[萨班斯法案]下的内部控制审计内容与方法
《萨班斯法案》下的内部控制审计内容与方法
作者:谢盛纹
【摘 要】《萨班斯法案》404(a)条款以及SEC(美国证券交易委员会)的相关执行规则,要求上市公司管理当局评估财务报告内部控制的有效性,也要求公司的外部独立审计师对管理当局的评估发表鉴证意见。根据PCAOB的第2号审计准则,财务报告内部控制审计的一个主要对象是评价管理当局的评估,其目标是就管理当局的公司财务报告内部控制的有效性在所有重大方面是否公允表达形成一个意见。为了适当地计划和执行一个有效的内部控制审计,审计师就应该有一个有效的审计方法。
【关键词】萨班斯法案 内部控制审计
2002年美国《萨班斯——奥克斯利法案》(下称“法案”)404(a)条款以及SEC(美国证券交易委员会)的相关执行规则,要求上市公司管理当局评估财务报告内部控制的有效性,404条款还要求管理当局将其就财务报告内部控制有效性的评估结果包含在公司向投资者报告的年报里,也要求公司的外部独立审计师对管理当局的评估发表鉴证意见。法案404条款还有103条款指令PCAOB(上市公司会计监督委员会)制定职业准则以指导独立审计师的鉴证和报告公司管理当局对其财务报告内部控制有效性评估结果的公允性。2006年7月15日之后,所有在美国上市的公司都要按照法案要求接受那近乎残酷的“萨式”考验了,这
不仅对上市公司来说是这样的,对上市公司的独立审计师来说也一样。因为从此以后,审计师就要涉及另一个审计领域了。
一、内部控制审计准则的发布
PCAOB于2004年4月9日正式发布了题为“连同财务报表审计的财务报告内部控制审计”的第2号审计准则。要求被证券交易法12b-2所认定为首次递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。(其他公司直至会计年度结束于2005年12月31日或之后的才遵循内部控制报告和披露的规定。)因此,受聘于审计首次递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。
二、内部控制审计的内容
根据PCAOB的第2号审计准则,财务报告内部控制审计的一个主要对象是评价管理当局的评估,其目标是就管理当局的公司财务报告内部控制的有效性在所有重大方面是否公允表达形成一个意见。另外,法案103条款要求审计师报告对被审单位财务报告内部控制是否为交易的必需记录提供合理保证进行评价。这种规定不仅要求审计师的结论直接与审计师是否同意财务报告内部控制有效的管理有关,还要与管理当局确定其财务报告内部控制有效与否的过程充分有关。可见,财务报告内部控制审计是一个与财务报表审计相整合的宽泛的过程。它可以分为以下几个步骤:计划审计工作、评价管理当局用于评估内部控制有效性的过程、
获得对内部控制的了解、评价内部控制设计和运行的有效性、以及就财务报告内部控制的有效性形成一个意见。
做好财务报告内部控制审计的计划可以使得审计师制定一个全面的审计策略。有许多因素与计划审计有关,内部控制审计准则认为这些因素包括审计师在其他业务中获得的关于公司的了解、影响公司所在行业的事项、与公司经营有关的事项、以及公司经营或财务报告内部控制方面最近变化的程度。为了对这些因素获得一个好的了解,审计师应该有效地设计计划审计的性质、时间和范围。
为了评价和测试财务报告内部控制的有效性,审计师必须了解财务报告内部控制是如何设计和运行的。在评价管理当局的评估过程时,审计师要对此获得一个实质性的了解。然而,审计师也必须使其自己满意内部控制事实上已经像设计的那样得到执行。因此,在询问公司职员以及审阅管理当局评估以了解内部控制系统的设计和运行时,审计师还必须采用其他程序(如穿行测试)以确保其真正了解被审单位的财务报告内部控制。
财务报告内部控制要有效就必须被适当设计,以及所有为提供公司财务报表公允性合理保证的必备控制应该健全,且由有权执行它们的胜任的人执行。在内部控制审计过程中,审计师必须确定控制是否有效。审计师为测试和评价内部控制设计有效性的程序包括询问公司职员、观察内部控制、穿行测试、以及对控制得以适当执行时是否能够预防或侦查财务报告错报所进行的具体评价。这种评价要求审计师运用其职业判断和知识以及财务报告内部控制方面的经验去了解公司的控制。
为了对内部控制表示意见,审计师必须获得关于控制是否事实有效运行的证据。这与设计有效是截然不同又相互分离的审计内容。该法案要求在公司管理当局评估财务报告内部控制是否有效,并要求审计师对此表示意见。为了及时就内部控制是否有效表示意见形成基础,要求审计师获得内部控制在适当期间有效运行的证据。审计师为获得控制运行有效的证据而应该执行的测试主要包括询问适当公司人员、检查相关的记录(如销售定单和发票)、观察控制运行、以及重新执行控制应用。审计师还可以利用由管理当局和其他人执行的测试结果,包括内部审计师和在管理当局监督下的第三者的工作,但要求审计师对这些人的胜任能力和客观性进行评价。
由管理当局、内部审计师或其他人执行的内部控制有效性测试对财务报告内部控制机能持续有效非常重要,也是监督内部控制任意有效系统的组成部分。内部控制审计准则要求审计师阅读内部审计师和执行财务报告内部控制的其他人(如金融机构的贷款审阅部门)的报告。
管理当局和审计师都可能识别财务报告内部控制的缺失。内部控制审计准则要求审计师评价所识别的内部控制缺失的严重性。根据具体内部控制缺失所导致的合乎逻辑的财务报表错报结果的错报概率程度确定其是否为重大缺失,再根据重大缺失或与其他内部控制缺失的组合导致财务报表错报的概率程度来确定其是否为重大薄弱点。内部控制审计准则要求审计师以书面形式与公司审计委员会就审计师所察觉的所有重大缺失和重大薄弱点取得沟通。也要求审计师以书面形式就其察觉的以及已经告知审计委员会的所有内部控制缺失(且已经与审计委员会取得了
沟通)与管理当局取得沟通。如果审计师在执行完了所有认为必要的程序后,还不能识别内部控制中的任何薄弱点,则可对管理当局就财务报告内部控制所有重大方面都公允表达的评估报告表示无保留意见;如果审计师不能执行所有的必要程序,则审计师要表示保留意见或无法表示意见;如果不能表示整体意见,审计师还要对此作出解释。
三、内部控制审计的方法
为了适当地计划和执行一个遵循内部控制审计准则的有效审计,审计师的一个有效的审计方法是:(1)将他们的内部控制审计与对被审单位的财务报表审计整合起来,以使得在任一审计中收集的证据和执行的测试都有助于这两个审计的完成;(2)根据具体审计被审单位的风险,运用专业判断量体裁衣地编制好审计计划;(3)使用自上而下的方法,即从公司层面的内部控制开始,识别需要进一步测试的账户和过程;(4)充分利用准则允许审计师利用其他人工作的重要灵活性。
(一)整合的审计概念。随着审计在上世纪从详细检查具体交易和账户余额演变成抽样测试的过程,财务报告内部控制不仅成为了财务报告的基础,也成为财务报表审计的基础。自从1941年以来,SEC的有关规定就一直要求审计师在计划审计时就要考虑公司的内部控制。另外,如果内部控制已经充分设计且有效地得以运行,则长时以来的审计准则都允许审计师依赖一些低成本及节时的审计程序。相反,如果审计师认为内部控制设计或它的运行上不充分,则审计师就不能依赖这一控制,要考虑采用细节性更强的方法,也就是要几乎全部依赖账户余额和交易的细节测试。
该法案103和404条款以及内部控制审计准则改变了这一审计模式。现在,遵守条款404的公司审计师不仅必须获得内部控制的了解,而且还要检查内部控制设计和运行的有效性并就条款103(a)(2)(A)(iii)所要求的这些有效性充分表示意见。为了从这一检查获得最大收益和使得整个审计过程尽可能有效,内部控制审计准则设计了一个整合审计模式。 整合审计模式整合了财务报告内部控制审计和财务报表审计,以便通过同一过程同时实现两种审计的目标。在整合审计模式中,审计师对内部控制的检查,可以通过财务报表审计的结果得以证实,另外,在内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。这两个审计过程相互补充、互为强化。在这种方式中,整合审计有助于改进公司财务报告内部控制和财务报表独立审计的质量和正直性。
(二)根据被审单位具体情形量体裁衣地编制审计计划。公司财务报告内部控制的复杂程度与公司规模和经营性质等因素有很大的关系,不同公司之间的财务报告内部控制可以会差异迥然,但都能满足其自身要求,实现其应该实现的目标。这就给审计师进行具体审计编制审计计划带来了财务报表审计中不曾有过的难题。尽管财务报告内部控制审计准则要求审计师在具体进行财务报告内部控制审计时,要遵循COSO框架考虑被审单位财务报告内部控制设计和运行的有效性。但这也导致审计师在具体过程针对COSO框架采用某种“以一适万”的清单式的标准进行具体的计划编制。这种与具体问题和具体被审单位财务报表过程风险无多大关联的标准化式清单驱向的审计计划。不仅使得审计费用增加,
如审计计划安排项目小组中经验欠缺的审计师花很多时间去测试具体层面的控制,而且审计质量也会因此而降低,因为这种计划很少调查可能识别财务报告问题的重大内部控制薄弱点。
内部控制审计准则的整体目标是为审计师获得公司内部控制系统合理保证财务报表不含有重大错报的证据。为了完成这一目标,审计师不仅需要运用职业判断确定如何将本审计准则应用于不同行业、不同规模审计被审单位,还要运用职业判断将其工作集中于由于错误或舞弊可能存在的高错报风险领域。依赖致使审计注意力集中在低风险领域的内部控制的标准化清单明显不能实现这一目标。
(三)自上而下的方法和风险评估的作用。自上而下的方法就是要求审计师首先将注意力集中于公司层面的控制,然后是重大账户,以引导审计师关注重大处理过程,最后,关注过程中、交易、或应用层次的具体控制。每一步获得的了解指导审计师关注下一控制层次内的高风险领域。通过这种方法来完成任务,自然可以引导审计师关注高风险领域。这种方法也为审计师提供了一条路径以确保欲测试的具体控制事实上也是与财务报告内部控制相关的控制。审计师如果选择另一种无用的方法就有可能要承担审计成本增加质量降低的风险。如从最低层开始增加了致使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中,进而导致增加一些不必要的成本。
审计师的风险导向测试策略方法能够进一步降低成本,同时增加审计效果。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围,对于那些含
有重大错报概率只有极小概率的账户予以更少的关注。另外,审计师应该关注正在测试的具体控制,考虑它们的性质、频度和重要性以确定是否应该进一步修改测试策略。
最后,作为其风险评估的一部分,他们还应该考虑公司层面控制的强度,以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。公司层面控制强可以使得审计师做更少的工作,否则,他们将要执行更多的测试或要更大范围地依赖别人的工作。
(四)利用其他人的工作。利用他人工作不仅适当而且还是最有效的审计方式。在某些领域重复执行测试或其他审计工作不仅可能使得审计成本增加,审计质量也没有得到相应地提高。将审计资源投放于那些审计师可以依赖他人工作的领域,也可能导致审计师将精力过于分散于一些低风险控制。内部控制审计准则为审计师利用他人工作提供了相当大的灵活性。此准则规定胜任和客观的内部审计师的工作可能会影响审计的性质、时间和范围。特别地,如果内部审计师是胜任且客观的,则外部审计师在其日常审计过程中可以依赖内部审计师所执行的工作。
参考文献
1.刘霞.2006.对美国财务报告内部控制审计准则的思考.审计月刊,10。
2.阳杰、黄昌勇.2006.《萨班斯法案》404条款遵循的若干实务问题研究. 广东商学院学报,4。