日本ＩＴ內部控制的評價與審計

【摘 要】 目前企業的經營活動對信息技術（IT）的依賴越來越大，使得在業務的處理過程中對企業內外IT采取適當的應對成為企業實現內部控制目標必不可少的內容。2007年2月日本企業會計審議會發布了《關于財務報告內部控制評價與審計準則及其實施準則的制定（意見書）》，旨在對財務報告內部控制的評價與審計體系進行規范并對其實施提供具體操作指南。其中一項非常重要的內容就是對使用IT的內部控制進行評價與審計。本文主要介紹日本IT內部控制的評價與審計規范，以期對我國內部控制制度的完善提供借鑒。

【關鍵詞】 財務報告內部控制； IT內部控制； 評價與審計

一、引言

安然、世通等財務舞弊和會計造假案件的發生，嚴重沖擊了資本市場的正常秩序。結果表明，內部控制存在缺陷是導致企業經營失敗并最終鋌而走險、欺騙投資者和社會公眾的重要原因。為此，許多國家通過立法強化企業內部控制，2002年7月美國總統布什簽署了《薩班斯-奧克斯利法案》，日本在2006年6月出臺了《金融商品交易法》，而我國也在2008年6月發布了《企業內部控制基本規范》，這標志著強化內部控制在全球范圍內將達到新的高潮。這些法律法規的核心內容是要求所有上市公司的管理層必須對財務報告內部控制進行評估并編制和提交內部控制報告。審計人員對管理層評估的財務報告內部控制進行審核后發表恰當的審計意見。

目前企業的業務內容對IT的依賴越來越大，組織的信息系統與IT高度結合，使得在業務的處理過程中對企業內外IT采取適當的應對成為企業實現內部控制目標必不可少的內容。作為《金融商品交易法》中內部控制的具體操作指南，2007年2月日本企業會計審議會發布了《關于財務報告內部控制評價與審計準則及其實施準則的制定（意見書）》（簡稱意見書）。主要包括內部控制的基本框架，財務報告內部控制評價與審計準則（準則）以及財務報告內部控制評價與審計實施準則（實施準則）三部分內容。其核心是要求所有上市公司的管理層從2008年4月1日開始或以后的會計年度必須對財務報告內部控制進行評估并編制和提交內部控制報告，并由審計人員進行審核。意見書中，將IT的對應作為內部控制的一個基本要素，要求對組織內外IT環境和IT的使用和控制與內部控制的其他要素作為一個整體進行評價。這是日本評估和審計財務報告內部控制的一個重要特征。本文在闡述內部控制與會計信息質量關系的基礎上，介紹內部控制框架中的IT內部控制，管理層評價和審計人員審計內部控制中對IT內部控制的處理方法。

二、內部控制與會計信息質量的關系

國際公認的內部控制框架是美國的COSO（Committee of Sponsoring Organizations of the Treadway Commission）委員會于1992年發布的內部控制整體框架（COSO框架）。COSO認為內部控制是由董事、管理層及其他人員在公司內進行的，旨在為經營的有效性、財務報告的可靠性、適用法律法規的遵循性提供合理保證的過程。它由控制環境、風險評估、控制活動、信息與溝通和監控五個要素組成。近年來，以安然、世通為代表的一系列特大財務舞弊事件在全球范圍內蔓延，給投資者和債權人造成了巨大的損失，這表明以確保信息披露制度可靠性為目的的企業內部控制制度并沒有發揮有效的作用。美國Treadway委員會（1985年成立的反虛假財務報告委員會）在調查中發現，內部控制存在缺陷和內部控制的缺失是影響會計信息質量，產生財務報告舞弊的重要原因，而且將近50％的財務舞弊事件可以全部或部分歸咎于公司內部控制失敗。因此，內部控制對于降低舞弊行為，保障會計信息質量具有重要的意義。

在日本的意見書中，將內部控制定義為為實現四個目標（經營的有效性和效率性；財務報告的可靠性；與經營活動相關的法律法規的遵守；資產的保全），由組織內部所有人員執行的程序。內部控制由控制環境、風險的評價與應對、控制活動、信息與溝通、監控以及IT的應對六項基本要素構成。其中，將為確保財務報告的可靠性的內部控制定義為財務報告內部控制，將財務報告內部控制的有效性定義為某一內部控制根據合理的內部控制框架予以構建和運行，且該內部控制不存在重大缺陷。與COSO框架相比，日本的內部控制定義在內部控制的目的中加上了“資產的保全”，在基本要素中加入了“IT的應對”。將資產的保全列為企業的目標之一，重在強調資產的取得、使用和處置必須通過正當的程序和授權，這將大大有利于會計信息質量的提高。考慮到自從COSO框架發布以后，隨著IT環境的迅速發展，IT已經廣泛和深入地滲透到企業的組織中的實際情況，日本將IT的對應作為內部控制的一個基本要素。相對于COSO框架，日本內部控制框架表述更加嚴密，更能適應經濟環境的發展變化以及日本企業的實際。在信息系統中使用IT的情況下，信息通常由各種業務系統進行處理和提供，這些信息反映于會計系統之中。因此，管理層有必要對確保這些業務系統和會計系統所生成財務信息的可靠性的內部控制進行評價。審計人員也有必要對管理層評價的內部控制進行審核。

三、內部控制框架中與IT相關的內部控制

在前述意見書中，IT的應對作為內部控制的一個基本要素而出現。意見書中將IT的應對定義為為實現組織的目標事先規定合理的政策及程序，根據這些政策和程序，在業務實施中對組織內外的信息技術進行合理的應對。IT的應對，由IT環境的應對和IT的使用與控制組成。所謂IT環境的應對，是指組織活動中必然相關的組織內外的信息技術利用狀況，社會和市場中信息技術使用情況、組織進行交易中信息技術使用情況，以及組織選擇依存的一系列信息技術的狀況等。這主要是強調為實現目標，組織有必要對其所處的IT環境進行了解，在組織范圍內制定合理的政策和手續，并為落實這些規定和手續進行合理的應對。而IT的使用與控制是指在組織內部，對為確保內部控制的其他基本要素的有效性且高效地利用信息技術，以及在組織內系統地包含于業務之中的以各種形式利用的信息技術，事先制定合理的政策和手續，使內部控制的其他基本要素更有效地發揮功能。作為內部控制的一個基本要素，意見書指出，IT的應對不是獨立于內部控制的其他要素而存在的，但組織的業務內容在較大程度上依賴于信息技術的情況或在組織的信息系統高度運用信息技術等情況下，作為實現內部控制目標來說是不可缺少的要素，它是內部控制有效性相關的判斷標尺。但無論是IT環境的應對還是IT的使用與控制，都與內部控制的其他基本要素存在著密不可分的關系，都應將它們與內部控制的其他基本要素作為一個整體進行評價。因此，IT的應對在內部控制框架中的體現是日本信息技術的飛躍發展對組織產生深刻影響的產物，IT內部控制是日本內部控制框架的一個重要特征。

四、管理層對IT內部控制的評價

在管理層評估內部控制有效性時，與美國相似，日本也采用自上而下的以風險為基礎的方法。即首先評估對財務報告可信性有實質性影響的公司層內部控制，同時充分評估企業內外的風險并考慮整體上可能對財務報告有重大影響的所有事件。在此基礎上再評估業務層的控制，主要側重可能導致財務報告中重大錯報的風險的評估。與美國不同的是，意見書的實施準則部分明確規定由管理層評估使用IT的控制是評估業務水平控制的一項重要內容。實施準則從以下四個方面對使用IT的內部控制進行評價：一是使用IT的內部控制的評價。在這一內部控制中，既包括計算機程序之中的自動化的內部控制，也包括手工操作與計算機處理為一體發揮職能的內部控制。二是評價范圍的決定。三是評價單位的認定。四是使用IT的內部控制的構建狀況和運行狀況有效性的評價。具體地說，IT的控制評價分為IT總體控制的評價和IT業務處理控制的評價。其中，IT總體控制是為確保業務處理控制有效地發揮職能的環境而進行的控制活動，通常是指與多數業務過程控制有關的政策和程序。IT業務處理控制是指為確保所有經過授權的經濟活動在企業業務管理系統中正確的處理、記錄的控制活動。實施準則列舉了評估IT總體控制的設計和運行有效性的具體實例，如系統的開發和維護、系統的運用和管理、系統安全性的確保、委托加工物資的契約管理等。關于評估IT業務處理控制的設計和運行的有效性，實施準則也列示了考慮的要點，包括關于錄入信息的完整性、正確性、正當性等確保的控制，錯誤的修正和再處理，主要數據的維護和管理等。

在管理層對內部控制有效性的判斷中，實施準則對IT相關的內部控制有效性的判斷專門作出規定。在IT相關的總體控制存在缺陷的情況下，應當檢查采用替代的或補充的其他內部控制是否能達到財務報告可靠性的目的。而且IT相關的總體控制的缺陷，由于并不是與財務報告重要事項發生虛假記載風險直接相聯系的，不能立即被評價為重大缺陷。但如果IT相關的總體控制存在缺陷，即使IT相關的業務處理控制的構建能有效地發揮功能，也存在不能連續維持其有效運行的可能性，虛假記載發生的風險很高。在IT相關的業務處理控制存在缺陷的情況下，與業務層的內部控制存在的情況相同，應當對其影響程度和發生的可能性進行評價。當手工操作與信息技術成為一體發揮功能的內部控制存在缺陷時，管理層應具體認定缺陷是由手工操作部分產生的還是由IT相關部分產生的。應當注意，在由IT相關的部分產生缺陷的情況下存在著相同種類錯誤重復發生的可能性。

五、審計人員對IT內部控制的審計

在對內部控制審計時，美國采用直接報告的方式，即由審計人員直接審計和報告財務報告內部控制的有效性。在這種方式下，為審計管理層評估的財務報告內部控制的有效性取得審計證據，審計人員必須計劃和實施特定審計程序審計上市公司的內部控制。因此，審計人員和被審單位都要承受過度的負擔。然而日本采用只審計管理層對內部控制有效性評估結果的間接報告方式，從而解決了直接審計被審單位內部控制有效性的過度負擔的難題。這是日本對財務報告內部控制審計的特點之一。審計人員對管理層進行的內部控制評價的審核也是先審核公司層內部控制的評價，在此基礎上再對管理層進行的業務流程相關的內部控制的評價的合理性進行審核。實施準則詳細規定了對使用IT的內部控制的評價的審核。主要包括：一是對IT的內部控制的把握。審計人員對于使用手工操作進行控制的部分實施業務流程相關的內部控制評價的審核；對于使用IT進行控制的部分，通過以下對IT相關的總體控制和業務處理控制評價的審核進行驗證。二是IT相關的總體控制評價的審核。實施準則詳細規定了對系統的開發和維護、系統的運用和管理，系統安全性的確保、委托加工物資的契約管理等各方面審核時應當關注的要點。三是IT相關的業務處理控制評價的審核。實施準則規定了審計人員應當遵循以下手續進行審核：首先通過閱讀系統設計書等對企業所期望的會計處理系統的設計進行確認；同時列示了具體的評價項目，包括是否采取為確保錄入信息的安全性、準確性、正當性等的措施；是否對錯誤數據進行合理修訂和再修訂等。四是利用IT專家。利用專家時，審計人員不僅要對專家是否擁有IT方面的知識進行考慮，而且要對其是否擁有信息系統相關的財務報告產生重要影響的風險評估所必需的知識等進行考慮，同時對該專家的業務是否具有充分的客觀性也應進行考慮。在發現使用IT的內部控制相關的IT總體控制的缺陷時，要求立即對其進行完善。因為IT的總體控制是為了保證IT相關的業務處理控制有效地發揮功能的環境而進行的控制活動，如果總體控制存在缺陷，即使為使業務處理控制有效的發揮功能而進行構建，也存在著不能連續維持其有效運行的可能性。但是，由于IT總體控制的缺陷本身并不一定是直接與財務報告重要事項虛假記載發生風險相聯系的，如果能夠驗證業務處理控制現在能有效地發揮功能，就不能因總體控制的缺陷而立即將其評價為重大缺陷。這與管理層評價IT相關的內部控制的有效性的原則相同。

六、結論與建議

近年來，我國證券市場的財務欺詐事件愈演愈烈，這使內部控制的有效性問題得到空前的重視。1997年1月開始實行的《獨立審計準則第9號 內部控制與審計準則》、1999年10月通過的《中華人民共和國會計法》、2002年中注協頒布的《內部控制審核指導意見》等，無不證明了我國在評估和審計內部控制的有效性方面取得了重大成就。特別是2008年6月28日財政部、證監會、審計署、銀監會、保監會聯合發布了我國第一部《企業內部控制基本規范》，這標志著中國版的“薩奧法案”已正式啟動。在基本規范中提出我國內部控制的基本要素包括內部環境、風險評估、控制活動、信息與溝通和內部監督五項，并沒有包括IT內部控制要素。隨著信息技術的高度發展，組織的業務內容在很大程度上依賴于信息技術，組織的信息系統與IT高度結合，使很多組織離開信息技術就不能進行業務活動。因此，在業務的處理過程中對企業內外IT采取適當的應對理應成為企業實現內部控制目標必不可少的內容。而日本率先順應了這種趨勢，以準則的形式將IT的應對作為內部控制的一個基本要素，并制訂了與IT內部控制相關的管理層評估和審計人員審計財務報告內部控制的具體措施，可供我國完善企業內部控制基本規范借鑒。

【主要參考文獻】

[1] 日本金融廳企業會計審議會.關于財務報告內部控制評估與審計準則以及財務報告內部控制評估與審計實施準則的制定（意見書）[D].2007.（日語）.

[2] 財政部，證監會，審計署，銀監會，保監會.企業內部控制基本規范[D].2008.

[3] U.S. House of Representatives，Committee on Financial Services 2002，Sarbanes-Oxley Act of 2002 [D].2002.

[4] Committee of Sponsoring Organizations of Treadway Commission 1992，Internal Control Integrated Framework，Committee of Sponsoring Organizations of Treadway Commission[D].1992.