PCAOB审计准则第五号
上市公司会计监管委员会(PCAOB) 华盛顿特区20006,NW,K街1666 电话:(202)207-9100 传真:(202)862-8430
1
PCAOB审计准则第五号
上市公司会计监管委员会(PCAOB)
华盛顿特区20006,NW,K街1666
电话:(202)207-9100
传真:(202)862-8430
审计准则提案—与财务报表审计相整合的财务报告内部控制审计
以及其它相关提议
上市公司会计监管委员会发行号2006-007
20xx年12月19日
PCAOB规则制定事件第021号 Rulemaking Docket Matter No. 021
概要:上市公司会计监管委员会(“委员会”或”PCAOB “)提议采用新的审计规则—与财务报表审计相整合的财务报告内部控制审计,该提案将取代PCAOB第2号审计准则。PCAOB同时提议采用另一个相关的审计准则—审计中对他人工作的考虑和使用,一条独立性原则,它关系到与内部控制相关的非审计服务以及对中期准则的某些补充。
公众评论:相关人士可以向委员会递交书面评论,投寄地址如下:华盛顿特区20006-2803,N.W.,K 街,1666;也可以通过电子邮件()或PCAOB的网站. 提交评论。所有评论都应针对PCAOB规则制定事件第021号的主题和参考系列,最晚收件时间为20xx年2月26日下午5点(东部时区时间)。
委员会联系人:Laura Phillips,副审计长(202/207-9111;phillipsl@pcaobus.org);Sharon Virag,助理审计长(202/207-9164;)。
概述
20xx年6月,证券监管委员会(SEC)根据20xx年《萨班斯?奥克斯利法案》(《法案》)的404条款,规定发行者的年度报告应包括一份对公司财务报告内部控制的评估以及一份审计师对此评估的报告1/。不久,根据404条款(b)和《法案》103条款的要求,委员会采纳了第2号审计准则—与财务报表审计相整合的财务报告内部控制审计(第2号审计准则),该准则将适用于新的报审公司。证券监管委员会于20xx年6月17日批准通过了第2号审计准则。
自审计师开始将第2号审计准则应用于对加速披露方2/的审计之日起,已经完成了两轮年度财务报告审计。在此期间,PCAOB密切监督了准则的执行情况以及审计师在合规性方面的进步。PCAOB的监督包括收集关于已注册的公共财务公司的信息,与证券监督委员会共同参加两次圆桌会议,发行方、审计师、投资方、以及其它相关方参加了此圆桌会议;与常务咨询小组会面;接收委员会小商业环境审计论坛参与者的信息反馈;接收学术、政府以及其它方的报告和研究。
收集到的信息源反映了两条基本建议。其一,对财务报告内部控制的审计可以带来巨大的利益。发行方和审计师描述了对公司管理、以及重要流程和控制3/质量和效率改进的关注,之前不存在这方面的公司管理。公司董事会成员已经看到审计委员会在勘漏方面的改进,投资者也发现上市公司的财务报告质量和透明性都提高了4/。同时,研究显示:有效的内部控制对财务报告的准确性具有积 2
极的影响5/。
1/ 见S-K规则,17 C. F. R. 第308条款 229. 308.
2/ 证券监督委员会要求加速披露公司(通常指公众持股量大于等于7,500万美元的美国公司)截止于20xx年11月15日的财年或之后,应符合404条款的要求。
3/ 例如,GE公司Phillip D. Ameen和普华永道Samuel A. Dipiazza在关于内部控制报告和审计条款的第二年经验的圆桌会议讨论中的评论(20xx年5月10日)(5月10日圆桌会议),电子版见/Standards/Standards_and Related_Rules/AS2/2006/05-10/Unedited_Transcript.pdf.
4/ 例如,见任多家公司董事会成员的Barbara Hackman Franklin以及Shamrock Capital Advisors管理董事Michael J. McConnell在5月10日圆桌会议上的评论。
5/ 见Doyle, Jeffrey T., Ge, Weili与McVay, Sarah E., 美国会计学会2006财务会计与报告部分会议文件“成长质量与财务报告内部控制” (20xx年12月4日),见SSRN:http://ssrn.com/abstract=789985
6/ 见PCAOB《关于上市公司会计监管委员会对20xx年内部控制审计的检查方法的声明》(20xx年5月1日);《第2号审计准则初始执行报告—联系财务报表审计进行的财务报告内部控制审计》(20xx年11月30日);《关于执行第2号审计准则的政策声明—联系财务报表审计进行的财务报告内部控制审计》(20xx年5月16日)(20xx年5月16日,政策声明)。
其次,这些利益也伴随着巨大的成本。在过去两年,委员会听到了同一个声音:《法案》内部控制合规性需要更大的努力,由此产生的成本也比预期的高。委员会同意:审计师应尽可能有效地进行公司(证券监督委员会要求这些公司提供财务报告审计报告)内部控制审计6/。因此,委员会对内部控制审计的所有重大方面进行了评估,以确定现有准则是否鼓励审计师执行不必要的程序,以实现既定利益。评估的结果之一就是:委员会提出了新的财务报告内部控制审计准则,以取代第2号审计准则。委员会还提出了新的关于使用他人工作的审计准则、关于涉及内部控制非审计服务的新的独立性原则、以及涉及委员会暂行审计准则的某些相关修正。 如下所述,提案的主要目标为
? 通过指引审计师对最重要的控制进行测试、强调风险评估的重要性、修改重大缺陷和实质性漏洞的定义、修改实质性漏洞“重
要指标”的定义、并阐明审计中实质性(包括暂时的实质性)的作用,以及其它方式,将审计的重点放在最重要的内部控制事件上。
? 通过去除评估管理过程的要求、允许考虑使用之前的审计中获得的知识、重新将重点移回到对风险的多地址而不是覆盖范围
的测试要求、去除使用他人工作的障碍、重新修订预排要求,以及其它方法,去除不必要的程序。
?
? 通过指引审计师在审计中反映规模较小、结构相对简单的公司的性质,以及其它方法,使审计适合较小公司的规模。 通过减少细节和特征、更好地反映内部控制审计后的线性流动、提高可读性,以及其它方法,简化要求。
委员会要求对提案的各个方面进行评论。除了以下的具体问题,委员会对“提案的变化是否能够保留内部控制审计的既定利益”尤其关心。委员会对“提案的变化能否减少审计事件,如果能,减少的程度如何”尤其关注。
二.准则的重大变化
委员会提议采用新的内部报告审计准则,而非对现有准则的修订。以下部分描述了委员会为实现四个基本目标而提议的重大改变,委员会希望各方发表评论,尤其是关于这些重大改变的评论。
A. 指引审计师将审计重点放在对最重要的内部控制事件的审计
很多评论者表达了对内部控制审计过分关注内部控制中的细节性、流程性方面7/。此外,一些评论者指出:内部控制审计师未能指出非常重要的实质性漏洞(不是那些已经导致实质性错报的指标),而这些实质性漏洞是问题的早期指标 8/。委员会提案的目的是通过要求审计师使用从上至下的方法、强调风险评估的重要性、以及澄清某些定义和条款,支持审计发现最重要的问题的能力。 3
1. 指引审计师将注意力投向最重要的控制 内部控制审计准则提案内容沿用了委员会关于第2号审计准则应用的20xx年5月16日指南中强调的从上至下的方法9/。在使用从上至下的方法时,审计师从上(财务报表和公司层面的控制)开始确定将要测试的控制,并将财务报表要素和公司层面的控制与重要账目、相关论断、以及其它重要控制所在的重大流程联系在一起。遵循从上至下的方法可以帮助审计师将重点放在对必要控制(那些对审计师结论而言重要的控制)的测试,并避免对内部控制审计范围之外的控制进行审计。
7/ 例如,见美国国防部长办公室商学会资本市场项目副总裁David C. Chavern的来信,PCAOB(20xx年5月3日)(“与个体交易为基础的控制相对应的重大实体层面控制的审核和测试应得到更多关注”)。
8/ 例如,见穆迪投资者服务公司,财务专家集团管理董事Gregory J. Jonasz在圆桌会议上的讲话(20xx年5月10日)(“我认为我们需要增加预防并检测欺骗性财务报告的控制的量。我们关于实质性的披露已经成为回顾性、而非前瞻性披露,也许这不可避免。”) 9/ 见20xx年5月16日的政策声明。
使用从上至下的方法,如果公司层面的控制很强,并直接与过程层面的控制相连,或者,如果公司层面的控制足够准确,足以预防并检查出相关论断的实质性错报,那么审计师也许能够减少对流程层面控制的测试10/。由于从上至下方法对审计的有效性具有积极的影响,准则提案将要求审计师在审计中(包括对重要的公司层面控制进行测试)使用该方法。
委员会还希望鼓励对那些对预防和发现欺诈重要的控制进行适当关注。相应地,准则提案要求审计师评估控制环境,对期末财务报告的结束程序控制进行评估,并评估针对管理层预约风险的控制。
问题
1. 准则提案是否清楚描述了如何在内部控制审计中使用从上至下的方法?
2. 准则提案是否对确定并测试预防并检测欺诈的控制给与了适当的重视?
3. 从上至下方法是否能够使审计师更好的关注最重要的控制?
4. 准则提案是否对公司层面的控制、以及公司层面的控制对审计师工作的影响(包括对何时可以减少或者去除其它控制的充
分描述)给予了适当的关注?
10/ 准则提案没有沿用第2号审计准则第54段的声明,“仅对公司层面的控制进行测试不足以支持关于公司财务报告内部控制的有效性的观点”。此声明被用以说明:禁止相对单独的论断对公司层面的控制的依赖。但准则提案使审计师可以确定:公司层面的控制足以处理单独论断的错报。
2. 强调风险评估的重要性
委员会20xx年5月16日指南强调了内部控制审计风险评估的重要性,提案收录并强调了指南的要素。审计师的风险评估应对内部控制审计具有普遍影响。从审计师开始对公司的实质性漏洞风险进行评估开始,以至对单独账户、论断或控制层面风险的分析,审计师应不断调整审计程序,以反映审计师掌握的信息,包括内部控制审计和财务报表审计的经验。将审计重点放在风险最大的区域会使审计更有效,并显著增加发现曾被忽视的实质性漏洞的几率。合理使用风险评估同样可以提高审计效率,因为审计师不会花费时间对那些不会导致财务报告实质性错报的控制进行测试,即便这些控制并不完善。
因此,这一关于内部控制审计的准则提案要求审计师在每一决策点的风险评估中采用从上至下的方法。审计师对重要账目和相关论断的确定要求审计师应清楚存在的相关风险,以及风险如何影响审计师的决策。此外,准则提案还要求在多地址测试中采用一种基于风险的方法,该提案内容还包括关于风险与审计师判定既有控制有效的决定的必要证据之间关系的讨论。
准则提案明确指出:审计师判定控制有效所需的证据依赖与控制伴生的风险,这一点非常重要。准则提案描述了审计师下此判断时应评估的风险因素。此外,根据准则提案,性质、时间和审计师测试范围的不同组合可以提供关于给定控制风险的相关证据。 为合理强调风险评估在审计师工作中的作用,准则提案内容还包括对整合审计指导的变化。第2号审计准则指出“未能检测到错报 4
的(财务报表审计中的)大量程序并不能证明被测试的、与论断相关的控制有效”11/。相反,准则提案指导审计师在确定与控制相关的整体风险时,考虑在财务报表审计中大量审计程序的结果。在决定控制所需的证据时,除了准则提案中描述的其它因素,审计师还应该考虑这些额外的风险因素。但是同时,准则提案指出:为获取关于控制是否有效的证据,必须对控制进行直接测试。换言之,仅凭审计师未发现财务报表错报这一点并不能证明有效性。
问题
5. 准则提案是否包括了适当篇幅的风险评估,包括对风险水平和所需证据的关系的描述?
6. 预排是否足以测试一些低等级风险控制的设计和执行的有效性?
3. 修订重大缺陷和实质性漏洞的定义
缺陷评估是内部控制审计最困难的方面之一。鉴于各个不同公司、不同缺陷具有自身的特征,评估缺陷的任何方法都需要依赖高度的职业判断。评论者指出:第2号审计准则中,重大缺陷和实质性漏洞的定义混乱,这加大了评估缺陷严重程度的困难。 11/ 见第2号审计准则第158段。
12/ 例如,见5月10日圆桌会议,MFS投资管理主席Robert C. Pozen的书面声明(“类似‘很可能’或‘有微小可能’一类词语的使用很可能将审计师的审计注意力转向未发生并非常可能不会发生的假定情况”);5月10日圆桌会议,斯坦福法学院教授Joseph A. Grundfest 的书面声明(“这些定义的暗含之一就是:为确定公司控制是否存在重大缺陷,审计师必须寻找介于(a)具有非实质性的微小可能性,但同时也大于公司财务报表错报的“不合理”可能,(b)小于可能与不合理错报可能性之间的控制)。
委员会相信第2号审计准则的现有框架:参照潜在错报的可能性和量级,描述缺陷和实质性漏洞,这一点非常正确。但是同时,委员会认为这些定义的改进将使准则更加简化和清楚。所以,关于内部控制审计的准则提案对这些定义进行了三项修正—
a. 用“合理可能性”替换“微小可能性”
委员会在定义第2号审计准则的“重大缺陷”和“实质性漏洞”时使用了美国财务会计准则委员会第5号声明《或有事项会计》(“FASB第5号声明”)中的说法描述发生可能性的最低要求。委员会选择使用这些说法,因为委员会相信审计师和财务报表编制者已经熟悉如何应用这些术语,并且希望这些术语的应用能够提高缺陷评估的一致性。FASB第5号声明描述了未来事件发生可能性的“很可能”“合理可能”或者“微小可能”。第2号审计准则中的定义引用了错报发生的“微小”可能。根据“FASB第5号声明”,事件的可能性既不是“合理可能”,也不是“可能”,那么该可能性就是“微小”。
但委员会通过对第2号审计准则执行情况的监督发现:一些审计师和发行方将“微小”可能错误的理解为可能性远低于合理可能。这可能导致发行方和审计师在评估错报的可能性时大大降低委员会最初设定的最低标准。为鼓励对以上定义的正确应用,准则提案在定义实质性漏洞和重大缺陷时,用“合理可能性”取代了对“微小可能”的引用。因为“微小”导致审计师和发行方在评估可能性时采用的标准比原先设定的标准更严格,这一修订应该能够显著改善对缺陷的评估,以使检查出的实质性漏洞是那些确实非常重要的缺陷。
b. 重新确定实质性漏洞的定义,以去除重大缺陷
第2号审计准则将实质性漏洞定义为“导致年度或中期财务报告不可预防或检测的实质性错报的重大缺陷或重大缺陷的综合”13/。在重大缺陷的定义中使用这样的定义引起了关注:审计师的审计水平足以取得足够的保证,保证审计过程能够找出所有重大缺陷,而不仅仅是实质性漏洞。内部控制审计的目的是取得关于实质性漏洞是否存在的证据。内部控制审计并不要求审计师寻找严重程度低于实质性漏洞的缺陷或缺陷组合。为更好的解释审计的目的并最小化混淆的可能,委员会的准则提案用“控制缺陷或控制缺陷组合”取代了实质性漏洞定义对重大缺陷的引用。
c. 用“重大”取代“不仅仅是不合理”
由于第2号审计准则将重大缺陷定义具有导致错报(不仅仅是不合理)的控制缺陷或控制缺陷组合(不仅仅是微小可能)。几位评论者表达了关于“不仅仅是不合理”的使用可能使公司和审计师在定义、讨论和确定那些不足以对公司内部控制整体产生影响的缺陷上花费过多时间。因此,委员会建议重新定义重大缺陷,以更好地确定重大缺陷的重要程度的最低标准。因此,准则提案将“不 5
仅仅是不合理”替换为“重大”,并将“重大”定义为“虽然比实质性程度轻,但其重要性足以引起负责公司财务报告监管的人员的关注”。
13/ 见第2号审计准则第10段。
问题
7. 提议的“重大”定义对实际应用而言,描述是否足够清楚?是否对能够导致审计师做出缺陷控制存在重大缺陷的潜在错
报类型进行了适当的描述?
8. 审计师是否在不存在实际的实质性错报(无论是管理还是审计师指出的)的情况下能够对实质性漏洞进行合理确定?内
部控制审计准则提案是否能够进一步鼓励审计师在实际的实质性漏洞未出现的情况下,合理确定实质性漏洞?
9. 提案中定义的修改是否能够减少确定和分析那些不具有造成财务报表实质性错报的合理可能的缺陷的时间?
4. 修订实质性漏洞的重要指标
除了澄清定义,关于内部控制审计的准则提案还希望能够更好的描述这些定义在具体情境中的应用。第2号审计准则对那些被认为至少为重大缺陷和实质性漏洞的重要指标的环境进行了描述14/。此类环境的例子包括已发布的财务报表的重新编报, 以及无效的控制环境。对一个重要指标的确定可能使审计师存有这样的偏见:实质性漏洞存在,但审计师并不需要做出实质性漏洞存在的论断。相反,审计师可能认为:这些环境还不构成实质性漏洞,只是存在重大缺陷。但实际情况是,审计师的结论有时是:根本不存在缺陷。
为保证提案的要求不会迫使审计师在缺陷不存在的情况下,做出缺陷存在的结论,并重申在做出以上评估时所需的判断,委员会建议修改此规定,删除关于将上述环境认为是至少具有重大缺陷的要求。根据内部控制审计准则提案,这些环境仍将是实质性漏洞的重要指标,但并不与审计师关于不存在缺陷的结论相悖。
14/ 见第2号审计准则的第140段。
准则提案还应阐明审计师如何对未纠正的重大缺陷是否反映了公司内部控制中的实质性漏洞进行评估。根据第2号审计准则,已经通知管理层和审计委员会、但一段合理时间后仍未得到改正的重大缺陷是实质性漏洞的重要指标。准则提案修改了这条规定,以强调其与审计师对公司控制环境的评估的关系。已经通知管理层和审计委员会、但一段合理时间后仍未得到改正的重大缺陷可能暗示公司的控制环境无效。审计师需要评估公司的控制环境是否确实无效。如果无效,无效的控制环境(而不是未得到改正的重大缺陷)将成为实质性漏洞的重要指标。
这一修改将阐明:未改正的重大缺陷是实质性漏洞的重要指标,因为在有些环境中,这些未改正的重大缺陷可能意味着公司对改正内部控制中存在的问题的重视不够,或没有能力改正。但有时,审计师可能发现公司评估重大缺陷,并做出合理决定:不改正缺陷。在这种情况下,准则提案将允许审计师做此结论:控制环境无效,但不存在实质性漏洞。提议的改动将通过引导审计师将重点放在公司未改正重大缺陷的原因上,从而强调审计师对控制环境评估的重要性。
问题
10. 准则是否允许审计师在存在一个重要指标的情况下,做出不存在重大缺陷的结论?这一修改是否能够通过允许采用更大
程度的判断改善实际情况?这一修改是否会导致对缺陷评估的不一致性?
5. 明确实质性在审计中的作用
在财务报表审计中,实质性的概念是内部控制审计的关键。虽然第2号审计准则以联邦证券法的实质性概念为基础15/,评论者表达了对第2号审计准则与实质性相关的几个方面的关注,包括对:审计师将准则解释为指导审计师寻找内部控制中的潜在缺点,无论这些缺点对财务报告的潜在影响如何16/。而这种解释与委员会关于审计范围的初衷和第2号审计准则本身相悖,针对以上担忧,内部控制审计准则提案进一步阐明:审计师在计划和执行内部控制审计中采用的实质性方法应与年度财务报表中采用的方法相同。 例如,准则提案清楚表明:在确定内部报告审计程序的性质、时间和范围时使用的账目层面实质性的考虑应与财务报表审计中的相同。与此类似,两个审计中的内生风险也相同,因此,准则提案阐明:内部控制审计中指出的重大帐目应与财务报表审计中指出的重大帐目相同。
6
6. 明确中期实质性在审计中的作用
第2号审计准则和内部控制准则提案中实质性漏洞和重大缺陷的定义在描述潜在错报的可能性和量级上既指中期财务报表,也指年度财务报表。一些评论者认为这种对中期实质性的引用已经使一些审计师将审计程序界定在一个过于严格的水平。对中期报表的引用仅与对缺陷的评估有关,与审计师的测试范围无关。审计师在内部控制计划和审计中应采用与公司年度财务报表计划和审计中使用的实质性考虑相同。为强调这点,委员会增加了准则提案中对范围和评估作用的描述。
15/ 见第2号审计准则的第22和23段。
16/ 例如,见金融协会政府关系委员会AAP主席Ross Guyer给美国证券监督委员会秘书Nancy M. Morris的信(20xx年5月1日)(“至今,我们仍未看到审计师在执行审计,以及根据萨奥法案进行测试和报告中,确定哪些为实质性,哪些不是实质性方面取得实质性改进”)。
问题
11. 是否需要对内部控制审计范围进行进一步的划分,以避免不必要的测试?
12. 重大缺陷和实质性漏洞的定义是否应删除对中期财务报表的引用?如果应删除,其对审计范围会产生怎样的影响?
B. 删除不必要的程序
提案删除了委员会(鉴于其监督)认为对有效的内部控制审计而言不必要的程序。尤其重要的一点是, 提案将删除对公司内部控制过程管理(用来评估内部控制)进行评估的要求,允许审计师减少某些风险较低的领域的证据,重新将重点放在多地点测试要求上,解除了对使用他人工作的限制,重新调整了预排要求。
1. 删除关于评价管理层评估过程的要求
根据《法案》404条款,美国证券监督委员会规则要求发行方的管理层在财年末对发行方内部控制的有效性进行评估。这些规则要求管理层的评估应以合适、且公认的控制框架为基础17/。为根据第2号审计准则完成内部控制审计,要求审计师评估管理层的年度评估流程18/。如果审计师确定管理层的评估流程未能给管理层的结论提供充分的基础,那么我们要求审计师放弃对公司内部控制发表意见的权利19/。
17/ 见证券交易法规则13a-15(c)和15d-15(c),17C.F.R. 240.13a-15(c)和240.15d-15(c)。
18/ 见第2号审计准则第40-46段。
很多评论者表达了对这些要求的关注。其中一些相信,根据第2号审计准则,审计师为实现目标利益,在直接的控制测试和衡量管理层评估过程中,执行了不必要的程序。一些评论者表示:审计师进行了细节性的测试,例如重新测试管理层已经测试过的项目,仅仅是为了对管理层的评估过程做出结论。其他人相信,第2号规定的结果就是:审计师只是过分记录管理层如何进行评估,而评估有时会导致不必要的成本和精力20/。作为对这些担忧的回应,一些评论者建议:审计师应该仅评估管理流程的质量,而不进行任何独立的测试,而其他人建议:应完全去除或大幅减少审计师在管理流程中的参与21/。
鉴于这一问题,委员会对哪些是完成有效的内部控制评估必须的程序进行了评估。委员会仍然相信第2号审计准则中所述的整体范围是正确的,例如,为证明和报告管理层的评估,审计师必须直接测试控制,以确定它们是否有效
信审计师无需对管理层的评估流程的充分性进行评估便能够对内部控制进行有效的审计。
19/ 见第2号审计准则第21、175和178段。
20/ 此外,这些规定可能会使一些人误解审计师根据第2号审计准则要求发表的两个意见的第一个—关于管理层评估的意见。虽然第2号审计准则要求审计师评估管理流程,但审计师关于管理层评估的意见不是对管理层内部控制评估流程的意见,而是审计师关于管理层关于有效性的声明的陈述是否公正的意见。见PCAOB审计长Thomas Ray在加州帕萨迪纳第25届美国证券监督委员会和财务报告年会上的讲话(20xx年6月8日)。
21/ 例如,见南方公司行政副总裁和首席财务官写给PCAOB代主席Bill Gradison的信(20xx年4月27日)(“删除关于独立审计师应对管理层评估和控制执行有效性发表意见的要求,要求独立审计师仅对登记者控制有效性发表意见。”)。
7 22/。正是出于此原因,委员会相
结果,关于内部控制审计的准则提案删除了第2号审计准则第40到46段、关于评估管理层年度评估流程的要求。根据准则提案,审计师仍旧需要清楚管理流程,作为理解公司内部控制、评估风险、以及决定审计师应用他人工作范围的开始。但应限制以上目的所需的工作范围。
虽然去除评估要求可以减少不必要的工作,但管理流程的质量与所需的审计师工作量存在内生的联系。例如,审计师使用他人工作的能力将以公司年度评估流程和持续的监督行为、以及执行工作者的能力和客观性为基础。因为这个原因,审计师和管理层仍有必要继续协调各自的努力。
此外,一些评论者认为:关于管理层评估的独立观点增加了准则的复杂性,增加了审计范围的混乱性23/。为强调适当的审计工作范围,简化报告,准则提案要求审计师对内部控制只能发表一个意见—审计师关于公司财务报告内部控制有效性意见的声明24/。提案删除了对管理层的评估分别发表单独意见的要求,因为内部控制意见本身就是多余的,后一个意见的信息表达更清楚,尤其是关于公司内部控制是否有效方面。
准则提案还规定:如果审计师对内部控制有相反意见,那么应在管理层报告的实质性漏洞中表达,而不是对同一个实质性漏洞进行单独的、详细的描述。如果管理层未能公正的反应实质性漏洞,那么审计师报告中应包含一段解释,以及必要信息,以公正描述漏洞。
问题
13. 删除关于评估管理流程的要求是否能去除不必要的审计工作?
22/ 此外,《法案》103条款要求委员会内部控制审计准则应包括“对内部控制结构和发行方程序的测试”。根据103条款,委员会的准则还必须要求审计师在报告中表明“关于内部控制结构和程序是否为交易记录提供了合理保证的评估,这是根据公认会计原则编制财务报表的必要要求”。
23/ 例如,见计算机科学公司副总裁兼首席财务官Michael E. Keane给美国证券监督委员会秘书Nancy M. Morris的信(20xx年4月28日)(“我们建议仅要求审计师发表两项意见,一项关于财务报表,另一项关于财务报告内部控制的有效性。审计师关于管理层论断的意见是多余的,也并不能为投资者提供更多的保证。关于财务报告内部控制有效性的意见提供了最确定的保证,并与审计师表达对公正报告登记者财务报表的关注的方式类似。”)
24/ 根据404条款,美国证监会条款要求审计师发表关于“管理层对登记方财务报告内部控制有效性的评估是否在所有方面的描述都公正”的意见。《S-X规则》第2-02条,17 C.F.R. 210.2-02; 见《S-X规则》第1-02条,17 C.F.R. 210.1-02(所谓审计师报告就是审计师“发表关于管理层对登记方财务报告内部控制有效性的评估的意见”的报告)。20xx年12月13日,美国证监会投票建议修改这些条款,修改要求要求审计师对内部控制本身发表意见。如果这些修改意见被采纳,那么委员会将被允许改变审计师的报告形式,而委员会正在提议改变报告形式。委员会和美国证监会计划交叠各自的评论期,并保证最终的规则连贯。
14. 不对管理流程进行评估,审计师是否能够有效进行内部控制审计?
15. 仅对内部控制有效性发表意见,而不对管理层评估发表意见,是否能够更清楚的反应审计师工作的范围和结构?
2. 允许考虑在之前的审计中获取的知识
很多评论者建议:在第一年的内部控制审计后,审计师应根据其关于各个控制的知识累积,减少测试的性质、时间和范围。评论者认为审计师应减少测试工作的程度已经变化,其中一些建议某些较低风险控制在接下来的年份中的测试应减少,而其他一些评论者建议应允许审计师循环25/控制测试26/。
25/ 循环通常被认为是一种允许审计师在内部控制的大部分内容上依赖以前年份的工作,每两年对测试进行一次更新,以保证内容不变、且控制继续有效。根据循环方法,审计师可以对每年全部控制的一半或三分之一进行测试,测试选择那些过去几年未测试的区域进行。
26/ 例如,见Protiviti Inc.管理董事James W. Deloach, Jr.写给证监会秘书Nancy M. Morris的信(20xx年4月28日)(“重新考虑第2号审计准则中‘每年以自身’为前提的要求”);CIBC执行副总裁兼总会计师Bruce Renihan给证监会秘书Nancy M. Morris的信(20xx年4月26日)(“CIBC认为:低风险和中等风险领域采用循环测试,将减少对操作有效性进行评估的压力,低风险和中等风险领域由风险评估确定”);礼来公司执行董事、财务兼首席会计师Arnold C. Hanish写给证监会秘书Nancy M. Morris的信(20xx年9月14 8
日)(“没有变化的流程可以进行定期的循环测试。如果变化后进行了适当的变化控制,也可以对存在变化的实质性但低风险的领域进行循环测试。”)
委员会意识到以前年份得到的审计知识对接下来的年份具有重要的意义。虽然委员会并不是在建议通过(以大家广泛理解的循环方式)循环,但内部控制审计准则提案将赋予审计师根据以上知识、及其对审计师风险评估工作的影响,决定减少某些领域的测试的灵活性。作为实现以上变化的第一步,准则提案故意省略了“每年的审计必须独立”,而第2号审计准则中包含这样的规定27/。准则提案内容还包括指导审计师如何合理考虑以前年份的知识,以减少在特定领域未来年份审计中的必要证据。
准则提案中粗略描述的方法指导审计师在确定未来年份的给定控制的相关风险时评估以前年份考虑的风险因素之外的三个因素:以前年份的审计的性质、时间和范围;测试的结果;上次审计后控制或相关流程的变化。根据审计师的综合风险评估(包括对未来年份的考虑),审计师应根据控制中伴随的风险,确定需要取得的证据。
例如,在考虑准则提案中的风险因素、并确定控制风险较小(例如,因为内生风险较小,复杂程度低,上次审计未暴露任何缺陷)后,审计师可能认为通过预排能够获得足够的证据。对风险较高的控制,预排可能并不能提供足够的证据;但是,根据准则提案,审计师在未来的年份中应根据可能出现的风险, 调整测试的性质、时间和范围。根据准则提案中描述的方法,有些控制对财务报告内部控制的整体有效性非常重要,或者具有极高的风险,那么未来年份所需的证据不能减少。
27/ 见第2号审计准则E120段。
问题
16. 准则提案是否合理考虑了累积知识的价值?
17. 什么样的环境下,审计师可以将预排程序视为操作有效性的充分证据?
3. 将多地址测试要求的重点重新放到风险上,而不是覆盖率上
在对具有多个经营地址或业务单元(“多地址”)的公司进行审计时,审计师面临着额外的决策点。第2号审计准则描述的多地址方法将地址归为三类:单一地址本身具有重大性,或涉及特定风险;只有与其它地址相加才具有重大性的地址;以及自身不具有重大性,相加后仍然不具有重大性的地址。第2号审计准则描述了审计师应如何确定每一类地址的相应测试水平。此外,第2号审计准则指导审计师评估审计师的测试策略是否会促使审计师对公司的大部分控制进行测试。如果审计师的测试策略不能保证测试占控制的高比例,那么审计师应选择额外的经营地址进行测试,直到测试比例达到要求的覆盖率。
很多评论者认为:第2号审计准则指出的方法会导致不必要的工作。总体而言,这些评论者担心:这种方法会使审计师过分关注测试要达到某种比率,而对不同地址的风险给与的关注不够28/。
根据过去两年的监督,委员会同意:第2号审计准则中的方法不能赋予审计师有效处理具体公司具体风险的灵活性的说法。因此,在内部控制审计准则提案中,委员会删除了要求对公司大部分控制进行测试的要求,指导审计师使用基于风险的方法确定多地址审计的适当方法。该方法赋予审计师的灵活性将允许审计师在具体环境下进行必要的判断,从而使多地址审计更有效。
问题
28/ 例如,见Pfizer Inc. 副总裁兼总会计师Loretta V. Cangialosi写给证监会秘书Nancy M. Morris的信(20xx年5月1日)(“我公司审计师对取得多-地址环境的充分证据的解释包括:取得至少50%重大帐户进行测试”)。
18. 准则提案中确定多-地址审计测试范围的方法是否能够使多-地址审计更有效?
4. 去除使用他人工作的障碍
审计师使用其他人的工作的能力对审计师必须亲自执行的程序具有直接的影响。当审计师进行高质量的相关工作,但其他一些胜任审计工作且负责任的审计师已经进行过这些工作时,那么审计师可能只是增加努力,但不会提高质量。第2号审计准则内容包括使用他人工作的灵活方法,委员会已经看到审计师在适当领域借用其他人工作的自发性。但是, 评论者仍建议委员会检查准则的这部分内容,确定是否存在阻碍审计师最佳使用这些资源的障碍,委员会已经依据建议进行了检查29/。
评估后,委员会认为:第2号审计准则的某些条款确实会阻止审计师在内部控制审计中使用他人的工作,最突出的一点就是删除“主要证据”条款。为了使这些及其它改变生效,委员会提议采用新的审计准则,《审计中考虑并使用他人的工作》。该准则将指导审计 9
师在财务报告内部控制审计和财务报表审计中使用他人的工作。相应地,新准则将取代暂行的委员会准则AU 第322部分,《审计师在财务报表审计中对内部审计作用的考虑》(“AU第322部分”),替换了第2号审计准则中对他人内部控制审计工作使用的指导。因此,这一改变将影响对内部控制和财务报表的综合审计和对财务报表的单独审计。
29/ 例如,见爱迪生电力研究所执行副总裁David K. Owens写给证监会秘书Nancy M. Morris的信(20xx年9月15日)(“明确规定指导:允许并鼓励外部审计师使用他人的工作,包括公司管理层和员工的工作,而不是仅限于内部审计师的工作,如果审计师确定这些工作合理且客观”)。
关于审计师使用他人工作的统一框架将消除对整合内部控制审计和财务报表审计的障碍。现在,为测试内部控制审计控制,审计师可以使用内部审计师、其他公司职员和根据审计委员会管理指示工作的第三方的工作。但测试财务报表审计控制时,审计师只可以使用内部审计师的工作。这就导致:一些其他人进行的工作被审计师用来测试内部控制审计的有效性,而这些工作却不能作为审计师评估财务报表审计控制风险的证据30/。准则提案将根据被测试的事件的性质以及执行测试的人员的能力和客观性,建立统一的框架,以便审计师可以决定使用他人(包括,但不限于,内部审计师)的工作作为审计证据—不论是测试内部控制审计,还是测试财务报表审计控制中的帐户余额和披露。
委员会认为统一的框架是合适的,因为确定财务报表审计和综合审计中使用他人工作的合适时间的因素应该相同。这些因素包括被测试的目标事件的性质,以及进行测试的人员的能力和客观性。如果审计师合理评估这些因素,那么他/她便能在审计中进行正确决策。
30/ 另一个例子,第2号审计准则在审计师直接使用他人工作方面没有规定,而AU第322部分仅允许使用内部审计人员的工作作为直接帮助。规定这种连续的、额外灵活性将有助于审计师完全整合内部控制审计和财务报表审计。
关于使用他人工作的准则提案首先指导审计师取得对他人工作的理解,以确定与审计相关的行动。所谓相关行动是指能够提供关于财务报告内部控制有效性证据或公司财务报表潜在错报的证据的行动。该定义与AU第322部分中关于相关行动的描述类似。 准则提案将要求审计师具有对他人进行的相关行动的理解,以确定他人的工作将如何改变审计师(如果没有他人工作,审计师不得不进行的)工作的性质、时间和范围。这一点将鼓励审计师在审计中最大限度的使用他人的工作。另一点同样重要,相关行动的定义将保证审计师不会为获得对其他人进行的、但与审计无关的工作上浪费时间。
准则提案还将指导审计师决定:他人采取的相关行动是否指出了控制缺陷、欺骗、或财务报表错报。无论审计师是否决定采用他人工作,以及如何使用,该条要求都适用。如果其他代表公司工作的人员发现公司内部控制或财务报表中的问题,那么审计师应将这些发现的问题作为审计内容的一部份进行处理。
准则提案将删除第2号审计准则的两条规定。第一条,如上所述,准则提案将删除“主要证据”条款。第2号审计准则要求审计师自身的工作应为审计师意见提供主要证据。很多评论者表达了对--第2号审计准则中的主要证据条款不合理地限制了审计师对他人工作的使用,尤其是在低风险领域—的观点31/。委员会相信:准则提案能够避免对他人工作的不合理使用,同时鼓励审计师进行职业判断、评估风险、并根据具体审计的事实和环境安排工作。相应地,委员会关于使用他人工作的准则提案不包含主要证据条款32/。而是,根据准则提案,审计师将通过评估他人测试的目标事件的性质、以及进行测试工作的人员的能力和客观性,决定使用他人工作的量。此外,准则提案还将提醒审计师:对财务报表或管理层内部控制评估进行报告的责任仅在于审计师,审计师必须取得让人信服的证据,以支持自己的观点。
31/ 见美国财务经理协会报告委员会主席Lawrence J. Salva写给证监会秘书Nancy M. Morris的信(20xx年5月1日)(“这导致审计师对管理层和/或内部控制测试应用非常有限,使审计师进行了大量重复测试—甚至在低风险领域”);英特尔公司副总裁兼公司总会计师James G. Gampbell写给证监会Nancy Morris的信(20xx年9月8日)(“第2号审计准则要求审计师要利用自己的工作作为证明结论的‘主要证据’,但该要求导致审计师产生了一种保守的心态,不能最大化对他人工作的使用,导致测试工作重复和不必要的操作负担。”)
32/ AU第322部分不包括主要证据条款。
因为准则提案十分强调审计师对测试人客观性和能力的程度地评估,包括审计师进行评估时应考虑的几个因素。与能力相关的因素包括测试执行人的教育和经验水平、及其工作的质量。与客观性相关的因素包括公司针对测试执行人客观性的政策、负责他人工作 10
的人员的组织地位,以及公司保证执行工作的个人的补偿安排不会对客观性产生负面影响。这些因素中任何一个单一因素都不能决定人员的能力和客观性,但每一要素都将影响审计师对测试执行人整体能力和客观性的评估。
第二条,准则提案将删除第2号审计准则中关于在控制环境中,测试控制时使用他人工作的具体要求。准则提案中关于总体原则的应用允许审计师使用他人工作测试内控环境的某些方面,如果工作执行人的能力和客观性都足够高。在这种情况下,例如,审计师可以使用他人工作决定:存在书面的行为准则,并且雇员已经知晓并理解准则要求。另一方面,评估公司的行为准则是否被实际执行,需要审计师进行更多的判断。在应用准则提案中关于使用他人工作的原则时,由于被测试控制的高风险性,审计师应合理决定亲自进行某些测试,无论其他人的能力和客观性如何。
问题
19. 准则提案中关于使用他人工作的统一框架是否既适用于综合审计,也适用于单独的财务报表审计?
20. 提案中的相关行动定义是否能够充分反应行动的正确范围,包括内部控制框架监督部分的行动。
21. 要求审计师清楚他人进行的相关行动是否指出了控制缺陷、欺骗、或财务报表错报是否能提高审计质量?
22. 第2号审计准则中的主要证据条款是否足以说明审计师有取得充分证据的责任?
23. 准则提案是否规定了一个评估测试执行人能力和客观性的适当框架?该框架是否能够保证对他人工作的合理使用?该框
架限制性是否太高?
24. 委员会是否已经确定了评估能力和客观性的适当因素?是否还应考虑其它因素?
25. 将公司针对测试执行人补偿安排的政策作为一项客观性因素收录的实际影响是什么?
5. 调整预排要求
在内部控制审计中,进行预排是审计师理解公司和公司控制、确定公司内部和内部控制发生了哪些变化、并以一种合适的方式评估内部控制的有效方法。进行预排时,从一开始、到公司信息系统、到信息在公司财务报告中得以反应,审计师执行交流形式。预排要求审计师“走出审计室”,与负责日常内部控制的人员进行交流。这同样可以向审计师提供学习公司日常活动的机会,这些知识可能是审计师在任何文件中都无法学到的。
根据第2号审计准则,审计师必须完成交易所有主要方面的预排。很多评论者表达了对主要方面预排所需花费的时间和精力的关注,并建议:预排应为自愿性的,或者预排的数量和频率应减少33/。
根据前两年的经验,委员会相信:预排是内部控制审计的基础,但在不影响审计质量的前提下,预排的数量可以减少。因此,关于内部控制审计的准则提案仅要求对每一重大流程进行一次预排,而不要求对每一重大流程内的重大交易方面进行一次预排。例如,如果发行方通过零售获得收入,那么审计师应对至少一项零售交易进行预排。如果商店销售和互联网销售都能给发行方带来收入,那么审计师无需对两种零售业务进行单独的预排,只要两种零售业务在同一个重大流程中处理,并且不具有不同的重大风险。 33/ 例如,见办公室仓库华硕总律师兼公司管理任务力量圆桌会议协调委员会主席David Fannin写给证监会秘书Nancy M. Morris的信(20xx年5月6日)(“建议独立审计师根据职业判断,仅对随机抽样的流程进行预排,而不是对给定审计年份的全部主要交易流程类型进行预排”);PCAOB公司专职秘书和管理人员协会主席写给PCAOB成员的信(20xx年2月15日)(“我们希望对第2号审计准则关于某些情况下限制测试和预排频率规定进行修改”)。
因为审计师通过程序进行交流,审计师应考虑不同的交易类型是否存在不同的风险,并确定公司内部控制应如何处理这些风险。准则提案对探究性问题的强调是为了阐明:我们不要求审计师对流程的每一细微变化进行单独的交流。这些被建议的改变将使预排更加有效。
准则提案还将允许审计师在进行要求的预排时直接使用他人的工作34/。第2号审计准则要求审计师亲自进行预排。鉴于预排对审计的重要性,委员会仍然认为:只有审计师亲自参与重大的预排,才能实现预排的目标。但审计人员与另一个完全有能力提供直接帮助、且客观的他人之间的不同应该很小,并且不应该影响审计质量,如果二者都被合理监督。但允许在预排中使用直接帮助可能会减少成本,提高效率。
问题
11
26. 仅对重大流程进行预排是否能在不影响审计质量的前提下减少预排的数量和细节?
27. 审计师在进行预排时使用他人工作作为直接的协助是否合适?准则提案是否应该允许审计师在进行预排时扩大使用他人
工作的范围?
34/ 关于直接帮助的其它信息见附件4—审计准则提案—审计中考虑并使用他人的工作。
C. 调整审计准则,适用较小公司的规模
符合404条款的要求对较小的上市公司而言意味着挑战。一些评论者注意到:尽管较小的上市公司的内部控制结构可能比较简单,但这些小公司不太可能实现规模效益,这就使得较小公司设计、保持、评估内部控制的成本和审计成本不成比例地高于较大公司。考虑到如何最小化内部审计成本,并保持内部审计的益处,委员会认为:较小公司的财务报告风险通常与较大、较复杂公司不同,并且较小公司内控系统通常能够利用不同的方式较好地处理风险。因此,准则提案意识到:公司的规模和复杂度很重要,审计师应执行的程序依赖于公司规模和复杂度结合的具体情况。
委员会希望为减少不必要的审计工作而对提案进行的大规模修改能够对较小公司的审计产生显著影响。通常,提案对原则(而不是细节性的指导)的依赖要求审计师在决定如何应用准则前,考虑公司的具体事实和环境。具体修改包括将审计师的重点重新放到最重要的控制上、根据风险确定必要的证据(以及审计师的相应努力程度),将使审计能够适用所有公司。根据准则提案,审计师可以采用强有力的公司层面控制和财务报表审计程序降低较小公司的测试水平。
委员会还将审计师在计划和执行审计时评估公司规模和复杂度的要求收录到准则提案。准则提案内容包括根据证监会咨询委员会关于较小上市公司的最终报告和证监会对“较大加速披露”定义,而定义较小公司的条款 ,这与最近一期关于内部控制评估的管理指南定义较小公司的条款一致35/。根据准则提案,审计师应将使审计可调整,以使审计适合公司的规模和复杂度。
35/ 咨询委员会报告描述的“较小上市公司”指那些市值低于7871万美元的公司,“小资本公司”指市值小于1282万美元的上市公司。见证监会小型上市公司咨询委员会,最终报告,5(20xx年4月23日);见《证券交易法》条例12b-2,17 C.F.R. 240.12b-2(定义“大的加速披露者”为“非附属机构持有的全球有投票权和无投票权的普通股市值大于等于7亿美元”并符合其它条件的上市公司。)
准则提案中关于可伸缩性的条款包括对规模较小、结构相对简单的公司的性质的描述,这些性质使这些较小的公司可以区别于较大的公司。例如,规模较小、结构相对简单的公司的高级管理层在日常商业活动中的参与范围更广,清楚具体公司是否具有这样的性质对审计师确定进行控制的适当类别和范围、并相应调整审计程序非常重要。
为帮助审计师做出以上决定,准则提案中关于调整审计的部分还对六个审计区域进行了讨论,这六个区域常常受到规模较小、结构相对简单的公司的性质的影响。准则提案描述了每一领域中审计师为以一种实际且合理的方式取得充分的令人信服的证据应当应用的原则。准则的该部分将成为较小公司内部控制审计指南的基础,该指南将在明年发布。该指南将扩大准则中原则的应用,并为内部控制审计提供实质性建议,该指南正在小公司审计师特别工作队的协助下以及较小公司的投入下进行编写。准则提案中关于调整审计的条款(和将要出台的指南)将帮助审计师根据公司的规模和复杂性确定内部控制审计的规模。
问题
28. 关于内部控制审计的准则提案是否合理描述了审计师如何调整审计规模,以适用公司规模和复杂度?
29. 规模较小、结构相对简单的公司是否还有其它的性质,审计师在计划和执行审计时应予考虑?
30. 是否还存在委员会在讨论调整审计规模时应予考虑的与规模较小、结构相对简单的公司相关的不同?
31. 可调整性部分所讨论的复杂性讨论是否限制了可调整性条款在准则提案中的应用?
32. 准则提案中设定的市值和收入最低标准是否能够成为计划和执行内部控制审计时,衡量公司规模的有效办法?
D. 简化要求
提案的总体目标是简化要求,并在保持有效的内部控制审计所需的核心原则的同时,使要求的应用更加简便。草案的目标是反映对第2号审计准则的三处改进。首先,特定性和细节性的水平降低了,将鼓励审计师根据实际情况和环境进行职业判断,而不是采用一成不变的方法。其次,对陈述报告进行了重组,以更好的反映内部控制审计的流程。最后,要求的陈述方式更加具有可读性,审 12
计客户和审计师都能理解。
在降低第2号审计准则的细节性和特定性水平上,委员会衡量了确定过硬的审计的基本面的标准。根据这一分析,委员会删除了过分细节性的规定,以及可能无意中鼓励流水账似的合规方法。因此,提案更多的依赖总体原则,而不是细节性的指导。
委员会还对陈述进行了重组,以更好的反映内部控制审计的流程。该方法可以帮助审计师将工作重点放在确定最重要的应予审计的控制和提高流程效率上。此外,为在适当之处简化机构,就需要修改委员会暂行准则。最后,提案试图以一种更可读的方式(包括对非审计师而言)叙述要求,并收录了委员会和职员(包括那些关注效率的人员)发布的第2号审计准则指南中的重大性概念36/。这些改变将使各个公司的审计师(无论公司规模如何)对责任的理解更加清晰,并使内部控制审计可以更灵活的调整,以适应所有公司,无论公司规模如何,或伴随的风险怎样。
III. 提案规则3525-审计委员会对内控相关服务的提前批准
委员会还提议在申请与内控相关的非内控服务的审计委员会提前批准时,采用新的关于审计师责任的规则。根据《证券交易法》10A(i),《萨班斯--奥克斯利法案》第202条款修订,审计师提议为发行客户提供的非审计服务“都应先取得发行方审计委员会的提前批准”。该条规则提议将要求审计师采取某些行动步骤,作为申请审计委员会关于与内控相关的非内控服务提前批准的一部分,从而继续执行法案的提前批准要求。这些步骤的目的是保证审计委员会进行关于内控相关业绩将如何影响独立性的合理决策时拥有充分的信息。
36/ 见20xx年5月16日的《政策声明》、《员工问题与答案》、《财务报告内部控制审计》(20xx年5月16日)。
尤其是,规则提案将要求申请审计的客户的审计委员会提前批准与内控相关的非内控服务的注册会计师公司(如果未得到提前批准,这些服务将被法案、证监会规则或委员会禁止)—
?
?
? 向审计委员会进行关于提议的服务的书面描述; 与审计委员会讨论提议的服务对公司独立性的潜在影响; 将与审计委员会讨论的主旨备案。
这些要求与审计师申请审计委员会关于根据PCAOB3524规则向审计客户提供税务服务的提前批准类似,同样将被收录在规则中,作为委员会道德规范和独立性原则的一部分。
规则提案将替代现行的第2号审计准则中关于审计师独立性的条款。除了一些概括性的讨论,第2号审计准则规定还包括:为执行提供内控相关服务的约定,审计师必须取得审计委员会具体的提前批准37/。委员会部分根据第2号审计准则对税务服务提前批准规则的采用情况,重新评估了该条要求。 规则提案并没有指出提前批准必须是具体的,这一点与委员会的税务服务提前批准规则一致。相反,规则提案在审计委员会是否根据特别原则或根据政策和程序进行提前批准上保持中立38/。很多发行方采用了在年度审计委员会会议上进行提前批准的政策,委员会清楚:这样的年度计划过程可以将积极的陈述以及基于每一案例的提前批准流程引入审计委员会。因此,委员会建议:委员会关于审计委员会对于内控相关的服务的提前批准应灵活,以便能够适应任何一个体系,并鼓励审计师和审计委员会根据发行方的需要和属性开发体系。
37/ 第2号审计准则,第33段。
38/ 证监会20xx年的独立条款执行了《法案》的提前批准要求,采纳了审计委员会对约定进行管理的条款。见17 C.F.R. 210.2-01(c)(7)。
第2号审计准则内容还包括在与内控相关的服务中应用独立性原则,并特别指出:设计或执行发行方的控制将使审计师站到管理层的位置,并使审计师审计自己的工作39/。委员会建议不要在审计准则或单独的独立性规则中重复这一独立性指导。但如上文指出的,审计委员会提前批准的规则提案将要求审计师与审计委员会共同讨论与内控相关的服务对独立性的潜在影响。委员会建议在提前批准规则的这部分内容增加一个注解,解释独立性的总体标准40/,几项原则将指导总体标准的应用,包括审计师是否扮演管理者的角色,以及是否审计自身的工作41/。注释将进一步说明:如果管理层将内部控制的责任授权给审计师,或者如果审计师设计并执行了审计客户的内部控制,那么审计师就不是独立的,这是总体准则应用的一个例子。
问题
13
33. 审计师是否还应该向审计委员会提供其它对内部控制相关服务的提前批准程序有用的信息?
IV. 委员会暂行规则的修订
委员会还建议对暂行准则进行修改。有时,这些提议的修改都是管理性的,例如参考提议的新准则的条款号和定义更新暂行准则。另一些情况下,修改将第2号审计准则中的现有信息更新为提案信息。例如,AU第722部分,《中期财务信息》,将被修改,以将第2号审计准则中关于审计师责任的指导包含在内,因为该指导与管理层对内部控制的季度性证明相关。这些改变不仅能够简化关于内部控制审计的准则提案,还能够使审计师更轻松地确定与中期相关的审计师责任的所有相关信息。
39/ 第2号审计准则,第32段。
40/ 《S-X规程》, 2-01(b)条款,17 C.F.R. 210.2-01(b);见AU 第22部分 独立性条款03。
41/ 《S-X规程》, 2-01(初步记录摘要),17 C.F.R. 210.2-01 (初步记录摘要)。
但在AU第530部分修改中,《独立审计师报告日期》,委员会提议进行大量的修改,这些修改将影响综合审计和单独的财务报告审计。提案将改变现行的要求将“通常,调查工作的完工日应当被视为独立审计师的报告日”修改为“审计师的审计报告签名日不应早于审计师取得充分的可信服证据支持审计师观点的日期”。提议的修改与国际审计与鉴证准则理事会和AICPA审计准则委员会近期采用的修改一致,并更加清晰的表明了审计师对财务报表相关事件的责任终止日期42/。更进一步而言,报告日期要求的改变不会对审计师的当前程序产生重大影响,很多审计师已经开始将调查工作的完工日解释为审计师取得充分的、可信服的支持审计观点的证据的日期。
VI. 生效日
提案的目的是改善和改进法案对内部控制的要求的执行情况。委员会希望提案的生效日为提案被采用的日期,并最小化对现行审计的影响。
问题
42/ 见《国际审计准则(ISA)700》(修订版)“通用财务报表独立审计师报告”第52段,以及《第1号审计准则》“审计准则和程序的编撰”“财务报表编制后发生的事项” 第12段,SAS113第12段修订的《审计准则综合报表》。
34. 委员会应该如何设定生效日,以最小化对现行审计的影响,并尽早在准则提案中提供最大的灵活性?委员会在进行决策
时应该考虑的因素有哪些?
VII. 公众评论的机会
委员会的评论征求期为70天。我们鼓励对此感兴趣的人士向委员会反映他们的观点。书面评论请邮寄至华盛顿特区20006-2803,K街1666号,上市公司会计监督委员会秘书办公室,, 或通过委员会网站发表评论。所有评论都应针对PCAOB规则制定事件第021号的主题和参考系列,最晚收件时间为20xx年2月26日下午5点(东部时区时间)。
委员会将认真考虑收到的所有评论。评论期结束后,委员会将决定是否对最终的规则进行修改。采纳的任何修订都将被递交给证券交易委员会审批。根据《法案》107条款,委员会的规则提案在得到证监会批准前无效。准则为委员会的规则,受《法案》约束。 20xx年12月19日,根据PCAOB的附则,
委员会采纳
/s/ J. Gordon Seymour
J. Gordon Seymour
秘书
20xx年12月19日
附件1—审计准则提案—与财务报表审计整合的财务报告内部控制审计
14
附件2—审计准则提案—在审计中考虑并使用他人的工作
附件3—规则提案3525—与财务报告内部控制相关的非审计服务的审计委员会提案批准
附件4—暂行准则修订提案
附件1—审计准则
20xx年12月19日
审计及相关职业惯例标准
审计准则提案—
与财务报表审计整合的财务报告内部控制审计
如果委员会采纳该审计准则提案,并且证券交易委员会通过该准则提案,那么该提案将取代第2号审计准则《联系财务报表审计进行的财务报告内部控制审计》。
PCAOB
上市公司会计监督委员会
15
目录
段落
概述......................................................................................................................................................................... 1-5 审计计划.............................................................................................................................................................. 6-15
与财务报表审计的整合 ........................................................................................................................................... 7
风险评估的角色 ..................................................................................................................................................... 8 调整对较小公司的审计 ....................................................................................................................................... 9-12
使用他人工作 .......................................................................................................................................................13 实质性 ............................................................................................................................................................ 14-15
使用从上至下的方法 .....................................................................................................................................16-46 确定公司层面的控制 ........................................................................................................................................ 17-23
控制环境 ................................................................................................. 19-20 期末财务报告程序.................................................................................... 21-23 确定重大账目 .................................................................................................................................................. 24-29 确定相关论断 .................................................................................................................................................. 30-31 确定主要交易类型和重大流程 ........................................................................................................................... 32-40
进行预排 ................................................................................................. 36-40 选择控制进行测试............................................................................................................................................ 41-46
欺诈控制 ................................................................................................. 45-46
测试控制............................................................................................................................................................47-69 测试设计有效性 ............................................................................................................................................... 47-48 测试执行有效性 ............................................................................................................................................... 49-50 确定风险与证据的关系 ..................................................................................................................................... 51-64
控制测试的性质 ....................................................................................... 55-56 控制测试的时间 ....................................................................................... 57-60 控制测试的范围 ....................................................................................... 61-62 前转程序 ................................................................................................. 63-64 未来年份审计的特殊考虑.................................................................................................................................. 65-69
评估识别的缺陷 ..............................................................................................................................................70-79
实质性漏洞的重要指标 ..........................................................................................................................................79
总结.....................................................................................................................................................................80-93 形成意见 ......................................................................................................................................................... 80-83 获取书面陈述 .................................................................................................................................................. 84-86 通报某些事项 .................................................................................................................................................. 87-93
内控报告......................................................................................................................................................... 94-108 单独或合并报告 ............................................................................................................................................... 95-97
报告日期 ..............................................................................................................................................................98 实质性漏洞.....................................................................................................................................................99-103 后续事件 ...................................................................................................................................................... 104-108
附件
附件A——定义.......................................................................................................................................... A1-A13 附件B——特殊主题 .................................................................................................................................. B1-B35 综合审计 .......................................................................................................................................................B1-B11 多地点范围的决定........................................................................................................................................B12-B18 服务组织的使用 ...........................................................................................................................................B19-B29 16
自动控制的基准 ...........................................................................................................................................B30-B35
附件C 特殊报告情况 ............................................................................................................................ C1-C17 报告修改 ...................................................................................................................................................... C1-C15 根据联邦证券法令报备 .................................................................................................................................C16-C17
17
概述
1. 准则设立了审计师履行对管理层财务报告内部控制(“财务报告内部控制审计”)有效性评估1/进行审计时的要求,并规定了适用的指导,财务报告内部控制审计整合了财务报表审计。
2. 审计师在财务报告内部控制审计中的目标是对公司财务报告内部控制发表意见。为发表意见铺垫,审计师必须计划并执行审计,以取得截至管理层评估日是否存在实质性漏洞的证据。即使财务报表不存在实质性错报,财务报告内部控制中也可能存在实质性漏洞。
3. 为取得截至日前是否存在实质性漏洞的合理保证,审计师必须取得关于相关论断控制的审计和执行有效性的充分、且令人信服的证据2/。审计师可以亲自进行测试或通过使用他人工作取得以上证据3/。
注:审计师应该对那些对审计师决策重要的控制进行测试,审计师的决策是关于公司控制是否足以处理相关论断错报风险,错报风险可能导致公司财务报告的实质性错报。
1/ 附件A中定义的术语、定义,首次出现时的采用黑体字。
2/ 见AU 第230部分,关于合理保证的进一步讨论见《工作执行中应有的职业关注》。
3/ 使用他人工作的更多指导见第13段。
4. 通用准则4/适用于财务报告内部控制审计。这些准则要求对审计师进行技术培训,并要求审计师具有熟练性、独立性,执行应有的职业关注包括职业怀疑。准则规定了适用于财务报告内部控制的调查工作和报告准则。
5. 审计师在进行财务报告内部控制审计时采用的控制框架应当与管理层在对公司财务报告内部控制有效性进行年度评估时采用的控制框架相同,都应当为适用的、公认的控制框架。
审计计划
6. 财务报告内部控制审计应经过合理计划,并严格监督审计助理(如果存在)。计划审计时,审计师应衡量以下事件对公司财务报表和财务报告内部控制是否重要,如果重要,他们将如何影响审计师的程序—
? 从其它约定中获得的关于公司财务报告内部控制的知识;
4/ 见AU 第150部分, 《通用会计准则》。
5/ 见《证券交易法》准则13a-15(c)以及15d-15(c),17 C.F.R. 240.13a-15(c)和240. 15d-15(c)。证监会准则要求管理层审计师根据适用、且公认的控制框架(也就是审计准则)对公司财务报告内部控制的有效性进行评估,适用、且公认的控制框架应由遵守适当法律程序的团体或组织建立,适当法律程序包括大范围分发框架,征求公共评论。例如,COSO委员会报告(也就是COSO报告)提供的框架,英格兰及威尔斯特许会计师协会,《内部控制:综合准则董事指南》(也就是特恩布尔报告)。
?
?
?
?
?
影响公司所在行业的事件,例如财务报告惯例、经济条件、法律法规、以及技术变化; 与公司业务相关的事件,例如公司组织、运营特点、以及资金结构; 近期变化的幅度,如果公司近期出现了变化,例如公司的经营、或财务报告内部控制; 审计师对实质性、风险、以及其它与实质性漏洞相关的因素的初步判断; 已经报告给审计委员会或管理层的控制缺陷; 18
?
?
? 公司清楚的法律或法规事件; 与公司财务报告内部控制相关的现有证据的种类和范围;以及 对财务报告内部控制的初步判断。
与财务报表审计的整合
7. 财务报告内部控制审计应与财务报表审计整合。两个审计的目标虽然不同,但审计师必须计划并执行审计工作,以实现两个审计的目标(关于整合的详细内容见附件B)
风险评估的角色
8. 风险评估是准则中整个审计过程的基础。因此,审计师的风险评估应对内部控制审计具有普遍深入的影响。公司财务报告内部控制的具体领域中实质性漏洞可能存在的风险程度与审计师对该领域应给与的关注之间具有直接的关系。相应地,审计师应当将审计重点放在风险最大的区域,以最大程度上减少实质性漏洞被漏审的可能。在某一具体领域,实质性漏洞存在的风险越低,审计师在该领域所要投入的关注也越少。相应地,审计师没有必要对即使存在控制缺陷,也不存在造成财务报表实质性错报的合理可能的领域进行测试。
调整对较小公司的审计
9. 在计划并执行内部控制审计时,审计师应评估公司的规模和复杂性。因为公司的规模和复杂性将影响错报风险以及这些风险所需的必要控制,审计师对规模和复杂性的评估应对审计具有普遍深入的影响。审计师应将公司规模和复杂性如何影响审计进行备案。在评估公司规模和复杂性时,审计师应将公司自身的事实和环境考虑在内。
注:证监会咨询委员会关于较小规模上市公司的最终报告指出:市值和年收入是公司规模的有效指标。根据咨询委员会的报告,以及证监会对“大型加速披露” 的定义,市值接近或小于7亿美元,报告的年收入接近或小于2.5亿美元的公司被认为是较小规模的公司6/。
6/ 咨询委员会报告这样描述:“较小规模的上市公司”为市值低于7.871亿美元的小型上市公司,“小资本公司”为市值低于1.282亿美元的小型上市公司。见美国证监会小型上市公司咨询委员会,最终报告,5(20xx年4月23日);见《证券交易法案》,条例12b-2,17 C.F.R 240. 12b-2(定义“大型加速披露方”为“非附属机构持有的全球具有投票权和不具有投票权的普通股的市值大于等于7亿美元”,并符合其它条件的上市公司。)
10. 作为公司规模和复杂性评估的一部分,审计师应决定较小型和结构相对简单的公司的共有性质的范围怎样,这些性质影响错报风险以及处理风险的必要控制。这些性质包括—
?
?
?
?
? 较小的业务范围; 简化的业务流程和财务报告系统; 集中的会计功能; 高级管理在日常商业活动中的广泛参与;以及 几个等级的管理,每一级管理都应有大的控制跨度。
11. 因为这些属性,审计师应当清楚:规模较小、结构较简单的公司常常通过高级管理层与公司员工间的互动实现很多控制目标,而不是通过正式的政策和程序。日常的检查和监督活动常常取代需要涉及很多执行独立职能的人员的多层次控制。
12. 审计师应对规模较小、结构相对简单的公司的性质如何影响内部控制审计进行评估。这些性质将影响审计的很多方面。对规模较小、结构相对简单的公司进行审计与规模较大、结构相对复杂的公司的审计在以下方面(不限于以下方面)不同— 19
? 从有限的公司文件中获取充分的、令人信服的审计证据。审计师应将现有审计证据的性质和范围,以及在计划和执行审计过程中能够获取证据的时间段考虑在内。缺少能够表明控制操作的文件并不能证明:控制的执行无效。对正式文件相对较少,规模较小、结构相对简单的公司而言,多数情况下,通过咨询、观察或其它程序测试控制能够提供关于控制是否有效的充分证据,即使缺少文件。
? 评估公司层面的控制,以充分处理错报风险。规模较小、结构相对简单的公司可能更多的依赖高级管理层对某些论断中的错报的检测。在这种情况下,审计师应将重点放在评估公司层面控制上。如43-44段讨论的,如果公司层面的控制足以处理错报风险,那么审计师无需对与风险相关的额外控制进行测试。
? 评估管理层逾越和缓解行动风险。由于管理层在控制执行和期末财务报告程序中的广泛参与,防止管理层逾越的控制对规模较小、结构相对简单的公司尤其重要。审计师应当预测到:处理规模较小、结构相对简单的公司的管理层逾越可能与较大公司不同。例如,规模较小、结构相对简单的公司可能更多的依赖审计委员会对管理层逾越的监督。
? 评估替代职责分离的控制。规模较小、结构相对简单的公司在财务功能方面的雇员较少,限制了对职能的划分,并使公司执行其它控制以实现控制目标。在这种情况下,审计师选择的测试控制重点应放在那些替代性控制、以及这些替代性控制是否实现了控制目标上。
? 评估财务报告的资格。评估公司负责财务报告和相关控制的人员资格时,审计师既应考虑公司参与的交易和活动类别所需的必要能力,也应当考虑公司人员和协助进行财务报告的各方的综合能力。
? 评估信息技术(IT)控制。规模较小、结构相对简单、业务流程简单、财务操作集中的公司的信息系统也相对简单,所以这些公司可以更广泛的使用现成的软件,无需修改。在使用现成软件的领域,审计师对信息技术控制的测试重点应该是对预编译软件包应用的控制,因为管理层依赖预编译软件包实现控制目标以及信息技术的总体控制,这些对应用控制的有效操作非常重要。 使用他人工作
13. 审计师应对其将要应用的他人工作的范围进行评估,他人工作包括管理层的内部控制评估。准则提案,《在审计中考虑并使用他人工作》,内容包括对获取对他人进行的工作的性质、时间和范围的理解,以及指出他人工作对审计的影响。准则规定:使用他人工作以减少审计师工作的性质、时间和范围,审计师必须评估他人测试的目标事件的性质,评估执行工作的人员的能力和客观性,并测试他人进行的部分工作以评估他人工作的质量和有效性。
实质性
14. 在计划财务报告内部控制时,审计师应使用的实质性考虑应该与审计师规划公司年度财务报表审计使用的考虑相同7/。 7/ AU 第312部分,更多关于实质性的解释见《执行审计中的审计风险和实质性》。
15. 为评估审计中发现的控制缺陷或控制缺陷的综合作用是否构成重大缺陷或实质性漏洞,审计师必须考虑年度和中期财务报表错报的可能性。
使用从上至下的方法
16. 在财务报告内部控制审计中,审计师应采用从上至下的方法选择将要执行的控制。从上至下的方法从财务报表水平和公司水平的控制开始,然后依次至重大帐目和披露、相关论断、重大流程。这种方法指导审计师重点关注具有造成财务报表和相关披露的实质性错报的合理可能的账目、披露和论断。最后,审计师应测试那些能够充分解决每一相关论断错报风险的控制。由此,从上至下的方法能够指导审计师仅对那些为取得关于实质性漏洞是否存在的合理保证所需的控制进行控制。
20
指出公司层面的控制
17. 审计师必须对那些对审计师关于公司是否具有有效的财务报告内部控制的结论非常重要的公司层面的控制进行测试。因为测试的结果将影响审计师评估财务报告内部控制的其它方面的方式,审计师应在审计流程早期对那些控制进行测试。审计师对公司层面的控制的评估可能增加或减少审计师对流程、交易和应用水平的控制的测试。
18. 公司层面的控制包括—
? 与控制环境相关的控制;
? 对管理层逾越的控制;
? 公司的风险评估流程;
? 集中处理和控制,包括共同的服务环境;
? 监督经营结果的控制;
? 监督其它控制(包括内部审计功能活动、审计委员会和自我评估项目)的控制;
? 期末财务报告流程控制;以及
? 针对重大业务控制和风险管理实践的政策。
19. 控制环境。审计师必须评估公司的控制环境,因为这对有效的财务报告内部控制很重要。
20. 作为评估控制环境的一部份,审计师必须评估—
? 管理哲学和操作风格是否能够促进有效的财务报告内部控制;
? 是否对管理层和雇员授予了适当的权限和责任,以促进有效的财务报告内部控制审计;
? 是否建立了健全的诚信和道德价值观(尤其是高级管理层),并使公司上下理解;以及
? 公司是否采取行动减少或减轻管理层动机和压力,这种动机和压力将成为公司财务报表错报的原因。
21. 期末财务报告程序。审计师必须对期末财务报告流程进行评估,因为这对财务报告和审计师对财务报表内部控制的观点非常重要。期末财务报告流程包括—
? 将交易总额计入总分类帐的程序;
? 启动、授权、记录和处理总分类帐中的流水分类的程序;
? 记录年度和季度财务报表连续和非连续调整地程序;
? 起草年度和季度财务报表、以及进行相关披露的程序。
22. 作为评估期末财务报告的一部份,审计师应评估—
? 公司编制年度和季度财务报表流程的输入、执行的程序和输出;
? 财务报告流程期末时信息技术的应用范围;
? 参与的管理层人员;
? 财务报告流程期末时涉及的地址;
? 调整与合并的账目的种类;以及
? 管理层、董事会和审计委员会对流程进行监督的性质和范围。
21
23. 作为评估期末财务报告流程的一部份,审计师必须对流程进行预排。关于预排的详细信息,见36段的起始部分。
确定重大账目
24. 审计师应当确定重大账目和披露。为确定重大账目,审计师应从考虑报表项目或科目开始。在确定重大项目时,审计师既应评估质的风险因素,也应评估量的风险因素。
25. 审计师在财务报表内部控制中应指出的重大项目的应评估因素与财务报表审计中的相同;因此,两个审计的重大项目应当相同。
26. 审计师在确定重大项目时应评估的风险因素包括—
? 账目的规模和组成;
? 由于错误或欺诈造成的错报系数;
? 项目中记录的单次交易的活动量、复杂性和一致性;
? 项目的性质;
? 与项目伴生的财务和报告复杂性;
? 对项目损失的披露;
? 项目所反映的活动可能导致的重大责任的可能性;
? 项目中的相关方交易的存在;以及
? 与前一期相比,项目特点的变化。
27. 审计师还应利用前一段指出的风险因素,对潜在重大项目的组成进行评估,以确定这些风险是否是极为不同的重大风险。如果是,就需要采取不同种类的控制处理这些风险。相应地,审计师在选取测试控制时应将这些非常不同的重大风险考虑在内(见41到46段)。
注:重大项目的构成可能面临不同的风险,这些风险可能既不重大,程度也不同,也不足以影响审计师对测试控制的选择。
28. 审计师在指出相关论断、主要的交易类型、重大流程和选择测试控制时,应当应用从确定重大帐目获取的对风险的理解。
29. 如果公司具有多个地址或业务单元,审计师应根据合并的财务报表确定重大项目、重大项目的相关论断、主要交易类型、和重大流程。作出这些决定后,审计师应在多地址范围决策中应用附件B中的指导。
确定相关论断
30. 对每一重大论断,审计师应确定以下哪些财务报表论断为相关论断8/--
? 存在或发生
? 完整性
? 评估或分配
? 权利与义务
? 陈述与披露
8/ 关于财务报表论断的其它信息见AU第326部分,《证据事件》。
31. 为确定相关论断,审计师应确定每一重大项目中潜在错报的可能来源,这些可能的来源将导致财务报表被实质性错报。审计师 22
可能会通过向自己提出给定重大项目的“哪里可能出错?”的问题来确定潜在错报的可能来源。审计师可以根据不同于本准则论断的论断执行工作,如果审计师已经选取与每一重大项目相关的控制和对管理层陈述的控制,并对这些控制进行了测试,管理层陈述具有包含错报的合理可能,而这些错报将导致财务报告的实质性错报。
确定主要交易类型和重大流程
32. 审计师应确定公司的主要交易类型。不同类别的主要交易类型具有不同的内生风险,所以就要求采取不同水平的管理监督和参与。这些不同可能将影响处理风险所需的必要的控制种类。
33. 公司重大流程中存在对主要交易类型的控制。所以,审计师应确定影响主要交易类型的重大流程。
34. 对每一指出的重大流程,审计师应—
? 理解主要交易类型的流程,包括这些交易的开始、授权、处理和记录;
? 确定流程中实质性错报(包括由于欺诈产生的错报)可能产生的点,不论是单独出现还是与其它错报一起出现;
? 确定管理层处理潜在错报采取的控制;以及
? 确定管理层在预防或及时发现未被授权的对公司财产的收购、使用或处理所执行的控制,这些未被授权的对公司财产的收购、使用或处理可能导致财务报表的实质性错报。
35. 作为理解重大流程的一部份,审计师应理解信息技术如何影响公司的交易流程。AU第319部分,《财务报表审计中的内部控制考虑》的16至20段、20至32段、77至79段讨论了信息技术对财务报告内部控制的影响以及审计师应评估的风险。审计师在进行财务报告内部控制审计时,应当应用这些指导。
36. 进行预排。审计师应当对每一重大流程都进行预排。进行预排时,审计师从公司流程(包括信息系统)开始,直到反映在公司的财务记录中。审计师应遵从实际交易流程,使用的文件和信息技术应与公司人员使用的相同。
37. 预排的目的是向审计师提供以下证据—
? 证实审计师已经确定存在于流程中相关论断错报的重大风险点;
? 证实审计师理解控制设计,包括与预防或检测欺诈相关的控制;以及
? 证实操作中是否采用了控制。
38. 如果重大流程影响了多个主要交易类型,那么审计师应在预排中确定:重大流程如何解决那些主要交易类型存在的特殊风险。
39. 在重大处理流程发生的点,审计师应当询问公司员工对公司指定程序和控制的理解。这些试探性的问题构成了审计师获取对流程的充分理解的能力、以及审计师确定缺少必要控制点或控制设计无效点能力的基础。这些问题不应仅仅局限于预排基础的单独交易上,以便审计师能够获取流程所要处理的重大交易类型的理解。
注:审计师在财务报告流程期末进行的预排可能与重大流程预排不同,因为审计师无需为实现预排目的,从交易开始至对交易进行报告都关注交易。审计师应利用探究性问题、以及文件和信息技术,审计师使用的文件与信息技术应当与公司员工为理解公司的财务报表和相关披露如何充分反映总分类帐记录的交易总额。
40. 因为预排要求的判断的程度,审计师应当亲自进行预排,或监督为审计师提供直接协助的人员进行预排,如审计准则提案《在审计中考虑并使用他人工作》所述。
选择控制进行测试
41. 审计师应当选择那些对审计师关于公司的控制是否足以解决与相应论断相关的错报风险重要的控制进行测试。
42. 针对某一特定论断的错报风险的控制可能不止一项;同样,一项控制所要解决的错报风险可能与不止一项的论断相关。审计师 23
既没有必要测试所有与相关论断有关的控制,也没必要测试冗余控制,除非冗余本身就是一个控制目标。
43. 在选取那些针对相关论断错报风险的控制进行测试时,审计师应清楚:公司层面的控制在精确性上不同。一些公司层面的测试被设计在流程、交易或应用层面使用,并且能够预防并及时发现一个或几个相关论断的错报。另一方面,有些公司层面的控制是被设计用来寻找较低水平的控制中可能存在的缺陷的,但仅凭这些控制本身是不能充分应对风险的,相关论断的错报风险可能不能被预防或及时发现。
44. 审计师的工作重点应当是:所选取的控制(单独或综合作用)是否能够充分应对某一特定论断的错报风险,而不是这些控制如何被分类(例如,公司层面的控制,交易层面的控制、控制活动、监督控制、预防控制、监察控制)。审计师还应把选出进行测试的控制与相关论断联系在一起。
45. 欺诈控制。作为对那些对审计师关于公司的控制是否能够充分应对每一相关论断的报告风险的结论重要的控制进行测试的一部份,审计师应该对公司的计划、以及应对由于欺诈导致的实质性错报风险的控制和应对其它控制中管理层逾越风险的控制进行测试9/。
46. 在财务报告内部控制审计中,审计师的控制评估与审计师对财务报表控制的评估相关。通常,审计师在财务报告内部控制审计中测试的控制也可以应对或减轻欺诈风险,财务报表审计要求审计师考虑欺诈风险。如果审计师在财务报告内部控制审计中确定:防止或检查欺诈的控制中存在缺陷,那么审计师应改变财务报表审计的性质、时间和范围,以对缺陷做出反应,如AU第316部分44和45段所述。
9/ 见AU第316部分 35至42段,《财务报表审计中的欺诈考虑》,关于欺诈可能导致实质性错报风险的叙述。
测试控制
测试设计有效性
47. 审计师通过确定公司的控制在合理操作的情况是否能够满足公司控制目标的要求,并能有效预防或检测出可能导致财务报表实质性错报的错误或欺诈,从而测试控制设计的有效性。
48. 审计师对审计有效性进行测试的程序包括对相关人员的一系列询问、观察公司的操作、以及检查相关文件。此外,审计师应对“如果具有相应授权和能力的人员有效执行了控制,那么这些控制是否能够预防或检查到错误或欺诈”进行评估。在执行预排时,审计师通常执行了评估设计有效性所需的程序。
测试执行有效性
49. 审计师通过确定“控制是否按照设计执行,以及执行控制的人员是否具有有效进行控制所需的必要授权和能力”对执行有效性进行测试。
50. 审计师对执行有效性进行测试的程序包括对相关人员的一系列询问、观察公司的操作、预排、以及检查相关文件。 确定风险与证据的关系
51. 对选取进行测试的每一控制,审计师应评估控制无效的风险,以及如果控制无效,可能导致实质性漏洞的风险。能够让审计师确信控制有效的必要证据依赖于与控制伴生的风险。如果与测试的控制伴生的风险减小,审计师应取得的证据也随之减少。
注:虽然审计师必须取得针对每一相关论断的控制有效性的证据,但审计师并不负责取得支持每一单独的控制有效性的观点的证据。审计师的目标是对公司财务报告内部控制的整体情况发表意见。这就允许审计师根据与单独的控制伴生的风险,选择证明单独控制有效性的不同证据。
24
52. 影响与控制伴生的风险的因素包括—
? 控制将要预防或检查的错报的性质和实质性;
? 与相关帐目和论断伴生的内生风险;
? 交易量和性质是否发生了可能对控制设计或执行有效性产生不利影响的变化;
? 帐目是否曾出现错误;
? 公司层面控制的有效性,尤其是监督其它控制的控制;
? 控制依赖其它控制有效性的程度(例如,控制环境或信息技术总体控制);
? 执行控制或监督控制执行的人员的能力,以及执行控制或监督控制执行的关键人员是否发生了变化;
? 控制依赖人员的执行还是可以自动进行(例如,如果相关的信息技术控制有效,那么自动控制的预期风险较低);以及 ? 控制的复杂性。
注:通常,控制执行无效的结论所需的证据比控制执行有效的结论所需的证据少。
53. 审计师发现公司对已制定的控制存在背离之时,审计师应确定背离对与被测试控制伴生的风险、所应取得的证据、以及控制执行有效性的评估的影响。
注:因为财务报告内部控制的有效执行不能成为公司实现控制目标的绝对保证,所以并不是单独的控制不能有任何的背离才能实现有效执行。
54. 审计师对控制执行有效性的测试提供的证据的根据是审计师程序的性质、时间和范围的综合作用。更进一步而言,对每一单独的控制,测试性质、时间和范围的不同组合可能能够提供关于与控制伴生的风险的充分证据。
55. 控制测试的性质。一些种类的测试在本质上能够提供比其它测试更多的关于控制有效性的证据。审计师可能执行的以下测试按照它们通常能够提供的证据的多寡排列,从寡至多依次为:询问、观察、检查相关文件、以及执行控制。
注:询问本身并不能为控制有效性的结论提供充分的证据。但当询问与另一种测试,例如观察、检查或执行,共同使用时,询问可能提供关于控制有效性的充分证据。
56. 审计师在选取测试控制的本质性时,审计师应将控制的本质考虑在内,包括控制的执行是否能够提供关于执行的文件证据。关于有些控制(例如管理哲学和经营方式)的执行可能不存在文件证据。在这种情况下,为取得充分的证据,审计师应该向公司人员询问,并观察公司活动。
57. 控制测试的时间。长期测试控制所能提供的证据比短期测试多。此外,测试日越接近管理层的评估日,所能提供的证据越多。
58. 审计师对控制执行有效性的测试应在控制执行时进行。“截止”某一具体日的控制包括截止某一具体日期的、与公司财务报告内部控制相关的控制,即使这些控制可能在此具体日期之后才能执行。例如,如果当月期末财务报告流程控制在期末的下一个月才能执行,那么为取得关于截止某一期末时的执行有效性的充分证据,审计师应对在期末下一个月执行的控制进行测试。
59. 对高风险账目和交易(例如重大的非常规交易的控制、涉及高度的主观性和判断的账目和流程控制、或者期末调整报告控制,审计师应在接近截止日或在截止日当日进行测试,而不是中期日。但是,审计师应平衡接近截止日进行控制测试的需要和为取得充分的执行有效性证据,在足够长的时间内进行测试的需要。
60. 在管理层评估确定的日期之前,管理层可能对公司控制进行修改,以使控制更加有效或高效,或为了处理控制缺陷。如果审计师认定:新的控制实现了相关控制准则的控制目标并且有效的时间已经足够长,因此审计师能够通过对控制进行测试评估控制的设计和执行有效性,那么审计师将无需为发表关于财务报告内部控制的观点,而对被替代的设计和执行有效性进行测试。但审计师应对被替代的设计和执行有效性如何与审计师对财务报表审计控制的依赖相关进行评估。(更多关于整合的指导见B1段开始部分。)
61. 控制测试的范围。控制测试的范围越广,测试所取得的证据越多。
25
62. 在决定执行程序的范围时,审计师应评估以下因素—
? 控制的性质。审计师应评估控制的复杂性、关于公司经营的必须做出的判断的重要性、以及控制执行人的能力水平,控制有效执行的所需的控制执行人的能力水平因素。因为控制的性质预示重大的风险,所以审计师应对控制进行更广泛的测试,以取得充分的证据。
? 执行的频率。通常,人工控制越频繁,审计师为取得充分证据所应进行的测试应越多。
注:对自动控制仅进行一次测试可能就能得到控制执行有效的证据,如果相关信息技术的总体控制也运行有效。
注:如果样本合适,并且测试的总体很大,那么增加总体规模并不需要按比例增加所需的样本大小。
63. 前转程序。审计师对截止某日的控制有效性进行报告,并取得某一中期日关于控制执行有效性的证据的时候,审计师应确定:还需要哪些证据,这些证据与余下期间的控制执行相关。
注:审计师对与控制伴生的风险的评估(如第51至54段描述的)是审计师关于哪些前转程序(如果存在)为必须的决定的基础。如果存在任何前转程序,那么审计师应将这些程序考虑在内,这些前转程序将成为确定程序的性质、时间和范围的一部份,性质、时间和范围的整体将提供关于与控制伴生的风险的充分证据。
64. 在确定需要额外证据,以及如果需要额外证据,审计师将中期测试结果更新为公司年末结果所需的程序时,审计师应评估一下因素—
? 在截止日前进行的测试,以及测试结果。审计师应对与控制伴生的风险和控制的本质进行评估。
? 中期日取得的关于有效性的证据的充分性。
? 余下期间的长度。
? 中期日后,财务报告内部控制发生重大变化的可能性。
未来年份审计的特殊考虑
65. 未来年份的审计中,审计师应将其执行的公司财务报告内部控制审计中获取的知识融入决定必要测试的性质、时间和范围的决策程序中。该决策过程在第51至64段中有述。
66. 审计师对未来年份审计中与控制伴生的风险的评估应考虑第52段所述因素和以下附加风险因素—
? 之前的审计程序的性质、时间和范围;
? 之前控制测试的结果;
? 前一次审计后,控制、或控制所在的重大流程是否发生了变化。
67. 在将第52段至66段所述的风险因素考虑在内后,与控制伴生的风险越低,审计师在未来年份的审计中所需取得的证据就越少。
68. 审计师在未来年份审计的自动应用控制中,还可以使用基准政策。关于基准的详细讨论见B30段的起始部分。
69. 此外,审计师应每年改变控制测试的性质、时间和范围,以使测试具有不可预知性,并对环境变化做出反应。由于这个原因,每年,审计师的中期测试可能在不同时间进行,增加或减少测试的数量和种类,或者改变所用程序的组合。
评估识别的缺陷
70. 在计划和执行审计时,不要求审计师寻找那些单独的一个缺陷或几个缺陷之和不构成实质性漏洞的缺陷。但审计师必须评估发现的每一控制缺陷的严重程度。作为此评估的一部份,审计师应在管理层的评估日之前确定:这些缺陷(单独或几个的综合)是否 26
是重大缺陷或实质性漏洞。
71. 审计师应通过确定以下事件,对财务报告内部控制中缺陷的严重程度进行评估—
? 公司控制是否存在不能预防或检查出帐户余额或披露错报的合理可能;
? 缺陷导致的潜在错报的量级。
72. 财务报告内部控制缺陷的严重性并不以错报是否实际发生为依据,而是以是否存在公司控制将不能预防或检查出重大或实质性错报的合理可能性为基础。
73. 风险因素将影响:缺陷或缺陷组合是否存在导致帐目余额或披露实质性错报的合理可能。风险因素包括,但不限于,以下因素—
? 涉及的财务报表帐目的性质、披露、以及论断;
? 财产或义务可能损失或被欺诈的系数;
? 决定涉及量的判断的主观性、复杂性或范围;
? 控制与其它控制的互相作用或关系,包括控制是否为独立或冗余;
? 缺陷的相互作用,包括两个或多个缺陷的组合是否能够影响相同的财务报表帐目或论断;以及
? 缺陷可能造成的未来结果。
注:即使不将发生可能量化为具体的百分比或范围,也可以对控制缺陷是否反映了错报的合理可能进行评估。
74. 影响(由于控制缺陷导致的)错报量级的因素包括,但不限于,以下因素—
? 缺陷涉及的财务报表的量或交易总合;以及
? 当期或未来期间可能发生的缺陷涉及的账户余额或交易种类中的活动量。
75. 评估潜在错报的量级时,审计师应当清楚帐户余额或交易总额错报的最大数额,对账目余额或交易总额的最大限度夸大为记录的数量,而少报的量级却可以大得多。同样,很多情况下,程度较小的错报可能要大于程度较大的错报的可能。
76. 审计师在确定一项控制缺陷或几项控制缺陷的综合是否构成重大缺陷或实质性漏洞时,应当评估补偿性控制的效果。为减小影响,补偿性控制的执行应当准确,并能够预防或检查出重大或实质性错报。
77. 在评估财务报告内控缺陷的严重性时,审计师也应该确定详细水平和保证程度,以便满足谨慎的管理者执行以下自身事务的要求:对按照公认会计准则编制财务报告所必要的交易记录具备合理保证的事务。如果审计师确定某缺陷会阻碍谨慎的管理者在执行自身事务时得出以下结论:他们对按照公认会计准则编制财务报告所必要的交易记录具备合理保证,那么审计师应至少将该缺陷视为重大缺陷。
78. 在财务报告内控中,通常下列领域的缺陷至少会导致重大缺陷:
?
?
?
? 对符合公认会计准则的会计政策加以选择和应用的控制; 反舞弊方案和控制; 对非常规非系统交易的控制,以及; 对期末财务报告流程的控制。
实质性漏洞的重要指标
79. 审计师应将以下任一情况视为表示财务报告内控存在实质性漏洞的重要指标:
27
? 无效的控制环境。可能表示公司控制环境无效的情况,包括但不限于:
——指出高级管理层方面任何影响程度的舞弊行为;
注:审计师需要计划和执行一些程序,以合理保证能够检测出舞弊造成的实质性错报。然而,鉴于评估和报告财务报告内控的缺陷,审计师应对发现的管理层方面任何舞弊行为加以评估。并且,鉴于这种情况,“高级管理层”一词包括按照本法案302条款在公司证明书上签字的主要执行官和财务总监,并且包括在公司财务报告流程中发挥重要作用的任何其他管理层成员。
——已向管理层和审计委员会通报的,在一段合理时期之后仍未纠正的重大缺陷。
? 对先前发布的财务报表的重编,以反应对错报的纠正。
注:对错报的纠正包括错误或舞弊造成的错报;不包括追溯应用会计准则的变更以符合新的会计准则,或将一个公认会计准则中的自愿变更追溯应用于另一个公认会计准则中。
?
? 在错报不会被公司财务报告内控发现的情况下,由审计师指出的当前时期财务报表中的实质性错报。 公司审计委员会对公司外部财务报告和财务报告内控的无效监督。
注:公司董事会负责评估审计委员会的表现和有效性。本准则并不提议由审计师负责对审计委员会执行单独确切的评估。但是,鉴于审计委员会在财务报告内控的控制环境和监督方面发挥的作用,审计师应评估审计委员会的有效性,以了解和评价这些方面的情况。
审计委员会的重要有效性方面在不同情况下大不相同。审计师应关注审计委员会监督公司外部财务报告和财务报告内控方面的有效性相关因素,如审计委员会成员相对于管理层的独立性,审计委员会责任描述的明确性(如在审计委员会的章程中),以及审计委员会和管理层如何理解这些责任。审计师还可以考虑审计委员会与独立审计师和内部审计师的包含性和互动性,以及与财务管理层关键成员(包括首席财务官和首席会计师)的互动性。审计师还可以评价委员会是否与管理层和审计师一起提出和跟踪适当的问题,这些问题涉及对关键的会计政策和判断性的会计估算的理解,以及对审计委员会对审计师提出问题的回应。
如果审计委员会不存在,本准则中涉及审计委员会的一切事项适用于公司全体董事会计委员会中包含独立董事,审计师不应仅根据这些公司中缺乏独立董事的情况,认为有控制缺陷存在。在所有情况下,审计师应说明,本准则中“董事会”和“审计委员会”二词与相关SEC规则中的定义一致。
? 公司内部审计职能或风险评估职能无效,然而公司需要有效实施这些职能,以便具备有效的监督或风险评估性能。这些公司
包括很大或很复杂的公司。
注:对内部审计或风险评估职能的评价与对审计委员会的评价类似,相似点是评价是在监督和风险评估的范围内形成的。审计师无需单独特别地评价这些职能的有效性和表现。但是,审计师需要依据获得的证据进行评价,以便对财务报告内控的监督和风险评估方面进行评价。
? 对于从事高度监管行业的复杂实体,无效的循规一致性职能。这只涉及无效循规一致性职能的方面,其中相关违法违规行为
对财务报告的可靠性有重要影响。
总结
形成意见
80. 通过评价来自各种渠道的证据(包括审计师的控制测试、财务报表审计中发现的错报以及任何指出的控制缺陷),审计师应对财务报告内控的有效性形成意见。
81. 在对公司财务报告内控的有效性形成意见之后,审计师应对以下内容加以评价:SEC规则要求管理层在财务报告内控的年报中说明的元素11。
28
82. 如果审计师确定财务报告内控的管理层年报中任何规定元素是不完整的,或不合理陈述的,审计师应遵循第C2段中的指导。
83. 只有当审计师工作范围没有限制时,审计师可以对财务报告内控的有效性形成意见。范围限制要求审计师放弃发表意见或退出审计业务。(参见第C3-C7段)。 10参见15U.S.C.§§78c(a)58和7201(a)(3)。
11参见S-B和S-K规定的第308(a)条,以及17C.F.R.§§228.308(a)和229.308(a)。
获取书面陈述
84. 在财务报告内控的审计中,审计师应从管理层获取书面陈述。
a. 确认管理层建立和维持财务报告内控有效性的责任。
b. 说明管理层已对公司财务报告内控的有效性执行了评价和评估,并指定了控制标准。
c. 说明管理层未使用在对财务报告或财务报表内控的审计过程中执行的审计师程序,作为管理层评估财务报告内控有效性的部分依据。
d. 根据指定日期的控制标准,说明评估中阐明的关于公司财务报告内控有效性的管理层结论。
e. 说明在指定为管理层评价部分内容的财务报告内控设计或运行中,管理层已向审计师披露的一切缺陷,包括单独向审计师披露财务报告内控中的一切重大缺陷或实质性漏洞。
f. 描述会导致公司财务报表实质性错报的一切舞弊行为,以及其它不会导致公司财务报表实质性错报,但涉及在公司财务报告内控中发挥重要作用的高级管理层或管理层或其它员工的舞弊行为。
g. 说明在先前审计业务中向审计委员会指出和通报的控制缺陷,是否依据第87段得到解决,并且特别指出任何没有得到解决的控制缺陷。
h. 说明在报告日期之后,财务报告内控是否发生了任何变更,是否有其它因素会对财务报告内控产生重要影响,包括管理层采取的任何有关重大缺陷和实质性漏洞的改正措施。
85. 未能获得管理层的书面陈述(包括管理层拒绝提供书面陈述)构成了审计范围的限制。正如第C3段中的进一步讨论,当审计范围受限时,审计师应退出审计业务或放弃发表意见。另外,审计师应评价管理层拒绝对他/她依赖其它陈述的影响,包括在公司财务报表审计中获得的陈述。
86. AU第333条款,管理层陈述,说明了以下事项:信件的签名者、信件涵盖的期限,以及何时获取更新信件。
通报某些事项
87.审计师必须以书面形式向管理层和审计委员会通报审计中指出的一切重大缺陷和实质性漏洞。书面通报应在有关财务报告内控的审计师报告发布前进行。审计师的通报应明确区分被视为重大缺陷的事项和被视为实质性漏洞的事项,第A12和第A8段对这两者分别给出了定义。
88. 如果审计师认为,公司委员会对公司外部审计报告和财务报告内控的监督是无效的,审计师必须以书面形式向董事会通报该结论。
89. 审计师应以书面形式向管理层通报审计中指出的一切财务报告内控缺陷(即:影响程度轻于重大缺陷的财务报告内控缺陷),并将该通报的时间通知审计委员会。在做出该通报时,审计师无需重复先前发布的书面通报中已包含的缺陷(无论这些通报是由该审计师做出的,还是由内部审计师或组织内其他人做出的)。另外,审计师无需执行足以指出全部控制缺陷的程序;但是,审计师应通报他/她发现的财务报告内控缺陷。
29
90. 这些书面通报应说明,通报的信息仅供董事会、审计委员会、管理层和组织内其他人使用。如果政府机构要求提供这些报告,审计师可以具体参考这些监管机构的意见。
91. 这些书面通报还应包含控制缺陷、重大缺陷和实质性漏洞的定义,并明确区分通报缺陷涉及的类别。
92. 由于财务报告内控的审计不能保证审计师能够指出一切重大缺陷,审计师不应发布声明审计中未发现任何重大缺陷的报告。
93. 在财务报告内控的审计中,审计师可能会发现舞弊行为或潜在违法行为。在这种情况下,审计师必须根据AU第316部分“财务报表审计中对舞弊的考虑”、AU第317部分“客户的违法行为”,以及19xx年证券交易法案第10A部分“明确自己的责任”12。 内控报告
94. 关于管理层评估财务报告内控有效性的审计师报告必须包括以下元素
a. 包含“独立”一词的标题。
b. 指出根据控制标准,截止指定日期关于公司财务报告内控有效性的管理层结论。
c. 管理层评估的鉴定(审计师采用的公司财务报告内控描述应与管理层在年报中采用的描述一致)。
d. 说明评估是管理层的责任。
e. 说明审计师的责任是根据他/她的审计,发表关于公司财务报告内控的意见。
f. 按照第A5段规定,对财务报告内控做出的定义。
g. 说明审计是根据美国上市公司会计监督委员会(PCAOB)的准则开展的。
h. 说明PCAOB的准则要求审计师计划和执行审计,以获得关于各个重要方面是否都保持有效财务报告内控的合理保证。 12 15U.S.C.§78j-1。 C对某些情况下规定的审计师报告修改工作提供了指导。 13
i. 说明审计包括以下内容:理解财务报告内控,评估实质性漏洞存在的风险,根据评估的风险评价内控设计和运行有效性,并且在审计师认为必要的情况下执行其它程序。
j. 说明审计师认为,审计为他/她的意见提供了合理依据。
k. 说明由于固有的限制,财务报告内控或许不能预防或发现错报,并说明任何对未来时期有效性的评价都易受以下风险的影响:由于条件变更控制可能不足,或者符合政策或程序的程度可能会降低。
l. 审计师关于以下问题的意见:截止指定日期,公司是否依据控制标准,在各个重要方面都保持有效的财务报告内控。 m. 审计师公司的手册或印刷签名。
n. 已发布审计师报告的城市和州(或者,非美国审计师可说明城市和国家)。
o. 审计报告的日期。
单独或合并报告
95. 审计师可以选择发布关于公司财务报表和财务报告内控的合并报告(即:一份报告既包含财务报表的意见,也包括财务报告内控的意见)或单独报告。
96. 以下示范合并报告对财务报表发表了无保留意见,并对财务报告内控发表了无保留意见,解释了本部分所述的报告元素。 30
独立注册上市会计公司的报告
[概述段落]
我们已审计了截止20X8和20X7年12月31日W公司随附的资产负债表、相关损益表、股东权益与综合收入表,以及截止20X8年12月31日三年期中每年的现金流量表。我们还审计了随附的报告[管理层报告的标题]中包含的管理层评估,认为W公司根据[识别控制标准,如反对虚假财务报告委员会的发起组织(COSO)发布的《内部控制——综合框架》中确立的标准],截止20X8年12月31日维持了有效的财务报告内控。W公司的管理层负责这些财务报表,负责保持有效的财务报告内控,并负责评估财务报告内控的有效性。我们的责任是对这些财务报表发表意见,并且依据我们的审计对公司财务报告内控发表意见。
[范围段落]
我们根据美国PCAOB的准则开展审计业务。这些准则要求我们计划和执行审计业务,以获得关于财务报表是否不含实质性错报的合理保证,以及关于是否在各个重要方面保持有效财务报告内控的合理保证。我们对财务报表的审计包括以下内容:在测试的基础上审查支持财务报表金额与披露的证据,评估管理层采用的会计准则和管理层的重大估算,并评价总体财务报表陈述。我们对财务报告内控的审计包括以下内容:获得对财务报告内控的理解,评估实质性漏洞存在的风险,依据评估的风险测试和评价内控的设计和运行有效性,并在我们认为必要的情况下执行其它程序。
[定义段落]
公司的财务报告内控旨在根据公认会计准则,为外部目的提供关于财务报告可靠性和财务报表编制的合理保证。公司的财务报告内控包括以下政策和程序:(1) 关于以合理详细程度正确公正地反应公司资产交易与处置的记录维护;(2)为根据公认会计准则编制财务报表所必要的交易记录提供合理保证,并且为只根据公司管理层和董事授权,处理公司收据与支出事项提供合理保证。(3)为预防和及时发现对财务报表有重要影响的未经授权收购、使用或处置公司资产的行为提供合理保证。
[固有限制段落]
由于固有的限制,财务报告内控或许不能预防或发现错报。并且,对一切未来时期有效性评价的预测都易受以下风险的影响:由于条件变更控制可能不足,或者符合政策或程序的程度可能降低。
[意见段落]
据我们看来,财务报表在各个重要方面涉及以上明确描述的内容:截止20X8和20X7年12月31日W公司的财务状况,截止20X8年12月31日三年期中每一年符合美国公认会计准则的经营成果和现金流量。并且据我们看来,根据[识别控制标准,如反对虚假财务报告委员会的发起组织(COSO)发布的《内部控制——综合框架》中确立的标准],截止20X8年12月31日W公司在各个重要方面维持了有效的财务报告内控。
[签名]
[城市和州或国家]
[日期]
97. 如果审计师选择发布关于财务报告内控的单独报告,他/她应在财务报表的审计师报告中添加以下段落:
根据美国PCAOB的准则,并依据[识别控制标准]和我们发表的报告[报告日期与财务报表的报告日期一致],我们已审计了W公司截止20X8年12月31日的财务报告内控[包含意见的性质]。
审计师还在关于财务报告内控的报告中添加了以下段落:
根据美国PCAOB的准则,我们已审计了W公司的[识别控制标准],并发布了我们的报告[报告日期与关于财务报告内控有效性的报告日期一致][其中包含意见的性质]。
31
报告日期
98.审计师给审计报告标注的日期不应早于审计师获得支持其意见的充分证据的日期。由于审计师不能只审计财务报告内控而不审计财务报表,这两份报告的日期应是相同的。
实质性漏洞
99. 第70-79段描述了缺陷的评价。如果存在的缺陷单独或一起会导致一个或多个实质性漏洞,审计师必须对公司财务报告内控发表负面意见,除非审计业务的范围有限制14。
100. 由于实质性漏洞而对财务报告内控发表负面意见时,审计师的报告必须包括:
?
? 第A8段中规定的实质性漏洞的定义。 说明已经指出的实质性漏洞,并指出管理层评估中描述的实质性漏洞。
注:如果管理层评估中没有包含实质性漏洞,这句话应改为,说明实质性漏洞已经指出但没有包含在管理层评估中。另外,审计师的报告应包含对实质性漏洞的描述,向审计报告使用者提供关于实质性漏洞性质的具体信息,并提供漏洞存在期间对发布的公司财务报表陈述的实际和潜在影响。在这种情况下,审计师还需要以书面形式向审计委员会通报在管理层评估中没有披露或指出的实质性漏洞。如果管理层评估中包含了实质性漏洞,但审计师认为该实质性漏洞的披露没有在各个重要方面清楚表现出来,审计师的报告应说明该结论,并说明清楚描述实质性漏洞所必要的信息。
101. 审计师应确定,他/她在内控方面的负面意见对其在财务报表方面意见的影响。另外,审计师应披露,他/她对财务报表的意见是否受到财务报告内控方面负面意见的影响。
102. 如果审计师对财务报表的意见未受到财务报告内控有效性方面负面意见的影响,对财务报告内控的报告(或者如果发布了合并报告,可以是合并报告)应在指出实质性漏洞的段落中包含以下或类似语言:
在对我们为审计20X8年财务报表应用的审计测试的性质、时限和范围加以确定时,我们考虑了实质性漏洞。该报告没有影响我们对那些财务报表的报告[报告日期]。[对该措词适当修正,以用于合并报告]
主:如果审计师在这种情况下发布财务报告内控的单独报告,本段中描述的报告语言可以结合第100段中描述的报告语言。审计师可以用单独一段来表现合并的语言,也可以在指出实质性漏洞的段落中表现这些语言。
103. 如果审计师对财务报表的意见受到财务报告内控有效性负面意见的影响,关于财务报告内控的报告(或者如果发布了合并报告,可以是合并报告)应在指出实质性漏洞的段落中包含以下或类似语言:
在对我们为审计20X8年财务报表应用的审计测试的性质、时限和范围加以确定时,我们考虑了实质性漏洞。 14当审计业务范围受限时,参见第C3段的指导。
后续事件
104. 财务报告内控的变更或其它对财务报告内控可能有重大影响的因素可能发生的时间是:对财务报告内控进行审计的截止日期之后,但在审计师报告的日期之前。审计师应询问管理层是否存在这类变更或事实。根据第84h段的描述,审计师应获取管理层关于这类事项的书面陈述。另外,为了解是否发生了会影响公司财务报告内控有效性,从而影响审计师报告的变更,审计师在该后续时期应询问并审查以下内容:
?
?
?
在后续时期发布的相关内部审计(或类似职能,如金融机构的贷款审核)的报告; 关于重大缺陷或实质性漏洞的独立审计师报告(如果不同于审计师报告)。 关于公司财务报告内控的监管机构报告; 32
? 通过其它审计业务获得的关于公司财务报告内控有效性的信息。
105. 在后续时期,审计师可以查询和审查其它文件。AU第560部分的第.01段至第.09段“后续事件”为财务报表的审计提供了后续事件的指导,这可能也有助于审计师执行财务报告内控的审计。
106. 如果审计师了解截止评估指定日期,对公司财务报告内控的有效性有重要和负面影响的后续事件,审计师应发布关于财务报告内控的负面意见(并且如果管理层评估说明财务报告内控是有效的,应遵循第C2段的指导)。如果审计师未能确定后续事件对公司财务报告内控有效性的影响,审计师应放弃发表意见。如第C13段所述,审计师无论怎样,都应放弃对关于以下事项的管理层披露发表意见:管理层评估日期之后公司采取的改正措施。
107. 审计师可以了解关于在评估指定日期并不存在但在之后出现的后续事件。如果这种后续事件对公司财务报告有重要影响,审计师应在其报告中包含一个说明性段落,描述该事件及其影响,或引导读者关注管理层报告中披露的该事件及其影响。
108. 在发布关于财务报告内控的报告之后,审计师可能会发现在报告日期存在的情况,发现这些情况对审计师的意见可能有影响。根据AU第561部分“对审计师报告日期存在事实的后续发现”,审计师对这些后续信息的评价,类似于审计师对财务报表审计报告日期之后发现信息的评价。
附件A——定义
A1. 鉴于本准则,下列术语的定义如下:
A2 如果控制的设计或运行不允许管理层或员工正常执行指定职能,以及时预防或发现错报,那么就会存在控制缺陷。
? 设计中的缺陷在下列情况下存在:(a) 缺少达到控制目标所必要的控制,或者(b) 现有控制未经合理设计,即使控制按设计运行,控制目标也不能达到。
? 运行中的缺陷在下列情况下存在:合理设计的控制未按设计运行,或者执行控制的人不具备必要的权限或能力来有效执行该控制。
A3. 控制目标为评价控制有效性提供了具体的目标。财务报告内控的控制目标一般涉及相关认定,说明评价以下事项的标准:具体领域的公司控制程序是否合理保证通过控制及时预防或发现了相关认定的错报或遗漏。
A4. 财务报表和相关披露是指,根据公认会计准则(GAAP)陈述的公司财务报表和财务报表的注释。涉及财务报表和相关披露的内容未延伸至对管理层讨论和分析的准备,或者除了公司依据GAAP编制的财务报告和注释以外的其它类似财务信息。
A5. 财务报告内控是由公司的首席执行官和首席财务官,或执行类似职能的人员监督和设计的,受到公司董事会、管理层和其它人员的影响。它为财务报告的可靠性和根据公认会计准则(GAAP)鉴于外部目的编制财务报表提供了合理保证,并包含下列政策和程序:
(1) 关于以合理的详细程度保存记录,这些记录正确公正地反应了公司资产的交易与处置。
(2) 根据公认会计准则,为财务报表编制所必要的交易记录提供合理保证。
(3) 为预防或及时发现未授权收购,使用或处置对财务报表可能有重要影响的公司资产提供合理保证。
注:作为财务报告内控审计或财务报表审计的部分内容的审计师程序,不作为公司财务报告内控的部分内容。
注:财务报告内控有固有的限制。财务报告内控是一个涉及人类勤勉性和合规性的过程,易受以下因素的影响:判断的失误和人为失效造成的故障。财务报告的内控还会受到共谋或不合理管理层越权的妨碍。由于这些限制,可以会存在以下风险:通过财务报告内控,不能及时预防或发现重要错报。但是,这些固有的限制是财务报告过程的已知特点。因此,可以设计流程保护,来减少风险,尽管还不能消除这些风险。 1参见证券交易法案第13a-15(f)和15d-15(f)条例,以及17C.F.R.§§240.13a-15(f)和240.15d-15(f)。
33
A6 主要交易类别是指对公司重大帐目累计总额有意义,从而对相关认定有意义的交易流。
注:例如,某些公司的销售可能是由客户通过私人联系零售店或通过英特网电子方式发起的,若两者都对公司财务报表有重要影响,这些销售类别就是两个会影响公司报告销售额的主要交易类别。
A7. 管理层评估是指S-B和S-K规定第308(a)(3)条中描述的评估,这将包含在有关财务报告内控的管理层年报中2
A8 实质性漏洞是指控制缺陷或者控制缺陷的集合,以便为预防或发现公司年度或中期财务报表的实质性错报提供合理可能性。 注:“实质性漏洞”和“重大缺陷”的定义中使用了事件的“合理可能性”一词(参见第A12段),在第5号财务会计准则董事会声明“或有事项核算”(第5号财务会计准则)中涉及事件可能性时,采用的是“合理可能”或“很可能”等词。3
A9 财务报告的控制可以是预防性控制或探测性控制。有效的财务报告内控包括预防性控制和探测性控制两部分内容。
?
? 预防性控制的目标是,预防会导致财务报表错报的错误或舞弊行为发生。 探测性控制的目标是,探测已发生的会导致财务报表错报的错误或舞弊行为。
A10. 相关认定是指有合理可能包含一个或多个错报(会导致财务报表实质性错报)的财务报表认定。确定一项认定是否为相关认定,无需考虑控制的效果。
A11. 在下列条件下,一项帐目或披露为重大帐目:鉴于高报或低报的风险,该帐目单独或与其它帐目结合时,有合理可能包含一项对财务报表有重要影响的错报。确定一个帐目是否为重大帐目,无需考虑控制的效果。
A12. 重大缺陷是指造成以下后果的控制缺陷或控制缺陷集合:公司年度或中期财务报表的重大错报具备不被预防和探测的合理可能性。
注:重大错报是指下列错报:其重要程度低于实质性,但足以引起公司财务报告监督负责人的注意。
A13. 重大流程是指,发起、授权、处理和记录主要交易类别需要采取的活动。
2 参见17C.F.R. §§228.308(a)(3)和229.308(a)(3)。 参见第5号财务会计准则第3段。
附件B——特殊主题
综合审计
B1. 在对财务报告内控和财务报表的综合审计中,审计师应该设计他/她的控制测试,以同时完成两项审计的目标。
?
? 获取足够的证据,以支持审计师对截止年末财务报告内控的意见。 获取足够的证据,以支持审计师为审计财务报表开展的控制风险评估。
B2. 审计师为财务报告审计获取足够证据以支持“低级”的控制风险评估,往往让审计师得以减少审计工作量,否则审计师有必要对财务报表发表意见。
B3. 内控审计中的控制测试。在财务报告内控的审计中,控制测试的目标是获取关于控制有效性的证据,以支持审计师关于公司财务报告内控的意见。截止某个时间点或在总体上,审计师的意见涉及公司财务报告内控的有效性。
B4. 为了对截止某个时间点的财务报告内控发表意见,审计师应获取关于财务报告内控在一段充足时期有效运行的证据,这段时期可能比公司财务报表涵盖的全部时期(通常为一年)更短。为了在总体上对财务报告内控发表意见,审计师必须对一切相关认定获 34
取选定控制有效性的相关证据。这就要求审计师对下列控制的设计和运行有效性进行测试:如果只对财务报表发表意见,审计师通常不会测试的控制。
B5. 鉴于对财务报告发表意见,在对财务报告内控的有效性得出结论时,审计师应包含任何补充控制测试的结果,这些控制的执行旨在对财务报表发表意见,如下文所述。
B6. 财务报表审计的控制测试。为了对财务报表发表意见,审计师通常执行控制测试和实质的程序。为此审计师执行控制测试的目标是评估控制风险。如果对具体财务报表的控制风险评估低于最大限度,审计师需要获取在整个时期控制有效运行的相关证据,并且在这段时期审计师会信赖这些控制。但是,审计师对控制风险的评估不需要对所有相关认定都保持低于最大限度的水平,而且由于各种原因,审计师可以选择不这么做。
B7. 鉴于控制风险评估,在对控制有效性得出结论时,审计师也应评价任何补充控制测试的结果,这些控制的执行旨在对公司财务报告内控发表意见,如第B4段所述。对这些结果的考虑可能要求审计师更改实质程序的性质、时限和范围,并且计划和执行进一步控制测试,尤其是在回应指定控制缺陷时。
B8. 控制测试对实质程序的影响。如果在财务报告内控的审计中,审计师指出一项重大缺陷或实质性漏洞,他/她应确定其对实质程序的性质、时限和范围产生的影响,这些程序的执行可将财务报表审计中的审计风险降至合理低水平。
B9. 无论控制风险的评估级别或者结合财务报表审计对实质性错报的评估风险,审计师应对全部相关风险执行实质程序。执行程序对财务报告内控发表意见,并不会削减该要求。
B10. 实质程序对控制运行有效性的审计师结论的影响。在财务报告内控的审计中,审计师应评价财务报表审计中执行实质审计程序的发现对财务报告内控有效性的影响。该评价至少应包括:
?
?
?
? 审计师结合实质程序的选择与应用开展的风险评估,尤其是对舞弊相关程序的风险评估。 关于违法行为和关联方交易的发现。 指出在进行会计估算和选择会计准则的时候,管理层的偏见。 通过实质程序发现的错报。这些错报的范围可能会改变审计师关于控制有效性的判断。
B11. 为了获得选定的控制是否有效的证据,控制必须直接接受测试;控制的有效性可以根据以下情况推断出来:通过实质程序发现错报不存在。但是,在审计师确定对控制有效性下结论所必要的测试时,通过实质程序发现错报不存在的情况还应提供审计师风险评估的信息。
多地点范围的决定
B12在确定执行控制测试的地点或业务单位时,审计师应评估与地点或业务单位相关的财务报表实质性错报的风险,并且将针对地点或业务单位的审计关注与风险水平相比较。
注:审计师可以单独或与他人合作,排除对下列地点或业务单位做进一步考虑:在公司合并财务报表中出现实质性错报的合理可能性不存在的地点或业务单位。
B13. 在评估和响应风险时,审计师应测试针对一些具体风险的控制,这些风险具有让公司合并财务报表出现实质性错报的合理可能性。在风险较低的地点或业务单位,审计师首先可以评价测试的公司层面控制(包括能合理保证适当控制存在于整个组织中的到位控制)是否能为审计师提供足够的证据。
B14. 在确定执行控制测试的地点或业务单位时,审计师应考虑到他人代表管理层执行的会计工作。例如,如果内部审计师的计划包括不同地点的相关审计工作,审计师可以与内部审计师协调工作,减少审计师需要另外执行审计程序的地点或业务单位的数量。 B15. 在第69段中对后续年份审计特别考虑的指导意味着,审计师应按年改变在某些地点或业务单位测试控制的性质、时限和范围。 B16. 特殊情况。审计的范围应包括在管理层评估日期或之前收购的实体,以及在管理层评估日期被认为是非连续业务的业务。在确定是否有必要在这些实体或业务方面测试控制时,审计师应遵循多地点讨论的指导。
35
B17. 对于权益法投资,审计的范围应在公司的财务报表中,包含对根据公认会计准则报告接受投资者损益和投资余额的公司部分方面的控制,以及对损益、投资余额和相关披露的调整。审计通常不涵盖按权益法接受投资者方面的控制。
B18. 在证券交易委员会(SEC)通过排除某些实体,允许管理层限制财务报告内控评估时,审计师可以用同样的方式限制审计。在这些情况下,审计师的意见会受到范围限制的影响。但是,审计师应在其报告的补充说明段落中包含以下内容,或者将以下内容作为其报告范围段落的一部分:与管理层在财务报告内控的管理层评估和审计师审计中排除实体相类似的披露。另外,审计师应评价管理层得出以下结论的合理性:这种情况符合SEC允许排除的标准,并符合涉及这类限制的所有必要披露的合理性。如果审计师认为管理层关于限制的披露需要修改,审计师应遵循AU第722部分第.29-.32段 “中期财务信息”规定的通报责任。如果管理层和审计委员会除了履行这些责任,没有给出合理回应,审计师应在财务报告内控审计中修改其报告,使报告内容包含一个说明审计师为何认为管理层披露需要修改的段落。
服务组织的使用
B19. AU第324部分“服务组织”的规定,适用于以下公司的财务报表审计工作:从另一个机构获取服务,该机构的服务是公司信息体系的一部分。审计师可以应用AU第324部分描述的相关概念,来对财务报告内控加以审计。
B20.AU第324.03部分说明了服务组织的服务是公司信息体系的一部分。如果如上所述,服务组织的服务是公司信息体系的一部分,那么这些服务是公司财务报告内控的信息和沟通元素的一部分。如果服务组织的服务是公司财务报告内控的一部分,那么审计师应在确定支持其意见的证据时包含服务组织的活动。
B21. AU第324.07至.16部分描述了审计师应执行的涉及服务组织活动的程序。这些程序包括:
a. 了解服务组织关于以下方面的控制:实体的内控,以及使用者组织对服务组织活动的控制;
b. 获取与审计师意见相关的控制有效运行的证据。
B22. 与审计师意见相关的控制有效运行的证据,可以通过以下AU第324.12部分规定的程序获取。这些程序包括:
a. 执行使用者组织对服务组织活动的控制测试(如:测试使用者组织对服务组织处理的选定项的独立再执行情况,或者测试使用者组织对输出报告和原始文件的调节情况)。
b. 在服务组织执行控制测试。
c. 获取服务审计师对运行到位控制和运行有效性测试的报告,或者关于描述相关控制测试的商定程序应用的报告。
注:以上提到的服务审计师的报告是指,服务审计师对服务组织描述控制设计、控制测试的意见,服务审计师执行测试的结果,以及服务审计师对指定时期测试的控制是否有效运行的意见(换言之,AU第324.24b部分中提到的“对运行到位控制和运行有效性测试的报告”)。服务审计师的报告不包括控制测试和测试结果,并且服务审计师对运行有效性的意见(换言之,AU第324.24a部分中提到的“对运行到位控制的报告)不能提供运行有效性的证据。另外,如果关于控制运行有效性的证据来自商定程序的报告,而不是来自根据AU第324部分发布的服务审计师的报告,那么审计师应评价商定程序是否以下段所述的同样方式提供了合理的证据。
B23. 如果服务审计师关于运行到位控制和运行有效性测试的报告可用,审计师可以评价该报告是否提供了支持其意见的足够证据。在评价该服务审计师的报告是否提供了支持其意见的足够证据时,审计师应评估下列因素:
?
?
? 控制测试涵盖的时期,以及其与管理层评估截止日期的关系; 审核与应用涵盖的范围、测试的控制、测试控制与公司控制相联系的方式。 这些控制测试的结果,以及服务审计师对控制运行有效性的意见。
注:这些因素与审计师在确定下列事项中考虑的因素类似:根据AU第324.16部分规定,报告是否为支持审计师在财务报表审计中评估的控制风险级别提供了足够的证据。
B24. 如果服务审计师对运行到位控制和运行有效性测试的报告,仅仅当公司应用服务组织在体系设计中预期的控制时,包含获得 36
指定控制目标的条件,那么审计师应评价公司是否应用了必要的程序。
B25. 在确定服务审计师的报告是否为支持审计师意见提供足够证据时,审计师应查询服务审计师的信誉、能力和独立性。涉及服务审计师职业信誉的合理信息来源参见AU第543部分第.10a段,“其它独立审计师执行的审计部分”。
B26.在服务审计师报告中控制测试涵盖的时期和管理层评估指定的日期之间占用一段重要时期时,应执行补充程序。审计师应通过询问管理层,确定管理层在服务审计师报告涵盖时期之后是否指出了服务组织控制的任何变更(比如向服务组织管理层通报的变更、从服务组织接受的报告或其它数据的变更、与服务组织签订的合同或服务水平协议的变更,或服务组织运行过程中指出的错误)。如果管理层已指出这些变更,审计师应评价这些变更对公司财务报告内控有效性的影响。审计师还应评价,他/她执行的其它程序的结果是否表示服务组织中的控制已发生了变更。
B27. 审计师应确定,是否应根据管理层或审计师执行的程序和其它程序的结果,以及对下列风险因素的评价,来确定是否获得了关于服务组织控制运行有效性的补充证据。随着风险的增加,审计师获得补充证据的需要会有所增加。
?
?
?
? 在服务审计师报告中控制测试涵盖时期和管理层评估指定日期之间占用的时间; 服务组织活动的重要性; 在服务组织运行过程中是否已指出了错误; 由管理层或审计师指出的,服务组织控制方面任何变更的性质和重要性。
B28. 如果审计师认为,在服务组织的控制运行有效性方面需要补充证据,审计师的补充程序可能包括:
?
?
?
? 评价管理层执行的程序,和这些程序的结果。 通过使用者组织联系服务组织,以获得具体的信息。 请求服务审计师执行提供必要信息的程序。 访问服务组织并执行这些程序。
B29. 审计师在对财务报告内控发表意见的时候,不应该涉及服务审计师的报告。
自动控制的基准
B30. 完全自动的应用控制一般不属于人为失效的故障。这种特点让审计师可以使用“基准”战略。
B31. 如果一般的程序控制有所变更,进入程序以及电脑操作是有效的,并继续得到测试。如果审计师证明,审计师设立了基线(即:上次测试的应用控制)之后自动应用控制不会变更,那么审计师可以得出以下结论:如果不重复上一年对自动应用控制运行的具体测试,自动应用控制仍会继续有效。审计师为验证控制未变更应获取的证据的性质和范围,可能取决于各种情况,包括取决于公司程序变更控制的强度。
B32. 在对特别控制应用基准战略时,审计师应考虑到以下影响的重要性:相关文件、表格、数据和参数对自动应用控制的一致和有效职能的影响。例如,计算利息收入的自动控制是否取决于自动计算使用的利率表的持续完整性。
B33. 为了确定是否使用基准的战略,审计师应评估下列风险因素。当这些因素表示风险较低时,被评价的控制应被视为非常适合基准。当这些因素表示风险提高时,被评价的控制应被视为不太适合基准。这些因素是:
?
?
? 在一项应用内,应用控制与定义程序相匹配的程度; 应用的稳定程度(即:在大部分时期变更很少); 在用于生产的程序的汇编日期,报告的可用性和可靠性(在未变更的程序内,该信息可用作控制的证据)。
B34. 基准自动应用控制对于以下公司特别有效:在程序变更可能性很小的情况下,使用购买软件的公司——如:卖方不允许获取或修改源代码。
37
B35. 在一段时期之后,自动应用控制运行的基线应该重新设置,这段时期的长度取决于具体情况。为了确定何时重新设置基线,审计师应评价下列因素:
?
?
?
? IT控制环境的有效性,包括对应用和系统软件购买与维护的控制、存取控制以及电脑操作; 审计师对涵盖控制的具体程序在变更性质方面的理解(如果有任何变更)。 其它相关测试的性质和时限; 关于基准应用控制的错误造成的后果;
控制是否对可能变更的其它商业因素敏感。例如,自动控制的设计是否假定文件中只会存在正数。如果帐目上开始出现负数(贷项),这种控制将不再有效。
附件C 特殊报告情况
报告修改
C1. 如果存在下列任何一种情况,审计师应修改他或她的报告。
a. 管理层年报在内控方面的元素没有被完整或合理地提供。
b. 审计业务的范围有限制。
c. 审计师决定在其自身的报告中,部分采用其它审计师的报告作为依据。
d. 关于财务报告内控的管理层年报中包含了其它信息。
e. 根据萨奥法案第302条款做出的管理层年度证明被错报了。
C2. 管理层年报在财务报告内控方面的元素没有被完整或合理地提供。如果审计师确定,管理层年报关于财务报告内控的元素没有被完整或合理地提供,审计师应修改他/她的报告,包含一段说明该确定原因的段落。如果审计师确定,关于实质性漏洞的必要披露没有公正地提供一切实质方面的信息,那么审计师应遵循第100段中的指导。
C3. 范围限制。只有当审计师能够应用当前情况下必要的程序时,审计师才能对公司的财务报告内控发表意见。如果在审计业务范围上有限制,审计师应退出审计业务或放弃发表意见。放弃发表意见是指,审计师不对财务报告内控的有效性发表意见。
C4. 由于范围限制放弃发表意见时,审计师应以单独段落或几个段落说明弃权的原因。他/她应说明审计范围不足以保证意见的发表。审计师既不应指出执行的程序,也不应包含说明财务报告内控审计特点的声明(第94、g、h和i段);这样做会影响弃权的效果。
C5. 如果审计师计划放弃发表意见,并且审计师执行的有限程序让审计师得出实质性漏洞存在的结论,那么审计师的报告还应包含: ?
? 第A8段中规定的实质性漏洞的定义; 公司财务报告内控中对实质性漏洞的描述。该描述应向审计报告使用者提供下列具体信息:任何实质性漏洞的性质、这些实
质性漏洞对漏洞存在期间发布的公司财务报告产生的实际和潜在影响。该描述还应提出第102-103段的要求。
C6. 一旦审计师认为,范围限制会阻止审计师获得发表意见所必要的合理保证,审计师可以发布一份报告,放弃对财务报告内控发表意见。如果审计师认为他/她不能获得足够证据来发表意见,那么审计师无需在发布弃权声明前执行任何补充工作。
38
注:在这种情况下,遵循第98段关于指定审计师报告日期的指导,该报告日期是审计师获得足够证据支持审计师报告陈述的日期。 C7. 如果审计师认为,由于审计范围的限制,他/她不能发表意见,审计师应以书面形式向管理层和审计委员会通报,财务报告内控的审计不能圆满完成。
C8. 部分依据另一名审计师报告发表的意见。如果另一名审计师已对一个或多个子公司、分部、分公司或公司组成部分的财务报表和财务报告内控进行了审计,审计师应确定他/她是否担任主任审计师,在发表意见时是否可部分采用另一名审计师的工作和报告作为依据。AU第543部分“其它独立审计师执行的审计部分”,为审计师决定是否担任财务报表的主任审计师提供了指导。如果审计师决定担任财务报表的主任审计师,那么审计师还应担任公司财务报告内控的主任审计师。这种关系的来源是以下规定:执行对财务报表的审计工作必须要求对财务报告内控进行审计。只有财务报表的主任审计师可以担任财务报告内控的主任审计师。在这种情况下,财务报表的主任审计师需要充分参与财务报告内控的审计,以便为担任财务报告内控的主任审计师提供依据。
C9. 在担任财务报告内控的主任审计师时,审计师应决定是否在关于财务报告内控的报告中,参考另一名审计师执行的财务报告内控审计。在这些情况下,根据AU第543部分规定在报告公司财务报表时,审计师做出决定的依据是与以下审计师的依据类似:使用其它独立审计师的工作与报告的审计师。
C10. 关于在财务报告内控审计的报告中是否参考另一名审计师的决定,可能不同于参考财务报表审计的相应决定。例如,财务报表的审计报告可能会涉及另一名独立审计师执行的重要股本投资,但是由于管理层对财务报告内控的评估不会延伸到按权益法接受投资者的控制方面,关于财务报告内控的报告不会涉及类似的内容1。
C11. 如果审计师决定参考另一名审计师的报告,作为其对公司财务报告内控的意见的部分依据,那么审计师应在描述审计范围和发表意见时,参考另一名审计师的报告。
C12. 包含补充信息的关于财务报告内控的管理层年报。关于财务报告内控的管理层年报除了包含第81段所述元素之外,还包含被审计师评估的信息。
C13. 如果使用者合理地认为关于财务报告内控的管理层报告包含这些补充信息,那么审计师应放弃对这些信息发表意见。
C14. 如果审计师认为,管理层的补充信息包含对事实的实质性错报,他/她应与管理层讨论该事项。如果在与管理层讨论该事项后,审计师认为仍然存在对事实的实质性错报,审计师应将其对这些信息的看法,以书面形式通知管理层和审计委员会。AU第317部分“客户的违法行为”和19xx年《证券交易法案》的第10A部分还要求审计师采取补充行动2
1关于为权益法投资评价财务报告控制的进一步探讨,参见第B17段。
2 参见15U.S.C.§78j-1。
注:如果管理层在财务报告内控的年报以外,做出第C12段所述的那种披露,并且在公司财务报表的管理层年报内其它地方包含这些披露,审计师无需放弃发表意见。但是,在这种情况下,如果审计师认为补充信息包含了对事实的实质性错报,审计师的责任与该段中说明的责任相同。
C15. 根据萨奥法案第302条款做出的管理层年度证明被错报。如果由于财务报告内控审计,审计师注意到一些事项,让他/她认为,为了让年度证明保持正确性,并符合证券交易法案第13a-14(a)或15d-14(a)条例(无论哪一个适用)第302款规定,有必要修改对财务报告内控变更的披露(提出第四季度发生的财务报告内控变更),那么审计师应在任何中期,履行AU第722部分“中期财务信息”规定的通报责任。但是,如果管理层和审计委员会没有合理回应,除了履行AU第722部分规定的责任,审计师应修改他/她对财务报告内控审计的报告,包含一个说明审计师认为管理层披露应被修改的理由的段落。
根据联邦证券法令报备
C16. AU第711部分“根据联邦证券法令报备”,描述了审计师在下列情况下的责任:审计师报告包含在登记报表、股东签署的委托书或根据联邦证券法令报备的周期报告中。在关于财务报告内控有效性的管理层评估的审计师报告方面,审计师需应用AU第711部分的规定。另外,审计师应将AU第711.10部分的指导延伸到向管理者和其它负责财务和会计事项的执行者询问以下问题,并取得书面陈述:在对财务报告内控的管理层评估有重要影响的事项方面,是否发生了任何事件会对已审计的财务报表产生重要影响。
39
C17. 如果审计师已履行了这些责任,并打算同意在证券报备中,包含财务报告内控有效性的管理层评估方面的报告,那么审计师的同意书应明确表示,关于财务报表的审计师报告和关于财务报告内控有效性的管理层评估的审计报告(或如果使用合并报告,则为两方面的意见)应该包含在他/她的同意书中。 3参见17C.F.R.§§240.13a-14(a)和240.15d-14(a)。
附件2——审计准则议案
20xx年12月19日
审计与相关职业规程准则
审计准则议案——
在审计中考虑和使用他人的工作
如果由董事会采用或者由证券与交易委员会批准,该审计准则议案将取代第65号SAS“在财务报表审计中审计师对内部审计职能的考虑”(AU第322部分,“在财务报表审计中审计师对内部审计职能的考虑”)。
PCAOB
上市公司会计监督委员会
40
目录
段落
概述......................................................................................................................................................................... 1-2 他人工作的影响 .................................................................................................................................................. 3-9
审计师的责任 ..................................................................................................................................................8-9 对他人工作的使用 ..........................................................................................................................................10-19
评价他人测试的主题的性质 ...................................................................................................................... 11-12 评价他人的能力和客观性 .......................................................................................................................... 13-17 测试他人的工作 .......................................................................................................................................... 18-19 获得他人的直接帮助 .....................................................................................................................................20-21
41
概述
1. 本准则对下列内容做了规定并提供了指导:在财务报表和财务报告内控的综合审计(“综合审计”)方面或者仅在财务报表审计方面,审计师对他人相关工作的考虑和使用。鉴于该目的,他人的工作包括内部审计师、公司人员(除内部审计师之外)以及第三方在管理层或审计委员会指导下执行的工作。
注:本准则中所述的对他人工作的使用,不包括下列内容:审计师根据AU第543部分“其他独立审计师执行的审计部分”规定对其他独立审计师工作的使用;根据AU第324部分“服务组织”规定对服务审计师的使用,或者根据AU第336部分“使用专家的工作”对专家工作的使用。
2. 本准则区分了由他人执行的两种一般类型的工作:1) 在普通业务过程中,审计师对他人执行工作的考虑和使用(第3-19段);2) 直接有助于审计师在其审计中达到目标的他人工作(第20和21段)。 他人工作的影响
3. 审计师应获得对他人工作的足够理解,以便鉴定相关活动。
4. 相关活动是指,由他人执行的下列测试:为公司财务报告内控的审计和运行有效性提供证据的测试,或者为公司财务报表的潜在错报提供证据的测试。由他人执行的提供这些证据的测试在性质、时限和范围上通常与下列程序类似:为获取充分证据支持其观点由审计师自身执行的程序。
注:特定活动可能与财务报表或财务报告内控无关。例如,为评价管理层决策流程有效性执行的程序通常不是相关活动。另外,并非所有的活动都是可提供审计证据的测试。只有提供审计证据的测试可以被视为相关活动。
5. 审计师还需理解他人执行的相关活动,以确定这些工作如何更改了那些程序的性质、时限和范围(否则审计师需自己执行这些程序)。
6. 审计师应确定,他人采取的相关活动的结果是否指出了控制缺陷、舞弊行为或财务报表错报。如果有所指出,审计师应确定,他人的这些发现会怎样影响审计师的程序和结论。
注:审计师可以将这种理解局限于对以下相关活动存在的考虑:对财务报表实质性错报的风险或财务报告内控实质性漏洞的风险提供信息。
7. 审计师应评价他/她使用他人工作的范围。审计师可使用他人执行的工作来减少程序(否则审计师需自己执行这些程序)的领域包括:
?
?
?
? 在获得对公司财务报告内控的理解时,审计师执行的程序; 在评估风险时审计师执行的程序; 在测试控制有效性时审计师执行的程序; 在测试帐户余额和披露时,审计师执行的实质性程序。
8. 审计师的责任。
对财务报表或财务报告内控有效性的管理层评估做报告的责任仅由审计师自身承担。这种责任不能与被审 42
计师使用工作的其他个人分享。
9. 审计师必须获取充分的证据以支持他/她的意见。关于获取证据的足够性的判断、风险评估、错报的实质性以及测试结果的评价都可作为审计师的证据。
对他人工作的使用
10. 为了使用他人工作来减少工作的性质、时限或范围(否则审计师需自己执行这些工作),审计师应: ?
?
? 评价他人测试的主题的性质; 评价执行该工作的个人的能力和客观性; 测试他人执行的一些工作,来评价其工作的质量和有效性。
11. 评价他人测试的主题的性质。
在评价他人测试的主题的性质时,审计师应评估下列风险因素。随着这些风险的增加,审计师自身执行更多工作的需要也在增加。随着这些风险的减少,审计师自身执行更多工作的需要也在减少。
?
?
?
? 受测试帐目和披露中存在实质性错报的风险; 与受测试帐目或披露相关的判断或估算的量; 评价测试结果必要的判断程度(即:评价取决于主管因素而非客观测试的程度); 对测试主题相关控制的管理层越权的可能性。
12. 在审计师评价他人测试的控制的性质时,他/她还应将被测试控制的普遍性视为补充风险因素。 1第326部分“证据事项”提供了关于证据有效性的指导。通过审计师个人知识直接获得的证据,包括观察、再执行和检查获得的证据,通常比从他人间接获得的证据更有说服力。
13. 评价他人的能力和客观性。
审计师应评价执行控制、帐目和披露测试的个人的能力和客观性,以确定审计师可使用其工作的范围。在执行这种评价时,审计师应对个人能力和客观性的程度做出判断,而不是对个人是否胜任或客观形成决定性的结论。能力和客观性的程度越高,审计师对该工作的利用程度就越高。相反地,能力和客观性的程度越低,审计师对该工作的利用程度就越低。
注:审计师不应使用具有较低客观性的个人的工作,无论其能力水平如何。同样,审计师不应使用具有较低能力的个人的工作,无论其客观性水平如何。
14. 对执行测试的个人的能力加以评估的相关因素,包括但不限于:
?
?
? 其教育水平和职业经历; 其职业证明和继续教育; 关于将个人分配到业务领域中的实践;
43
?
?
? 对其活动的监督和审核; 有关其工作的文档记录的质量,包括任何发布的报告或建议; 其总体业绩的周期评价。
15. 在评估执行测试的个人的客观性方面,相关因素包括但不限于:
a. 在被测试领域针对个人客观性的政策,以及这些政策是否被遵守了。这些政策包括:
?
? 阻止个人测试以下领域的相关事项:其亲戚担任重要或内控敏感职位的领域。 阻止个人测试以下领域的事项:其正被指派、最近被指派或计划被指派完成测试责任的领域。鉴于本
准则,“指派”包括在该领域负有监督责任。
注:审计师不应使用以下人员执行的测试:负责执行控制或负责测试信息完整性和正确性的人员,原因是这些个人在主题相关方面没有充分的客观性。
b. 负责他人工作的人员的组织地位,包括:
?
?
? 董事会或审计委员会是否监督有关负责人的雇佣决定。 负责人是否可直接接触董事会或审计委员会,并定期向它们报告。 负责人是否向有足够地位的人报告,以保证对执行测试人员的发现和建议有足够的测试范围、充足的
考虑和行动。
c. 旨在保证执行工作个人的薪酬安排不会对客观性产生负面影响的政策,以及这些政策是否被遵守。
16. 一般认为,核心职能涉及常任公司测试或合规性权威的人员,如金融机构的内部审计师或贷款审核师,比主要职责针对其它业务目标的公司人员具有更高的能力和客观性。因此,与使用其他公司人员的工作相比,审计师可以在更大程度上使用被任命为常任测试权威的人员的工作。
17. 在确定他人工作如何改变审计师工作的性质、时限或范围时,审计师应评估以下两者的关系:主题的性质,以及执行工作人员的能力与客观性。随着第11和第12段所述风险的提高,审计师使用他人工作的能力降低,执行工作人员的能力和客观性的必要水平会增加。
18. 测试他人的工作。
如果审计师使用他人的工作来减少程序(否则审计师需要亲自执行这些程序),审计师应测试他人的一些工作,来评价工作的质量和有效性。审计师应执行的测试的性质和范围,取决于他人工作对审计师程序的影响,但是应足以让审计师能够评价以下方面:审计师考虑的工作的总体质量和有效性。审计师还应评估,该评价是否会影响他/她对执行工作个人的能力和客观性的结论。
19. 在评价他人工作的质量和有效性时,审计师应评价以下因素:
?
?
?
?
?
执行测试的性质、时限和范围; 他人执行的控制与控制目标或财务报表认定相关的程度; 工作方案的充足性; 测试方面文档记录的充足性,包括监督和审核的证据; 在这种情况下结论的合理性; 44
? 测试结果相关报告的一致性。
获得他人的直接帮助
20. 在执行审计时,审计师可以向能力和客观性足以执行指派工作的人员请求直接帮助。审计师应根据第13-17段的指导,确定提供直接帮助的人员是否有足够的能力和客观性。
21. 直接帮助是指,审计师请求他人执行一些工作,以帮助审计师完成其某些方面的工作,如控制测试或实质性测试。在有直接帮助的情况下,审计师应按照AU第311部分“计划与监督”,监督、审核、评价和测试他人执行的工作
45
附件3
第3525规则议案:审计委员会对财务报告内控相关服务的预批准。
在为审计客户执行任何允许的财务报告内控相关非审计服务方面,寻求审计委员会预批准时,注册会计师事务所应:
(a) 以书面形式,向股票发行公司的审计委员会说明服务的范围。
(b) 与股票发行公司的审计委员会讨论该服务对公司独立性的潜在影响。
注:独立性要求规定,如果审计师不能对会计师审计业务包含的一切问题执行客观和公正的判断,审计师就不能独立于他/她的审计客户,或者了解相关事实和情况的合理投资者会认为,该审计师不具备这方面的能力。有几项原则可以指导这个一般准则的应用,包括审计师是否承担管理层的职能或审计他/她自己的工作。因此,如果管理层将其财务报告内控的责任委派给审计师,或者如果审计师自已设计或执行审计客户的财务报告内控,那么审计师就不是独立的。
(c) 记录其与股票发行公司审计委员会讨论的内容。
附件4——对中期准则的修订
20xx年12月19日
审计与相关职业规程准则
PCAOB中期准则的修订议案
PCAOB
上市公司会计监督委员会
46
附件4
PCAOB中期准则的修订
审计准则
AU第230部分“工作表现中应有的职业关注”
经过第41号SAS“工作底稿”,第82号SAS“在财务报表审计中对舞弊行为的考虑”,以及第99号SAS“在财务报表审计中对舞弊行为的考虑”的修订,第1号审计准则声明(SAS)“审计准则和程序的法典”中AU第230部分“工作表现中应有的职业关注”(AU第230部分“工作表现中应有的职业关注”)被修订如下:
a. 第.10段改为:
实施应有的职业关注,让审计师可以获得以下方面的合理保证:财务报表是否没有实质性错报,实质性错报是否是由错误或舞弊行为引起的,截止管理层评估日期是否存在任何实质性漏洞。由于审计证据的性质和舞弊行为的特点,绝对的保证是不可获得的。尽管没有绝对的保证,合理保证也是一种高层次的保证。因此,根据美国PCAOB准则开展的审计,可能不会发现财务报告内控中的实质性漏洞,或财务报表的实质性错报。
b. 第.13段第一句话中提到的“财务报表”一词改为“财务报表或财务报告内控”。
c. 第.13段第二句话改为:
因此,关于财务报表中存在实质性漏洞(源自错误或舞弊行为)或财务报告内控存在实质性漏洞的后续发现都不能自行提供下列证据 (a)未能获得合理保证;(b) 计划、执行或判断不充分;(c) 缺乏应有的职业关注;(d) 未能遵守美国PCAOB的准则。
AU第.310部分“独立审计师的任命”
经过第45号SAS“审计准则的综合声明-19xx年”,第83号SAS“与客户建立理解”以及第89号SAS“审计调整”(AU第310部分“独立审计师的任命”)的修订,第1号审计准则声明(SAS)“审计准则与程序的法典”,被修订如下:
a. 第.06段中第三点改为:
管理层负责确立和保持财务报告的有效内控。如果,在财务报表和财务报告内控的综合审计中,审计师认为由于审计范围的限制,他/她不能对财务报告内控发表意见,他/她应以书面形式向管理层和审计委员会通报,财务报告内控的审计不能圆满完成。
b. 第.06段中第八点改为: 在财务报表和财务报告内控的综合审计中,最后一个分点改为:
对于董事会——任何如下结论:审计委员会对公司外部财务报告和财务报告内控的监督是无效的。 在财务报表审计中,最后一个分点改为:
对于董事会——如果审计师意识到,审计委员会对公司外部财务报告和财务报告内控的监督是无效的,则得出该结论。
AU第311部分“计划与监督”
47
经过第48号SAS“财务报表审计的计算机处理效果”,第77号SAS“第22号审计准则声明‘计划与监督’和第59号‘关于实体持续经营能力的审计师考虑’以及第62号‘特殊报告’的修订案”的修订,第22号SAS“计划与监督”(AU第311部分“计划与监督”)被修订如下:
在第1段注释中涉及PCAOB第2号审计准则中第39段的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第6段的内容。
AU第312部分,“审计风险和执行审计的实质性”
经过第82号SAS“在财务报表审计中对舞弊行为的考虑”,第96号SAS“审计文档记录”以及第98号SAS“审计准则综合声明-20xx年”的修订,第47号SAS“审计风险和执行审计的实质性”(AU第312部分“审计风险和执行审计的实质性)被修订如下:
a. 在第3段的注释中,涉及PCAOB第2号审计准则中第22-23段的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第14-15段的内容。
b. 在第7段的注释中,涉及PCAOB第2号审计准则中第24-26段的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第45-46段的内容。
c. 在第12段的注释中,涉及PCAOB第2号审计准则中第22-23段和第39段的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控的审计”中第14-15和第6段的内容。
d. 在第18段的注释中,涉及附件B,“补充业绩规定和指导:PCAOB第2号审计准则中测试范例的范围”的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件B“特殊主题”中第B12-B18段的内容。
e. 在第30段的注释中,涉及PCAOB第2号审计准则第147-149段的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件B“特殊主题”中第B3-B5段的内容。 AU第313部分“资产负债表日期之前的实质性测试”
第45号SAS“审计准则综合声明-19xx年”(AU第313号,“资产负债表日期之前的实质性测试”)被修订如下:
在第1段注释中涉及PCAOB审计准则第98-103段的内容,改为涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第57-60段的内容。
AU第315部分,“前任和继任审计师之间的沟通”
经过第93号SAS“审计准则综合声明-20xx年”的修订,第84号SAS“前任和继任审计师之间的沟通”(AU第315部分,“前任与继任审计师之间的沟通”),被修订如下:
第16段最后一句改为:
另外,前任审计师不是AU第336部分“使用专家的工作”中定义的专家,而且前任审计师的工作也不包括审计准则议案“在审计中考虑和使用他人的工作”中所述的他人的工作。
AU第316部分,“在财务报表审计中对舞弊行为的考虑”
第99号SAS“在财务报表审计中对舞弊行为的考虑”(AU第316部分“在财务报表审计中对舞弊行为的考虑”)被修订如下:
在第1段注释中涉及PCAOB审计准则中第24-26段的内容,改为在PCAOB审计准则议案“与财务报表 48
审计相结合的财务报告内控审计”中第45-46段的内容。
AU第319部分,“在财务报表审计中对内控的考虑”
经过第78号SAS“在财务报表审计中对内控的考虑:第55号审计准则声明的修订案”,以及第94号SAS“信息技术对财务报表审计中内控考虑的影响”的修订,第55号SAS“在财务报表审计中对的内控考虑” (AU第319部分“在财务报表审计中对内控的考虑”)被修订如下:
a. 第2段的注释改为:
注:参照PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中附件A“定义”第A10段的内容来定义相关认定,并且参照PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第30-31段的内容来讨论对相关认定的鉴定。
b. 在第9段的注释中,涉及PCAOB第2号审计准则附件B“补充业绩规定与指导:测试范例的范围”的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中附件B“特殊主题”第B12-B18段的内容。
c. 第55段最后一句改为:
在获得对他人执行的相关工作的理解时,审计师应遵循审计准则议案“在审计中考虑和使用他人的工作”中第3-9段的指导。
d. 第83段的注释被删除了。
e. 在第97段的注释中,涉及PCAOB第2号审计准则中第104-105段的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第61-62段的内容。
f. AU第319.110部分的附件被删除了。
AU第324部分“服务组织”
经过第78号SAS“在财务报表审计中对内控的考虑:第55号审计准则声明的修订案”,第88号SAS“服务组织和一致性报告”以及第98号SAS“审计准则综合声明-20xx年”的修订,第70号SAS“服务组织”(AU第324部分”服务组织)被修订如下:
在第1段注释中涉及PCAOB第2号审计准则附件B“补充业绩规定:测试范例的范围”的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件B“特殊主题”中第B19-B29段的内容。
AU第325部分“关于财务报表控审计中控制缺陷的沟通”1
AU第325部分“关于财务报表审计中控制缺陷的沟通”被修订如下:
(a) 第1段中第1点被修订如下:
在下列情况下存在设计缺陷:(a)缺少达到控制目标所必要的控制;(b)现有控制没有合理设计,以至于即使控制按设计运行,也不能达到控制目标。
(b) 第2段改为:
重大缺陷是指控制缺陷或者控制缺陷的集合,以至于会有以下合理可能性:公司年度或中期财务报表的重大错报不能被预防或发现。
49
注:“实质性漏洞”和“重大缺陷”的定义中使用了事件的“合理可能性”一词(第3段),在第5号财务会计准则董事会声明“或有事项核算”(第5号财务会计准则)中涉及事件可能性时,采用的是“合理可能”或“很可能”等词。
注:重大错报是指,重要程度低于实质性,但足以引起公司财务报告的监督负责人的关注。
当董事会采用第2号审计准则时,第60号SAS在以下范围内将被取代:第2号审计准则中第207-214段关于财务报表和财务报告内控的综合审计。参见PCAOB第2004-008号发布,采用PCAOB第2号审计准则“与财务报表审计一起执行的财务报告内控审计”引起的对PCAOB中期准则的一致性修订案(20xx年9月15日)。由于取代了第2号审计准则,如今审计准则议案中第83-89段,“与财务报表审计相结合的财务报告内控审计”在综合审计范围内取代了第60号SAS。
(c) 第3段改为:
实质性漏洞是指控制缺陷或控制缺陷的集合,从而有以下合理可能性:年度或中期财务报表中的实质性漏洞不能被预防或发现。
注:在评价控制缺陷是否存在,以及控制缺陷(单独或与其它控制缺陷相结合)是否是重大缺陷或实质性漏洞时,审计师应遵循审计准则议案“与财务报表审计相结合的财务报告内控审计”第70-79段的指导。 (d) 第5段改为:
如果公司审计委员会对公司外部财务报告和财务报告内控的监督是无效的,那么这种情况应被视为表示财务报告内控中存在实质性漏洞的重要指标。虽然在评价审计委员会监督仅财务报表审计的有效性方面,没有明确的规定,如果审计师意识到,公司审计委员会对公司外部财务报告和财务报告内控的监督是无效的,那么审计师必须以书面形式向董事会通报该信息。
在仅审计财务报表时,除非“可报告情况”一词是指PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件A“定义”中第A12段定义的“重大缺陷”,AU第325部分“关于实质性漏洞存在的报告”的第1条审计解释仍然适用。在该解释第.04段的报告范本中,第4句改为,PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件A“定义”中第A8段对实质性漏洞的定义。
第67号SAS“确认流程”(AU第330部分“确认流程”)被修订如下:
第28段的脚注3改为:
维持控制的需要并不排除下列情况:根据审计准则议案“在审计中考虑和使用他人的工作”,在确认流程中使用他人的工作。该准则为考虑和使用他人的工作,以及从他人获得直接帮助提供了指导。
AU第332部分“审计衍生工具、套期保值行为以及证券投资”
第92号SAS“审计衍生工具、套期保值行为以及证券投资”(AU第332部分,“审计衍生工具、套期保值行为以及证券投资”)被修订如下:
a. 第7段最后两句改为:
审计师也应获得对他人执行的工作的足够理解,以识别衍生、套期保值和证券领域的任何相关活动。审计准则议案“在审计中考虑和使用他人的工作”中包含了对考虑和使用他人工作的指导。
50
b. 在第11段的注释中,第一句中的短语“涉及财务报表中一切重大帐目和披露”被删除。
AU第333部分“管理层陈述”
经过第89号SAS“审计调整”和第99号SAS“在财务报表审计中对舞弊行为的考虑”(AU第333部分“管理层陈述”)的修订,第85号SAS“管理层陈述”被修订如下:
在第5段的注释中,涉及第2号PCAOB审计准则中第142-144段的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第84-85段的内容。
AU第508部分“关于已审计财务报表的报告”
经过第64号SAS“审计准则综合声明-19xx年”,第79号SAS“第58号审计准则声明‘已审计财务报表的报告’的修订案”,第85号SAS“管理层陈述”,第93号SAS审计准则综合声明-20xx年”,以及第98号SAS“审计准则综合声明-20xx年”的修订,第58号SAS“已审计财务报表的报告” (AU第508部分“已审计财务报表的报告”)被修订如下:
在第1段注释中涉及PCAOB第2号审计准则第162-199段的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第94-108段,以及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中附件C“特殊报告情况”的内容。“另外,参见PCAOB第2号审计的附件A‘关于财务报告内控的解释性报告’,其中包含了解释性的合并审计报告和单独报告范本”这句话改为:“另外,参见PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”的第96段,其中包含一份解释性的合并审计报告。
AU第530部分“独立审计师报告的日期标注”
经过第29号SAS“对审计师提交文件中基本财务报表附带信息的报告”,以及第98号SAS“审计准则综合声明-20xx年”的修订,第1号SAS“审计准则和程序的汇编”中AU第530部分“独立审计师报告的日期标注”(AU第530部分“独立审计师报告的日期标注”)被修订如下:
a. 第1段改为:
审计师应标注审计报告的日期,该日期不早于审计师获取足够证据支持其意见的日期。第5段说明了,在财务报表披露的报告日期之后发生后续事件时,应该遵循的程序。
注:在执行财务报表与财务报告内控的综合审计时,公司财务报表的审计师报告和财务报告内控的审计师报告应标注同样的日期。
b. 第5段改为:
如果在审计师获得以其意见为基础的充分证据之后,但在相关财务报表发布之前,财务报表中披露了后续事件,那么独立审计师有两种标注报告日期的方式。例如,审计师可以使用“到期日”(如20_年2月16日,除了注释_规定的日期为20_年3月1日),或者可以将报告日期标为截止较晚的时期。在前一种情况下,审计师对原始报告日期之后发生的事件的责任,局限于该注释中涉及的具体事件(或者另外披露的)。在后一种情况下,审计师对后续事件的责任延伸到较晚的报告时期,因此第560.12部分概述的程序一般不应延伸到那个日期。
c. 在第3段之前的标题中涉及的“现场工作完成日”,改为“独立审计师报告的日期”。
AU第543部分“其他独立审计师执行的部分审计工作”
经过第64号SAS“审计准则综合声明-19xx年”的修订,第1号SAS“审计准则与程序的法典”中AU 51
第543部分,“其他独立审计师执行的审计部分” (AU第543部分,“其他独立审计师执行的审计部分”)被修订如下:
在第1段注释中,涉及PCAOB审计准则第182-185段的内容改为涉及PCAOB审计准则议案“与财务报表审计相结合的内控审计”中附件C“特殊报告情况”第C8-C11段的内容。
经过第12号SAS“在立法、申诉和评估方面询问客户律师”和第98号SAS“审计准则综合声明——20xx年”的修订,第1号SAS“审计准则和程序的汇编”中AU第560部分“后续事件”(AU第560部分“后续事件)被修订如下:
在第1段的注释中,涉及PCAOB第2号审计准则中第186-189段的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第104-107的内容。
AU第561部分“对审计师报告日期存在事实的后续发现”
经过第98号“审计准则综合声明-20xx年”的修订,第1号SAS“审计准则与程序的法典”中AU第561部分“对审计师报告日期存在事实的后续发现” (AU第561部分“对审计师报告日期存在事实的后续发现”)被修订如下:
在第1段注释中涉及PCAOB第2号审计准则中第197段的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告内控审计”中第108段的内容。
AU第711部分“根据联邦证券法令报备”
第37号SAS“根据联邦证券法令报备”(AU第711部分,“根据联邦证券法令报备”)被修订如下:
在第2段注释中,涉及PCAOB第2号审计准则中第198-199段的内容改为,涉及PCAOB审计准则议案“与财务报表审计相结合的财务报告审计”的附件C“特殊报告情况”中第C16-C17段的内容。 AU第722部分“中期财务信息”
第100号SAS“中期财务信息”(AU第722部分“中期财务信息”)被修订如下:
a. 在第2段第1句之后插入下段:
在首席执行官(审批官员)的参与下,SEC还要求管理层对公司财务报告内控情况做出一定的季度和年度证明。
2 参见20xx年萨奥法案第302部分,以及证券交易法案第13a-14(a)或15d-14(a)条(第17C.F.R.§240.13a-14a或17C.F.R.§240.15d-14a条),无论哪些适用。
b. 第3段注释被删除。
c. 在第7段末增添下段:
同样,涉及财务报告内控的管理层季度证明的审计师责任,与涉及财务报告内控的管理层年度评估的审计师责任不同。审计师应按季度执行有限流程,以便为确定下列事项提供依据:他/她是否发现了,在审计师看来对财务报告内控变更的披露应做出的任何修改,以便使证明具有准确性,并遵守本法案第302条款的规定。
注:根据第S-B和S-K条例的第308(a)(3)款内容,在评价关于财务报告内控的管理层证明披露方面的审计师责任,从公司对财务报告内控的第一次年度评估之后的第一季度开始生效。
52
d. 在第18段末增添以下文字部分:
g. 评价管理层通过下列程序,对财务报告内控展开的季度证明:
? 向管理层询问,在财务报告内控的审计或运行中发生的重大变更,这种审计和运行涉及下列事项:在
前述年度审计或中期财务信息的事先审查之后,可能发生的年报编制和中期财务信息。
?
? 关于审计师对涉及有效财务报告内控的其它中期审查程序,评价由审计师指出的错报的含义。 通过观察结合询问,确定财务报告内控的任何变更是否对公司财务报告内控已产生影响或有合理可能
会产生影响。
e. 第29段改为:
由于对中期财务信息开展了审查,会计师可以了解到一些事项,让他/她认为:
a. 中期财务信息应做出实质性修改,以便符合通用会计准则;
b. 为了让证明具备准确性并且符合本法案第302条款和证券交易法案第13a-14(a)或15d-14(a)条的规定(无论哪一条适用),有必要对财务报告内控的变更披露做出修改;
c.在审核完成前,该实体报备了10-Q或10-QSB表。
在这种情况下,会计师应尽可能快地向适当的管理层通报这些事项。
f. 第32段改为以下内容:
如果审计师了解到,表示舞弊或非法行为已经或可能已发生的信息,审计师必须也根据AU第316部分“在财务报表审计中对舞弊行为的考虑”,AU第317部分“客户的非法行为”以及19xx年证券交易法案第10A部分1,确定他/她的责任。 1 参见15U.S.C.§78j-1
g. 在第33段中,第3句改为以下内容:
重大缺陷是控制缺陷或控制缺陷的集合,从而有以下合理可能性:公司年度或中期财务报表的重大错报不会被预防或发现。
第4号审计准则——关于消除先前报告的实质性漏洞的报告
第4号审计准则——关于消除先前报告的实质性漏洞的报告被修订如下:
a. 第9段被修订如下:
财务报告内控、控制缺陷、重大缺陷和实质性漏洞等词的含意等同于下列文件中给出的定义:审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件A“定义”。
b. 第10段中第一句被修订如下:
审计准则议案第5段“与财务报表审计相结合的财务报告内控审计”,说明审计师在执行他/她的财务报告内控审计时采用的适当和认可的控制框架应与下列框架相同:管理层在对公司财务报告内控有效性进行年度评估时采用的控制框架。
c. 在第10段的注释中,最后一句被修订为:
关于COSO框架的更多信息包含在COSO报告中。
53
d. 第11段被修订为:
相关认定和控制目标等词的含义等同于下列文件中给出的定义:审计准则议案“与财务报表审计相结合的财务报告内控审计”的附件A“定义”。
e. 第13段被修订如下:
在对财务报告内控的审计中,审计师应通过确定下列事项来评价控制的设计有效性:如果合理运行,公司的控制是否能满足公司的控制目标,是否能有效预防或发现会导致财务报表实质性错报的错误或舞弊行为。2 47段。 f. 在第21段中,最后一句被删除。
g. 在第23段中,涉及第2号审计准则中第22-23段的内容改为,涉及审计准则“与财务报告审计相结合的财务报告内控审计”中第14-15段的内容,第二句被删除。
h. 在第24段中,涉及第2号审计准则中第39段的内容改为,涉及审计准则议案“与财务报表审计相结合的财务报告内控审计”中第6段的内容。
i. 在第2号审计准则第26段的第a.分段中,涉及第2号审计准则中第47-51段的内容改为,涉及审计准则议案“与财务报表审计相结合的财务报告内控审计”中第17-22段的内容。
j. 在第26段的第b.分段,涉及第2号审计准则中第79-82段的内容改为,涉及审计准则议案“与财务报表审计相结合的财务报告内控审计”中第36-40段的内容。
k. 第28段的注释被删除。
l. 在第31段中,涉及第2号审计准则中第88-91段的内容改为,涉及审计准则议案“与财务报表审计相结合的财务报告内控审计”中第47-48段的内容。
m. 在第32段中
? 涉及第2号审计准则中第92段的内容改为,涉及审计准则议案“与财务报表审计相结合的财务报告
内控审计”中第49段的内容。
? 涉及第2号审计准则中第93-102段和第105-107段的内容改为,涉及审计准则议案“与财务报表
审计相结合的财务报告内控审计”中第55-62段的内容。
n. 第33段改为下列内容:
审计师应在一段时期对指定控制执行测试,这段时期足以确定,截止管理层认定的指定日期,为达到指定控制目标所必需的控制是否有效运行。审计师测试的时限取决于被测试控制的相关风险。例如,基于交易的日常对帐一般让审计师可以获得在一段时期(比普遍的公司层面控制的测试时期更短)获得控制运行有效性方面的足够证据,包括审计准则议案“与财务报表审计相结合的财务报告内控审计”中第17-18段的内容。另外,仅仅通过与期末相结合测试这些控制,审计师通常能够获得以下方面的足够证据:关于公司期末财务报告流程控制的运行有效性。
o. 在第35段中,涉及第2号审计准则附件B中第B1-B3段的内容改为,涉及审计准则议案“与财务报表审计相结合的财务报告内控审计”附件B“特殊主题”中第B12-B15段的内容。
p. 第36段中第2句改为以下内容:
54
为了确定以下方面的程度:审计师采用他人工作,从而改变了审计师另外将执行的工作的性质、时限或范围,审计师需应用审计准则议案“在审计中考虑和使用他人的工作”的指导。
q. 第37段中第2句改为以下内容:
因此,如果审计师已对不止一个实质性漏洞或不止一个指定控制目标做了报告,审计师必须评价,他/她是否获得了以下方面的足够证据:管理层认定中指出的每个实质性漏洞的相关控制目标都被实现了。44 参见审计准则议案“在审计中考虑和使用他人的工作”中的第8-9段。
r. 第38段中前两句改为以下内容:
在对先前报告的实质性漏洞是否仍然存在做报告的审计业务范围中,需应用审计准则议案“在审计中考虑和使用他人的工作”中第17段的内容。第17段的部分内容如下:“由于第11-12段描述的风险增加,审计师使用他人工作的能力会降低,执行工作的人员在能力和客观性方面的必要水平也会提高。” s. 第39段的注释被删除。
t. 在第42段中,涉及第2号审计准则中第140段的内容改为,涉及“与财务报表相关的财务报告内控审计”中第79段的内容。
u. 第44f段改为以下内容:
说明会导致公司财务报表实质性错报的任何舞弊行为,不会导致公司财务报表错报,但涉及高级管理层或在公司财务报告内控中发挥重要作用的管理层或其它员工的任何其它舞弊行为,以及自从财务报告内控方面的管理层最近年度评估日期以来已发生或引起管理层关注的任何其它舞弊行为。
v. 在第63段中,涉及第2号审计准则中第202-206段的内容改为,涉及AU第722部分“中期财务信息”中第7段和第29-32段的内容。
w. 在第64段中,涉及第2号审计准则第202-206段的内容改为,涉及AU第722部分“中期财务信息”中第7段和第29-32段的内容。
55