薩班斯法案第404條款（SOX404）一直因其嚴厲性和高昂的合規(guī)成本而成為理論界和實務界激烈討論的問題。2007年5月，美國證券交易委員會（SEC）和公眾公司會計監(jiān)督委員會（PCAOB）都投票通過財務報告內(nèi)部控制（ICFR）審計的最終準則、相應的獨立的規(guī)則和對PCAOB原來審計準則的修改。新的第5號審計準則（AS5）《完善財務報告審計的財務報告內(nèi)部控制審計》正式替代了第2號審計準則（AS2）《財務報告內(nèi)部控制審計和財務報告審計聯(lián)合執(zhí)行》，這個準則應用于所有需要遵循SOX404條款的公司，不論規(guī)模大小和復雜程度。AS5要求審計師采用由上而下、風險導向的方法，并將精力集中于那些實質(zhì)性薄弱環(huán)節(jié)，從而降低了審計成本，同時仍然能夠?qū)崿F(xiàn)保護投資者信心的目標。

　　一、AS2的產(chǎn)生和受到的爭議

　　2002年，SOX被SEC接受，用來保護公司在未來不會因為缺少恰當?shù)目刂坪蛯徲嬯P注而受到潛在的災難性市場變化的影響。因為SOX是一項非常廣泛和徹底的法案，所以非常有必要為審計師評價那些需要遵循SOX的公司提供特定的指南。SOX的一個主要內(nèi)容是成立PCAOB，負責監(jiān)管執(zhí)行公眾公司審計的會計師事務所及注冊會計師。2004年，為了使審計人員能夠勝任對內(nèi)部控制有效性進行評價，PCAOB發(fā)布了AS2，以指導審計的計劃與實施。該準則關注對財務報告內(nèi)部控制的審計工作，以及這項工作與財務報告審計的關系問題。

　　AS2提出財務報告內(nèi)部控制審計的目標是對管理層就企業(yè)財務報告內(nèi)部控制有效性的評估發(fā)表意見。AS2要求審計人員評價管理層應用于評估內(nèi)部控制的程序方法的可靠性；復核和使用一些管理層、內(nèi)部審計人員和其他人的評價過程中取得的測試結果；或自己進行測試，以形成獨立意見。SOX和AS2為審計師提供的指導是模糊的，審計師為了避免訴訟，寧愿采取全面的、成本高昂的積極的審計評價。對于SOX的執(zhí)行成本高、需要花費企業(yè)大量資源的非議很多，CFO們開始意識到執(zhí)行SOX就好像是剝洋蔥，執(zhí)行完一層控制的審計還有另外一層等著被審計。遵循AS2導致了過度審計。CEO和CFO整天忙于為了保證公司的披露控制和內(nèi)部控制有效性而努力。AS2面臨的挑戰(zhàn)包括：資源和金錢上的高成本；在最小風險領域花費的努力和金錢；外部審計師不能使用其他人員的工作成果，導致冗余和重復勞動。

　　二、AS5的產(chǎn)生和主要修改內(nèi)容

　　AS5是對許多公司面臨的成本和收益困境的必要的回應。AS5使一個企業(yè)執(zhí)行SOX的合規(guī)努力更加容易，減少了相關的成本，節(jié)省了時間和金錢。這項準則也可以把企業(yè)的焦點重新引回到對項目的風險管理上來。

　　1、AS5的主要目標

　　雖然AS2的原則還被保留，但是PCAOB的人員指出新準則變化的程度還是不容低估的。這些變化主要關注審計質(zhì)量的提高，與PCAOB在2006年12月提出的四個目標相一致。

　?。?）關注最重要事項的內(nèi)部控制審計；

　?。?）消除為了取得目標利益不必要的程序；

　　（3）提供根據(jù)公司規(guī)模和業(yè)務復雜程度來調(diào)整審計工作的清晰的、可以操作的指南；

　?。?）使準則簡單化；

　　2、AS5的主要變化

　　AS5是基于由上而下的方法和風險導向來評價內(nèi)部控制。幾個主要的變化可以大量減少合規(guī)成本并且保持投資者的信心。

　　（1）由上而下的方法（Top—down Approach）

　　使用由上而下的方法來評價內(nèi)部控制意味著一個組織的內(nèi)部控制評價是從實體層面控制（entity—level controls）的角度開始，再發(fā)展到過程層面控制和賬戶層面控制（process/account level controls）。新準則包括了對實體層面控制三個層次的分類以及每個分類如何影響其它控制的測試。分類包括：①對財務報告要素有直接影響的實體層面控制（direct）；②對財務報告要素有間接影響的實體層面控制（indirect）；③用來監(jiān)控其他控制有效性而設計的控制（monitor）。

　　檢驗實體層面的控制，首先要保證內(nèi)部控制的評價按照最普遍和最重要的順序排序和檢驗，然后再到最細節(jié)和詳細劃分的地方。目的是集中精力檢驗關鍵的控制，借此來避免強調(diào)次級控制。減少一些過程層面控制的測試范圍對于降低成本的影響是有顯著效果的（dramatie）。

　　在采用由上而下的方法以前，通常都在交易或者過程層面控制執(zhí)行廣泛的測試，而不考慮在更高的層面上是否存在有效的控制。更高層面的控制包括一些項目，比如回顧、差異分析、審批和其他的監(jiān)控方式。在很多情況下，對更高層次控制進行恰當?shù)拇_認和適當?shù)目紤]能夠減少，甚至完全消除過程層面控制的測試。

　?。?）充分利用風險導向的方法（Leveraging Risk—based Methodology）

　　風險評估不僅局限于辨別數(shù)量上重要的賬戶，也可以評價所有和財務報告相關的控制。可以定量的風險需要和賬戶、過程和控制相關聯(lián)，來評價相應的舞弊風險、IT獨立性、對管理人員越權（managementoverride）的敏感性。這個評估的結果會使關注點集中在合規(guī)項目和相關高風險領域的測試，同時顯著地減少測試工作和控制失敗的機會。通過評價和區(qū)分風險，審計師減少了低風險控制的測試，集中精力發(fā)現(xiàn)和評估承擔著風險的項目。

　　AS5也同樣要求在IT控制中使用風險導向的方法。IT風險是辨認和分析財務報告風險的拓展。通過把IT風險評估作為財務風險評估的一個組成部分，企業(yè)能夠減少花費在設計和應用信息技術控制上的資本支出的金額。在財務報告風險評估的過程中，通過辨別和重要的IT應用相關的風險將會保證時間和資源的合理使用。IT控制通常是最有效率和效果的控制手段，因為一旦被應用就不會被改變。

　?。?）使用其他人工作成果的能力（use the work of others）

　　PCAOB不再推薦使用準則《在審計中考慮和使用其他人的工作》（Considering and Using the Work of Oth-ers in an Audit）。相反，PCAOB的人員把這個準則中重要的方面整合到AS5中，鼓勵審計師使用公司員工和內(nèi)部審計師的工作成果?，F(xiàn)行的AU322條款依然有效。

　　在評價企業(yè)的控制的時候，AS5允許外部審計師依賴其他人的工作成果。這個新的使用范圍使得公司能夠允許外部審計師依賴已經(jīng)完成的交易測試和已經(jīng)被管理層應用并且經(jīng)過內(nèi)部審計人員檢驗的控制，從而減少不必要的程序。

　　外部審計師在確定是否依賴其他人工作的時候要考慮三個因素：被測試事項的性質(zhì)；執(zhí)行測試人員的專業(yè)勝任能力；執(zhí)行測試人員的客觀性。

　　考慮到外部審計的功能和責任，內(nèi)部審計的過程越精確，外部審計師就越會信賴內(nèi)部審計，執(zhí)行更窄、更有效的測試范圍，從而節(jié)省了勞動和成本并且同樣保證了有效。

　　AS5使用其他人工作的范圍包括分享管理當局、內(nèi)部審計師和外部審計師所掌握的情況，極大地提高了效率。因此，有效地執(zhí)行AS5的合規(guī)策略時，在可能的情況下，鼓勵內(nèi)外審計師的協(xié)作很重要。

　　（4）豁免了審計師對管理層內(nèi)部控制評價程序的恰當性發(fā)表意見的要求

　　這可以大大減少審計時間，降低審計成本。PCAOB的人員聲明在他們編寫最終準則的過程中，非常注意區(qū)分審計師和管理當局在角色和責任上的差異，管理當局的評估和審計師的評價是相互補充的，并且必須都以加強財務報告的可靠性的思想來執(zhí)行。因此，管理當局日常的與內(nèi)部控制的互動使他的評估過程不同于審計師，審計師對于企業(yè)的熟悉程度遠不如管理當局，也不會像管理當局那樣經(jīng)常地、有規(guī)律地與內(nèi)部控制互動。

　?。?）審計師可以根據(jù)企業(yè)規(guī)模和復雜性調(diào)整審計工作

　　AS5整合了之前關于根據(jù)規(guī)模和復雜性調(diào)整審計工作的討論，去掉了AS2中關于審計工作規(guī)模的單獨的部分。PCAOB的人員也指出未來的準則。他們計劃放松對于小企業(yè)和較少復雜性企業(yè)的內(nèi)部控制審計的審計工作規(guī)模，這使得審計師可以根據(jù)每個公司的實際情況來調(diào)整審計工作。

　　3、AS5的其他變化

　?。?）統(tǒng)一PCAOB的審計準則和SEC的管理層解釋指南中的術語

　　在可能的情況下，努力使得兩個文件中的術語、定義和方法保持一致，使兩個文件在關于ICFR的評估和判斷過程相一致。例如：實質(zhì)性薄弱環(huán)節(jié)（material weakness）和重大缺陷（significant deficiency），用實體層面控制（entity—level controls）取代公司層面控制（company—level controls）等。

　?。?）澄清了穿行測試的要求

　　在分析過評論意見之后，PCAOB的人員認為AS2對于穿行測試的指導掩蓋了目標（overshadowed the objective）。因此，新準則要求審計師更加關注穿行測試的目標，而不是程序本身。不是特定類型的檢查需要穿行測試，而是準則要求審計師獲得對可能的錯報的有效理解并且確定需要測試的控制。

　　（3）強調(diào)審計師的職業(yè)判斷

　　AS5減少了說明性需要的數(shù)量，去掉了對于重大過程和交易事項主要分類的指導，允許審計師根據(jù)準則的原則執(zhí)行更多的專業(yè)判斷?？赡軐е虏槐匾獙徲嫵绦虻膹娭菩杂谜Z“必須”和“應該”的數(shù)量減少，允許審計師根據(jù)公司的實際情況安排審計的性質(zhì)、時間和程序。因此，最終的準則非常強調(diào)審計師的職業(yè)判斷。

　?。?）欺詐控制

　　欺詐評價是SOX合規(guī)項目中的重要組成部分，每個公司都有欺詐風險的固有水平?？刂票仨毐辉O計成強調(diào)管理層越權的風險。對于欺詐的考慮貫穿到整個實體層面控制和其他普通控制的測試中，審計師應該在過程中就考慮控制如何能被合作方的逆向意圖擊潰。評價欺詐控制需要對企業(yè)有詳盡的了解來形成企業(yè)存在舞弊可能的判斷。理解那些在財務報告過程中起影響作用的財務報告環(huán)境很重要，包括品質(zhì)、態(tài)度、倫理道德、動機和壓力等。

　　對于小型的、組織結構簡單的公司，評價管理層越權的風險在欺詐控制因素中特別重要。管理層可能的越權行為有：故意錯報收入的性質(zhì)和時間；記錄虛假的交易；改變交易的合理的時間；建立或者反向操作結果；改變重要的或者非經(jīng)常交易的相關記錄。

　　理解企業(yè)的預算狀況也很重要。對于不切實際的預算的早期質(zhì)疑能有效地防范管理層控制越權來實現(xiàn)不切實際的目標。

　　三、AS5的預期執(zhí)行效果調(diào)查

　　會計師事務所已經(jīng)把AS5的基本原則融入了自己的工作當中。Eisner會計師事務所董事John Fodera說：“這減少了多余的和不必要的工作，降低了客戶的成本?！痹贏S5的變化中，對于降低審計成本最重要的修訂是允許外部審計師利用其他人的工作成果。一項調(diào)查顯示，超過60％的企業(yè)（不包括尚未執(zhí)行的小型企業(yè)）在審計師以外聘請咨詢顧問來幫助達到404條款的要求。管理層聘請外部咨詢顧問的動機和審計師對這些動機的理解在審計師決定是否依賴這種特殊的審計證據(jù)時起到重要的作用。

　　Blaskovich & Mintehik（2007）對這個問題進行了調(diào)查，對“四大”中的兩家的92位審計師發(fā)放調(diào)查問卷，兩家事務所的審計師分別為34位和58位。其中，合伙人占3％，高級經(jīng)理占14％，管理者占13％。高級人員占38％，普通員工占32％，75％的人持有CPA證書。調(diào)查結果表明，62％的人認為聘請外部咨詢顧問表明了管理層評估內(nèi)部控制狀況達到合法的意圖，只有13％的人認為是一個企業(yè)內(nèi)部控制存在問題的信號，另外的25％保持中立的觀點。74％的人反對或者強烈反對管理當局聘請外部咨詢顧問從審計師的視角出發(fā)來掩蓋潛在的缺陷的觀點。總之，結果表明外部審計師把企業(yè)聘請外部咨詢顧問看成是一個積極的反應，并且會減少外部審計師的審計風險和審計時間。

　　PCAOB明確表示在執(zhí)行新準則的時候減少審計時間是一個目標，無論審計師采用咨詢顧問的工作成果還是采用內(nèi)部審計師的工作成果，都會實現(xiàn)AS5減少審計時間的目標。

　　四、啟示

　　從AS5修改的內(nèi)容和預期執(zhí)行效果調(diào)查可以得到以下幾點啟示。

　　1、AS5提高了企業(yè)遵從SOX404條款的效果和效率。程序的簡化，審計時間的減少和合規(guī)成本的降低，將更有利于SOX404的有效執(zhí)行。企業(yè)遵從SOX的合規(guī)成本降低，也會增加美國資本市場對外國公司赴美國上市的吸引力。

　　2、AS5引導企業(yè)從風險的角度看內(nèi)部控制。在制定評估程序時，采取由上而下風險評估的方法，著重于未有效實施內(nèi)部控制而導致財務報告有重大錯誤的風險，從了解財務報告的固有風險開始，首先找出重大風險科目及其組成項目、相關交易的種類。并評估實體層面控制，然后設計交易層面控制，搜集相關風險已適當控制的證據(jù)，以取得評估的有效性。

　　風險管理和內(nèi)部控制是一個硬幣的兩個方面，執(zhí)行SOX404不是要增加更多的控制過程。使企業(yè)被眾多復雜繁瑣的控制掩埋，而是應該把內(nèi)部控制放在風險管理中來考慮，保證控制能夠有效實施。

　　在國際會計師聯(lián)合會（International Federation of Accountants，IFAC）的企業(yè)職業(yè)會計師委員會（Profes-sional Accountants in Business Committee，PAIB）計劃在2008年發(fā)布的原則導向內(nèi)部控制實務指南中也特別強調(diào)從風險的角度看內(nèi)部控制。2007年8月，PAIB委員會發(fā)布了一項新的研究報告——《從風險角度看內(nèi)部控制》（Internal Control From a Risk—Based Perspective）。這份報告主要由資深財經(jīng)記者Robert Bruce對10名商界的高級職業(yè)會計師的訪談構成，訪談涉及這些會計師在建立有效的內(nèi)控系統(tǒng)和風險管理之間的聯(lián)系方面豐富的經(jīng)驗和深入的見解。構成了內(nèi)部控制實務指南的制定基礎。

　　3、AS5的執(zhí)行有利于內(nèi)部控制與企業(yè)目標相結合。AS5不僅能降低合規(guī)成本，而且如果能恰當?shù)乩?，也為把企業(yè)的合規(guī)努力和企業(yè)的目標聯(lián)系起來提供了一個框架。企業(yè)內(nèi)部控制的有效設計和執(zhí)行。以及識別可能對企業(yè)造成潛在影響的事項并在其風險偏好范圍內(nèi)管理風險，都是為企業(yè)目標的實現(xiàn)提供合理保證的過程。

　　4、在我國企業(yè)的應對策略中，應該加強從風險管理的角度設計和完善內(nèi)部控制的觀念，在設計和完善的過程中，充分地考慮企業(yè)的戰(zhàn)略目標和風險管理的需要，保證內(nèi)部控制被有效地設計并執(zhí)行。