网站原创【摘 要】目前企业的经营活动对信息技术(IT)的依赖越来越大,使得在业务处理中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容.2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》,旨在对财务报告内部控制的评价与审计体系进行规范并对其实施提供具体操作指南.其中一项重要的内容就是对使用IT的内部控制进行评价与审计.本文主要介绍日本IT内部控制的评价与审计规范,以期对我国内部控制制度的完善提供借鉴.
【关 键 词】财务报告内部控制;IT内部控制;评价与审计
一、引言
安然、世通等财务舞弊和会计查重案件的发生,严重冲击了资本市场的正常秩序.结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因.为此,许多国家通过立法强化企业内部控制,2002年7月美国总统签署了《萨班斯-奥克斯利法案》,日本在2006年6月出台了《金融商品交易法》,我国也在2008年6月发布了《企业内部控制基本规范》,标志着强化内部控制在全球范围内达到新.这些法律法规的核心内容要求上市公司管理层必须对财务报告内部控制进行评估并提交内部控制报告.审计人员对管理层评估的财务报告内部控制进行审核后发表恰当审计意见.
目前企业的业务内容对IT依赖越来越大,组织的信息系统与IT高度结合,使得在业务处理过程中对企业内外IT采取适当应对成为企业实现内部控制目标必不可少的内容.作为《金融商品交易法》中内部控制的具体操作指南,2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》(简称意见书).主要包括内部控制的基本框架,财务报告内部控制评价与审计准则(准则)及财务报告内部控制评价与审计实施准则(实施准则)三部分内容.其核心要求上市公司管理层从2008年4月1日开始的会计年度必须对财务报告内部控制进行评估并提交内部控制报告,并由审计人员进行审核.意见书中,将IT的对应作为内部控制的基本要素,要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为整体进行评价.本文在阐述内部控制与会计信息质量关系的基础上,介绍内部控制框架中的IT内部控制,管理层评价和审计人员审计内部控制中对IT内部控制的处理方法.
二、内部控制与会计信息质量的关系
国际公认的内部控制框架是美国COSO(CommitteeofSponsoringOrganizationsoftheTreadwayCommission)委员会于2004年10月发布的企业风险管理(EnterpriseRiskManagement,ERM)框架.COSO认为ERM框架对内部控制的定义明确了以下内容:(1)是一个过程;(2)被人影响;(3)应用于战略制定;(4)贯穿整个企业的所有层级和单位;(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险;(6)合理保证;(7)为了实现各类目标.近年,以安然、世通为代表的系列财务舞弊事件的蔓延,给投资者和债权人造成巨大损失,表明以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥有效作用.美国Treadway委员会在调查中发现,内部控制存在缺陷是影响会计信息质量,产生财务报告舞弊的重要原因,将近50%的财务舞弊事件可归咎于公司内部控制失败.因此,内部控制对于降低舞弊行为,保障会计信息质量具有重要意义.
日本的意见书中,将内部控制定义为为实现四个目标(经营的有效性和效率性;财务报告的可靠性;与经营活动相关的法律法规的遵守;资产的保全),由组织内部所有人员执行的程序.内部控制由控制环境、风险评价与应对、控制活动、信息与沟通、监控及IT的应对六项要素构成.其中,将为确保财务报告可靠性的内部控制定义为财务报告内部控制,将财务报告内部控制的有效性定义为某内部控制根据合理的内部控制框架予以构建和运行,且该内部控制不存在重大缺陷.与COSO框架相比,日本的内部控制定义在内部控制的目的中加上了“资产的保全”,在基本要素中加入了“IT的应对”.将资产保全列为企业目标之一,强调资产取得、使用和处置必须通过正当程序和授权,有利于提高会计信息质量.考虑到从COSO框架发布后,随着IT环境迅速发展,IT深入渗透到企业,日本将IT的对应作为内部控制的基本要素.相对COSO框架,日本内部控制框架表述更严密,更能适应经济环境的发展及日本企业实际.因此,管理层有必要对确保这些业务系统和会计系统所生成财务信息可靠性的内部控制进行评价.审计人员也有必要对管理层评价的内部控制进行审核.
| 有关论文范文主题研究: | 关于内部控制的论文范文数据库 | 大学生适用: | 硕士毕业论文、专科毕业论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 82 | 写作解决问题: | 写作技巧 |
| 毕业论文开题报告: | 论文提纲、论文前言 | 职称论文适用: | 技师论文、职称评副高 |
| 所属大学生专业类别: | 写作技巧 | 论文题目推荐度: | 优秀选题 |
三、内部控制框架中与IT相关的内部控制
意见书中,IT的应对作为内部控制的基本要素出现.意见书中将IT的应对定义为为实现组织目标事先规定合理的政策及程序,根据这些政策和程序,在业务实施中对组织内外信息技术进行合理应对.IT应对,由IT环境的应对和IT的使用与控制组成.IT环境的应对,指组织活动中相关组织内外的信息技术利用状况,社会和市场中信息技术使用情况、组织进行交易中信息技术使用情况,及组织选择依存的系列信息技术状况等.强调为实现目标,组织有必要了解所处IT环境,在组织范围内制定合理政策,并为落实该规定进行合理应对.而IT的使用与控制指在组织内部,对为确保内部控制的其他要素的有效性且高效利用信息技术,及在组织内系统地包含于业务中的以各种形式利用的信息技术,事先制定合理政策,使内部控制其他基本要素有效发挥功能.作为内部控制基本要素,意见书指出,IT应对不是独立于内部控制的其他要素,但组织的业务内容在较大程度上依赖于信息技术的情况或在组织的信息系统高度运用信息技术等情况下,作为实现内部控制目标是不可缺少的要素,是内部控制有效性的判断标尺.但无论是IT环境的应对还是IT的使用与控制,都与内部控制的其他要素存在着密不可分关系,都应将它们与内部控制的其他基本要素作为整体进行评价.因此,IT的应对在内部控制框架中的体现是日本信息技术的飞跃发展对组织产生深刻影响的产物,IT内部控制是日本内部控制框架的重要特征.
四、管理层对IT内部控制的评价
在管理层评估内部控制有效性时,与美国相似,日本也采用自上而下基于风险的方法.即首先评估对财务报告可信性有实质影响的公司层内部控制,同时充分评估企业内外风险并考虑整体上可能对财务报告有重大影响的事件.随后再评估业务层控制,侧重可能导致财务报告中重大错报风险的评估.与美国不同的是,意见书的实施准则规定由管理层评估使用IT的控制是评估业务水平控制的重要内容.实施准则从以下四方面对使用IT的内部控制进行评价:一是使用IT内部控制的评价.二是评价范围的决定.三是评价单位的认定.四是使用IT的内部控制的构建状况和运行状况有效性的评价.具体说,IT的控制评价分为IT总体控制的评价和IT业务处理控制的评价.其中,IT总体控制是确保业务处理控制有效发挥职能的环境进行的控制活动,通常指与多数业务过程控制有关的政策和程序.IT业务处理控制是指为确保所有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控制活动.实施准则列举了评估IT总体控制的设计和运行有效性的具体实例,如系统运用和管理、系统安全性等.关于评估IT业务处理控制的设计和运行有效性,实施准则也列示了考虑要点,包括录入信息的正确性、正当性的控制,错误的修正和再处理,主要数据的维护等.
管理层对内部控制有效性的判断中,实施准则对IT相关的内部控制有效性的判断专门作出规定.在IT相关的总体控制存在缺陷的情况下,应当检查采用替代的或补充的其他内部控制是否能达到财务报告可靠性的目的.而且IT相关的总体控制缺陷,由于并不是与财务报告重要事项发生虚检测记载风险直接联系,不能立即被评价为重大缺陷.但如果IT相关的总体控制存在缺陷,即使IT相关的业务处理控制的构建能有效地发挥功能,也存在不能连续维持其有效运行的可能性,虚检测记载发生的风险很高.在IT相关的业务处理控制存在缺陷的情况下,与业务层的内部控制存在的情况相同,应当对其影响程度和发生的可能性进行评价.当手工操作与信息技术成为一体发挥功能的内部控制存在缺陷时,管理层应认定缺陷由手工操作部分产生还是由IT相关部分产生.
五、审计人员对IT内部控制的审计
审计内部控制时,美国采用直接报告方式,由审计人员直接审计和报告财务报告内部控制的有效性.在该方式下,为审计管理层评估的财务报告内部控制的有效性取得审计证据,审计人员必须计划和实施特定审计程序来审计上市公司的内部控制.因此,审计人员和被审单位都要承受过度负担.日本采用只审计管理层对内部控制有效性评估结果的间接报告方式,解决了直接审计被审单位内部控制有效性的过度负担.这是日本对财务报告内部控制审计的特点.审计人员对管理层进行的内部控制评价的审核也是先审核公司内部控制的评价,再对管理层进行的业务流程相关的内部控制评价的合理性进行审核.实施准则详细规定了对使用IT的内部控制评价的审核.主要包括:一是对IT的内部控制的把握.审计人员对手工操作进行控制的部分实施业务流程相关的内部控制评价的审核;对使用IT进行控制的部分,通过对IT相关的总体控制和业务处理控制评价的审核进行验证.二是IT相关的总体控制评价的审核.实施准则详细规定了对系统的开发和维护、系统的运用和管理,系统安全性的确保、委托加工物资的契约管理等各方面审核时应当关注的要点.三是IT相关的业务处理控制评价的审核.实施准则规定了审计人员应当遵循以下手续进行审核:首先通过阅读系统设计书来确认企业期望的会计处理系统的设计;同时列示了具体评价项目,包括是否采取为确保录入信息的安全性、准确性、正当性的措施;是否对错误数据进行合理修订等.四是利用IT专家.审计人员不仅考虑专家是否拥有IT知识,而且要考虑其是否拥有信息系统的财务报告产生重要影响的风险评估的知识,同时考虑该专家的业务是否具有充分客观性.
六、结论与建议
近年,我国财务欺诈事件愈演愈烈,使内部控制的有效性得到空前重视.1997年1月开始实行的《独立审计准则第9号内部控制与审计准则》、1999年10月通过的《中华人民共和国会计法》、2002年中注协颁布的《内部控制审核指导意见》等,无不证明了我国在评估和审计内部控制的有效性方面取得了重大成就.特别是2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,标志着中国版“萨奥法案”正式启动.基本规范中提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督五项,不包括IT内部控制要素.随着信息技术的高度发展,组织的业务内容在很大程度上依赖信息技术,组织的信息系统与IT高度结合,使很多组织离开信息技术就不能进行业务活动.因此,业务的处理过程中对企业内外IT采取适当的应对应成为企业实现内部控制目标必不可少的内容.日本率先顺应了这种趋势,以准则形式将IT的应对作为内部控制的基本要素,并制订了与IT内部控制相关的管理层评估和审计人员审计财务报告内部控制的具体措施,可供我国完善企业内部控制基本规范借鉴.