一、引言

　　最近，美國公眾公司會計監(jiān)督委員會（PCAOB）發(fā)布了新的內部控制審計標準：審計準則5號——《與財務報表審計相結合的財務報告內部控制審計》（Auditing Standard No.5 -An Audit of Internal Control Over Financial Reporting That Is Integrated with An Audit of Financial Statements，簡稱AS5）。PCAOB AS5取代了2004年發(fā)布的審計準則2號Auditing Standard No.2-An Audit of Internal Control Over Financial Reporting Performed in Conjunction with An Audit of Financial Statements，簡稱AS2），對內部控制審計和財務報表的審計方式產生了重要影響。AS5強化了PCAOB2005年5月發(fā)布的指南，該指南要求外部審計人員使用自上而下的風險基礎審計方法執(zhí)行內部控制的審計，它被看成是一種內部控制審計實務最好的方法。盡管這種自上而下的風險基礎審計方法是AS5關注的核心問題，但是審計準則的其他變化也是非常重要的，如AS5修改了“重要缺陷”和“重大缺陷”的定義、修改了“重大缺陷”顯著征兆的構成、明確了審計中重要性的作用等。

　　二、財務報告內部控制審計準則PCAOB AS5的變化解析

　?。ㄒ唬娬{了風險和所需獲取的證據之間的關系

　　AS5要求外部審計人員使用自上而下的風險基礎審計方法執(zhí)行內部控制的審計，這種方法首先測試控制環(huán)境和了解財務報表，識別和評估重大錯報風險?；陲L險評估的結果，AS5要求外部審計人員識別需要測試的重要賬戶和流程。就這點而論，AS5強調風險評估及把風險評估與審計中所需獲取的審計證據聯系起來。

　　AS5允許減少業(yè)務流程層次的測試。尤其是在公司整體層面的控制較強，并且和業(yè)務流程層次的控制緊密相連時；或者公司整體層面的控制十分精確足以防止或發(fā)現相關認定的重大錯報，外部審計人員通常就能夠減少對業(yè)務流程層面的控制的測試。這兩種情況都要求審計人員對業(yè)務流程層面的控制和他們與企業(yè)整體層面控制的交互作用有一個充分的了解。

　　大量的PCAOB檢查報告表明外部審計人員并沒有使用由上而下的方法。同樣報告也表明宣稱使用自上而下方法的外部審計人員并沒有充分測試和記錄企業(yè)整體層面的控制和業(yè)務流程層面的控制之間的直接聯系或沒有測試和記錄企業(yè)整體層面的控制如何防止或發(fā)現相關認定的重大錯報。PCAOB期望“外部審計人員對風險的評估能對內部控制的審計產生深遠的影響”，對風險導向證據的依賴不斷增加。

　　AS5將風險和證據相聯系，這就需要摒棄固態(tài)的審計方法和以偏概全的思路。尤其是AS5要求外部審計人員應該不斷調整他們的程序以反映審計人員所獲得的信息，包括從內部控制和財務報表中獲得的信息。AS5也指出審計測試的性質、時間和范圍的不同組合能夠提供與既定控制相關的風險水平相對應的充分的證據。為了成功地實施靈活而彈性的審計，風險評估有必要在自上而下審計方法的每個決策點都進行。

　?。ǘ┬薷牧藢χ匾毕莺椭卮笕毕莸亩x

　　AS2和AS5在定義重要缺陷（significant deficiency）和重大缺陷（material weakness）時考慮了SFAS No.5的三大概率界限：極小可能（remote）、可能（reasonably possible）和很可能（probable）。如果把這三個界限看作是連續(xù)性的風險概率的話，還有一系列風險水平介于“極小可能”、“可能”和“很可能”之間。AS2使用“極小可能”來定義重要和重大缺陷，指出重要的缺陷是指一個控制缺陷或若干個控制缺陷的集合，對公司依一般公認會計原則可靠地確認、授權、記錄、處理和報告外部財務數據的能力，造成不利影響，使其年度或中期財務報告中重要的錯報無法被預防和偵查的可能性大于“極小可能”；重大的缺陷是指一個重要的控制缺陷或若干個重要的控制缺陷的集合，使年度或中期財務報告的重大錯報無法被預防和偵查的可能性大于“極小可能”。

　　AS5用“可能”這個術語替代了原來的“極小可能”，以此來定義重要缺陷和重大缺陷。重大缺陷是指財務報告內部控制中的一個缺陷或若干個缺陷的集合，使公司的年度或中期財務報告的重大錯報（material misstatement）可能無法被及時地預防和發(fā)現。這種可能性包括可能（reasonably possible）和很可能（probable）；重要缺陷是指財務報告內部控制中的一個缺陷或若干個缺陷的集合，比重大缺陷嚴重性輕一些，但仍很重要足以引起那些有責任監(jiān)督公司財務報告系統(tǒng)的人的注意。用“可能”這個專業(yè)術語來定義重要缺陷，會將那些介于“極小可能”和“可能”之間的缺陷排除在重要缺陷之外。這樣會減少審計師所識別的重大缺陷和重要缺陷的數量。公司的管理層和治理層應該明白這些，當外部審計人員識別出的重大缺陷下降時，不要錯誤地認為內部控制是安全的。

　　（三）修訂了重大缺陷顯著征兆（strong indicators）的構成

　　AS5取消了需要將已公布的財務情況重述和企業(yè)整體層面控制環(huán)境失效至少應該看作內部控制重要缺陷和重大缺陷顯著征兆考慮的規(guī)定。因為這種變化，外部審計師需要使用自己的判斷確定何時財務重述或公司整體層面控制失效不必被認為是內部控制的缺陷。

　　AS5同樣也闡明了未修正的重要缺陷不必被認為是重大缺陷的顯著征兆，但是公司整體層面上的控制缺陷除外。正因為如此，外部審計師（可能也包括內部審計師）必須要不斷地評估公司整體層面的控制是否無效。當公司整體層面的控制環(huán)境確實是無效的時候，未修正的重要缺陷將成為重大缺陷的顯著征兆。AS5中關于“財務重述和未能對外部審計師建議做出反應是否構成重大缺陷的顯著征兆”的觀點將很可能導致內部控制否定意見的減少。

　?。ㄋ模╆U明了審計中重要性（materiality）的角色

　　AS2要求審計人員查找所有的內部控制的潛在缺陷，而不僅僅是與財務報表相關的內部控制。這一要求使得公司在總體上采用了COSO框架，包括遵守政府的規(guī)章制度、公司的運營、信息的有效性等方面的內部控制。AS5鼓勵公司僅僅關注與導致財務報表錯報相關的內部控制的缺陷。

　　更明確的是，AS5指出審計人員在計劃和執(zhí)行內部控制審計時采用的重要性衡量標準應該與計劃和執(zhí)行財務報表審計時所采用的重要性標準一致。這一要求使得外部審計人員審計工作的范圍發(fā)生改變，可以不再檢查內部控制所有的潛在缺陷，而是全力以赴地去尋找導致財務報表重大錯報的內部控制的缺陷。

　　（五）取消了對管理層內部控制自我評估程序進行評價的要求

　　SEC規(guī)則曾要求報表發(fā)布者在每一會計年度終了時，使用合適的框架（一般采用COSO內部控制框架，雖然其它框架也能被接受）來評估其內部控制的有效性。為了在AS2的指導下完成審計工作，外部審計人員被要求評價管理層每年的內部控制自我評估程序。如果外部審計人員認為管理層的自我評估程序沒有為其內部控制的自我評估結論提供充分的支持，那么就要求外部審計師拒絕對公司的內部控制發(fā)表意見。

　　在AS5和SEC的新的指南下，外部審計人員不再需要評價管理層每年的自我評估程序。然而，為了能夠利用其它人員的工作，外部審計人員還需了解管理層的自我評估程序。因此，管理層、內部審計人員以及外部審計師就有必要來協調他們各自的工作。而審計委員會在這一協調過程中發(fā)揮著重要的作用。

　?。┰试S考慮先前審計所獲得的信息

　　AS5允許外部審計人員基于以前年度的審計工作而在某些領域減少測試。這就取消了AS2要求審計師每年必須依靠當年自己的審計工作的規(guī)定。AS5要求外部審計人員在執(zhí)行內部控制測試前，考慮以前年度審計（包括財務報表和內部控制審計）所執(zhí)行的程序的性質、時間、范圍和測試的結果以及自上一次審計以來內部控制或者相關程序的任何變化。在全面的風險評估基礎上，外部審計人員應該根據與特定控制相聯系的風險決定所需要獲得的證據。例如，AS5中，當控制呈現低風險時（如固有風險較低，復雜程度較低，自以前年度審計后沒有出現控制或程序的改變，以前年度的測試沒有發(fā)現缺陷等）可以單獨使用穿行測試來評價控制運行的有效性。而在有較高風險的控制中，僅僅采用穿行測試是不夠的。但是當年進行的穿行測試以及其它測試的結果可以影響以后年度測試的性質、時間和范圍。

　　AS5不允許減少那些對財務報告相關的內部控制整體有效性起核心作用的控制的測試。所減少的當年的內部控制測試工作（包括性質，時間，范圍）必須是該控制對與財務報表相關的內部控制的整體有效性不起核心作用。例如，決算程序的控制對財務報表相關的內部控制整體有效性是起核心作用的，當測試這些控制的時候，以前年度的結果就不再值得依賴。

　?。ㄆ撸┲匦抡{整多區(qū)域測試要求

　　在AS2的規(guī)定下，審計師必須評估他們對公司進行的多區(qū)域（multi-locations）或多業(yè)務單元（multi-business units）的內部控制測試是否引起對公司的大部分范圍都進行了測試。這種要求導致許多審計人員對某一公司進行大范圍的了解，測試的覆蓋面廣，而不考慮和這些區(qū)域、業(yè)務單元相聯系的財務報表中重大錯報風險大小。由于AS2關注的是測試的覆蓋面而不是錯報風險大小，許多公司覺得他們被迫接受了對內部控制的過度審計。AS5的出臺取消了“要對公司的大部分區(qū)域和業(yè)務單元進行控制測試”的要求，取而代之的是要求審計人員采用風險基礎的方法來決定測試的恰當的區(qū)域范圍和業(yè)務單元。

　　外部審計師在決策需要對一個公司的哪些區(qū)域或業(yè)務單元進行控制測試時，需要將對該區(qū)域或業(yè)務單元的評估的風險程度及投入該區(qū)域或業(yè)務單元的審計關注相聯系。當某一區(qū)域或業(yè)務單元單獨或和其他區(qū)域或業(yè)務單元合并一起沒有可能引起公司合并會計報表存在重大錯報時，外部審計師可以減少對這些區(qū)域或單元的進一步關注。在一個低風險的區(qū)域或業(yè)務單元，外部審計師可以首先評價公司整體層次控制的測試和那些合理保證恰當的控制貫穿于整個組織的控制是否能為它們提供充分的審計證據，而不是直接對這些低風險的區(qū)域或業(yè)務單元進行控制測試；在決策對哪些區(qū)域或業(yè)務單元進行控制測試時，外部審計師可以考慮其他人員的工作。例如，如果公司的內部審計人員在計劃的工作中包括了對某些區(qū)域或業(yè)務單元的審計，外部審計師就可以整合內部審計師的工作，降低對業(yè)務區(qū)域或單元測試的數目。

　?。ò耍┫耸褂闷渌藛T工作的障礙

　　AS2要求外部審計師獲取重要的證據以支持對內部控制發(fā)表的意見。而AS5要求外部審計人員仍然對他們出具的財務報表和內部控制的審計報告負責。但是AS5放寬了外部審計人員可利用的其它人員工作的情況，如利用內部審計人員的工作。

　　AS2中規(guī)定：“在內部控制審計過程中，外部審計人員對控制進行測試時，可以利用內部審計人員，公司的其他人員以及處于管理層指導下的第三方的工作”。然而“在財務報表審計中進行的控制測試中只能利用內部審計人員的工作”。

　　AS5為何時可以利用其他人員的工作建立了一個統(tǒng)一框架，這個統(tǒng)一框架的基礎標準是：被測項目的性質（強調風險和相關的活動），執(zhí)行測試人員的勝任能力及客觀性。而不管這項工作是和公司的內部控制測試有關（只要執(zhí)行這項工作的人員的勝任能力和客觀性足夠“高”）還是和財務報表審計有關。外部審計師需要研究如何運用這一框架判斷在審計中公司員工的工作可以在何種程度上被利用，以及哪些人的工作可以被利用，哪些人的工作不能被利用。

　?。ň牛┲匦抡{整了穿行測試的要求

　　在AS2下，外部審計人員必須對所有主要的交易層次執(zhí)行穿行測試（walk through），而且穿行測試不能由其他人執(zhí)行。AS5則鼓勵但不強制要求在每個重要的流程中進行穿行測試。同時，在流程層面支持采用穿行測試并不排除使用除穿行測試以外的其他審計技術來獲取對重要流程中控制的了解。

　　AS5也允許外部審計人員利用其他人提供的直接幫助進行穿行測試。然而外部審計人員仍然必須主要和親自參與到穿行測試中。在尋求其他人員對穿行測試進行幫助前，外部審計人員需要明確哪些穿行測試是重要的，必須親自執(zhí)行，這一點非常重要。

　?。ㄊ檩^小的公司量身定制審計

　　AS5允許外部審計師根據公司的規(guī)模和復雜性以及它的營運單元來量身定制其審計程序。

　　AS5代表了管制者對那些不得不遵循SOX404條款的公司提出問題的合理回應。外部審計人員應該意識到這些變化，并要有意識地探討如何從資源、應用于財務報表和內部控制審計的方法方面來應對這些變化。