【摘 要】目前企業(yè)的經(jīng)營活動對信息技術（IT）的依賴越來越大，使得在業(yè)務的處理過程中對企業(yè)內(nèi)外IT采取適當?shù)膽獙Τ蔀槠髽I(yè)實現(xiàn)內(nèi)部控制目標必不可少的內(nèi)容。2007年2月日本企業(yè)會計審議會發(fā)布了《關于財務報告內(nèi)部控制評價與審計準則及其實施準則的制定（意見書）》，旨在對財務報告內(nèi)部控制的評價與審計體系進行規(guī)范并對其實施提供具體操作指南。其中一項非常重要的內(nèi)容就是對使用IT的內(nèi)部控制進行評價與審計。本文主要介紹日本IT內(nèi)部控制的評價與審計規(guī)范，以期對我國內(nèi)部控制制度的完善提供借鑒。

　　【關鍵詞】財務報告內(nèi)部控制； IT內(nèi)部控制； 評價與審計

　　一、引言

　　安然、世通等財務舞弊和會計造假案件的發(fā)生，嚴重沖擊了資本市場的正常秩序。結(jié)果表明，內(nèi)部控制存在缺陷是導致企業(yè)經(jīng)營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。為此，許多國家通過立法強化企業(yè)內(nèi)部控制，2002年7月美國總統(tǒng)布什簽署了《薩班斯-奧克斯利法案》，日本在2006年6月出臺了《金融商品交易法》，而我國也在2008年6月發(fā)布了《企業(yè)內(nèi)部控制基本規(guī)范》，這標志著強化內(nèi)部控制在全球范圍內(nèi)將達到新的高潮。這些法律法規(guī)的核心內(nèi)容是要求所有上市公司的管理層必須對財務報告內(nèi)部控制進行評估并編制和提交內(nèi)部控制報告。審計人員對管理層評估的財務報告內(nèi)部控制進行審核后發(fā)表恰當?shù)膶徲嬕庖姟?

　　目前企業(yè)的業(yè)務內(nèi)容對IT的依賴越來越大，組織的信息系統(tǒng)與IT高度結(jié)合，使得在業(yè)務的處理過程中對企業(yè)內(nèi)外IT采取適當?shù)膽獙Τ蔀槠髽I(yè)實現(xiàn)內(nèi)部控制目標必不可少的內(nèi)容。作為《金融商品交易法》中內(nèi)部控制的具體操作指南，2007年2月日本企業(yè)會計審議會發(fā)布了《關于財務報告內(nèi)部控制評價與審計準則及其實施準則的制定（意見書）》（簡稱意見書）。主要包括內(nèi)部控制的基本框架，財務報告內(nèi)部控制評價與審計準則（準則）以及財務報告內(nèi)部控制評價與審計實施準則（實施準則）三部分內(nèi)容。其核心是要求所有上市公司的管理層從2008年4月1日開始或以后的會計年度必須對財務報告內(nèi)部控制進行評估并編制和提交內(nèi)部控制報告，并由審計人員進行審核。意見書中，將IT的對應作為內(nèi)部控制的一個基本要素，要求對組織內(nèi)外IT環(huán)境和IT的使用和控制與內(nèi)部控制的其他要素作為一個整體進行評價。這是日本評估和審計財務報告內(nèi)部控制的一個重要特征。本文在闡述內(nèi)部控制與會計信息質(zhì)量關系的基礎上，介紹內(nèi)部控制框架中的IT內(nèi)部控制，管理層評價和審計人員審計內(nèi)部控制中對IT內(nèi)部控制的處理方法。

　　二、內(nèi)部控制與會計信息質(zhì)量的關系

　　國際公認的內(nèi)部控制框架是美國的COSO（Committee of Sponsoring Organizations of the Treadway Commission）委員會于1992年發(fā)布的內(nèi)部控制整體框架（COSO框架）。COSO認為內(nèi)部控制是由董事、管理層及其他人員在公司內(nèi)進行的，旨在為經(jīng)營的有效性、財務報告的可靠性、適用法律法規(guī)的遵循性提供合理保證的過程。它由控制環(huán)境、風險評估、控制活動、信息與溝通和監(jiān)控五個要素組成。近年來，以安然、世通為代表的一系列特大財務舞弊事件在全球范圍內(nèi)蔓延，給投資者和債權(quán)人造成了巨大的損失，這表明以確保信息披露制度可靠性為目的的企業(yè)內(nèi)部控制制度并沒有發(fā)揮有效的作用。美國Treadway委員會（1985年成立的反虛假財務報告委員會）在調(diào)查中發(fā)現(xiàn)，內(nèi)部控制存在缺陷和內(nèi)部控制的缺失是影響會計信息質(zhì)量，產(chǎn)生財務報告舞弊的重要原因，而且將近50％的財務舞弊事件可以全部或部分歸咎于公司內(nèi)部控制失敗。因此，內(nèi)部控制對于降低舞弊行為，保障會計信息質(zhì)量具有重要的意義。

　　在日本的意見書中，將內(nèi)部控制定義為為實現(xiàn)四個目標（經(jīng)營的有效性和效率性；財務報告的可靠性；與經(jīng)營活動相關的法律法規(guī)的遵守；資產(chǎn)的保全），由組織內(nèi)部所有人員執(zhí)行的程序。內(nèi)部控制由控制環(huán)境、風險的評價與應對、控制活動、信息與溝通、監(jiān)控以及IT的應對六項基本要素構(gòu)成。其中，將為確保財務報告的可靠性的內(nèi)部控制定義為財務報告內(nèi)部控制，將財務報告內(nèi)部控制的有效性定義為某一內(nèi)部控制根據(jù)合理的內(nèi)部控制框架予以構(gòu)建和運行，且該內(nèi)部控制不存在重大缺陷。與COSO框架相比，日本的內(nèi)部控制定義在內(nèi)部控制的目的中加上了“資產(chǎn)的保全”，在基本要素中加入了“IT的應對”。將資產(chǎn)的保全列為企業(yè)的目標之一，重在強調(diào)資產(chǎn)的取得、使用和處置必須通過正當?shù)某绦蚝褪跈?quán)，這將大大有利于會計信息質(zhì)量的提高?？紤]到自從COSO框架發(fā)布以后，隨著IT環(huán)境的迅速發(fā)展，IT已經(jīng)廣泛和深入地滲透到企業(yè)的組織中的實際情況，日本將IT的對應作為內(nèi)部控制的一個基本要素。相對于COSO框架，日本內(nèi)部控制框架表述更加嚴密，更能適應經(jīng)濟環(huán)境的發(fā)展變化以及日本企業(yè)的實際。在信息系統(tǒng)中使用IT的情況下，信息通常由各種業(yè)務系統(tǒng)進行處理和提供，這些信息反映于會計系統(tǒng)之中。因此，管理層有必要對確保這些業(yè)務系統(tǒng)和會計系統(tǒng)所生成財務信息的可靠性的內(nèi)部控制進行評價。審計人員也有必要對管理層評價的內(nèi)部控制進行審核。

　　三、內(nèi)部控制框架中與IT相關的內(nèi)部控制

　　在前述意見書中，IT的應對作為內(nèi)部控制的一個基本要素而出現(xiàn)。意見書中將IT的應對定義為為實現(xiàn)組織的目標事先規(guī)定合理的政策及程序，根據(jù)這些政策和程序，在業(yè)務實施中對組織內(nèi)外的信息技術進行合理的應對。IT的應對，由IT環(huán)境的應對和IT的使用與控制組成。所謂IT環(huán)境的應對，是指組織活動中必然相關的組織內(nèi)外的信息技術利用狀況，社會和市場中信息技術使用情況、組織進行交易中信息技術使用情況，以及組織選擇依存的一系列信息技術的狀況等。這主要是強調(diào)為實現(xiàn)目標，組織有必要對其所處的IT環(huán)境進行了解，在組織范圍內(nèi)制定合理的政策和手續(xù)，并為落實這些規(guī)定和手續(xù)進行合理的應對。而IT的使用與控制是指在組織內(nèi)部，對為確保內(nèi)部控制的其他基本要素的有效性且高效地利用信息技術，以及在組織內(nèi)系統(tǒng)地包含于業(yè)務之中的以各種形式利用的信息技術，事先制定合理的政策和手續(xù)，使內(nèi)部控制的其他基本要素更有效地發(fā)揮功能。作為內(nèi)部控制的一個基本要素，意見書指出，IT的應對不是獨立于內(nèi)部控制的其他要素而存在的，但組織的業(yè)務內(nèi)容在較大程度上依賴于信息技術的情況或在組織的信息系統(tǒng)高度運用信息技術等情況下，作為實現(xiàn)內(nèi)部控制目標來說是不可缺少的要素，它是內(nèi)部控制有效性相關的判斷標尺。但無論是IT環(huán)境的應對還是IT的使用與控制，都與內(nèi)部控制的其他基本要素存在著密不可分的關系，都應將它們與內(nèi)部控制的其他基本要素作為一個整體進行評價。因此，IT的應對在內(nèi)部控制框架中的體現(xiàn)是日本信息技術的飛躍發(fā)展對組織產(chǎn)生深刻影響的產(chǎn)物，IT內(nèi)部控制是日本內(nèi)部控制框架的一個重要特征。

　　四、管理層對IT內(nèi)部控制的評價

　　在管理層評估內(nèi)部控制有效性時，與美國相似，日本也采用自上而下的以風險為基礎的方法。即首先評估對財務報告可信性有實質(zhì)性影響的公司層內(nèi)部控制，同時充分評估企業(yè)內(nèi)外的風險并考慮整體上可能對財務報告有重大影響的所有事件。在此基礎上再評估業(yè)務層的控制，主要側(cè)重可能導致財務報告中重大錯報的風險的評估。與美國不同的是，意見書的實施準則部分明確規(guī)定由管理層評估使用IT的控制是評估業(yè)務水平控制的一項重要內(nèi)容。實施準則從以下四個方面對使用IT的內(nèi)部控制進行評價：一是使用IT的內(nèi)部控制的評價。在這一內(nèi)部控制中，既包括計算機程序之中的自動化的內(nèi)部控制，也包括手工操作與計算機處理為一體發(fā)揮職能的內(nèi)部控制。二是評價范圍的決定。三是評價單位的認定。四是使用IT的內(nèi)部控制的構(gòu)建狀況和運行狀況有效性的評價。具體地說，IT的控制評價分為IT總體控制的評價和IT業(yè)務處理控制的評價。其中，IT總體控制是為確保業(yè)務處理控制有效地發(fā)揮職能的環(huán)境而進行的控制活動，通常是指與多數(shù)業(yè)務過程控制有關的政策和程序。IT業(yè)務處理控制是指為確保所有經(jīng)過授權(quán)的經(jīng)濟活動在企業(yè)業(yè)務管理系統(tǒng)中正確的處理、記錄的控制活動。實施準則列舉了評估IT總體控制的設計和運行有效性的具體實例，如系統(tǒng)的開發(fā)和維護、系統(tǒng)的運用和管理、系統(tǒng)安全性的確保、委托加工物資的契約管理等。關于評估IT業(yè)務處理控制的設計和運行的有效性，實施準則也列示了考慮的要點，包括關于錄入信息的完整性、正確性、正當性等確保的控制，錯誤的修正和再處理，主要數(shù)據(jù)的維護和管理等。

　　在管理層對內(nèi)部控制有效性的判斷中，實施準則對IT相關的內(nèi)部控制有效性的判斷專門作出規(guī)定。在IT相關的總體控制存在缺陷的情況下，應當檢查采用替代的或補充的其他內(nèi)部控制是否能達到財務報告可靠性的目的。而且IT相關的總體控制的缺陷，由于并不是與財務報告重要事項發(fā)生虛假記載風險直接相聯(lián)系的，不能立即被評價為重大缺陷。但如果IT相關的總體控制存在缺陷，即使IT相關的業(yè)務處理控制的構(gòu)建能有效地發(fā)揮功能，也存在不能連續(xù)維持其有效運行的可能性，虛假記載發(fā)生的風險很高。在IT相關的業(yè)務處理控制存在缺陷的情況下，與業(yè)務層的內(nèi)部控制存在的情況相同，應當對其影響程度和發(fā)生的可能性進行評價。當手工操作與信息技術成為一體發(fā)揮功能的內(nèi)部控制存在缺陷時，管理層應具體認定缺陷是由手工操作部分產(chǎn)生的還是由IT相關部分產(chǎn)生的。應當注意，在由IT相關的部分產(chǎn)生缺陷的情況下存在著相同種類錯誤重復發(fā)生的可能性。

　　五、審計人員對IT內(nèi)部控制的審計

　　在對內(nèi)部控制審計時，美國采用直接報告的方式，即由審計人員直接審計和報告財務報告內(nèi)部控制的有效性。在這種方式下，為審計管理層評估的財務報告內(nèi)部控制的有效性取得審計證據(jù)，審計人員必須計劃和實施特定審計程序?qū)徲嬌鲜泄镜膬?nèi)部控制。因此，審計人員和被審單位都要承受過度的負擔。然而日本采用只審計管理層對內(nèi)部控制有效性評估結(jié)果的間接報告方式，從而解決了直接審計被審單位內(nèi)部控制有效性的過度負擔的難題。這是日本對財務報告內(nèi)部控制審計的特點之一。審計人員對管理層進行的內(nèi)部控制評價的審核也是先審核公司層內(nèi)部控制的評價，在此基礎上再對管理層進行的業(yè)務流程相關的內(nèi)部控制的評價的合理性進行審核。實施準則詳細規(guī)定了對使用IT的內(nèi)部控制的評價的審核。主要包括：一是對IT的內(nèi)部控制的把握。審計人員對于使用手工操作進行控制的部分實施業(yè)務流程相關的內(nèi)部控制評價的審核；對于使用IT進行控制的部分，通過以下對IT相關的總體控制和業(yè)務處理控制評價的審核進行驗證。二是IT相關的總體控制評價的審核。實施準則詳細規(guī)定了對系統(tǒng)的開發(fā)和維護、系統(tǒng)的運用和管理，系統(tǒng)安全性的確保、委托加工物資的契約管理等各方面審核時應當關注的要點。三是IT相關的業(yè)務處理控制評價的審核。實施準則規(guī)定了審計人員應當遵循以下手續(xù)進行審核：首先通過閱讀系統(tǒng)設計書等對企業(yè)所期望的會計處理系統(tǒng)的設計進行確認；同時列示了具體的評價項目，包括是否采取為確保錄入信息的安全性、準確性、正當性等的措施；是否對錯誤數(shù)據(jù)進行合理修訂和再修訂等。四是利用IT專家。利用專家時，審計人員不僅要對專家是否擁有IT方面的知識進行考慮，而且要對其是否擁有信息系統(tǒng)相關的財務報告產(chǎn)生重要影響的風險評估所必需的知識等進行考慮，同時對該專家的業(yè)務是否具有充分的客觀性也應進行考慮。在發(fā)現(xiàn)使用IT的內(nèi)部控制相關的IT總體控制的缺陷時，要求立即對其進行完善。因為IT的總體控制是為了保證IT相關的業(yè)務處理控制有效地發(fā)揮功能的環(huán)境而進行的控制活動，如果總體控制存在缺陷，即使為使業(yè)務處理控制有效的發(fā)揮功能而進行構(gòu)建，也存在著不能連續(xù)維持其有效運行的可能性。但是，由于IT總體控制的缺陷本身并不一定是直接與財務報告重要事項虛假記載發(fā)生風險相聯(lián)系的，如果能夠驗證業(yè)務處理控制現(xiàn)在能有效地發(fā)揮功能，就不能因總體控制的缺陷而立即將其評價為重大缺陷。這與管理層評價IT相關的內(nèi)部控制的有效性的原則相同。

　　六、結(jié)論與建議

　　近年來，我國證券市場的財務欺詐事件愈演愈烈，這使內(nèi)部控制的有效性問題得到空前的重視。1997年1月開始實行的《獨立審計準則第9號 內(nèi)部控制與審計準則》、1999年10月通過的《中華人民共和國會計法》、2002年中注協(xié)頒布的《內(nèi)部控制審核指導意見》等，無不證明了我國在評估和審計內(nèi)部控制的有效性方面取得了重大成就。特別是2008年6月28日財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會聯(lián)合發(fā)布了我國第一部《企業(yè)內(nèi)部控制基本規(guī)范》，這標志著中國版的“薩奧法案”已正式啟動。在基本規(guī)范中提出我國內(nèi)部控制的基本要素包括內(nèi)部環(huán)境、風險評估、控制活動、信息與溝通和內(nèi)部監(jiān)督五項，并沒有包括IT內(nèi)部控制要素。隨著信息技術的高度發(fā)展，組織的業(yè)務內(nèi)容在很大程度上依賴于信息技術，組織的信息系統(tǒng)與IT高度結(jié)合，使很多組織離開信息技術就不能進行業(yè)務活動。因此，在業(yè)務的處理過程中對企業(yè)內(nèi)外IT采取適當?shù)膽獙響蔀槠髽I(yè)實現(xiàn)內(nèi)部控制目標必不可少的內(nèi)容。而日本率先順應了這種趨勢，以準則的形式將IT的應對作為內(nèi)部控制的一個基本要素，并制訂了與IT內(nèi)部控制相關的管理層評估和審計人員審計財務報告內(nèi)部控制的具體措施，可供我國完善企業(yè)內(nèi)部控制基本規(guī)范借鑒。

　　【主要參考文獻】

　　[1] 日本金融廳企業(yè)會計審議會.關于財務報告內(nèi)部控制評估與審計準則以及財務報告內(nèi)部控制評估與審計實施準則的制定（意見書）[D].2007.（日語）.

　　[2] 財政部，證監(jiān)會，審計署，銀監(jiān)會，保監(jiān)會.企業(yè)內(nèi)部控制基本規(guī)范[D].2008.

　　[3] U.S. House of Representatives，Committee on Financial Services 2002，Sarbanes-Oxley Act of 2002 [D].2002.

　　[4] Committee of Sponsoring Organizations of Treadway Commission 1992，Internal Control Integrated Framework，Committee of Sponsoring Organizations of Treadway Commission[D].1992.