推广 热搜: 采购方式  滤芯  带式称重给煤机  甲带  气动隔膜泵  减速机型号  无级变速机  链式给煤机  履带  减速机 

【至境日臻·第175期】审计|审微:财报重大错报风险与内控应对

   日期:2026-07-09 00:00:13     来源:网络整理    作者:本站编辑    评论:0    
【至境日臻·第175期】审计|审微:财报重大错报风险与内控应对
审计师没发现问题,有时候不是因为问题藏得深——而是因为他从一开始就没往对的地方看。
2026年1月,证监会上海监管局给德勤华永出了一份警示函。
被审计的是一家新能源汽车科技公司,项目上的问题包括:收入确认的时点,审计师没有把它识别为“关键控制点”;穿行测试的支持文件,针对款项支付这个环节,一份都没有;存货盘点发现了差异,样本偏差没有评价,后续程序也没有追加。
这听起来像是审计执行层面的问题,但往深处想,根子在更前面——审计师没有把收入确认的时点识别为“特别风险”,所以后续程序自然就少了、浅了、漏了。
对企业来说,这个案例的启示不是“怎么防审计”,而是:你的财报,有没有可能出现审计师都没发现的重大错报?如果有,你的内控能不能在他们之前先发现?
一、什么是重大错报风险,分几层
先把概念说清楚。
重大错报风险,依据中国审计准则第1211号(财会〔2022〕36号,2023年7月1日生效),指财务报表在审计前存在重大错报的可能性——可以是无意的错误,也可以是故意的舞弊。
这个风险分两个层次来看:
第一层:财务报表层次的风险。 这是影响整体财报的风险,通常跟控制环境薄弱、管理层凌驾于控制之上有关。说白了,就是“这家公司整体上不太可信”。比如财务总监和老板都参与造假,那整张财报可能都有问题,不是查某一个科目那么简单。
第二层:认定层次的风险。 针对具体的交易类别、账户余额和披露项目的认定——完整性、准确性、存在性、截止、分类等等等。这是审计师日常工作的主战场:这笔收入真的存在吗?这个减值准备计提金额准确吗?
二、两类风险:固有风险和控制风险
说到重大错报风险,还有两个概念必须分清楚:固有风险控制风险
固有风险,是指在不考虑内控的情况下,某个认定本身就容易发生错报的可能性。影响固有风险的因素包括:事项的复杂性、主观判断的成分、变化的频繁程度、不确定性,以及是否存在舞弊的动机和机会。
举个例子:商誉减值测试,涉及折现率假设、未来现金流预测,主观性极强,固有风险天然就高;而银行存款的期末余额核对,只需要对比银行对账单,固有风险就很低。
控制风险,是指内部控制未能及时防止或发现并纠正错报的风险。你的控制设计得再好,如果没有被执行,控制风险就高;如果执行了但方向不对,也一样。
两者的关系,审计理论上有一个简化模型来理解:重大错报风险 = 固有风险 × 控制风险。 固有风险高,如果内控强,整体风险还可以控制;但如果控制也失效,那就真的危险了。
还有一个特别概念要记住:特别风险(Special Risk)——固有风险被评估为接近最高水平的情形。收入确认、关联交易、非常规交易、会计估计,这四类是最常见的特别风险。对特别风险,审计师必须设计专门的应对程序,不能用一般程序应付。
这正是特别风险识别失效的典型后果——没识别出来,后续程序自然就缺了,漏洞就这样出现了。
三、哪些领域重大错报风险最高
结合实务,财报里风险最集中的区域有四块:
收入确认。 时段法还是时点法、总额法还是净额法、有没有跨期——这些判断主观性强,业绩压力大的公司容易在这里动手脚。前两期讲的启迪设计、派瑞股份,根子都在收入确认。
资产减值。 商誉减值测试的折现率、长期资产减值的可回收金额——管理层有强烈的动机少计减值,因为减值直接影响利润。而且减值测试的假设,外人很难验证,审计师也得靠独立评估机构或者模型来复核。
关联交易。 关联方认定不完整、交易定价不公允、信息披露不充分。这类错报有时候是故意的——通过关联交易把利润转移出去,或者把亏损藏起来。
舞弊风险。 管理层凌驾于控制之上,这是内控体系最难防的一类风险。审计准则明确要求,管理层凌驾控制是一种特别风险,必须针对性地设计审计程序,而不能依赖内控来应对——因为内控本身就可能被管理层绕过去。但这不意味着内控对舞弊毫无作用,而是说针对管理层凌驾风险,内控的重点应当放在治理层监督(审计委员会、独立董事)和外部审计的独立性上,而不是依赖管理层自己设计的流程控制。
四、内控怎么应对:预防性控制和检查性控制
内控应对重大错报风险,有两种思路,缺一不可:
预防性控制(Preventive Controls):在错报发生前,把它挡住。
常见措施:授权审批、职责分离、系统访问控制、截止日锁定。逻辑是:通过制度设计,让错报从一开始就没有机会发生。比如ERP系统截止日后自动锁定录入权限,你想延迟确认收入,系统就不让你改。
检查性控制(Detective Controls):在错报发生后,把它发现出来。(也叫补偿性控制。)
常见措施:账户余额复核、差异分析、内审抽查、管理层复核报告。逻辑是:预防不可能100%有效,所以要有独立的后端检查,及时发现异常。
两类控制是互补关系,不是谁替代谁。高频、标准化的业务,预防性控制为主;复杂估计、非常规交易,检查性控制不可少。
针对特别风险,内控设计要格外注意:每一类特别风险,必须有专门的关键控制点,而不是依赖通用流程来覆盖。 收入确认时点控制要单独设计,减值测试要有独立复核机制,关联交易要有独立董事审议。
五、审计视角:穿行测试和控制测试怎么做
审计师评价ICFR,两个核心程序:穿行测试验设计,控制测试验运行。
穿行测试:从头追到尾,看控制有没有真的发生作用。
操作步骤:选1-2笔典型交易,从业务发起一路追踪到财务报告生成的全过程,在每个控制节点检查执行证据——审批签字有没有、系统日志有没有、单据有没有支持文件。同时询问执行人员,实际操作和制度文件有没有偏差。
穿行测试发现的是设计缺陷:制度本身有漏洞,或者控制根本没有被执行过。
控制测试:抽样验证,看控制是不是在整个期间持续运行有效。
操作步骤:确定测试期间(通常全年);确定样本量(控制频率越高,样本量通常越大,参考准则第1314号);执行检查、询问、观察、重新执行四类程序;发现偏差后,评价偏差性质,判断是否影响控制有效性结论。
常见控制测试项目举例:
控制点
测试方法
关注重点
收入确认截止日控制
抽查年末前后各10-15笔交易(具体样本量参考控制频率和可接受偏差率确定),核查确认时点与出库记录是否一致
有无跨期异常
账务调整审批控制
抽查期末手工分录,核查审批层级和支持文件
有无越权审批、支持文件缺失
减值测试审批控制
检查减值测试报告的编制人、复核人、审批人及文件完整性
有无独立复核机制
德勤华永案的两个教训:在建工程转固的控制测试,发现了样本偏差却没有评价;存货盘点发现差异,后续程序没有追加。这两条说的是同一件事——发现了异常不能放过,必须追到底。
? 内控复盘室
今天不做案例了,内控这个专题写到这,基本上已经复习的差不多了,相信从头(119篇)跟到现在的朋友,再看今天这篇很基础的基础知识总结,应该会有不一样的感悟。
欢迎讨论。
? 今日思维锚点
识别风险,才能设计控制;控制针对风险,才是有效控制——ICFR体系的逻辑,从来都是“风险先行,控制跟上”。
财报内控这个模块到这里收尾了。三期下来,从ICFR的整体框架,到关账每个节点的操作控制,再到重大错报风险的识别和应对——串起来,其实是同一个逻辑:让财报数字有据可查、有人复核、有控制在保护它。
这个专题预计会在3-4期后结束,但学习与自我提升的路不会就此终结。目前的计划,下一个专题是以审计为主的内容,我们来专注审计实务,复盘工作经验。预计会是个长度不比内控专题短的大主题,敬请期待了。
 
打赏
 
更多>同类资讯
0相关评论

推荐图文
推荐资讯
点击排行
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  皖ICP备20008326号-18
Powered By DESTOON