一、美国财务报告内部控制审计准则概述 2001年美国安然公司破产及其以后一连串的会计丑闻事件,彻底打击了美国投资者对资本市场的信心。为了扭转这一局面,美国国会于2002年7月25日通过了《萨班斯—奥克斯利法案》(简称“SOX法案”)。SOX法案为公众公司的外部审计师建立了一个新的监督体制,并将对财务报告的内部控制作为关注的重点之一。SOX法案404条款要求公司管理当局评估和报告公司的财务报告内部控制,要求独立审计师对公司管理当局对财务报告内部控制的评估进行鉴证,并报告其鉴证结果。这标志着上市公司内部控制被纳入强制性信息披露范围,同时也首次从强制性监管角度提出了对内部控制的有效性进行审计。 作为对SOX法案的回应,2004年3月9日,美国公众公司会计监督委员会(PCAOB)发布了《审计准则第2号——与财务报表审计相关的财务报告内部控制审计》(AS2),并于6月18日经美国证券交易委员会(SEC)批准实施。AS2关注的是财务报告内部控制的审计工作,以及这项工作与财务报表审计的关系。在AS2出台的随后两年多时间里,PCAOB密切关注AS2的执行情况,并通过广泛地收集公众公司财务信息、参加圆桌会议及获取各方面的反馈信息重新对AS2所有重大方面的有效性进行评估。通过对来自各方意见的讨论,2007年6月12日,PCAOB发布了《审计准则第5号——与财务报表审计相整合的财务报告内部控制审计》(AS5),并于7月25日经SEC批准实施。AS5最终取代了AS2。 二、财务报告内部控制审计与财务报表审计的比较 PCAOB在 AS2中首次提出了综合审计的理念,即公众公司的审计师不仅要进行财务报表审计,还要进行财务报告内部控制审计。那么,外部审计师在执行双重审计任务的同时,应如何区分这两种审计以及将这两种审计有效整合呢? (一)财务报告内部控制审计与财务报表审计的区别 1.审计内容及范围不同。根据AS2的规定,财务报告内部控制审计的主要内容是评价公司管理当局的评估,就公司管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达形成一个意见。而根据AS5的规定,财务报告内部控制审计是指审计人员就公司财务报告内部控制发表独立审计意见。AS5在AS2的基础上,省略了财务报告内部控制审计的相关概念介绍,而直指审计目标和审计步骤。从制订审计计划、采用自上而下的方法进行控制测试,到评价内部控制存在的缺陷,最终形成财务报告内部控制审计报告。可见,财务报告内部控制审计是对被审计单位与财务报表相关的内部控制的设计和执行有效性进行的全面评价。而财务报表审计中对内部控制的测试,其内容少得多、范围也小得多。外部审计师基于测试内部控制的成本和效益考虑,甚至可以选择放弃测试内部控制而直接执行实质性测试。在SOX法案实施后,测试内部控制不再是验证财务报表的一个可选择工具,而成为审计的直接目的之一,是必须执行的审计程序。在这种情况下,财务报告内部控制审计与财务报表审计的区别就非常明显了。 2.对内部控制有效性评价结论的准确程度要求不同。由于财务报告内部控制审计需要外部审计师对公司财务报告内部控制的有效性发表独立审计意见,因而要求评价结论有较高的保证水平。而财务报表审计中对内部控制的测试只是规划实质性测试的重要依据,因而对评价结论的准确性要求不是很高。如可对内部控制的有效性作保守评价,仅给予极低的信赖度,这样只会增加实质性测试的工作量,会影响审计效率,一般不会影响审计效果。但要防止对内部控制的有效性做出过于乐观的评价,否则会增加审计风险。 3.对外部审计师的职业判断能力要求不同。AS5具体列明了财务报告内部控制审计的审计目标和审计步骤,其对外部审计师的职业判断能力和专业胜任能力都有了更高的要求。首先,审计计划的编制难度加大。公司财务报告内部控制的复杂程度与公司规模和经营性质等因素有关,因此要求外部审计师在编制审计计划时能具体问题具体分析。然而,在AS5要求遵循COSO框架的前提下,往往导致外部审计师在审计过程中以COSO框架为蓝本制订标准化格式的审计计划。这种标准化格式的审计计划可能不能识别出财务报告重大内部控制薄弱点。这不仅增加了审计费用,也降低了审计质量。其次,在财务报告内部控制审计完成控制测试后,外部审计师需要评价内部控制存在的缺陷,并根据内部控制缺陷程度确定审计范围和审计意见类型。而内部控制缺陷评价一直是财务报告内部控制审计中难度最大的一个方面,究其原因,就是在评价内部控制缺陷是否重大时,需要外部审计师进行大量的职业判断。而在确认为重大缺陷以后,外部审计师还必须进一步判断该缺陷是否为实质性漏洞。 4.对外部审计师的责任要求不同。财务报表审计的目标是就被审计单位的财务报表是否在所有重大方面公允表达表示意见,所以外部审计师只需对财务报表的可靠性提供保证。而财务报告内部控制审计的目标是获得公司管理当局特定日期的评估结论中不存在实质性漏洞的合理保证,所以,外部审计师需要对内部控制及公司管理当局的内部控制报告出具“双保险”的鉴证,从而承担了双重责任。 (二)财务报告内部控制审计与财务报表审计的联系 1.目标相同。财务报告内部控制审计的目标是,就公司管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达发表审计意见。而根据AS5的规定,财务报告内部控制审计是就财务报告内部控制发表独立审计意见,目标是获得公司管理当局特定日期的评估结论中不存在实质性漏洞的合理保证。财务报表审计的目标是就被审计单位的财务报表是否在所有重大方面公允表达表示意见,其直接面向的也是社会公众。可见,财务报告内部控制审计与财务报表审计的目标是一致的,两者都是为了对向公司外部信息使用者提供决策有用的高质量会计信息提供合理保证,其共同目标是提高对外公布的财务报表信息的质量。
