工具箱——基于财报的内部控制中风险评估程序方法
企业以财务报告内部控制为核心进行风险评估时,应重点考虑财务报告内部控制相关的风险,系统地收集相关信息,及时识别、系统分析、评估经营活动中与影响实现财务报告控制目标相关的风险,合理确定风险应对策略。
全面风险管理的风险评估主要经过目标设定、风险识别、风险分析、风险应对等四个基本程序,财务报告内部控制相关风险评估程序理念上与全面风险管理的程序不存在实质差别,但具体评估过程与方法则更为清晰,即充分考虑财务报告内部控制的特殊性,从财务报表重要科目出发,结合企业自身情况选择重要流程与业务单元以完成内部控制建设的风险评估。财务报告内部控制风险评估的主要步骤包括:
步骤1:计算合并财务报表层次的重要性水平
重要性水平的认定通常以可能影响财务报表使用者所作的经济决策作为出发点,按照某一财务指标的一定比例确定。决定计划重要性水平及可容忍误差需确定基准(日期)、确定重要性水平指标及标准。同时,除报表层面的重要性水平外,还需考虑各类交易、账户余额、列报认定层次的重要性水平,一般又称可容忍误差。
步骤2:识别合并财务报表层次的重要会计科目
从财务报表层面开始,按照一定的标准识别账户,在识别过程中可以考虑以下要素:
· 会计科目由复杂的成分所组成;
· 容易受人为操纵或由于错误或舞弊而遭受损失;
· 会计科目的性质特殊,容易隐藏错误,需要多加关注;
· 发生交易量大;
· 牵涉复杂的会计处理和披露要求;
· 账户余额牵涉主观判断;
· 存在关联方交易;
· 当期外部环境(例如,法律法规,会计准则)或报告的要求发生变化;
· 会计科目中反映出来的由经营活动所引起的重大或有负债的可能性。
步骤3:识别关键业务流程并将其与重要会计科目配比
关键业务流程是指对某一重大账户和列报及其相关认定产生重大影响的业务流程。具体工作中需要识别影响每个重大账户和重大列报的、与认定相关的关键业务流程,同时需要将识别的关键业务流程与重要会计科目配比。
步骤4:识别业务单元的覆盖范围
企业的组织形式具有多样性,不论是从组织结构或是业务分布的角度,关键业务流程涉及到的都是错综复杂的。在确认关键业务流程的基础上应结合业务分布情况梳理出业务单元涉及的组织机构,确定风险评估的组织范围。
步骤5:了解潜在错报的来源并识别相关的控制
基于财报的风险评估主要考虑前述关键流程中影响实现财务报告控制目标相关的风险。辨识此类风险应首先还原各关键业务流程管控现状,了解潜在错报的来源并识别相关的控制,在此基础上开展风险识别、分析、评价工作。
总结而言,在进行财务报告内部控制建设过程中风险主要是指可能导致重要会计科目和披露事项中的重大错报的可能性。重要会计科目和披露事项是透过企业的业务流程/子流程所产生的。若不能有效的透过置于业务流程/子流程的内部控制以控制有关风险,错报的可能性便会增加。管理层以及审计师必须确认业务流程/子流程并进行风险评估,以评估各领域的内控范围。