24周年

財(cái)稅實(shí)務(wù) 高薪就業(yè) 學(xué)歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.30 蘋果版本:8.7.30

開發(fā)者:北京正保會計(jì)科技有限公司

應(yīng)用涉及權(quán)限:查看權(quán)限>

APP隱私政策:查看政策>

HD版本上線:點(diǎn)擊下載>

日本IT內(nèi)部控制的評價與審計(jì)

來源: 龐艷紅 崔國萍 編輯: 2009/06/03 14:01:05  字體:

  【摘 要】目前企業(yè)的經(jīng)營活動對信息技術(shù)(IT)的依賴越來越大,使得在業(yè)務(wù)的處理過程中對企業(yè)內(nèi)外IT采取適當(dāng)?shù)膽?yīng)對成為企業(yè)實(shí)現(xiàn)內(nèi)部控制目標(biāo)必不可少的內(nèi)容。2007年2月日本企業(yè)會計(jì)審議會發(fā)布了《關(guān)于財(cái)務(wù)報告內(nèi)部控制評價與審計(jì)準(zhǔn)則及其實(shí)施準(zhǔn)則的制定(意見書)》,旨在對財(cái)務(wù)報告內(nèi)部控制的評價與審計(jì)體系進(jìn)行規(guī)范并對其實(shí)施提供具體操作指南。其中一項(xiàng)非常重要的內(nèi)容就是對使用IT的內(nèi)部控制進(jìn)行評價與審計(jì)。本文主要介紹日本IT內(nèi)部控制的評價與審計(jì)規(guī)范,以期對我國內(nèi)部控制制度的完善提供借鑒。

  【關(guān)鍵詞】財(cái)務(wù)報告內(nèi)部控制; IT內(nèi)部控制; 評價與審計(jì)

  一、引言

  安然、世通等財(cái)務(wù)舞弊和會計(jì)造假案件的發(fā)生,嚴(yán)重沖擊了資本市場的正常秩序。結(jié)果表明,內(nèi)部控制存在缺陷是導(dǎo)致企業(yè)經(jīng)營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。為此,許多國家通過立法強(qiáng)化企業(yè)內(nèi)部控制,2002年7月美國總統(tǒng)布什簽署了《薩班斯-奧克斯利法案》,日本在2006年6月出臺了《金融商品交易法》,而我國也在2008年6月發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》,這標(biāo)志著強(qiáng)化內(nèi)部控制在全球范圍內(nèi)將達(dá)到新的高潮。這些法律法規(guī)的核心內(nèi)容是要求所有上市公司的管理層必須對財(cái)務(wù)報告內(nèi)部控制進(jìn)行評估并編制和提交內(nèi)部控制報告。審計(jì)人員對管理層評估的財(cái)務(wù)報告內(nèi)部控制進(jìn)行審核后發(fā)表恰當(dāng)?shù)膶徲?jì)意見。

  目前企業(yè)的業(yè)務(wù)內(nèi)容對IT的依賴越來越大,組織的信息系統(tǒng)與IT高度結(jié)合,使得在業(yè)務(wù)的處理過程中對企業(yè)內(nèi)外IT采取適當(dāng)?shù)膽?yīng)對成為企業(yè)實(shí)現(xiàn)內(nèi)部控制目標(biāo)必不可少的內(nèi)容。作為《金融商品交易法》中內(nèi)部控制的具體操作指南,2007年2月日本企業(yè)會計(jì)審議會發(fā)布了《關(guān)于財(cái)務(wù)報告內(nèi)部控制評價與審計(jì)準(zhǔn)則及其實(shí)施準(zhǔn)則的制定(意見書)》(簡稱意見書)。主要包括內(nèi)部控制的基本框架,財(cái)務(wù)報告內(nèi)部控制評價與審計(jì)準(zhǔn)則(準(zhǔn)則)以及財(cái)務(wù)報告內(nèi)部控制評價與審計(jì)實(shí)施準(zhǔn)則(實(shí)施準(zhǔn)則)三部分內(nèi)容。其核心是要求所有上市公司的管理層從2008年4月1日開始或以后的會計(jì)年度必須對財(cái)務(wù)報告內(nèi)部控制進(jìn)行評估并編制和提交內(nèi)部控制報告,并由審計(jì)人員進(jìn)行審核。意見書中,將IT的對應(yīng)作為內(nèi)部控制的一個基本要素,要求對組織內(nèi)外IT環(huán)境和IT的使用和控制與內(nèi)部控制的其他要素作為一個整體進(jìn)行評價。這是日本評估和審計(jì)財(cái)務(wù)報告內(nèi)部控制的一個重要特征。本文在闡述內(nèi)部控制與會計(jì)信息質(zhì)量關(guān)系的基礎(chǔ)上,介紹內(nèi)部控制框架中的IT內(nèi)部控制,管理層評價和審計(jì)人員審計(jì)內(nèi)部控制中對IT內(nèi)部控制的處理方法。

  二、內(nèi)部控制與會計(jì)信息質(zhì)量的關(guān)系

  國際公認(rèn)的內(nèi)部控制框架是美國的COSO(Committee of Sponsoring Organizations of the Treadway Commission)委員會于1992年發(fā)布的內(nèi)部控制整體框架(COSO框架)。COSO認(rèn)為內(nèi)部控制是由董事、管理層及其他人員在公司內(nèi)進(jìn)行的,旨在為經(jīng)營的有效性、財(cái)務(wù)報告的可靠性、適用法律法規(guī)的遵循性提供合理保證的過程。它由控制環(huán)境、風(fēng)險評估、控制活動、信息與溝通和監(jiān)控五個要素組成。近年來,以安然、世通為代表的一系列特大財(cái)務(wù)舞弊事件在全球范圍內(nèi)蔓延,給投資者和債權(quán)人造成了巨大的損失,這表明以確保信息披露制度可靠性為目的的企業(yè)內(nèi)部控制制度并沒有發(fā)揮有效的作用。美國Treadway委員會(1985年成立的反虛假財(cái)務(wù)報告委員會)在調(diào)查中發(fā)現(xiàn),內(nèi)部控制存在缺陷和內(nèi)部控制的缺失是影響會計(jì)信息質(zhì)量,產(chǎn)生財(cái)務(wù)報告舞弊的重要原因,而且將近50%的財(cái)務(wù)舞弊事件可以全部或部分歸咎于公司內(nèi)部控制失敗。因此,內(nèi)部控制對于降低舞弊行為,保障會計(jì)信息質(zhì)量具有重要的意義。

  在日本的意見書中,將內(nèi)部控制定義為為實(shí)現(xiàn)四個目標(biāo)(經(jīng)營的有效性和效率性;財(cái)務(wù)報告的可靠性;與經(jīng)營活動相關(guān)的法律法規(guī)的遵守;資產(chǎn)的保全),由組織內(nèi)部所有人員執(zhí)行的程序。內(nèi)部控制由控制環(huán)境、風(fēng)險的評價與應(yīng)對、控制活動、信息與溝通、監(jiān)控以及IT的應(yīng)對六項(xiàng)基本要素構(gòu)成。其中,將為確保財(cái)務(wù)報告的可靠性的內(nèi)部控制定義為財(cái)務(wù)報告內(nèi)部控制,將財(cái)務(wù)報告內(nèi)部控制的有效性定義為某一內(nèi)部控制根據(jù)合理的內(nèi)部控制框架予以構(gòu)建和運(yùn)行,且該內(nèi)部控制不存在重大缺陷。與COSO框架相比,日本的內(nèi)部控制定義在內(nèi)部控制的目的中加上了“資產(chǎn)的保全”,在基本要素中加入了“IT的應(yīng)對”。將資產(chǎn)的保全列為企業(yè)的目標(biāo)之一,重在強(qiáng)調(diào)資產(chǎn)的取得、使用和處置必須通過正當(dāng)?shù)某绦蚝褪跈?quán),這將大大有利于會計(jì)信息質(zhì)量的提高??紤]到自從COSO框架發(fā)布以后,隨著IT環(huán)境的迅速發(fā)展,IT已經(jīng)廣泛和深入地滲透到企業(yè)的組織中的實(shí)際情況,日本將IT的對應(yīng)作為內(nèi)部控制的一個基本要素。相對于COSO框架,日本內(nèi)部控制框架表述更加嚴(yán)密,更能適應(yīng)經(jīng)濟(jì)環(huán)境的發(fā)展變化以及日本企業(yè)的實(shí)際。在信息系統(tǒng)中使用IT的情況下,信息通常由各種業(yè)務(wù)系統(tǒng)進(jìn)行處理和提供,這些信息反映于會計(jì)系統(tǒng)之中。因此,管理層有必要對確保這些業(yè)務(wù)系統(tǒng)和會計(jì)系統(tǒng)所生成財(cái)務(wù)信息的可靠性的內(nèi)部控制進(jìn)行評價。審計(jì)人員也有必要對管理層評價的內(nèi)部控制進(jìn)行審核。

  三、內(nèi)部控制框架中與IT相關(guān)的內(nèi)部控制

  在前述意見書中,IT的應(yīng)對作為內(nèi)部控制的一個基本要素而出現(xiàn)。意見書中將IT的應(yīng)對定義為為實(shí)現(xiàn)組織的目標(biāo)事先規(guī)定合理的政策及程序,根據(jù)這些政策和程序,在業(yè)務(wù)實(shí)施中對組織內(nèi)外的信息技術(shù)進(jìn)行合理的應(yīng)對。IT的應(yīng)對,由IT環(huán)境的應(yīng)對和IT的使用與控制組成。所謂IT環(huán)境的應(yīng)對,是指組織活動中必然相關(guān)的組織內(nèi)外的信息技術(shù)利用狀況,社會和市場中信息技術(shù)使用情況、組織進(jìn)行交易中信息技術(shù)使用情況,以及組織選擇依存的一系列信息技術(shù)的狀況等。這主要是強(qiáng)調(diào)為實(shí)現(xiàn)目標(biāo),組織有必要對其所處的IT環(huán)境進(jìn)行了解,在組織范圍內(nèi)制定合理的政策和手續(xù),并為落實(shí)這些規(guī)定和手續(xù)進(jìn)行合理的應(yīng)對。而IT的使用與控制是指在組織內(nèi)部,對為確保內(nèi)部控制的其他基本要素的有效性且高效地利用信息技術(shù),以及在組織內(nèi)系統(tǒng)地包含于業(yè)務(wù)之中的以各種形式利用的信息技術(shù),事先制定合理的政策和手續(xù),使內(nèi)部控制的其他基本要素更有效地發(fā)揮功能。作為內(nèi)部控制的一個基本要素,意見書指出,IT的應(yīng)對不是獨(dú)立于內(nèi)部控制的其他要素而存在的,但組織的業(yè)務(wù)內(nèi)容在較大程度上依賴于信息技術(shù)的情況或在組織的信息系統(tǒng)高度運(yùn)用信息技術(shù)等情況下,作為實(shí)現(xiàn)內(nèi)部控制目標(biāo)來說是不可缺少的要素,它是內(nèi)部控制有效性相關(guān)的判斷標(biāo)尺。但無論是IT環(huán)境的應(yīng)對還是IT的使用與控制,都與內(nèi)部控制的其他基本要素存在著密不可分的關(guān)系,都應(yīng)將它們與內(nèi)部控制的其他基本要素作為一個整體進(jìn)行評價。因此,IT的應(yīng)對在內(nèi)部控制框架中的體現(xiàn)是日本信息技術(shù)的飛躍發(fā)展對組織產(chǎn)生深刻影響的產(chǎn)物,IT內(nèi)部控制是日本內(nèi)部控制框架的一個重要特征。

  四、管理層對IT內(nèi)部控制的評價

  在管理層評估內(nèi)部控制有效性時,與美國相似,日本也采用自上而下的以風(fēng)險為基礎(chǔ)的方法。即首先評估對財(cái)務(wù)報告可信性有實(shí)質(zhì)性影響的公司層內(nèi)部控制,同時充分評估企業(yè)內(nèi)外的風(fēng)險并考慮整體上可能對財(cái)務(wù)報告有重大影響的所有事件。在此基礎(chǔ)上再評估業(yè)務(wù)層的控制,主要側(cè)重可能導(dǎo)致財(cái)務(wù)報告中重大錯報的風(fēng)險的評估。與美國不同的是,意見書的實(shí)施準(zhǔn)則部分明確規(guī)定由管理層評估使用IT的控制是評估業(yè)務(wù)水平控制的一項(xiàng)重要內(nèi)容。實(shí)施準(zhǔn)則從以下四個方面對使用IT的內(nèi)部控制進(jìn)行評價:一是使用IT的內(nèi)部控制的評價。在這一內(nèi)部控制中,既包括計(jì)算機(jī)程序之中的自動化的內(nèi)部控制,也包括手工操作與計(jì)算機(jī)處理為一體發(fā)揮職能的內(nèi)部控制。二是評價范圍的決定。三是評價單位的認(rèn)定。四是使用IT的內(nèi)部控制的構(gòu)建狀況和運(yùn)行狀況有效性的評價。具體地說,IT的控制評價分為IT總體控制的評價和IT業(yè)務(wù)處理控制的評價。其中,IT總體控制是為確保業(yè)務(wù)處理控制有效地發(fā)揮職能的環(huán)境而進(jìn)行的控制活動,通常是指與多數(shù)業(yè)務(wù)過程控制有關(guān)的政策和程序。IT業(yè)務(wù)處理控制是指為確保所有經(jīng)過授權(quán)的經(jīng)濟(jì)活動在企業(yè)業(yè)務(wù)管理系統(tǒng)中正確的處理、記錄的控制活動。實(shí)施準(zhǔn)則列舉了評估IT總體控制的設(shè)計(jì)和運(yùn)行有效性的具體實(shí)例,如系統(tǒng)的開發(fā)和維護(hù)、系統(tǒng)的運(yùn)用和管理、系統(tǒng)安全性的確保、委托加工物資的契約管理等。關(guān)于評估IT業(yè)務(wù)處理控制的設(shè)計(jì)和運(yùn)行的有效性,實(shí)施準(zhǔn)則也列示了考慮的要點(diǎn),包括關(guān)于錄入信息的完整性、正確性、正當(dāng)性等確保的控制,錯誤的修正和再處理,主要數(shù)據(jù)的維護(hù)和管理等。

  在管理層對內(nèi)部控制有效性的判斷中,實(shí)施準(zhǔn)則對IT相關(guān)的內(nèi)部控制有效性的判斷專門作出規(guī)定。在IT相關(guān)的總體控制存在缺陷的情況下,應(yīng)當(dāng)檢查采用替代的或補(bǔ)充的其他內(nèi)部控制是否能達(dá)到財(cái)務(wù)報告可靠性的目的。而且IT相關(guān)的總體控制的缺陷,由于并不是與財(cái)務(wù)報告重要事項(xiàng)發(fā)生虛假記載風(fēng)險直接相聯(lián)系的,不能立即被評價為重大缺陷。但如果IT相關(guān)的總體控制存在缺陷,即使IT相關(guān)的業(yè)務(wù)處理控制的構(gòu)建能有效地發(fā)揮功能,也存在不能連續(xù)維持其有效運(yùn)行的可能性,虛假記載發(fā)生的風(fēng)險很高。在IT相關(guān)的業(yè)務(wù)處理控制存在缺陷的情況下,與業(yè)務(wù)層的內(nèi)部控制存在的情況相同,應(yīng)當(dāng)對其影響程度和發(fā)生的可能性進(jìn)行評價。當(dāng)手工操作與信息技術(shù)成為一體發(fā)揮功能的內(nèi)部控制存在缺陷時,管理層應(yīng)具體認(rèn)定缺陷是由手工操作部分產(chǎn)生的還是由IT相關(guān)部分產(chǎn)生的。應(yīng)當(dāng)注意,在由IT相關(guān)的部分產(chǎn)生缺陷的情況下存在著相同種類錯誤重復(fù)發(fā)生的可能性。

  五、審計(jì)人員對IT內(nèi)部控制的審計(jì)

  在對內(nèi)部控制審計(jì)時,美國采用直接報告的方式,即由審計(jì)人員直接審計(jì)和報告財(cái)務(wù)報告內(nèi)部控制的有效性。在這種方式下,為審計(jì)管理層評估的財(cái)務(wù)報告內(nèi)部控制的有效性取得審計(jì)證據(jù),審計(jì)人員必須計(jì)劃和實(shí)施特定審計(jì)程序?qū)徲?jì)上市公司的內(nèi)部控制。因此,審計(jì)人員和被審單位都要承受過度的負(fù)擔(dān)。然而日本采用只審計(jì)管理層對內(nèi)部控制有效性評估結(jié)果的間接報告方式,從而解決了直接審計(jì)被審單位內(nèi)部控制有效性的過度負(fù)擔(dān)的難題。這是日本對財(cái)務(wù)報告內(nèi)部控制審計(jì)的特點(diǎn)之一。審計(jì)人員對管理層進(jìn)行的內(nèi)部控制評價的審核也是先審核公司層內(nèi)部控制的評價,在此基礎(chǔ)上再對管理層進(jìn)行的業(yè)務(wù)流程相關(guān)的內(nèi)部控制的評價的合理性進(jìn)行審核。實(shí)施準(zhǔn)則詳細(xì)規(guī)定了對使用IT的內(nèi)部控制的評價的審核。主要包括:一是對IT的內(nèi)部控制的把握。審計(jì)人員對于使用手工操作進(jìn)行控制的部分實(shí)施業(yè)務(wù)流程相關(guān)的內(nèi)部控制評價的審核;對于使用IT進(jìn)行控制的部分,通過以下對IT相關(guān)的總體控制和業(yè)務(wù)處理控制評價的審核進(jìn)行驗(yàn)證。二是IT相關(guān)的總體控制評價的審核。實(shí)施準(zhǔn)則詳細(xì)規(guī)定了對系統(tǒng)的開發(fā)和維護(hù)、系統(tǒng)的運(yùn)用和管理,系統(tǒng)安全性的確保、委托加工物資的契約管理等各方面審核時應(yīng)當(dāng)關(guān)注的要點(diǎn)。三是IT相關(guān)的業(yè)務(wù)處理控制評價的審核。實(shí)施準(zhǔn)則規(guī)定了審計(jì)人員應(yīng)當(dāng)遵循以下手續(xù)進(jìn)行審核:首先通過閱讀系統(tǒng)設(shè)計(jì)書等對企業(yè)所期望的會計(jì)處理系統(tǒng)的設(shè)計(jì)進(jìn)行確認(rèn);同時列示了具體的評價項(xiàng)目,包括是否采取為確保錄入信息的安全性、準(zhǔn)確性、正當(dāng)性等的措施;是否對錯誤數(shù)據(jù)進(jìn)行合理修訂和再修訂等。四是利用IT專家。利用專家時,審計(jì)人員不僅要對專家是否擁有IT方面的知識進(jìn)行考慮,而且要對其是否擁有信息系統(tǒng)相關(guān)的財(cái)務(wù)報告產(chǎn)生重要影響的風(fēng)險評估所必需的知識等進(jìn)行考慮,同時對該專家的業(yè)務(wù)是否具有充分的客觀性也應(yīng)進(jìn)行考慮。在發(fā)現(xiàn)使用IT的內(nèi)部控制相關(guān)的IT總體控制的缺陷時,要求立即對其進(jìn)行完善。因?yàn)镮T的總體控制是為了保證IT相關(guān)的業(yè)務(wù)處理控制有效地發(fā)揮功能的環(huán)境而進(jìn)行的控制活動,如果總體控制存在缺陷,即使為使業(yè)務(wù)處理控制有效的發(fā)揮功能而進(jìn)行構(gòu)建,也存在著不能連續(xù)維持其有效運(yùn)行的可能性。但是,由于IT總體控制的缺陷本身并不一定是直接與財(cái)務(wù)報告重要事項(xiàng)虛假記載發(fā)生風(fēng)險相聯(lián)系的,如果能夠驗(yàn)證業(yè)務(wù)處理控制現(xiàn)在能有效地發(fā)揮功能,就不能因總體控制的缺陷而立即將其評價為重大缺陷。這與管理層評價IT相關(guān)的內(nèi)部控制的有效性的原則相同。

  六、結(jié)論與建議

  近年來,我國證券市場的財(cái)務(wù)欺詐事件愈演愈烈,這使內(nèi)部控制的有效性問題得到空前的重視。1997年1月開始實(shí)行的《獨(dú)立審計(jì)準(zhǔn)則第9號 內(nèi)部控制與審計(jì)準(zhǔn)則》、1999年10月通過的《中華人民共和國會計(jì)法》、2002年中注協(xié)頒布的《內(nèi)部控制審核指導(dǎo)意見》等,無不證明了我國在評估和審計(jì)內(nèi)部控制的有效性方面取得了重大成就。特別是2008年6月28日財(cái)政部、證監(jiān)會、審計(jì)署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》,這標(biāo)志著中國版的“薩奧法案”已正式啟動。在基本規(guī)范中提出我國內(nèi)部控制的基本要素包括內(nèi)部環(huán)境、風(fēng)險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督五項(xiàng),并沒有包括IT內(nèi)部控制要素。隨著信息技術(shù)的高度發(fā)展,組織的業(yè)務(wù)內(nèi)容在很大程度上依賴于信息技術(shù),組織的信息系統(tǒng)與IT高度結(jié)合,使很多組織離開信息技術(shù)就不能進(jìn)行業(yè)務(wù)活動。因此,在業(yè)務(wù)的處理過程中對企業(yè)內(nèi)外IT采取適當(dāng)?shù)膽?yīng)對理應(yīng)成為企業(yè)實(shí)現(xiàn)內(nèi)部控制目標(biāo)必不可少的內(nèi)容。而日本率先順應(yīng)了這種趨勢,以準(zhǔn)則的形式將IT的應(yīng)對作為內(nèi)部控制的一個基本要素,并制訂了與IT內(nèi)部控制相關(guān)的管理層評估和審計(jì)人員審計(jì)財(cái)務(wù)報告內(nèi)部控制的具體措施,可供我國完善企業(yè)內(nèi)部控制基本規(guī)范借鑒。

  【主要參考文獻(xiàn)】

  [1] 日本金融廳企業(yè)會計(jì)審議會.關(guān)于財(cái)務(wù)報告內(nèi)部控制評估與審計(jì)準(zhǔn)則以及財(cái)務(wù)報告內(nèi)部控制評估與審計(jì)實(shí)施準(zhǔn)則的制定(意見書)[D].2007.(日語).

  [2] 財(cái)政部,證監(jiān)會,審計(jì)署,銀監(jiān)會,保監(jiān)會.企業(yè)內(nèi)部控制基本規(guī)范[D].2008.

  [3] U.S. House of Representatives,Committee on Financial Services 2002,Sarbanes-Oxley Act of 2002 [D].2002.

  [4] Committee of Sponsoring Organizations of Treadway Commission 1992,Internal Control Integrated Framework,Committee of Sponsoring Organizations of Treadway Commission[D].1992.

責(zé)任編輯:小奇

實(shí)務(wù)學(xué)習(xí)指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - m.yinshua168.com.cn All Rights Reserved. 北京正保會計(jì)科技有限公司 版權(quán)所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號