财务报告内部控制设计实务
目前,对于财务报告内部控制设计的概念,业内还没有一个统一权威的定义。中天恒3C框架认为,财务报告内部控制设计是在遵循国家和企业财务报告相关法规制度的基础上,以国家监管部门制定的内部控制规范及其应用指引为依据,结合企业财务报告发展的实际情况,用系统控制的技术和方法,构建企业自身财务报告内部控制体系的一个动态过程。简单说,财务报告内部控制设计,是财务报告内部控制建设的首要环节,是构建财务报告内部控制体系的过程。
设计范围及基本流程
《企业内部控制应用指引第14号——财务报告》(以下简称《财务报告指引》)第二条规定:“本指引所称财务报告,是指反映企业某一特定日期财务状况和某一会计期间经营成果、现金流量的文件。”
《财务报告指引》界定了财务报告的定义,描述了财务报告中的风险,明确了财务报告的编制和财务报告对外提供方面的控制措施,对优化企业财务报告制度具有重要意义。 财务报告内部控制设计是一项复杂的系统工程,基本流程包括设计准备、设计实施、试行及完善等。根据设计操作需要,在基本流程的基础上,还要有多层次的具体流程,每个具体流程中需明确工作内容、方法、步骤以及相应的表单等,要突出财务报告内部控制设计的特色。
企业应当根据本指引的要求,通过设计内部控制手册,使全体员工了解财务报告的内部机构设置、岗位职责、业务流程等情况,明确权责分配,正确行使职权,从而保证财务报告的真实、完整,以发挥财务报告作用,规范财务报告行为,防范财务报告风险。 描述现状
描述现状,就是梳理财务报告方面的内部管理制度或相关文件,梳理财务报告现状业务流程,编制财务报告内部管理制度或相关文件情况表、编制财务报告业务流程目录、绘制财务报告业务流程图等财务报告内部控制设计的基础性工作。
1、梳理描述制度文件。梳理描述制度文件,是梳理描述有关财务报告方面的管理制度或文件,应重点关注有无财务报告方面的相关制度以及是否完善和充分执行,有无具体可控的操作文件或表单等。
2、梳理描述现状业务流程。企业财务报告现行的业务流程到底什么内容、包括哪些环节以及能否有效控制财务报告风险,都是本步骤的工作重点。
3、确定业务流程目录。在梳理财务报告管理制度和业务流程现状的基础上,根据内部
控制设计的要求,编制财务报告业务流程目录,绘制财务报告业务流程图。
根据企业财务报告的实际情况,确定企业财务报告的业务流程目录,可为企业构建与实施财务报告内部控制界定边界。财务报告的业务流程目录因企业而异,一般可简单分为财务报告的编制、财务报告的对外提供、财务报告的分析利用阶段。
本阶段设计工作成果是形成《财务报告内部管理制度或相关文件情况表》、《财务报告流程目录》、《财务报告业务流程图表》等。
风险评估
财务报告风险评估的基本程序:识别财务报告风险,并进行具体描述;分析财务报告风险,编制财务报告风险分析表;评价财务报告风险,编制财务报告风险评价表;确定财务报告风险应对策略;提出财务报告重大风险解决方案。在实践中,财务报告风险分析及其评价是合在一起进行的,财务报告重大风险解决方案的制定要看企业是否需要,也可在财务报告内部控制设计完成后单独进行。
1、识别并描述风险。评估财务报告风险,首先,要把资金活动具体风险识别出来,然后整理出整体层面的风险。企业财务报告具体风险是多种多样的,也因企业的不同而不同。按照《财务报告指引》的要求,在评估财务报告风险时,至少应当关注下列风险:编制财务报告违反会计法律法规和国家统一的会计准则制度,可能导致企业承担法律责任和声誉受损;提供虚假财务报告,误导财务报告使用者,可能造成决策失误,干扰市场秩序;不能有效利用财务报告,难以及时发现企业经营管理中存在的问题,可能导致企业财务和经营风险失控。 财务风险是指在企业各项财务活动中,因企业内外部环境以及各种难以预计或无法控制的因素影响,在一定时期内,企业的实际财务结果与预期财务结果发生偏离,从而蒙受损失的可能性。财务风险主要包括投资风险、筹资风险、现金流量风险、利率分析、汇率风险等。习惯上,财务风险有时特指债务筹资风险。在市场经济条件下,财务风险贯穿于企业各个财务环节,是各种风险因素在企业财务上的集中体现。控制财务风险,是企业财务管理的重要内容和基本任务之一。
企业应根据《财务报告指引》中的财务报告风险提示,结合企业财务报告的实际情况,识别并具体描述财务报告存在的风险。财务报告具体风险描述因所识别出的风险而不同,将具体财务报告风险与财务报告流程结合是个比较好的做法。
2、分析风险。财务报告风险分析的内容很多,一般应从成因和结果两个方面进行,并编制财务报告风险分析表。
3、评价风险。财务报告风险评价应从发生可能性和影响程度两个维度进行,根据评价结果进行风险排序和等级划分,并编制财务报告风险评价表。
4、选择风险应对策略。财务报告风险应对是根据风险评价的结果,针对不同等级风险选择财务报告风险应对策略的过程。不同等级的财务报告风险采取的应对策略不一样,一般有规避、降低、转移、接受等策略。不论选择哪种策略,都需要编制财务报告风险应对表。
5、编制风险数据库或绘制风险图谱。根据财务报告风险评估结果编制财务报告层面的风险数据库或绘制风险图谱。风险数据库的基本要素包括业务流程、风险描述、风险分析、风险排序、应对策略、剩余风险等,也可加上内部控制设计完成后控制措施、控制部门或岗位等。风险图谱一般适用于公司层面的风险描述。
本阶段设计工作成果是形成《财务报告风险及其描述表》、《财务报告整体层面风险清单》、《财务报告风险分析表》、《财务报告风险评价表》、《财务报告风险应对策略表》、《财务报告风险解决方案》等。
财务报告内部控制设计流程
设计财务报告内部控制是在评估财务报告风险的基础上,对财务报告内部控制进行设计的过程,是财务报告内部控制设计的关键环节,基本程序包括:确定财务报告关键控制点;明确财务报告控制目标;提出财务报告控制措施;设计财务报告控制证据;完善财务报告相关制度;绘制财务报告控制流程图;编制财务报告控制矩阵。
1、设计关键控制点。企业在构建与实施财务报告内部控制过程中,要针对财务报告风险评估的结果,确定财务报告的一般控制点和关键控制点,并编制财务报告控制要点表。确定财务报告的一般控制点和关键控制是件很困难的事情,要根据企业实际情况确定,也因人们的专业判断而有所不同。《财务报告指引》重点对财务报告的编制、财务报告的对外提供、财务报告的分析利用环节等进行了规范。
2、设计控制目标。财务报告内部控制的目标就是要保证财务报告合法、安全、有效、可靠,从而有效控制财务报告中可能存在的各种风险,实际工作中,应根据识别出来的财务报告具体风险来设计,不能固定化、模式化。
3、设计控制措施。企业在构建与实施财务报告内部控制过程中,要强化对财务报告控制点,尤其是关键控制点的风险控制,并采取相应的控制措施。财务报告控制措施要与财务报告相融合,嵌入到财务报告流程当中。按照企业内部控制应用指引的要求,企业应当严格执行会计法律法规和国家统一的会计准则制度,加强对财务报告编制、对外提供和分析利用全过程的管理,明确相关工作流程和要求,落实责任制,确保财务报告合法合规、真实完整和有效利用。总会计师或会计工作相关负责人组织和领导财务报告的编制、对外提供和分析利用等相关工作。企业负责人对财务报告的真实性和完整性负责。
4、设计控制证据。为了财务报告制度的有效实施,需要制定必要的表单,作为财务报告制度的附件,为财务报告过程留下控制证据。财务报告相关文件资料很多,包括会计政策、
会计估计、会计凭证、会计账簿、财务分析报告和财务报告结果传递记录等。
5、优化控制制度。企业需要建立一系列制度体系和机制保障,促进财务报告的作用得到有效发挥。财务报告内部控制制度不是新建的一套独立制度,而是将内部控制思想嵌入到财务报告制度中去。财务报告制度到底制定多少个,内容到底有哪些,因企业的不同而不同,从务实角度考虑,不宜过多,可制定一套统一的业务外包控制管理制度。
6、绘制控制流程图。绘制财务报告控制流程图要根据财务报告流程、风险点、控制点及相关的控制措施,结合具体单位的实际情况来绘制。特别要强调的是,应把财务报告内部控制流程和财务报告流程整合在一起,并在图上标示风险点和控制点。
7、编制控制矩阵。财务报告控制矩阵是对财务报告流程图中风险点、控制措施和控制证据等要素的详细说明与描述,是财务报告内部控制设计结果的集中体现,也是企业内部控制管理手册重要组成部分。实际上是上述工作的综合汇总。
本阶段设计工作成果是形成《财务报告控制控制要点及关键控制表》、《财务报告内部控制目标表》、《财务报告内部控制措施表》、《财务报告控制证据表》、《财务报告制度完善建议表》、《财务报告控制流程图》、《财务报告控制矩阵》等。
文 李三喜 来源 财会信报
第二篇:基于财务报告目标的内部控制问题研究
摘要】本文从剖析财务报告内部控制出发,论述了财务报告内部控制的涵义、内容及其与财务报告认定的关系等相关问题,并对完善财务报告内部控制提出了相应的措施。
【关键词】内部控制;财务报告内部控制;财务报告认定
内部控制是为了达到经营活动的效率和效果,财务报告的可靠性,保护资产的安全和完整,确保有关法律、法规和规章制度的贯彻执行而制定和实施的一系列控制方法、措施和程序。在经济发达国家,内部控制被广泛采用,并日趋完善,在企业管理、财务报告披露和审计业务中发挥着积极的作用。内部控制的基本目标经历了维护资源安全、保证信息可靠、提高经营效率等,但保证财务报告的可靠性作为内部控制的核心目标之一始终未改变。财务报告由会计人员编制,是会计信息加工后对外公布的结果。它的产生依赖于会计核算系统、日常控制机制的运行,并受到企业内部控制环境的影响。
一、财务报告内部控制的涵义
自20xx年美国安然公司和世界通信等公司粉饰财务报表的事件被曝光并相继倒闭以来,美国上市公司的公信力岌岌可危,资本市场风雨飘摇。美国参众两院在20xx年迅速出台并通过了《公众公司会计改革与投资者保护法案》,即《萨班斯—奥克斯利法案》。《萨班斯—奥克斯利法案》404条款规定:在美上市公司,要建立内部控制体系,其中包括控制环境、风险评估、控制活动、信息沟通以及监督。
随着美国法律法规对内部控制提出的新要求,在内部控制中出现了财务报告内部控制(internal control over financial reporting)这一新提法。美国证券交易委员会(简称SEC)在20xx年发布的33—8138号提案中首次对财务报告内部控制进行了解释,即财务报告内部控制的目的是确保公司设计的控制程序能为下列事项提供合理的保证:公司的业务活动经过合理的授权;保护公司的资产,避免未经授权或不恰当的使用;业务活动被恰当地记录并报告,从而保证上市公司的财务报告符合公认会计原则的编报要求。
SEC对财务报告内部控制的定义与美国20xx年《萨班斯—奥克斯利法案》103条款中要求注册会计师事务所进行内部控制评价的内容保持一致,并且符合美国注册会计师协会发布的审计准则公告319条款的规定。
根据SEC 20xx年6月正式发布的最终规则中的定义,财务报告内部控制是指由公司的首席执行官、首席财务官或公司行使类似职权的人员设计或监管的,受到公司的董事会、管理层和其他人员影响的,为财务报告的可靠性和满足外部使用的财务报告编制的符合公认会计原则提供合理保证的控制程序。具体包括以下控制政策和程序:一是保持详细程度合理的会计记录,准确公允地反映资产的交易和处置情况。二是为下列事项提供合理的保证:公司对发生的交易进行必要的记录,从而使财务报告的编制满足公认会计原则的要求;公司所有的收支活动经过管理层和董事会的合理授权。三是为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保证,这种未经授权的取得、使用和处置资产的行为可能对财务报告产生重要影响。
美国“反对虚假财务报告委员会”所属的内部控制专门研究委员会——发起机构委员会(Committee of Sponsoring Organizations of the Treadway Commission,简称COSO委员会),20xx年4月在广泛吸收各国理论界和实务界研究成果的基础上,颁布了《企业风险管理框架》。COSO委员会在《企业风险管理框架》中,单独对保证财务报告可靠性的内部控制进行了说明,分析列举了内部控制与风险管理八要素中对财务报告可靠性产生影响的因素。尽管内部控制与风险管理的目标之间存在着重叠,各项控制措施几乎都服务于一个以上的目标,很难确定哪些控制是属于财务报告可靠性的内部控制,但是COSO报告仍然认为,应
该对于保证财务报告可靠性的内部控制进行界定,以确保对财务报告可靠性的内部控制能满足财务报告使用者的合理预期。
有效的内部控制系统的目标之一是保证财务报告的可靠性,但保证财务报告的可靠性并不是内部控制系统的全部。一方面,有效的内部控制系统只能合理保证财务报告的可靠性;另一方面,没有内部控制系统的企业财务报告不一定不可靠,但财务报告一旦不可靠,则企业的内部控制系统必定无效。由此可见,财务报告内部控制是专为合理保证财务报告的可靠性这一目标而提出的,既然将财务报告内部控制这一概念单独从内部控制中分离出来,说明在保证财务报告可靠性方面,内部控制的确发挥着不可忽视的作用。
二、财务报告内部控制的内容
财务报告由会计人员编制,是会计信息加工后对外公布的结果。它的产生依赖于会计核算系统、日常控制机制的运行,并受到企业内部控制环境的影响。财务报告内部控制,是内部控制中不可缺少的重要组成部分,其主要作用是保证财务报告的可靠性。尽管企业的整个内部控制与财务报告的可靠性有着直接和间接的关系,但财务报告内部控制有其特殊性和侧重点。
企业财务报告内部控制的内容通常是根据财务报告编制和披露的要求对企业业务循环的各环节的控制。一般来说,企业财务报告内部控制包括与财务报告编制相关的交易和账户余额划分为销售与收款循环、购货与付款循环、生产与费用循环、筹资与投资循环及货币资金流入与流出循环等业务循环。
将企业经营活动按照业务循环进行划分,并设计财务报告内部控制,对不同业务性质的企业具有更普遍性的指导意义,并且与财务报告项目具有更好的对应关系。每一个业务循环涉及不同的财务报告项目,各业务循环中的内部控制要点对相应的关键财务报告项目的真实性产生影响,具体体现在对财务报告五大认定的影响上,即存在或发生、完整性、权利和义务、估价或分摊、表达与披露,这五大认定的实现程度又决定了财务报告的可靠性。
由于财务的特点是以货币为价值符号,所以其触角势必要延伸到经营环节,突破传统的核算范畴,凡是有经营活动的地方都是财务报告内部控制应该关注的领域。企业的运动有五个业务循环,针对各业务循环设置的控制制度对经济活动的发生、传递、记录等进行全面的监控。在业务循环内部控制中,要牢牢把握以保证财务报告的可靠性为主要目标。
企业财务报告内部控制应包括从经济业务的发生到形成账簿、报表,这些需要一系列的控制活动。经济业务的发生需要经过适当的授权批准,记录在原始凭证上,保证真实性;以后每一步价值运动都需要在原始凭证上留下痕迹,并需要对原始凭证进行有效的控制,如连续编号并定期清点等,保证对所有的经济业务都予以记录并且没有重复记录,为会计核算提供真实的原始依据;会计人员根据汇集的原始凭证编制记账凭证,作为记录账簿的依据,最后根据账簿编制报表,其中需要对原始凭证进行检查,明细账与总账分别由不同职员编制,并由其他职员进行定期复核,必要的职务分离等控制程序。有效的内部控制能确保会计核算系统中确认、计量、记录、报告各步骤都具有真实合法的凭据,并减少核算中的差错,最终提供真实可靠的财务报告。
企业财务报告内部控制还应包括制约财务报告可靠性的其他重要因素。财务报告内部控制能否得到有效执行以保证会计信息的真实可靠,决定于组织结构的好坏和人员素质的高低。组织结构为企业的经营提供规划、执行、控制和监督活动的框架,是实施财务报告内部控制的载体,组织结构的好坏直接影响到财务报告内部控制的效果。良好的组织结构控制能够保证责任明确、授权适当、信息沟通顺畅,是构成控制环境的重要组成部分。我国公司治理结构普遍存在缺陷,股东大会形同虚设,董事会人员通常由内部人员
兼任,难以发挥监督和制约经理人员的作用,权力更多地掌握在经理人员手中。管理层在财务报告编报方面权力过大,在缺乏有效的约束和监督机制的情况下,倾向于采取有利于自己的会计政策与会计估计,可以不执行或绕过财务报告内部控制系统,粉饰财务报告,操纵利润等。内部审计负责检查评价财务报告内部控制系统的设计和执行的有效性。内部审计人员在企业中地位的高低、职责履行的好坏对财务报告内部控制系统的运行以至于对会计核算系统都有一定的影响。会计组织机构负责具体的账务处理,控制会计信息的产生。会计组织机构各方关系人权力和责任明确,逐层负责,及时发现和报告问题,才能有效履行监督控制机制。即使有设计良好的财务报告内部控制系统,仍需要人来执行。员工的道德水准和价值观以及胜任能力长期被认为是财务报告内部控制环境的重要因素,对财务报告内部控制的执行有效性起着至关重要的作用;管理者的管理理念和经营方针对塑造企业文化有着非同小可的影响;而健康的企业文化对于企业经营管理水平的提高具有不可忽视的作用,为财务报告内部控制的有效执行提供了有力保证。组织结构和人员素质因素对会计核算系统的影响尽管是间接的,但是任何一个因素出现问题都会严重影响财务报告内部控制系统以至于会计核算系统的有效运行,最终产生不可靠的财务报告信息。
三、内部控制要素与财务报告认定
财务报告内部控制与财务报告可靠性的关系,具体体现在内部控制五要素与财务报告的五大认定之间的关系。
(一)财务报告中所包含的有关管理当局的认定
1.存在或发生。所有资产、负债和所有者权益在资产负债表项目中必须存在,并且所有利润表中的收入、费用、盈利都必须在当期发生。
2.完整性。财务报告包括“所有的”交易、资产、负债和所有者权益。
3.权利和义务。在财务报告中,企业拥有资产的权利和偿还负债的义务。
4.估价或分摊。财务报告中的资产、负债、所有者权益、收入、费用、利润和亏损是根据公认的会计准则来确定的。
5.表达与披露。财务报告中记录的数据按照公认的会计准则被合理地分类和披露。
(二)特定的内部控制要素与财务报告认定的关系
1.控制环境与财务报告认定的关系。内部控制中的基础性要素是控制环境,对财务报告各认定的实现有重大的影响。如果管理层缺乏正直的品格和良好的道德,加上面临改善盈余的内部或外部压力,则可能会有意错报,从而影响整个财务报告的认定。相反,如果管理层具有正直的品质和良好的道德,则会选择公允反映。完善的人力资源政策能够确保执行政策和程序的人员具有胜任能力和正直的品行。企业有一套好的员工雇佣、训练、业绩考评及晋升等政策会导致员工不做有损企业利益的事。管理层对风险的态度可能会影响财务报告的表述。
2.风险评估与财务报告认定的关系。如果企业面临重大的经营风险或财务风险,企业与成本、收益有关的经营目标通过努力无法实现时,则负责预算的员工可能会有意去粉饰实际结果,以达到预算目标。当员工的工资或薪水与预算的有利差异紧密相关时,这种错报的可能性就加大了。在这种情况下,存在或发生、完整性和估价认定的可靠性就值得怀疑。为减少这种可能性,企业必须客观地评估面临的风险,设置
的计划和预算制度应满足如下条件: 这种制度所设立的目标应是可实现的,并清晰地说明达到目标的可靠性策略,这些目标和策略与负责具体预算的人确实相关。因此,在制定预算时,应仔细评估实现目标所存在的重要风险。
3.控制活动与财务报告认定的关系。用于防止和发现会计记录差错的控制活动加强了会计信息系统的功能,会产生更为可靠的财务报告,这些控制活动包括批准、授权、安全控制、职责分工等。安全控制用于保护企业的资产,以确保资产安全和记录可靠,与降低存在或发生、完整性、估价或分摊认定的控制风险有关。
4.信息与沟通和财务报告认定的关系。信息的确认和搜集保证财务报告所提供信息的完整性;信息的处理对信息的分类和记录,对记录的适当控制有助于计价认定的实现,对分类的适当控制有助于表达与披露、权利和义务认定的实现;信息的报告是企业编制财务报告的过程,影响财务报告质量的各个方面。沟通大大加强了各个认定的可靠性。财务报告有效的沟通还要求明确地将相关职责分配给执行控制程序的员工,使相关的员工清楚如何进行控制,以及自身在内部控制系统中的角色和责任,这同样会增强财务报告的可靠性。
5.监控与财务报告认定的关系。对内部控制进行监控的目的是确保其他内部控制要素如设计时一样得到有效执行。影响到各个认定的实现。
内部控制五要素的实现要确保财务报告认定的有效执行,确切地说,财务报告各项认定主要是控制活动要素标准的具体体现,但是内部控制要素也会体现在各项认定之中。如控制环境与风险评估要素渗透于各业务循环活动中,而且信息与沟通及监督的好坏也影响着业务活动的好坏。
四、完善财务报告内部控制的措施
财务报告内部控制设计得再完美,如不付诸实施也是纸上谈兵,不利于财务报告内部控制的完善。财务报告内部控制贯彻执行的主体, 不仅仅是企业最高管理当局和各职能部门,还应该包括企业中各个层次的管理人员及全体员工。对财务报告内部控制整体而言,系统的贯彻执行者,也即系统的客体,它也包括系统的设计者在内,无一例外。财务报告内部控制的主体与客体存在同一性问题,加大了财务报告内部控制系统贯彻与执行的难度,因此要特别注意以下问题。
(一) 财务报告内部控制的有效执行特别需要一个良好的控制环境
要在企业内部营造一种深厚的控制氛围,要广泛、深入、持久地宣传内部控制对单位管理与个人切身利益的关系,使全体管理人员与职工理解贯彻执行制度的意义,清楚最高管理层的决心、意向与要求,明确本职工作的地位与影响力。
(二)制定贯彻执行的切实措施
除教育宣传外,还要进行培训和模拟实验,使每个岗位的人员都清楚自己遵循的制度和规定,明白遵守与违反的界限,并提高自我监督与对他人监督的意识,克服执行制度的随意性。
(三)组织各阶层管理人员自觉遵守控制制度
各级管理人员,特别是高层管理者要自觉遵守与自己有关的各项控制制度,要自觉接受违反制度后的应有惩罚。大事化小,小事化了会破坏制度的严肃性和权威性。
(四)注意财务报告内部系统执行中的检查与调节工作
在检查中一旦发现违反制度的行为,应按规定进行严肃处理,决不能姑息迁就,否则就会一发不可收拾。执行中如发现不协调的环节,应及时调节,保证整个财务报告内部系统执行畅通无阻。
(五)财务报告内部控制的持续改进
财务报告内部控制与重大错报风险是一对矛盾,这对矛盾随着时间和环境的变化而相互不断进化。而且,矛盾双方的进化是一个相互交替和持续不断的过程。因此,财务报告内部控制系统必须保持持续地改进,只有这样才能使财务报告内部控制和重大错报风险这对矛盾保持某种平稳状态。通过对财务报告内部控制系统的测试评价,及时发现它的缺陷和薄弱环节,并及时地加以改进,财务报告内部控制才能起到预防重大错报风险的作用。
【参考文献】
[1] 秦荣生.内部控制与审计[M].北京:中信出版社,2008.
[2] 秦荣生.审计学[M].第六版.北京:中国人民大学出版社,2008.
[3] 中国审计学会编.中国审计研究文献摘编[M].北京:时代经济出版社,2007.
[4] 秦荣生.实施我国内部控制的理性思考[J].财会通讯,2008,(10).
[5] [美]劳伦斯·索耶等著.邰先宇等译.索耶内部审计:现代内部审计实务(上、下册)[M].北京:中国财政经济出版社,2005.
[6] AICPA. Statements on Auditing Standards. New York, NY:AICPA of Management Accounting Research. 2005.Vol.11 pp.45-73.