日本I T内部控制的评价与审计【摘要】目前企业的经营活动对信息技术(IT)的依赖越来越大, 使得在业务的处理过程中对企业内外IT采取适当的应对成为企业实 现内部控制目标必不可少的内容2007年2月日本企业会计审议会 发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定 (意见书)》,旨在对财务报告内部控制的评价与审计体系进行规范并 对其实施提供具体操作指南其中一项非常重要的内容就是对使用IT 的内部控制进行评价与审计本文主要介绍日本IT内部控制的评价 与审计规范,以期对我国内部控制制度的完善提供借鉴关键词】财务报告内部控制;IT内部控制;评价与审计引言安然、世通等财务舞弊和会计造假案件的发生,严重冲击了资本 市场的正常秩序结果表明,内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因为此,许多国 家通过立法强化企业内部控制,2002年7月美国总统布什签署了《萨 班斯-奥克斯利法案》,日本在2006年6月出台了《金融商品交易法》, 而我国也在2008年6月发布了《企业内部控制基本规范》,这标志 着强化内部控制在全球范围内将达到新的高潮这些法律法规的核心 内容是要求所有上市公司的管理层必须对财务报告内部控制进行评 估并编制和提交内部控制报告。
审计人员对管理层评估的财务报告内 部控制进行审核后发表恰当的审计意见目前企业的业务内容对IT的依赖越来越大,组织的信息系统与IT 高度结合,使得在业务的处理过程中对企业内外IT采取适当的应对 成为企业实现内部控制目标必不可少的内容作为《金融商品交易法》 中内部控制的具体操作指南,2007年2月日本企业会计审议会发布 了《关于财务报告内部控制评价与审计准则及其实施准则的制定(意 见书)》(简称意见书)主要包括内部控制的基本框架,财务报告内 部控制评价与审计准则(准则)以及财务报告内部控制评价与审计实 施准则(实施准则)三部分内容其核心是要求所有上市公司的管理 层从2008年4月1日开始或以后的会计年度必须对财务报告内部 控制进行评估并编制和提交内部控制报告,并由审计人员进行审核 意见书中,将IT的对应作为内部控制的一个基本要素,要求对组织 内外IT环境和IT的使用和控制与内部控制的其他要素作为一个整体 进行评价这是日本评估和审计财务报告内部控制的一个重要特征 本文在阐述内部控制与会计信息质量关系的基础上,介绍内部控制框 架中的IT内部控制,管理层评价和审计人员审计内部控制中对IT内 部控制的处理方法。
二、内部控制与会计信息质量的关系国际公认的内部控制框架是美国的COSO (Committee ofSponsoring Organizations of the Treadway Commission) 委员 会于1992年发布的内部控制整体框架(COSO框架)COSO认为 内部控制是由董事、管理层及其他人员在公司内进行的,旨在为经营 的有效性、财务报告的可靠性、适用法律法规的遵循性提供合理保证 的过程它由控制环境、风险评估、控制活动、信息与沟通和监控五 个要素组成近年来,以安然、世通为代表的一系列特大财务舞弊事 件在全球范围内蔓延,给投资者和债权人造成了巨大的损失,这表明 以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥 有效的作用美国Treadway委员会(1985年成立的反虚假财务报 告委员会)在调查中发现,内部控制存在缺陷和内部控制的缺失是影 响会计信息质量,产生财务报告舞弊的重要原因,而且将近50%的 财务舞弊事件可以全部或部分归咎于公司内部控制失败因此,内部 控制对于降低舞弊行为,保障会计信息质量具有重要的意义1!在日本的意见书中,将内部控制定义为为实现四个目标(经营的 有效性和效率性;财务报告的可靠性;与经营活动相关的法律法规的 遵守;资产的保全),由组织内部所有人员执行的程序。
内部控制由 控制环境、风险的评价与应对、控制活动、信息与沟通、监控以及IT 的应对六项基本要素构成其中,将为确保财务报告的可靠性的内部 控制定义为财务报告内部控制,将财务报告内部控制的有效性定义为 某一内部控制根据合理的内部控制框架予以构建和运行,且该内部控 制不存在重大缺陷与COSO框架相比,日本的内部控制定义在内 部控制的目的中加上了 “资产的保全”,在基本要素中加入了 “IT 的应对”将资产的保全列为企业的目标之一,重在强调资产的取得、 使用和处置必须通过正当的程序和授权,这将大大有利于会计信息质 量的提高考虑到自从cos框架发布以后,随着IT环境的迅速发 展,IT已经广泛和深入地渗透到企业的组织中的实际情况,日本将IT的对应作为内部控制的一个基本要素相对于COSO框架,日本内部控制框架表述更加严密,更能适应经济环境的发展变化以及日本 企业的实际在信息系统中使用IT的情况下,信息通常由各种业务 系统进行处理和提供,这些信息反映于会计系统之中因此,管理层 有必要对确保这些业务系统和会计系统所生成财务信息的可靠性的 内部控制进行评价审计人员也有必要对管理层评价的内部控制进行 审核三、内部控制框架中与IT相关的内部控制在前述意见书中,IT的应对作为内部控制的一个基本要素而出现。
意见书中将IT的应对定义为为实现组织的目标事先规定合理的政策 及程序,根据这些政策和程序,在业务实施中对组织内外的信息技术 进行合理的应对IT的应对,由IT环境的应对和IT的使用与控制组 成所谓IT环境的应对,是指组织活动中必然相关的组织内外的信 息技术利用状况,社会和市场中信息技术使用情况、组织进行交易中 信息技术使用情况,以及组织选择依存的一系列信息技术的状况等 这主要是强调为实现目标,组织有必要对其所处的IT环境进行了解, 在组织范围内制定合理的政策和手续,并为落实这些规定和手续进行�合理的应对而IT的使用与控制是指在组织内部,对为确保内部控 制的其他基本要素的有效性且高效地利用信息技术,以及在组织内系 统地包含于业务之中的以各种形式利用的信息技术,事先制定合理的 政策和手续,使内部控制的其他基本要素更有效地发挥功能作为内 部控制的一个基本要素,意见书指出,IT的应对不是独立于内部控 制的其他要素而存在的,但组织的业务内容在较大程度上依赖于信息 技术的情况或在组织的信息系统高度运用信息技术等情况下,作为实 现内部控制目标来说是不可缺少的要素,它是内部控制有效性相关的 判断标尺但无论是IT环境的应对还是IT的使用与控制,都与内部 控制的其他基本要素存在着密不可分的关系,都应将它们与内部控制 的其他基本要素作为一个整体进行评价。
因此,IT的应对在内部控 制框架中的体现是日本信息技术的飞跃发展对组织产生深刻影响的 产物,IT内部控制是日本内部控制框架的一个重要特征1!I、管理层对IT内部控制的评价在管理层评估内部控制有效性时,与美国相似,日本也采用自上 而下的以风险为基础的方法即首先评估对财务报告可信性有实质性 影响的公司层内部控制,同时充分评估企业内外的风险并考虑整体上 可能对财务报告有重大影响的所有事件在此基础上再评估业务层的 控制,主要侧重可能导致财务报告中重大错报的风险的评估与美国 不同的是,意见书的实施准则部分明确规定由管理层评估使用IT的 控制是评估业务水平控制的一项重要内容实施准则从以下四个方面 对使用IT的内部控制进行评价:一是使用IT的内部控制的评价在 这一内部控制中,既包括计算机程序之中的自动化的内部控制,也包 括手工操作与计算机处理为一体发挥职能的内部控制二是评价范围!1!的决定三是评价单位的认定四是使用IT的内部控制的构建状况 和运行状况有效性的评价具体地说,IT的控制评价分为IT总体控 制的评价和IT业务处理控制的评价其中,IT总体控制是为确保业 务处理控制有效地发挥职能的环境而进行的控制活动,通常是指与多 数业务过程控制有关的政策和程序。
IT业务处理控制是指为确保所 有经过授权的经济活动在企业业务管理系统中正确的处理、记录的控 制活动实施准则列举了评估IT总体控制的设计和运行有效性的具 体实例,如系统的开发和维护、系统的运用和管理、系统安全性的确 保、委托加工物资的契约管理等关于评估IT业务处理控制的设计 和运行的有效性,实施准则也列示了考虑的要点,包括关于录入信息 的完整性、正确性、正当性等确保的控制,错误的修正和再处理,主 要数据的维护和管理等 上一页12下一页在管理层对内部控制有效性的判断中,实施准则对IT相关的内部 控制有效性的判断专门作出规定在IT相关的总体控制存在缺陷的 情况下,应当检查采用替代的或补充的其他内部控制是否能达到财务 报告可靠性的目的而且IT相关的总体控制的缺陷,由于并不是与 财务报告重要事项发生虚假记载风险直接相联系的,不能立即被评价 为重大缺陷但如果IT相关的总体控制存在缺陷,即使IT相关的业 务处理控制的构建能有效地发挥功能,也存在不能连续维持其有效运 行的可能性,虚假记载发生的风险很高在IT相关的业务处理控制 存在缺陷的情况下,与业务层的内部控制存在的情况相同,应当对其 影响程度和发生的可能性进行评价。
当手工操作与信息技术成为一体 发挥功能的内部控制存在缺陷时,管理层应具体认定缺陷是由手工操 作部分产生的还是由IT相关部分产生的应当注意,在由IT相关的 部分产生缺陷的情况下存在着相同种类错误重复发生的可能性五、审计人员对IT内部控制的审计在对内部控制审计时,美国采用直接报告的方式,即由审计人员 直接审计和报告财务报告内部控制的有效性在这种方式下,为审计 管理层评估的财务报告内部控制的有效性取得审计证据,审计人员必 须计划和实施特定审计程序审计上市公司的内部控制因此,审计人 员和被审单位都要承受过度的负担然而日本采用只审计管理层对内 部控制有效性评估结果的间接报告方式,从而解决了直接审计被审单 位内部控制有效性的过度负担的难题这是日本对财务报告内部控制 审计的特点之一审计人员对管理层进行的内部控制评价的审核也是 先审核公司层内部控制的评价,在此基础上再对管理层进行的业务流 程相关的内部控制的评价的合理性进行审核实施准则详细规定了对 使用IT的内部控制的评价的审核主要包括:一是对IT的内部控制 的把握审计人员对于使用手工操作进行控制的部分实施业务流程相 关的内部控制评价的审核;对于使用IT进行控制的部分,通过以下 对IT相关的总体控制和业务处理控制评价的审核进行验证。
二是IT 相关的总体控制评价的审核实施准则详细规定了对系统的开发和维 护、系统的运用和管理,系统安全性的确保、委托加工物资的契约管 理等各方面审核时应当关注的要点三是IT相关的业务处理控制评 价的审核实施准则规定了审计人员应当遵循以下手续进行审核:首 先通过阅读系统设计书等对企业所期望的会计处理系统的设计进行 确认;同时列示了具体的评价项目,包括是否采取为确保录入信息的 安全性、准确性、正当性等的措施;是否对错误数据进行合理修订和 再修订等四是利用IT专家利用专家时,审计人员不仅要对专家 是否拥有IT方面的知识进行考虑,而且要对其是否拥有信息系统相 关的财务报告产生重要影响的风险评估所必需的知识等进行考虑,同 时对该专家的业务是否具有充分的客观性也应进行考虑在发现使用 IT的内部控制相关的IT总体控制的缺陷时,要求立即对其进行完善 因为IT的总体控制是为了保证IT相关的业务处理控制有效地发挥功 能的环境而进行的控制活动,如果总体控制存在缺陷,即使为使业务 处理控制有效的发挥功能而进行构建,也存在着不能连续维持其有效 运行的可能性但是,由于IT总体控制的缺陷本身并不一定是直接 与财务报告重要事项虚假记载发生风险相联系的,如果能够验证业务 处理控制现在能有效地发挥功能,就不能因总体控制的缺陷而立即将 其。