日本IT内部控制的评价与审计

2009-05-07 09:22庞艳红崔国萍
会计之友 2009年10期

庞艳红 崔国萍

【摘 要】 目前企业的经营活动对信息技术(IT)的依赖越来越大,使得在业务的处理过程中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容。2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》,旨在对财务报告内部控制的评价与审计体系进行规范并对其实施提供具体操作指南。其中一项非常重要的内容就是对使用IT的内部控制进行评价与审计。本文主要介绍日本IT内部控制的评价与审计规范,以期对我国内部控制制度的完善提供借鉴。

【关键词】 财务报告内部控制; IT内部控制; 评价与审计

一、引言

安然、世通等财务舞弊和会计造假案件的发生,严重冲击了资本市场的正常秩序。结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此,许多国家通过立法强化企业内部控制,2002年7月美国总统布什签署了《萨班斯-奥克斯利法案》,日本在2006年6月出台了《金融商品交易法》,而我国也在2008年6月发布了《企业内部控制基本规范》,这标志着强化内部控制在全球范围内将达到新的高潮。这些法律法规的核心内容是要求所有上市公司的管理层必须对财务报告内部控制进行评估并编制和提交内部控制报告。审计人员对管理层评估的财务报告内部控制进行审核后发表恰当的审计意见。

目前企业的业务内容对IT的依赖越来越大,组织的信息系统与IT高度结合,使得在业务的处理过程中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容。作为《金融商品交易法》中内部控制的具体操作指南,2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意见书)》(简称意见书)。主要包括内部控制的基本框架,财务报告内部控制评价与审计准则(准则)以及财务报告内部控制评价与审计实施准则(实施准则)三部分内容。其核心是要求所有上市公司的管理层从2008年4月1日开始或以后的会计年度必须对财务报告内部控制进行评估并编制和提交内部控制报告,并由审计人员进行审核。意见书中,将IT的对应作为内部控制的一个基本要素,要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为一个整体进行评价。这是日本评估和审计财务报告内部控制的一个重要特征。本文在阐述内部控制与会计信息质量关系的基础上,介绍内部控制框架中的IT内部控制,管理层评价和审计人员审计内部控制中对IT内部控制的处理方法。

二、内部控制与会计信息质量的关系

国际公认的内部控制框架是美国的COSO(Committee of Sponsoring Organizations of the Treadway Commission)委员会于1992年发布的内部控制整体框架(COSO框架)。COSO认为内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证的过程。它由控制环境、风险评估、控制活动、信息与沟通和监控五个要素组成。近年来,以安然、世通为代表的一系列特大财务舞弊事件在全球范围内蔓延,给投资者和债权人造成了巨大的损失,这表明以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥有效的作用。美国Treadway委员会(1985年成立的反虚假财务报告委员会)在调查中发现,内部控制存在缺陷和内部控制的缺失是影响会计信息质量,产生财务报告舞弊的重要原因,而且将近50%的财务舞弊事件可以全部或部分归咎于公司内部控制失败。因此,内部控制对于降低舞弊行为,保障会计信息质量具有重要的意义。

在日本的意见书中,将内部控制定义为为实现四个目标(经营的有效性和效率性;财务报告的可靠性;与经营活动相关的法律法规的遵守;资产的保全),由组织内部所有人员执行的程序。内部控制由控制环境、风险的评价与应对、控制活动、信息与沟通、监控以及IT的应对六项基本要素构成。其中,将为确保财务报告的可靠性的内部控制定义为财务报告内部控制,将财务报告内部控制的有效性定义为某一内部控制根据合理的内部控制框架予以构建和运行,且该内部控制不存在重大缺陷。与COSO框架相比,日本的内部控制定义在内部控制的目的中加上了“资产的保全”,在基本要素中加入了“IT的应对”。将资产的保全列为企业的目标之一,重在强调资产的取得、使用和处置必须通过正当的程序和授权,这将大大有利于会计信息质量的提高。考虑到自从COSO框架发布以后,随着IT环境的迅速发展,IT已经广泛和深入地渗透到企业的组织中的实际情况,日本将IT的对应作为内部控制的一个基本要素。相对于COSO框架,日本内部控制框架表述更加严密,更能适应经济环境的发展变化以及日本企业的实际。在信息系统中使用IT的情况下,信息通常由各种业务系统进行处理和提供,这些信息反映于会计系统之中。因此,管理层有必要对确保这些业务系统和会计系统所生成财务信息的可靠性的内部控制进行评价。审计人员也有必要对管理层评价的内部控制进行审核。

三、内部控制框架中与IT相关的内部控制

在前述意见书中,IT的应对作为内部控制的一个基本要素而出现。意见书中将IT的应对定义为为实现组织的目标事先规定合理的政策及程序,根据这些政策和程序,在业务实施中对组织内外的信息技术进行合理的应对。IT的应对,由IT环境的应对和IT的使用与控制组成。所谓IT环境的应对,是指组织活动中必然相关的组织内外的信息技术利用状况,社会和市场中信息技术使用情况、组织进行交易中信息技术使用情况,以及组织选择依存的一系列信息技术的状况等。这主要是强调为实现目标,组织有必要对其所处的IT环境进行了解,在组织范围内制定合理的政策和手续,并为落实这些规定和手续进行合理的应对。而IT的使用与控制是指在组织内部,对为确保内部控制的其他基本要素的有效性且高效地利用信息技术,以及在组织内系统地包含于业务之中的以各种形式利用的信息技术,事先制定合理的政策和手续,使内部控制的其他基本要素更有效地发挥功能。作为内部控制的一个基本要素,意见书指出,IT的应对不是独立于内部控制的其他要素而存在的,但组织的业务内容在较大程度上依赖于信息技术的情况或在组织的信息系统高度运用信息技术等情况下,作为实现内部控制目标来说是不可缺少的要素,它是内部控制有效性相关的判断标尺。但无论是IT环境的应对还是IT的使用与控制,都与内部控制的其他基本要素存在着密不可分的关系,都应将它们与内部控制的其他基本要素作为一个整体进行评价。因此,IT的应对在内部控制框架中的体现是日本信息技术的飞跃发展对组织产生深刻影响的产物,IT内部控制是日本内部控制框架的一个重要特征。

四、管理层对IT内部控制的评价

在管理层评估内部控制有效性时,与美国相似,日本也采用自上而下的以风险为基础的方法。即首先评估对财务报告可信性有实质性影响的公司层内部控制,同时充分评估企业内外的风险并考虑整体上可能对财务报告有重大影响的所有事件。在此基础上再评估业务层的控制,主要侧重可能导致财务报告中重大错报的风险的评估。与美国不同的是,意见书的实施准则部分明确规定由管理层评估使用IT的控制是评估业务水平控制的一项重要内容。实施准则从以下四个方面对使用IT的内部控制进行评价:一是使用IT的内部控制的评价。在这一内部控制中,既包括计算机程序之中的自动化的内部控制,也包括手工操作与计算机处理为一体发挥职能的内部控制。二是评价范围的决定。三是评价单位的认定。四是使用IT的内部控制的构建状况和运行状况有效性的评价。具体地说,IT的控制评价分为IT总体控制的评价和IT业务处理控制的评价。其中,IT总体控制是为确保业务处理控制有效地发挥职能的环境而进行的控制活动,通常是指与多数业务过程控制有关的政策和程序。IT业务处理控制是指为确保所有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控制活动。实施准则列举了评估IT总体控制的设计和运行有效性的具体实例,如系统的开发和维护、系统的运用和管理、系统安全性的确保、委托加工物资的契约管理等。关于评估IT业务处理控制的设计和运行的有效性,实施准则也列示了考虑的要点,包括关于录入信息的完整性、正确性、正当性等确保的控制,错误的修正和再处理,主要数据的维护和管理等。

在管理层对内部控制有效性的判断中,实施准则对IT相关的内部控制有效性的判断专门作出规定。在IT相关的总体控制存在缺陷的情况下,应当检查采用替代的或补充的其他内部控制是否能达到财务报告可靠性的目的。而且IT相关的总体控制的缺陷,由于并不是与财务报告重要事项发生虚假记载风险直接相联系的,不能立即被评价为重大缺陷。但如果IT相关的总体控制存在缺陷,即使IT相关的业务处理控制的构建能有效地发挥功能,也存在不能连续维持其有效运行的可能性,虚假记载发生的风险很高。在IT相关的业务处理控制存在缺陷的情况下,与业务层的内部控制存在的情况相同,应当对其影响程度和发生的可能性进行评价。当手工操作与信息技术成为一体发挥功能的内部控制存在缺陷时,管理层应具体认定缺陷是由手工操作部分产生的还是由IT相关部分产生的。应当注意,在由IT相关的部分产生缺陷的情况下存在着相同种类错误重复发生的可能性。

五、审计人员对IT内部控制的审计

在对内部控制审计时,美国采用直接报告的方式,即由审计人员直接审计和报告财务报告内部控制的有效性。在这种方式下,为审计管理层评估的财务报告内部控制的有效性取得审计证据,审计人员必须计划和实施特定审计程序审计上市公司的内部控制。因此,审计人员和被审单位都要承受过度的负担。然而日本采用只审计管理层对内部控制有效性评估结果的间接报告方式,从而解决了直接审计被审单位内部控制有效性的过度负担的难题。这是日本对财务报告内部控制审计的特点之一。审计人员对管理层进行的内部控制评价的审核也是先审核公司层内部控制的评价,在此基础上再对管理层进行的业务流程相关的内部控制的评价的合理性进行审核。实施准则详细规定了对使用IT的内部控制的评价的审核。主要包括:一是对IT的内部控制的把握。审计人员对于使用手工操作进行控制的部分实施业务流程相关的内部控制评价的审核;对于使用IT进行控制的部分,通过以下对IT相关的总体控制和业务处理控制评价的审核进行验证。二是IT相关的总体控制评价的审核。实施准则详细规定了对系统的开发和维护、系统的运用和管理,系统安全性的确保、委托加工物资的契约管理等各方面审核时应当关注的要点。三是IT相关的业务处理控制评价的审核。实施准则规定了审计人员应当遵循以下手续进行审核:首先通过阅读系统设计书等对企业所期望的会计处理系统的设计进行确认;同时列示了具体的评价项目,包括是否采取为确保录入信息的安全性、准确性、正当性等的措施;是否对错误数据进行合理修订和再修订等。四是利用IT专家。利用专家时,审计人员不仅要对专家是否拥有IT方面的知识进行考虑,而且要对其是否拥有信息系统相关的财务报告产生重要影响的风险评估所必需的知识等进行考虑,同时对该专家的业务是否具有充分的客观性也应进行考虑。在发现使用IT的内部控制相关的IT总体控制的缺陷时,要求立即对其进行完善。因为IT的总体控制是为了保证IT相关的业务处理控制有效地发挥功能的环境而进行的控制活动,如果总体控制存在缺陷,即使为使业务处理控制有效的发挥功能而进行构建,也存在着不能连续维持其有效运行的可能性。但是,由于IT总体控制的缺陷本身并不一定是直接与财务报告重要事项虚假记载发生风险相联系的,如果能够验证业务处理控制现在能有效地发挥功能,就不能因总体控制的缺陷而立即将其评价为重大缺陷。这与管理层评价IT相关的内部控制的有效性的原则相同。

六、结论与建议

近年来,我国证券市场的财务欺诈事件愈演愈烈,这使内部控制的有效性问题得到空前的重视。1997年1月开始实行的《独立审计准则第9号 内部控制与审计准则》、1999年10月通过的《中华人民共和国会计法》、2002年中注协颁布的《内部控制审核指导意见》等,无不证明了我国在评估和审计内部控制的有效性方面取得了重大成就。特别是2008年6月28日财政部、证监会、审计署、银监会、保监会联合发布了我国第一部《企业内部控制基本规范》,这标志着中国版的“萨奥法案”已正式启动。在基本规范中提出我国内部控制的基本要素包括内部环境、风险评估、控制活动、信息与沟通和内部监督五项,并没有包括IT内部控制要素。随着信息技术的高度发展,组织的业务内容在很大程度上依赖于信息技术,组织的信息系统与IT高度结合,使很多组织离开信息技术就不能进行业务活动。因此,在业务的处理过程中对企业内外IT采取适当的应对理应成为企业实现内部控制目标必不可少的内容。而日本率先顺应了这种趋势,以准则的形式将IT的应对作为内部控制的一个基本要素,并制订了与IT内部控制相关的管理层评估和审计人员审计财务报告内部控制的具体措施,可供我国完善企业内部控制基本规范借鉴。

【主要参考文献】

[1] 日本金融厅企业会计审议会.关于财务报告内部控制评估与审计准则以及财务报告内部控制评估与审计实施准则的制定(意见书)[D].2007.(日语).

[2] 财政部,证监会,审计署,银监会,保监会.企业内部控制基本规范[D].2008.

[3] U.S. House of Representatives,Committee on Financial Services 2002,Sarbanes-Oxley Act of 2002 [D].2002.

[4] Committee of Sponsoring Organizations of Treadway Commission 1992,Internal Control Integrated Framework,Committee of Sponsoring Organizations of Treadway Commission[D].1992.