PCAOB审计准则第五号对内控测试的影响

1审计准则第五号的影响2007年5月2会议议程新旧准则主要变化及对本年工作的影响准则变化的应对之策审计计划编制简介3审计准则第五号审计准则第五号在2006年12月发布征求意见稿。尽管讨论期已经过去，但是最终稿尚未正式发布。预计正式发布版与征求意见稿并不会有重大差异。2007年的审计将按照审计准则第五号（征求意见稿）制定审计计划。美国上市公司从2002年依据404条款要求经过了3年的测试，尽管加强了投资者的信心度，但是对于公司和审计师都增加了许多费用和工作。因此新准则第五号的推出是在保证财务报告内控质量的前提下，对相应的工作和成本作出调整。4审计准则第五号的主要概念职业判断风险为导向由上至下5准则的变化项目审计准则第二号审计准则第五号指引审计师对最重要的控制覆盖率风险为导向去除不必要的要求每一年审计是独立于上年、评估管理层意见、跟单不可依赖他人工作不必评估管理层测试、允许考虑使用之前的审计中获得的知识、用他人工作简化要求要求非常明确，例如覆盖率等允许审计师进行职业判断简化较小规模公司的审计没有对较小公司作出额外考虑审计准则第5号，第9至12段――描述审计师如何对小型企业的审计进行计划和执行。6新旧准则主要变化及对本年工作的影响（1）第五号准则不要求审计师对管理层财务报告内部控制的管理层意见出具审计师的意见－审计准则第二号要求审计师出具3个审计意见：（a）审计师对公司的财务报告内部控制有效性的意见（b）审计师对公司的财务报表的意见（c）审计师对管理层对公司的财务报告内部控制的有效性的意见－第五号准则只需审计师给予(a)和(b)的审计意见。7新旧准则主要变化及对本年工作的影响（2）第五号准则关注于风险而不是覆盖率－审计准则第二号对覆盖率的要求是非常明确的。但是在审计准则第五号，附件B，第12段却描述“在确定测试的单位的时候，审计师应该评估该单位与财务报表发生实质性错报的风险，并以此作为对该单位进行审计工作的依据。”－在制定测试计划时，既要考虑金额的因素，更要考虑风险因素，综合分析最终确定测试单位及测试的科目流程8新旧准则主要变化及对本年工作的影响（3）重新调整对跟单测试的要求。对每个重要程序进行跟单测试，而非每个重要程序中的主要交易种类。－审计准则第二号，第79段――审计师应该对每个主要交易种类（如第71段所述）进行至少一个跟单。－2007年仅对地区公司的重要业务流程进行跟单测试。9新旧准则主要变化及对本年工作的影响（4）审计人员结合往年审计工作，对与控制相关的风险进行评估。－审计准则第五号，第49至64段进一步阐述如何确认测试的性质、时间和范围，尤其是第52段更描述了在审计准则第二号中未描述与控制相关的风险的要素。此外，审计准则第五号第65段特别允许了审计师可考虑过去对财务报告内部控制审计工作中获取的知识，决定测试的性质、时间和范围。－编制2007年内控测试计划时需要考虑2006年测试的结果及影响。即在选择重要二级单位，确认测试的时间、范围、性质过程中，2006年的测试发现是考虑因素之一。10新旧准则主要变化及对本年工作的影响（5）根据新的审计准则，审计师可以在更大的程度上依赖他人的工作。－审计师可以依赖他人的工作成果作为审计证据，以减少审计师独立测试的范围。但审计师必须对他人的工作以及测试人员进行评估，也有责任进行对他人的工作进行复查，以对财务报告内控进行评价。－他人工作，即管理层测试－准则的变化提高了审计师对管理层测试的依赖程度。需要在测试过程中加强管理层测试组和普华测试组之间的交流和沟通。11新旧准则主要变化及对本年工作的影响（6）审计准则第五号，第18段指出，期末财务报告流程控制是极重要的“公司层面控制”之一，必须按照测试公司层面控制的范围进行测试。12会议议程新旧准则主要变化及对本年工作的影响准则变化的应对之策审计计划编制简介13准则变化的应对之策审计范围或因以下因素进行调整：－审计准则第五号正式发布若与之前的征求意见稿有重大差异－其他相关法律法规的变化－测试结果的满意程度－“不可预测性”的审计要求或导致审计师不按常规的额外审计若干单位－应管理层要求作出的特别测试14准则变化的应对之策新准则对测试范围的影响由于吸取了美国公司3年的经验，其实中石油2006年的测试范围已经作出依据风险为基础的考虑，因此新准则对中石油的影响并不显著。－2006年确定重要会计科目测试范围时，考虑了该科目在不同地区公司中面对的风险，再作出判断，不对所有重要地区公司的所有重要科目进行测试－2006年选择二级单位进行测试对该地区公司中所有的二级单位进行二次风险评估，确定进入测试范围的二级单位15准则变化的应对之策审计范围的确定在编制2007年财务报告相关的内部控制审计计划过程中，我们以风险为出发点，采取“从上到下”方法。从财务报告和公司层面控制入手，确定相关的重要会计科目。将流程和会计科目相对应并确定我们要进行测试的流程范围。将重要科目和重要二级单位进行对应，最终确认我们的审计范围。项目2006年2007年单位、科目的主要考虑因素会计科目的覆盖率资产／收入的覆盖率风险水平（业务复杂程度、关联交易、固有风险、金额）重要业务单位32家28家重要会计科目31个31个16准则变化的应对之策审计范围的确定审计准则第五号，第18段指出，期末财务报告流程控制是极重要的“公司层面控制”之一，必须按照测试公司层面控制的范围进行测试。因此，2007年需要进行财务报告流程测试的单位有28＋6=34家。2006年2007年公司层面控制测试（包括IT控制环境）32+628+6财务报告流程测试3228+617准则变化的应对之策测试时间－2006年测试从4月开始，进行了5轮测试。－2007年预计只进行2轮测试，如有异常情况，则需增加测试。1.第一阶段测试时间为2007年5月中旬至9月中旬2.第二阶段测试包含更新、整改、补充、财务报告流程测试，测试时间为2007年12月至2008年初18准则变化的应对之策与管理层测试组的沟通－讨论、协商管理层测试计划在测试开始前，管理层同普华应就管理层测试的内容、时间、性质进行讨论和协商，确保管理层的测试计划满足新准则的要求。－争取同管理层测试组“同进同出”，有问题及时沟通管理层和普华测试组应定期沟通，交换意见，弥合理解差异，以期达成一致。沟通后仍无法达成一致的，应通知双方的总部进行讨论。－争取手工和信息测试组“同进同出”－工作底稿在测试期间同时分享，争取同时结束测试时，双方已审阅完对方的工作发现及底稿。19准则变化的应对之策依赖管理层测试工作：－我们对所有的控制进行了风险评估，找出可以依赖管理层测试工作的控制。－审计师对管理层测试人员以及测试的工作成果进行评估，确认可以依赖管理层测试组的测试工作。－审计师可以依赖管理层测试的工作成果作为审计证据，以减少审计师独立测试的范围。审计师也有责任对管理层测试的工作进行复查。－需要在测试过程中加强管理层测试组和普华测试组之间的交流和沟通。－测试由双方独立进行，但如果管理层发现问题，应及时同普华联系，参考普华的意见。20准则变化的应对之策依赖管理层测试成果的考虑因素：－测试的内容（例如，该科目存在错报的风险、所需的判断能力、等）－测试人员的能力（例如，学历、相关经验、测试期间受到监督、文档素质等）和客观性（例如，该人员在企业的位置、监督人员的机构、有关的政策防止人员徇私等）－对管理层测试的工作成果进行测试在审计师监督下进行测试－－测试人员直接协助审计师进行测试21他人的工作执行测试的人？信心程度？外部审计师测试审计师直接监督他人测试内审测试自我测试流程负责人日常工作22会议议程新旧准则主要变化及对本年工作的影响准则变化的应对之策审计计划编制简介23编制审计计划的思路风险评估公司层面重要会计科目重要业务流程测试单位测试范围－－单位与相应流程24基于风险的方法风险评估成为此审计准则下的整个审计过程的基础。对于内部控制的审计产生了广泛的影响。首先以整个企业以及其环境进行风险评估：确认相关风险。然后在不同的层次进行风险评估：会计科目、相关认定、流程等。我们应该集中精力在那些较高风险的部分，以降低重大错报无法被及时发现的可能。不同的地点对财务报表的重大错报的风险进行评估。重新聚焦于风险而不是覆盖率（删除对大比例覆盖率的要求）将注意力集中于不同地点的风险程度，使之与审计的工作量相结合25全面风险评估以下是进行公司全面风险评估可以考虑的因素－竞争环境（国内、国外）－法律法规（香港、美国上市要求）－组织结构（集中化管理、分散化管理）－内部控制（内审、内控）－财务状况－会计政策（新会计准则）－业务复杂度及变化（PK、减值准备、IT建设）－财务报告错报的风险－舞弊风险－往年的测试结果26由上至下由上至下的方法适用于所有层次的考虑：包括公司层面控制、业务流程手工控制、应用控制、信息系统总体控制。这项工作需要进行职业判断，必须识别、评估风险，范围，确认重要会计科目，确认控制，确认测试的地点等。控制也应该是从上至下确认的－－即财务报表和公司层面控制，然后再延伸至会计科目和披露事项、财务报表认定、流程，才到控制。27公司层面在我们确认测试范围的时候必须先对公司层面控制的有效性作出假设，即公司层面控制是有效的。如果测试公司层面控制的时候发现负面的结论，则会将此假设推翻，必须对范围进行重新的认定。28确认重要会计科目2006审计2007审计确认重要会计科目的重要性水平合并税前利润2.5%合并税前利润2.5%29确认重要会计科目与重要科目对应的业务流程即重要业务流程资产负债表、损益表税前利润2.5%税前利润2.5%一般上来说，不做进一步测试。除非有高风险的科目风险评估高风险中风险低风险30重要会计科目就算该会计科目单独的金额并不超过重要性水平，也需要考虑此会计科目同其它科目一起，是否存在使得财务报告面临重大错报风险的可能性。审计准则第五号，第26段提出的几项可供考虑的因素－规模和组成－错误或欺诈导致错报的可能性－会计业务的数量及复杂性－科目性质－会计核算及披露的复杂性－遭受损失的可能性－是否有重大或有负债的可能－是否包含关联方往来/交易－同上一期比较，科目性质有否变化31确认单位－－2007审计2007审计总资产5%总收入5%32确认单位－－2007审计单位总资产或总收入合并总资产或总收入5%单位总资产或总收入合并总资产或总收入5%，但是存在特殊风险其他一般单位所有单位总资产或总收入合并总资产或总收入5%第一类第二类第三类第四类中石油－－分板块33确认测试的单位在定性的风险因素后，若单位都具同等风险性质，则以金额（即资产、收入）作为最终依据。可以进行考虑的因素：－以前年度内控测试的结果－业务单元重要科目的潜在的固有风险－规模（财务重要程度）－风险是在业务单位的分散程度－业务流程和内部控制在各单位的相似性－控制流程和财务报告体系的集中程度－在业务单元中执行的业务以及相关资产的性质和数量－业务单元是否有重大未记录负债－公司层面控制测试结果34确认测试的单位信息系统对财务报告内控可能产生重大影响的变更包括下列因素：－可能导致现有系统无法满足企业运营的重大业务变更；－会计准则或法律法规变更(如2007年会计准则变更)可能对系统产生影响；－新系统开发，如即将在各个板块上线的SAP系统；－重大人事变更；－已知的系统问题，如系统不稳定或者经常进行数据恢复；－组织结构、制度和流程发生的重大变更；－管理层监控的结果35具体在各单位测试工作的范围重要单位一般单位不重要单位单位分类第一类＋第二类第三类第四类测试范围公司层面控制＋业务层面控制公司层面控制不需任何测试（除非涉及“不可预测性”的审计或其他特别要求）36具体在各单位测试工作的范围“重要单位”第一类＋第二类不是所有重要单位里的所有重要科目都必须进行测试。我们以“税前利润0.5%”的金额作出判断。即，在所有重要单位里超过税前利润0.5%的重要科目都在测试范围内。上述确认的重要会计科目