与美国公众公司会计监督委员会共度的一个晚上的笔记
如果你在一家上市公司的董事会任职,尤其是担任审计委员会成员,你的生活早已围绕财务报告、审计以及审计流程展开。无论发生什么,审计师总是时而处于前台,时而隐于幕后。年度审计、季度审查、内部控制。 在大型公司中,内部控制审计往往深入细致,有时会揭示出重大的缺陷,甚至更糟糕的是——重大缺陷。(没人愿意听到这些词。)他们会递给你厚厚的声明函让你签署,还有需要填写的问卷。他们要文件,还要面谈。提交10-K和10-Q报告时,心情往往像是在看悬疑剧一样提心吊胆。这些工作占据了审计委员会的大部分会议时间,耗资巨大,而且耗时漫长。
我们往往没有意识到的是 究竟是什么让这个过程如此艰难,以及(确切地)。
上周,我们举办了一场晚间活动,为这个我们从未想过的问题提供了一些答案。在斯坦福大学董事学院课程刚结束不久,我们便邀请了NACD北加州分会的成员来到我们位于帕洛阿尔托的办公室。本次活动的特邀嘉宾是美国上市公司会计监督委员会(“PCAOB”)董事会成员乔治·博蒂克(George Botic)及其同事艾伦·格雷珀(Ellen Graper)。
我们两人合计为创始人、投资者和董事会提供咨询服务已逾25年。但审计监督并非我们通常关注的领域,因为我们通常参与的是交易、公司治理和融资事务。因此,我们此行主要是来倾听的。必须说,离开时我们收获颇丰。以下是我们印象最深刻的一些内容。
首先:什么是PCAOB?
最通俗的说法是,PCAOB 就是审计师的审计机构(可以把它想象成警察总部的“内部事务”部门)。
其运作机制如下。贵公司由一家独立的注册公共会计师事务所进行审计。该事务所属于“四大”、“六大”或其他注册公共会计师事务所之一,这些事务所都在竞相提供上市公司财务报告所必需的关键“审计”服务。随后,美国公众公司会计监督委员会(PCAOB)会对这些注册公共会计师事务所进行检查。PCAOB会深入审查这些事务所对贵公司这类上市公司所进行的实际审计案例样本。 因此,当贵公司的审计师签署对贵公司财务报表和内部控制的审计报告时,他们心中始终惴惴不安地关注着PCAOB——他们深知,PCAOB将凭借事后诸葛亮的视角,对贵公司审计工作进行事后评判,而这些观察结果一旦公布,将对所有相关方产生影响。
一旦了解了PCAOB的作用和流程,许多谜团便迎刃而解:那些表格、文件调取要求,以及在某些问题上格外谨慎的态度。你的审计事务所深知自己可能面临检查,相信我们,它真的不希望你的审计文件因存在问题而被退回。一旦透过审计这层“幕布”窥见PCAOB的真面目,整个流程便开始合情合理了。
检查的流程是怎样的
通常,检查工作会沿着两条轨道进行。
第一条审查路径着眼于整个事务所:领导层、职业道德、独立性、客户选择标准、培训以及薪酬。检查人员将最后一项称为事务所的“文化”,因为对合伙人的薪酬方式会影响他们在每次审计中做出的决策。第二条审查路径则针对具体的审计项目进行详细审查。
通常情况下,规模较大的事务所受到的审查更为严格。“四大”事务所全年都接受检查,每年有50至60项针对具体公司的审计工作接受审查,而规模较小的事务所每年接受审查的具体公司审计工作则约为30项。
关键在于:美国公众公司会计监督委员会(PCAOB)并非随机挑选审计对象,而是根据风险进行筛选。检查人员会密切关注经济形势、行业趋势以及表现突出的公司。这些公司的审计文件会被优先抽查。
以下是面向董事们的解读:贵公司去年是否完成了一笔复杂的交易?是一次收购?还是进行了一次棘手的减值分析?贵公司是否身处一个举步维艰的行业?或者贵公司正处于技术炒作周期的上升期?如果是这样,贵公司的审计报告就更有可能受到更严格的审查。这就是为什么贵公司的审计师会如此严格地审查这些领域——因为他们知道可能有人在关注。他们可能因以往或正在进行的检查或审查而心有余悸。
据美国公众公司会计监督委员会(PCAOB)领导层称,他们发现了一些年复一年、不受经济周期影响的问题:收入确认、存货、并购会计、减值、银行信贷损失以及内部控制。
好消息:阴性检测结果已从疫情期间的高点回落。坏消息:内部控制仍是难度最大的领域。
除非你主动询问,否则永远不会得知的发现
接下来的这一点确实改变了我们对整个问题的看法。
美国公众公司会计监督委员会(PCAOB)监管的是审计事务所,而非贵公司。因此,其调查结果会传达给贵公司的审计师,而非贵公司的董事会。没有任何规定要求将这些结果转交贵公司,也没有时间表,更没有相应的渠道。
也许你的审计师去年曾接受过检查。也许在你的审计中,或者在同一家事务所对你所在行业内另一家公司的审计中,发现了问题。除非你主动询问,否则未必会得知此事。
这对我来说是一个重要的教训。除非主动询问,否则你和董事会可能会在应避免的问题上措手不及。好消息是?解决办法完全不需要任何成本:每年只需在正式记录中提出一个问题。
一项名为“QC1000”的新审计准则
美国审计事务所有一项名为QC1000的新质量控制标准。该标准此前已获批准,但生效日期已被推迟,预计还将再次推迟。它会被废弃还是被弱化?谁也说不准。
您无需事无巨细地追踪每个环节,但必须清楚贵所目前的状况。整个行业在QC 1000的准备程度上参差不齐。“我们正在处理”并不是一个答案。请询问贵所在QC 1000方面的准备情况如何,还有哪些不足之处,并要求对方提供具体细节。
人工智能先于规则出现
这是我们在实践中随处可见的现象:技术总是先于规则出现。
审计公司已经在审计项目中应用人工智能。美国公众公司会计监督委员会(PCAOB)提出了显而易见的问题:人工智能是否需要新的审计准则?新的文档记录规则?更完善的风险指导?坦率的回答(我们也欣赏他们的坦诚)是,监管机构仍在摸索中。他们目前尚不清楚,对一项依赖人工智能的审计进行审查究竟意味着什么。
这件事有两个方面。第二个方面就在你们公司内部。你们首席财务官的办公室已经开始利用人工智能处理账务和编制报告。因此,你们的委员会必须同时了解这两个方面:审计师在审计过程中如何运用人工智能,以及你们公司的财务团队对人工智能生成的数据实施了哪些内部控制。
机器可以做出判断。但这仍需以符合审计标准的方式进行记录。如果没有人负责此事,就会出现漏洞。
企业能予以反击吗?
在场的某位审计委员会主席提出了一个尖锐的问题,我们对此感到欣慰。企业本身就有不愿对审计结论提出异议的理由。一旦发生争议,就会引发漫长的程序,而接受审查的企业通常并不愿与审查机构发生冲突。
来自美国公众公司会计监督委员会(PCAOB)的来宾解释说,在任何调查结果被纳入报告之前,他们都会进行多层内部审查。该委员会支持会计师事务所提出异议的权利,并且确实会仔细阅读书面答复。理性的人对此可能会有不同的看法。但能听到对这一流程的说明,还是很有益的。
向审计师提出的五个问题
即使今天你什么都不读,也请记下这些问题,以便在下次审计委员会会议(以及每年)上讨论。
- 在上一轮审查周期中,贵事务所是否作为年度检查的一部分对贵公司的审计工作进行了审查?涉及哪些方面,是否有任何发现?如果不是针对贵公司,贵事务所在对本行业其他公司的审计中是否有发现?
- 在我们的审计工作中,审计师是如何运用人工智能的?是在哪些控制措施下进行的?这些由人工智能辅助做出的判断是如何记录的?
- 我们在人工智能方面做了哪些工作?在审计的风险评估中,我们财务团队对人工智能的应用情况是如何被考量的?我们是领先于同行、与同行持平,还是落后于同行?
- 该会计师事务所对QC1000持何种立场?有哪些变化,我们又应关注哪些不足之处?
- 在PCAOB通常关注的问题领域中,收入、减值、内部控制、交易会计等,本轮审查中哪些适用于我们?公司目前针对这些问题采取了哪些措施?
此外,对于正在阅读本文的首席财务官和法务团队:第二和第三个问题也与你们息息相关。审计机构对人工智能的应用以及你们自身的使用情况将一并接受评估。要成为那个主导叙事的人,而不是事后被迫解释的人。
了解更多信息
美国公众公司会计监督委员会(PCAOB)为审计委员会发布的资料比大多数董事所意识到的要多。请查阅其《面向审计委员会的检查信息》、资源页面以及《关于2024年检查活动的工作人员更新》(2025年版尚未发布)。订阅其电子邮件列表。这些内容都值得收藏。
要点
这就是我们不断回过头来思考的问题。
对许多董事来说,审计一直像个“黑匣子”。它就这么发生在你身上,你无法掌控。美国公众公司会计监督委员会(PCAOB)负责解释其余部分。而除非你主动询问,否则它所掌握的信息几乎不会传达到你这里。
所以,请提出问题。每个周期都要如此。信息就在那里。问题也很直白。那些提出问题的董事才是在真正履行监督职责。而我们其他人呢?我们只是在空谈而已。
感谢美国公众公司会计监督委员会(PCAOB)的乔治·博蒂奇(George Botic)和艾伦·格雷珀(Ellen Graper),他们为我们打造了一个既坦诚又富有启发的夜晚。同时感谢美国公司董事协会(NACD)北加州分会的丽莎·斯皮维(Lisa Spivey)和凯特·阿齐玛(Kate Azima),以及NACD的马塞尔·布克塞斯库(Marcel Bucsescu),是他们将现场的各位凝聚在一起。最棒的夜晚往往是观众贡献了其中一半的功劳,而今晚正是如此。
更多内容即将发布。
路易斯·勒霍特(Louis Lehot)是福里·拉德纳律师事务所(Foley & Lardner LLP)硅谷办事处的合伙人。凯莉·博伊德(Kelly Boyd)是该事务所旧金山办事处的顾问律师。他们共同为企业家、投资者、董事会及上市公司提供公司治理、证券、资本市场及并购等领域的法律咨询。