
【至境日臻·第175期】审计|审微:财报重大错报风险与内控应对
审计师没发现问题,有时候不是因为问题藏得深——而是因为他从一开始就没往对的地方看。 2026年1月,证监会上海监管局给德勤华永出了一份警示函。 被审计的是一家新能源汽车科技公司,项目上的问题包括:收入确认的时点,审计师没有把它识别为“关键控制点”;穿行测试的支持文件,针对款项支付这个环节,一份都没有;存货盘点发现了差异,样本偏差没有评价,后续程序也没有追加。 这听起来像是审计执行层面的问题,但往深处想,根子在更前面——审计师没有把收入确认的时点识别为“特别风险”,所以后续程序自然就少了、浅了、漏了。 对企业来说,这个案例的启示不是“怎么防审计”,而是:你的财报,有没有可能出现审计师都没发现的重大错报?如果有,你的内控能不能在他们之前先发现? 一、什么是重大错报风险,分几层 先把概念说清楚。 重大错报风险,依据中国审计准则第1211号(财会〔2022〕36号,2023年7月1日生效),指财务报表在审计前存在重大错报的可能性——可以是无意的错误,也可以是故意的舞弊。 这个风险分两个层次来看: 第一层:财务报表层次的风险。 这是影响整体财报的风险,通常跟控制环境薄弱、管理层凌驾于控制之上有关。说白了,就是“这家公司整体上不太可信”。比如财务总监和老板都参与造假,那整张财报可能都有问题,不是查某一个科目那么简单。 第二层:认定层次的风险。 针对具体的交易类别、账户余额和披露项目的认定——完整性、准确性、存在性、截止、分类等等等。这是审计师日常工作的主战场:这笔收入真的存在吗?这个减值准备计提金额准确吗? 二、两类风险:固有风险和控制风险 说到重大错报风险,还有两个概念必须分清楚:固有风险和控制风险。 固有风险,是指在不考虑内控的情况下,某个认定本身就容易发生错报的可能性。影响固有风险的因素包括:事项的复杂性、主观判断的成分、变化的频繁程度、不确定性,以及是否存在舞弊的动机和机会。 举个例子:商誉减值测试,涉及折现率假设、未来现金流预测,主观性极强,固有风险天然就高;而银行存款的期末余额核对,只需要对比银行对账单,固有风险就很低。 控制风险,是指内部控制未能及时防止或发现并纠正错报的风险。你的控制设计得再好,如果没有被执行,控制风险就高;如果执行了但方向不对,也一样。 两者的关系,审计理论上有一个简化模型来理解:重大错报风险 = 固有风险 × 控制风险。 固有风险高,如果内控强,整体风险还可以控制;但如果控制也失效,那就真的危险了。 还有一个特别概念要记住:特别风险(Special Risk)——固有风险被评估为接近最高水平的情形。收入确认、关联交易、非常规交易、会计估计,这四类是最常见的特别风险。对特别风险,审计师必须设计专门的应对程序,不能用一般程序应付。 这正是特别风险识别失效的典型后果——没识别出来,后续程序自然就缺了,漏洞就这样出现了。 三、哪些领域重大错报风险最高 结合实务,财报里风险最集中的区域有四块: 收入确认。 时段法还是时点法、总额法还是净额法、有没有跨期——这些判断主观性强,业绩压力大的公司容易在这里动手脚。前两期讲的启迪设计、派瑞股份,根子都在收入确认。 资产减值。 商誉减值测试的折现率、长期资产减值的可回收金额——管理层有强烈的动机少计减值,因为减值直接影响利润。而且减值测试的假设,外人很难验证,审计师也得靠独立评估机构或者模型来复核。 关联交易。 关联方认定不完整、交易定价不公允、信息披露不充分。这类错报有时候是故意的——通过关联交易把利润转移出去,或者把亏损藏起来。 舞弊风险。 管理层凌驾于控制之上,这是内控体系最难防的一类风险。审计准则明确要求,管理层凌驾控制是一种特别风险,必须针对性地设计审计程序,而不能依赖内控来应对——因为内控本身就可能被管理层绕过去。但这不意味着内控对舞弊毫无作用,而是说针对管理层凌驾风险,内控的重点应当放在治理层监督(审计委员会、独立董事)和外部审计的独立性上,而不是依赖管理层自己设计的流程控制。 四、内控怎么应对:预防性控制和检查性控制 内控应对重大错报风险,有两种思路,缺一不可: 预防性控制(Preventive Controls):在错报发生前,把它挡住。 常见措施:授权审批、职责分离、系统访问控制、截止日锁定。逻辑是:通过制度设计,让错报从一开始就没有机会发生。比如ERP系统截止日后自动锁定录入权限,你想延迟确认收入,系统就不让你改。 检查性控制(Detective Controls):在错报发生后,把它发现出来。(也叫补偿性控制。) 常见措施:账户余额复核、差异分析、内审抽查、管理层复核报告。逻辑是:预防不可能100%有效,所以要有独立的后端检查,及时发现异常。 两类控制是互补关系,不是谁替代谁。高频、标准化的业务,预防性控制为主;复杂估计、非常规交易,检查性控制不可少。 针对特别风险,内控设计要格外注意:每一类特别风险,必须有专门的关键控制点,而不是依赖通用流程来覆盖。 收入确认时点控制要单独设计,减值测试要有独立复核机制,关联交易要有独立董事审议。 五、审计视角:穿行测试和控制测试怎么做 审计师评价ICFR,两个核心程序:穿行测试验设计,控制测试验运行。 穿行测试:从头追到尾,看控制有没有真的发生作用。 操作步骤:选1-2笔典型交易,从业务发起一路追踪到财务报告生成的全过程,在每个控制节点检查执行证据——审批签字有没有、系统日志有没有、单据有没有支持文件。同时询问执行人员,实际操作和制度文件有没有偏差。 穿行测试发现的是设计缺陷:制度本身有漏洞,或者控制根本没有被执行过。 控制测试:抽样验证,看控制是不是在整个期间持续运行有效。 操作步骤:确定测试期间(通常全年);确定样本量(控制频率越高,样本量通常越大,参考准则第1314号);执行检查、询问、观察、重新执行四类程序;发现偏差后,评价偏差性质,判断是否影响控制有效性结论。 常见控制测试项目举例:
德勤华永案的两个教训:在建工程转固的控制测试,发现了样本偏差却没有评价;存货盘点发现差异,后续程序没有追加。这两条说的是同一件事——发现了异常不能放过,必须追到底。 ? 内控复盘室 今天不做案例了,内控这个专题写到这,基本上已经复习的差不多了,相信从头(119篇)跟到现在的朋友,再看今天这篇很基础的基础知识总结,应该会有不一样的感悟。 欢迎讨论。 ? 今日思维锚点 识别风险,才能设计控制;控制针对风险,才是有效控制——ICFR体系的逻辑,从来都是“风险先行,控制跟上”。 财报内控这个模块到这里收尾了。三期下来,从ICFR的整体框架,到关账每个节点的操作控制,再到重大错报风险的识别和应对——串起来,其实是同一个逻辑:让财报数字有据可查、有人复核、有控制在保护它。 这个专题预计会在3-4期后结束,但学习与自我提升的路不会就此终结。目前的计划,下一个专题是以审计为主的内容,我们来专注审计实务,复盘工作经验。预计会是个长度不比内控专题短的大主题,敬请期待了。



