日本IT内部控制评价及审计.docVIP

日本IT内部控制评价及审计【摘要】目前企业的经营活动对信息技术（IT）的依赖越来越大，使得在业务处理中对企业内外IT采取适当的应对成为企业实现内部控制目标必不可少的内容。2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定（意见书）》，旨在对财务报告内部控制的评价与审计体系进行规范并对其实施提供具体操作指南。其中一项重要的内容就是对使用IT的内部控制进行评价与审计。本文主要介绍日本IT内部控制的评价与审计规范，以期对我国内部控制制度的完善提供借鉴。 【关键词】财务报告内部控制；IT内部控制；评价与审计 一、引言 安然、世通等财务舞弊和会计造假案件的发生，严重冲击了资本市场的正常秩序。结果表明，内部控制存在缺陷是导致企业经营失败并最终铤而走险、欺骗投资者和社会公众的重要原因。为此，许多国家通过立法强化企业内部控制，2002年7月美国总统签署了《萨班斯-奥克斯利法案》，日本在2006年6月出台了《金融商品交易法》，我国也在2008年6月发布了《企业内部控制基本规范》，标志着强化内部控制在全球范围内达到新高潮。这些法律法规的核心内容要求上市公司管理层必须对财务报告内部控制进行评估并提交内部控制报告。审计人员对管理层评估的财务报告内部控制进行审核后发表恰当审计意见。 目前企业的业务内容对IT依赖越来越大，组织的信息系统与IT高度结合，使得在业务处理过程中对企业内外IT采取适当应对成为企业实现内部控制目标必不可少的内容。作为《金融商品交易法》中内部控制的具体操作指南，2007年2月日本企业会计审议会发布了《关于财务报告内部控制评价与审计准则及其实施准则的制定（意见书）》（简称意见书）。主要包括内部控制的基本框架，财务报告内部控制评价与审计准则（准则）及财务报告内部控制评价与审计实施准则（实施准则）三部分内容。其核心要求上市公司管理层从2008年4月1日开始的会计年度必须对财务报告内部控制进行评估并提交内部控制报告，并由审计人员进行审核。意见书中，将IT的对应作为内部控制的基本要素，要求对组织内外IT环境和IT的使用和控制与内部控制的其他要素作为整体进行评价。本文在阐述内部控制与会计信息质量关系的基础上，介绍内部控制框架中的IT内部控制，管理层评价和审计人员审计内部控制中对IT内部控制的处理方法。 二、内部控制与会计信息质量的关系 国际公认的内部控制框架是美国COSO（Committee of Sponsoring Organizations of the Treadway Commission）委员会于2004年10月发布的企业风险管理(Enterprise Risk Management，ERM)框架。COSO认为ERM框架对内部控制的定义明确了以下内容：(1)是一个过程；(2)被人影响；(3)应用于战略制定；(4)贯穿整个企业的所有层级和单位；(5)旨在识别影响组织的事件并在组织的风险偏好范围内管理风险；(6)合理保证；(7)为了实现各类目标。近年，以安然、世通为代表的系列财务舞弊事件的蔓延，给投资者和债权人造成巨大损失，表明以确保信息披露制度可靠性为目的的企业内部控制制度并没有发挥有效作用。美国Treadway委员会在调查中发现，内部控制存在缺陷是影响会计信息质量，产生财务报告舞弊的重要原因，将近50%的财务舞弊事件可归咎于公司内部控制失败。因此，内部控制对于降低舞弊行为，保障会计信息质量具有重要意义。 日本的意见书中，将内部控制定义为为实现四个目标（经营的有效性和效率性；财务报告的可靠性；与经营活动相关的法律法规的遵守；资产的保全），由组织内部所有人员执行的程序。内部控制由控制环境、风险评价与应对、控制活动、信息与沟通、监控及IT的应对六项要素构成。其中，将为确保财务报告可靠性的内部控制定义为财务报告内部控制，将财务报告内部控制的有效性定义为某内部控制根据合理的内部控制框架予以构建和运行，且该内部控制不存在重大缺陷。与COSO框架相比，日本的内部控制定义在内部控制的目的中加上了“资产的保全”，在基本要素中加入了“IT的应对”。将资产保全列为企业目标之一，强调资产取得、使用和处置必须通过正当程序和授权，有利于提高会计信息质量。考虑到从COSO框架发布后，随着IT环境迅速发展，IT深入渗透到企业，日本将IT的对应作为内部控制的基本要素。相对COSO框架，日本内部控制框架表述更严密，更能适应经济环境的发展及日本企业实际。因此，管理层有必要对确保这些业务系统和会计系统所生成财务信息可靠性的内部控制进行评价。审计人员也有必要对管理层评价的内部控制进行审核。 三、内部控制框架中与IT相关的内部控制 意见书中，IT的应对作为内部控制的基本要素出现。意