审计的认定及分类范文
时间:2023-07-13 09:25:20
引言:寻求写作上的突破?我们特意为您精选了12篇审计的认定及分类范文,希望这些范文能够成为您写作时的参考,帮助您的文章更加丰富和深入。
篇1
中图分类号:U452.12文献标识码:A
文章编号:1672-1098(2012)03-0007-05
对隧道围岩稳定性进行分析评价的前提是通过各种手段确定围岩的稳定性类别。围岩分类是应用工程类比方法进行围岩评价,为工程的设计和施工提供依据的基础,具有重要的实用价值。围岩分类,以及在此基础上对各类围岩的成洞条件、开挖、支护要求做出评价,并以此作为设计和施工的依据,是国外在二十世纪四十年代就很通用的方法。但是,随着人类对岩体力学特性认识的深入,隧道工程经验的积累和隧道工程施工技术的发展,围岩分类的原则和分类系统也在不断的改进和完善[1-5],而现有的围岩分类方法,大多是根据围岩情况进行的主观判断,定量的手段还不尽完善。
1工程概况
铜(陵)-黄(山)高速公路屯溪至汤口段呈近南北向通往我省黄山风景区,它是加速我省经济和旅游发展,加强安徽省与江、浙、赣、沪等省市联系的重要交通干道。皖南山区地形复杂,高速公路穿越各种地貌单元,特别是黄山汤口-歙县程坎等地段山高坡陡,为保护黄山风景区的自然和生态环境免受破坏,高速公路都以隧道穿越,其中富溪隧道位于黄山市徽州区富溪乡境内,地质条件相当复杂,是该高速公路上的一座双连拱隧道,全长649 m,最大埋深122.0 m。隧道单幅设计净宽9.88 m,双幅净宽22.06 m,净高6.83 m,设计时速80 km/h,设计荷载为汽车超-20、挂车-120,2%单向横坡,路线前进方向为1%向上纵坡,直线型隧道。
隧址区地处休宁盆地边缘,地质条件较为复杂。构造形态上表现为一南翼被截断的复背斜,地层主要由中元古界蓟县系牛屋组和大谷运组及镇头组组成[6]。
2围岩稳定性分析
2.1人工神经网络简介
人工神经网络(ANN)理论是人工智能领域的新技术,其独特的拓扑结构和信息处理特点,很适于解决岩土工程中“宽而浅”及非线性、非定量的技术问题。是由大量的处理单元(神经元,即网络节点)组成的高度并行的非线性动力学系统。人工神经网络的知识获取只需提供样本(范例),因而易于获取隧道工程知识、管理特性;工作时通过感知环境变化,由神经元的微活动产生系统的宏效应[7]。因此,人工神经网络非常适于用来进行隧道围岩分类。
2.2围岩分类的神经网络模型构建
由于遂道围岩稳定性受多种因素的影响,且各种影响因素的作用相互交叉,某种因素的影响程度会因地、因时、因工艺不同而变化。在网络模型中,要全面考虑所有的影响因素,目前还是不可能的;只能考虑一些起重要作用的因素,根据大量现场观测结果和实践经验,并参照文献[4]的方法选取如下的主要影响因素:
1) 岩石质量指标(RQD);
2) 岩石单轴饱和抗压强度RW/(MPa);
3) 岩石完整性系数(KV);
4) 结构面强度系数(KF);
5) 地下水渗水量W(L·min-1)。
选取以上确定的5个主要影响因素作为网络的输入节点,即输入节点数为5个。输出节点即是反映围岩分类结果的定量指标,也选取5个节点;对围岩稳定性,根据文献[8]及国内岩分类的经验,将围岩分为五级,为简化算法和提高学习速度, 采用规一化法对分类标准进行处理,归一化后的分类标准如表1所示。学习训练时网络输出节点的期望输出值所代表的围岩类别[9-14]如表2所示。
2.3神经网络结果检验
利用收集到的统计资料, 选取12个样本(表3前12个数据)对围岩分类神经网络进行学习训练。 由于现场测量样本过少, 而且要留取一部分样本用于训练好了的BP网络中, 来识别围岩类别, 因此,为了有足够的学习样本空间, 提高网络的判别能力。根据文献[8]构造了表3中的后12个学习样本。
训练时隐层节点数取6,迭代次数为仅为6次,控制误差为0.00001;学习完成后即建立辨识模型,然后选取3个样本对网络进行检验,检验结果如表4所示。
学习训练时,网络均采用导入规则将各输入节点的指标值转变为[0,1]区间的数值;也将神经元计算后的在[0,1]区间的输出节点输出值按导出规则转变为原来的表达形式。其中,第二组网络输出数据为(0.05, 0.08,0.82,0.92,0.08),分析可能是Ⅳ类,也可能是Ⅲ类围岩,但Ⅳ类围岩可能性较大。
2.4分析结果
用训练好的网络对富溪隧道各测设段进行了分类(见表5)。其中K205+828~K205+970段的样本,经网络处理后最终输出为(0.05, 0.10, 0.85,0.72,0.02),第三节点和第四节点输出值较接近,说明该段岩体分类等级判为IV偏III或III偏IV,但前者可能性较大。
由于现行公路隧道围岩分类标准与文献[8]分类标准不同,但有关联性,文献[15]将围岩分为六级,但第六级主要考虑的是土体,而文献[8]主要以岩体为分类对象。因此,对于岩体稳定性分类,上述两种分类体系在围岩分类级别上是一致的。经上述方法确定的富溪隧道围岩分类结果与专家确定的围岩分类结果对比如表6所示。
上述围岩分类结果与专家意见基本一致,这说明运用BP神经网络模型对围岩进行分类是可行的,结果的准确性是可靠的。
3结论
1) 从表4的检验结果看,围岩分类神经网络模型的辨识正确率较高,具有准确、简便等特点,可以考虑大量影响因素,这些因素既可以是定量因素,也可以是定性或不确定因素,这是其它方法难以比拟的;该模型不仅免除了其它方法中对所选择的影响因素要事先赋予权值的过程,而且也不需要对各影响因素进行复杂的相关性分析,重复的因素或者没有影响的因素加入输入值也不会影响最后的结果,它们的权值会在运算中自动地迭代到零,这就给选择输入节点创造了比较宽松的条件。因此,BP神经网络用于隧道围岩分类的方法值得进一步完善和推广。
2) 由表7知,富溪隧道整体围岩稳定性较差,尤其是隧道进口和出口(占隧道全长的27.1%),为极不稳定围岩段。就隧道整体围岩类别而言,综合判定富溪隧道围岩稳定性介于稳定差和极不稳定之间。因此隧道成洞施工时应注意选用适当的施工方法,避免大面积整体开挖,应充分做好超前支护及初期支护,施工爆破时应注意选取适当药量。雨季施工时,应严格做好防止边坡滑塌措施。
参考文献:
[1]于学馥,郑颖人,刘怀恒,等.地下工程围岩稳定分析[M].北京:煤炭工业出版社,1980:23-35.
[2]陈振平,王鹏. 基于BP神经网络的隧道围岩分类[J].路基工程,2011(1):97-99.
[3]周盛全.铜(陵)-黄(山)高速公路富溪隧道围岩分类及稳定性研究[D].合肥:合肥工业大学,2006.
[4]朱素平,周楚良.地下圆形隧道围岩稳定性的粘弹性力学分析[J].同济大学学报,1994,22(3):329-333.
[5]CHARLES FAIRHURS,JUEMIN PEI.A Comparison Between the Distinct Element Method and the Finite Element Method for Analysis of the Stability of an Excavation in Jointed Rock[J].Tunnelling and Under-ground Space Technology, 1990, 5(1):111-117.
[6]王军号,孟祥瑞.可视化煤矿巷道支护设计专家系统的开发研究[J].煤炭工程,2011(5):7-9.
[7]雷学文,汤斌,王瑞芳.工程围岩稳定性分类的人工神经网络识别[C]//中国岩石力学与工程学会第七次学术大会论文集.北京:中国科学技术出版社,2002:300-301.
[8]水利部东北勘测设计研究院.SL279-2002 水工隧洞设计规范[S].北京:中国水利水电出版社,2003.
[9]丛爽.面向对象MATLAB工具箱的神经网络理论与应用[M].第2版.合肥:中国科技大学,2003:15-24.
[10]Y YANG,Q ZHANG.A Hierarchical for Rock Engineering Using Artificial Networks[J].Rock Mechnics and Rock Engnieering,1997,30(4):207-222.
[11]闻新,周露,李翔,等.MATLAB神经网络仿真与应用[M].北京:科学出版社,2003:68-75.
[12]周志华,曹存根.神经网络及其应用[M].北京:清华大学出版社,2004:15-19.
篇2
审计准则中将管理层认定的内容分为三个层级:一是与各类交易和事项相关的认定包括:(1)发生:记录的交易和事项已发生,且与被审计单位有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。二是与期末账户余额相关的认定包括:(1)存在:记录的资产、负债和所有者权益是存在的;(2)权利和义务:记录的资产由被审计单位拥有或控制,记录的负债是被审计单位应当履行的偿还义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。三是与列报相关的认定包括:(1)发生以及权利和义务:披露的交易、事项和其他情况已发生,且与被审计单位有关;(1)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
二、管理层认定与审计具体目标的确定
注册会计师审计的目标包括总体目标和具体目标两个层次。总体目标是对被审计单位财务报表的合法性与公允性发表审计意见。只有在对财务报表各项目进行审计后,才有可能对报表总体的合法性与公允性发表意见,这时就出现了报表项目的审计具体目标问题。虽然合法性与公允性有明确的含义,但在注册会计师审计实务中,并不把合法性与公允性作为财务报表审计的具体目标,其原因在于合法性与公允性作为审计具体目标过于宽泛,缺乏操作性,不利于注册会计师实施相应的审计程序来获取审计证据。因此才利用管理层认定作为财务报表审计总体目标与具体目标之间的联系桥梁。
由于管理层对财务报表各组成项目均做出了认定,注册会计师就可以根据被审计单位管理层的认定和审计总体目标来确定审计具体目标。审计具体目标是总体目标的具体化,并受到总体目标的制约,它包括一般目标和项目目标。注册会计师根据管理层认定推论得出一般目标,为搜集审计证据和发表审计意见提供具体指导,再针对被审计单位具体情况制定项目目标。一般目标是进行所有项目审计时均必须达到的目标,适用于所有项目的审计;它通常包括:总体合理性目标、与各类交易和事项相关的目标、与期末账户余额相关的目标以及与列报相关的目标。总体合理性目标是指注册会计师根据他所掌握的有关被审计单位的全部信息,评价某项目的合理性;与各类交易和事项相关的目标包括真实性、完整性、准确性、截止、分类;与期末账户余额相关的目标包括存在、权利和义务、完整性、计价和分摊;与列报相关的目标包括发生及权利和义务、完整性、分类和可理解性、准确性和计价。项目目标是根据每个项目分别确定的目标,通常只适用于某一特定项目的审计。
管理层认定与审计目标密切相关,注册会计师了解了认定,就很容易确定每个项目的具体审计目标,并以此作为评估重大错报风险以及设计和实施进一步审计程序的基础。接下来注册会计师的工作就是要确定管理层的认定是否恰当,即对管理层的认定进行再认定。
三、管理层认定与审计证据获取
要实现审计目标,必须收集和评价审计证据。审计证据是注册会计师为了得出审计结论形成审计意见而使用的所有信息。注册会计师的审计过程可以说是收集、评价证据,最后据以形成审计意见的过程,审计证据的收集、评价是注册会计师计划审计工作和实施审计程序的核心。
每一位注册会计师面临的主要决策之一就是确定为满足判断被审计单位财务报表各组成部分以及财务报表整体是否合法与公允所应收集的证据的适当类型与数量。若能使审计证据的收集与评价和管理层认定概念结合起来,则审计证据的收集与评价工作就更具逻辑性、科学性和针对性。注册会计师对被审计单位财务报表发表意见可以转化为对被审计单位管理层的各项认定的合理性和有效性做出结论的过程,为了便于执行实质性程序,收集审计证据,注册会计师将管理层认定拓展为审计具体目标,再在审计具体目标基础上确定一般目标与项目目标,也就是在审计过程中,注册会计师应根据审计具体目标来设计和执行充分的,能够保证审计具体目标得以实现的实质性程序,确保收集到充分、适当的审计证据,之后注册会计师就可以对管理当局认定是否合理和有效做出判断,再将对各项认定的判断综合起来,结合执行控制性测试所得到的证据,就能对被审计单位财务报表的整体合法性与公允性表示意见了。可见,注册会计师通过一定的审计程序来获取审计证据,以审计证据为支撑来达到具体的审计目标,而审计具体目标是由审计总体目标和被审计单位认定决定的,因此审计证据的收集与评价是围绕被审计单位管理层认定展开的。
四、运用举例及结论
篇3
账项基础审计、制度基础审计、风险导向审计是审计发展的三个阶段。风险导向审计是以被审计单位风险评估为基础,综合分析评审影响被审计单位经济活动的各因素,并根据量化的风险水平确定实施审计的范围、重点,进而进行实质性审查的一种审计方法。本文从任中经济责任审计(下文简称任中审计)不同于财务收支审计和离任审计的特点出发,探讨在任中审计中引入风险导向审计动因、具体应用及任中审计中引入风险导向审计面临的挑战。
一、在任中审计中引入风险导向审计的动因
在任中审计中引入风险导向审计是任中审计区别于离任经济责任审计和财务收支审计的特点与风险导向审计方法优点的有益结合,推动任中审计由传统审计向现代审计的转变。
(一)与离任审计相比,任中审计具有三个特点
1.任中审计更强调事中监督
任中审计是指在经济责任人任职期间的某一时点对其任职以来到审计时间点履行经济责任情况进行审计,既是对既定履职情况进行客观评价,更是通过对前期的履职情况的评价,揭示出企业运营过程存在的普遍性和倾向性问题和风险。任中审计,为保证经济责任人整个任职期间资产安全,资产保值增值,提高经济效益提供了一项有效的事中监督机制。
2.任中审计更着眼于预防监督
任中审计,虽然也对经济责任人履职情况进行评价,但是其评价是对前期履职情况的阶段性评价,而非盖棺定论。因此任中审计目标虽然也涵盖履职情况评价但更多的应该着眼于发现问题、揭示风险,充分发挥其预防、教育、规范、监督的作用,尽可能减少损失。任中审计的根本着眼点应该是预防风险扩大、防微杜渐。
3.任中审计成果更易落实整改
任中审计“确认业绩、揭示问题、完善监督、改善管理”,是新形式下对经济责任人实施间接控制和监督的重要措施。开展任中审计可以充分发挥审计的威慑作用,有利于经济责任人廉洁自律,达到企业与经济责任人双赢的目的,有利于上级监督管理部门及时了解干部的各方面能力,客观公正的考察选拔。正因如此,任中审计发现的问题、揭示的风险被审单位整改压力更大、整改效果也更明显。
(二)与财务收支审计相比,任中审计更具高度、全局性
检查被审计单位的财务收支是任中审计的一项基本内容。财务收支的专项审计主要关注的是收入的真实性、完整性、准确性,财务支出合法性、合规性、合理性和资产安全完整性。任中审计关注的屡职期间经济指标情况、经济活动真实性、合法性、合规性,重大决策及效益情况,国有资产管理、使用、保值增值情况,以及廉正情况。从审计关注的重点可以看出任中审计更具高度、全局性。
风险导向审计在指导思想上更注重与组织目标的契合,要求内审人员从战略系统观的角度对组织面临的风险进行分析、测试和评价,以确认组织的风险控制是否保持在可接受水平之上;在具体的审计思路上,运用“自上而下”的思路,实施战略风险和经营风险导向下的逻辑推理,以确定实质性测试的时间、范围、重点和程序;在审计重点上更注重于对整个组织运营环境和所面临风险的分析;在审计方法上,风险导向审计广泛运用分析性测试方法,对收集到的有关资料进行综合分析。
基于对任中审计不同于离任审计、财务收支审计的审计内容、审计目标的认识,结合风险导向审计的优点,在任中审计中引入风险导向审计更容易实现任中审计的事中监督、着眼预防,从更具高度和全局性揭示风险,出具审计报告。
二、风险导向审计在任中审计中的应用
风险导向审计在任中审计中的应用,主要是在计划组织实施任中审计时贯彻风险导向审计的理念,遵循风险导向审计的方法程序。下面以某市级通信企业负责人任中经济责任为例,分析风险导向审计在任中审计中的运用。
(一)任中审计的总体风险评估
通信行业作为国民经济的基础性行业,受到国家整体经济形势的影响,整体经济好坏会影响着企业与个人对通信服务的需求,进而影响通信行业整体发展状况。通信行业环境在行业监管强弱、竞争强弱等方面对通信行业运营商发挥作用。运营商规模大小、实力强弱、在某一地区的竞争地位左右着运营商对经营行为与经营策略的选择。运营商作为国有控股企业,业绩考核的压力层层传递到每一个具体的运营企业。业绩考核作为企业领导升迁、奖惩、评价依据,象一根无形的指挥棒,左右着企业经营层对具体经营行为的选择。通信行业转型,不断挑战着领导对新业务的认知能力、对新风险的把控能力。从总体环境、行业环境、内部控制制度建设、业绩考核压力等内部环境出发,在任中审计中主要从以下几个方面把握企业的总体风险:
1.新业务带来风险
(1)转型业务。转型业务是运营商由服务提供商向综合信息运营商转变的选择,是在面临语音业务流失情况下,对自身产品服务的一次突破。尽管所提供转型业务依托于原来提供服务的通信行业之上,但是更多进入的是通信行业与其他行业的边缘地带。企业对业务发展模式的选择伴随着不同的新风险。
(2)移动业务。企业进入移动业务领域,缺乏移动业务实际运营经验,对移动业务发展规律认识有一个渐进的过程,会面领新的挑战。移动业务更多的是针对个人消费者,对消费者消费行为分析不彻底,可能导致新增用户缓慢,旧用户流失加快风险。在全业务发展中,融合套餐设计、分摊政策是否合理,融合套餐的推广,是否会存在加速移动业务对自身固网客户价值替代等风险。
2.庞杂的IT支撑系统带来的风险
通信运营商各类系统多,各个系统间数据流转、钩稽关系建立复杂。比如电信缴费充值卡,从制卡出售到用户消费先后经历了电信卡平台系统、充值到个人帐户进入销帐系统、消费后系统销帐,在财务上先后反映为电信卡余额、预存款余额,以及对用户欠费的冲销。 3.业绩考核压力带来的风险
绩效考核与企业负责人的奖惩升迁关系密切。由于整体环境带来的行业继续增长的压力,股票市场上股东对投资回报的要求带来的利润的压力和压缩成本费用的压力,都可能导致负责人在经营策略选择上对高风险项目的产生偏好。同时,业绩压力大小,容易成为企业负责人突破内部控制,经营决策、会计处理凌驾于内控制度之上,造成总体风险偏高。
(二)任中审计的报表层次和认定层次风险评估
在评估了被审计单位的总体风险后,将识别风险与认定层次可能发生的错报领域相联系,考虑识别的风险造成后果的程度是否重大。同时考虑对识别的风险导致财务报表重大错报的可能性。根据识别的总体风险,在任中审计中应该重点关注以下报表层次和认定层次风险。
1.识别的新业务风险,可能带来的认定层次风险
(1)收入的分类、准确性、完整性、截止认定恰当与否。在审计中重点关注收入的是否记录到恰当的分类,记录的金额是否准确,是否所有发生的新业务均已经包括在内,所有确认的收入均是当期应该确认的收入,是否存在提前或延后确认收入情况。
(2)应收账款、预收账款存在、权利、完整、计价恰当与否。在审计中重点关注是否按照资产、负债确认的条件合理确认了新业务的应收、预收账款;是否存在未遵循事先确认的计费规则,对不应该确认收入的部分确认了收入,从而虚增应收账款;预收账款按照系统的合理的方法分摊确认收入,是否存在提前或延后确认收入导致的预收账款的虚减与虚增。
(3)系统集成业务尤其应该关注固定资产的存在和权利:企业投资的固定资产是否存在(因为系统集成业务形成的固定资产很多在客户端,可控性比较弱),对记录的固定资产的拥有和控制的权利是否充分。
评估以上认定层次的风险重要程度,是否对报表产生重大影响
2.考核压力带来的风险,可能带来的认定层次风险
(1)收入的发生、截止认定。发生的认定主要考虑被审计单位是否严格执行拆机规定,对超过拆机时限的是否及时拆机情况。因为电信业务的特点大量的采用用户预存款模式发展业务,在面临考核压力的情况下,更可能采用提前分摊预存款,或者将本应该分期确认收入的业务列作一次性收入,提前确认。
(2)成本费用的截止、完整、分类认定。在面临收入压力大,成本费用资源有限的情况下,企业的经营者可能通过分类将一类费用计入另外一类费用,影响分类认定;将已经发生的费用部分确认为当期部分计入以后各期,影响完整性认定;同时将本期发生的成本费用全部在下期确认,违反权责发生制基础,影响成本的截止认定。
(3)被审计单位在面临考核的压力时候,可能采取尽可能的多确认收入、提前确认收入,同时延期确认成本。随着压力的进一步增大,利润的真实性风险将凸显。
评估以上认定层次的风险重要程度,是否对报表产生重大影响。
(三)任中审计的进一步审计程序
根据以上识别的报表层次重大风险和认定层次重大风险,进一步实施审计程序。对IT支撑系统带来的报表层次风险要关注系统的并行记录、验收报告或者借助外部IT专家的力量对系统的可靠性进行评估;同时应该关注是否建立业务数据与财务记录的日常稽核制度;对IT系统的有效性进行穿行测试,发现问题。对根据认定层次风险重要程度确认的报表层次的风险,以及其他认定层次风险,根据风险重要程度对所有重大的各类交易、账户余额、列报设计和实施合适的实质性程序,合理应对风险,实质性程序与传统审计方法程序类似,在此不再赘述。
通过以上风险识别、评估、应对的程序,审计人员应该基本明确在被审单位任中审计中应该关注的重点、从整体上对被审计单位风险作出合理的审计判断。从实现任中审计目标对企业负责人任期内业绩进行评价、发现问题、揭示风险,利于被审计单位的整改和对以后业务发展中的风险防范。在任中审计中引入风险导向审计可以使内审的出发点处于更高的高度,避免陷于某个具体事项的会计处理上。
三、任中审计引入风险导向审计面领的挑战
1.对任中审计所揭示风险缺乏明确风险评价体系
任中审计缺乏统一、具体的经济责任界定标准和评价标准,评价尺度难以把握。审计评价是任中审计的基本内容。在对被审计单位收入、费用、资产、负债的真实性、准确性、完整性等审计中所揭示出的风险以及被审计单位对所揭示风险已经采取的部分措施的有效性,以及所产生的经济后果,难以以明确的风险评价体系进行评价。
2.内审人员专业胜任能力
在任中审计引入风险导向审计,不但要求审计人员必须具备良好审计基础素养,对任中审计的审计目标、审计内容有准确的认识和定位,同时必须具备以风险导向审计理念开展审计工作的能力,将风险意识始终贯穿于审计过程中的各个阶段。更好的立足于“上”,统观全局,对被审对象的面临经济环境、行业环境、公司内部环境有充分透彻的认识。这对内审人员的专业胜任能力提出了更高的要求。
3.内部控制机制是否有效
内部控制机制有效,是任中审计中引入风险导向审计的必要基础。随着2008年新《企业内部控制基本规范》颁布实施,越来越多的企业开始重视内部控制制度建设。但是,目前仍然有很多企业内部控制制度不够完善,或者虽然已经制定了详细内部控制制度,但是并未真正实际执行。公司是否进行内控制度的自评估,以及建立风险管理制度应对企业发展中识别的风险。如果从风险评估中就发现被审单位内部控制相当薄弱,那么接下来的审计中就无法采用风险导向的审计方法开展审计工作。
4.内审人员独立性对风险导向审计重要影响
内审人员相对独立性对于内审人员客观、公正、实事求是的进行审计评价至关重要。内审人员应该站在独立的立场上,对企业面临的内外部环境进行分析,对在风险评估过程中风险识别的充分性、风险评估的恰当性进行审计判断,不偏不倚。对揭示的风险,根据风险的重要程度,实施恰当的进一步程序。因此在组成审计组时,要充分考虑成员对于被审单位的独立性,避免因独立性对风险导向审计造成重大影响。
参考文献
刘俊.关于风险导向审计的几点思考[J].湖北农村金融研究,2010:(3):58-59.
王冬莲.关于企业内部任中经济责任审计的探讨[J].经济研究导刊,2009(12):
101-102.
邹杰.刍议国有企业负责人任中经济责任审计[J].审计月刊,2006(6):45.
方爱珍.关于开展任中经济责任审计的思考[J].闽西职业大学学报,2004(6):
14-16.
周翔.对人民银行实施风险到乡审计的思考[J].金融纵横,2010(3):57-59,72.
安晓蓉.浅谈我国现代风险导向审计存在的问题及建议[J].西部金融,2010(3):
63-64.
(3)系统集成业务尤其应该关注固定资产的存在和权利:企业投资的固定资产是否存在(因为系统集成业务形成的固定资产很多在客户端,可控性比较弱),对记录的固定资产的拥有和控制的权利是否充分。
评估以上认定层次的风险重要程度,是否对报表产生重大影响
2.考核压力带来的风险,可能带来的认定层次风险
(1)收入的发生、截止认定。发生的认定主要考虑被审计单位是否严格执行拆机规定,对超过拆机时限的是否及时拆机情况。因为电信业务的特点大量的采用用户预存款模式发展业务,在面临考核压力的情况下,更可能采用提前分摊预存款,或者将本应该分期确认收入的业务列作一次性收入,提前确认。
(2)成本费用的截止、完整、分类认定。在面临收入压力大,成本费用资源有限的情况下,企业的经营者可能通过分类将一类费用计入另外一类费用,影响分类认定;将已经发生的费用部分确认为当期部分计入以后各期,影响完整性认定;同时将本期发生的成本费用全部在下期确认,违反权责发生制基础,影响成本的截止认定。
(3)被审计单位在面临考核的压力时候,可能采取尽可能的多确认收入、提前确认收入,同时延期确认成本。随着压力的进一步增大,利润的真实性风险将凸显。
评估以上认定层次的风险重要程度,是否对报表产生重大影响。
(三)任中审计的进一步审计程序
根据以上识别的报表层次重大风险和认定层次重大风险,进一步实施审计程序。对IT支撑系统带来的报表层次风险要关注系统的并行记录、验收报告或者借助外部IT专家的力量对系统的可靠性进行评估;同时应该关注是否建立业务数据与财务记录的日常稽核制度;对IT系统的有效性进行穿行测试,发现问题。对根据认定层次风险重要程度确认的报表层次的风险,以及其他认定层次风险,根据风险重要程度对所有重大的各类交易、账户余额、列报设计和实施合适的实质性程序,合理应对风险,实质性程序与传统审计方法程序类似,在此不再赘述。
通过以上风险识别、评估、应对的程序,审计人员应该基本明确在被审单位任中审计中应该关注的重点、从整体上对被审计单位风险作出合理的审计判断。从实现任中审计目标对企业负责人任期内业绩进行评价、发现问题、揭示风险,利于被审计单位的整改和对以后业务发展中的风险防范。在任中审计中引入风险导向审计可以使内审的出发点处于更高的高度,避免陷于某个具体事项的会计处理上。
三、任中审计引入风险导向审计面领的挑战
1.对任中审计所揭示风险缺乏明确风险评价体系
任中审计缺乏统一、具体的经济责任界定标准和评价标准,评价尺度难以把握。审计评价是任中审计的基本内容。在对被审计单位收入、费用、资产、负债的真实性、准确性、完整性等审计中所揭示出的风险以及被审计单位对所揭示风险已经采取的部分措施的有效性,以及所产生的经济后果,难以以明确的风险评价体系进行评价。
2.内审人员专业胜任能力
在任中审计引入风险导向审计,不但要求审计人员必须具备良好审计基础素养,对任中审计的审计目标、审计内容有准确的认识和定位,同时必须具备以风险导向审计理念开展审计工作的能力,将风险意识始终贯穿于审计过程中的各个阶段。更好的立足于“上”,统观全局,对被审对象的面临经济环境、行业环境、公司内部环境有充分透彻的认识。这对内审人员的专业胜任能力提出了更高的要求。
3.内部控制机制是否有效
内部控制机制有效,是任中审计中引入风险导向审计的必要基础。随着2008年新《企业内部控制基本规范》颁布实施,越来越多的企业开始重视内部控制制度建设。但是,目前仍然有很多企业内部控制制度不够完善,或者虽然已经制定了详细内部控制制度,但是并未真正实际执行。公司是否进行内控制度的自评估,以及建立风险管理制度应对企业发展中识别的风险。如果从风险评估中就发现被审单位内部控制相当薄弱,那么接下来的审计中就无法采用风险导向的审计方法开展审计工作。
4.内审人员独立性对风险导向审计重要影响
内审人员相对独立性对于内审人员客观、公正、实事求是的进行审计评价至关重要。内审人员应该站在独立的立场上,对企业面临的内外部环境进行分析,对在风险评估过程中风险识别的充分性、风险评估的恰当性进行审计判断,不偏不倚。对揭示的风险,根据风险的重要程度,实施恰当的进一步程序。因此在组成审计组时,要充分考虑成员对于被审单位的独立性,避免因独立性对风险导向审计造成重大影响。
参考文献
刘俊.关于风险导向审计的几点思考[J].湖北农村金融研究,2010:(3):58-59.
王冬莲.关于企业内部任中经济责任审计的探讨[J].经济研究导刊,2009(12): 101-102.
邹杰.刍议国有企业负责人任中经济责任审计[J].审计月刊,2006(6):45.
篇4
1、旧准则:一共四条,阐述较为简单。第一条,为了规范注册会计师获取审计证据,保证审计证据的充分性与适当性,根据《独立审计基本准则》,制定本准则。第二条,本准则所称审计证据,是指注册会计师执行审计业务过程中为形成审计意见所获取的证据。第三条,本准则所称审计证据的充分性,是指审计证据的数量足以使得注册会计师形成审计意见。本准则所称审计证据的适当性,是指审计证据的相关性和可靠性,即审计证据应当与审计目标相关联,并能如实地反映客观事实。第四条,注册会计师执行会计咨询、会计服务业务,参照本准则办理。
2、新准则:一共6条,阐述更加具体准确。第一条,为了规范注册会计师在财务报表审计中获取审计证据的内容、数量和质量,以及为获取审计证据所需实施的审计程序,制定本准则。第二条,本准则适用于注册会计师执行财务报表审计业务。第三条,本准则所称审计证据,是指注册会计师为了得出审计结论、形成审计意见而使用的所有信息,包括财务报表依据的会计记录中含有的信息和其他信息。第四条,依据会计记录编制财务报表是被审计单位管理层的责任,注册会计师应当测试会计记录以获取审计证据。会计记录中含有的信息本身并不足以提供充分的审计证据作为对财务报表发表审计意见的基础,注册会计师还应当获取用作审计证据的其他信息。第五条,可用作审计证据的其他信息包括注册会计师从被审计单位内部或外部获取的会计记录以外的信息,通过询问、观察和检查等审计程序获取的信息,通过合理推断得出结论的信息。第六条,注册会计师应当获取充分、适当的审计证据,以得出合理的审计结论,作为形成审计意见的基础。
二、新准则格式方面的变化
原《独立审计具体准则第5号――审计证据》中包括总则、一般原则、取证方法、附则四项内容。新准则征求意见稿中包括五部分,分别为总则、审计证据的充分性和适当性、获取审计证据时对认定的运用、获取审计证据的审计程序、附则。其中,审计证据的充分性和适当性被单列为一要素,新增获取审计证据时对认定的运用,不再采取一般原则这种含糊不清的叫法。征求意见稿对获取证据的审计程序也做了必要的补充,与2004年12月15日修订的
《国际审计准则500――审计证据》协调一致。
三、新准则内容方面的变化
1、适用范围。原准则适用于注册会计师执行审计业务,但总则中明确说明,执行会计咨询、会计服务业务,可以参照执行。新准则征求意见稿中也指明适用于注册会计师执行审计业务,而且附则第35条规定“注册会计师执行财务报表审计以外的其他审计业务,除有特定要求者外,应当参照本准则办理”,将范围明确为审计业务,不包括会计咨询、服务,定位更加准确。这与审计业务的特征要求相符合。
2、审计证据的充分性、适当性。原准则除了在总则里简单介绍了充分性与适当性的定义外,在一般准则部分仅仅说明判断证据是否充分适当,应当考虑审计风险、具体项目的重要程度、审计经验、是否发现错误或舞弊、类型及获取途径五个因素,并没有具体指出如何判断充分性和适当性。新准则征求意见稿则明确充分性是对审计证据数量的衡量,适当性是对审计证据质量的衡量,即审计证据在支持各类交易、账户余额、列报与披露的相关认定,或发现其中存在错报方面具有相关性和可靠性。新准则进一步规范在确定审计证据的相关性和可靠性时,注册会计师应当考虑的具体原则,相关性有3个,可靠性有5个。新准则的规定更具有指导性。
3、获取证据时对认定的运用。原准则在一般准则部分符合性测试和实质性测试两部分说明获取审计证据时,注册会计师应当考虑有关主要事项,其实就是解释获取证据去证明哪些认定。但在原准则中,账户报表层次是合在一起的5个认定:存在或发生、完整性、权利和义务、估价或分摊、表达与披露,有一定的迷惑性。新准则征求意见稿中则参考2004年12月15日修订的《国际审计准则500――审计证据》的规定,将认定按各类交易和事项、期末账户余额以及表达与披露进行了区分,各类交易和事项运用的认定通常分为下列5个类别:发生、完整性、准确性、截止、分类;期末账户余额运用的认定通常分为下列4个类别:存在、权利和义务、完整性、计价和分摊;对列报与披露运用的认定通常分为下列4个类别:发生及权利和义务、完整性、分类和可理解性、准确性和计价。将认定按注册会计师的工作内容加以区分,可以更有效的指导工作,提高审计质量。
4、审计程序。原准则将审计程序称做取证方法,并在准则第三部分简单介绍检查、监盘、观察、查询及函证、计算和分析性复核6种方法的定义。新准则征求意见稿则对审计工作做了更为详细的说明,它指出注册会计师执行审计程序以获得支持财务报表金额和披露的证据,这些程序是依据注册会计师的判断做出的。其中,还强调了对财务报表重大错报风险的评价,这与审计风险模型的变化是相对应的(审计风险=重大错报风险×检查风险)。重大错报风险是指财务报表在审计前存在重大错报的可能性。在审计过程中,将对重大错报风险的评估作为审计工作的首要任务,包括评估财务报表总体层次和认定层次的重大错报风险,注册会计师对审计程序的设计和执行将紧紧围绕其展开,最终保证财务报表整体不存在重大错报。
此外,具体程序也细化为八个,分别为:检查记录或文件;检查有形资产;观察;询问;函证;重新计算;重新执行;分析程序。并明确指出审计程序的性质和时间可能受财务数据和其他相关信息的生成和储存方式的影响,注册会计师应当提请被审计单位保存某些信息以供查阅,或在可获得该信息的期间执行审计程序。
篇5
如何认定内部控制重大缺陷并进行披露,是我国上市公司执行《企业内部控制基本规范》面临的一个前所未有的挑战。内部控制重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。如果认定内部控制存在重大缺陷,将直接导致上市公司得出内部控制无效的结论。因此,如何认定内部控制重大缺陷的认定并进行披露至关重要。本文从上市公司角度,研究了《萨班斯—奥克斯利法案》实施初期在美上市公司财务报告内部控制重大缺陷的认定及披露情况,希望能对我国上市公司实施《企业内部控制基本规范》及其配套指引起到借鉴作用。
二、内部控制评价相关文献综述
朱荣恩等(2003)从美国《萨班斯—奥克斯利法案》404条款的要求出发,对财务报告内部控制有效性评价做了相关的解读,并在研究SEC提案和AICPA征求意见稿的基础上,结合两个会计师事务所提供的报告,提出了对我国财务报告内部控制有效性评价的启发和借鉴意义。王立勇(2004)运用可靠性理论和数理统计知识构建了一个内部控制系统评价的数学分析模型,利用该模型可计算程序的可靠度和系统可靠度,判断内部控制的效果。王煜宇等(2005)构建了五大类(内部控制环境、风险评估、内部会计控制、内部管理控制、监督控制)、35个具体指标组成的企业内部控制评价指标体系。于增彪等(2007)采用实地研究方法,详细探讨了亚新科安徽子公司如何设计和应用内控评价体系。陈汉文等(2008)分析了内部控制的有效性以及有效内部控制的内涵,认为评价企业内部控制的方法总体上可以分为详细评价法和风险基础法两种,风险基础法相对来说具有更高的成本效益和效率。张先治等(2011)基于我国企业的环境和企业内部控制基本规范配套指引的实施,结合国内外企业内部控制评价理论研究和实践状况,构建了我国企业内部控制评价系统,包括内部控制评价内涵、评价目的、评价模式、评价主体、评价客体、评价模型等。
以上学术界对内部控制评价的研究,采用的方法基本上是建立由多个评价指标体系构成、分别打分并设置一定权重、最后计算得出总的内部控制评价得分的方法。这和美国《萨班斯—奥克斯利法案》404条款要求进行的内部控制评估有很大的不同。按照后者的规定,要评估内部控制是否有重要缺陷、重大缺陷,如果发现一个重大缺陷,就不能认定内部控制有效。
国外关于内部控制重大缺陷的研究,主要集中于内部控制重大缺陷的分类、内部控制重大缺陷的影响因素,以及披露内部控制重大缺陷后的市场反应,等等。关于内部控制重大缺陷的分类,具有代表性的包括Doss(2004)、Ge等(2005)、Hammersley等(2008)等。关于内部控制重大缺陷的影响因素,具有代表性的为Doyle等(2007a,b),Ashbaugh-Skaife等(2007)等。关于内部控制重大缺陷披露后的市场反应,具有代表性的包括DeFranco等(2005)、Hammersley等(2008)等。上述研究为了解内部控制重大缺陷的认定和披露提供了有用的经验证据,对我国上市公司也有较强的借鉴意义。
三、样本选择与内部控制重大缺陷披露总体情况
(一)样本选择
本文的样本来自美国《Compliance Week》为跟踪《萨班斯—奥克斯利法案》302条款、404条款实施而的内部控制月度报告,这与DeFranco等(2005)、Doyle等(2007a,b)、Ge等(2005)、Ashbaugh-Skaife等(2007)的样本来源一致。《Compliance Week》月度报告整理、摘录了月度报告前一个月披露内部控制重大缺陷或重要缺陷的上市公司披露的内容。与前述其他研究文献不同的是,本文选择的期间为2003年11月至2005年7月,共873个样本公司。一些公司在此期间披露的季度报告中不止一次披露了内部控制缺陷,因此在上述873个样本出现的次数也就不止一次,我们只保留了这部分公司第一次披露的信息,因此剔除了107个样本。在剩下的样本中,一些公司披露的并非内部控制重大缺陷,而是重要缺陷或一般缺陷,或者所披露的重大缺陷在比较会计报表期间而非报告期间存在,本文把这部分184个样本也予以剔除。经过上述过程,共剩下582个样本。
(二)《萨班斯—奥克斯利法案》执行初期在美上市公司内部控制重大缺陷披露总体情况
针对选定的样本公司,本文逐一分析了其披露的内部控制重大缺陷,并进行了分类、整理①。
本文对样本公司披露的内部控制重大缺陷按照公司层面、账户或交易层面来分类,并将无法根据所提供的信息进行分类的重大缺陷单独作为一类。如Doss(2004)所述,穆迪评级公司将内部控制重大缺陷划分为公司层面的重大缺陷,以及账户或交易层面的重大缺陷。如果一个公司披露了公司层面的内部控制重大缺陷,则穆迪会召开评级会议,讨论该公司现行评级是否已经反映了刚刚披露的重大缺陷,如果已有评级未反映新近披露的重大缺陷,且公司没有积极的整改措施,则穆迪会考虑降低其评级。对于账户或交易层面的内部控制重大缺陷,穆迪一般不会采取降低评级的行动。这说明,相比账户或交易层面的重大缺陷,公司层面的重大缺陷要更严重一些。我国《企业内部控制审计指引》第10条也规定,注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
公司层面内部控制重大缺陷涉及到COSO《内部控制——整合框架》中控制环境、风险评估、控制系统、信息和沟通、监督等要素的几乎所有内容,而账户或交易层面内部控制重大缺陷则涉及资产负债表和利润表的几乎所有项目。在控制层面内部控制重大缺陷中,人力资源、财务报告流程、监督出现的频率较高;而账户或交易层面,收入确认、所得税会计、存货、租赁等项目出现的频率较高。
需要说明的是,内部控制重大缺陷数量与其他研究的统计结果存在差异。例如,Ha mmersley等(2008)以《Compliance Week》2003年11月到2005年1月披露内部控制缺陷的613家样本公司为基础,经过调整后共358家公司,这些公司披露的内部控制缺陷共815个。如果研究同一期间样本,本文统计的内部控制重大缺陷共340家公司、内部控制缺陷数量879个。本文认为,产生差异的主要原因,如下文所论述的那样,是本文将样本公司披露的内部控制重大缺陷中提及的、产生内部控制重大缺陷的公司层面内部控制缺陷,以及相互联系的内部控制缺陷,均视为重大缺陷。这些差异不影响本文的研究结论。
四、在美上市公司内部控制重大缺陷认定及披露分析
内部控制重大缺陷认定是内部控制评估的核心,也是难点所在。许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。
(一)根据表明公司内部控制可能存在重大缺陷的重要迹象来认定、披露
美国公众公司会计监督委员会(PCAOB)《第2号审计准则——与财务报表审计相结合的财务报告内部控制审计》第140段,以及取而代之的《第5号审计准则——与财务报表审计相结合的财务报告内部控制审计》第69段都提到了如下四种迹象:为反映对一个重大错报的更正而重述以前的财务报表,未审财务报表中的重大错报由审计师而非公司发现,发现与高级管理层有关的舞弊,审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。上述前两种迹象,在认定内部控制是否存在重大缺陷时非常重要。只要存在这两种迹象,通常即可认定公司存在内部控制重大缺陷。其他两种迹象则较难用来直接认定。
1.为反映对一个重大错报的更正而重述以前的财务报表
之所以重述以前的财务报表,是因为前期财务报表中存在重大错报,而内部控制并未发现并及时更正。因此,会计报表重述成为判断财务报告内部控制存在重大缺陷的重要迹象之一。需要明确的是,财务报表重述本身不应构成一个内部控制重大缺陷,导致发生会计报表重述的事项才是内部控制重大缺陷。故本文的分类中并无该项。有86家样本公司发生了财务报表重述。一些公司披露了导致发生报表重述的事项。一些公司则并未说明导致发生报表重述的事项,只是笼统地进行说明。
由于财务报表使用者可以观察到公司是否发生了财务报表重述,因此,公司在内部控制评估中需要认真评估导致财务报表重述的、应被认定为重大缺陷的内部控制并予以披露。
2.未审财务报表中的重大错报由审计师而非公司发现
如果审计师在审计中发现当期财务报表中存在重大错报,而公司财务报告内部控制没有发现该项错报,则说明公司财务报告内部控制存在重大缺陷。
在《萨班斯—奥克斯利法案》实施前、上市公司无须披露财务报告内部控制评价报告时,如果财务报表中存在重大错报,无论是由审计师还是公司发现的,只要公司能在最终披露的财务报表中进行了调整,就不会影响审计师对财务报表的审计意见。而在《萨班斯—奥克斯利法案》实施后、上市公司须同时披露财务报表审计意见及内部控制评价和审计意见时,如果未审财务报表中的重大错报由审计师而非公司发现,虽然公司的财务报表在按照审计师的建议调整后可能被出具无保留意见,但公司的财务报告内部控制则因无法防范重大错报而应被认定为无效并被审计师出具否定意见。在此需要明确的是,未审财务报表中的重大错报由审计师而非公司发现本身不构成一个内部控制重大缺陷,无法发现错报的内部控制如关账程序等才是内部控制重大缺陷。因此,本文的分类对该项未作考虑。
有55家样本公司提到了审计师提出的审计调整。虽然财务报表使用者无法观察到公司是否发生了审计调整,但由于审计调整记录于审计师的工作底稿中,因此,那些发生了审计调整的公司应该评估与审计调整事项相联系的内部控制是否存在重大缺陷并予以说明。
3.发现与高级管理层有关的舞弊
美国《审计准则公告第99号——财务报表审计中对舞弊的考虑》将舞弊定义为,被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,包括对财务信息作出虚假报告导致的错报,以及侵占资产导致的错报。由于舞弊是一种故意行为,其产生的错报的危害可能非常大,因此,舞弊是财务报表内部控制存在重大缺陷的重要迹象。
样本公司中,披露舞弊信息的仅有6家:有4家公司披露其存在舞弊行为,有1家公司披露其违反了《反海外贿赂法》(FCPA),有2家公司披露其反舞弊机制不能有效运行,如舞弊举报热线不能有效运行。与前述两个迹象相比,披露的公司明显要少。一方面,这可能是舞弊一般比较隐蔽,较难识别;另一方面则可能是因为舞弊的后果非常严重,上市公司高层管理人员不会轻易冒险,舞弊现象确实比较少。此外,与前面两个迹象不同的是,舞弊既是内部控制存在重大缺陷的重要迹象,本身也构成内部控制重大缺陷。
4.审计委员会对公司的对外财务报告和财务报告内部控制的监督无效
有效的监督能够及时、有效地识别出控制失败或控制缺陷,并报告给那些对控制负责的员工或高层管理人员,以及时实施纠正措施。如果监督无效,就难以保证内部控制有效运行。正因为如此,COSO专门了《内部控制体系监督指南》。
如果监督是有效的,就应该能够及时识别出内部控制重大缺陷并督促整改。因此,严格地讲,除非监督职能有效地发挥作用并及时识别出了重大缺陷且督促整改,否则,所有披露了内部控制重大缺陷的公司的监督职能都是无效的。在此意义上,样本公司的披露并不严格。
财务报表的使用者无法直接观察到公司的监督职能是否有效。对于公司及其审计师而言,监督有效与否依赖于审计委员会、内部审计部门的自我评估,以及对其他监督手段存在和运行效果的评估。由于监督是内部控制的五要素之一,因此,监督无效既是内部控制存在重大缺陷的迹象之一,同时也构成内部控制重大缺陷。
(二)根据内部控制重大缺陷定义来认定、披露
无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。以下将根据《Compliance Week》月度报告摘录的上市公司内部控制披露内容来进行分析。
1.企业层面内部控制重大缺陷的认定
账户或交易层面内部控制重大缺陷,在很大程度上是与之相关的 企业层面内部控制存在重大缺陷导致的。我们发现,只有部分公司在披露其账户或交易层面内部控制重大缺陷时,也同时披露了导致该重大缺陷的企业层面内部控制重大缺陷,许多公司则没有披露。以下是几种具有代表性的企业层面内部控制重大缺陷。
(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足。存在该问题将导致:无法做到不相容职务相互分离;无法及时进行财务关账;无法处理非常规、复杂交易;无法及时复核相关账户;无法处理所得税等复杂会计问题,等。披露此重大缺陷的样本公司达111家。
(2)不相容职务相互分离存在重大缺陷。不相容职务是指那些如果由一个人担任,可能发生错误和舞弊行为,且可能掩盖其错误和弊端行为的职务。不相容职务相互分离原则要求每项经济业务都要经过两个或两个以上的部门或人员的处理,并受其监督和制约。否则,将直接导致一些账户或交易层面的内部控制出现重大缺陷。披露此重大缺陷的样本公司达42家。
(3)缺乏有效的监督。监督是内部控制五要素的重要组成部分。从某种意义上讲,无论是账户层面或交易层面的内部控制存在重大缺陷,还是企业层面的内部控制存在重大缺陷,都说明监督存在重大缺陷。也就是说,监督是无效的。披露此类重大缺陷的样本公司达59家。
2.相互联系的账户或交易层面内部控制重大缺陷及其披露
按照审计循环观点,任何重大差错一定涉及相互联系的两个或两个以上的账户。控制活动通常是按照业务循环来设计的。如果一个业务循环相关的内部控制存在重大缺陷,影响到的就不只是与该循环相关的某一个账户,而是两个或两个以上的账户。这样,在披露账户或交易层面内部控制重大缺陷时,除了披露导致该账户或交易重大缺陷的公司层面内部控制重大缺陷外,还应披露受该重大缺陷影响的所有账户或报表项目为宜。本文发现,相当数量的公司并未按此原则认定并披露,只披露了其中的一个账户,仅有部分公司披露了受账户或交易层面内部控制重大缺陷影响的所有账户。
3.几个一般或重要缺陷构成重大缺陷
两个以上的内部控制缺陷可能构成重大缺陷。从财务报表使用者的角度,我们无法判断构成重大缺陷的几个一般或重要缺陷的严重程度。而从披露的情况看,此类情形不是很多。样本中有14家公司披露若干缺陷构成了重大缺陷。
4.在披露内部控制重大缺陷时同时披露整改行动
如果在评估时发现了重大缺陷,但及时采取了有效的整改行动,且在披露时已经产生了明显的效果,则可以在很大程度上缓解投资者的顾虑,也不会对公司评级产生严重的负面影响(Doss,2004)。本文发现,大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
五、在美上市公司内部控制重大缺陷认定及披露对我国上市公司的借鉴
(一)重大缺陷的认定
我国《企业内部控制评价指引》并未规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定②,这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。参照在美上市公司内部控制重大缺陷的认定,我们认为,我国上市公司可以借鉴我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。相比根据重大缺陷定义认定,根据表明内部控制可能存在重大缺陷的迹象认定,比较容易判断,操作性较强。如果监管部门能够根据国内外上市公司披露内部控制重大缺陷的情况提供更多表明存在内部控制重大缺陷的迹象,无疑有助于公司执行《企业内部控制基本规范》及其配套指引。以下对我国准则规定的几个重要迹象进行分析。
1.根据表明公司内部控制可能存在重大缺陷的重要迹象来认定
我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。
(1)注册会计师发现董事、监事和高级管理人员舞弊。如果注册会计师在财务报表审计中执行《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》,或在内部控制审计中发现董事、监事和高级管理人员舞弊,则内部控制极有可能被认定存在重大缺陷。然而,正如该审计准则第六条所述的那样,“舞弊是一个宽泛的法律概念,本准则并不要求注册会计师对舞弊是否已经发生作出法律意义上的判定,只要求关注导致财务报表发生重大错报的舞弊”,注册会计师对舞弊的认定并非易事,只有当有确凿的证据表明董事、监事和高级管理人员舞弊时,注册会计师方可由此认定公司内部控制存在重大缺陷。本文认为,如果一家公司被证监会立案调查或行政处罚,或被司法机构认定存在违法犯罪,则通常表明公司存在舞弊行为。在此情形下,注册会计师应该认定该公司内部控制存在重大缺陷。
(2)企业更正已经公布的财务报表。近年来,我国上市公司重述前期的财务报表的情形频繁发生。根据我国《企业会计准则第28号——会计政策、会计估计变更和差错更正》,企业在当期发现、属于以前期间的会计差错,如果是重大会计差错,调整发现当期期初留存收益以及有关项目;对于比较会计报表期间的重大差错,则应当调整发生当期的净损益和相关项目。本文认为,参照样本公司的做法,我国上市公司因重大会计差错而更正已经公布的财务报表,应认定导致发生该重大差错的内部控制存在重大缺陷。
(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。发生这种情形,以致注册会计师提出了审计调整建议且公司为了获得无保留意见只能接受该建议,是内部控制存在重大缺陷的最直接的迹象之一。按照此标准,一些公司财务关账之后被注册会计师发现具有重大错报,其内部控制应该被认定存在重大缺陷;而一些公司因财务人员缺乏必要的会计准则知识,一直依赖审计师代为编制财务关账流程中的重要会计分录,甚至代为编制合并财务报表,其内部控制也应该被认定存在重大缺陷。
(4)企业审计委员会和内部审计机构对内部控制的监督无效。由于我国《企业内部控 制应用指引》并未包括审计委员会和内部审计相关内容,因此,无论审计师还是公司,在评价审计委员会和内部审计机构对内部控制的监督是否有效时都面临较大的困难。
关于我国上市公司审计委员会监督有效性,虽不乏实证研究证据(王跃堂等,2006),但应评价哪些具体要素却缺乏客观的依据。可以参照一些在美国上市的中国公司执行《萨班斯—奥克斯利》法案404条款的做法,从如下十个方面进行评估:是否设立了审计委员会;审计委员会的成员构成是否具有独立性;审计委员会成员具有相应的学识和经验来履行其监督职责;审计委员会与财务主管、内外部审计师等相关方的沟通与联系;审计委员会是否能及时充分获取必要的信息来监督管理层的战略、经营、财务状况和经营成果,以及其他重大交易合同等;审计委员会评估敏感的信息、调查结果及不当或违法活动(例如:重大诉讼、政府机关的调查、侵吞公司资产、违反内部交易规定、违法支付等);是否就发现的问题,采取必要的行动,包括进行专项调查等;对定期财务报告的监督;对证监会、交易所规定的其他职责的履行情况;审计委员会的自我评估等。
关于内部审计监督的有效性,可以参考证券交易所制订的上市公司规范运作指引③中的相关规定来进行,但需要注意的是,这些规定中对内部审计的要求与国际内部审计师协会的要求还有较大的差距。参考陈武朝(2010)对美国《萨班斯—奥克斯利法案》404条款实施初期内部审计无效案例的研究结果,以及我国《企业内部控制基本规范》的相关规定,在实施《企业内部控制基本规范》时,应从独立性、胜任能力、任务和职责等三个方面评价内部审计是否有效。
如果认定审计委员会对内部控制的监督无效,或认定内部审计机构对内部控制的监督无效,则都应认定内部控制存在重大缺陷。
2.根据内部控制重大缺陷定义来认定、披露
参照在美上市公司的做法,无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。由于该方法在很大程度上依赖内部控制评估人员的专业判断,因此不同公司对同一事项可能会得到完全不同的结论。借鉴在美上市公司重大缺陷认定,以下情形应考虑认定为内部控制重大缺陷:(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足;(2)不相容职务相互分离存在重大缺陷;(3)缺乏及时、充分的复核及监督。此外,如果认定某个账户或交易层面内部控制存在重大缺陷,就应该考虑与之相关的企业层面内部控制是否存在重大缺陷,以及与之相联系的其他账户或交易层面内部控制是否存在重大缺陷;无论存在企业层面的内部控制重大缺陷,还是账户或交易层面的内部控制重大缺陷,都应考虑审计委员会及内部控制监督职能是否存在重大缺陷。
(二)重大缺陷的披露
我国上市公司在年度报告中如何披露内部控制评价信息,预计到2011年年报编制时才会有正式的规定出台。本文认为,重大缺陷披露应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷:有表明内部控制可能存在重大缺陷的重大迹象,还是满足内部控制重大缺陷的定义?在披露某个账户或交易层面内部控制的重大缺陷时,应披露审计委员会及内部审计监督可能存在的重大缺陷,与该账户或交易层面内部控制的重大缺陷相关的企业层面内部控制可能存在的重大缺陷,以及与之相联系的其他账户或交易层面内部控制可能存在的重大缺陷。应借鉴Hammersley等(2008)等的研究发现,披露内部控制重大缺陷的细节。特别需要注意的是,在披露内部控制重大缺陷同时应披露整改行动。
六、结论
本文研究了《萨班斯—奥克斯利法案》执行初期在美上市公司披露的财务报告内部控制重大缺陷的认定及披露,并结合我国的相关规定,分析了对我国上市公司执行《企业内部控制基本规范》及其配套指引的借鉴作用。
本文发现,在美上市公司的许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。披露的内部控制重大缺陷涉及COSO《内部控制—整合框架》五要素的几乎所有内容,以及资产负债表和利润表的几乎所有项目。仅有部分公司披露导致交易或账户层面重大缺陷的企业层面内部控制重大缺陷。同时,仅有部分公司披露受账户或交易层面内部控制重大缺陷影响的所有账户;相当数量的公司只披露其中的一个账户;绝大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
我国《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定。这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。本文认为,我国上市公司可以借鉴我国《企业内部控制审计指引》列出的、表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。在披露时,应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷,以及与之相联系的其他内部控制可能存在的重大缺陷。此外,应注意披露内部控制重大缺陷的细节,且应同时披露整改行动。最后,对于监管机构而言,应总结实施中的经验和问题,尽早出台相关的规范,以规范《企业内部控制基本规范》及其配套指引的实施。
注释:
篇6
内控是被审计单位为了合理保证财务报告的可靠性、经营的效率和效果以及对法律法规的遵守,由治理层、管理层和其他人员设计和执行的政策及程序。而内控缺陷即是设计或执行不到位而使企业可能招致的风险。我国《企业内部控制评价指引》将内控缺陷分为设计缺陷和运行缺陷,其中设计缺陷是指企业内控制度未涵盖实现控制目标所必需的重要控制措施,或现有重要控制措施设计不合理,导致控制目标无法实现;运行缺陷是指控制执行者未按照内控制度要求执行,或控制执行者不具备有效执行控制的能力,导致控制目标无法实现。SEC下属的PCAOB将内控缺陷分为一般缺陷、重要缺陷和重大缺陷,类似地,《企业内部控制评价指引》按照内控缺陷的影响程度将其分为一般缺陷、重要缺陷和重大缺陷,不同程度的内控缺陷在审计中需要报送给企业不同层级的管理层。
除了我国相关文件对企业内控缺陷根据不同标准对企业内控缺陷进行了分类,国内外学者也对内控缺陷进行了分类。国外学者对内控缺陷的研究较早,Ge&Mcvay(2005)根据企业实际存在内控缺陷将内控缺陷分为账户类缺陷、培训类缺陷、期末报告和会计政策类缺陷、收入确认类缺陷、职务分离类缺陷、账户核对类缺陷、子公司类缺陷、高管类缺陷和技术类缺陷等九类,其中收人确认类缺陷、职务分离类缺陷、期末报告、会计政策类缺陷和账户核对类缺陷等五类缺陷发生的频率较高。Doyleet al.(2007)从按照内控缺陷所涉及问题的严重性将内控缺陷分为公司层面内控缺陷和账户层面内控缺陷。Jacqueline &Hammersley(2007)按照审计难易程度将内控缺陷分为难审计内控缺陷和易审计内控缺陷,又将难审计内控缺陷细分为关键人员缺陷、财务报告缺陷和控制环境缺陷,而将易审计内控缺陷细分为系统缺陷、交易核算缺陷和日常业务控制缺陷。Klammet al.(2012)以内控缺陷持续对企业的持续影响作为研究的着眼点,将内控缺陷划分为与信息技术相关的公司层面缺陷、与信息技术不相关的公司层面缺陷以及会计账户层面缺陷三个类别。
国内对于内控缺陷的研究起步较晚。南京大学课题组(2010)按照内控五要素将内控缺陷分为控制环境缺陷、风险评估缺陷、控制活动缺陷、信息与沟通缺陷以及内部监督缺陷五大类。单华军(2010)以深市上市公司作为研究对象,发现其内控评价报告中较多的是披露培训类、董事会类、内部审计类、子公司类等方面的缺陷。此外,有学者在内控缺陷大类中进行细分。鲁清仿(2009)把内控重大缺陷的界定标准分为两类:上市公司中报或年报中有修订或“补丁”行为及存在审计师变更的。齐保垒和田高良(2010)将实质性缺陷与重大薄弱环节划分为会计类、期末报告与会计政策类、收入确认类和子公司控制类等四种类型。
二、内控缺陷认定的方法
内控缺陷通常可以通过定量或定性的方法进行认定,也可以采用二者相结合的方法。一般情况下,与财务报告相关的内控缺陷采用定量分析,而非财务报告相关内控缺陷量化难度较大,采用定性分析法。为保证不同期间内控评价结果的可比性,各期间的评价方法应该保持一致。
定量分析法可以参考审计准则关于重要性水平的相关规定。在审计中,一般以资产总额、净资产、营业收入等财务报告科目金额为基础乘以0.5%-1%的某一比例,以此金额作为标准。将审计过程中已发现的错报、推断的错报及以前年度发现应调整而未调整的错报等汇总数与标准金额对比。如果汇总金额超过标准金额,则认为该内控存在重大缺陷,否则不存在。
非财务报告内控缺陷一般不会直接造成财务报告错报,但会造成企业经营效率等方面的负面影响,最终仍然可能会对财务报告项目造成一定影响。非财务报告内控虽然无法量化,但是可以参照《企业内部控制评价指引》所列出的内控可能存在重大缺陷的迹象来进行定性分析:董事、监事和高级管理人员舞弊;更正已经公布的财务报表;当期财务报表存在的重大错报,未通过内部控制在运行过程中发现;企业审计委员会和内部审计机构对内部控制的监督无效。这些无法涵盖所有内控缺陷迹象,企业需要根据自身实际情况,进行分析,尽早发现内控缺陷,作出相应对策,提高企业经营效率。
三、内控缺陷认定的难点与对策
(一)内控缺陷认定的难点
虽然内控缺陷认定有一定的制度可循,但我国相关制度出台较晚,仍有不完善之处。此外,企业间有共性也有个性,总有制度不能涵盖的地方。所以在实务中,对企业内控缺陷认定仍然存在一些难点。
1.相关制度所带来的内控缺陷认定难点
非财务报告相关内控缺陷认定标准不够严明。与财务报告相关内控缺陷认定有明确的数据支持不同,非财务报告相关内控缺陷只有凭借《企业内部控制评价指引》中有限的要求及企业自身经验来界定,大多只能用定性分析法,不仅可操作性较差,结果精确度也较低。
内控缺陷重要程度的划分标准不够明晰。我国《企业内部控制审计指引》认为重大缺陷“可能导致企业严重偏离控制目标”,重要缺陷“严重程度和经济后果低于重大缺陷,但仍有可能导致企业偏离控制目标”,一般缺陷是“除重大缺陷、重要缺陷之外的其他缺陷”。这些均是概括性说明,实际操作中仍会有一定难度。
2.实务操作中内控缺陷认定的难点
企业所建立的内控制度存在缺陷。尽管《企业内部控制基本规范》的对企业内控制度的建立有很大的指引作用,而且经过近几年的发展,也能得到一定完善。但是,有时会存在企业的内控制度在建立之初就已偏离经营目标的情况。而在进行内控缺陷认定时,为了掩盖这一事实,会作出失实的内控评价,忽略或刻意轻视部分内控制度。
我国《企业内部控制基本规范》要求企业从公司层面进行内控缺陷认定,而《企业内部控制评价指引》仅要求注册会计师对财务报告内控有效性发表审计意见,而对非财务报告内控仅在存在重大缺陷时才予以披露。这样二者对于内控有效性评价的范围不统一,可能导致信息披露结果不一致。
(二)内控缺陷认定的对策
篇7
高职高专学校会计相关专业都有审计学这门必修课。然而,面对审计这门专业课,大部分同学是谈“审”色变,一门课上完了,还找不到感觉,特别是对审计认定到底是怎么回事,都不能说出所理然。
什么是审计认定?答曰:对企业的经济活动的认定按照既定的标准进行的重认定。认定分为两个层次:1.财务报表层次 ,2.各类交易、账户余额、列报层次。根据具体审计目标确定管理层的认定是否恰当。交易、账户余额、列报层次的认定共有5种:1、存在与发生;2、完整性;3、权利与义务;4、计价与分摊;5、表达和披露。
以上是CPA教材给出的审计认定的解释。然而,这样的解释,对我们刚刚开始学习审计的专科学生来说,理解是困难的。这样的解释,授课老师必须进行必发的分解,从具体的各项会计要素的审计流程中对认定这一概念作诠释。在此,从对固定资产的审计来谈谈审计认定这一问题。
固定资产审计的程序一般可以分成两大部分:
第一部分,审计目标
1 资产负债表中记录的固定资产是存在的。
2 所有应记录的的固定资产均已记录。
3 记录的固定资产被审计单位拥有或控制。
4 固定资产以恰当的金额包括在财务报表之中。
5 固定资产已按企业会计准则的规定在财务报表中作出列报。
从固定资产的审计目标来看,基本包括认定的5个方面,即:存在与发生;2、完整性;3、权利与义务;4、计价与分摊;5、表达和披露。这就是下面在审计程序中需要我们根据相关依据去验证被审计单位的固定资产核算与管理是否符合审计目标中规定的5个认定。
第二部分,审计程序
1 获取或编制固定资产明细表,复核加计是否正确,并与总账和明细账合计数核对是否相符,结合累计折旧和固定资产减值准备与报表数核对是否相符。
2 进行实质性分析程序:
3 实地检查固定资产,确定其是否存在,关注是否在已报废但仍未核销的固定资产。
4 检查固定资产的所有权或控制权:
对各类固定资产,获取、收集不同的证据以确定是否归被审计单位所有:对外购的固定资产,审核采购发票,采购合同等;对房地产类固定资产,查阅有关合同、产权证明、财产税单等书面文件;对融资租入的固定资产,检查有关融资租赁合同;对汽车动输设备,检查有关运营证明等。
5 检查本期固定资产增加:
询问管理层当年固定资产的增加情况,并与获取编制的固定资产明细表进行核对。检查本年度增加固定资产的计价是否正确,手续是否完备,会计处理是否正确。
6 检查本期固定资产的减少:
7 检查固定资产的后续支出
检查固定资产有关的后续支出是否满足资产确认条件。
8 检查固定资产的租赁情况
9 获取暂时不用的固定资产的相关证明文件,并观察其实际情况,检查是否已按规定提折旧,相关会计处理是否正确。
10 获取已提足折旧仍在使用的固定资产的相关证明文件,并作相应记录。
11 获取持有待售固定资产的相关证明文件并作相应记录,检查其预计净残值调整是否正确,会计处理是否正确。
12 检查固定资产的保险情况
13 检查有无与关联方固定资产购售活动,是否经适当授权,交易价格是否公允。对于合并范围内购售活动,记录应予以合并抵销金额。
14 对应计入固定资产的借款费用,应按企业会计准则的规定,结合长短期借款,应付俩券或长期应付款的审计,检查借款费用资本化的计算方法和资本化金额,以及会计处理是否正确。
15检查购置固定资产时是否存在与资本性支出有关的财务承诺。
16 检查固定资产的抵押、担保情况。
17 根据评估的舞弊风险等因素增加相关的审计程序
18检查固定资产的减值准备:
获取或编制固定资产减值明细表,复核加计是否正确,并与总账生明细账进行核对。检查被审计单位计提固定资产减值准备的依据是否充分,会计处理是否正确。检查被审计单位处置固定资产减值准备的情况,确定减值准备在以后会计期间没有转回。
19 根据评估的舞弊风险等因素增加的审计程序。
20 检查固定资产是否已按照企业会计准则的规定在财务报表中作出恰当列报:
固定资产的确认条件、分类、计量基础和折旧方法,各类固定资产的使用寿命、预计净残值和折旧率,各类固定资产的期初和期末原价、累计折旧额及固定资产减值累计金额,当期确认的折旧费用,对固定资产所有权的限制及金额和用于担保的固定资产账面价值,准备处置的固定资产名称、账面价值、公允价值、预计处置费用和预计处置时间等。
从固定资产的审计程序来看,审计认定的5个方面渗透于对固定资产的核算和管理进行验证流程之中。要想做好审计认定工作,必须对企业的固定资产核算和管理的相关规范和要求要了如指掌。一般来说,在对企业固定资产进行审计认定时,审计人员至少要非常熟悉收下法规中对固定资产的有关规定:
1 中华人民共和国会计法
2 企业财务会计报告条例
3 企业会计准则――基本准则
4 企业会计准则――非货币易
5 企业会计准则――债务重组
对问题的认定要有充分的依据,不能好像是什么。比如《中华人民共和国会计法》第三条规定“各单位必须依法设置会计账簿,并保证其真实,完整”;第九条规定:“各单位必须根据实际发生的经济业务事项进行会计核算,填制会计凭证,登记会计账簿,编制会计报告。任何单位不得以虚假的经济业务事项或资料进行会计核算”;第二十六条规定:“公司、企业进行会计核算不得有下列行为:(一)随意改变资产、负债、所有者权益的确认标准或者计量方法,虚列、多列、不列或者少列费用、成本;(二)虚列或者隐瞒收入,推迟或者提前确认收入;(三)随意改变费用、成本的确认标准或者计量方法,虚列、多列、不列或者少列费用、成本;(四)随意调整利润的计算、分配方法,编造虚假利润或者隐瞒利润;(五)违反国家统一的会计制度规定的其他行为。
篇8
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 025
[中图分类号] F239.4 [文献标识码] A [文章编号] 1673 - 0194(2012)18- 0045- 01
1 风险导向审计发展背景
风险导向审计产生并经过一定程度的发展滞后,美国注册会计师协会于1983年提出了审计风险模型:审计风险=固有风险×控制风险×检查风险。在审计过程中,审计师以此模型为指导,解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理层由于本身的认知和技术水平造成的错报,以及企业管理层局部和个别人员舞弊和造假造成的错报,最终审计师将审计风险控制在可接受的水平。
但是,传统风险导向审计固有的缺陷,它在发现高层舞弊、虚构交易方面效力不够。2003年10月,国际审计和鉴证准则委员会了一系列新的审计风险准则,要求审计师在审计过程中更深入地进行风险评估,并对审计风险模型作出重大改动,将企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素加以评估。新的审计准则明确指出,被审计单位面临着各种各样的经营风险,在财务报表审计中,审计时并不是要关注所有的风险,而是只需要关心与财务报表有关的风险。审计风险是指财务报表存在重大错报而审计师发表不恰当审计意见的可能性,而不包括审计师错误地认为财务报表含有重大错报的风险。修改后的审计风险模型为:审计风险=重大错报风险×检查风险。
2 重大错报风险概述
所谓重大错报风险即是指财务报表在审计前存在重大错报的可能性。重大错报风险包括两个层次:认定层次和财务报表整体层次。认定层次风险是指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理层由于自身的认识和技术水平造成的错报,以及企业管理层和个别人员舞弊和造假造成的错报。
财务报表整体层次风险主要指战略经营风险。把战略风险纳入现代审计模型,可建立一个更全面的审计风险分析框架。战略经营风险是审计风险的一个高层次构成要素,是财务报表整体不能反映企业实际经营情况的风险。这种风险源自于企业可观的经营风险或企业高层串通舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现财务报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层次考虑财务报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层串通舞弊、虚构交易或事项而导致财务报表存在错报,怎样去进行审计的问题。
3 被审单位存在重大错报风险的可能性事项
当存在以下事项和情况时,审计师应当关注被审计单位是否存在重大错报风险,具体包括:在经济不稳定的国家或地区开展业务;在高度波动的市场开展业务;在严厉、复杂的监管环境中开展业务;持续经营和资产流动性出现问题,包括重要客户流失;融资能力受到限制;行业环境发生变化;供应链发生变化;开发新产品或提供新服务,或者进入新的业务领域;开辟新的经营场所;发生重大收购、充足或其他非经常性事项;拟出售分支机构或业务分部;复杂的联营或合资;运用表外融资、特殊目的实体以及其他复杂的融资协议;存在未决诉讼和或有负债等。审计师应当充分关注可能表明被审计单位存在重大错报风险的上述事项和情况,并考虑由于上述事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性。
审计师应当明确,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。
4 识别和评估重大错报风险的审计程序
在识别和评估重大错报风险时,审计师应当按照以下步骤实施审计程序:
(1)在了解被审计单位及其环境的整个过程中识别风险,并考虑对各类交易、账户余额、列报等认定层次的影响。审计时应当运用各项风险评估程序,在了解被审计单位及其环境的整个过程中识别风险,并将风险与各类交易、账户余额、列报相联系。例如,被审计单位因相关环境法规的实施需要更新设备,可能面临原有设备闲置或贬值的风险;宏观经济的低迷可能预示应收账款的回收存在问题;竞争者开发的新产品上市,可能导致被审计单位的主要产品在短期内过时,于是将出现存货跌价和长期资产的减值。
篇9
有些大的会计公司为了强调经营风险的审计方法,修改它们的审计辅助软件,以围绕业务流程组织审计证据,而不是按照传统的交易循环组织证据。关注业务流程的审计软件系统(Business-Process-Focused,BPF)通过价值链组织被审单位的信息;而传统的关注交易循环的审计软件系统(Transaction-Circle-Focused,TCF)是按照交易分类组织被审单位的信息。O''''DonnellE和JrJosephJSchultz(2003)的研究结果表明使用BPF软件的审计人员能识别出更多的风险情形,并将风险估计在恰当的水平;而使用TCF软件的审计人员对风险的识别和估计都较差。因此他们认为不同的信息组织形式会影响审计人员的决策判断。造成这种结果的原因在于业务流程关注事件之间的关联性,它通过情景引导记忆;而传统的交易循环关注的是交易分类,它通过语义引导记忆。因此,关注业务流程可降低任务的复杂性和认知难度。随后其他的研究人员也发现围绕业务流程开展内部控制的评估任务更为有效。
二、IT环境下基于流程的审计风险判断方法
为了协助审计人员运用自上而下的风险导向审计方法,国际审计和鉴证准则委员会于2005年制定了“在整个审计
过程中运用职业判断对重大错报风险进行更准确评估的框架和模型”。具体步骤如下:(1)了解企业及其环境(包括内部控制),识别风险,并在报表层次考虑交易性质、账户余额、披露;(2)将发现的风险与认定层次可能发生的错误与舞弊相联系;(3)考虑风险的重要性;(4)考虑风险的发生概率。这个风险判断思路也同样适用于IT环境。因此借鉴自上而下的审计方法,将流程作为IT风险判断的中间环节,改进了的IT环境下的审计风险判断方法具体实施步骤如下:
1.了解企业及其环境(包括内部控制)。我国2006出台的《中国注册会计师审计准则第1211号——了解被审计单位及其环境并评估重大错报风险》列举了影响重大错报风险的因素:行业状况、监管环境以及其他外部因素,企业性质,目标和性质以及相关的经营风险,财务业绩的衡量和评级,内部控制。在IT环境下,识别和评价企业层面的风险和风险控制的有效性时,需特别考虑:(1)IT利益群体的风险及对IT利益群体控制的有效性,如IT治理;(2)企业层面的IT控制,如与IT相关的控制环境、风险评估、信息与沟通、监控、教育和培训等方面。
2.确定财务报告流程的核心要素。根据企业层面的风险评估结果识别重大账户、重要披露及与之相关联的认定。
3.识别关键业务流程。审计人员首先要识别与上述重大账户、重要披露、认定相关联的关键流程及流程所包括的主要交易,同时识别流程中易发生错误和舞弊的关键点(控制点)。为了判断业务流程能否实时预防或检测错误和舞弊,审计人员要识别出需要被测试的控制点,由于业务流程大多基于IT,因此要确定这些控制点哪些是依赖IT的,然后识别并证实关键的IT功能。
4.确定与IT功能相对应的应用系统的范围。详细列出与这些IT功能相关的应用系统和与之关联的子系统,包括交易应用系统和支持性应用系统。交易应用系统在处理组织内的数据时通常提供以下功能:(1)通过借贷关系记录交易的价值数据;(2)作为财务、经营和法规数据存放的仓库;(3)能够生成各种财务和管理报告,包括销售订单、客户发票、供应商发票以及日记账的处理。支持性应用系统并不参与交易的处理,但方便了业务活动的进行,如Email程序、传真软件、设计软件等。
然后IT审计人员与财务审计人员合作,从列示的子系统中识别出支持授权、复杂计算、维护重要账户(如存货、固定资产、贷款等)的完整性的重要应用系统。应用系统是否重要,需要考虑:交易量(交易量越多,应用系统越关键)、交易金额(金额越大,应用系统越关键)、运算的复杂性(运算越复杂,应用系统越关键)、数据和交易的敏感度(敏感度越大,应用系统越关键)。为应用系统提供IT服务,或者支持应用系统关键环节的IT一般流程即为需要进行IT一般控制测试的范围。
5.识别管理和驱动这些重大应用系统的IT流程。识别所有支持这些应用系统的基础设施,包括数据库、服务器、操作系统、网络,以及与之相关联的IT流程。判断这些IT流程的风险和相关的控制目标。识别出需要被测试的IT一般控制,进而判断其是否符合控制目标。控制测试结果将影响与之相关的IT应用控制的评价、业务流程的风险评价。对这些流程和系统进行风险和控制评估后,就可以制定风险控制矩阵。
6.评价IT控制、分析业务流程风险。结合对IT一般控制的评估结果和对业务流程中IT应用控制的评估结果,就可以分析关键业务流程的IT风险控制情况。此时的IT控制测试和人工控制测试要结合起来予以考虑,即将二者作为一个整体的测试对象。业务流程的风险是与业务流程所关联的一系列交易活动、账户群的余额、列报(包括披露)认定层次重大错报风险相联系的,因此,业务流程风险的评价结果构成了认定层次重大错报风险评估的直接基础。
7.评估电子证据证明力、设计实质性测试程序。审计人员可根据上述步骤的风险评估结果判断某一业务流程的电子审计证据的证明力并设计与业务流程有关的账户群的实质性测试程序。
通过上述7个步骤,审计人员可以将IT环境下的企业风险因素与报表层次和认定层次的重大错报风险相链接,同时也为电子审计证据证明力(即检查风险的判断)提供了依据。
参考文献:
[1]顾晓安,基于业务循环的审计风险评估专家系统研究[J].会计研究,2006(4):23-29.
篇10
(一)审计技术理念层次不够深入 审计实验只是停留在以查错防弊为目的的账项基础审计阶段,无法锻炼学生综合运用有关审计程序和方法进行富有严密逻辑推理的风险评估、控制测试和实质性测试,无法让学生感受到先进审计理念的技术优势,树立现代审计的风险导向思维。
(二)审计案例设计内容不全面 对被审计单位内外环境相关信息介绍过于简单,缺乏完整的内部控制描述,经济业务时间跨度较短,没有提供除检查书面证据、分析程序、计算之外的审计证据来源,如管理层对重要问题的口头答复或书面答复资料、实物盘点记录等,因资料提供不充分无法开展对企业风险的评估,无法运用询问、监督盘点、穿行测试等多种重要手段收集证据,不利于收集、综合解释审计证据的训练。
(三)审计工作底稿设计过于简单 仍沿用旧的体系,缺乏风险评估记录底稿,满足不了对重要会计错漏报领域的专业判断;依靠学生自己设计或完善,很大程度上超出了学生目前的能力,底稿变成了数据简单罗列的表格;在控制测试和实质性测试底稿中审计目标和审计程序之间没有明确的对应关系,对审计程序选用毫无目的,按步就班机械审计,不利于培养审计职业判断。
目前,市场上缺乏风险导向审计实验案例资料可供教学利用,规划一套能运用于理论教学又能运用于实验教学的案例资料以进一步完善审计的教学内容和手段很有必要,也很有意义。
二、风险导向案例设计的目标与内容
(一)设计目标 设计一套仿真的案例资料,运用于风险导向审计理论教学和审计实验(包括手工实验和计算机审计实验)。案例资料是为审计学、财务审计两门专业主干课程的配套实验课而开发的,追求理论和实际的紧密结合,让教师感到教学上得心应手,让学生把枯燥乏味的学习变得轻松愉快,树立对未来审计工作的信心。教师根据案例资料讲解,利用实验中的相关审计工作底稿,清楚地讲解审计的基本理论和实务技巧,进行教学示范或教学演示,把审计的过程、各种审计取证方法的运用展现得淋漓尽致。学生利用案例资料实习,自己动手,把对审计理论的理性认识融入到审计实务的感性认识中,学会采用恰当的审计方法收集审计证据,实现审计目标。如果采用手工审计,可以感受风险导向审计程序和方法;通过计算机审计,还可以掌握现代先进的审计查账技术,体验计算机技术在审计中的运用,为适应审计现代化的要求打下良好的基础。
(二)设计内容 行业信息、被审计单位内外经济环境、内部控制制度、13个月(当年及次年1月)的经济活动信息、会计资料(原始凭证、记账凭证、账簿、报表及附注)及相关信息;会计师事务所风险导向审计空白底稿、审计内部控制缺陷及实质性错弊参考答案。具体包括:(1)对被审计单位经济环境、行业状况调研,描述宏观形势、行业发展状况。(2)设计被审计单位基本情况并设置整体层面的重大风险事项。包括公司历史沿革、公司章程、营业执照、税务登记、投资方简介、公司治理结构、公司员工名册、当年经营情况分析等,在设计时要考虑教学的需要有目的设置整体层面重大风险事项。(3)确定被审计单位生产的产品品种及主要业务流程、生产技术指标。(4)筛选常见业务,确定内部控制设计、运行缺陷及实质性错弊常见的类型。(5)按月设计具体经济事项,有目的设计业务层面重大错报风险业务、实质性错弊,为开展风险识别、评估做好铺垫。使风险导向技术的运用有所收获,增强“实战”的效果。(6)描述内部控制,包括内部环境、风险评估、控制活动、信息与沟通、监控等五要素,并与重大风险、实质性错弊挂钩有目的设计内部控制不合理、实行无效的缺陷。(7)确定每笔业务所需的原始凭证并编制会计分录。(8)设置原始凭证模版并根据设计内容填写;将会计分录输入财务软件,形成记账凭证、账簿、报表。(9)选择风险导向审计底稿模版。(10)根据审计程序的需要和内部控制缺陷、实质性错弊认定的需要提供初步审计证据。(11)编制主要审计工作底稿参考答案。(12)整合设计的案例资料。(13)利用案例资料编制风险导向审计实验指导书。(14)与审计软件公司联合开发教学版软件,为理论教学提供案例演示。同时考虑实现产、学、研结合,最大限度挖掘案例资料的使用价值和经济价值。
三、风险导向案例设计的要求
(一)资料新 实验案例资料应包括审计单位会计信息及相关信息、会计师事务所审计工作底稿两大部分。被审计单位相关信息按照会计准则、内部控制规范来组织,审计工作底稿按照风险导向审计准则编制,与对应课程保持高度一致,保持资料的时效性。
(二)系统性强 每一笔会计业务和其他信息设计的目的性要强,内部控制的缺陷与会计错报挂钩,错报又能被恰当审计程序查找出来,记录在审计工作底稿中,环环紧扣,保证了横跨会计、内部控制、审计三门学科实验资料的系统性。确保了风险评估、控制测试和实质性测试存在内在的必然联系,为审计程序的连续性、系统性提供证据支持。
(三)信息全 完整构建与被审计单位相关的会计信息,至少再现13个月的经济业务,包括原始凭证、记账凭证、明细账、会计报表、内部控制制度体系;此外,还应提供详细的企业内外部经济环境、发展战略、经营目标等非财务资料,为全面开展风险导向审计提供信息。
(四)针对性强 根据学生的知识特点和课程时间安排,精选行业,精心设计每笔有代表性的业务,精简实验资料。在设计被审计单位信息时,根据审计教学的需要,针对常见的会计错弊,精心组织业务,事先设计好内部控制缺陷和实质性错弊陷阱,目的是在传授审计查账方法的同时收获审计的成就感,增强学生兴趣和信心。
(五)技术先进 审计实验课程的最高实验境界是利用审计软件对电子财务信息进行审计。在较短时间内,能利用审计软件分析性复核、查询等功能确定重大错报风险领域,明确审计工作的重点,提高审计效率。
(六)经得起检验 每一笔业务应该经过精心挑选,推敲讨论、反复核对,确保差错率低;并且由项目设计老师根据审计流程,采用审计软件辅助编制出对应的审计工作底稿参考答案,检验与当初设计的实质性陷阱是否相匹配。正反方向都经过梳理,使实验资料经得起检验。
四、风险导向案例设计原则
(一)体现风险导向审计理念 现代风险导向审计克服了传统审计缺乏全面性分析而导致审计失败的缺点,是一种基于战略系统观的审计新理念,其创新之处就在于将企业视为整个社会经济生活网络中的一个细胞,从企业的宏观层面着手,考虑其所处的经济环境、行业状况、经营目标、战略和经营风险都将对会计报表产生重大影响。这种全新模式要求审计人员从更广阔的视角,形成对被审计单位经营风险、财务风险的整体评价。它强调审计人员审计工作重心前移,重视审计计划,重视重大错报风险的识别和评估,重视针对重大错报风险的实施程序,从而减少审计失败的风险。审计教学应切合最新的理论成果,倡导现代风险导向的理念。
(二)与新会计准则、审计准则保持一致,贴近实务操作 在设计被审计单位会计信息时,应以被审计单位采用新会计准则体系为基础,注重与新会计准则体系保持一致,使实验项目会计处理方法与财务会计教学内容相同,增强时效性。同时,应以风险导向审计理念的工作底稿作为审计载体。风险导向审计理念要求在审计时以重大错报风险的识别、评估和应对作为审计工作的主线,并贯穿于审计过程的始终。在设计底稿的结构和内容时要充分体现这一原则,突出风险评估程序的重要性,为审计人员深入了解被审计单位及其环境,并进行更为严格的风险评估提供详细的指导。底稿模板应以中国注册会计师执业准则和指南为基础,与实际操作中填写的工作底稿接近,以增强实验的仿真性。
五、风险导向案例实施的关键环节
(一)做好被审计单位风险因素的设计 为了使学生在风险评估中识别出风险,可以用问卷调查、管理层答复、会议纪要、内部控制描述等多种形式在被审计单位设计出一些风险信息:行业状况、法律环境与监管环境以及其他外部因素;被审计单位性质;被审计单位对会计政策的选择和运用;被审计单位的目标、战略以及相关经营风险;被审计单位财务业绩的衡量和评价;被审计单位的内部控制等。通过让学生采用询问、分析、观察和检查等风险评估程序了解被审计单位及其环境,识别和评估财务报表层次并认定层次的重大错报风险,为风险评估提供充分审计证据。
(二)工作底稿整体结构与风险导向审计的过程相对应 工作底稿包括当期档案和永久性档案两大部分。当期档案主要供当期和下期审计使用,是底稿的主体部分,应贯穿重大错报风险识别、评估和应对的审计工作主线,主要包括初步业务活动工作底稿、风险评估工作底稿、进一步审计程序工作底稿、其他项目工作底稿和业务完成阶段工作底稿。其中,进一步审计程序工作底稿包括控制测试和实质性程序两部分。永久性档案包括对以后审计工作具有长期参考价值的档案,其内容相对稳定,有关内容需要在实验项目材料中提供。
(三)工作底稿体现“目标”与“认定”的对应关系 “认定”是指被审计单位管理层对财务报表组成要素的确认、计量、列报作出的明确或隐含的表达。审计人员基本职责就是确定被审计单位管理层对其财务报表的认定是否恰当。在认定的各项内容中,与各类交易和事项相关的认定包括:发生、完整性、准确性、截止、分类;与期末账户余额相关的认定包括:存在、权利和义务、完整性、计价和分摊;与列报相关的认定包括:发生及权利和义务、完整性、分类和可理解性、准确性和计价。在设计风险评估程序、实质性程序底稿时应明晰审计目标、审计程序和“认定”的对应关系,帮助审计人员选择适当的审计程序,采用检查记录或文件、检查有形资产、观察、询问、函证、重新计算、重新执行和分析程序等具体审计方法来获取审计证据。并据以对相关认定是否适当确定审计结论以及最终发表审计意见。
(四)工作底稿前后贯通、联系和对应 风险导向审计理念不仅要求审计人员做到有的放矢,而且要求风险应对程序与风险评估结果有清晰的联系或对应关系。通过运用“认定”的概念和交叉索引,将风险评估和风险应对予以贯通,将控制测试和实质性程序相联结,将各个模块之间的接口予以贯通。如,实质性程序工作底稿分为两个部分,其中第一部分对认定、具体审计目标和审计程序的对应关系进行提示,并提供可供选择的审计程序库;第二部分是实质性程序具体实施记录。在实施实质性程序时,需要根据评估的重大错报风险,运用职业判断,从第一部分审计程序库中选择适当的审计程序,并确定实施时间和范围。
(五)全面展现审计证据类型 收集证据是审计的主要工作。审计证据的类型主要有实物证据、书面证据、口头证据、环境证据等,要通过沟通、询问获取的口头证据、观察获取的环境证据、函证获取的书面证据,在实验中予以体现。一个可以借鉴的方法是通过提供会议记录,相关人员口头答复给予相关信息来提供口头证据,通过提供初步审计结果提供实物证据、环境证据,通过提供询证回函提供函证书面证据。
(六)实验答案并不唯一 在审计实验中要求确定审计重要性水平来帮助发表恰当的意见类型。重要性水平是否合理,取决于审计人员的判断,很难定性衡量。由于学生专业判断的能力不一,意见就可能不一样。很多老师都受困于如何根据审计结果评判学生的成绩。对此,指导老师首先需要确定一个相对合理的重要性,其次,强调实验主要是向学生展示审计的流程、方法技术的运用、证据的分析。错报是实实在在的,学生能在最短的时间查出来,就实现了主要教学目标。
篇11
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
篇12
在SEC(2007)的解释公告和PCAOB(2007)的审计准则中都将财务报表重述作为财务报告内部控制缺陷的一个重要的信号,在我国财政部等五部委(2010)联合的内部控制审计指引中也明确地指出了“企业更正已经公布的财务报表”“表明内部控制可能存在重大缺陷的迹象”。由此可见,内部控制控制缺陷与财务报表重述之间存在因果关系的可能性极大。本文以2011年6月至2012年6月深市财务报表重述的上市公司为样本,其中主板32家、中小板21家、创业板4家,并通过巨潮资讯网收集了这些样本公司对财务报表重述的公告和说明(不包括会计政策和会计估计变更)、内部控制自我评价报告以及内部控制审计报告等。这些财务报表重述上市公司均对外披露了内部控制自我评价报告,但其中聘请了注册会计师对其自我评价报告进行审计披露了内部控制审计报告的主板只有6家、中小板有11家、创业板有4家。分析财务报表重述企业在自我评价报告中内部控制缺陷披露存在的问题。
一、财务报表重述事项分析
(一)财务报表重述事项分类 (1)GAO(2003)中对重述会计事项划分为九大类。收入确认,成本费用(含税费相关),关联交易,重组、资产或存货,证券相关,并购过程中的研究开发,并购,报表项目重分类及其他。(2)李常青等(2008)的研究。财务重述公告的具体内容主要可以划分为以下几类:核心会计指标重述,指重述涉及财务年报六大会计要素等最重要的会计指标;非核心会计指标,指重述仅涉及财务年报内容中除六大会计要素核心会计指标之外的其他会计指标;生产经营相关内容,指重述涉及公司筹资、投资及生产经营相关内容;风险相关内容,指重述涉及公司的关联交易、诉讼、担保等可能存在风险的内容;公司治理相关内容,指重述涉及公司股权结构、治理结构等公司治理方面的内容;其他,指除重述涉及上述内容以外的其他内容,包括书写错误等。(3)姜英兵等(2010)研究。在文章中将其分为四大类指标:核心利润、非核心利润、税费相关项目和资产负债项目调整,其中核心利润指标是指与日常营业活动损益有关的误导性报表陈述更正,具体又分为收入和成本费用;非核心利润是指虽与公司日常事项有关但公司很难控制的损益和与非日常经营活动损益有关的报表重述,具体分为:估值与计价损益、股权投资相关损益、或有事项相关损益、关联交易、资产负债重组相关损益、其他利得或损失等。
(二)财务报表重述事项分类 样本中大部分的报表重述说明比较复杂,涉及的会计账户较多,涉及上述的分类中的多项,如果不分清其主要原因和次要原因,则分类时有可能掩盖了其本质,忽略了最重要的原因,因此在分类过程中往往只抓住主要原因,从财务报表重述事项描述的分类状况来看,样本企业共57家,涉及一项报表重述问题的有26家,2项的有9家,而3项以上的有22家,其中问题项目最多的是ST海龙(000677)和ST大地(002200),ST海龙的大量重述是股份公司和控股子公司从2008至2010年不断重复的错误,而ST大地则是存在大量的会计造假行为。
二、上市公司内部控制缺陷披露分析
(一)内部控制缺陷披露 内部控制缺陷按其严重程度可以分为重大缺陷、重要缺陷和一般缺陷三个等级,重大缺陷是指一个或多个内部控制缺陷的组合,可能导致企业严重偏离内部控制的目标;重要缺陷是指一个或多个内部控制缺陷的组合,其严重程度和经济后果低于重大缺陷,但仍可能导致企业偏离内部控制目标;一般缺陷是指除了重大缺陷和重要缺陷之外的缺陷。我国《企业内部控制评价指引》要求企业对内部控制有效性进行全面评价,不仅包括对财务报告目标内部控制有效性的评价,还包括对其他目标内部控制有效性的评价,在阐述内部控制时划分为五大部分:内部环境、风险评估、控制活动、信息与沟通和内部监督。在内部控制评价报告中要对内部控制缺陷进行披露,确定并评价公司期末存在的重大缺陷、重要缺陷和一般缺陷。
(二)内部控制缺陷说明 样本企业全部都披露了内部控制自我评价报告,但其中有25家上市公司在内部控制自我评价报告中未提及任何缺陷,其余32家在自我评价报告中涉及了缺陷的说明,但大部分并未直接陈述缺陷,仅柳工(000528)在自我评价报告(2011)中明确指出了其内部控制存在重要缺陷:“针对报告期内发现的公司采取‘普通远期+即期’的方式开展一项远期外汇交易业务存在的内部控制重要缺陷,公司已采取相应的整改措施完善管理、控制及预防今后类似操作中可能存在的风险。”笔者通过内部环境、风险评估、控制活动、信息与沟通和内部监督五个方面来分析样本企业内部控制存在的缺陷,其中内部环境缺陷有15个、风险评估缺陷有3个,控制活动缺陷有35个、信息与沟通缺陷有3个、内部监督缺陷有8个,在已提及的缺陷中与财务报表重述相关的陈述仅5项,具体情况见表(2),另外大港股份(002077)在自我评价报告(2011)中说明了财务报表重述,但认为此项并非缺陷而是公司“出于谨慎原则,对于亏损弥补事项没有确认递延所得税资产,对于难以收回款项全部计提减值准备,同时对于返还款因尚未销售而未确认损益。”
三、上市公司内部控制缺陷披露问题分析
(一)公司高管层缺乏内部控制缺陷披露的动机 从表(1)中可以看出财务报表重述影响不同的财务报表的项目,特别是与收入、成本费用的确认有关重述占报表重述中的77.86%,这些重述与控制活动和监督中存在缺陷直接相关的,但根据文章第二部分中的阐述我们可以看到涉及财务报表重述的样本企业对内部控制缺陷的披露情况:无披露的25家,占43.86%,披露的32家,占56.14%,其中披露与财务报表重述直接相关的仅5家,占8.77%。总的来说样本企业存在与财务重述相关内部控制缺陷披露严重不足,其主要原因有以下几点。上市公司高管层缺乏内部控制缺陷披露的原因主要可以从两个方面进行分析,一方面披露内部控制缺陷要进行大量的内部控制控制信息的记录、搜集、整理、分析并在此基础上进行评价,这必将会使上市公司带来的成本;另一方面,内部控制缺陷的披露对于市场而言是一个负面的信息,公司高管由此会被质疑管理不善,同时,上市公司已公布的财务报告等相关信息的可靠性也将被怀疑,甚至有可能导致信用等级的下降,从而使相关财务成本的上升。
(二)财务报表重述与内部控制缺陷关系不明确 财务报表重述是由于会计差错的原因造成的,虽然会计差错的产生与内部控制的缺陷之间存在着必然的关系,但缺陷是否构成重大缺陷还要与财务报表重述的影响的金额大小(是否符合重要性原则)和性质有关。从样本企业财务报表重述的特点来看,其中之一就是涉及重述的项目多,由此可得报表重述企业财务报告相关的内部控制缺陷多,且影响范围广泛,如钟杰(2011)提到在2008至2011年暴露财务报告内部控制重大缺陷的有170家,其中财务重述所暴露的财务报告内部控制重大缺陷的比例最大,占68.24%,但从样本企业的内部控制自我评价报告来看大部分报表重述企业都不能正确看待报表重述与内部控制缺陷存在的因果关系,鲜有企业因此而披露了内部控制缺陷。
(三)未建立财务报表重述事项与内部控制缺陷评价体系之间对应关系 财务报表重述事项的发生说明企业财务报告内部控制无法防止或发现会计处理过程中出现的错误,从而导致了财务报表的错报和漏报,上市公司应如实地披露这些缺陷,但要能够准确如实地披露这些缺陷还需要清楚认识财务报表重述事项与内部控制缺陷之间内在关系,根据SEC(2007)的解释公告B(1)款“评价控制缺陷”,当公司对以前的财务报表进行重述以反映对重大错报的更正时,管理层应考虑该事项是否代表一项重大缺陷。我国的《内部控制评价指引》中对内部控制缺陷的分类、认定的方法和认定程序也都有相应说明,但各个企业还应根据自身的情况制定具体的缺陷认定的标准,当上市公司发生财务报表重述时要能够与缺陷认定标准进行对应并识别和认定,从而对内部控制缺陷进行必要的陈述。
(四)内部控制缺陷认定的标准缺失 根据对样本企业内部控制自我评价报告的分析,发现我国上市公司大部分未能建立明确的内部控制缺陷认定标准,大多只是在对内部控制基本情况的叙述,样本企业中属于这种情况的有41家,占总样本数的71.93%;一部分企业只是对内部控制评价进行了笼统的说明,这样的样本企业有13家,占样本总数的22.81%;只有极少部分的企业在自我评价报告中有明确的评价说明和内部控制缺陷认定标准,其中明确评价说明的有1家,有明确缺陷认定标准的仅有2家。
四、上市公司财务报表重述治理对策
(一)增强上市公司高管内部控制缺陷披露的动机 财务报表重述虽然是内部控制缺陷的一个重要信号,财务重述上市公司尽可能地不披露内部控制缺陷,这显然是高管层要增加上市公司高管层披露内部控制缺陷的动机,重要的举措是要将高管层纳入内部控制制度体系中,一方面要建立高管层披露内部控制缺陷的激励措施,对高管层的激励不能放在内部控制制度的建设方面,而应放在内部控制执行和信息披露方面(崔志娟,2011);另一方面要加强对上市公司高管层的监督,并引入未披露内部控制缺陷的惩罚机制。对上市公司高管层的监督主要来自证监会和注册会计师的内部控制审计,证监会应尽快出台虚假或隐瞒内部控制信息披露的处罚条例,进一步加强和规范内部控制信息的披露。
(二)增强财务重述上市公司内部控制缺陷迹象识别能力 财务重述上市公司内部控制缺陷的迹象主要有以下方面:(1)财务重述是主动重述还是被动重述。如果是主动重述则说明上市公司的内部控制能够发现财务报告中存在的错漏,被动重述主要是由于注册会计师审计、证监及会税务局等的审查发现错漏而进行的重述,被动重述作为缺陷迹象则更加明显,说明上市公司的内部控制在设计或执行上存在缺陷导致其未能发现相关的财务报表的错报和漏报。(2)财务重述引起财务后果,主要分为三个方面:调增利润、调减利润或与利润无关。大量研究往往利用调减前期利润的重述样本来研究机会主义盈余管理,因而调减利润的财务报表重述的性质显得更加严重。(3)非常规、特殊或复杂交易的财务重述。产生这一类型的财务重述其主要的原因的是对于非常规、特殊或复杂交易的账务处理没有建立相应的控制或控制没有实施,且没有相应的补充、补偿性的控制。如柳工(000528)的财务重述事项——“普通远期+即期”的方式开展一项远期外汇交易业务的账务处理,这就是属于特殊或复杂的交易的财务处理没有建立相应的控制,在柳工(000528)2011年的内部控制自我评价报告中将其确认为重要缺陷,这就是通过财务重述的缺陷迹象对内部控制缺陷进行识别。(4)由于财务舞弊行为引起的财务重述。公司存在高管层的财务舞弊行为就意味着内部控制存在重大缺陷,在样本企业中ST大地(002200)财务重述事项有30项,其中11项是由于财务舞弊行为导致的,由此可见,公司内部人控制现象严重,高管层凌驾于内部控制之上,在控制环境、控制活动、信息与沟通等多方面都应该存在重大缺陷。
(三)建立明确的内部控制缺陷的认定标准 明确的内部控制缺陷认定标准是在内部控制缺陷披露的核心,从样本企业来看渝开发(000514)和柳工(000528)都有明确的缺陷认定标准,并有相应的指标说明,两个企业的认定标准有各自的特点,虽都有可借鉴之处,但又各有其不足之处。(1)渝开发(000514)的内部控制缺陷认定标准的分析。渝开发从风险评级、财务损失评级和风险影响程度三个方面来确定内部控制缺陷认定标准,一方面以风险发生的可能性进行评级,将风险评级按一年内发生的次数分为7个等级;另一方面以风险的影响程度进行评级,并将风险影响程度划分为财务部分和非财务部分,财务部分的标准根据风险造成的财务损失金额的大小,划分7个等级;非财务部分则是在对风险的影响因素进行评级时,考虑范围包括影响部门整体考核、企业声誉、法律、营运和环境五个方面,并综合考虑这些方面的因素确定风险在该方面影响的严重程度。如果由多个方面的影响,则选择其中最重要的来进行评级,共分成5个等级。从渝开发的内部控制缺陷认定标准来看,其优点是认定标准有明确的量化指标,且能够从财务影响和非财务影响两个方面进行考虑;其缺点是没有将缺陷认定指标与重大缺陷、重要缺陷和一般缺陷相互对应,且没有从企业层面和业务层面两个方面分别确定缺陷认定标准。(2)柳工(000528)的内部控制缺陷认定标准的分析。柳工机械股份有限公司从对税前利润的影响、对销售收入的影响、现金流影响、财务错报、财务重要性水平、生产损失、合法合规、形象/商誉、公司持续经营、舞弊和资产安全或资产损失等11个评价维度分别确定了重大缺陷、重要缺陷和一般缺陷的认定标准,其中涉及财务部分的以相关财务指标定量反映,其余则有相应的定性标准。从柳工机械股份有限公司的内部控制缺陷认定标准来看,其优点是从财务与非财务两个方面分别确立了重大缺陷、重要缺陷和一般缺陷的认定标准,并且在根据认定标准披露一项因财务重述而导致重要缺陷;其缺点是没有从企业层面和业务层面两个方面分别确定缺陷认定标准。从上述两个样本企业的内部控制缺陷认定标准的分析,可以得出完善的内部控制缺陷认定标准应该具备以下特点:认定标准要分别涉及企业层面和业务层面两个方面;认定标准要通过财务影响和非财务影响两个方面来分析缺陷的影响程度,从而判断缺陷的性质;缺陷认定标准要与缺陷性质(重大缺陷、重要缺陷和一般缺陷)相对应;缺陷认定标准必须是明确的定性指标或定量指标;当然最重要的还是要能够根据认定标准进行缺陷认定,并如实地对外披露。
参考文献:
[1]魏志华、李常青、辉:《中国上市公司年报重述公告效应研究》,《会计研究》2009年第8期。
[2]姜英兵等:《上市公司财务报表重述的趋势与特征:2004-2008》,《上海立信会计学院学报》2010年第2期。
[3]袁敏:《财务报表重述与财务报告内部控制评价》,《会计研究》2012年第4期。
