Pcaob内控审计准则.docx

Pcaob内控审计准则.docx

《Pcaob内控审计准则.docx》由会员分享，可在线阅读，更多相关《Pcaob内控审计准则.docx（66页珍藏版）》请在冰豆网上搜索。

Pcaob内控审计准则

PCAOB审计准则第五号

上市公司会计监管委员会（PCAOB）

华盛顿特区20006，NW，K街1666

电话：

（202）207-9100

传真：

（202）862-8430

www.pcaobus.org

PCAOB审计准则第五号

上市公司会计监管委员会（PCAOB）

华盛顿特区20006，NW，K街1666

电话：

（202）207-9100

传真：

（202）862-8430

www.pcaobus.org

审计准则提案—与财务报表审计相整合的财务报告内部控制审计

以及其它相关提议

上市公司会计监管委员会发行号2006-007

2006年12月19日

PCAOB规则制定事件第021号RulemakingDocketMatterNo.021

概要：

上市公司会计监管委员会（“委员会”或”PCAOB“）提议采用新的审计规则—与财务报表审计相整合的财务报告内部控制审计，该提案将取代PCAOB第2号审计准则。

PCAOB同时提议采用另一个相关的审计准则—审计中对他人工作的考虑和使用，一条独立性原则，它关系到与内部控制相关的非审计服务以及对中期准则的某些补充。

公众评论：

相关人士可以向委员会递交书面评论，投寄地址如下：

华盛顿特区20006-2803，N.W.，K街，1666；也可以通过电子邮件（comments@pcaobus.org）或PCAOB的网站www.pcaobus.org.提交评论。

所有评论都应针对PCAOB规则制定事件第021号的主题和参考系列，最晚收件时间为2007年2月26日下午5点（东部时区时间）。

委员会联系人：

LauraPhillips，副审计长（202/207-9111；phillipsl@pcaobus.org）；SharonVirag，助理审计长（202/207-9164；virags@pcaobus.org）。

概述

2003年6月，证券监管委员会（SEC）根据2002年《萨班斯•奥克斯利法案》（《法案》）的404条款，规定发行者的年度报告应包括一份对公司财务报告内部控制的评估以及一份审计师对此评估的报告1/。

不久，根据404条款（b）和《法案》103条款的要求，委员会采纳了第2号审计准则—与财务报表审计相整合的财务报告内部控制审计（第2号审计准则），该准则将适用于新的报审公司。

证券监管委员会于2004年6月17日批准通过了第2号审计准则。

自审计师开始将第2号审计准则应用于对加速披露方2/的审计之日起，已经完成了两轮年度财务报告审计。

在此期间，PCAOB密切监督了准则的执行情况以及审计师在合规性方面的进步。

PCAOB的监督包括收集关于已注册的公共财务公司的信息，与证券监督委员会共同参加两次圆桌会议，发行方、审计师、投资方、以及其它相关方参加了此圆桌会议；与常务咨询小组会面；接收委员会小商业环境审计论坛参与者的信息反馈；接收学术、政府以及其它方的报告和研究。

收集到的信息源反映了两条基本建议。

其一，对财务报告内部控制的审计可以带来巨大的利益。

发行方和审计师描述了对公司管理、以及重要流程和控制3/质量和效率改进的关注，之前不存在这方面的公司管理。

公司董事会成员已经看到审计委员会在勘漏方面的改进，投资者也发现上市公司的财务报告质量和透明性都提高了4/。

同时，研究显示：

有效的内部控制对财务报告的准确性具有积极的影响5/。

1/见S-K规则,17C.F.R.第308条款229.308.

2/证券监督委员会要求加速披露公司（通常指公众持股量大于等于7,500万美元的美国公司）截止于2004年11月15日的财年或之后，应符合404条款的要求。

3/例如，GE公司PhillipD.Ameen和普华永道SamuelA.Dipiazza在关于内部控制报告和审计条款的第二年经验的圆桌会议讨论中的评论（2006年5月10日）（5月10日圆桌会议），电子版见http:

//www.pcaobus.org/Standards/Standards_andRelated_Rules/AS2/2006/05-10/Unedited_Transcript.pdf.

4/例如，见任多家公司董事会成员的BarbaraHackmanFranklin以及ShamrockCapitalAdvisors管理董事MichaelJ.McConnell在5月10日圆桌会议上的评论。

5/见Doyle,JeffreyT.,Ge,Weili与McVay,SarahE.,美国会计学会2006财务会计与报告部分会议文件“成长质量与财务报告内部控制”（2006年12月4日），见SSRN：

6/见PCAOB《关于上市公司会计监管委员会对2006年内部控制审计的检查方法的声明》（2006年5月1日）；《第2号审计准则初始执行报告—联系财务报表审计进行的财务报告内部控制审计》（2005年11月30日）；《关于执行第2号审计准则的政策声明—联系财务报表审计进行的财务报告内部控制审计》（2005年5月16日）（2005年5月16日，政策声明）。

其次，这些利益也伴随着巨大的成本。

在过去两年，委员会听到了同一个声音：

《法案》内部控制合规性需要更大的努力，由此产生的成本也比预期的高。

委员会同意：

审计师应尽可能有效地进行公司（证券监督委员会要求这些公司提供财务报告审计报告）内部控制审计6/。

因此，委员会对内部控制审计的所有重大方面进行了评估，以确定现有准则是否鼓励审计师执行不必要的程序，以实现既定利益。

评估的结果之一就是：

委员会提出了新的财务报告内部控制审计准则，以取代第2号审计准则。

委员会还提出了新的关于使用他人工作的审计准则、关于涉及内部控制非审计服务的新的独立性原则、以及涉及委员会暂行审计准则的某些相关修正。

如下所述，提案的主要目标为

●通过指引审计师对最重要的控制进行测试、强调风险评估的重要性、修改重大缺陷和实质性漏洞的定义、修改实质性漏洞“重要指标”的定义、并阐明审计中实质性（包括暂时的实质性）的作用，以及其它方式，将审计的重点放在最重要的内部控制事件上。

●通过去除评估管理过程的要求、允许考虑使用之前的审计中获得的知识、重新将重点移回到对风险的多地址而不是覆盖范围的测试要求、去除使用他人工作的障碍、重新修订预排要求，以及其它方法，去除不必要的程序。

●通过指引审计师在审计中反映规模较小、结构相对简单的公司的性质，以及其它方法，使审计适合较小公司的规模。

●通过减少细节和特征、更好地反映内部控制审计后的线性流动、提高可读性，以及其它方法，简化要求。

委员会要求对提案的各个方面进行评论。

除了以下的具体问题，委员会对“提案的变化是否能够保留内部控制审计的既定利益”尤其关心。

委员会对“提案的变化能否减少审计事件，如果能，减少的程度如何”尤其关注。

二．准则的重大变化

委员会提议采用新的内部报告审计准则，而非对现有准则的修订。

以下部分描述了委员会为实现四个基本目标而提议的重大改变，委员会希望各方发表评论，尤其是关于这些重大改变的评论。

A．指引审计师将审计重点放在对最重要的内部控制事件的审计

很多评论者表达了对内部控制审计过分关注内部控制中的细节性、流程性方面7/。

此外，一些评论者指出：

内部控制审计师未能指出非常重要的实质性漏洞（不是那些已经导致实质性错报的指标），而这些实质性漏洞是问题的早期指标8/。

委员会提案的目的是通过要求审计师使用从上至下的方法、强调风险评估的重要性、以及澄清某些定义和条款，支持审计发现最重要的问题的能力。

1.指引审计师将注意力投向最重要的控制

内部控制审计准则提案内容沿用了委员会关于第2号审计准则应用的2005年5月16日指南中强调的从上至下的方法9/。

在使用从上至下的方法时，审计师从上（财务报表和公司层面的控制）开始确定将要测试的控制，并将财务报表要素和公司层面的控制与重要账目、相关论断、以及其它重要控制所在的重大流程联系在一起。

遵循从上至下的方法可以帮助审计师将重点放在对必要控制（那些对审计师结论而言重要的控制）的测试，并避免对内部控制审计范围之外的控制进行审计。

7/例如，见美国国防部长办公室商学会资本市场项目副总裁DavidC.Chavern的来信，PCAOB（2006年5月3日）（“与个体交易为基础的控制相对应的重大实体层面控制的审核和测试应得到更多关注”）。

8/例如，见穆迪投资者服务公司，财务专家集团管理董事GregoryJ.Jonasz在圆桌会议上的讲话（2006年5月10日）（“我认为我们需要增加预防并检测欺骗性财务报告的控制的量。

我们关于实质性的披露已经成为回顾性、而非前瞻性披露，也许这不可避免。

”）

9/见2005年5月16日的政策声明。

使用从上至下的方法，如果公司层面的控制很强，并直接与过程层面的控制相连，或者，如果公司层面的控制足够准确，足以预防并检查出相关论断的实质性错报，那么审计师也许能够减少对流程层面控制的测试10/。

由于从上至下方法对审计的有效性具有积极的影响，准则提案将要求审计师在审计中（包括对重要的公司层面控制进行测试）使用该方法。

委员会还希望鼓励对那些对预防和发现欺诈重要的控制进行适当关注。

相应地，准则提案要求审计师评估控制环境，对期末财务报告的结束程序控制进行评估，并评估针对管理层预约风险的控制。

问题

1.准则提案是否清楚描述了如何在内部控制审计中使用从上至下的方法？

2.准则提案是否对确定并测试预防并检测欺诈的控制给与了适当的重视？

3.从上至下方法是否能够使审计师更好的关注最重要的控制？

4.准则提案是否对公司层面的控制、以及公司层面的控制对审计师工作的影响（包括对何时可以减少或者去除其它控制的充分描述）给予了适当的关注？

10/准则提案没有沿用第2号审计准则第54段的声明，“仅对公司层面的控制进行测试不足以支持关于公司财务报告内部控制的有效性的观点”。

此声明被用以说明：

禁止相对单独的论断对公司层面的控制的依赖。

但准则提案使审计师可以确定：

公司层面的控制足以处理单独论断的错报。

2.强调风险评估的重要性

委员会2005年5月16日指南强调了内部控制审计风险评估的重要性，提案收录并强调了指南的要素。

审计师的风险评估应对内部控制审计具有普遍影响。

从审计师开始对公司的实质性漏洞风险进行评估开始，以至对单独账户、论断或控制层面风险的分析，审计师应不断调整审计程序，以反映审计师掌握的信息，包括内部控制审计和财务报表审计的经验。

将审计重点放在风险最大的区域会使审计更有效，并显著增加发现曾被忽视的实质性漏洞的几率。

合理使用风险评估同样可以提高审计效率，因为审计师不会花费时间对那些不会导致财务报告实质性错报的控制进行测试，即便这些控制并不完善。

因此，这一关于内部控制审计的准则提案要求审计师在每一决策点的风险评估中采用从上至下的方法。

审计师对重要账目和相关论断的确定要求审计师应清楚存在的相关风险，以及风险如何影响审计师的决策。

此外，准则提案还要求在多地址测试中采用一种基于风险的方法，该提案内容还包括关于风险与审计师判定既有控制有效的决定的必要证据之间关系的讨论。

准则提案明确指出：

审计师判定控制有效所需的证据依赖与控制伴生的风险，这一点非常重要。

准则提案描述了审计师下此判断时应评估的风险因素。

此外，根据准则提案，性质、时间和审计师测试范围的不同组合可以提供关于给定控制风险的相关证据。

为合理强调风险评估在审计师工作中的作用，准则提案内容还包括对整合审计指导的变化。

第2号审计准则指出“未能检测到错报的（财务报表审计中的）大量程序并不能证明被测试的、与论断相关的控制有效”11/。

相反，准则提案指导审计师在确定与控制相关的整体风险时，考虑在财务报表审计中大量审计程序的结果。

在决定控制所需的证据时，除了准则提案中描述的其它因素，审计师还应该考虑这些额外的风险因素。

但是同时，准则提案指出：

为获取关于控制是否有效的证据，必须对控制进行直接测试。

换言之，仅凭审计师未发现财务报表错报这一点并不能证明有效性。

问题

5.准则提案是否包括了适当篇幅的风险评估，包括对风险水平和所需证据的关系的描述？

6.预排是否足以测试一些低等级风险控制的设计和执行的有效性？

3.修订重大缺陷和实质性漏洞的定义

缺陷评估是内部控制审计最困难的方面之一。

鉴于各个不同公司、不同缺陷具有自身的特征，评估缺陷的任何方法都需要依赖高度的职业判断。

评论者指出：

第2号审计准则中，重大缺陷和实质性漏洞的定义混乱，这加大了评估缺陷严重程度的困难。

11/见第2号审计准则第158段。

12/例如，见5月10日圆桌会议，MFS投资管理主席RobertC.Pozen的书面声明（“类似‘很可能’或‘有微小可能’一类词语的使用很可能将审计师的审计注意力转向未发生并非常可能不会发生的假定情况”）；5月10日圆桌会议，斯坦福法学院教授JosephA.Grundfest的书面声明（“这些定义的暗含之一就是：

为确定公司控制是否存在重大缺陷，审计师必须寻找介于（a）具有非实质性的微小可能性，但同时也大于公司财务报表错报的“不合理”可能，（b）小于可能与不合理错报可能性之间的控制）。

委员会相信第2号审计准则的现有框架：

参照潜在错报的可能性和量级，描述缺陷和实质性漏洞，这一点非常正确。

但是同时，委员会认为这些定义的改进将使准则更加简化和清楚。

所以，关于内部控制审计的准则提案对这些定义进行了三项修正—

a.用“合理可能性”替换“微小可能性”

委员会在定义第2号审计准则的“重大缺陷”和“实质性漏洞”时使用了美国财务会计准则委员会第5号声明《或有事项会计》（“FASB第5号声明”）中的说法描述发生可能性的最低要求。

委员会选择使用这些说法，因为委员会相信审计师和财务报表编制者已经熟悉如何应用这些术语，并且希望这些术语的应用能够提高缺陷评估的一致性。

FASB第5号声明描述了未来事件发生可能性的“很可能”“合理可能”或者“微小可能”。

第2号审计准则中的定义引用了错报发生的“微小”可能。

根据“FASB第5号声明”，事件的可能性既不是“合理可能”，也不是“可能”，那么该可能性就是“微小”。

但委员会通过对第2号审计准则执行情况的监督发现：

一些审计师和发行方将“微小”可能错误的理解为可能性远低于合理可能。

这可能导致发行方和审计师在评估错报的可能性时大大降低委员会最初设定的最低标准。

为鼓励对以上定义的正确应用，准则提案在定义实质性漏洞和重大缺陷时，用“合理可能性”取代了对“微小可能”的引用。

因为“微小”导致审计师和发行方在评估可能性时采用的标准比原先设定的标准更严格，这一修订应该能够显著改善对缺陷的评估，以使检查出的实质性漏洞是那些确实非常重要的缺陷。

b.重新确定实质性漏洞的定义，以去除重大缺陷

第2号审计准则将实质性漏洞定义为“导致年度或中期财务报告不可预防或检测的实质性错报的重大缺陷或重大缺陷的综合”13/。

在重大缺陷的定义中使用这样的定义引起了关注：

审计师的审计水平足以取得足够的保证，保证审计过程能够找出所有重大缺陷，而不仅仅是实质性漏洞。

内部控制审计的目的是取得关于实质性漏洞是否存在的证据。

内部控制审计并不要求审计师寻找严重程度低于实质性漏洞的缺陷或缺陷组合。

为更好的解释审计的目的并最小化混淆的可能，委员会的准则提案用“控制缺陷或控制缺陷组合”取代了实质性漏洞定义对重大缺陷的引用。

c.用“重大”取代“不仅仅是不合理”

由于第2号审计准则将重大缺陷定义具有导致错报（不仅仅是不合理）的控制缺陷或控制缺陷组合（不仅仅是微小可能）。

几位评论者表达了关于“不仅仅是不合理”的使用可能使公司和审计师在定义、讨论和确定那些不足以对公司内部控制整体产生影响的缺陷上花费过多时间。

因此，委员会建议重新定义重大缺陷，以更好地确定重大缺陷的重要程度的最低标准。

因此，准则提案将“不仅仅是不合理”替换为“重大”，并将“重大”定义为“虽然比实质性程度轻，但其重要性足以引起负责公司财务报告监管的人员的关注”。

13/见第2号审计准则第10段。

问题

7.提议的“重大”定义对实际应用而言，描述是否足够清楚？

是否对能够导致审计师做出缺陷控制存在重大缺陷的潜在错报类型进行了适当的描述？

8.审计师是否在不存在实际的实质性错报（无论是管理还是审计师指出的）的情况下能够对实质性漏洞进行合理确定？

内部控制审计准则提案是否能够进一步鼓励审计师在实际的实质性漏洞未出现的情况下，合理确定实质性漏洞？

9.提案中定义的修改是否能够减少确定和分析那些不具有造成财务报表实质性错报的合理可能的缺陷的时间？

4.修订实质性漏洞的重要指标

除了澄清定义，关于内部控制审计的准则提案还希望能够更好的描述这些定义在具体情境中的应用。

第2号审计准则对那些被认为至少为重大缺陷和实质性漏洞的重要指标的环境进行了描述14/。

此类环境的例子包括已发布的财务报表的重新编报,以及无效的控制环境。

对一个重要指标的确定可能使审计师存有这样的偏见：

实质性漏洞存在，但审计师并不需要做出实质性漏洞存在的论断。

相反，审计师可能认为：

这些环境还不构成实质性漏洞，只是存在重大缺陷。

但实际情况是，审计师的结论有时是：

根本不存在缺陷。

为保证提案的要求不会迫使审计师在缺陷不存在的情况下，做出缺陷存在的结论，并重申在做出以上评估时所需的判断，委员会建议修改此规定，删除关于将上述环境认为是至少具有重大缺陷的要求。

根据内部控制审计准则提案，这些环境仍将是实质性漏洞的重要指标，但并不与审计师关于不存在缺陷的结论相悖。

14/见第2号审计准则的第140段。

准则提案还应阐明审计师如何对未纠正的重大缺陷是否反映了公司内部控制中的实质性漏洞进行评估。

根据第2号审计准则，已经通知管理层和审计委员会、但一段合理时间后仍未得到改正的重大缺陷是实质性漏洞的重要指标。

准则提案修改了这条规定，以强调其与审计师对公司控制环境的评估的关系。

已经通知管理层和审计委员会、但一段合理时间后仍未得到改正的重大缺陷可能暗示公司的控制环境无效。

审计师需要评估公司的控制环境是否确实无效。

如果无效，无效的控制环境（而不是未得到改正的重大缺陷）将成为实质性漏洞的重要指标。

这一修改将阐明：

未改正的重大缺陷是实质性漏洞的重要指标，因为在有些环境中，这些未改正的重大缺陷可能意味着公司对改正内部控制中存在的问题的重视不够，或没有能力改正。

但有时，审计师可能发现公司评估重大缺陷，并做出合理决定：

不改正缺陷。

在这种情况下，准则提案将允许审计师做此结论：

控制环境无效，但不存在实质性漏洞。

提议的改动将通过引导审计师将重点放在公司未改正重大缺陷的原因上，从而强调审计师对控制环境评估的重要性。

问题

10.准则是否允许审计师在存在一个重要指标的情况下，做出不存在重大缺陷的结论？

这一修改是否能够通过允许采用更大程度的判断改善实际情况？

这一修改是否会导致对缺陷评估的不一致性？

5.明确实质性在审计中的作用

在财务报表审计中，实质性的概念是内部控制审计的关键。

虽然第2号审计准则以联邦证券法的实质性概念为基础15/，评论者表达了对第2号审计准则与实质性相关的几个方面的关注，包括对：

审计师将准则解释为指导审计师寻找内部控制中的潜在缺点，无论这些缺点对财务报告的潜在影响如何16/。

而这种解释与委员会关于审计范围的初衷和第2号审计准则本身相悖，针对以上担忧，内部控制审计准则提案进一步阐明：

审计师在计划和执行内部控制审计中采用的实质性方法应与年度财务报表中采用的方法相同。

例如，准则提案清楚表明：

在确定内部报告审计程序的性质、时间和范围时使用的账目层面实质性的考虑应与财务报表审计中的相同。

与此类似，两个审计中的内生风险也相同，因此，准则提案阐明：

内部控制审计中指出的重大帐目应与财务报表审计中指出的重大帐目相同。

6.明确中期实质性在审计中的作用

第2号审计准则和内部控制准则提案中实质性漏洞和重大缺陷的定义在描述潜在错报的可能性和量级上既指中期财务报表，也指年度财务报表。

一些评论者认为这种对中期实质性的引用已经使一些审计师将审计程序界定在一个过于严格的水平。

对中期报表的引用仅与对缺陷的评估有关，与审计师的测试范围无关。

审计师在内部控制计划和审计中应采用与公司年度财务报表计划和审计中使用的实质性考虑相同。

为强调这点，委员会增加了准则提案中对范围和评估作用的描述。

15/见第2号审计准则的第22和23段。

16/例如，见金融协会政府关系委员会AAP主席RossGuyer给美国证券监督委员会秘书NancyM.Morris的信（2006年5月1日）（“至今，我们仍未看到审计师在执行审计，以及根据萨奥法案进行测试和报告中，确定哪些为实质性，哪些不是实质性方面取得实质性改进”）。

问题

11.是否需要对内部控制审计范围进行进一步的划分，以避免不必要的测试？

12.重大缺陷和实质性漏洞的定义是否应删除对中期财务报表的引用？

如果应删除，其对审计范围会产生怎样的影响？

B.删除不必要的程序

提案删除了委员会（鉴于其监督）认为对有效的内部控制审计而言不必要的程序。

尤其重要的一点是,提案将删除对公司内部控制过程管理（用来评估内部控制）进行评估的要求，允许审计师减少某些风险较低的领域的证据，重新将重点放在多地点测试要求上，解除了对使用他人工作的限制，重新调整了预排要求。

1.删除关于评价管理层评估过程的要求

根据《法案》404条款，美国证券监督委员会规则要求发行方的管理层在财年末对发行方内部控制的有效性进行评估。

这些规则要求管理层的评估应以合适、且公认的控制框架为基础17/。

为根据第2号审计准则完成内部控制审计，要求审计师评估管理层的年度评估流程18/。

如果审计师确定管理层的评估流程未能给管理层的结论提供充分的基础，那么我们要求审计师放弃对公司内部控制发表意见的权利19/。

17/见证券交易法规则13a-15（c）和15d-15（c），17C.F.R.240.13a-15（c）和240.15d-15（c）。

18/见第2号审计准则第40-46段。

很多评论者表达了对这些要求的关注。

其中一些相信，根据第2号审计准则，审计师为实现目标利益，在直接的控制测试和衡量管理层评估过程中，执行了不必要的程序。

一些评论者表示：

审计师进行了细节性的测试，例如重新测试管理层已经测试过的项目，仅仅是为了对管理层的评估过程做出结论。

其他人相信，第2号规定的结果就是：

审计师只是过分记录管理层如何进行评估，而评估有时会导致不必要的成本和精力20/。

作为对这些担忧的回应，一些评论者建议：

审计师应该仅评估管理流程的质量，而不进行任何独立的测试，而其他人建议：

应完全去除或大幅减少审计师在管理流程中的参与21/。

鉴于这一问题，委员会对哪些是完成有效的内部控制评估必须的程序进行了评估。

委员会仍然相信第2号审计准则中所述的整体范围是正确的，例如，为证明和报告管理层的评估，审计师必须直接测试控制，以确定它们是否有效22/。

正是出于此原因，委员会相信审计师无需对管理层的评估流程的充分性进行评估便能够对内部控制进行有效的审计。

19/见第2号审计准则第21、175和178段。

20/此外，这些规定可能会使一些人误解审计师根据第2号审计准则要求发表的两个意见的第一个—关于管理层评估的意见。

虽然第2号审计准则要求审计师评估管理流程，但审计师关于管理层评估的意见不是对管理层内部控制评估流程的意见，而是审计师关于管理层关于有效性的声明的陈述是否公正的意见。

见PCAOB审计长ThomasRay在加州帕萨迪纳第25届美国证券监督委员会和财务报告年会上的讲话（2006年6月8日）。

21/例如，见南方公司行政副总裁和首席财务官写给PCAOB代主席