确定财务报表要素及完成财务报表风险评估

序言

为推动在上海证券交易所(SSE)上市的公司建立健全内部控制制度，提高公司风险管理水平，保护投资者的合法权益，上海证券交易所根据《上海证券交易所股票上市规则》等规定，制定并于2006年6月发布了《上海证券交易所上市公司内部控制制度指引》（SSE指引）。

目标

SSE指引借鉴了COSO《企业风险管理-总体框架》，为上市公司内部控制制度的建立提供了具体的指导。针对风险管理框架的建设方法可参见《甫瀚企业风险管理框架常见问题解答》。为了各上市公司更好地执行SSE指引条款，有效地建立内部控制制度，甫瀚提出了这一建议的工作计划。

甫瀚通讯第2卷第6期《企业风险管理的实施建议》列示了实施企业风险管理的五个步骤。其中步骤3与步骤5的内容分别为：“提升公司对一到两个关键风险的管理能力”与“提升对其他关键风险的管理能力”。这前后两个步骤所显示的风险覆盖范围的扩展说明了在企业风险管理实施过程中建立一个试点的重要性。本工作计划正是以如何实现财务报告信息可靠性为试点的一个例子：通过详细说明对财务报告有重大影响的业务流程，分析各关键流程中与财务报告相关的主要风险，辨别关键流程中的主要控制点，以实现财务报告信息披露的可靠性。

建议工作方式

甫瀚就达成上述目标所建议采取的方法包括下列主要步骤：

A. 确定财务报表要素及完成财务报表风险评估

B. 选定用于执行及评估内部控制的标准

C. 确定用于支持财务报告职能的关键业务流程

D. 识别各关键流程中与财务报告相关的主要风险

E. 识别可降低主要风险的关键控制

F. 评估控制设计的有效性（实现目标）

G. 评估控制运作的有效性（运作按设计进行）

H. 设计并实施用以弥补内控差距及缺陷的解决方案

I. 持续完善

主要步骤

A.确定财务报表要素及完成财务报表风险评估

甫瀚建议管理层确定下列（但不限于）财务报表要素，并对其风险进行评估。有关各报表项目的描述请参考详细的财务报表风险评估。

资产

负债及股东权益

股东权益

收益表

B.选定用于执行及评估内部控制的标准

甫瀚建议采纳SSE指引认可的内部控制制度的框架，作为对内控进行评估的标准。

SSE指引分别采用公司层面、公司下属部门或附属公司层面、业务环节层面等三个层面来评

现金及短期投资高高高货币资金管理环节；投资环节；财务报告环节其他流动资产低低低销货及收款环节；生产环节；财务报告环节；关联交易环节

长期投资高高高投资环节；财务报告环节固定资产高中中固定资产管理环节；财务报告环节

其他资产

低

低

低

采购及付款环节；研发环节；财务报告环节

应付账款中中中采购及付款环节；财务报告环节；关联交易环节应计负债

高

高

高

采购及付款环节；担保与融资环节；财务报告环节

其他流动负债高低中采购及付款环节；担保与融资环节；财务报告环节

其他长期负债

高

低

中

担保与融资环节；财务报告环节

股东权益

高

低

中

财务报告环节

主营业务收入高高高销货及收款环节；财务报告环节；关联交易环节主营业务成本高高高生产环节；关联交易环节；人事管理环节；财务报告环节

营业费用高中中销货及收款环节；人事管理环节；财务报告环节管理费用高中中研发环节；人事管理环节；固定资产管理环节；财务报告环节财务费用中低低投资环节；担保与融资环节；财务报告环节所得税费用

高

高

高

税务环节；财务报告环节

财务报表要素

重要程度固有风险整体风险评估

对应的业务环节

估内控。下文具体讨论SSE指引的三个层面及其实施情况。

1．目标-内部控制的设计目的是确保下列各目标能够实现：

a．经营的效果和效率

b．信息披露的可靠性

c．法律法规的合规性

内部控制设计旨在确保上述三项目标得以实现。其中信息披露的可靠性是其他目标的基础，上市公司建立有效的内部控制的第一步是实现财务报告信息披露的可靠性。因此甫瀚以财务报告信息披露的可靠性为目标为上市公司内部控制框架的搭建提供了本具体工作计划。

2．公司层面的风险及控制评估

甫瀚建议通过完成一项全面的“管理层控制环境问卷调查”（由上市公司内部审计师制定）来解决公司层面的风险及控制评估。问卷调查将分发给公司下属部门及附属子公司的高中级别员工，以了解整个机构高层管理者的态度，以及员工的内控意识，为内部控制的确定及评估做好准备。上市公司将收集有关公司层面控制的充足证据，以支持管理层的认定。

舞弊风险评估1是公司层面风险评估的重要组成部分之一。该评估应充分考虑各种舞弊的方式以及可能发生的不正当行为。舞弊风险评估主要包括评估可能的财务报表舞弊，盗用资产，以及非授权的或不正当的收入和费用。上市公司将从以下几个方面对舞弊风险评估的有效性进行考量：是否具有系统的评估体系；是否考虑了所有可能的舞弊方案；是否对公司层面，重要业务部门层面及重要财务层面的舞弊风险进行评估；是否对公司层面的各类风险的可能性和重要性进行评估；是否对各类舞弊风险将导致的后果进行评估等。

3．下属部门及附属公司层面的风险及控制评估

SSE指引中对附属公司的内部控制专注于监督和管理控股子公司的重大财务、经营事项。因此，公司对附属公司的内部控制主要侧重于对控股子公司的财务报告和管理报告可靠性提供支持的有关控制。

下属部门及附属公司层面的控制主要包括：

1).建立对控股子公司的控制架构，确定控股子公司章程的主要条款，选任董

事、监事、经理及财务负责人。

2).根据公司的战略规划，协调控股子公司的经营策略和风险管理策略，督促

控股子公司据以制定相关业务经营计划、风险管理程序。

3).制定控股子公司的业绩考核与激励约束制度。

4).制定母子公司业务竞争、关联交易等方面的政策及程序。

5).制定控股子公司重大事项的内部报告制度。重大事项包括但不限于发展计

划及预算、重大投资、收购出售资产、提供财务资助、为他人提供担保、

从事证券及金融衍生品投资、签订重大合同、海外控股子公司的外汇风险

管理等。

6).定期取得控股子公司月度财务报告和管理报告，并根据相关规定，委托会

计师事务所审计控股子公司的财务报告。

公司应对控股子公司内控制度的实施及其检查监督工作进行评价。

1甫瀚建议公司层面的风险及控制评估应包括反舞弊，因为反舞弊方案的建立对于健康的控制环境是至关重要的，其影响了整个公司员工的内控意识。