前言:中文期刊网精心挑选了审计的认定及分类范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。
审计的认定及分类范文1
认定是指被审计单位管理层对财务报表组成要素的确认、计量、列报做出的明确或隐含的表达。注册会计师接受委托对财务报表进行审计,首先必须取得被审计单位的财务报表,这就意味着管理层对财务报表做出了认定。这些认定反映了被审计单位管理层在处理各项经济交易与事项时,遵循会计准则及相关会计法规的范围、程度及其结果。管理层对财务报表中所有的资产、负债、所有者权益、收入与费用等都做出了认定。这些认定有些是明确的,有些是隐含的。例如,管理层在资产负债表中列报应收账款及其金额,意味着做出了下列明确的认定:一是记录的应收账款是存在的;二是应收账款以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。同时,管理层也做出了下列隐含的认定:一是所有应当记录的应收账款均已记录;二是记录的应收账款都由被审计单位拥有;三是应收账款的使用不受限制。
审计准则中将管理层认定的内容分为三个层级:一是与各类交易和事项相关的认定包括:(1)发生:记录的交易和事项已发生,且与被审计单位有关;(2)完整性:所有应当记录的交易和事项均已记录;(3)准确性:与交易和事项有关的金额及其他数据已恰当记录;(4)截止:交易和事项已记录于正确的会计期间;(5)分类:交易和事项已记录于恰当的账户。二是与期末账户余额相关的认定包括:(1)存在:记录的资产、负债和所有者权益是存在的;(2)权利和义务:记录的资产由被审计单位拥有或控制,记录的负债是被审计单位应当履行的偿还义务;(3)完整性:所有应当记录的资产、负债和所有者权益均已记录;(4)计价和分摊:资产、负债和所有者权益以恰当的金额包括在财务报表中,与之相关的计价或分摊调整已恰当记录。三是与列报相关的认定包括:(1)发生以及权利和义务:披露的交易、事项和其他情况已发生,且与被审计单位有关;(1)完整性:所有应当包括在财务报表中的披露均已包括;(3)分类和可理解性:财务信息已被恰当地列报和描述,且披露内容表述清楚;(4)准确性和计价:财务信息和其他信息已公允披露,且金额恰当。
二、管理层认定与审计具体目标的确定
注册会计师审计的目标包括总体目标和具体目标两个层次。总体目标是对被审计单位财务报表的合法性与公允性发表审计意见。只有在对财务报表各项目进行审计后,才有可能对报表总体的合法性与公允性发表意见,这时就出现了报表项目的审计具体目标问题。虽然合法性与公允性有明确的含义,但在注册会计师审计实务中,并不把合法性与公允性作为财务报表审计的具体目标,其原因在于合法性与公允性作为审计具体目标过于宽泛,缺乏操作性,不利于注册会计师实施相应的审计程序来获取审计证据。因此才利用管理层认定作为财务报表审计总体目标与具体目标之间的联系桥梁。
由于管理层对财务报表各组成项目均做出了认定,注册会计师就可以根据被审计单位管理层的认定和审计总体目标来确定审计具体目标。审计具体目标是总体目标的具体化,并受到总体目标的制约,它包括一般目标和项目目标。注册会计师根据管理层认定推论得出一般目标,为搜集审计证据和发表审计意见提供具体指导,再针对被审计单位具体情况制定项目目标。一般目标是进行所有项目审计时均必须达到的目标,适用于所有项目的审计;它通常包括:总体合理性目标、与各类交易和事项相关的目标、与期末账户余额相关的目标以及与列报相关的目标。总体合理性目标是指注册会计师根据他所掌握的有关被审计单位的全部信息,评价某项目的合理性;与各类交易和事项相关的目标包括真实性、完整性、准确性、截止、分类;与期末账户余额相关的目标包括存在、权利和义务、完整性、计价和分摊;与列报相关的目标包括发生及权利和义务、完整性、分类和可理解性、准确性和计价。项目目标是根据每个项目分别确定的目标,通常只适用于某一特定项目的审计。
管理层认定与审计目标密切相关,注册会计师了解了认定,就很容易确定每个项目的具体审计目标,并以此作为评估重大错报风险以及设计和实施进一步审计程序的基础。接下来注册会计师的工作就是要确定管理层的认定是否恰当,即对管理层的认定进行再认定。
三、管理层认定与审计证据获取
要实现审计目标,必须收集和评价审计证据。审计证据是注册会计师为了得出审计结论形成审计意见而使用的所有信息。注册会计师的审计过程可以说是收集、评价证据,最后据以形成审计意见的过程,审计证据的收集、评价是注册会计师计划审计工作和实施审计程序的核心。
每一位注册会计师面临的主要决策之一就是确定为满足判断被审计单位财务报表各组成部分以及财务报表整体是否合法与公允所应收集的证据的适当类型与数量。若能使审计证据的收集与评价和管理层认定概念结合起来,则审计证据的收集与评价工作就更具逻辑性、科学性和针对性。注册会计师对被审计单位财务报表发表意见可以转化为对被审计单位管理层的各项认定的合理性和有效性做出结论的过程,为了便于执行实质性程序,收集审计证据,注册会计师将管理层认定拓展为审计具体目标,再在审计具体目标基础上确定一般目标与项目目标,也就是在审计过程中,注册会计师应根据审计具体目标来设计和执行充分的,能够保证审计具体目标得以实现的实质性程序,确保收集到充分、适当的审计证据,之后注册会计师就可以对管理当局认定是否合理和有效做出判断,再将对各项认定的判断综合起来,结合执行控制性测试所得到的证据,就能对被审计单位财务报表的整体合法性与公允性表示意见了。可见,注册会计师通过一定的审计程序来获取审计证据,以审计证据为支撑来达到具体的审计目标,而审计具体目标是由审计总体目标和被审计单位认定决定的,因此审计证据的收集与评价是围绕被审计单位管理层认定展开的。
四、运用举例及结论
下面表1以应收账款为例,说明为证实与应收账款期末账户余额相关的认定,注册会计师应确定的审计具体目标,执行的审计程序以及应收集的审计证据。
审计的认定及分类范文2
《企业内部控制基本规范》及其配套指引已于2011年1月1日起首先在境内外同时上市的公司施行,并于2012年1月1日起扩大到在上海证券交易所、深圳证券交易所主板上市的公司施行。按照规定,执行企业内部控制规范体系的企业,必须对本企业内部控制的有效性进行自我评价,披露年度自我评价报告;同时聘请会计师事务所对其财务报告内部控制的有效性进行审计,出具审计报告。因此,在2011年年度报告披露期间(2012年1—4月),我们将可以看到那些境内外同时上市的公司向境内投资者披露的内部控制自我评价报告,以及内部控制审计报告。
如何认定内部控制重大缺陷并进行披露,是我国上市公司执行《企业内部控制基本规范》面临的一个前所未有的挑战。内部控制重大缺陷,是指一个或多个控制缺陷的组合,可能导致企业严重偏离控制目标。如果认定内部控制存在重大缺陷,将直接导致上市公司得出内部控制无效的结论。因此,如何认定内部控制重大缺陷的认定并进行披露至关重要。本文从上市公司角度,研究了《萨班斯—奥克斯利法案》实施初期在美上市公司财务报告内部控制重大缺陷的认定及披露情况,希望能对我国上市公司实施《企业内部控制基本规范》及其配套指引起到借鉴作用。
二、内部控制评价相关文献综述
朱荣恩等(2003)从美国《萨班斯—奥克斯利法案》404条款的要求出发,对财务报告内部控制有效性评价做了相关的解读,并在研究SEC提案和AICPA征求意见稿的基础上,结合两个会计师事务所提供的报告,提出了对我国财务报告内部控制有效性评价的启发和借鉴意义。王立勇(2004)运用可靠性理论和数理统计知识构建了一个内部控制系统评价的数学分析模型,利用该模型可计算程序的可靠度和系统可靠度,判断内部控制的效果。王煜宇等(2005)构建了五大类(内部控制环境、风险评估、内部会计控制、内部管理控制、监督控制)、35个具体指标组成的企业内部控制评价指标体系。于增彪等(2007)采用实地研究方法,详细探讨了亚新科安徽子公司如何设计和应用内控评价体系。陈汉文等(2008)分析了内部控制的有效性以及有效内部控制的内涵,认为评价企业内部控制的方法总体上可以分为详细评价法和风险基础法两种,风险基础法相对来说具有更高的成本效益和效率。张先治等(2011)基于我国企业的环境和企业内部控制基本规范配套指引的实施,结合国内外企业内部控制评价理论研究和实践状况,构建了我国企业内部控制评价系统,包括内部控制评价内涵、评价目的、评价模式、评价主体、评价客体、评价模型等。
以上学术界对内部控制评价的研究,采用的方法基本上是建立由多个评价指标体系构成、分别打分并设置一定权重、最后计算得出总的内部控制评价得分的方法。这和美国《萨班斯—奥克斯利法案》404条款要求进行的内部控制评估有很大的不同。按照后者的规定,要评估内部控制是否有重要缺陷、重大缺陷,如果发现一个重大缺陷,就不能认定内部控制有效。
国外关于内部控制重大缺陷的研究,主要集中于内部控制重大缺陷的分类、内部控制重大缺陷的影响因素,以及披露内部控制重大缺陷后的市场反应,等等。关于内部控制重大缺陷的分类,具有代表性的包括Doss(2004)、Ge等(2005)、Hammersley等(2008)等。关于内部控制重大缺陷的影响因素,具有代表性的为Doyle等(2007a,b),Ashbaugh-Skaife等(2007)等。关于内部控制重大缺陷披露后的市场反应,具有代表性的包括DeFranco等(2005)、Hammersley等(2008)等。上述研究为了解内部控制重大缺陷的认定和披露提供了有用的经验证据,对我国上市公司也有较强的借鉴意义。
三、样本选择与内部控制重大缺陷披露总体情况
(一)样本选择
本文的样本来自美国《Compliance Week》为跟踪《萨班斯—奥克斯利法案》302条款、404条款实施而的内部控制月度报告,这与DeFranco等(2005)、Doyle等(2007a,b)、Ge等(2005)、Ashbaugh-Skaife等(2007)的样本来源一致。《Compliance Week》月度报告整理、摘录了月度报告前一个月披露内部控制重大缺陷或重要缺陷的上市公司披露的内容。与前述其他研究文献不同的是,本文选择的期间为2003年11月至2005年7月,共873个样本公司。一些公司在此期间披露的季度报告中不止一次披露了内部控制缺陷,因此在上述873个样本出现的次数也就不止一次,我们只保留了这部分公司第一次披露的信息,因此剔除了107个样本。在剩下的样本中,一些公司披露的并非内部控制重大缺陷,而是重要缺陷或一般缺陷,或者所披露的重大缺陷在比较会计报表期间而非报告期间存在,本文把这部分184个样本也予以剔除。经过上述过程,共剩下582个样本。
(二)《萨班斯—奥克斯利法案》执行初期在美上市公司内部控制重大缺陷披露总体情况
针对选定的样本公司,本文逐一分析了其披露的内部控制重大缺陷,并进行了分类、整理①。
本文对样本公司披露的内部控制重大缺陷按照公司层面、账户或交易层面来分类,并将无法根据所提供的信息进行分类的重大缺陷单独作为一类。如Doss(2004)所述,穆迪评级公司将内部控制重大缺陷划分为公司层面的重大缺陷,以及账户或交易层面的重大缺陷。如果一个公司披露了公司层面的内部控制重大缺陷,则穆迪会召开评级会议,讨论该公司现行评级是否已经反映了刚刚披露的重大缺陷,如果已有评级未反映新近披露的重大缺陷,且公司没有积极的整改措施,则穆迪会考虑降低其评级。对于账户或交易层面的内部控制重大缺陷,穆迪一般不会采取降低评级的行动。这说明,相比账户或交易层面的重大缺陷,公司层面的重大缺陷要更严重一些。我国《企业内部控制审计指引》第10条也规定,注册会计师在实施审计工作时,可以将企业层面控制和业务层面控制的测试结合进行。
公司层面内部控制重大缺陷涉及到COSO《内部控制——整合框架》中控制环境、风险评估、控制系统、信息和沟通、监督等要素的几乎所有内容,而账户或交易层面内部控制重大缺陷则涉及资产负债表和利润表的几乎所有项目。在控制层面内部控制重大缺陷中,人力资源、财务报告流程、监督出现的频率较高;而账户或交易层面,收入确认、所得税会计、存货、租赁等项目出现的频率较高。
需要说明的是,内部控制重大缺陷数量与其他研究的统计结果存在差异。例如,Ha mmersley等(2008)以《Compliance Week》2003年11月到2005年1月披露内部控制缺陷的613家样本公司为基础,经过调整后共358家公司,这些公司披露的内部控制缺陷共815个。如果研究同一期间样本,本文统计的内部控制重大缺陷共340家公司、内部控制缺陷数量879个。本文认为,产生差异的主要原因,如下文所论述的那样,是本文将样本公司披露的内部控制重大缺陷中提及的、产生内部控制重大缺陷的公司层面内部控制缺陷,以及相互联系的内部控制缺陷,均视为重大缺陷。这些差异不影响本文的研究结论。
四、在美上市公司内部控制重大缺陷认定及披露分析
内部控制重大缺陷认定是内部控制评估的核心,也是难点所在。许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。
(一)根据表明公司内部控制可能存在重大缺陷的重要迹象来认定、披露
美国公众公司会计监督委员会(PCAOB)《第2号审计准则——与财务报表审计相结合的财务报告内部控制审计》第140段,以及取而代之的《第5号审计准则——与财务报表审计相结合的财务报告内部控制审计》第69段都提到了如下四种迹象:为反映对一个重大错报的更正而重述以前的财务报表,未审财务报表中的重大错报由审计师而非公司发现,发现与高级管理层有关的舞弊,审计委员会对公司的对外财务报告和财务报告内部控制的监督无效。上述前两种迹象,在认定内部控制是否存在重大缺陷时非常重要。只要存在这两种迹象,通常即可认定公司存在内部控制重大缺陷。其他两种迹象则较难用来直接认定。
1.为反映对一个重大错报的更正而重述以前的财务报表
之所以重述以前的财务报表,是因为前期财务报表中存在重大错报,而内部控制并未发现并及时更正。因此,会计报表重述成为判断财务报告内部控制存在重大缺陷的重要迹象之一。需要明确的是,财务报表重述本身不应构成一个内部控制重大缺陷,导致发生会计报表重述的事项才是内部控制重大缺陷。故本文的分类中并无该项。有86家样本公司发生了财务报表重述。一些公司披露了导致发生报表重述的事项。一些公司则并未说明导致发生报表重述的事项,只是笼统地进行说明。
由于财务报表使用者可以观察到公司是否发生了财务报表重述,因此,公司在内部控制评估中需要认真评估导致财务报表重述的、应被认定为重大缺陷的内部控制并予以披露。
2.未审财务报表中的重大错报由审计师而非公司发现
如果审计师在审计中发现当期财务报表中存在重大错报,而公司财务报告内部控制没有发现该项错报,则说明公司财务报告内部控制存在重大缺陷。
在《萨班斯—奥克斯利法案》实施前、上市公司无须披露财务报告内部控制评价报告时,如果财务报表中存在重大错报,无论是由审计师还是公司发现的,只要公司能在最终披露的财务报表中进行了调整,就不会影响审计师对财务报表的审计意见。而在《萨班斯—奥克斯利法案》实施后、上市公司须同时披露财务报表审计意见及内部控制评价和审计意见时,如果未审财务报表中的重大错报由审计师而非公司发现,虽然公司的财务报表在按照审计师的建议调整后可能被出具无保留意见,但公司的财务报告内部控制则因无法防范重大错报而应被认定为无效并被审计师出具否定意见。在此需要明确的是,未审财务报表中的重大错报由审计师而非公司发现本身不构成一个内部控制重大缺陷,无法发现错报的内部控制如关账程序等才是内部控制重大缺陷。因此,本文的分类对该项未作考虑。
有55家样本公司提到了审计师提出的审计调整。虽然财务报表使用者无法观察到公司是否发生了审计调整,但由于审计调整记录于审计师的工作底稿中,因此,那些发生了审计调整的公司应该评估与审计调整事项相联系的内部控制是否存在重大缺陷并予以说明。
3.发现与高级管理层有关的舞弊
美国《审计准则公告第99号——财务报表审计中对舞弊的考虑》将舞弊定义为,被审计单位的管理层、治理层、员工或第三方使用欺骗手段获取不当或非法利益的故意行为,包括对财务信息作出虚假报告导致的错报,以及侵占资产导致的错报。由于舞弊是一种故意行为,其产生的错报的危害可能非常大,因此,舞弊是财务报表内部控制存在重大缺陷的重要迹象。
样本公司中,披露舞弊信息的仅有6家:有4家公司披露其存在舞弊行为,有1家公司披露其违反了《反海外贿赂法》(FCPA),有2家公司披露其反舞弊机制不能有效运行,如舞弊举报热线不能有效运行。与前述两个迹象相比,披露的公司明显要少。一方面,这可能是舞弊一般比较隐蔽,较难识别;另一方面则可能是因为舞弊的后果非常严重,上市公司高层管理人员不会轻易冒险,舞弊现象确实比较少。此外,与前面两个迹象不同的是,舞弊既是内部控制存在重大缺陷的重要迹象,本身也构成内部控制重大缺陷。
4.审计委员会对公司的对外财务报告和财务报告内部控制的监督无效
有效的监督能够及时、有效地识别出控制失败或控制缺陷,并报告给那些对控制负责的员工或高层管理人员,以及时实施纠正措施。如果监督无效,就难以保证内部控制有效运行。正因为如此,COSO专门了《内部控制体系监督指南》。
如果监督是有效的,就应该能够及时识别出内部控制重大缺陷并督促整改。因此,严格地讲,除非监督职能有效地发挥作用并及时识别出了重大缺陷且督促整改,否则,所有披露了内部控制重大缺陷的公司的监督职能都是无效的。在此意义上,样本公司的披露并不严格。
财务报表的使用者无法直接观察到公司的监督职能是否有效。对于公司及其审计师而言,监督有效与否依赖于审计委员会、内部审计部门的自我评估,以及对其他监督手段存在和运行效果的评估。由于监督是内部控制的五要素之一,因此,监督无效既是内部控制存在重大缺陷的迹象之一,同时也构成内部控制重大缺陷。
(二)根据内部控制重大缺陷定义来认定、披露
无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。以下将根据《Compliance Week》月度报告摘录的上市公司内部控制披露内容来进行分析。
1.企业层面内部控制重大缺陷的认定
账户或交易层面内部控制重大缺陷,在很大程度上是与之相关的 企业层面内部控制存在重大缺陷导致的。我们发现,只有部分公司在披露其账户或交易层面内部控制重大缺陷时,也同时披露了导致该重大缺陷的企业层面内部控制重大缺陷,许多公司则没有披露。以下是几种具有代表性的企业层面内部控制重大缺陷。
(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足。存在该问题将导致:无法做到不相容职务相互分离;无法及时进行财务关账;无法处理非常规、复杂交易;无法及时复核相关账户;无法处理所得税等复杂会计问题,等。披露此重大缺陷的样本公司达111家。
(2)不相容职务相互分离存在重大缺陷。不相容职务是指那些如果由一个人担任,可能发生错误和舞弊行为,且可能掩盖其错误和弊端行为的职务。不相容职务相互分离原则要求每项经济业务都要经过两个或两个以上的部门或人员的处理,并受其监督和制约。否则,将直接导致一些账户或交易层面的内部控制出现重大缺陷。披露此重大缺陷的样本公司达42家。
(3)缺乏有效的监督。监督是内部控制五要素的重要组成部分。从某种意义上讲,无论是账户层面或交易层面的内部控制存在重大缺陷,还是企业层面的内部控制存在重大缺陷,都说明监督存在重大缺陷。也就是说,监督是无效的。披露此类重大缺陷的样本公司达59家。
2.相互联系的账户或交易层面内部控制重大缺陷及其披露
按照审计循环观点,任何重大差错一定涉及相互联系的两个或两个以上的账户。控制活动通常是按照业务循环来设计的。如果一个业务循环相关的内部控制存在重大缺陷,影响到的就不只是与该循环相关的某一个账户,而是两个或两个以上的账户。这样,在披露账户或交易层面内部控制重大缺陷时,除了披露导致该账户或交易重大缺陷的公司层面内部控制重大缺陷外,还应披露受该重大缺陷影响的所有账户或报表项目为宜。本文发现,相当数量的公司并未按此原则认定并披露,只披露了其中的一个账户,仅有部分公司披露了受账户或交易层面内部控制重大缺陷影响的所有账户。
3.几个一般或重要缺陷构成重大缺陷
两个以上的内部控制缺陷可能构成重大缺陷。从财务报表使用者的角度,我们无法判断构成重大缺陷的几个一般或重要缺陷的严重程度。而从披露的情况看,此类情形不是很多。样本中有14家公司披露若干缺陷构成了重大缺陷。
4.在披露内部控制重大缺陷时同时披露整改行动
如果在评估时发现了重大缺陷,但及时采取了有效的整改行动,且在披露时已经产生了明显的效果,则可以在很大程度上缓解投资者的顾虑,也不会对公司评级产生严重的负面影响(Doss,2004)。本文发现,大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
五、在美上市公司内部控制重大缺陷认定及披露对我国上市公司的借鉴
(一)重大缺陷的认定
我国《企业内部控制评价指引》并未规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定②,这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。参照在美上市公司内部控制重大缺陷的认定,我们认为,我国上市公司可以借鉴我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。相比根据重大缺陷定义认定,根据表明内部控制可能存在重大缺陷的迹象认定,比较容易判断,操作性较强。如果监管部门能够根据国内外上市公司披露内部控制重大缺陷的情况提供更多表明存在内部控制重大缺陷的迹象,无疑有助于公司执行《企业内部控制基本规范》及其配套指引。以下对我国准则规定的几个重要迹象进行分析。
1.根据表明公司内部控制可能存在重大缺陷的重要迹象来认定
我国《企业内部控制审计指引》第22条列出的表明内部控制可能存在重大缺陷的迹象包括:注册会计师发现董事、监事和高级管理人员舞弊;企业更正已经公布的财务报表;注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报;企业审计委员会和内部审计机构对内部控制的监督无效。
(1)注册会计师发现董事、监事和高级管理人员舞弊。如果注册会计师在财务报表审计中执行《中国注册会计师审计准则第1141号——财务报表审计中对舞弊的考虑》,或在内部控制审计中发现董事、监事和高级管理人员舞弊,则内部控制极有可能被认定存在重大缺陷。然而,正如该审计准则第六条所述的那样,“舞弊是一个宽泛的法律概念,本准则并不要求注册会计师对舞弊是否已经发生作出法律意义上的判定,只要求关注导致财务报表发生重大错报的舞弊”,注册会计师对舞弊的认定并非易事,只有当有确凿的证据表明董事、监事和高级管理人员舞弊时,注册会计师方可由此认定公司内部控制存在重大缺陷。本文认为,如果一家公司被证监会立案调查或行政处罚,或被司法机构认定存在违法犯罪,则通常表明公司存在舞弊行为。在此情形下,注册会计师应该认定该公司内部控制存在重大缺陷。
(2)企业更正已经公布的财务报表。近年来,我国上市公司重述前期的财务报表的情形频繁发生。根据我国《企业会计准则第28号——会计政策、会计估计变更和差错更正》,企业在当期发现、属于以前期间的会计差错,如果是重大会计差错,调整发现当期期初留存收益以及有关项目;对于比较会计报表期间的重大差错,则应当调整发生当期的净损益和相关项目。本文认为,参照样本公司的做法,我国上市公司因重大会计差错而更正已经公布的财务报表,应认定导致发生该重大差错的内部控制存在重大缺陷。
(3)注册会计师发现当期财务报表存在重大错报,而内部控制在运行过程中未能发现该错报。发生这种情形,以致注册会计师提出了审计调整建议且公司为了获得无保留意见只能接受该建议,是内部控制存在重大缺陷的最直接的迹象之一。按照此标准,一些公司财务关账之后被注册会计师发现具有重大错报,其内部控制应该被认定存在重大缺陷;而一些公司因财务人员缺乏必要的会计准则知识,一直依赖审计师代为编制财务关账流程中的重要会计分录,甚至代为编制合并财务报表,其内部控制也应该被认定存在重大缺陷。
(4)企业审计委员会和内部审计机构对内部控制的监督无效。由于我国《企业内部控 制应用指引》并未包括审计委员会和内部审计相关内容,因此,无论审计师还是公司,在评价审计委员会和内部审计机构对内部控制的监督是否有效时都面临较大的困难。
关于我国上市公司审计委员会监督有效性,虽不乏实证研究证据(王跃堂等,2006),但应评价哪些具体要素却缺乏客观的依据。可以参照一些在美国上市的中国公司执行《萨班斯—奥克斯利》法案404条款的做法,从如下十个方面进行评估:是否设立了审计委员会;审计委员会的成员构成是否具有独立性;审计委员会成员具有相应的学识和经验来履行其监督职责;审计委员会与财务主管、内外部审计师等相关方的沟通与联系;审计委员会是否能及时充分获取必要的信息来监督管理层的战略、经营、财务状况和经营成果,以及其他重大交易合同等;审计委员会评估敏感的信息、调查结果及不当或违法活动(例如:重大诉讼、政府机关的调查、侵吞公司资产、违反内部交易规定、违法支付等);是否就发现的问题,采取必要的行动,包括进行专项调查等;对定期财务报告的监督;对证监会、交易所规定的其他职责的履行情况;审计委员会的自我评估等。
关于内部审计监督的有效性,可以参考证券交易所制订的上市公司规范运作指引③中的相关规定来进行,但需要注意的是,这些规定中对内部审计的要求与国际内部审计师协会的要求还有较大的差距。参考陈武朝(2010)对美国《萨班斯—奥克斯利法案》404条款实施初期内部审计无效案例的研究结果,以及我国《企业内部控制基本规范》的相关规定,在实施《企业内部控制基本规范》时,应从独立性、胜任能力、任务和职责等三个方面评价内部审计是否有效。
如果认定审计委员会对内部控制的监督无效,或认定内部审计机构对内部控制的监督无效,则都应认定内部控制存在重大缺陷。
2.根据内部控制重大缺陷定义来认定、披露
参照在美上市公司的做法,无论是否存在表明内部控制可能存在重大缺陷的迹象,公司都须按照内部控制重大缺陷的定义来认定。由于该方法在很大程度上依赖内部控制评估人员的专业判断,因此不同公司对同一事项可能会得到完全不同的结论。借鉴在美上市公司重大缺陷认定,以下情形应考虑认定为内部控制重大缺陷:(1)缺乏熟悉公认会计原则的会计人员,或会计人员缺乏应有的会计专业知识,或因离职造成会计人员不足;(2)不相容职务相互分离存在重大缺陷;(3)缺乏及时、充分的复核及监督。此外,如果认定某个账户或交易层面内部控制存在重大缺陷,就应该考虑与之相关的企业层面内部控制是否存在重大缺陷,以及与之相联系的其他账户或交易层面内部控制是否存在重大缺陷;无论存在企业层面的内部控制重大缺陷,还是账户或交易层面的内部控制重大缺陷,都应考虑审计委员会及内部控制监督职能是否存在重大缺陷。
(二)重大缺陷的披露
我国上市公司在年度报告中如何披露内部控制评价信息,预计到2011年年报编制时才会有正式的规定出台。本文认为,重大缺陷披露应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷:有表明内部控制可能存在重大缺陷的重大迹象,还是满足内部控制重大缺陷的定义?在披露某个账户或交易层面内部控制的重大缺陷时,应披露审计委员会及内部审计监督可能存在的重大缺陷,与该账户或交易层面内部控制的重大缺陷相关的企业层面内部控制可能存在的重大缺陷,以及与之相联系的其他账户或交易层面内部控制可能存在的重大缺陷。应借鉴Hammersley等(2008)等的研究发现,披露内部控制重大缺陷的细节。特别需要注意的是,在披露内部控制重大缺陷同时应披露整改行动。
六、结论
本文研究了《萨班斯—奥克斯利法案》执行初期在美上市公司披露的财务报告内部控制重大缺陷的认定及披露,并结合我国的相关规定,分析了对我国上市公司执行《企业内部控制基本规范》及其配套指引的借鉴作用。
本文发现,在美上市公司的许多重大缺陷是根据内部控制审计准则指出的、表明公司内部控制可能存在重大缺陷的重要迹象来认定的;其他的则通过重大缺陷的定义来认定。披露的内部控制重大缺陷涉及COSO《内部控制—整合框架》五要素的几乎所有内容,以及资产负债表和利润表的几乎所有项目。仅有部分公司披露导致交易或账户层面重大缺陷的企业层面内部控制重大缺陷。同时,仅有部分公司披露受账户或交易层面内部控制重大缺陷影响的所有账户;相当数量的公司只披露其中的一个账户;绝大部分公司在披露内部控制重大缺陷时会同时披露其整改行动。
我国《企业内部控制评价指引》没有规定重大缺陷、重要缺陷和一般缺陷的具体认定标准,而是由企业根据这几种缺陷的定义自行确定。这无疑增加了企业认定内部控制重大缺陷的难度,可能导致一些重大缺陷无法被认定并披露。本文认为,我国上市公司可以借鉴我国《企业内部控制审计指引》列出的、表明内部控制可能存在重大缺陷的迹象来认定,同时根据内部控制重大缺陷的定义来认定。在披露时,应该体现重大缺陷认定的原因,即在披露任何一个重大缺陷时,都应该披露为什么存在该重大缺陷,以及与之相联系的其他内部控制可能存在的重大缺陷。此外,应注意披露内部控制重大缺陷的细节,且应同时披露整改行动。最后,对于监管机构而言,应总结实施中的经验和问题,尽早出台相关的规范,以规范《企业内部控制基本规范》及其配套指引的实施。
注释:
①限于篇幅,本文不再列示;如需索取请与作者联系。
审计的认定及分类范文3
[关键词] 现代风险导向审计;重大错报风险;审计程序
doi : 10 . 3969 / j . issn . 1673 - 0194 . 2012 . 18. 025
[中图分类号] F239.4 [文献标识码] A [文章编号] 1673 - 0194(2012)18- 0045- 01
1 风险导向审计发展背景
风险导向审计产生并经过一定程度的发展滞后,美国注册会计师协会于1983年提出了审计风险模型:审计风险=固有风险×控制风险×检查风险。在审计过程中,审计师以此模型为指导,解决交易类别、账户余额、披露和其他具体认定层次的错报,发现经济交易和事项本身的性质和复杂程度发生的错报,发现企业管理层由于本身的认知和技术水平造成的错报,以及企业管理层局部和个别人员舞弊和造假造成的错报,最终审计师将审计风险控制在可接受的水平。
但是,传统风险导向审计固有的缺陷,它在发现高层舞弊、虚构交易方面效力不够。2003年10月,国际审计和鉴证准则委员会了一系列新的审计风险准则,要求审计师在审计过程中更深入地进行风险评估,并对审计风险模型作出重大改动,将企业的整体经营风险所带来的重大错报风险作为审计风险的一个重要构成要素加以评估。新的审计准则明确指出,被审计单位面临着各种各样的经营风险,在财务报表审计中,审计时并不是要关注所有的风险,而是只需要关心与财务报表有关的风险。审计风险是指财务报表存在重大错报而审计师发表不恰当审计意见的可能性,而不包括审计师错误地认为财务报表含有重大错报的风险。修改后的审计风险模型为:审计风险=重大错报风险×检查风险。
2 重大错报风险概述
所谓重大错报风险即是指财务报表在审计前存在重大错报的可能性。重大错报风险包括两个层次:认定层次和财务报表整体层次。认定层次风险是指交易类别、账户余额、披露和其他相关具体认定层次的风险,包括传统的固有风险和控制风险。认定层次的错报主要指经济交易的事项本身的性质和复杂程度发生的错报,企业管理层由于自身的认识和技术水平造成的错报,以及企业管理层和个别人员舞弊和造假造成的错报。
财务报表整体层次风险主要指战略经营风险。把战略风险纳入现代审计模型,可建立一个更全面的审计风险分析框架。战略经营风险是审计风险的一个高层次构成要素,是财务报表整体不能反映企业实际经营情况的风险。这种风险源自于企业可观的经营风险或企业高层串通舞弊、虚构交易。传统审计风险模型解决的是企业的交易和事项在本身真实的基础上,怎样发现财务报表存在的错报,将审计重点放在各类交易和账户余额层次,而不从宏观层次考虑财务报表可能存在的重大错报风险,这很可能只发现企业小的错误,却忽略大的问题;现代审计风险模型解决的是企业经营过程中管理层串通舞弊、虚构交易或事项而导致财务报表存在错报,怎样去进行审计的问题。
3 被审单位存在重大错报风险的可能性事项
当存在以下事项和情况时,审计师应当关注被审计单位是否存在重大错报风险,具体包括:在经济不稳定的国家或地区开展业务;在高度波动的市场开展业务;在严厉、复杂的监管环境中开展业务;持续经营和资产流动性出现问题,包括重要客户流失;融资能力受到限制;行业环境发生变化;供应链发生变化;开发新产品或提供新服务,或者进入新的业务领域;开辟新的经营场所;发生重大收购、充足或其他非经常性事项;拟出售分支机构或业务分部;复杂的联营或合资;运用表外融资、特殊目的实体以及其他复杂的融资协议;存在未决诉讼和或有负债等。审计师应当充分关注可能表明被审计单位存在重大错报风险的上述事项和情况,并考虑由于上述事项和情况导致的风险是否重大,以及该风险导致财务报表发生重大错报的可能性。
审计师应当明确,识别的重大错报风险是与特定的某类交易、账户余额、列报的认定相关,还是与财务报表整体广泛相关,进而影响多项认定。某些重大错报风险可能与特定的各类交易、账户余额、列报的认定相关。例如,被审计单位存在复杂的联营或合资,这一事项表明长期股权投资账户的认定可能存在重大错报风险。又如,被审计单位存在重大的关联方交易,该事项表明关联方及关联方交易的披露认定可能存在重大错报风险。
4 识别和评估重大错报风险的审计程序
在识别和评估重大错报风险时,审计师应当按照以下步骤实施审计程序:
(1)在了解被审计单位及其环境的整个过程中识别风险,并考虑对各类交易、账户余额、列报等认定层次的影响。审计时应当运用各项风险评估程序,在了解被审计单位及其环境的整个过程中识别风险,并将风险与各类交易、账户余额、列报相联系。例如,被审计单位因相关环境法规的实施需要更新设备,可能面临原有设备闲置或贬值的风险;宏观经济的低迷可能预示应收账款的回收存在问题;竞争者开发的新产品上市,可能导致被审计单位的主要产品在短期内过时,于是将出现存货跌价和长期资产的减值。
(2)审计时应当将识别的风险与认定层次可能发生错报的领域相联系。例如,销售困难使产品的市场价格下降,可能导致年末存货成本高于其可变现净值而需要集体存货跌价准备,这显示存货的计价认定可能发生错报。
审计的认定及分类范文4
关键词:安全审计;数据挖据;日志分析
中图分类号:TP393 文献标识码:A 文章编号:1009-3044(2011)35-0000-0c
Research of the Network Security Audit System Based on Data Mining
(Department of Information and Electronic, Hangzhou polytechnic, Hangzhou 311400, China)
Abstract: In this paper, network security audit was studied as a data analysis process, logs in the network environment is the important data source, some main data mining techniques was considered such as Preprocess, Association, Sequential, Classification, Clustering, a basic structure of network security audit system was proposed and the algorithms for audit data mining was discussed.
Key words: security audit; data mining; log analysis
随着信息化建设的飞速发展,金融机构、政府部门、公安国防等含有大量敏感数据的机构对信息系统的依赖性越来越高,除了采用身份认证和授权管理技术对非法用户和非法操作进行屏蔽外,对这些数据的合法操作同样有可能导致安全事故的发生,比如泄密、恶意删除、操作失误等。为此,基于操作日志的风险预警和责任认定体系的研究正成为信息安全领域的一个研究热点。据IDC统计,2007-2011年,国内风险管理解决方案市场以22.4%的复合增长率快速增长。
现有的责任认定主要通过安全审计来实现。安全审计除了能够监控来自网络内部和外部的用户活动,对与安全相关活动的信息进行识别、记录、存储和分析,并对突发事件进行报警和响应之外,还能通过对系统事件的记录,为事后处理提供重要依据,为网络犯罪行为及泄密行为提供取证基础。同时,通过对安全事件的不断收集与积累并且加以分析,能有选择性和针对性地对其中的对象进行审计跟踪,即事后分析及追查取证,以保证系统的安全。
在TCSEC和CC等安全认证体系中,网络安全审计的功能都被放在首要位置。网络安全审计不但能够监视和控制来自外部的入侵,还能够监视来自内部人员的违规和破坏行动,它是评判一个系统是否真正安全的重要尺度,是一个安全的网络必须支持的功能特性[1]。
本文以安全审计领域中的数据挖掘应用为研究视角,以操作日志为数据对象,给出了基于多源日志数据挖据的网络安全审计系统的基本架构,并对研究过程中的几个关键技术点进行了分析。
1 系统架构
目前安全审计系统中普遍采用的特征检测的方法是由安全专家预先定义出一系列特征模式来识别异常操作。这种方法的问题是模式库得不到及时的更新,这样在安全审计的过程中系统不能自适应地识别出新型异常,使误报警和漏报警问题不断发生。此外,一方面随着网络应用的普及,网络数据流量急剧增加,另一方面有些审计记录本身包含了大量的无关信息,于是,数据过载与检测速度过慢的问题也不无出现。
数据挖掘本身是一项通用的知识发现技术,其目的是要从海量数据中提取出我们所感兴趣的数据信息(知识)。这恰好与当前网络安全审计的现实相吻合。目前,操作系统的日益复杂化和网络数据流量的急剧膨胀,导致了安全审计数据同样以惊人的速度递增。激增的数据背后隐藏着许多重要的信息,人们希望能够对其进行更高抽象层次的分析,以便更好地利用这些数据。将数据挖掘技术应用于对审计数据的分析可以从包含大量冗余信息的数据中提取出尽可能多的隐藏的安全信息,抽象出有利于进行判断和比较的特征模型。根据这些特征间量模型和行为描述模型,可以由计算机利用相应的算法判断出当前网络行为的性质。
基于数据挖据的网络安全审计系统的基本架构如下图1所示。
图1 系统架构
系统由ETL、数据仓库、元数据引擎、OLAP引擎、专家知识库、数据挖掘模型、应用接口等部分组成。ETL系统将异构、分散的审计数据日志抽取并清洗后送入数据仓库;数据仓库根据不同的数据分析特点采用星型或雪花型模式存储多维数据模型;元数据引擎负责定制与维护规范的ETL规则定义、数据仓库模型定义及业务流程定义;OLAP引擎通过MDX(Multi Dimensional Expression,多维查询表达式)语句分析器响应用户查询操作,分析器接收客户端提交的MDX语句,并对该MDX语句进行语法和语义分析,然后按照预先定义的多维数据模型转换成相应的SQL(结构化查询语句)语句,最终从关系型数据库中获取有关的数据。如果需要获取的数据已经在缓存中,则直接从缓存中获取。专家知识库记录了典型案例和审计规则,根据知识库中的规则,责任分析模型应用数据挖掘相关算法对数据进行分析,当某用户的行为与知识库中定义的异常规则相一致时,通过应用接口层给出警报信息,当出现与知识库中的任何规则都不匹配的异常规则时,利用聚类和分类挖掘技术将这些知识添加到知识库中。这样可以通过不断修改知识库来发现未知攻击或已知攻击的变种。
2 关键技术分析
2.1 多源日志处理
在信息化建设过程中,由于各业务系统建设和实施数据管理系统的阶段性、技术性以及其它经济和人为因素等影响,操作系统、网络设备、安全设备的使用日益复杂化,这导致产生了大量异构、分散的安全审计数据,包括操作系统日志、安全设备日志、网络设备日志以及应用系统日志等,这给数据分析与决策支持带来了困难。解决方案是对异质异构日志数据格式进行转换,同时使用事件合并机制对系统间相似数据进行合并,并与各案例库和各日志库一起为责任认定系统提供数据服务,为责任认定提供依据。文献2对多源日志数据的采集、范化、分析、过滤、聚类、归并等过程进行了综述,并提出了相应的算法和实例。
2.2 审计数据仓库构建
数据仓库存储模型与传统的业务数据库系统有着本质的区别,数据库技术在存储模型建设方面强调数据模型的规范性和高效存储能力,而数据仓库技术在存储模型建设方面强调数据查询的方便性和快速响应能力。目前通常采用的数据仓库存储模型有:星型模型,雪花模型[3]。星型模型将一个事实表放在中间,周围是有数据相关的维表,事实表是星型模式的核心,数据量很大。维表是事实的附属表,数据量比较小,它提供了事实表中每一条记录的描述性信息。在星型模式中,每个维只用一个表来表示,每个维表包含一组属性,从而造成了一定程度的冗余。为了避免这些冗余数据占用过大的空间,可以用多个维表来表示一个层次复杂的维,从而把数据进一步分解到附加的表中。这种规范化了的星型模式称为雪花模式。虽然雪花模式减少了数据冗余,节省了存储空间,但由于执行查询时需要进行更多的连接操作,降低了浏览的性能。在审计数据仓库中,由于浏览操作的实时性和频繁性,星型模型更为适用。
2.3 数据挖据算法应用
在安全审计中,运用数据挖掘技术,可以利用统计、分类、聚类、关联、序列分析、群集分析等方法,对网络日志中大量的数据进行深层次分析和研究,揭示其本来的特征和内在的联系,使它们转化为网络安全检测所需要的更直接、更有用的信息。
1) 分类与预测算法:分类要解决的问题是为一个事件或对象归类。在使用上,既可以用来分析已有的数据,也可以用它来预测未来的数据。安全审计可以看作是一个分类问题:我们希望能把每一个审计记录分类到可能的类别中,正常或某种特定的入侵或操作异常。一般来讲,分类根据系统特征进行,关键就是选择正确的系统特征,大多数时候还需要根据经验和实验效果确定一个合理的阀值。
2) 关联分析:关联规则挖掘是指发现大量数据中项集之间有意义的相关联系。关联规则可以从海量的日志数据集中发现不同字段之间存在的关系,这些联系反映了用户的某些操作在一段时间内频繁出现的条件,清楚地反映了用户的行为模式。利用关联规则算法挖掘出合法用户的历史正常行为模式,将当前的行为模式与历史正常行为模式进行比较,从而可以分析出用户的潜在异常行为。文献4即根据网络审计日志实时更新的特点,提出了一种基于深度优先生成树的关联规则挖掘的改进算法FIDF,改变了候选项集的产生顺序,提高了审计日志数据关联规则挖掘的效率,确保了入侵检测系统的实时性和准确性。
3) 聚类技术:聚类就是将数据对象分组成多个类或者簇,划分的原则是在同一个类(簇)中的对象之间具有较高的相似度,而不同类(簇)中的对象差别较大。在网络安全审计中,聚类模式的常规做法是通过分析网络资源的受访问情况以及访问次序,来找到用户间相似的浏览模式,并进行安全性识别。文献5针对聚类应用在日志分析中存在的主要问题,从聚类算法的选择标准、改进方向、性能分析3个方面探讨了典型聚类算法k-means算法的研究成果。
3 结束语
本文将网络安全审计与责任分析视为一种数据分析的过程,以网络环境中大量的安全责任日志数据为分析对象,综合运用数据挖掘中的预处理、关联、序列、分类、聚类等技术,提出了网络安全审计系统的基本架构,重点对适用于审计数据挖据的相关算法进行了应用分析。
参考文献:
[1] 张旭东.内网安全审计系统及审计数据挖掘研究[D].浙江工业大学,2007.
[2] 刘成山,张秀君,刘怀亮.多源日志的数据挖掘方法研究[J].情报杂志, 2009(3):154-156.
[3] Inmon, W H.数据仓库[M].4版.北京:机械工业出版社,2006.
审计的认定及分类范文5
以科学发展观为指导,坚持“全面清理、不留死角、加强监管、稳步推进”的原则,按照《关于加快农村公路发展的实施意见》(府〔〕75号),采取政府主导、部门配合、交通牵头、业主负责的方式,积极开展农村公路遗留问题清理工作,努力减轻负面影响,为下一步化解债务提供依据,确保我区经济社会平稳健康发展。
二、清理的范围、内容及时限
(一)清理范围:年12月31日前完工,且进入农村公路数据库的县道、乡道和村道(详见附件1)。
(二)清理内容:清理范围内竣工资料不齐项目、未审计决算项目、未竣工验收项目和存在历史债务项目的基本情况(详见附件2)。
(三)清理时限:各乡镇在2013年7月30日前完成自查,并认真填写《农村公路遗留问题及历史债务清理一览表》(附件2)报区农村公路遗留问题及历史债务清理工作领导小组办公室,并在2013年11月前彻底完善项目建设等相关资料。
三、清理步骤
本次农村公路遗留问题及历史债务清理工作以区交通运输局和各乡镇为清理主体,具体分为三个阶段进行:
第一阶段:宣传发动,调查摸底(2013年7月15日—7月30日)。各乡镇要高度重视此次农村公路遗留问题及历史债务清理工作,认真宣传此次农村公路遗留问题及历史债务清理工作的内容、时限和意义;指定专人负责对本乡镇农村公路建设项目进行调查摸底,如实填报《农村公路遗留问题及历史债务清理一览表》(附件2)。
第二阶段:逐一核查,分类整理(2013年8月1日—8月30日)。各乡镇按竣工资料齐全的、竣工资料不齐的、资料不齐且施工单位又拒不配合的三种情况对项目进行分类整理。区交通运输局负责对各业主单位工程资料的收集及整理工作开展核查和业务指导。
第三阶段:限时处理,查漏补缺(2013年9月1日—11月30日)。
1.竣工资料齐全的项目:项目业主要在9月30日前将工程建设相关资料提交区审计局,以便及时进行审计。
2.竣工资料不齐全的项目:区交通运输局负责指导,项目业主负责资料收集,申报审计的具体截止时间为2013年10月30日。
3.对于资料不齐且施工单位拒不配合的项目:各项目业主要提出处理方案,经业主和施工方一致同意后,邀请中介机构参与评估,其评估结论应在2013年11月30日前完成。
四、职责分工
(一)项目业主:具体负责项目统计、资料收集和清理工作的落实。对竣工资料齐备、符合验收和审计条件的项目,业主要及时将资料报区审计局审计;对工程资料不齐、施工单位不积极配合完善资料的项目,业主要向施工方发函或登报明确事件后果及相关责任;对在规定期限内未按要求完善资料的项目,业主要责令施工单位限期完善工程资料报审,对拒不提供资料的施工单位,业主要明确中介机构参与工程造价评估。
(二)区交通运输局:负责指导资料齐备项目的质量鉴定、竣工验收的协调。
(三)区审计局:负责项目审计及债务认定。
(四)区财政局:负责经审计认定的应由区级财政承担的债务的化解。
五、组织领导
审计的认定及分类范文6
摘 要 随着市场经济的竞争越来越激烈,由于高新技术申报企业需向认定管理机构提交经具有资质的中介机构鉴证的研发费费用明细表、技术性收入情况表和财务报表。笔者就此深入浅出的做了一些探讨。
关键词 新经济 高新技术 创新 对策
国家科技部、财政部、国家税务总局颁发了《高新技术企业认定管理办法》(国科发(2008)172号)和《高新技术企业认定工作指引》(以下简称工作指引)(国科发(2008)362号)。根据该项规定,申报企业一经认定为高新技术企业,有效期为3年,企业可以享受所得税税率降低10%和研发费用50%加计扣除的税收优惠政策。为有效配合国家开展高新技术企业认定管理工作。根据中国注册会计师协会制订的《高新技术企业认定专项审计指引》(以下简称《审计指引》)。申报企业按照适用的会计准则和相关会计制度框架,以《高新技术企业认定管理办法》和《高新技术企业认定管理办法工作指引》的规定的编制最近三年研究开发费用结构明细表和最近一年的高新技术产品(服务)收入明细表。由于高新技术申报企业需向认定管理机构提交经具有资质的中介机构鉴证的研发费费用明细表、技术性收入情况表和财务报表。因此,注册会计师在高新技术企业认定工作中发挥了重要且不可替代的作用。由于高新技术企业认定专项审计工作是一项系统工程,具有政策性强,理解难度大,执业困难多,质量要求高的特点,尽管有两项指引为开展高新技术企业认定专项审计工作提供了技术规范和实务指导,但在实务中仍有较多的审计错报风险点需要注册会计师的专业判断。尤其是中小高新技术企业认定专项审计工作问题更为突出。
高新技术企业认定专项审计,是指注册会计师接受申报企业委托,对其最近三个会计年度(实际经营不满三年的按实际经营年限)的研究开发费用结构明细表和最近一个会计年度的高新技术产品(服务)收入明细表进行审计,并出具专项审计报告。进行高新技术企业认定专项审计的企业中有很大部分中小型企业,该类企业规模相对较小,内部控制不够健全,我们在按《工作指引》、《审计指引》的要求计划审计工作,对企业内部控制进行了解后,不能通过进行简单风险评估,替代部分实质性测试,以降低审计风险,这是不可取的,应该实施详细的实质性测试为主导。
企业的研究开发费用是指企业在产品、技术、材料、工艺、标准的研究、开发过程中发生的各项费用。以各个研发项目为基准分别进行核算。包括内部研究开发费用和委托外部研究开发费用两部分。内部研发开发费用包括:人员人工,直接投入,折旧费用与长期待摊费用,设计费用,装备调试费,无形资产摊销和其他费用。委托外部研究开发费用是指企业委托境内其他企业、大学、研究机构、转制院所、技术专业服务机构和境外机构进行研究开发活动所发生的费用(项目成果为企业拥有,且与企业的主要经营业务紧密相关)。
在对人员人工的审核中,关键是研发人员的认定,中小型高新技术企业人员有限,技术人员除了研发任务外,还从事生产技术指导。同时管理层(业主)往往也参与企业的研发活动。在实务中,申报企业为达到研究开发费用总额的规定,会将管理人员及生产人员等的工资薪酬统计在人员人工明细中,因此注册会计师在获取对于这一类的兼职从事研究开发活动(项目)人员的薪酬考核资料时,要防止企业将这部分的非研发薪酬列入其中。
对于判断中小型高新技术企业领用的材料是否用于研发项目需要注册会计师利用专家的工作。企业发生的研发费用材料费的品种很多,直接投入的认定和分配缺乏可靠的依据。研发活动是一项开创性的工作,不是现有成熟生产活动,因此利用专家工作显得尤其必要。
固定资产折旧与长期待摊费用摊销是指为执行研究开发活动而购置的仪器和设备以及研究开发项目在用建筑物的折旧费用。在实务中,中小高新技术企业为节省开支和成本,生产用固定资产和研究开发费用往往共用,同样的场所不仅用于生产,也用于研究开发活动。对于非专门为研究开发购置的固定资产折旧以何种标准进行分配需要注册会计师的分析。
设计费用是指为新产品和新工艺的构思、开发和制造、进行工序、技术规范、操作特性方面的设计发生的费用。对于中小高新企业研发人员力量薄弱,会将一些设计方面的支出外包。注册会计师应取得相关的原始凭证及外包合同。同时外包性质的设计费用不应与委托外部研究开发费用混淆。
对于装备调试费要区分是用于研究开发活动还是用于大规模化和商业化生产,对于没有专业背景的注册会计就需要利用专家的工作。
无形资产摊销是指研究开发活动需要购入的专有技术所发生的费用摊销。对于购入的无形资产可能既用于生产经营,又用于研发活动,如何按合适的比例进行分摊具有较大难度。
取得委托外部研究开发的合同是判断确认委托外部研究开发费用的真实性的可靠依据。中小企业由于设立的研发机构力量薄弱,一般会与研究院、高校等科研机构合作开展研究开发活动,与其签订相应的委托开发合同或合作协议。注册会计师需分析合同的实质性内容,判断是否真的为委托外部开发而形成的成果样品,项目成果是否为企业拥有,且与企业的主要经营业务紧密相关。
研发活动费用与非研发活动费用相互混合,部分高新企业的研发费用有很大部分在生产成本、制造费用中列支。部分企业虽然在管理费用中设置了二级明细科目,但未能按研发项目设置明细。
部分申报企业研究费用的核算没有以研究开发活动为立足点,未以各个研究项目为切入点进行明细核算。财务人员只是秋后算账,按当期实现收入的一定比例胡拼乱凑,核算出的研发费用未能真正反映企业的真实研发活动。
在高新技术企业认定专项审计中都涉及高新技术的识别。注册会计师不是高新技术领域的专家,《审计指引》为此做了如下规定:(1)恰当界定研究开发项目、高新技术产品(服务)的具体范围是申报企业的责任。(2)申报企业技术负责人与企业法定代表人、财务负责人共同签署《管理当局声明书》。但《审计指引》也规定,制定总体审计策略时,应当清楚地说明向具体审计领域调配的资源,包括就复杂的研究开发项目技术问题利用专家的工作。
