了草案中对“显著缺失”和实质性薄弱的定义。在解释其定义这些项目的用意时,委员会指出,控制的缺失不应被孤立地评价,特定缺失的严重程度应同时考虑补救措施的影响。准则在一定程度上回应了草案的反馈意见,但在确定构成“显著缺失”或实质性薄弱的控制缺失时还需要职业判断。
依照二号准则的规定,以下方面的缺失通常被认为是“显著的缺失”:
-对会计政策选择和应用的控制措施;
-反欺诈程序和控制措施;
-对非常规和非系统化交易的控制措施;
-对期末财务会计报告程序的控制措施;
另外,以下情况属于“显著缺失”以及实质性薄弱存在的明显标示:
-为纠正错报项目,对以前所财务报表进行重述;
-审计师在当年审计中发现公司没有识别的实质性错报;
-审计委员会的监管无效;
-内部审计或风险评估机制的无效,如果这些职能对于公司财务会计报告程序非常关键的话;
-在受法律监管程度较高的公司,遵守法规的机制的无效。这一项只适用于守法机制的无效给企业财务会计报告的可靠性带来实质性影响的情况;
-发现任何程度上的高层管理人员的欺诈;
-以前所发现的缺失在一段合理的时间后仍然没有被纠正;
-控制环境的无效;
控制缺失与审计师意见
准则要求审计师在对财务会计报告内部控制执行审计后
