美国关于内部控制审计准则改变.doc

美国关于内部控制审计准则改变萨班斯法案第404条款（SOX404 ） 一直因其严厉性 和高昂的合规成本而成为理论界和实务界激烈讨论的问题2007年5月，美国证券交易委员会（SEC ）和公众公司会 计监督委员会（PCAOB ）都投票通过财务报告内部控制（ICFR ）审计的最终准则、相应的独立的规则和对PCAOB原来审计准则的修改新的第5号审计准则（AS5 ）《完善财 务报告审计的财务报告内部控制审计》正式替代了第2号审 计准则（AS2 ）《财务报告内部控制审计和财务报告审计联合 执行》，这个准则应用于所有需要遵循SOX404条款的公司， 不论规模大小和复杂程度AS5要求审计师采用由上而下、 风险导向的方法，并将精力集中于那些实质性薄弱环节，从 而降低了审计成本，同时仍然能够实现保护投资者信心的目 标 一、AS2的产生和受到的争议 2002年，SOX 被SEC接受，用来保护公司在未来不会因为缺少恰当的控 制和审计关注而受到潜在的灾难性市场变化的影响因为 SOX是一项非常广泛和彻底的法案，所以非常有必要为审计 师评价那些需要遵循SOX的公司提供特定的指南SOX的 一个主要内容是成立PCAOB ,负责监管执行公众公司审计的会计师事务所及注册会计师。

2004年，为了使审计人员 能够胜任对内部控制有效性进行评价，PCAOB发布了 AS2 , 以指导审计的计划与实施该准则关注对财务报告内部控制 的审计工作,以及这项工作与财务报告审计的关系问题AS2提出财务报告内部控制审计的目标是对管理层就企业财务报告内部控制有效性的评估发表意见AS2要求审计人 员评价管理层应用于评估内部控制的程序方法的可靠性；复 核和使用一些管理层、内部审计人员和其他人的评价过程中 取得的测试结果；或自己进行测试，以形成独立意见sox 和AS2为审计师提供的指导是模糊的，审计师为了避免诉 讼，宁愿采取全面的、成本高昂的积极的审计评价对于SOX 的执行成本高、需要花费企业大量资源的非议很多，CFO们 开始意识到执行SOX就好像是剥洋葱，执行完一层控制的 审计还有另外一层等着被审计遵循AS2导致了过度审计 CEO和CFO整天忙于为了保证公司的披露控制和内部控制有效性而努力AS2面临的挑战包括：资源和金钱上的高成 本；在最小风险领域花费的努力和金钱；外部审计师不能使用其他人员的工作成果，导致冗余和重复劳动 二、AS5的产生和主要修改内容 AS5是对许多公司面临的成本和收益困境的必要的【应。

AS5使一个企业执行SOX的合规努力更加容易，减少了相关的成本，节省了时间和金钱这项准则也可以把企业的焦点重新引回到对项目的风险管理上来 1、AS5的主要目标 虽然AS2的原则还被 保留，但是PCAOB的人员指出新准则变化的程度还是不容低估的这些变化主要关注审计质量的提高，与PCAOB在2006年12月提出的四个目标相一致Ui（1）关注最重要事项的内部控制审计； （2）消除为了取得目标利益不必要的程序； （3）提供根据公司规模和业务复杂程度来调整审计工作的清晰的、可以操作的指南； （4 ）使准则简单化； 2、AS5的主要变化 AS5是基于由上而下的方法和风险导向来评价内部控制几个主要的变化可以大量减少合规成本并且保持投资者的信心 （1 ）由上而下的方法（Top—down Approach ） 使用由上而 下的方法来评价内部控制意味着一个组织的内部控制评价 是从实体层面控制（entity—level controls ）的角度开始，再 发展到过程层面控制和账户层面控制（process/account level controls *新准则包括了对实体层面控制三个层次的分 类以及每个分类如何影响其它控制的测试。

分类包括：①对 财务报告要素有直接影响的实体层面控制（direct）:②对财 务报告要素有间接影响的实体层面控制（indirect）:③用来 监控其他控制有效性而设计的控制（monitor \ 检验实体层面的控制,首先要保证内部控制的评价按照最普遍和最 重要的顺序排序和检验，然后再到最细节和详细划分的地 方目的是集中精力检验关键的控制,借此来避免强调次级 控制减少一些过程层面控制的测试范围对于降低成本的影 响是有显著效果的(dramatie U 在采用由上而下的方法 以前，通常都在交易或者过程层面控制执行广泛的测试，而 不考虑在更高的层面上是否存在有效的控制更高层面的控 制包括一些项目，比如回顾、差异分析、审批和其他的监控 方式在很多情况下，对更高层次控制进行恰当的确认和适 当的考虑能够减少，甚至完全消除过程层面控制的测试2 )充分利用风险导向的方法(Leveraging Risk一based Methodology ) 风险评估不仅局限于辨别数量上重要的 账户，也可以评价所有和财务报告相关的控制可以定量的 风险需要和账户、过程和控制相关联，来评价相应的舞弊风 险、IT独立性、对管理人员越权(managementoverride ) 的敏感性。

这个评估的结果会使关注点集中在合规项目和相 关高风险领域的测试，同时显著地减少测试工作和控制失败 的机会通过评价和区分风险，审计师减少了低风险控制的 测试，集中精力发现和评估承担着风险的项目 AS5也同样要求在IT控制中使用风险导向的方法IT风险是辨认 和分析财务报告风险的拓展通过把IT风险评估作为财务风 险评估的一个组成部分，企业能够减少花费在设计和应用信 息技术控制上的资本支出的金额在财务报告风险评估的过 程中，通过辨别和重要的IT应用相关的风险将会保证时间和 资源的合理使用IT控制通常是最有效率和效果的控制手段,因为一旦被应用就不会被改变 (3)使用其他人工作成果的能力(use the work of others ) PCAOB 不 再推荐使用准则《在审计中考虑和使用其他人的工作》(Considering and Using the Work of Oth-ers in an Audit *相反，PCAOB的人员把这个准则中重要的方面整合到AS5 中，鼓励审计师使用公司员工和内部审计师的工作成果现行的AU322条款依然有效 在评价企业的控制的时候,AS5允许外部审计师依赖其他人的工作成果。

这个新的使用范围使得公司能够允许外部审计师依赖已经完成的交易测 试和已经被管理层应用并且经过内部审计人员检验的控制，从而减少不必要的程序 外部审计师在确定是否依赖其 他人工作的时候要考虑三个因素：被测试事项的性质；执行测试人员的专业胜任能力；执行测试人员的客观性 考 虑到外部审计的功能和责任，内部审计的过程越精确，外部审计师就越会信赖内部审计，执行更窄、更有效的测试范围,从而节省了劳动和成本并且同样保证了有效AS5使用其他人工作的范围包括分享管理当局、内部审计师和外部审 计师所掌握的情况，极大地提高了效率因此，有效地执行AS5的合规策略时,在可能的情况下,鼓励内外审计师的协作很重要 (4)豁免了审计师对管理层内部控制评价程序的恰当性发表意见的要求 这可以大大减少审计时 间,降低审计成本PCAOB的人员声明在他们编写最终准 则的过程中，非常注意区分审计师和管理当局在角色和责任 上的差异，管理当局的评估和审计师的评价是相互补充的， 并且必须都以加强财务报告的可靠性的思想来执行因此， 管理当局日常的与内部控制的互动使他的评估过程不同于 审计师，审计师对于企业的熟悉程度远不如管理当局，也不 会像管理当局那样经常地、有规律地与内部控制互动。

5 )审计师可以根据企业规模和复杂性调整审计工作AS5整合了之前关于根据规模和复杂性调整审计工作的讨论,去掉了 AS2中关于审计工作规模的单独的部分oPCAOB的人员也指出未来的准则他们计划放松对于小企业和较少复杂性企业的内部控制审计的审计工作规模，这使得审计师 可以根据每个公司的实际情况来调整审计工作 3、AS5的其他变化 (1 )统一 PCAOB的审计准则和SEC的管 理层解释指南中的术语 在可能的情况下，努力使得两个 文件中的术语、定义和方法保持一致，使两个文件在关于 ICFR的评估和判断过程相一致例如：实质性薄弱环节 (material weakness )和重大缺陷(significant deficiency ), 用实体层面控制(entity—level controls )取代公司层面控制 (company—level controls )等 (2 )澄清了穿行测试的要求 在分析过评论意见之后，PCAOB的人员认为 AS2对于穿行测试的指导掩盖了目标(overshadowed the objective *因此，新准则要求审计师更加关注穿行测试的目 标，而不是程序本身不是特定类型的检查需要穿行测试， 而是准则要求审计师获得对可能的错报的有效理解并且确 定需要测试的控制。

3片地调审计师的职业判断 AS5 减少了说明性需要的数量，去掉了对于重大过程和交易事项 主要分类的指导，允许审计师根据准则的原则执行更多的专 业判断可能导致不必要审计程序的强制性用语“必须”和“应 该”的数量减少，允许审计师根据公司的实际情况安排审计的 性质、时间和程序因此，最终的准则非常强调审计师的职 业判断 （4 ）欺诈控制 欺诈评价是SOX合规项目 中的重要组成部分，每个公司都有欺诈风险的固有水平控 制必须被设计成强调管理层越权的风险对于欺诈的考虑贯 穿到整个实体层面控制和其他普通控制的测试中，审计师应 该在过程中就考虑控制如何能被合作方的逆向意图击溃评 价欺诈控制需要对企业有详尽的了解来形成企业存在舞弊 可能的判断理解那些在财务报告过程中起影响作用的财务 报告环境很重要，包括品质、态度、伦理道德、动机和压力 等 对于小型的、组织结构简单的公司，评价管理层越 权的风险在欺诈控制因素中特别重要管理层可能的越权行 为有：故意错报收入的性质和时间；记录虚假的交易；改变 交易的合理的时间；建立或者反向操作结果；改变重要的或 者非经常交易的相关记录 理解企业的预算状况也很重 要对于不切实际的预算的早期质疑能有效地防范管理层控 制越权来实现不切实际的目标。

三、AS5的预期执行效果调查 会计师事务所已经 把AS5的基本原则融入了自己的工作当中Eisner会计师 事务所董事John Fodera说:"这减少了多余的和不必要的工 作，降低了客户的成本在AS5的变化中，对于降低审计 成本最重要的修订是允许外部审计师利用其他人的工作成 果一项调查显示，超过60%的企业（不包括尚未执行的小 型企业）在审计师以外聘请咨询顾问来帮助达到404条款的 要求管理层聘请外部咨询顾问的动机和审计师对这些动机 的理解在审计师决定是否依赖这种特殊的审计证据时起到 重要的作用 Blaskovich。