(一)理论研究综述美国公众公司会计监督委员会在AS2中提出公众公司审计人员在执行财务报表审计时应进行财务报告内部审计,首次提出了整合审计的概念、审计标准,为内部控制审计与财务报表审计的整合奠定了基础。下面是小编为大家整理的财务报告风险控制【五篇】,供大家参考。
财务报告风险控制范文第1篇
(一)理论研究综述 美国公众公司会计监督委员会在AS2中提出公众公司审计人员在执行财务报表审计时应进行财务报告内部 审计,首次提出了整合审计的概念、审计标准,为内部控制审计与财务报表审计的整合奠定了基础。Michael S. Gold Stein(2004)在研究美国财务报告内部控制审计与财务报表审计整合框架之后提出了审计师实施审计时的基本步骤和关键业务操作。Colleen Layther(2009)认为美国公众公司会计监督委员会的整合审计是关于财务报表与财务报告内部控制审计予以合并的准则,其要求上市公司会计监管委员会审查审计人员的公正性受到公众的欢迎,并对目前审计准则要求审计人员发表两种审计意见提出质疑。
我国学者对于内部控制审计和财务报表审计的研究也取得了一系列成果。程思敏(2008)在研究美国财务报告内部控制审计准则之后,概括了美国公众公司会计监督委员会在AS2中提出的综合审计模式,该模式将财务报表审计、财务报告内部控制审计作为两个相互联系、相互支撑的审计体系,通过独立、并行的审计过程来实现两种审计目标,审计人员可以借助财务报表审计来发现公司内部控制存在的问题,也可以通过财务报告内部控制审计来帮助审计人员制定审计计划和实施审计程序。陈汉文(2010)认为AS2所提出的综合审计的关注点是财务报告内部控制审计以及它与财务报表审计的整合问题,两者密切联系同时又各有重点,一个针对财务报告内部控制,另一个针对公司提供的财务报表,审计人员在财务报告内部审计过程中要评价管理层有关内部控制有效性评估过程、对内部控制设计与实施的有效性进行评价并得出内部控制是否有效的审计意见。裘宗舜、周洁 (2011)在对比财务报告内部控制审计与财务报表审计之后得出结论,财务报告内部控制审计与财务报表审计的不同在于审计内容与范围、审计评价的准确程度、职业判断能力要求等,但两者的目标一致、程序关联、方法类似且相互支持。谢晓燕、张心灵(2012)在比较分析财务报告内部控制审计与财务报表审计基础上指出内部控制审计与财务报表审计在审计目标、审计程序、审计方法、审计证据等方面存在着密切联系,正确、合理的利用两者之间的关联性,推行内部控制审计与财务报表审计的整合,有利于节约审计资源和成本,提升审计效率和审计质量,提出我国内部控制审计准则应制定审计业务评价标准,以及配套的审计业务指引和业务指南,促进内部控制审计和财务报表审计的整合。张龙平、陈作习(2012)对我国推行内部控制审计的必要性、可行性进行了分析,认为内部控制审计与财务报表审计的整合有利于提升我国审计工作效率、发挥审计协同效益,进而提升我国审计水平和财务信息质量。
(二)内部控制审计与财务报表审计的关系 财务报表是企业与外部沟通的语言,是对企业财务状况、经营成果、现金流量状况的会计形式的表述。财务报表审计则是受投资人委托,由第三方实行的旨在评价财务报表相关表述真实性、可靠性的业务活动。财务报告内部控制审计是为了保证内部控制体系发挥应有的作用而进行的一种外部评价机制和程序。内部控制审计与财务报表审计的关系表现为:如果审计人员对企业内部控制报告发表无保留意见表明企业财务报表存在重大错报的可能性就会降低;
如果审计人员对企业内部控制报告发表非无保留意见时,企业财务报表存在错报的可能性就增加。如果审计人员对企业财务报表出具无保留审计意见,企业财务报告内部控制存在两种可能,一是企业内部控制设计良好并运行有效,在防止和纠正财务报表重大错报方面发挥了积极作用。二是内部控制存在漏洞但审计人员在财务报表审计过程中及时发现问题并予以纠正,此时,审计人员对企业内部控制将会出具非无保留意见。但如果审计人员对企业财务报表出具非无保留意见,那么企业内部控制报告肯定存在重大缺陷,内部控制审计报告必然是非无保留意见的。
二、内部控制审计与财务报表审计整合策略
(一)整合审计的必要性 内部控制审计与财务报表审计同属于基于责任方认定的合理保证鉴证业务,这种业务性质上的同质性使得两者具备融合的基础。财务报表审计是注册会计师按照审计准则的规定,通过特定的审计程序和方式对公司财务报表提供信息的公允性、合法性发表审计意见,以提升公司财务报表的可靠性。财务报表审计时需要公司管理层对财务报表反映的交易事项、会计处理、账户余额等事项进行认定,注册会计师审计的本质是对管理层的认定、声明进行审计,因此是基于公司管理层的责任方认定业务。注册会计师完成审计过程发表审计无保留意见并不能完成排除公司存在重大错报的可能,因此,是一种高于管理层认定而无法绝对保证财务报表信息可靠性的合理保证鉴证业务。内部控制审计是注册会计师接受企业或者第三方委托对企业内部控制设计的合理性以及内部控制运行的有效性进行鉴证并发表审计意见的业务活动。管理层应对企业内部控制体系的完整性、可靠性作出说明,并对内部控制有效性进行认定,注册会计师对企业管理层有关内部控制的声明、认定进行审计并发表审计意见。
内部控制审计与财务报表审计之间的密切联系使得内部控制审计与财务报表审计相互支持,财务报表审计结果能够帮助审计人员确定内部控制可能存在漏洞的环节,而内部控制审计的结果可以帮助审计人员优化审计计划和审计程序。整合审计可以有效的降低会计师事务所的业务量,减少运行成本,提高审计效率并减低审计风险。同时,在审计过程中收集的证据和实施的测试对于两种审计活动都有效,因此,是一种经济可行、兼顾审计单位、被审计单位共同利益的制度安排,在美国、日本等国家的运用也证明了该模式的合理性。
(二)整合审计的可行性 内部控制审计与财务报表审计之间的密切联系使得两者存在很多可以相互利用的地方,在一些关键业务点上具有整合的可行性,具体表现在:
(1)审计目标的一致性。内部控制审计与财务报表审计的目标都是为利益相关者提供有关企业财务信息可靠性的合理保证,将两种审计目标结合在一起只需要通过单一的协调流程就能实现,即让同一会计师事务所基于风险导向审计思路对公司进行财务报表审计和内部控制审计,实现两种审计目标,即获取充分、适当的证据对企业内部控制有效性发表审计意见,对企业财务报表可靠性发表审计意见。财务报告内部控制审计与财务报表审计的三方关系人具有一致性,责任方是被审计单位的管理层、使用者为企业利益相关者,审计过程由注册会计师完成。
(2)审计业务内容的相关性。内部控制审计与财务报表审计存在着业务内容上的重合,审计人员在审计审计程序时需要对企业的内部控制体系进行有效性测试,并以此作为依据之一来确定审计重点,制定合适的审计程序。同时,如果审计人员在财务报表审计中发现重点错报,表明财务报告内部控制肯定存在重大缺陷,已经对财务报告内部控制发表无保留意见的应重新进行审计。
(3)审计业务主体的一致性。
AS2以及AS5都要求财务报表审计与财务报告内部控制审计由同一家会计师事务所完成,这是因为财务报表审计和财务报告内部控制审计的审计报告需要同时,如果将两项审计工作交由不同事务所完成,在审计时间、审计成本、审计协调方面都不合理。由同一事务所负责两项审计有利于节省审计成本和降低审计风险,而且,世界各国的审计实务表明,由不同事务所分别承办两项审计业务不利于审计目标的实现,由同一家事务所同时进行内部控制审计和财务报表审计为整合审计提供了基础。
(三)整合审计的实施关键 《企业内部控制审计指引(2010)》规定财务报表审计和内部控制审计可以由不同的会计师事务所完成,也可以由同一家会计事务所完成。但由于内部控制审计与财务报表审计之间的关联性(如图1),无论是企业还是会计师事务所都将二者合并在一起进行,而且,《企业内部控制审计指引(2010)》显然也注意到这一点,从计划审计工作到完成审计工作的各个业务环节都偏重于整合审计。
财务报表审计基本上与现代审计同步,在审计理论、程序、方法等方面都已经成熟,而且不断的发展和完善。内部控制审计则是在萨班斯法案颁布之后开始发展起来,虽然美国公众公司会计监督委员先后AS2和AS5进行了规范,但在实际审计活动中还存在很多不足,内部控制审计与财务报表审计之间的共同点形成了两者整合的关键点,如图2所示,审计证据以及其他重要信息构成了两者之间进行整合的基础,整合审计就是通过通过计划和实施审计程序获得充分、适当的审计证据以支持有关财务报告内部控制是否有效以及在对财务报表进行风险评估的基础上发表审计意见。财务报告内部控制审计帮助财务报表审计修改实质性程序的性质、时间和范围以支持分析程序中使用信息的完整性和准确性;
财务报表审计通过实质性测试程序中发现的问题对内部控制有效性评价提供参考。
(1)审计目标的整合。财务报表审计是由注册会计师实施的旨在保证公司财务报表按照会计准则的要求公允反映企业财务状况、经营成果和现金流量,是以公允性作为审计目标的,是将财务报告及相关信息的内部控制有效性纳入审计范围,对财务报表审计则对财务报表的合法性和公允性发表审计意见。我国《企业内部控制基本规范》在借鉴国际惯例的基础上将我国内部控制目标定位为:保证企业经营管理的合法合规、保证企业资产安全、提高财务报告及相关信息的真实完整、提高企业经营效率。企业应以内部控制五大目标为指引,建立和规范企业内部控制体系,对内部控制有效性进行自我评价并形成评价报告。内部控制审计则是注册会计师接受第三方委托对公司内部控制审计与运行的有效性进行合理保证鉴证,是以有效性为审计目标的。财务报表的公允性是内部控制有效性的体现,内部控制的有效性则是财务报表公允性的保证,两者都服务于为企业利益相关者提供高质量的财务信息,因此,两者在这一点上是一致的,目标的一致性使得整合审计成为可能。
(2)审计计划的整合。内部控制审计与财务报表审计都需要制定合理的审计计划,在审计计划阶段应做好被审计单位行业状况、与财务报告相关的内部控制、法律环境等重大事项的了解以实现两种审计活动的审计目标。一是确定对内部控制和财务报表同时具有重要影响的事项并分析该事项如何影响审计工作。二是内部控制审计中重点考虑的风险评估、审计工作量、舞弊风险、利用他人审计成果等因素应该在财务报表审计中充分利用,内部控制审计确定的高风险领域同样是财务报表审计需要重点关注的领域。三是财务报表审计中的有关舞弊风险的评估结果应作为内部控制审计识别和测试企业层面控制以及选择其他控制进行测试的重要依据。四是财务报表审计的保证程度要高于内部控制审计的保证程度,整合两种审计要求财务报表审计与内部控制审计运用相同的重要性水平。
(3)审计业务的整合。前面的分析中提到财务报表审计与财务报告内部控制审计同属于基于责任方的合理保证的鉴证业务,即将重大鉴证风险控制在可以接受的水平以内。从COSO五要素的“内部控制整体框架”到COSO八要素的“内部控制风险管理”,内部控制正逐步向以风险为导向进行转变,而财务报表审计也要求以风险为导向来进行审计前的准备、制定审计工作计划和实施审计程序,因此,致力于对被审计单位财务报告内部控制和财务报表提供合理保证鉴证服务的两种审计活动。在审计过程中,可以将一些类似的审计程序同时进行,或合并进行,而由同一家会计师事务所同时负责两项审计业务为两项审计业务的整合提供了必要条件。
(4)审计程序的整合。内部控制审计要求以风险控制为导向来实施审计程序和控制测试,风险评估是内部控制审计的基础、控制测试是内部控制审计的核心,而财务报表审计包括风险评估、内部控制测试和实质性测试三个环节,而且在风险评估阶段要求注册会计师全面了解企业内部控制,在实施实质性程序不能提供充分、适当的审计证据时就需要进行内部控制测试,因此,内部控制测试成为整合审计在实施程序方面的关键整合点。需要说明的是内部控制审计中的内部控制评价和财务报表审计中的内部控制评价可以同时进行,但两者的范围存在差异,财务报表审计对内部控制进行测试限于“所依赖”的内部控制,即当财务报表审计中的某个项目需要测试内部控制是否有效时,审计人员才对影响该项目的内部控制进行有效性测试来获取充分的审计证据来支持财务报告的审计意见,因此,财务报表审计中的内部控制测试范围较小,其结果未必足以证明整个内部控制体系的有效性。内部控制审计对于内部控制测试的范围要大于财务报表审计进行的内部控制测试范围,整合审计可以通过增加内部控制审计需要“补充”的控制测试来完成整个审计控制测试。
(5)审计方法的整合。财务报表审计采用风险导向审计,财务报告内部控制审计采用自上而下的审计方法。财务报表风险导向审计通过通过询问、检查文件或记录、观察等程序了解评估报表层和认定层存在的高风险领域,进而制定针对报表层风险的总体审计措施和针对认定层风险的审计程序,包括相应的控制测试和实质性测试。财务报告内部控制审计采用的自上而下的审计方法从了解并测试公司层内部控制开始,然后对报表重要账户控制有效性进行测试,再往下是业务流程和交易控制的有效性测试,从而引导审计人员发现可能导致财务报表及相关列报发生重大错报的账户、交易上。因此,财务报告内部控制审计也具有风险导向的特点,通过风险评估来了解企业内部控制,选取内部控制测试范围,财务报告内部控制审计中对内部控制的相关审计活动有助于财务报表审计的风险评估,而财务报表审计对于高风险领域的风险评估则有助于财务报告内部控制审计抓住重点做到有的放矢。
参考文献:
财务报告风险控制范文第2篇
【关键词】 内部控制;
财务报告应用指引;
财务报告分析;
基本规范
2010年4月26日,财政部、证监会、审计署、银监会、保监会联合了《企业内部控制配套指引》,该配套指引连同2008年7月的《企业内部控制基本规范》(以下简称《基本规范》),共同构建了我国企业内部控制规范体系。配套指引由21项应用指引和1项评价指引、1项审计指引构成,应用指引在整个内部控制规范体系中居于主体地位。在应用指引中,《企业内部控制应用指引第14号――财务报告》(以下简称《财务报告指引》)具有非常重要的意义,本文主要对其进行解读。
一、《财务报告指引》的重要意义
(一)是完成内部控制目标的重要保证
《基本规范》定位了内部控制的五个目标,其中之一是“合理保证财务报告及相关信息真实完整”。纵观财务控制的整个发展历史,保证财务报告的真实性、可靠性始终是内部控制的一项主要目标。企业财务报告是信息使用者了解企业的重要途径,财务报告最重要的是能够真实、完整、不偏不倚地披露企业的经营成果,给信息使用者(尤其是投资者)展现企业真实的经营状况。财务报告的质量如何,直接关系到广大投资者乃至其他信息需求部门的切身利益,也直接影响着我国资本市场的健康、有序发展。而《财务报告指引》对财务报告事前、事中、事后每个环节可能存在的风险以及如何进行控制做出了全面的、具体的规范,是对财务报告的全过程的控制,是完成内部控制目标的重要配套措施。
(二)是贯彻落实《会计法》的重要举措
1999年新修订的《会计法》只是提出要保证财务报告的真实性、完整性,没有提出具体的措施,而《财务报告指引》弥补了其缺陷,对财务报告从编制、对外提供以及分析利用做出了详细规范。例如为了保证财务报告在编制环节真实可靠,提出了财务报告编制重点关注的内容是会计政策和会计估计;
编制年度财务报告前,要进行的准备工作――资产清查、减值测试和债权债务核对;
财务报告编制的依据是登记完整、核对无误的会计账簿记录和其他有关资料,最终做到内容完整、数字真实、计算准确,不得漏报或者随意进行取舍;
企业编制资产负债表、利润表、现金流量表以及附注时应注意的问题;
企业集团编制合并财务报表应注意的问题;
企业编制报告时应当充分利用信息技术。可见,《财务报告指引》为会计人员真实地、完整地编制、对外提供和分析利用财务会计报告提供了法律保障,从而保证其内部控制的有效性。
(三)是对《财务会计报告条例》的重要补充
2000年的《企业财务会计报告条例》是对《会计法》有关财务会计报告的具体化,它主要对财务会计报告的构成、编制、对外提供以及法律责任做出了严格的规定,在更深层次上提高了财务信息的真实性和可靠性。但遗憾的是,没有对财务报告如何分析利用做出明确规定,在一定程度上影响了财务报告的使用范围,降低了财务报告在整个会计体系中的使用效率。《财务报告指引》最后一部分,从第十六条到第二十条对财务报告的分析利用做出了比较详细的规定,强调了财务报告分析对企业的重要性。
二、《财务报告指引》的突出特点
(一)层次清楚
指引共四章,二十条。第一章是总则,起着提纲挈领的作用,主要提供了四个方面的信息:制定指引的目的、依据;
指引所采用的财务报告的概念;
财务报告在三个环节可能存在的三种风险以及风险产生的原因;
财务报告内部控制的要求和财务报告工作的负责人。第二章到第四章主要是围绕财务报告三个环节的风险采用的具体控制措施展开阐述。可见整个指引结构一目了然,便于学习和掌握。
(二)语言简练准确
与其征求意见稿相比,大幅度删减描述性文字和合并同类问题,由原来的二十六条减少到二十条,将第二章“岗位分工与职责安排”全部删掉;
字数由原来的2 966个字减少到1 882个字,减少了1 084个字,减少了37%。以指引第一条为例,征求意见稿中总共89个字,指出指引的目的是“为了指导企业规范财务报告编制与披露,防范企业不当编制与披露行为可能对财务报告产生重大影响,保证会计信息的真实、完整”,共55个字,制定的依据是“根据国家有关法律法规和《企业内部控制基本规范》。”而正式稿只有61个字,仅用17个字就概括出了本指引的目的是“为了规范企业报告,保证报告的真实、完整”,制定的依据除了基本规范还增加了《会计法》,比征求意见稿更全面、更具体。再如各章的标题,征求意见稿的第二章“财务报告编制准备及其控制”和第三章“财务报告编制及其控制”,在正式稿中合并为一章,而且标题仅7个字“财务报告的编制”,文字非常精炼。
(三)延续了《基本规范》的理念,明确和细化了各控制主体的职责
基本规范所界定的内部控制主体有四层:一是董事会,二是监事会,三是经理层,四是全体员工。董事会是加强企业内部控制的第一责任人;
监事会对董事会建立于实施内部控制进行监督;
经理层直接对企业的经营管理活动负责,尤其是企业总经理(首席执行官)承担重要责任;
全体员工在实现内部控制中承担相应职责并发挥积极作用。《财务报告指引》细化和明确规定了对财务报告进行控制的主体,一是有关财务报告的具体工作(如编制、对外提供、分析利用)由总会计师或分管会计工作的负责人组织领导,具体表现为:对外提供财务报告时,企业负责人、总会计师或分管会计工作的负责人、财会部门负责人要对财务报告签名并盖章;
总会计师或分管会计工作的负责人要参加财务报告分析会议,并且在财务分析和利用工作中要发挥主导作用。二是企业负责人对财务报告的真实性、完整性负责。
(四)简练概括出财务报告可能存在的风险以及风险产生的原因
和征求意见稿相比,正式稿更注重风险管理,因此增加了第三条,指出财务报告的风险存在于三个环节:第一个环节是编制阶段,产生的原因是“违反会计法律法规和国家统一的会计准则制度”,可能导致的风险是“企业承担法律责任和声誉受损”;
第二个环节是对外提供阶段,产生的原因是“提供虚假财务报告”,导致的风险是“误导财务报告使用者,造成决策失误,干扰市场秩序。”第三个环节是分析利用阶段,产生的原因是不能有效利用财务报告,导致的风险是“难以及时发现企业经营管理中存在的问题,导致企业财务和经营风险失控”。
(五)详尽指导了企业应如何实施财务报告分析
《财务报告指引》第一次把财务报告分析纳入法规的范畴,表明理论界和实务界已经意识到财务分析有助于企业识别风险,从而制定相应措施进行控制。指引在第四章详尽介绍了从以下环节做起,保证财务报告的有效利用:一是企业首先要从思想上高度重视财务报告分析工作,为了保证分析的效果,提出要把分析制度化――定期召开财务分析会议,从而把财务分析的重要性提升到了一个新的高度。二是报告的分析方法是充分利用财务指标(偿债能力指标、营运能力指标、营利能力指标和发展能力指标)进行分析,分析的对象是企业的资产负债表、利润表以及现金流量表。三是为了保证财务报告分析不流于形式,强调把财务分析形成书面报告――分析报告,并且构成企业内部报告的组成部分。四是为了发挥财务分析的作用,要求分析报告的结果要及时传递给企业内部有关管理层级,指导各级的生产和经营管理工作。
(六)强调了财务报告内部控制和新会计准则制度之间的关系
《财务报告指引》总共二十条,但其中竟有四条强调财务报告内部控制要执行会计法律法规和统一的会计制度。具体如下:总则第四条提出“企业应当严格执行会计法律法规和国家统一的会计准则制度”;
第二章第六条提出“企业应当按照国家统一的会计准则制度规定,根据登记完整、核对无误的会计账簿记录和其他有关资料编制报告”;
第十条提出“企业应当按照国家统一的会计准则制度编制附注”;
第十三条提出“企业应当依照法律法规和国家统一的会计准则制度的规定,及时对外提供报告。”由此可见,《财务报告指引》尤其强调企业要实现内部控制目标,尤其是确保财务报告的真实可靠,离不开新会计准则制度的基础性作用,从源头上保证内部控制的有效。
(七)风险的控制措施切实可行,注重细节
为了避免财务报告在对外提供环节出现风险,指引规定了具体措施:一是强调对外提供财务报告的及时性;
二是明确财务报告的编制完成后要装订成册,加盖公章,并要求有关人员(企业负责人、总会计师、或分管会计工作的负责人、财会部门负责人)签字盖章;
三是财务报告如果需要进行审计,审计报告要和财务报告一并提供;
四是财务报告要妥善保管。
三、《财务报告指引》存在的问题及相关建议
(一)制定指引的依据不完整
第一条指出“为了规范企业报告,保证报告的真实、完整,根据《中华人民共和国会计法》等有关法律法规和《企业内部控制基本规范》,制定本指引。”它明确了指定本指引的主要依据是《《中华人民共和国会计法》和《企业内部控制基本规范》。但遗漏了一个非常重要的依据:《财务会计报告条例》。它是由国务院的专门对财务报告进行规范的条例,在会计法规体系中法律效力仅次于《会计法》,对《财务报告指引》有着直接的指导意义。建议指引要明文规定“根据《中华人民共和国会计法》、《财务会计报告条例》等有关法律法规和《企业内部控制基本规范》,制定本指引。”
(二)部分条款的规定不够详细、具体
《财务报告指引》属于应用性指引,应对企业的内部控制具有实际指导作用,而不是停留在书面上,但部分条款规定过于简练,在实际操作中存在困难。如第十三条规定企业要及时对外提供财务报告,及时性的具体要求是什么,企业怎么满足此要求,向谁提供财务报告,从条款中都无法找到答案,这就失去了指导的作用。对策有三个:一是明确规定及时性的时间要求以及向谁提供财务报告,但结果会带来《财务报告指引》字数的膨胀以及与其他法规的交叉重复;
二是借鉴中国证监会的《公开发行证券的公司信息披露编报规则第15号――财务报告的一般规定》,增加条款“特殊行业公司财务报告除需遵守本指引外,还需遵循该行业财务报告的特别规定”;
三是借鉴企业会计准则的做法,陆续出台相应的解释公告,以推进指引的有效实施。
【参考文献】
[1] 财政部,证监会,审计署等.企业内部控制基本规范[S].2008.
财务报告风险控制范文第3篇
【摘要】本文主要讲述了美国《萨班斯――奥克利法》中创立的公共公司监督委员会PCAOB对财务报告内部控制审计准则实施中应注意的问题。
一、PCAOB财务报告内部控制审计准则的颁布
2001年安然事件及其随后的一系列公司经营失败事件严重地损害了事发公司相关利益者的利益,极大程度地撼动了世人对美国资本市场稳定性和公允性的信念。为了应对这一严重后果,美国国会于2002年7月30日颁布了由其总统签字的《萨班斯――奥克利法案》(下称“法案”)。内部控制的失败,特别是财务报告内部控制的失败是法案中国会最关注的、予以处理的问题,因此法案404(a)条款要求公司管理当局评估和报告公司的财务报告内部控制;
法案404(b)条款要求公司的独立审计师对公司管理当局的财务报告内部控制的评估进行鉴证,并报告其鉴证结果。法案还为监督公司独立审计师创立了一个新的委员会――公共公司会计监督委员会(PCAOB),并责成其制定法规将公司执行主管、公司董事、律师和会计师的责任法规化。
法案103(a)(2)(A)和404(b)条款指令PCAOB建立职业准则指导独立审计师的鉴证。因此,自PCAOB成立起,就对上市公司管理当局的财务报告内部控制评估事宜倾注了极大的关注和努力。在2003年4月,PCAOB采用原有的职业准则作为该委员会的临时准则,包括一个指导审计师鉴证内部控制的准则。为了更好地关注法案要求和评估现有的临时准则,PCAOB在2003年7月29日召开了公开讨论会,讨论和听取与财务报告内部控制报告和鉴证有关事宜的问题与观点,与会人员有上市公司、会计师事务所、投资机构和监管组织的代表。根据会议结果,综合各方代表的意见与建议,PCAOB认为PCAOB所确立的原有内部控制鉴证准则并不能充分完成有效履行法案404(b)条款之要求,PCAOB自身也不能适当解除法案103条款下的准则制定义务。因此,PCAOB在2003年10月7日制定了一个题为“连同财务报表审计的财务报告内部控制审计”的准则征求意见稿,在准则征求意见期间,PCAOB一共收到来自审计师、投资者、内部审计师、发起人、监管者和其他人等的193份评论。在综合分析与考虑所收到的评论和履行法案的规定要求后,PCAOB于2004年4月9日正式了审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”。要求被证券交易法12b-2所认定为加速递交的公司会计年度结束于2004年12月31日或之后的就要遵循萨班斯法案404条款规定的内部控制报告和披露。(其他公司直至会计年度结束于2005年12月31日或之后才遵循内部控制报告和披露的规定。)因此,受聘于审计加速递交人会计年度结束于2004年12月31日或之后财务报表的独立审计师也要求审计和报告公司同期会计年度的财务报告内部控制。
二、PCAOB财务报告内部控制审计准则实施中要注意的问题
自PCAOB审计准则No.2准则“连同财务报表审计的财务报告内部控制审计”颁布实施以来,历时虽不久,但是所反映出来的问题却很多,以下只是从审计师遵守该准则执行具体业务的视角,简单讨论了审计师为了更好地遵守准则完成所聘业务应该注意的问题。
(一)努力整合财务报告内部控制审计与财务报表审计
法案404(b)要求公司外部审计师对其管理当局的财务报告内部控制评估予以鉴证并报告, PCAOB的审计准则No.2要求审计师对管理当局财务报告内部控制的评估进行审计并报告审计结果。根据PCAOB的观点,审计师对管理当局财务报告内部控制有效性评估报告的鉴证业务与财务报告内部控制审计是一样的,检查管理当局财务报告内部控制评估的鉴证业务所要求的工作与财务报告内部控制审计所要求的工作也是一样的。财务报告内部控制审计的目标是审计师就管理当局对财务报告内部控制有效性的评估报告是否在所有重大方面公允表达表示意见,财务报表审计的目标是审计师就被审单位的财务报表是否在所有重大方面公允表达表示其专业意见。为了取得公允、可靠的财务报表,内部控制必须设计良好的以监督记录准确、公允反映交易和公司资产的处置;
内部控制必须能够为交易记录足以遵守GAAP编制财务报表、现金收支只有在管理当局或董事会授权才能处理提供合理保证;
内部控制必须确保设计好控制能够预防或侦查盗窃、未授权使用或处置对财务报表有重大影响的资产等等。换而言之,如果公司管理当局能够证明他们运用充分的内部控制簿记,为编制准确的财务报表准备了充分的簿记和记录,坚持了关于使用公司资产的规则等,则投资者对公司的财务报表将会有更大的信心。正因为这样,法案404条款才要求公司管理当局评估和报告其财务报告内部控制,并要求公司独立审计师对管理当局的评估表示鉴证意见,也就是说,为利益相关者和社会公众依赖管理当局对公司财务报告内部控制的表达提供一个独立理由。可见,无论是财务报表审计,还是财务报告内部控制审计,其终极目标是一样的。为此,404(b)条款要求不能将审计师对管理当局财务报告内部控制的鉴证视为一个孤立的业务。
更重要的是,这二者所涉工作之间的关系是你中有我、我中有你、互为影响、紧密联系的。整合财务报表审计和财务报告内部控制审计,就是通过同一过程同时实现两种审计的目标。财务报表审计中,准则要求审计师必须获得对被审单位内部控制的了解,并对之进行风险评估,以确定随后需要进一步执行的审计程序。而遵守404条款的公司审计师就不仅仅是获得内部控制的了解,而且要检查内部控制设计和运行的有效性,并就其有效性表示意见。可见,这两种审计不仅终极目标是一致的,而且其间过程也是血肉相容的,努力整合它们可以降低审计成本,提升整个审计过程的有效性。如财务报告内部控制审计中审计师对内部控制的检查,可以通过财务报表审计的结果得以证实;
另外,在财务报告内部控制审计过程中得到的审计结果和结论又可以帮助审计师更好地计划和执行那些设计来确定财务报表是否公允表达的审计程序。二者相互补充、互为强化,更好地改善了公司财务报告内部控制以及财务报表的审计质量。
在现有的审计实务中,由于种种原因,一些审计师未能充分整合这两种审计,事实证明这不仅浪费审计资源,还将危及整体审计质量,甚至有很大可能错过那些能够识别和根除处于萌芽状态的会计或报告问题。
(二)重视并努力提高职业判断能力
本质上说, PCAOB的审计准则No.2与其他审计准则并无多大差异,也在准则中规定了相对具体的审计方案。遵循这一准则,审计师也能够量体裁衣地编制足以应对审计客户性质和复杂性的审计计划,其前提就是审计师要充分运用自己的职业判断能力。但是,现有的审计相关实务所反映出来的是:有很大一部分审计师所使用的是一种“以一应万”的、与具体问题和具体客户财务报表过程风险无多大关联的标准化式的“清单驱动”审计计划。这种计划编制模式,最终的结果是导致审计费用增加,审计资源配置不科学。如安排项目小组中的助理人员花很多的时间去测试细节处理层次的控制;
这种计划很少调查可能识别财务报告问题的重大控制薄弱点等等。这种计划最终将使得审计质量未能取得预期效果。
财务报告内部控制审计的目标是针对被审单位管理当局的财务报告内部控制评估报告是否在所有重大方面公允表达表示意见。审计师为了完成这一目标应该获得公司内部控制系统合理保证财务报表不含有重大错报的证据,在这一过程中充斥着对审计师职业判断的要求。例如审计师不仅需要运用职业判断确定如何将审计准则No.2应用于不同行业、不同规模的审计客户,还要运用其职业判断将其审计工作集中于由于错误或舞弊可能存在的更高错报风险的领域;
又如,要确定财务报告内部控制设计和运行的有效性,审计师应该运用其职业判断确定内部控制缺失、重大缺失、重大薄弱点,审计师在评价财务报告内部控制缺失时,必须以合理的方式运用其职业判断,这种评价可能要适当考虑质量和数量因素。特别是,质量分析应该分解为缺失的性质、原因、所设计的控制支持的相关财务报表认定、对主要控制环境的影响以及其他弥补控制是否有效。
一个新的工作领域,审计师不仅面临着一个学习的过程,而且要面对前所未有的困难与挑战。尽管财务报告内部控制审计与财务报表审计血肉交融,但是财务报告内部控制审计对审计师职业判断的要求要高得多,且目前还有点让人无所适从之感。为了更好地履行财务报告内部控制审计这一职责,审计师应该充分重视并尽可能地提升自己的专业判断能力。
(三)强调方法的适用性和风险评估的作用
审计向来不是一种机械核对活动,财务报告内部控制审计也一样。一个好的、富有成效的财务报告内部控制审计方式应该是重视不同被审单位的具体风险,将审计资源科学地配置于最高风险领域,避免对重大账户和相关控制一视同仁而无视相对应的风险。因此,在财务报告内部控制审计中,要强调方法的适用性和风险评估的作用。为此,审计准则No.2设计了一种自上而下的风险导向测试策略方法。也就是说,准则要求审计师首先将注意力集中于公司层面的控制;
然后是重大账户,这将引导审计师关注重大处理过程;
最后,关注过程中、交易或应用层次的具体控制。每一步获得的了解都将指导审计师关注下一控制层次内的高风险领域。
审计师应用自上而下、风险导向的方法确定重大账户和相关的重大过程以及有关的认定。这种方法的自然结果是审计师能够对高风险领域予以更大的关注和资源。应用这种自上而下的方法,要求审计师以合理的方式运用其积累的知识、经验和判断去确认存在财务报表可能存在重大错报的重大风险领域,然后,进一步确认与此相关的控制、设计适当的程序测试这些控制。在确认重大账户和有关重大过程以确定其审计程序时,审计师一般既要考虑数量因素也要考虑质量因素。质量因素包括与不同账户及其相关过程有关的风险,除了考虑质量因素以外,审计师还要建立用于确认内部控制测试范围内的重大账户的数量限阈。审计师应该考虑与已识别的每一重大账户有关的整体风险以确定他们是否应该改变具体控制之控制测试的性质、时间和范围。这样审计师就可以排除那些不需进一步考虑的含有重大错报之概率只有极小概率的账户,使得其对低风险领域予以更少的关注,进而能够进一步降低成本,同时增加审计效果。审计师要是选择另一种无用的方法就有可能要承担审计成本增加、质量降低的风险。如从最低层开始就增加了使自己陷入最终结果对实现预防或侦查财务报表重大错报的基本目标无任何意义的测试之中,进而导致增加一些不必要的成本。
作为其风险评估的一部分,审计师还应该考虑公司层面控制的强度,以确定对这些控制所作的测试结果是否改变测试的性质、时间和范围。虽然审计师不仅仅依赖公司层面控制的测试,但公司层面控制强可以使得审计师做更少的工作,否则,他们将要执行更多的测试或要更大范围地依赖别人的工作。
(四)充分利用他人的工作
审计师自上而下地应用审计准则No.2,并适当地评估风险将能自然地识别那些需要利用他人工作既遵守准则要求又是最有效的审计方式的领域。在这些领域重复执行测试或其他审计工作可能使得审计成本不必要地增加,审计质量也没有得到相应的提高。
财务报告风险控制范文第4篇
【关键词】管理学 内部控制 风险管理
一、美国内部控制与风险管理的融合
在美国,COSO报告中内部控制的手段主要体现在事前控制上。在不考虑其他条件的情况下,企业采取的控制措施越强,其所面临风险的可能性以及所可能遭受的损失则越小。所以企业的管理者经常使用风险评估手段识别和分析企业面临的风险并不断完善内部控制的具体环节,从而将经营管理风险于事前控制在最小程度。
而在全面风险管理(ERM)框架中,与内部控制一样,企业风险管理被定义为一个过程。ERM指出,风险管理是渗透于企业各项活动中的一系列行动,贯穿于管理过程的各个方面。风险管理不只是某个人或者某个部门的事,而是贯穿到整个企业、整个员工,贯穿到业务的每一个环节,有赖于高管人员到基层员工各层次人员的相互配合。
二、英国内部控制与风险管理的融合
在英国,有关内部控制的理论研究主要见于《卡德伯利报告》、《拉特曼报告》、《哈姆佩尔报告》以及《特恩布尔报告》。其中:《卡德伯利报告》和《拉特曼报告》认为,内部控制的对象限于对企业的财务控制,企业实施内部控制的主要功能在于保护企业资产的安全、保持正确的财务会计记录以及确保公司内部使用和向外部提供的财务信息的可靠性。
而《哈姆佩尔报告》认为企业实施内部控制的目的,除了保持财务会计记录的真实准确、保护企业的资产安全以及各项信息的可靠性外,还应该充分重视董事在内部控制中的作用。该报告认为企业风险评估和反映、财务管理、遵守法律法规、保护资产安全以及使舞弊风险最小化等也是极其重要的,企业内部控制的实施离不开董事等高级管理人员对企业经营的各方面进行复核。
《特恩布尔报告》在理解内部控制活动范围时,将内部控制与风险管理合为一体,认为内部控制与风险管理的概念涵义基本一致,认为公司经营管理和内部控制组织的环境处于不断变化之中,而企业所面临的风险也是不断变化的,内部控制的目的就是帮助企业正确地分析评估、管理和控制风险。因此,该报告认为对公司所面临风险进行全面分析评估,是一个健全的内部控制必不可少的内容。
三、我国内部控制与风险管理的融合
在我国,审计署党组成员、总审计师孙宝厚先生曾在“融合之道——内部控制和风险管理高峰论坛》上真言不讳的讲:“内部控制、内部审计是风险管理的重要组成部分。”他认为:内部控制中的审计活动一定意义上讲就是要防范和减少错弊或者损失的发生。因此,企业审计在针对企业可能遇到的内外部风险(如经营风险、市场风险、法律风险、政治风险、信用风险、技术更新风险等)的预防控制方面具有较大的局限性。尤其是企业的内部审计活动,在内部控制以及风险管理控制上的作用主要是局限于财务和内部的操作风险方面;
至于外部的、长远的其他方面的风险,审计活动算是鞭长莫及。所以,企业就需要考虑另外一种能够同时应对外部的、长远风险的管理角色。
此外,加拿大CICA的控制委员会对内部控制与风险管理关系的认识也逐步从对立走向融合,认为“控制应包括对风险的确认和规避”。当前,加拿大的学者逐渐认识到将内部控制和风险管理的二者加以隔离的分析方法的不足,控制的过程本身即是对风险的评估确认以及合理规避。CICA控制委员会认为在企业管理中,只有将内部控制与风险管理二者加以结合,才能发挥最佳的企业管理效果。例如,Blackburn(1999)就认为“风险管理与内部控制仅是人为的分离,而在现实的商业行为中,他们是一体化的”。
从以上分析可以看出,内部控制和风险管理相融合的理论演变,恰恰使得有关内部控制的定义变得清晰,使内部控制的内容跳出传统的内部财务控制的限制,扩展到了企业的战略制定等所有价值创造领域,标志着风险导向型内部控制时代的开始。
参考文献:
[1]许开端.企业内部控制系统设计之我[J].会计师.2010(1).
[2]李星辰.内部会计控制与公司治理结构[J].华北科技学院学报.2003,(3).
[3张景安.风险投资中的风险控制[J].中国内部审计,2007.
[4]王光远.公司治理下的内部控制与审计——英国的经验与启示[J].中国注册会计师,2003.
财务报告风险控制范文第5篇
关键词 财务报告 内部控制 审计
中图分类号:F239 文献标志码:A
《企业内部控制基本规范》及其《企业内部控制配套指引》的,标志着我国企业内部控制规范体系的建设基本完成。但是,任何一个制度都需要强有力的监督才能发挥有效的作用,所以由第三方审计师对内部控制进行鉴证并进行披露已经被世界上大多数国家所共识。2002年7月,美国国会批准了《萨班斯――奥克斯利法案》(简称“《SOX》”),要求社会公众公司管理层对内部控制进行自我评价并对外报告,同时要求担任公司年报审计的会计公司对管理层的评价报告进行鉴证并出具审计报告。2004年3月,美国公众公司会计监管委员会(简称“PCAOB”),了《与财务报表审计同时进行的财务报告内部控制审计》(简称“AS2”);
2007年6月,PCAOB又了取代AS2的《与财务报表审计结合的针对财务报告内部控制的审计》(AS5);
2010年4月,我国财政部等部门联合了《企业内部控制审计指引》要求会计师事务所接受委托,对上市公司内部控制设计与运行的有效性进行审计,并出具审计报告。但是,内部控制审计毕竟是一项新生事物,对其相关问题展开研究,对于正确指导会计和审计实务工作具有重要的意义。
一、关于内部控制审计的目标
世界公认的内部控制研究机构美国COSO委员会认为,如果公司的经营目标得到了某程度的实现、财务报告可以信赖、适用的法律法规得到了遵循,即可以认为内部控制是有效的。AS5指出,财务报告内部控制审计的目标是对公司财务报告内部控制的有效性发表意见,财务报告内部控制的有效性包括设计和运行两个方面,任何一个方面存在重大漏洞,便可以被认定为无效的。我国《企业内部控制审计指引》指出,内部控制审计是指会计师事务所接受委托,对特定基准日内部控制设计与运行的有效性进行审计。在内部控制审计业务中,注册会计师提供的保证水平要高于原来的内部控制审核业务提供的保证水平。内部控制审核在收集证据的性质、时间和范围方面是有意识的加以限制的,而内部控制审计则要收集充分的和适当的审计证据,以期为内部控制审计意见提供较高程度的保证。
二、关于内部控制审计的对象
(一)内部控制审计对象的类型。
AS5把财务报告内部控制审计的目标界定为“审计师就公司财务报告内部控制的有效性发表意见”,我国《企业内部控制审计指引》也指出,内部控制审计的目的是对财务报告内部控制的有效性发表意见,对于在审计过程中注意到的非财务报告内部控制的重大缺陷,注册会计师应当在内部控制审计报告中增加“说明段”予以披露。由此可见,财务报告内部控制审计指向的对象都是内部控制而不是公司管理层对内部控制的自评报告。
(二)内部控制审计对象的时空范围。
内部控制的目标包括合规性目标、经营目标、财务目标和战略目标,财务目标只是内部控制目标之一。AS5仅要求注册会计师对与财务报告相关的内部控制进行审计。《SOX》要求,公众公司财务年报中应当包括内部控制报告,其内容包括对公司管理层建立和维护内部控制系统及相应控制程序充分有效的责任的强调,管理层最近财政年度末对内部控制体系及控制程序有效性的评估,担任公司年报审计的会计公司应当对管理层对内部控制的评估进行测试和评价,并出具评价报告。我国《企业内部控制审计指引》强调会计师事务所对企业特定基准日内部控制设计与运行的有效性进行审计。PCAOB也认为财务报告内部控制有效性是针对具体某一时点的。由于财务报告内部控制是一个连续的和动态的过程,有些控制政策和程序运行后不会留下审计轨迹,因此审计师在财务报告内部控制审计过程中只能获取某一时点的充分而有效的审计证据,从而也只能对该时点控制的有效性提供合理的保证。
三、关于内部控制审计的依据
AS5指出,审计师在财务报告内部控制审计过程中,应当采用与公司管理层评价财务报告内部控制同样的标准,即共同认可的控制框架。美国证券交易委员会(简称“SEC”)要求管理层采用一个适当的、被认可的、包括向公众广泛征求意见的团体制定的控制框架作为评价公司财务报告内部控制有效性的基础,COSO的内部控制整体框架即是这样的一个框架。COSO 报告是由美国注册会计师协会、美国会计协会、内部审计协会、管理会计师协会和财务经理人协会共同制定,其专业导向性,决定了其关注的重点是会计和财务问题,普华永道会计师事务所承担了大量的工作,可以作为财务报告内部控制的评价标准。而且COSO报告的权威性在世界上得到了广泛的认可。
四、内部控制有效性的认定问题
(一)内部控制缺陷的概念。
内部控制缺陷指的是内部控制设计和运行中存在的漏洞,会影响内部控制目标的实现。内部控制是允许存在瑕疵的,AS5指出:“对那些没有以合理可能性导致财务报表发生重大错报的控制来说,即使存在缺陷,也没有必要进行测试。”但是,内部控制的缺陷不应当为控制目标的实现提供合理保证。因而内部控制缺陷是与控制目标相联系的。
(二)内部控制缺陷的分类。
对内部控制缺陷进行分类是十分重要的,因为审计师是缺陷的类型来确定审计意见的类型的。AS5根据将控制缺陷划分为一般缺陷、重大缺陷和实质性漏洞三个层次,并列举了实质性漏洞的信号。重大缺陷也称实质性漏洞,是指一个或多个控制缺陷的组合,可能严重影响内部整体控制的有效性,进而导致企业无法及时防范或发现严重偏离整体控制目标的情形,例如管理层风险意识薄弱,或者的风险偏好与企业的经营特征不匹配等;
重要缺陷是指一个或多个一般缺陷的组合,其严重程度低于重大缺陷,但导致企业无法及时防范或发现严重偏离整体控制目标的严重程度依然重大。例如,有关缺陷造成的负面影响在部分区域流传,为公司声誉带来损害。是指除重要缺陷、重大缺陷外的其他缺陷。
(三)内部控制缺陷的认定。
内控缺陷和内控局限性都会影响内控目标的实现,但二者是不同的。内部控制局限性指的是内部控制能够为控制目标的实现提供合理保证,但是却不能提供绝对保证。COSO列举了内控局限性的典型表现:决策过程中可能出现错误判断、执行过程中可能出现的错误或过失;
因勾结串通或管理层越权而失效;
控制成本与收益的权衡等。
五、内部控制审计与财务报表审计的整合问题
财务报告内部控制审计的目标是对财务报告内部控制有效性发表意见,财务报告审计的目标是对财务报表的公允性发表意见,二者都是对企业管理层对财务信息的认定提供合理保证。鉴于此,将二者进行整合将有助于提高审计效率,降低审计风险。《SOX》规定,内部控制审计应当由为公司出具审计报告的会计师事务所来进行;
AS2和AS5均明确提出,财务报告相关内部控制审计应当与财务报告审计结合进行。我国《企业内部控制审计指引》规定:“注册会计师可以单独进行内部控制审计,也可以将内部控制审计与财务报表审计整合进行”。在对财务报告内部控制审计与财务报表审计整合进行时,注册会计师应有效地、协同地计划和执行审计工作以实现两者的目标,在审计过程中既要考虑财务报告内部控制审计得出的结论对财务报表审计的影响,也要考虑财务报表审计得出的结论对财务报告内部控制审计的影响。
六、内部控制审计的导向性问题
AS5为财务报告内部控制审计设计了一种自上而下的风险导向审计方法。风险导向的意思是注册会计师将审计资源集中于高风险领域,以提高审计效率,降低审计风险。自上而下的意思是指,注册会计师首先要关注公司层面的内部控制,即控制的顶层设计;
然后是重要的报表项目和重要账户余额和发生额的控制,最后才是业务层面的控制,即具体业务流程的具体控制。由于企业层面的内部控制主要涉及到的是控制环境因素,如公司组织架构、企业文化、人力资源政策和程序、职责分工等,这些因素决定了内部控制的基调,是内部控制的基础,同时也是内部控制的短板。控制环境出现问题,也就意味着其他层面的内部控制都可能会出现问题。如公司治理存在缺陷、不相容职务没有进行分离这些企业层面的设计缺陷,既容易导致管理层舞弊,不可避免地会导致财务报表层面和业务层面的内部控制出现问题。换而言之,企业层面的控制决定了财务报表层面的控制,进而决定了业务层面的内部控制,其风险也是逐级下移和扩散的,控制了企业层面的风险,也就等于控制住了其他层面的风险。所以,自上而下的内部控制审计方法就是以风险为导向的审计理念的具体体现。这种自上而下的,以风险为导向的审计方法将引导注册会计师将审计工作的重点指向下一步的高风险领域,为注册会计师制定审计策略、安排审计计划提供了路线图。
(作者单位:中国平煤神马集团财务资产部)
参考文献: