摘要:近年来,国内外相继发生知名企业因未遵守法律法规(NOCLAR)而被处以重罚的事件。因在行业甚至在所在经济体中的重大影响,这些企业的NOCLAR行为使得其自身财务表现和信誉受到负面影响,更损害公众利益,甚至引发经济更大范围的不良影响,而社会公众对审计师在财务报表审计中发挥识别与应对NOCLAR行为作用的期望前所未有地提高。本文主要对国际和我国NOCLAR审计准则的历史变迁进行回顾,分析其所面临的重大挑战,进而梳理英美两国审计准则制定机构在财务报表审计中对NOCLAR行为所持态度以及应对思路等方面拟议的修改,讨论准则修订背后的准则发展动向和意义。在此基础上,结合我国经济发展的阶段和特征,分别从审计师、企业、监管机构等角度提出若干应对策略建议。 |
原载《财会月刊》2024年第5期
一、 引言
2022年7月,国家互联网信息办公室(国家网信办)依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司(简称“滴滴公司”)开出人民币80.26亿元的巨额罚款。
滴滴公司①于2012年推出其打车应用软件“嘀嘀打车”(2014年和2015年先后更名为“滴滴打车”和 “滴滴出行”),在全国范围内迅速普及移动出行概念。2021年6月,滴滴公司在美国纽约证券交易所挂牌上市。作为国内网约车第一大平台,截至2023年3月31日滴滴公司在全球拥有5.87亿年活跃用户②。在长期业务开展中,滴滴公司通过大数据、 云计算等新兴技术,收集了海量的公民个人信息以及全国城乡高清测绘数据。掌握这些数据,不仅使滴滴公司将公民个人信息用于商业用途变得可能,也为其详尽掌握公民群体行动轨迹和规律,以及全国地理道路数据创造了条件(韩洪灵等,2021)。2015年滴滴公司成立“机器学习研究院”③,进行中国出行产业发展大数据和深度学习领域的研究。也许是为了显示其在数据收集和研究方面的能力,该研究院统计并对外公布了2015年某具体日期24小时内国家各部委人员的出行情况以及研究院对该信息所透露规律的分析。将特定个人的行动轨迹暴露于众目睽睽之下,这无疑背离了研究院建立时致力于最大化利用交通运力、 缓解城市拥堵、 为用户设计智能出行方案的初衷,留下了巨大的数据安全隐患。
2022年7月初,国家网信办发布公告开始对滴滴公司的网络安全实施审查,并勒令“滴滴出行”在公司接受审查期间停止新用户注册。国家网信办旋即发布关于下架“滴滴出行”等25款公司应用软件的决定。同月下旬,国家网信办宣布处罚结果,并严厉指出:滴滴公司存在严重影响国家安全的数据处理活动,以及恶意逃避监管等违反法律法规的行为,给国家关键信息基础设施安全和数据安全带来极为严重的安全风险隐患。毫无疑问,处罚决定给滴滴公司的正常经营造成了极大的负面冲击。除了本文开头提及的罚款,对于“滴滴出行”新用户注册的禁令,直到2023年1月才经国家网信办批准得以恢复,这些不仅对滴滴公司当年度财务业绩产生了不利后果,也会使公司因为信誉受损而在更长的时间里受到负面影响。
滴滴公司的案例绝非个例,早在2021年4月阿里巴巴集团控股有限公司就因违反《反垄断法》构成滥用市场支配地位被国家市场监督管理总局处以人民币182.28亿元的罚款。这一处罚刷新了我国反垄断史上最大罚单的记录。视线转向国外,2017年谷歌母公司Alphabet因其对在线购物搜索服务的垄断而被欧盟监管机构处以24.2亿欧元的罚款。仅隔一年,Alphabet又因凭借其在搜索引擎方面的主导地位排挤竞争对手造成垄断而被欧盟监管机构处以创纪录的43.4亿欧元罚款。这两笔处罚至今在世界反垄断史上位列前两名。这些事件引起社会各界广泛而激烈的讨论,也引起人们对于审计师在财务报表审计中对法律法规的考虑应当负有怎样的责任以及在识别未遵守法律法规(NOCLAR,Non-compliance with Laws and Regulations)行为方面应当发挥怎样的作用的争论与关注。审计师的职责是通过独立出具准确和有价值的审计报告来保护投资人的合理利益。履行这一神圣职责最根本的要求在于审计师应合理保证经审计的财务报表不存在因舞弊和错误导致的重大错报,这自然也应当包括对因为NOCLAR行为引起财务报表重大错报的考虑。为此,各国各地区的审计准则制定机构在其准则体系发展和完善过程中,纷纷出台NOCLAR审计准则,旨在规范审计师在财务报表审计中的责任并指导其具体行为。伴随着准则的修订,NOCLAR的定义也不断得到更新。纵观过去十多年对NOCLAR审计准则的修订,准则制定机构在NOCLAR实施人、 实施动机以及具体表现等方面都做了一定的补充和修正,使其表达更为准确严谨。
在社会和经济的发展过程中,任何实体没有也不可能在一个所谓“真空”的环境下开展其活动。所有实体的生存和发展都无法脱离特定的法律环境,受其保护,亦被其制约。毫不夸张地说,法律法规贯穿于每一个实体存续的全程之中。随着法律体系持续向纵深发展,实体在其生产经营过程中所要面对和考虑的法律法规框架呈现出日渐复杂的特征,越来越多的实体暴露在与NOCLAR有关的风险与不确定性之中。特别是疫情后的缓慢复苏和经济下行压力引起的不利局面,一方面让实体异常脆弱和缺乏“安全感”,变得更加无力承受NOCLAR行为带来的负面影响以及由此对其财务表现造成的消极后果。而另一方面,一部分实体选择不遵守法律法规以谋求不当得利的投机性倾向却在上升。利益相关方由此提高了对审计师的期望,他们比以往更希望审计师能在财务报表审计中对实体NOCLAR行为的识别发挥积极作用。作为资本市场的“守门人”,及时给出准确和完整的风险提示本是审计师的职责与使命。然而,由于法律法规原本就有着较强的专业壁垒,加之其又始终处于变化之中,使得现实中审计师要履行好这一使命并非易事。
2021年7月,国务院办公厅发布《关于进一步规范财务审计秩序促进注册会计师行业健康发展的意见》(国办发〔2021〕30号),将全面提升注册会计师行业服务国家建设能力设定为终极目标。该文件的发布,显示出党和国家对于频频出现的因实体NOCLAR行为给公众造成损失进而给经济发展造成重创的情况给予的高度关注,也彰显出国家坚决纠正NOCLAR行为的决心与魄力。
切实履行财务报表审计中对NOCLAR行为应有的审计责任是国家经济建设、 公众稳健投资、 行业健康发展对审计师提出的要求。本文主要通过回顾近年来《国际审计准则第250号——财务报表审计中对法律法规的考虑》(ISA 250)的两次演进,辅以我国在这一审计准则上的变迁,分析NOCLAR审计准则所面临的重大挑战,进而梳理英美两国审计准则制定机构在财务报表审计中对NOCLAR行为所持态度以及应对思路等方面拟议的修改,讨论准则修订背后的准则发展动向和意义。在此基础上,结合我国经济发展的阶段和特征,提出应对策略建议。
二、 NOCLAR审计准则的演进与历史回顾
尽管各国的审计准则制定机构先后出台了本国的NOCLAR审计准则,并根据自身政治、 法律和经济环境的特点加以修订甚至是突破。但ISA 250仍是绝大多数机构制定审计准则时使用的蓝本,是当今全球范围内被最多国家和地区所认可和使用的准则。
1. ISA 250(2009年)。2004年国际审计与鉴证准则理事会(IAASB)开始实施一项全面方案,即IAASB的明晰化改革(clarity project)。该项目的总体目标是通过提高国际审计准则的明晰程度与可理解性,鼓励审计准则在全球范围内得到一致应用,并最终提高审计质量。IAASB重新起草了ISA 250[(ISA 250(2009年)],并在2008年3月的会议上批准,决定将这份全新结构的准则自2009年起投入应用(IAASB,2008)。ISA 250(2009年)在若干方面对原准则予以澄清,以便其更具可应用性。事实上,ISA 250(2009年)也基本构建起现行所使用ISA 250的雏形。在重新起草ISA 250的过程中,IAASB清楚认识到要让准则实现被更好应用的目标,必须建立在对准则所指法律法规拥有正确和完整的认识与理解之上。在此认知基础上,IAASB做了以下修改:
(1)更清晰地进行分类。原准则将法律法规按照对财务报表的影响分为“具有直接影响”和“具有间接影响”。由于人们对“直接”和“间接”的理解与定义可能存在差异,可能无法涵盖完整的法律法规,造成“真空”地带。因此,ISA 250(2009年)将原来的“直接”和“间接”修改为“直接”和“不直接”,这就弥合了原有措辞在法律法规识别环节可能造成的潜在遗漏。另外,ISA 250(2009年)通过举例分别用以解释两种类型的法律法规,增强了准则的可理解性。
(2)建立分类与责任之间的关联。虽然准则就审计师对不同类型法律法规提出了不同的要求,但原准则并未在不同类型法律法规和审计师责任之间建立明确的关联,这就增加了准则被准确应用的难度。ISA 250(2009年)在审计师责任相关段落,在每一类型法律法规和准则为其设定的审计师责任之间建立起明确的关联。但同时,重新起草后的准则也明确表达了对于审计师应当在整个审计过程中保持职业怀疑,以及管理层和治理层(如适用)应就其所有知悉的且在编制财务报表时应当考虑影响的NOCLAR行为或怀疑存在的NOCLAR行为,已向审计师进行披露获取书面声明的责任等,不受法律法规类型的影响。这样就使得审计师的“专属责任”和“一般责任”条分缕析,一目了然。
(3)增加审计师目标。ISA 250(2009年)新增审计师目标专门段落,明确审计师的目标:对决定财务报表中的重大金额和披露有直接影响的法律法规,应获取有关被审计单位遵守该等法律法规充分、 适当的审计证据;对其他法律法规实施特定的审计程序,以识别可能对财务报表产生重大影响的未遵守这些法律法规的行为;恰当应对在审计过程中识别出的或怀疑存在的NOCLAR行为。这一新增段落,在厘清法律法规类型与审计师责任关系的基础上,又将审计师责任与审计师目标进行了统一。值得注意的是,与准则中向管理层和治理层(如适用)就其所有知悉的且在编制财务报表时应当考虑影响的NOCLAR行为或怀疑存在的NOCLAR行为已向审计师进行披露获取书面声明的要求不同,审计师目标段落并未拘泥于实体“所有知悉的”NOCLAR行为,而是对被审计单位适用法律法规框架下在审计过程中识别出的或怀疑存在的全部NOCLAR行为提出要求。这就避免了可能对审计工作范围产生限制,更有利于审计师在工作中“施展拳脚”,当然对审计师而言也意味着更高的目标。
(4)澄清管理层责任。原准则在阐述管理层责任时提到管理层有责任识别NOCLAR行为,这似乎意味着管理层对于所有NOCLAR行为都负有识别责任。IAASB考虑了反馈者提出的顾虑——对管理层责任的表达并不现实。因此,IAASB在重新起草准则时决定做出澄清,明确管理层的责任是保证被审计单位按照法律法规的规定开展经营活动(包括遵守那些决定财务报表中的金额和披露的法律法规)。这一修改,使得管理层责任与审计师责任所指向的法律法规实现统一,为审计师在“同频”环境下实施管理层询问并开展后续工作提供了可能。
诚然,ISA 250(2009年)最初只是出于配合明晰化改革的目的在结构方面对准则做出了调整。但其对以上这些重要甚至关乎原则的问题所做的澄清与修改,无不显示出IAASB的深思熟虑,这些都为准则的使用提供了更清晰的方向。
2. ISA 250(2017年)。2010年国际会计师职业道德准则理事会(IESBA)开始着手改进IESBA准则,为包括审计师在内的专业人员如何考虑法律法规并识别NOCLAR或疑似NOCLAR行为提供指导,以帮助专业人员决定如何更好地为公众利益行事。历经数年的持续讨论和研究以及先后两次发布征求意见稿广泛听取反馈意见,IESBA在2016年4月批准了针对NOCLAR行为的IESBA准则修订,并决定自2017年7月起生效。修订后的IESBA准则针对NOCLAR行为制定了一套较为完整的工作框架,涵盖对识别、 评价、 应对和沟通等诸环节的考虑与行动。在IESBA准则的修订过程中,IAASB始终关注该进程并在其会议上就所了解到的拟议修订及时展开讨论,以保持与IESBA的同步,并在2015年6月正式启动对ISA 250的修订,以解决IESBA准则在完成更新并实施后与ISA 250以及其他ISAs在有关NOCLAR的识别和应对方面将要出现或预计出现的不一致,以避免利益相关方在准则应用过程中可能出现的质疑与困惑。对于受IESBA准则以外其他道德准则约束的审计师,IAASB认为应保留其适用ISA 250的可能性以及施行ISA 250时必要的灵活性。因此,IAASB分析后得出结论:本轮ISA 250修订仅涉及有限的修改,且修订后的ISA 250不会重复IESBA准则的全部要求(IAASB, 2016)。概括来说,ISA 250(2017年)有如下变化:
(1)修改NOCLAR定义。为与IESBA准则保持一致,IAASB修改了NOCLAR定义的相关措辞。原准则对NOCLAR的定义为“被审计单位进行的或以被审计单位名义进行的NOCLAR交易,或者治理层、 管理层或员工代表被审计单位进行的NOCLAR交易”,修改后的定义变为“被审计单位、 治理层、 管理层,或者为被审计单位工作或受其指使的其他人,有意或无意违背除适用的财务报告编制基础以外的现行法律法规的行为”。首先,一个实质性的改变就是,至此NOCLAR不再局限于被审计单位内部人员。这一修改更符合现实可能存在的情况,使其定义更加全面和完整,例如承包商参与NOCLAR行为。其次,删除了原定义中的“交易”一词。IAASB认同IESBA的理解,即引起NOCLAR行为的不一定也不必须是某项“交易”,很可能源自实体的某种作为或不作为。这一修改较之以往也更为准确。
(2)明确对外报告义务。原准则规定如果识别出或怀疑存在NOCLAR行为,审计师应决定其是否有责任向实体外的各方报告这些行为。但具体依照何种标准决定,准则并没有进一步展开。这就使这条规定在实际应用时“大打折扣”。修订后的准则明确了应当考虑法律法规或相关职业道德要求来确定是否需要向适当外部机构进行报告;同时,也澄清了不同的法律法规或职业道德对于是否向外部机构报告NOCLAR存在一定的差异性。审计师应具体情况具体分析,并兼顾保密职责。
(3)增强文档记录要求。IAASB注意到ISA 250与IESBA准则在NOCLAR记录要求方面存在的差异,并承认其落后于IESBA。为弥补这种差距,ISA 250(2017年)就审计工作底稿对NOCLAR的记录增加了新的要求。原准则只要求就所识别或怀疑存在的NOCLAR行为以及为此与管理层等进行讨论的结果予以记录。而修订后的准则扩大了记录的范围,除了原有要求,审计师还需要将所识别或怀疑存在的NOCLAR行为执行的程序、 做出的重大职业判断以及基于这些得到的结论等详细记录下来。同时,除了增强对审计师自身行为和考虑的记录要求,ISA 250(2017年)的底稿记录要求还延伸到被审计单位的行为,例如要求记录管理层和治理层(如适用)如何应对这些NOCLAR事项。
(4)与IESBA准则的一致性修改。如前所述,IAASB并不打算刻板重复IESBA准则的全部要求,因为一些适用ISAs的审计在道德准则方面适用其他准则而非受IESBA准则约束,如果要求其满足IESBA准则的规定,既不现实也无必要。IAASB仅就以下两个事项在ISA 250(2017年)中做了全新补充:一是增加全新段落,强调审计师有可能根据法律法规或相关道德要求对已识别或怀疑存在的NOCLAR行为负有额外责任;二是要求与其他注册会计师沟通识别出的或怀疑存在的NOCLAR行为。IESBA准则就集团审计中与NOCLAR有关的内容进行了考虑并纳入修改,但IAASB决定将这部分内容留待其日后对ISA 600④进行修改时再予以考虑。IAASB唯独增加上述这一项内容,用以弥合ISAs与IESBA准则在集团审计NOCLAR沟通要求方面存在的缝隙,因为可能存在一些特殊情况,例如与不属于集团财务报表审计范围但需要进行法定审计的组成部分的审计师进行沟通,未被ISA 600涵盖,因此非常有必要在ISA 250中进行明确。这些正是对ISA 250与IESBA准则“和而不同”的必要补充。
(5)其他。在若干段落增加“除非法律法规禁止”限定,提请审计师注意,在某些情况下,与管理层或治理层就已识别或怀疑存在的NOCLAR行为进行沟通,可能会受到法律法规的限制或禁止。例如,法律法规可能特别禁止或将阻碍有关当局对实际或疑似NOCLAR进行调查或其他行为。这些修订让准则表述更加严谨。
1. 《独立审计具体准则第18号——违反法规行为》与《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》。20世纪90年代,我国经济发展进入快车道。为了规范注册会计师执业行为,提高其执业质量,维护社会公共利益,促进社会主义市场经济朝着更为健康有序的方向发展,财政部分批印发了由中国注册会计师协会拟订的《中国注册会计师独立审计准则》⑤。1999年2月《独立审计具体准则第18号——违反法规行为》(简称“具体准则第18号”)发布,并决定于1999年7月1日起施行。这是我国首次发布与违反法规相关的审计准则,为尽快完成我国审计准则体系的搭建起到了关键作用。同时,由于这部准则规定了审计师在会计报表审计中对可能会对会计报表产生重大影响的违反法规行为应负的责任,对当时我国经济发展形势下的审计师工作起到了规范作用。
经过多年实践和不断总结,2006年财政部印发了由中国注册会计师协会拟定的《中国注册会计师审计准则第1142号——财务报表审计中对法律法规的考虑》(简称“审计准则第1142号”),于次年元旦起施行。这部准则与具体准则第18号相比,有着一系列改变:
(1)一致性修改。审计准则第1142号做了若干一致性修改:一是将“会计报表审计”改为“财务报表审计”。独立审计各项具体准则皆使用“会计报表审计”一词,其实质指的就是财务报表审计。对此,2007年颁布的26项审计准则统一修改为“财务报表审计”,修改后的表达与国际准则保持一致,使准则编制目的在表达上更为准确。二是规定“本准则不适用于注册会计师接受专项委托审计并报告被审计单位遵守特定法律法规的业务”。相较于具体准则第18号的规定“注册会计师执行会计报表审计以外的其他审计业务,除有特定要求者外,应当参照本准则办理”,此修改明确了准则不适用的情况,收窄了准则的适用范围,从而减轻了对审计师的约束。三是具体准则第18号对“法规”给出定义,而审计准则第1142号则对“违反法规行为”做出定义。参考当时国际主流审计准则的做法,例如ISA对NOCLAR进行定义,而美国准则则是对illegal acts进行定义,这项修改也是我国准则与国际准则趋同的一个表现。
(2)加强审计师责任。对比具体准则第18号,审计准则第1142号对审计师责任的要求有所加强:一是具体准则第18号强调审计师应充分关注可能对会计报表产生重大影响的违反法规行为,而审计准则第1142号则强调审计师应充分关注被审计单位违反法规行为可能对财务报表产生的重大影响。仔细读来,两者侧重点不同。前者关心违反法规行为,仅仅是对事实的辨认;而后者关注的则是违反法规行为带来的重大影响,需要更多的思考与职业判断。虽然这提高了对审计师的要求,但对报表使用者来说却更有意义。二是具体准则第18号要求审计师应利用已掌握的信息“初步了解”被审计单位适用的法规以及对法规的遵守情况。在审计准则第1142号中,这一要求被强化为“总体了解”。为了实现“总体了解”,审计准则第1142号进一步明确指出,审计师应当对在被审计单位行业状况、 法律环境与监管环境以及其他外部因素的了解中获知的信息加以充分考虑与利用;不同于具体准则第18号要求审计师询问被审计单位是否遵守了法规,审计准则第1142号要求审计师了解被审计单位如何遵守法律法规。这就使审计师的工作从仅关心结果向关心过程转变,融入更多的职业判断,从而得到适当的结论。三是审计准则第1142号在对违反法规行为的报告方面,新增了向监管机构对外报告的考虑。这既增强了审计师的报告责任,亦是对审计师的一种保护,审计师并非孤军奋战,在必要时可向外部监管机构寻求帮助与支持。
(3)提高准则的可操作性。准则在夯实审计师责任的同时,也在努力提高表达的清晰度以及操作的指导性:一是在获得总体了解后,审计师应实施的进一步审计程序从具体准则第18号的“检查被审计单位与政府有关部门和法律顾问的往来函件”修改为审计准则第1142号的“检查被审计单位与许可证颁发机构或监管机构的往来函件”。这一修改明确了检查的具体对象,提高了审计师的可操作性。二是当发现可能存在违反法规行为时,审计师从具体准则第18号要求的“了解该行为的性质及原因”变为审计准则第1142号的“了解该行为的性质及发生的环境”。违反法规行为的发生往往有着深层次的主观动因,很可能超出了审计师的责任范围,甚至超出了审计师的理解能力,了解其发生所处的客观环境有助于审计师触类旁通地理解该行为对财务报表产生的其他潜在影响,也更具现实可能性。三是审计准则第1142号保留了具体准则第18号关于当管理层不能提供令人满意的信息证明其遵守了法规时审计师进行必要法律咨询的要求,并对该要求进行了细化讲解。应首先向被审计单位的律师咨询,然后才考虑向其所在会计师事务所的律师进行咨询,这就使得这条要求更明确和具体。四是审计准则第1142号强调当怀疑被审计单位存在违反法规行为而又无法获取充分信息时,应考虑对审计报告的影响。必要时,也要考虑对管理层声明可靠性和风险评估结果的影响。这就比具体准则第18号仅笼统提及“应当考虑其对审计的影响”有方向得多。
(4)保护审计师正当利益。准则并没有一味给审计师提要求,一些修改细节也彰显了准则制定机构为注册会计师营造良好执业环境的愿望,起到了保护审计师的作用:一是审计准则第1142号指出审计师无法完全保证识别所有违反法规行为的原因,对具体准则第18号仅提及内部控制固有局限性这一条制约因素做了补充,增加了例如“有些法规主要与被审计单位经营活动相关,不能被会计信息系统所反映”这样的客观制约因素,或是例如“违反法规行为可能涉及故意隐瞒的行为”这样的主观制约因素。即从原先的内部控制固有局限性扩大到审计的固有局限性,更全面和客观地看待这一问题。对审计师更加“公道”,并不是为审计师不能勤勉尽责寻找理由,而是更有利于审计师心无旁骛地“放手一搏”。二是审计准则第1142号在继续明确防止和发现违反法规行为是被审计单位管理层责任的基础上,新增八条举例规范管理层通常可以执行的政策和程序,使管理层责任变得具体,从而对管理层产生真正有力的约束。从某种程度上来说,这也是对审计师的一种变相保护。
综上,审计准则第1142号增强了准则的易理解性和可操作性,既满足了新形势下审计师的使用需求,也体现了我国准则与国际准则趋同的渴望及趋势。
2. 审计准则第1142号的后续修订。紧随ISA 250的发展脚步,审计准则第1142号又经历了若干次修订。2010年,吸收借鉴国际审计准则明晰化改革的成果,财政部对审计准则第1142号进行了修订,在结构和内容上与2009年生效的ISA 250保持了完全的一致。相对于2006年的审计准则第1142号,最明显的改变是将实体适用的法律法规框架按照对财务报表有无直接影响分成两类,并分别规定不同的审计师责任与审计目标,由此形成现行审计准则第1142号的逻辑体系。而2019年的修订是对2017年生效的ISA 250所做的一致性修改。前文已对ISA 250(2017年)做过分析,此处不再赘述。最近一次修订发生在2022年末,仅是由审计准则第1211号的更名引起,没有任何实质性修改。值得注意的是,现行审计准则第1142号与现行ISA 250存在一处差异。我国准则规定,“如果怀疑NOCLAR行为涉及管理层或治理层,但又不存在更高层级的机构,或者注册会计师认为被审计单位可能不会对通报做出反应,或者注册会计师不能确定向谁报告时,应当考虑是否需要向外部监管机构(如有)通报”,而ISA 250的对外通报义务仅在法律法规或相关职业道德要求时才需要。我国准则在这一点上的要求高于国际准则,体现了维护公众利益的考虑。
三、 NOCLAR审计准则面临的重大挑战
近年来世界各国各地区的法律法规环境和体系都在经历并将持续经历快速的变革,以应对社会和经济发展的需要。一方面新颁布的法律法规层出不穷,另一方面由于NOCLAR行为受到处罚的重大案件频繁发生且有规模变大的趋势。距离ISA 250最近一次修订转眼已过去多年,在审计实务中,NOCLAR审计准则面临着多个方面的重大挑战。
1. 审计师可以完整识别法律法规框架吗?现行审计准则指出,被审计单位需要遵守的所有法律法规,构成注册会计师在财务报表审计中需要考虑的法律法规框架,而审计师应当对该法律法规框架进行总体了解。因此,审计师按照准则的要求在财务报表审计中对相关法律法规进行考虑,必须首先建立在其能够完整识别实体应遵守的法律法规框架这个前提之上。遗憾的是,面对法律体系日益庞大、 被审计单位经营所处环境日益复杂的客观现状,现行审计准则未能提供一个有效的机制来帮助审计师识别那些对财务报表可能产生重大影响的法律法规。虽然现行准则试图与风险评估相关审计准则进行关联,但截至目前这种关联仅停留在表面,不能给予审计师识别法律法规框架的有效指引,这就导致在源头上对审计师更好地履行NOCLAR审计准则设置了障碍。
2. 审计师可以对所识别的法律法规正确分类吗?放眼国际现行的主流NOCLAR审计准则,大抵都建立在同一个重要假设之上,即财务报表审计中需要考虑的法律法规可以被分成两个不同的类型,而审计师负有不同的责任:对于对财务报表重大金额和披露有直接影响的法律法规,审计师需要获取充分适当的审计证据,以对其得到遵守给出合理保证;而对于遵守将保障实体经营和存续、 未遵守将招致罚款等后果的其他法律法规,审计师只需要执行非常有限的特定程序。由于法律法规的专业性和复杂性,审计师对于法律法规本就有着一种“隔行如隔山”的畏惧。从对实务的观察也可以发现,审计师更“习惯”关注和“擅长”处理那些对财务报表金额和披露有直接影响的法律法规,例如税法。然而大量的案例又表明,审计师仅能识别这类法律法规并对其遵守与否做出准确判断已然不能满足法律环境不断变化下公众对审计师提出的要求。案例也同时揭示出,违反其他法律法规很可能带来更大的财务报表影响,不容审计师小觑。这就可能产生新的问题,既然不同类型法律法规之下审计师面临不同的责任要求,是否会令审计师出现将更多法律法规归类到其他法律法规从而减轻自身责任的倾向呢?审计师真的可以对所识别的法律法规正确分类吗?可惜的是,现行准则也没能在审计师理解实体不同法律法规应有的深度与广度方面给予指导,这就使得审计师在客观能力和主观意识两方面都得不到长足的提高。
3. 审计师对相关法律法规执行充分适当的审计程序了吗?如果仔细阅读就不难发现,NOCLAR审计准则之所以和同一框架体系下的其他审计准则相比显得格格不入,是因为其他准则大都建立在基于风险导向的审计方法上,而NOCLAR审计准则还基本保持着高度程序化的特征。当程序要求作为基于风险审计方法的一部分或补充时,有助于提高审计质量。然而,如前文提到的那样,现行NOCLAR审计准则虽尝试了与风险评估相关审计准则进行关联,但在风险评估程序方面,其相关规定可谓浅尝辄止。例如,了解实体内部控制体系本是风险评估程序的重要方面之一。然而在现行NOCLAR审计准则里,有关识别与应对NOCLAR行为的管理层流程以及实体是否存在相关控制防止和发现并纠正NOCLAR行为这两个原本最为基础、 能够为审计师识别因NOCLAR或疑似NOCLAR行为引起的财务报表重大错报风险获取审计证据的重要环节,准则却“惜字如金”。通篇阅读现行NOCLAR审计准则发现:对于对财务报表重大金额和披露有直接影响的法律法规,准则虽然规定了审计师应获取充分、 适当的审计证据,但没有在程序执行方面对其做出任何具体或明确的要求,默认完全包含在其他为得出审计结论发表审计意见所执行的程序之中;对于其他法律法规,也只是规定必须执行非常有限的特定程序。这些规定无法与审计师责任和目标建立起清晰的逻辑联系,也不能对审计师的工作给予明确和充分的指导,因此从根本上无法帮助审计师为考虑NOCLAR或疑似NOCLAR行为对财务报表的影响提供合适的审计证据,最终无益于审计师责任的履行和审计目标的实现。
在实务中,如果审计方法没有基于风险导向,则审计师不能完整识别由于NOCLAR而导致财务报表重大错报的风险会大大增加。这是因为,在机械化执行程序以完成任务的过程中,审计师的视野会受到极大限制,无法像在之前基于风险导向的审计下那样根据实际情况充分进行职业判断并灵活调整程序,以便在特定情况下选择最为有效的审计程序。可以想象,过于程序化使得审计师就像在僵硬地遵循一个“法律法规”,让审计失去了“灵魂”。同时,也可能让审计师变得一味以是否完成规定的程序作为是否实现审计目标的判断依据,审计师背离准则初衷的风险加剧。而如果能够以风险为导向,则审计师有机会提高对实体适用法律法规框架“总体了解”的现有水平,辨别出真正值得其关注的法律法规。
4. 社会公众对审计师责任的期望被满足了吗?2019年特许公认会计师公会(ACCA)对其11000名来自世界各国的会员进行调查并发布《在审计中弥合期望差距》报告,提出了审计责任期望差距的三维度分析框架(ACCA, 2019)。ACCA认为,审计责任的期望差距由认知差距、 执行差距和演进差距共同构成。认知差距源自公众对审计师在财务报表审计中应扮演角色以及对审计准则的具体要求存在误解,属于审计需求方的认知偏差。执行差距则源于审计师由于职业道德、 履职能力和执业水平等原因导致审计供给质量存在缺陷并由此造成期望差距(黄世忠,2021)。第三层差距则为演进差距。
从前文对ISA 250和审计准则第1142号的回顾中可以看出,准则的每一次精进都源于社会公众对审计师责任以及具体履行审计师责任的方式所提出的更为强化和细化的要求。社会、 经济和法律等环境的变化引起公共需求不断进阶,公众对审计师提出更为严格的要求;但由于审计的固有局限性以及环境高速发展的同时又呈现出的复杂特征,使NOCLAR审计准则表现得无从适应并反向限制了审计师满足公共需求的程度和能力,因此审计供给滞后于审计需求使得演进差距日趋扩大。这就对审计准则在明确和加大审计师对法律法规进行考虑的审计责任方面提出新的要求。
随着法律体系的复杂化,审计师需要在财务报表审计中考虑的法律法规框架在扩大,但因其大部分属于或被认为属于其他法律法规,审计师对这些新增的法律法规应负的责任几乎保持不变。社会公众对此表达出不解,甚至是不满:既然这些法律法规亦可能对财务报表产生重大影响,那么为什么审计师不需要对它获得充分适当的审计证据呢?他们的利益究竟如何得到保护?
四、 英美NOCLAR审计准则的重大拟议修改
(一)英国的审计改革与NOCLAR审计准则的修改
1. 英国审计行业的独立审查与改革方案。多家前富时100指数公司的接连倒闭在英国社会引起轩然大波,争论的矛头直指审计师,令其陷入信任危机,一场围绕审计行业的大辩论由此在英国轰轰烈烈地展开。英国政府审时度势,委托开展了三次独立审查,并发布三份重量级报告。对此,英国政府商业、 能源和工业战略部(Department for Business, Energy and Industrial Strategy,即BEIS部)迅速做出回应,于2021年3月发布政府咨询文件《恢复对审计和公司治理的信任》(BEIS,2021)。该文件系统阐述了BEIS部的具体建议, 是一份雄心勃勃的审计行业改革方案,反映了英国政府力图保持英国审计制度安排全球领先的决心,并期望以此重建公众的信任。
2. 英国NOCLAR审计准则[ISA(UK)250]的独特性和超前性。在介绍ISA(UK)250最新拟议修订之前,本文先简要回顾英国财务报告委员会(FRC)过去十年间在NOCLAR审计准则方面的表现。FRC相当重视NOCLAR审计准则,对ISA(UK)250先后进行了四次修订⑥,修改频率明显领先于同时期其他准则制定机构。尽管英国准则大体上以国际准则为基准,但FRC根据英国政治、 法律和经济环境的特点,始终在一定程度上保留了自身的个性,在一些方面甚至提出了比国际准则更高的要求。本文对其中可圈可点之处做一些简单介绍。
FRC在2016年6月的修订中,除了纳入ISA 250的所有内容,还增加了两段英国准则独有的内容:一是包含反洗钱特别程序。在英国,相关法律⑦规定将审计师纳入受监管部门,要求他们报告疑似的洗钱活动,并采取严格的反洗钱程序。为此,准则特别包含了审计师对遵守“通风报信”⑧相关立法的要求。准则明确审计师应当注意自己的行为举止,无论是主观故意还是无心之失造成的“通风报信”并由此对相关调查或可能的调查造成损害,都构成审计师的不当行为,将受到制裁。洗钱是指通过各种手段掩饰、 隐瞒、 转化违法收入,使其在形式上合法的行为。因此,洗钱可能成为很多NOCLAR行为的“终极目标”,的确值得被特别关注。二是给予公共利益实体更多的关注。在与治理层沟通方面,英国准则额外规定对于公共利益实体的财务报表审计,当审计师怀疑或有合理理由怀疑可能发生或已经发生违规行为,包括该实体财务报表的舞弊行为时,除非法律或法规禁止,否则审计师应知会实体,要求其调查此事,并采取适当措施处理此类违规行为,防止其在未来再次发生;在向监管机构报告方面,如果实体未就可能发生或已经发生的违规行为展开调查,则审计师有义务通知负责调查此类违规行为的当局。
在2019年11月和2022年5月的两次修订中,FRC都在加强与ISA(UK)315风险评估准则的联系方面做出了进一步尝试。2009年FRC要求审计师在遵守ISA(UK)315执行风险评估程序时就应当开始考虑是否存在NOCLAR的迹象,而并非像过去那样在这一阶段仅被动了解适用于被审计单位及其所处行业或领域的法律法规框架以及消极倾听被审计单位如何遵守这些法律法规框架,要求审计师主动积极地去思考所了解到的情况和事件是否已经构成NOCLAR行为;2022年则进一步提出,在风险评估程序执行过程中对是否存在NOCLAR迹象的考虑,应渗透至三个具体的环节中去,即在了解被审计单位及其环境、 适用财务报告框架、 实体内部控制体系的过程中完成相应的考虑。
在2019年11月的修订中,还有一点值得注意的变化。在审计师判断NOCLAR行为对财务报表产生的影响是否重大时,FRC认为有必要同时考虑定性和定量因素。这一补充,在无形之中强化了审计师的责任。定量来看,一些NOCLAR行为并不会或至少在短时间内不会引起金额重大的处罚,其潜在错报金额低于基于财务报表所确定的重要性水平。但实体是在一个不断变化的环境中从事经营的,当其他条件发生改变时,很难说有朝一日不会质变为重大错报。更有一些实体,由于其性质的特殊性,那些金额并不重大的NOCLAR行为或将对实体的披露产生影响,而这样的披露对于这类实体的报表使用者做出经济决策又格外重要。例如食品行业特别是婴幼儿食品,若违反了质量安全法律法规,对实体产生的打击则可能是致命的。这些原本不“显山露水”的NOCLAR行为往往后果最具危害。FRC的这一补充明为要求、 实为保护,启发审计师不仅应看到表面,更要由表及里,同时也启发审计师学会以发展的长远眼光动态看待问题。
3. 2023年10月ISA(UK)250的拟议修改。在独立审查报告和政府咨询文件的积极推动下,2022年7月,FRC发表Position Paper,承诺就包括ISA(UK)250在内的多项审计准则进行修订并公开征询意见,以提高审计的有用性和信息含量(FRC,2022)。时隔一年,2023年10月FRC发布ISA(UK)250的征求意见稿[ISA(UK)250-ED](FRC,2023)。这份征求意见稿在多项内容上进行了大刀阔斧的修改,经修订的准则逻辑更加顺畅、 体系更加严密和完整。主要拟议修改如下:
(1)消除不同类别法律法规之间的区别。前文已反复提到,各国家和地区现行NOCLAR审计准则基本都按照对财务报表是否有直接重大影响,将法律法规分成两个大类,并对两类法律法规规定了不同的审计师责任。这其实存在一个逻辑上的悖论。审计准则规定,审计师的责任在于为财务报表不存在因舞弊和错误导致的重大错报提供合理保证。作为审计的一部分,审计师必须在财务报表审计中对实体所受的法律法规进行考虑。财务报表因NOCLAR或疑似NOCLAR行为而存在重大错报的原因既可能是出于直接影响财务报表项目(金额或披露)确定的法律法规,也可能是源自实体没能遵守影响其运营的法律法规。现实中,未遵守后一类法律法规不仅可能导致潜在的罚款、 诉讼或其他后果,而且对实体产生的影响往往更为重大。因此,无论是哪一类法律法规,无论是以怎样的方式影响财务报表,其结果很可能“殊途同归”,都会引起财务报表的重大错报,那么这两类法律法规在本质上有什么不同?为什么审计师不需要对后一类法律法规获得充分适当的审计证据并给出合理保证呢?如果对于后一类法律法规造成的重大错报,审计师不需要负高度保证的责任,那谁又应该负责呢?这一系列的疑问令准则在逻辑上显得无法自洽。
为此,FRC干脆利落地摒弃了这种分类。ISA(UK)250-ED在审计师责任相关段落5-1中明确指出:审计师的责任包括识别未遵守可能对财务报表产生重大影响的法律法规,从而最终完成合理保证财务报表整体不存在因为舞弊或错误导致的重大错报。这一实质性修改可谓是一项根本立场的转变,有着里程碑式的意义。它敢于指出并改正现行准则中不利于履行审计师终极责任的不完备之处,显示了FRC出于公众利益而要求切实履行审计师责任的庄严承诺。
(2)明确设置审计师责任的顶层基调。虽然修订后的ISA(UK)250-ED一如既往地承认,由于审计的固有局限性,即便审计师遵守准则的要求设计和执行程序,还是会存在无法识别重大错报的风险;加之由于法律法规的特殊性,许多法律法规主要与被审计单位经营活动相关,通常不影响财务报表,也不能被与财务报告相关的信息系统所获取;并且,有时判断一项行为是否构成NOCLAR行为,很可能超越了审计师的专业技能,最终只能由法院或其他适当的监管机构认定。凡此种种,如再遭遇串通、 伪造、 故意漏记交易、 管理层凌驾于控制之上或故意向注册会计师提供虚假陈述等故意隐瞒的行为,那么上述风险将进一步扩大。然而,原本为了保护审计师自身正当权益的“固有局限性”被滥用为敷衍塞责的“挡箭牌”,甚至给了一些审计师“躺平”的借口。对此,ISA(UK)250-ED新增段落9-1,明确固有局限性并不减少审计师通过计划和执行审计获得财务报表不存在因舞弊或错误导致重大错报并给出合理保证的责任。新增的段落9-2更是严肃指出,与NOCLAR相关的审计固有局限性,不能成为审计师对缺乏说服力的审计证据感到满意的合理理由。本文认为,这些新增内容是对审计师能够且应当承担其审计责任所做出的更清晰、 直接和坚决的表态,为审计师责任设立了顶层基调,明确了审计师在财务报表审计过程中应竭尽所能通过全部合理方式履行识别及应对NOCLAR行为的责任。准则这一点拟议修改,有助于审计师更好地理解并将之作为执业的行为准绳:比起审计结果,更适合作为评价审计师职责履行标准的应当是审计师计划和执行审计的过程,即审计师的“护身符”不是固有局限性,而是坚持做正确的事情。
(3)搭建更具逻辑和层次的审计目标。在FRC本轮修订公布以前,英国NOCLAR审计准则在审计目标方面与国际和我国准则等完全一致,即:针对通常对决定财务报表中重大金额和披露有直接影响的法律法规的规定,获取被审计单位遵守这些规定的充分、 适当的审计证据;针对其他法律法规,实施特定的审计程序,以识别可能对财务报表产生重大影响的违反这些法律法规的行为;恰当应对在审计过程中识别出的或怀疑存在的NOCLAR行为。
虽然准则表面上将审计目标与审计师责任建立起了联系,但这样的表达似乎只是对审计师责任的简单重复,对审计师而言并无多大的现实指导意义。于是FRC在ISA(UK)250-ED的段落11-1,对审计目标进行了颠覆性的修改,建立起一套完整的逻辑流,贯穿财务报表审计对法律法规进行考虑的全过程。新的审计目标是:第一,识别未遵守将对财务报表产生重大影响的法律法规;第二,识别因与NOCLAR有关的舞弊或错误而引起的财务报表重大错报风险并对其做出评价;第三,就因与NOCLAR有关的舞弊或错误而引起的财务报表重大错报风险,获取充分适当的审计证据;第四,对审计中发现或怀疑存在的NOCLAR行为做出适当回应。
新的审计目标用一个清晰完整的逻辑链条,给审计师提供了一个明确的审计路径。既然终极目标是要合理保证财务报表不存在因舞弊或错误导致的重大错报,且NOCLAR引起的财务报表重大错报也属于舞弊或错误,那么从逻辑上讲,就应当先把实体适用的法律法规找出来。找到法律法规框架,并不必然意味着财务报表面临重大错报风险。在一个风险导向的审计中,审计师首先需要识别是否存在可能引起NOCLAR的事项和情况;然后通过执行程序并收集证据对这些事项和情况做出评价,才能最终判断NOCLAR或疑似NOCLAR行为是否存在;最后在此基础上,对发现或疑似存在的NOCLAR行为做出适当应对,包括充分适当的讨论、 沟通与报告,并考虑对审计的影响。修订后的审计目标把审计师为履行其责任该如何考虑审计工作流程给讲透彻了,通过识别、 评价和应对与NOCLAR行为有关的重大错报风险这个纽带,将法律法规框架与NOCLAR和疑似NOCLAR行为连接起来,把工作落脚在对NOCLAR和疑似NOCLAR行为对于财务报表影响的考虑上,并最终给出恰当应对,实现对社会公众利益的维护。这在理论上给审计师提供了一套审计NOCLAR行为的扎实“打法”。
(4)强化风险评估要求。FRC认识到,消除法律法规的分类并不是要将审计置于一个“没有边界”的被动境地。但如果仅止步于通过建立审计目标给出理论上的指导,也并不能解决审计师的实际困难。事实上,缺乏实践上的指导正是现行审计准则的短板之一。为了帮助审计师完整识别未遵守就可能对财务报表产生重大影响的法律法规,FRC在其拟议修改中引入了一套更为稳健的风险评估流程,这将为审计师提供一个有效的工作机制。
现行准则虽然对风险评估程序有所提及,但要求较为空泛。如前文对ISA 250的介绍,ISA(UK)250同样要求作为遵守风险评估准则的一部分,审计师在了解实体及其环境时就应该开始考虑是否存在NOCLAR或疑似NOCLAR的迹象。但可惜的是,这个要求既没有告诉审计师具体要考虑的方面,也没能告诉他们究竟该如何考虑,导致审计师在实际工作中往往只是通过与管理层的询问来回应这项要求,这容易令审计师过度依赖管理层的说辞而被管理层“牵着鼻子走”。
为此,ISA(UK)250-ED建立起体系完整、 层次丰富的风险评估程序。一是在新增段落12-1中明确执行风险评估程序时,审计师必须设计和执行相关程序,以获得审计证据,为识别未遵守就可能对财务报表产生重大影响的法律法规提供适当依据。因为只有先识别框架体系,才有可能做到“有的放矢”。这首先就在整体上将风险评估准则与对法律法规的考虑进行了关联。二是明确了审计师执行风险评估程序的具体内容,包括了解被审计单位及其环境、 适用财务报告框架及实体内部控制体系,并给出了这三方面的具体要求。例如:对于实体及其所在环境,需要分别对内理解业务经营方面和对外了解监管因素,做到内外结合;对于适用的财务报告框架,应当对与财务报表中重大金额的确定和披露有关的法律法规规定加以理解。特别值得关注的是,修订后的准则在实体内部控制体系方面新增了段落12-2,要求审计师将以下内容纳入需要充分了解的事项中:管理层如何识别未遵守则可能对财务报表产生重大影响的法律法规;实体的风险评估过程,用于识别、 评估和应对与NOCLAR行为有关的业务风险,而这些NOCLAR行为将会对财务报表产生重大影响;治理层如何监督实体是否遵守可能对财务报表产生重大影响的法律法规。
在审计过程中,审计师需要了解和评价内部控制,包括了解和评价有助于令管理层和治理层遵守法律法规的相关(预防)控制,以及有助于他们发现和应对NOCLAR实例的相关控制。而现行NOCLAR审计准则几乎没有关于内部控制的指导,因此无法体现近年来风险评估审计准则的最新发展要求,ISA(UK)250的这一修改首先弥补了NOCLAR审计准则在理论上与内部控制体系的脱钩。但更重要的修改意义在于实操。业务经营环境等外界因素固然会让实体暴露在一些具体的风险之中,但控制环境等内部因素决定了实体更具体、 更特定的环境,往往对实体最终面临哪些具体错报风险起到更关键的决定作用,所谓南橘北枳,风险在每一个真实具体的环境里并不会完全相同。在了解实体内部控制的过程中,审计师可以获得更深入的信息,也就有更多机会有针对性地识别和应对NOCLAR行为。同时了解内部控制的过程,也有助于治理层了解实体的风险,从而对更好行使其对管理层识别和应对NOCLAR行为的机制的监控职责是有益的,最终有助于实体担负起防止和识别NOCLAR行为的主要责任。
在风险导向审计中,准则还要求对在风险评估程序执行过程中所发现的内部控制缺陷加以考虑,同时了解其补救措施。具体程序的执行结果不存在纰漏并不必然表示控制无虞,审计师应当在对实体层面内部控制体系进行评价时谨慎考虑控制缺陷,并适当沟通。
(5)摈弃程序化审计,夯实审计程序。准则的修订并不仅仅是提出了风险评估的要求,更是从“如何”满足这些要求的角度,给出审计师具体程序上的指引:一是在新增段落12-3中,要求审计师对管理层、 治理层及其他适当的实体内部人员进行询问,在询问时不仅关注他们是否知晓NOCLAR行为,更关注他们对这些NOCLAR行为的看法。这也就从仅关心“一时”的问题,上升到在根本原因的高度与深度去理解问题。同时,在这一过程中要求审计师接触更多的实体内不同人员,让审计师的感官得以延伸,防止其偏听偏信,用证据印证证据。二是扩大了审计师在收集NOCLAR行为是否发生的有关信息过程中执行检查的范围,从过去仅要求检查与许可证颁发机构或监管机构的往来函件,扩大到必须获得律师函证,检查股东、 管理层和治理层的会议纪要,并且包括审计师认为应纳入检查的所有其他记录文档。
(6)保持更高的职业怀疑度。由于可能涉及故意隐瞒,NOCLAR行为的检查风险非但无法绝对消除,还可能因此提高,所以审计师在考虑由于NOCLAR导致的重大错报风险时,保持职业怀疑态度尤为重要。修订后的ISA(UK)250新增段落16-1,要求审计师对所获得的审计证据进行评价并对其是否充分适当谨慎得出结论。准则同时要求,在对审计证据进行评价时,除了要关注证据对于所得审计结论的说服力是否足够,还应当关注证据之间是否存在不一致甚至存在矛盾,在此基础上采取不偏向于接纳具有佐证性的审计证据或排除接纳可能相互矛盾审计证据的客观立场。同时,在判断最终得出结论是否已获得有关NOCLAR行为充分适当的证据时,审计师应“回看”整个风险评估与应对过程,对所有证据始终保持不偏不倚的态度,站在一个“全局”的高度,得出适当的审计结论。准则的这项补充体现了对职业怀疑态度的高度重视,这也是将公众利益置于最高位置的表现。
(7)对财务报表披露的考虑与审计底稿的记录要求。既然准则要求审计师对那些对财务报表产生重大影响的法律法规的遵守情况负有合理保证责任,那么当已经识别NOCLAR或疑似NOCLAR行为时,作为实体重要对外沟通载体之一的财务报表,是否已经充分反映或披露相关事项,理应成为审计师评价财务报表的一个重要考虑因素并就此得出结论。准则新增段落22-1对审计师提出了全新的要求,即应充分考虑适用的财务报告框架体系,判断财务报表就NOCLAR事项的处理是否得当。对于审计工作底稿文档记录,新增段落29-2也要求审计师将识别的全部法律法规以及已识别的NOCLAR迹象都进行充分适当的记录,至此对NOCLAR的审计要求形成完整闭环。
无独有偶,2023年6月美国公众公司会计监督委员会(PCAOB)也发布了其对AS 2405准则的修改并向社会公开征求反馈意见(PCAOB,2023)。这比FRC公布其对ISA(UK)250的修订还要早四个月左右。AS 2405准则从2003年首次被PCAOB采用开始,从未被修订过。在2003 ~ 2022年这二十年间,实体面临的法律环境与当初编制该准则时已大相径庭,因此无论是在诸如审计师责任这样的根本问题上,还是在应对NOCLAR的审计程序上,AS 2405准则都显得十分薄弱,甚至显得没有章法,无法担负起在当前经济环境下保护社会公众利益的重任,因此美国准则比任何国家和地区的准则更亟待修订。正是在这样的背景下,PCAOB发布了全新的AS 2405准则征求意见稿。AS 2405准则的修改内容基本与ISA(UK)250-ED一致,此处仅就AS 2405准则不同于ISA(UK)250-ED的几点内容做相关介绍。
1. 更细致的风险评估程序。更新后的AS 2405准则同样增加了详细的风险评估程序,以识别对财务报表有重大影响的法律法规。但对于管理层流程的了解要求,AS 2405准则比ISA(UK)250-ED更为丰富。除了要知道管理层是如何识别法律法规的,准则还要求审计师在理解管理层流程时覆盖从预防、 识别、 评价、 调查、 内部沟通到补救的所有环节和方面。同时,对于管理层如何接收并跟进来自内外部的举报亦要有所了解,并且应当了解管理层是如何考虑这些事项对会计的影响的。这一点之所以重要,是因为法律法规的天生特点使得其中一些与之相关的事项并不会被财务系统所识别,如果管理层能先审计师一步考虑,那么审计师面对的固有风险可能有所降低。
2. 更丰富的检查程序。相比于现行ISA(UK)250仅需要对其他法律法规执行有限的特定程序,现行AS 2405准则不要求审计师对第二类法律法规即所谓其他法律法规提供任何保证,也无需执行任何具体程序,完全依赖整个审计过程中为发表审计意见所执行的其他程序。只有当从其他审计程序中意识到可疑事项时,才会对管理层和审计委员会进行询问,并且只有当管理层未能提供令人满意的解释时,审计师才会进行法律咨询和执行额外程序。修订后的AS 2405准则对此做出修改,要求只要意识到可能存在NOCLAR行为,就应当执行相应程序。修订后的程序由原先的四条扩充到八条,并明确注明仅执行询问程序是不足够的。这一要求已经高于了ISA(UK)250-ED。
3. 前置和加强的沟通。在修订后的AS 2405准则中,审计师与治理层的沟通时间得到了前置。现行准则仅要求沟通一次,且规定较为模糊,未明确是意识到NOCLAR行为可能存在时就沟通还是待确认NOCLAR行为后再沟通。但修订后的准则更加意识到兵贵神速,要求审计师在识别到可能构成NOCLAR行为的信息时就着手与审计委员会的沟通。并且,在最终完成评价后,与审计委员会就整体情况再次进行沟通。同时,修订后的准则增加了审计师对高级管理层是否采取了及时和适当的补救措施进行判断的责任,因为这个判断或将影响审计报告意见或审计师的去留问题,还可能引起与董事会的直接对话。
修订后的AS 2405准则将其名称从原来的“illegal acts by clients”修改为“company's noncompliance with laws and regulations”。这样修改避免了原准则更偏向主观故意造成的违法行为,增加了因客观疏忽导致的违法行为,并且避免了因审计师主观理解认为一些事项不足以上升到“非法行为”而将其排除在审计范围之外的风险。当然,这一修改也与国际其他主流准则保持了一致。
虽然IAASB公开的其2024 ~ 2027年的工作计划中没有有关ISA 250的修订安排。但还是可以合理推断,已经发布的ISA(UK)250-ED和AS 2405准则征求意见稿作为全球审计行业持续探索审计良方的风向标,无疑将对未来ISA 250的发展走向产生影响。
五、 我国应对策略建议
在回顾了NOCLAR审计准则的演进历史、 分析了NOCLAR审计准则所面临的挑战以及NOCLAR审计准则的国际探索之后,本文结合我国经济现状及注册会计师审计行业实际情况,认为为适应国际范围内NOCLAR审计准则的发展趋势,提升我国注册会计师行业在财务报表审计中对NOCLAR事项的审计能力,以下应对策略可供相关方面参考:
1. 加快修订我国现行NOCLAR审计准则。审计准则1142号最后一次实质性修订发生在2009年,是针对现行ISA 250的一致性修改。因此,ISA 250中已经暴露出的不足也同样存在于我国现行准则中,例如:审计师对不同法律法规分类负有的不同责任与审计师终极责任之间的矛盾;有限且过于僵化的程序清单使现行准则缺乏灵气,无法基于风险导向指引审计师执行具体程序。由此引起社会公众对审计师责任的期望得不到满足,且在加速变化的环境下有不断扩大的趋势。因此,与国际先进审计准则保持动态协调,尽快修订我国NOCLAR审计准则意义重大。我国的NOCLAR审计准则长期以来以ISA 250等主流准则为底本,本文建议在保持国际趋同的同时,根据我国自身经济发展阶段,深入研究更适合我国市场环境特点的审计准则,对需要执行的额外程序做出针对性和操作性强的规范。
2. 强化对NOCLAR审计的监管检查。除了前面提到的国办发〔2021〕30号,2023年2月中共中央办公厅、 国务院办公厅又印发了《关于进一步加强财会监督工作的意见》,明确提出进一步健全财会监督体系、 完善财会监督工作机制以及加大重点领域财会监督力度的相关要求。因此,本文建议审计行业监管部门强化对会计师事务所NOCLAR审计工作的监管。严格的监管不仅可以促进审计行业提升审计质量,提高社会公信力,保护相关人利益,还有助于及时发现被审计单位的问题,促进审计师和被审计单位的共同进步。具体而言:首先,可以开展对NOCLAR审计的专项检查,查找会计师事务所和项目层面在开展NOCLAR审计中执行不到位甚至是存在疏漏的地方,将检查结果考虑纳入会计师事务所行业评分和排名的相关机制中,形成对会计师事务所的约束;其次,对检查中所发现的问题加以系统整理,帮助责任人落实相应整改,最大化事后监管的成效;最后,可以考虑加大对会计师事务所违规的处罚力度,以引起必要的重视。
3. 加强培训,持续提升NOCLAR审计能力。现实中,掣肘审计师NOCLAR审计的一个重要原因是审计师在该领域因专业能力欠缺而表现出执行能力不足。法律环境的复杂多变使现实中实体因NOCLAR对财务报表产生的影响也纷繁复杂,准确和完整识别出NOCLAR行为并对其做出恰当应对对审计师的确是不小的挑战。因此,建议加强对审计师的培训,以持续提升其NOCLAR审计能力。审计师通过培训可以获取更多、 更及时的法律法规知识,了解最新法律动态,补充短板,形成扎实的专业基础,提升专业素养。充足的知识储备可以提高审计师识别和发现对财务报表产生重大影响的NOCLAR行为的能力,使其在面对被审计单位的质疑时更有信心和底气追根溯源,同时对于发现的事项也更有可能采取具有针对性的措施,最终维护好报表使用者的权益。具体来说,可以在培训中考虑涵盖以下内容:首先,应当让审计师从思想意识上理解完整准确识别和应对NOCLAR行为对于财务报表审计的重要性,要求审计师在审计全程始终保持警惕和职业怀疑态度;其次,会计师事务所内部应制定培训政策,提供频繁和及时的培训,例如对于新修订的《公司法》,会计师事务所应在第一时间组织审计师学习,主动思考实现高质量和可持续审计的方法,在接受新法对审计师挑战的同时抓住新法赋予审计师的历史机遇;最后,由行业协会牵头整理专项检查中发现的问题,形成培训和交流资料,在行业内部定期开展培训与交流,做好预防性工作,使整个行业通过不断学习改善执行效果。
4. 加快NOCLAR审计数据库建设。NOCLAR审计的另一个难点在于,即便审计师对一项法律法规拥有必要的专业知识,也不必然意味着其能在被审计单位特定的环境下充分识别并理解违反该法律法规可能引起的错报风险,即相同问题往往也需要进行具体分析。会计师事务所固然可以通过加强培训提高审计师的相关能力,但这一层面的培训并不能穷尽所有法律法规实例。因此,建议由监管机构牵头,创建根据地区、 行业和具体业务汇编的法律法规及相关案例数据库,以供公众查阅。对审计师来说,这是可以快速了解被审计单位法律环境的有效途径。同时,结合众多违法违规案例的汇编,审计师能够更加清晰地了解被审计单位实施NOCLAR行为可能用到的手段和细节,对相关事项的洞察更加敏锐。但在数据库建设过程中,也需要建立有效的机制,以提高各会计师事务所信息共享的积极性,促进会计师事务所与监管机构形成合力,共同推动数据库的建设。
5. 加强行业立法对实体的约束。有意隐瞒NOCLAR行为往往比无意违法具有更高的风险,审计过程中若被审计单位不配合审计工作,则审计师很难清晰地了解可能发生的违法违规行为,无法确切评估其对财务报表产生的影响,从而导致审计报告披露不够完整。因此,本文建议相关机构考虑行业立法。一方面,从法律层面约束被审计单位,要求其必须就NOCLAR相关事项配合审计师;另一方面,从法律层面赋予审计师在相当程度内不受限制对NOCLAR事项进行调查的权利,并确保执法力度。一旦实现立法,被审计单位就具有配合审计师工作的强制法定义务。当被审计单位不配合审计师工作的行为本身构成一项违法时,该行为的性质就发生了改变,更容易引起被审计单位的重视并起到威慑作用。尤其是对于一些特定行业如医疗、 健康、 饮食等,这些行业关系到民生,应给予特别的立法关注,因为任何发生在这些行业中的NOCLAR行为均会牵涉公众利益,产生更为广泛的社会影响。同样,对于审计师来说,加强立法也令其有据可依,能够针对实体的不配合行为采取相应行动,如向法律监管部门举报或在报告中适当披露。
此外,本文建议规范外部相关部门或机构的专业报告,包括规范报告的形式和内容等,使审计师可以借助这些报告获取实体与NOCLAR有关的信息。
6. 强化企业内部举报机制以及审计师对举报机制的了解。黄世忠等(2020)对2010 ~ 2019年我国上市公司的实证研究表明,各种内外部举报在发现问题方面的成绩远超过注册会计师。美国注册舞弊审查师协会(ACFE)2022年的报告中通过133个国家、 23个行业的2110个真实案例分析了举报机制的重要作用,其遥遥领先于第二种最常用的方法(内部审计)(ACFE,2022)。而ACFE 2023年最新报告索性以《建立一流的举报热线系统报告》为标题探讨举报机制的建立(ACFE,2023)。由此可见,举报机制具有积极的作用。然而,现实状况是许多公司对于“吹哨人制度”缺乏正确和全面的了解,更有甚者将其视作有碍企业经营发展的消极因素,因此也就未能建立和形成完善的企业内部举报机制。即使建立了相应机制,在实际工作中也常流于形式,出现举而不查的情况。
本文倡议实体吸取成功企业的经验,营造良好的企业文化氛围,鼓励内部举报,并通过健全的举报途径和完善的举报人保护制度,建立起行之有效的内部举报制度。同时,本文也建议补充和加强与举报机制相关审计程序的要求。对于审计师而言,其对NOCLAR可能出现的领域和细节的了解远不如内部知情人。因此,审计师对于实体的举报机制应有所了解,并对通过该机制所收到的举报事项进行必要的跟进,以了解举报机制的实际运行情况,从而快速有效地识别公司可能出现或已经出现却在审计过程中未被关注到的相关事宜,帮助审计师查缺补漏,更充分地考虑可能对财务报表产生的重大影响,增加必要的披露事项,维护公众利益,进而更好地实现审计目标。
7. 加强实体内部控制体系建设。良好的内部控制体系能帮助被审计单位识别潜在的经营风险,提前采取有效的预防措施;即便发现NOCLAR事项,被审计单位也能迅速做出响应,及时更正,避免对生产经营产生更严重的负面影响。因此,公众对企业财务报告的信心在很大程度上取决于管理层实施和监督内部控制以及风险管理流程的有效性。本文建议:首先,加强企业内部控制制度建设,包括以身作则、 营造重视风险管理的控制环境,以及设计和执行NOCLAR行为识别与应对的相关控制,从而起到约束管理层和员工、 从源头上抑制NOCLAR行为的作用;然后,考虑通过有步骤地建立管理层财务报表声明制度,规定董事就实体遵守适用的法律法规以及如何遵守等做出声明,并对声明的频率和要求做出具体规定,从而对管理层形成有效规范,同时确保与NOCLAR行为有关的内部控制措施实施到位和有效运行;最后,对于作为实体与审计师信息沟通重要桥梁的审计委员会,应积极改善其薄弱环节以及缺位的现状,充分发挥其职能,提高审计委员会活动(监督)的透明度和有效性。被审计单位内部控制体系建设的增强,可以有效促进企业健康发展,更好地履行社会义务,从而提升企业形象,进一步获得投资者的信任与认可,形成良性循环。
8. 强化对问题企业的监管。鉴于部分实体在行业甚至是经济体中的影响力,当其出现NOCLAR的情况时可能会产生负面的溢出效应,引发更大范围经济的不良波动。因此,本文建议在会计师事务所和监管部门之间建立有效的双向沟通机制。对于会计师事务所,向上报告的渠道应当是简洁而高效的;对于监管机构, 应当形成一套快速收集、 科学分析和敏捷行动的机制,对出现问题的企业加强监管。监管部门是会计师事务所的坚强后盾,双方合力才能够增强市场对负面事件的防范与管控能力,保障资本市场的平稳运行。
注释: ② 数据源自滴滴公司2022年度年报2022 Annual Business and Social Responsibility Report。 ③ 机器学习研究院于2016年升级为滴滴研究院。 ④ Special Considerations—Audits of Group Financial Statements (Including the Work of Component Auditors)。 ⑤ 财政部自1995年12月印发第一批《中国注册会计师独立审计准则》后,又在1996年12月、1999年2月两次集中印发,并在后续年份陆续发布新的准则内容。《独立审计具体准则第18号——违反法规行为》为第三批集中发布内容。 ⑥ ISA(UK)250最近四次修订分别发生在2016年6月、2017年12月、2019年11月和2022年5月。 ⑦ 《洗钱条例2007》和《犯罪收益法2002》。 ⑧ 英国《犯罪收益法2002》第333A章节规定,“通风报信”是一种犯罪行为。 |
主要参考文献: 韩洪灵,陈帅弟,刘杰,陈汉文.数据伦理、国家安全与海外上市:基于滴滴的案例研究[J].财会月刊,2021(7):13~23. 黄世忠.审计期望差距的成因与弥合[J].中国注册会计师,2021(5):66 ~ 73. 黄世忠,叶钦华,徐珊,叶凡.2010~2019年中国上市公司财务舞弊分析[J].财会月刊,2020(14):153 ~ 160. ACCA. Closing the Expectation Gap in Audit[EB/OL].www.accaglobal.com,2019. ACFE. Report to the Nations: Occupational Fraud[EB/OL].www.acfe.org,2022. ACFE. Building a Best-in-class Whistleblower Hotline Program[EB/OL].www.acfe.org,2023. BEIS. Restoring Trust in Audit and Corporate Governance[EB/OL].https://www.gov.uk,2021. FRC. FRC Position Paper-Restoring Trust in Audit and Corporate Governance[EB/OL].https://www.frc.org.uk,2022. FRC. ISA (UK)250 Section A — Consideration of Laws and Regulations in an Audit of Financial Statements(Exposure Draft)[EB/OL].https://www.frc.org.uk,2023. IAASB. Proposed International Standard on Auditing 250(Redrafted)[EB/OL].https://www.iaasb.org,2008. IAASB. International Standard on Auditing 250(Revised)[EB/OL].https://www.iaasb.org,2016. PCAOB. PCAOB Release No. 2023-003 - NOCLAR[EB/OL].https://pcaobus.org,2023. |