PCAOB审计师内部控制测评流程和方法,本文主要内容关键词为:内部控制论文,审计师论文,流程论文,方法论文,PCAOB论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
2004年3月9日,美国根据《萨班斯——奥克斯利法案》(Sarbanes——Oxley Act,本文简称为“SOX法案”)成立的公众公司会计监督委员会(PCAOB)制订了《与财务报表审计相关的针对财务报告的内部控制的审计》,并于6月18日经过SEC批准。该标准依据内部控制的COSO框架,对财务报告目标相关的内控审计做出了明确规范。本文重点对PCAOB内控测评的流程和方法进行介绍,一方面,为中国上市公司依照测评的侧重点完善内控并完成自我测评提供思路,另一方面,也有助于我国审计师内控测评标准的进一步细化和完善。
一、内控测评流程和方法概述
审计师内部控制测评流程包括以下几个步骤
内部控制测评的一般方法包括[1]:
(1)观察。是指在进行测评时,审计师亲临工作现场,实地观察有关人员的工作情况,以确定既定控制措施是否有效的方法;(2)询问。是指为了解公司内部控制设计是否合理,执行是否符合要求,而向有关人员询问情况的方法,包括口头询问和书面询问。测评人员应对询问的结果进行分析、判断。(3)问卷调查。是指通过发放事先设计好的调查问卷,要求相关人员填写、回答以了解内部控制设计、执行情况的方法。(4)讨论。是指通过部门内部、各部门之间的集体研讨,测评内部控制有效性的方法。(5)文件检查。是指抽取内部控制生成的记录和文件(如银行余额调节表),检查内部控制是否有效实施的方法。例如,通过检查借款审批单上的有关负责人签字,核实资金支付是否经过恰当的授权审批。(6)重新履行。是指重新履行某项内部控制程序,验证既定的控制措施是否正确执行的方法。(7)穿行测试,是指选取某一交易样本,从该交易开始启动到授权、记录和处置,并经过信息处理系统,最终反映在财务报表的整个过程进行追踪、测试。通过穿行测试,可以有助于审计人员对内部控制进一步详细了解,并有助于判断内控设计和执行的缺陷。
二、内控测评的各个环节[1]
(一)制订测评计划和测评方案
主要确定测评对象、测评范围、时间和资源等方面的规划和安排。在制定计划和方案时,要考虑以下因素的影响:在执行其他内部审计项目时,获取的对被测评单位内部控制的了解;影响被测评单位所在行业的因素,如财务报告惯例、经济环境、法律法规、技术变化等;被测评单位生产经营有关因素,如组织结构、运营特点、资本结构等;被测评单位运营及内部控制最近的变动程度;被测评单位内部控制自我测评流程及本年度自我测评工作安排;对重要性、风险及其他与判断显著缺陷和实质性漏洞相关的要素的初步判断;以前发现的被测评单位内部控制的缺陷;被测评单位重要的所属单位的数量以及公司对这些所属单位的内部控制进行监督的相关记录等。
(二)评估被测评单位内部控制测评流程的有效性
审计师对管理层内部控制自我评价的评估,要关注两个方面,其一,是管理层自我测评的基本过程。包括测评程序是否规范完整;测评的结论是否合理,管理层的测评工作是否能对结论形成有力的支撑;是否就测评中的主要发现与相关方面进行沟通或汇报,如向审计委员会汇报、向上级单位汇报、与外部审计师沟通等。其二,是管理层自我测评的文档资料是否健全。审计师应检查其与财务报告相关的内部控制文件记录是否包含如下资料:针对与会计报表中所有重要会计科目和信息披露相关的会计认定而进行的内部控制设计;关于重要交易的启动、授权、记录、处理和报告过程的信息;有关交易流程的充分信息;用于避免和发现舞弊行为的控制措施,包括控制措施的执行人以及相关的岗位职责描述;期末财务报告流程控制;资产保护控制措施;被测评单位内部控制测评过程及结果的记录等。
(三)获取对被测评单位内部控制的了解,确定需测试的控制点及所属单位
1.按照COSO体系的基本框架,对企业内控进行全方位的调查了解。了解的内容包括控制环境、风险测评、控制活动、监督、信息与沟通。(在PCAOB的审计标准中,依旧按照COSO“五要素”框架作出规范,尚未考虑COSO的“八要素”最新框架)
2.确定公司层面的内控。公司层内控是公司治理层面的内控,公司层内控包括:属于控制环境的控制,例如管理层的格调、对权利与义务的界定、重大政策及程序以及涉及整个公司范围的流程;管理层的风险测评流程;集中于公司层面的流程和控制点,包括各所属单位都能共享的服务环境、集中的反舞弊控制、中央数据处理功能等;对经营结果的监督控制措施;对其他控制点进行监控的控制点,包括内部审计、审计委员会以及公司内控自我测评流程;公司期末财务报告流程;公司最高管理机构通过的重大业务控制和实施的重大风险管理政策等。公司层内控决定了交易层内控方向和框架,在内控体系中占据主导地位,因此应重点了解。
3.就公司审计委员会对公司财务报告和内部控制进行监督的有效性进行评价。审计委员会在控制环境中扮演着举足轻重的角色,因此,应对审计会员会的人员构成、工作方式、在公司监管中的实际角色定位进行全方位的了解和掌握。
4.确定关键会计科目和会计报表事项。在对公司内部控制进行全面了解的基础上,审计师应根据对公司风险初步测评,分析财务报告中的关键风险防范事项,并从数量和性质两方面考虑会计科目和披露事项的重要性。确定重要科目和披露事项时需要考虑的具体因素包括:会计科目余额的大小和构成要素;因错误或舞弊造成损失的可能性(如现金、有价证券等);该科目所反映的交易的数量、会计科目的复杂程度,会计科目的性质;会计科目反映的交易类型导致公司承担或有负债的风险;会计科目中是否包含关联交易;会计科目的性质较前期发生的变化等。
5.确定关键科目和重要会计报表事项的管理层认定。审计师应明确识别每一重要会计科目或披露事项是否都有管理层签字、声明等法律手续方面的认定,这可以帮助审计师更好地了解和把握公司的风险事项。
6.确定重要的交易事项和业务流程。对影响关键会计科目和披露事项结果的重要交易事项和业务流程进行分析、判断、识别、确认。
7.了解期末财务报告形成的流程。期末财务报告流程是关系到财务报告可靠性的重要流程,也是内部审计人员在独立测评中应重点关注的流程。理解期末财务报告流程及其与其他重要流程之间的关系,将帮助审计师确认和测试与财务报告错漏风险最相关的控制点。
8.确定重要交易事项和业务流程的关键控制点。审计师在确定关键控制点时,应该考虑以下因素:是否可能发生错误或舞弊;控制点的性质;控制点对于实现控制目标的重要性;控制点不能有效执行的风险;控制点涉及的会计科目所代表的内容与以前年度相比是否产生了变化;控制点距上次测评的时间间隔等。
9.从事穿行测试。通过穿行测试,可以使审计师巩固对交易处理流程的了解;巩固对内部控制设计的了解,判断业务流程中所有可能造成相关会计报表认定错误的风险点是否都识别到了,以确认对业务流程的了解是否完整;另外,穿行测试也有助于审计师下一步对内部控制设计有效性和执行有效性的判断。
(四)对内部控制设计有效性进行测评
内部控制设计是否有有效的判断标准,是内部控制能否防止和发现导致财务报告不当披露的重要事项。测试内部控制设计的有效性,审计人员需实施以下程序判断被测评单位是否针对每一个控制目标都制定了适当的控制措施:识别被测评单位各个领域的控制目标;识别被测评单位用来实现每一控制目标的控制措施;判断当这些控制措施都被正确执行时,是否能够防止或检查出可能造成财务报告重大错漏的错误或舞弊。
(五)对内部控制执行的有效性进行测评
内部控制执行有效性测评,是指设计有效的控制点是否按要求得到了正确执行。以下任一情况出现,都意味着内部控制存在执行上的缺陷:其一,设计恰当的内部控制未按照设计的要求正确执行;其二,控制执行人没有取得必要的授权或缺乏必要的胜任能力。在内部控制执行有效性测评中,审计师必须综合运用询问、检查、观察、穿行测试等各种手段,以获得被测评单位内控执行的全面认识。要根据内部控制控制点的基本性质、发生频度、对财务报表的影响等因素,确定每一个关键控制点执行情况的测试程度和测试量。另外,要把握好测评的时间点,执行有效性测评应在控制活动正在运行时进行。
(六)对内部控制缺陷性质和内部控制有效性进行判断
PCAOB将应该关注的内部控制缺陷分为两类:显著缺陷(significant deficiencies)和实质性漏洞(material weaknesses)。显著缺陷是指控制缺陷或控制缺陷的集合有一定可能会导致年报或中期报告中的并非无关紧要的错漏无法被预防或发现。实质性漏洞是指控制缺陷或控制缺陷的集合有一定可能会导致年报或中期报告中的重大错漏无法被预防或发现。从显著缺陷和实质性漏洞的定义可以看出,内部控制缺陷的严重程度取决于以下两个因素:控制缺陷或控制缺陷的集合造成科目余额或信息披露错漏的可能性以及控制缺陷或缺陷的集合造成的潜在错漏的重要程度。以下事项如存在,应至少被认为存在显著缺陷或者有实质性漏洞的强烈迹象:对前期会计报表的错误进行更正性披露;审计师当期发现了实质性漏洞,而这一漏洞并没有在管理层内部控制自评中被揭示出来;公司审计委员会在内部控制运行和会计信息披露中的监控作用有限;在大型复杂企业中,内审机构或风险测评机构没有发挥应有作用;公司高层中的舞弊行为被确认;对已经被确认的重要缺陷,管理层或审计委员会迟迟没有更正等。
(七)形成内部控制测评报告
审计师的测评报告是在管理层自我测评报告基础上出具的再测评意见,包括两部分内容。
其一,对管理层报告内容的测评,它涉及的内容有:管理层是否明确其在建立内控和保证内控有效运行中的责任?管理层对内部控制进行测评时所依托的框架是否合适?管理层对会计年度内部控制的有效性的测评是否没有实质性漏洞?管理层是否对其内部控制测评过程作出了恰当陈述?是否对内部控制实质性漏洞作了恰当披露,并采取了相应的弥补措施?
其二,对管理层内部控制自评工作的测评,它涉及的内容包括审计师依托的测评标准、审计师和管理层的责任划分、出具报告的目的、测评存在的限制、对管理层内部控制自评工作的测评意见、报告日期等。
如果管理层的自评报告不当,或者是自评过程不当,审计师应在报告中说明自己的观点,并阐明相应理由。如果被测评单位内部控制存在显著缺陷或者实质性漏洞,审计师就需要对被测评单位的内部控制发表反对意见。
三、内控测评应该注意的几个问题
PCAOB的内控测评标准还强调要注意以下几点[2]:
(一)对重要性的考虑
重要性是指某一特定事项对总体目标的影响程度。对于与财务报告相关的内部控制测评而言,重要性就是指某一内部控制缺陷造成的财务报告错漏可能影响财务报告使用者的判断或决策的程度。对重要性的测评需要运用专业判断,审计师应从数量和性质两方面考虑重要性。数量方面的考虑是指内部控制不能预防或发现的单个财务报表错漏或数项财务报表错漏的集合,是否将对财务报表造成数量上的重大影响。性质方面的考虑是指内部控制不能预防或发现的单个财务报表错漏或数项财务报表错漏的集合以及与财务报告相关内部控制的其他有关信息是否将影响一个理性的会计报表使用者依赖该信息所作的判断或决策。
(二)对舞弊的考虑
内部审计人员在开展内部控制独立测评时,应特别关注那些专门用于防范舞弊风险的重要(关键)控制点,这些控制点一旦失效,将可能对公司财务报表造成重大影响。该类控制点通常包括但不限于以下几方面:用于防止贪污(盗用、挪用)公司财产的控制点;公司的风险测评流程;公司道德(行为)守则,尤其是与利益冲突、关联交易、违法行为相关的守则以及公司管理层和审计委员会或董事会对这些守则的监督;内部审计工作;用于处理投诉和接受有关财务或审计方面的秘密举报的程序。
(三)利用他人的工作
审计师的测评是在管理层自我测评基础上进行的,审计师可以适当利用他人的工作结果。这里所谓他人的工作结果,包括被测评单位的自我测评结果、被测评单位内部审计人员进行的独立测评结果以及其他第三方(如会计师事务所)受被测评单位管理层委托进行的内部控制审计评价的结果。是否利用他人的工作,审计师需要考虑以下因素:控制点涉及风险对会计报表的影响程度;判断执行有效性所需要的职业判断;控制点涉及的范围;会计科目或披露事项需要专业判断的程度和水平等。总的原则是内部控制事项越重要,审计师越应该根据自己的工作来进行判断。PCAOB还明确规定以下领域不能利用他人的工作:控制环境方面的控制点,尤其是公司层次的对错漏进行防范和发现的控制点;涉及到期末财务报告形成过程的控制点;对财务报告产生重要影响的控制点,尤其是那些其他控制点赖以依托的基础控制点;穿行测试等。
四、PCAOB内控测评标准对我国内控测评标准修订的启示
(一)框架依托
PCAOB的内控测评标准是以COSO发布的内部控制整合框架为依托的,内部控制的内涵和外延都非常明确。而当前我国的内部控制测评标准无论是独立审计标准还是内部审计标准,对内部控制测评中的“内部控制”都没有一个清晰的、普遍意义上的界定。这一方面使得测评标准的科学性和严谨性欠缺,另一方面也给审计师的实践造成一定困难。对于企业而言,如何建立和完善内控也缺乏明确的指导意见。PCAOB内控测试标准和COSO基于风险管理内部控制架构的出台,为我国内控测评标准的进一步完善和细化提供了很好的契机,可以在借鉴PCAOB标准的基础上,依托COSO内控架构,考虑我国审计的具体环境,来修订和调整相关的内控测评标准。
(二)涉及内容
在内部控制测评的内容上,有别于PCAOB标准中的“内控设计有效性”和“内控执行有效性”的提法,国内一直提得较多的是对内控“全面性、合理性、有效性”进行评价。笔者认为,“全面性、合理性、有效性”的提法模糊了“内控设计”和“内控执行”两个完全不同性质环节的区别,而且“三性”彼此之间也存在大量的重叠(“有效的”一般应该是“全面的”和“合理的”)。建议按照PCAOB的测评标准,以“有效性”作为基本的立足点,再对“内控设计”和“内控执行”在审计方法和程序上加以区分。
(三)层次区分
PCAOB内控测评标准重点强调了公司层内控测评的重要性。作为公司治理层面的内部控制,公司层内控更多地涉及到决策层面的控制,是一个企业的基础内控,也可以称作是“内控的内控”,具体的销售控制、采购控制、质量控制等交易层内控,都要在公司层内控的基本框架下进行。在相当一部分中国企业中,交易层内控相对健全,但公司层内控却亟待改善。近年来出现的一系列因为内控不健全而导致企业损失的案例基本上都是公司层内控出现问题。因此,建议在我国内控测评标准的修订中,将内部控制中的公司层内控区分出来,有重点、针对性地进行规范。
(四)先后次序
按照COSO的风险管理内控框架,内部控制的基本目标除了保证对外披露报告真实完整性外,还包括战略目标达成、经营活动的效率和效果以及守法合规。由于SOX法案是针对上市公司出现的一系列财务舞弊制订的,PCAOB的内控测评标准也只是限于和财务报告目标相关的内部控制。具体到企业的内部控制建设应该是先以报告真实性要求的内部控制为切入点,待初步建立后,再逐步向整个内控体系延展。在内控测评标准的建立上,也应该是借鉴PCAOB的做法,先立足于“小内控”的测评规范,切忌目标过于远大,盲目冒进。
(五)沟通协调
PCAOB制定的内控测评标准针对所有美国上市公司,是美国证券市场上惟一具备公信力和法律约束力的内控测评标准。据悉,我国国资委和财政部都在酝酿出台内部控制评价的相关办法。这表明了国家相关部委对内部控制建设和内部控制测评工作的重视,但另一方面,并不排除内部控制测评标准因出自两个不同部门而存在内容、侧重点、程度上的差别,如果分歧过大,对企业内控建设工作和内控测评工作的开展都会造成负面影响。建议相关部门的内控标准建设工作能够加强沟通,协调一致,减少因政出多门而造成的不必要摩擦。
(六)法规支持
PCAOB内控测评标准的执行实施有强大的SOX法案的支持,SOX法案和美国证券市场其他法律法规为测评标准的实施提供了重要基础和良好环境。反观国内,证券市场法律法规的系统性、配套性、连续性都有待完善。上市公司对内控建设的重要性和必要性认识还未到位,内控测评也缺乏法律规范的强制性要求。建议围绕内控测评标准的修订,首先尽快完善和出台内部控制及风险管理的相关制度和意见,同时,完善配套法规的建设工作。
标签:内部控制论文; 财务报告论文; 审计师论文; 内控体系建设论文; 企业流程管理论文; 内部控制缺陷论文; 内控管理论文; 交易风险论文; 缺陷管理论文; 有效市场论文; 风险内控论文; 职业测评论文; 重要性水平论文; 财会论文; 会计科目论文;