美国关于内部控制审计准则的改变(2)

　　检验实体层面的控制，首先要保证内部控制的评价按照最普遍和最重要的顺序排序和检验，然后再到最细节和详细划分的地方。目的是集中精力检验关键的控制，借此来避免强调次级控制。减少一些过程层面控制的测试范围对于降低成本的影响是有显著效果的（dramatie）。
　　在采用由上而下的方法以前，通常都在交易或者过程层面控制执行广泛的测试，而不考虑在更高的层面上是否存在有效的控制。更高层面的控制包括一些项目，比如回顾、差异分析、审批和其他的监控方式。在很多情况下，对更高层次控制进行恰当的确认和适当的考虑能够减少，甚至完全消除过程层面控制的测试。
　　（2）充分利用风险导向的方法（Leveraging Risk—based Methodology）
　　风险评估不仅局限于辨别数量上重要的账户，也可以评价所有和财务报告相关的控制。可以定量的风险需要和账户、过程和控制相关联，来评价相应的舞弊风险、IT独立性、对管理人员越权（managementoverride）的敏感性。这个评估的结果会使关注点集中在合规项目和相关高风险领域的测试，同时显著地减少测试工作和控制失败的机会。通过评价和区分风险，审计师减少了低风险控制的测试，集中精力发现和评估承担着风险的项目。
　　AS5也同样要求在IT控制中使用风险导向的方法。IT风险是辨认和分析财务报告风险的拓展。通过把IT风险评估作为财务风险评估的一个组成部分，企业能够减少花费在设计和应用信息技术控制上的资本支出的金额。在财务报告风险评估的过程中，通过辨别和重要的IT应用相关的风险将会保证时间和资源的合理使用。IT控制通常是最有效率和效果的控制手段，因为一旦被应用就不会被改变。
　　（3）使用其他人工作成果的能力（use the work of others）
　　PCAOB不再推荐使用准则《在审计中考虑和使用其他人的工作》（Considering and Using the Work of Oth-ers in an Audit）。相反，PCAOB的人员把这个准则中重要的方面整合到AS5中，鼓励审计师使用公司员工和内部审计师的工作成果。现行的AU322条款依然有效。
　　在评价企业的控制的时候，AS5允许外部审计师依赖其他人的工作成果。这个新的使用范围使得公司能够允许外部审计师依赖已经完成的交易测试和已经被管理层应用并且经过内部审计人员检验的控制，从而减少不必要的程序。
　　外部审计师在确定是否依赖其他人工作的时候要考虑三个因素：被测试事项的性质；执行测试人员的专业胜任能力；执行测试人员的客观性。
　　考虑到外部审计的功能和责任，内部审计的过程越精确，外部审计师就越会信赖内部审计，执行更窄、更有效的测试范围，从而节省了劳动和成本并且同样保证了有效。
　　AS5使用其他人工作的范围包括分享管理当局、内部审计师和外部审计师所掌握的情况，极大地提高了效率。因此，有效地执行AS5的合规策略时，在可能的情况下，鼓励内外审计师的协作很重要。
　　（4）豁免了审计师对管理层内部控制评价程序的恰当性发表意见的要求
　　这可以大大减少审计时间，降低审计成本。PCAOB的人员声明在他们编写最终准则的过程中，非常注意区分审计师和管理当局在角色和责任上的差异，管理当局的评估和审计师的评价是相互补充的，并且必须都以加强财务报告的可靠性的思想来执行。因此，管理当局日常的与内部控制的互动使他的评估过程不同于审计师，审计师对于企业的熟悉程度远不如管理当局，也不会像管理当局那样经常地、有规律地与内部控制互动。
　　（5）审计师可以根据企业规模和复杂性调整审计工作
　　AS5整合了之前关于根据规模和复杂性调整审计工作的讨论，去掉了AS2中关于审计工作规模的单独的部分。PCAOB的人员也指出未来的准则。他们计划放松对于小企业和较少复杂性企业的内部控制审计的审计工作规模，这使得审计师可以根据每个公司的实际情况来调整审计工作。