美国内部控制审计准则最新发展与启示(1)
一、内部控制审计准则出台的背景
为了应对愈演愈烈的会计报告失真丑闻,2002年美国颁布了《萨班斯——奥克斯利法案》(SOX法案)。该法案规定公众公司必须以书面形式对外披露首席执行官、首席财务官或类似职务人员对有关内部控制的评价报告,该份报告还必须经过负责公司定期财务报表审计的注册会计师的审计,出具内部控制审计报告。为指导注册会计师进行内部控制审计业务,PCAOB于2004年3月9号发布了第2号审计准则——与财务报表审计相衔接的基于财务报告的内部控制审计(以下简称ASNO.2)。
ASNO.2对审计人员根据公众公司管理当局对内部控制有效性的评估报告审计做出了具体、详尽的指导,明确指出了公众公司的审计人员需要在财务报表审计的同时进行内部控制审计。ASNO.2的出台,将对构成有效公司治理基石的董事会、管理层、外部审计师与内部审计师产生深远的影响。正如PCAOB前主席William所称,“该准则是委员会采用的最为重要、意义最为深远的审计准Bg.过去,内部控制仅是管理当局考虑的事情,而现在审计人员要对内部控制进行详细的测试和检查。这一过程将对投资者起到重要的保护作用,因为稳固的内部控制是抵御不当行为的头道防护线,是最为有效地威慑舞弊的防范措施”。
但是,如同SOX法案引起了争议一样,人们对ASNO.2的批评也不曾间断。人们抱怨ASNO.2给公司带来了极端昂贵的审计费用,并且使得内部控制审计变得更为复杂繁琐。为了应对这种批评、推动公众公司内部控制制度的改进,PCAOB在2006年12月19号发布了新的内部控制审计准则征求意见稿,最终的定稿是PCAOB根据征求意见和SEC的要求修改而成。
二、新准则的主要变化
(二)使用自上而下的方法。针对人们对PCAOB ASNO.2的批评——内部控制审计过多的关注细节,如同清单检查,PCAOB新准则要求审计人员使用自上而下的方法,将精力集中于那些可能导致重大错报的领域。PCAOB新准则允许审计人员在应用自上而下的方法中使用更多的专业判断。
(三)强调舞弊控制。批评者认为PCAOBASNO.2将舞弊控制放在准则的结尾,显得对其不够重视,且缺乏详细控制措施致使审计人员不清楚如何测试舞弊控制。新准则对此做了三方面的改变:一方面,在准则的开头对舞弊风险和反舞弊控制进行了讨论,并强调审计师在审计的全过程中都要关注舞弊风险;另一方面,新准则将管理层舞弊提升到高风险领域;最后,新准则强调必须在审计报告中声明舞弊风险。
(四)实体层面的控制。ASNO.5细化了对实体层面控制的指导,解释了实体层面控制的重要性。ASNO.5指出实体层面控制发挥着重大的、间接的作用;在某些情况下可能会影响审计人员选择测试其他控制的性质、时机、测试范围等。
(五)穿行测试。ASNO.2要求每年对各个重要交易循环进行穿行测试,ASNO.5对此修改为每年对每个重要交易循环中的重大交易事项进行测试。ASNO.5指出审计师应该把精力集中于穿行测试的目标而不是穿行测试程序本身。
(六)评估和沟通内部控制缺陷。ASNO.2要求人员评估内部控制缺陷的严重程度,并将其划分为实质性漏洞和重大缺陷,要求审计人员将所有实质性漏洞和重大缺陷以书面形式通报给公司的管理层和审计委员会。新准则重新定义了重大缺陷,指出审计人员不需要在审计范围内辨别所有重大缺陷,并且只要求审计人员考虑和审计委员会沟通的重大缺陷。
(七)精简审计程序。进行内部控制审计一个重要考虑因素就是公司规模与业务复杂程度,它也决定了内部控制审计的程序。ASNO.2专门为小规模、业务简单的企业制定了精简的审计程序,而在新准则中,PCAOB对其进行了精简,剔除了几个不必要的步骤,使新准则可以适用于各种规模和复杂程度的公司,并简化了文字。最重要的是,考虑到对ASNO.2的批评,新准则豁免了审计师对管理层内部控制评价程序的恰当性发表意见的要求。
(八)使用联合审计的工作成果。PCAOB审计准则的适用对象是公众公司亦即公众公司的审计人员不仅需要对其实施财务报表审计,还需对其实施内部控制审计,两种审计合称为联合审计。内部控制审计与财务报告审计的有些工作是相关的,为了获取最大收益,并使整个审计过程尽可能有效率,ASNO.5指出在证据充分的情况下,内部控制审计可以利用联合审计的工作成果。
三、ASNO.5对我国内部控制审计的影响与启示
PCAOB主席Mark Olson和SEC主席Cox都曾这样评价ASNO.5:“ASNO.5可以将内部控制审计控制在恰当的规模之内,并避免不必要的工作”,监管者和会计师事务所认为,PCAOB的新准则和SEC最近通过的管理层指南将降低首次遵循SOX法案所带来的昂贵的审计成本和挫折感。新准则也将令小公司对404条款的遵循变得更容易。
ASNO.5的通过必将促使内部控制审计更加健康快速的发展。如今,世界各国监管机构纷纷学习美国SOX法案的经验,出台有关内部控制监管规则。如欧盟已经在起草“第八号指引”;澳大利亚类似的法案也在讨论之中;中国香港也有这样的想法。随着各国对内部控制监管的加强,内部控制审计必将成为审计人员重要的并且是十分有前途的执业领域。我国内部控制审计的理论和实践与美国相比还存在不少差距,需要借鉴美国的成熟经验与做法,发展我国的内部控制审计事业。笔者以为我国内部审计在以下几个方面还存在不足,亟待解决:
(一)内部控制信息披露机制不健全
(二)内部控制标准缺失
我国从20世纪90年代末开始推行企业内部控制制度。由于条块划分和行业限制,不同的监管部门出台了不同的内部控制监管规则,对内部控制的定义和内容的规定也各不相同。直到2006年7月15日,财政部、国资委、证监会、审计署、银监会、保监会联合发起成立企业内部控制标准委员会,才开始制定我国规范统一的内部控制标准体系,使得我国至今尚缺乏类似COSO报告那样受到广泛认可的内部控制标准体系。内部控制审计首先需要一套评价标准,PCAOBASNO.5是以COSO报告作为内部控制标准的,我国到现在还没有形成一套内部控制的标准体系,严重制约着我国内部控制审计的发展。
(三)缺乏内部控制审计的执业标准
目前我国对内部控制鉴证业务的最新规定是中国注册会计师协会于2002年2月制定的《内部控制审核指导意见》,该指导意见所提出内部控制鉴证服务的性质、对象、标准、范围等许多内容与当前审计服务市场开展内部控制鉴证业务以及理论界对内部控制理论体系的认识存在不小差距。中国内部审计协会2003年6月实施的《内部审计具体准则——内部控制审计)提出基于COSO框架的评价方法,从被审计单位的控制环境、风险评估过程、信息系统和沟通、控制活动、对控制活动的监督五个方面评价内部控制系统。但是诸多内容基本上是原则性的,在现实中的可操作性相对较差。因此,在目前的情况下,有必要借鉴美国内部控制审计的经验与做法,制定我国的内部控制审计准则,规范内部控制审计的服务性质、审计责任主体、审计方式、评价标准等。
内部控制审计理念的接受及实际操作实施将是一个长期的工作,我国内部控制规范化才刚刚开始,在此过程中,适当地借鉴美国等发达国家的有益经验和实际做法,可以为我国的会计服务市场的发展和内部控制评价的认识提供新的视角。目前,美国PCAOB正准备为实施ASNO.5制订相应的准则及应用指南,我们应进一步关注其进展,并结合我国的实际情况建立健全符合我国国情的内部控制审计准则。