財政部、證監會、審計署、銀監會、保監會在國家有關法律法規和《企業內部控制基本規范》的基礎上,于二○一○年四月十五日以“財會[2010]11號《關于印發企業內部控制配套指引的通知》”聯合發布《企業內部控制配套指引》。該配套指引包括18項《企業內部控制應用指引》、《企業內部控制評價指引》和《企業內部控制審計指引》,連同此前發布的《企業內部控制基本規范》,這些文件的出臺標志著適應我國企業實際情況、融合國際先進經驗的企業內部控制規范體系基本建成,為中國企業構建和實施企業內部控制提供了具體指南,細化了基本規范的內容,增強了基本規范的可操作性,促進企業建立、實施和評價內部控制,規范會計師事務所內部控制審計行為,發展了我國企業內部控制理論,是對世界范圍內企業內部控制領域的重要貢獻。其中,《企業內部控制評價指引》的制定發布,為企業開展內部控制自我評價提供了一個共同遵循的標準,為參與國際競爭的中國企業在內部控制建設方面提供了自律性要求,有利于提高投資者、社會公眾乃至國際資本市場對中國企業素質的信任度。內部控制評價在企業內部控制實務中占據相當重要的地位,內部控制評價是指企業董事會或類似決策機構對內部控制有效性進行全面評價、形成評價結論、出具評價報告的過程,“內部控制評價指引”,著重就企業如何做好內部控制自我評價工作提出指導性意見。同樣,這套內控評價指引也是為適應我國社會主義市場經濟發展要求的特色,參考發達市場國家或地區的現成做法,在內控基本規范的前提下,在內控評價口徑、范圍、要素和評價活動等內容作出了具體規范,成為我國企業內部控制規范體系中的一個重要部分。通知要求,該配套指引自2011年1月1日起在境內外同時上市的公司施行,自2012年1月1日起在上海證券交易所、深圳證券交易所主板上市公司施行;在此基礎上,擇機在中小板和創業板上市公司施行。鼓勵非上市大中型企業提前執行。請各上市公司及相關非上市大中型企業切實做好執行前的各項準備工作。通知還要求,執行《企業內部控制基本規范》及《企業內部控制配套指引》的上市公司和非上市大中型企業,應當對內部控制的有效性進行自我評價,披露年度自我評價報告,同時應當聘請會計師事務所對財務報告內部控制的有效性進行審計并出具審計報告。上市公司聘請的會計師事務所應當具有證券、期貨業務資格。今后企業施行內部控制規范體系的情況將成為政府監管部門進行監督檢查的重點,成為全面提升上市公司和非上市大中型企業經營管理水平的重要舉措。
“企業內部控制基本規范”明確要求,企業應當根據國家有關法律、行政法規和本規范,結合部門或者系統有關內部控制規定,在對現有經營管理制度、措施及其實施情況進行全面分析、總結的基礎上,制定適合本企業業務特點和管理要求、與經營管理制度和措施有機結合的內部控制制度,并組織實施。為此,基本規范還就董事會、董事長、經理、總會計師提出基本要求:(1)企業董事會應當充分認識自身對企業內部控制所承擔的責任,加強對本企業內部控制建立和實施情況的指導和監督。(2)董事長(或者法定代表人、代表企業行使職權的主要負責人)對本企業內部控制的建立健全和有效實施負責。3、經理(或者總裁、廠長)根據法定職權、企業章程和董事會的授權,負責組織領導本企業內部控制的日常運行。4、總會計師(或者財務總監、分管財務會計工作的負責人)在董事長和經理的領導下,主要負責與財務報告的真實可靠、資產的安全完整密切相關的內部控制的建立健全與有效執行。同時,基本規范要求企業健全內部審計機構、加強內部審計監督。如在董事會下設立審計委員會的企業,應當保證審計委員會成員具備良好的職業操守和專業勝任能力,審計委員會及其成員應當具有相應的獨立性。審計委員會應當直接對董事會負責。審計委員會在企業內部控制建立和實施中承擔的職責一般包括:(1)審核企業內部控制及其實施情況,并向董事會作出報告;(2)指導企業內部審計機構的工作,監督檢查企業的內部審計制度及其實施情況;(3)處理有關投訴與舉報,督促企業建立暢通的投訴與舉報途徑;(4)審核企業的財務報告及有關信息披露內容;(5)負責內部審計與外部審計之間的溝通協調。其次,規范要求企業在企業內部設立專門的內部審計機構,應當保證內部審計機構具有相應的獨立性,并配備與履行內部審計職能相適應的人員和工作條件。未設立內部審計機構的企業,應當由董事會授權或者企業章程規定的有關機構承擔上述職責。
在設立內部審計機構的基礎上,企業須對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面檢查報告并作出相應處理。企業應當利用信息與溝通情況,提高監督檢查工作的針對性和時效性;同時,通過實施監督檢查,不斷提高信息與溝通的質量和效率。此次“企業內部控制評價指引”則在此基礎上,更進一步要求企業根據基本規范、應用指引以及本企業的內部控制制度,圍繞內部環境、風險評估、控制活動、信息與溝通、內部監督“五要素”,對內部控制有效性進行全面評價,包括財務報告內部控制有效性和非財務報告內部控制有效性。企業建立有效的內部控制,至少考慮五基本要素:(1)內部環境。內部環境是影響、制約企業內部控制建立與執行的各種內部因素的總稱,是實施內部控制的基礎。內部環境主要包括治理結構、組織機構設置與權責分配、企業文化、人力資源政策、內部審計機構設置、反舞弊機制等。(2)風險評估。風險評估是及時識別、科學分析和評價影響企業內部控制目標實現的各種不確定因素并采取應對策略的過程,是實施內部控制的重要環節。風險評估主要包括目標設定、風險識別、風險分析和風險應對。(3)控制措施。控制措施是根據風險評估結果、結合風險應對策略所采取的確保企業內部控制目標得以實現的方法和手段,是實施內部控制的具體方式。控制措施結合企業具體業務和事項的特點與要求制定,主要包括職責分工控制、授權控制、審核批準控制、預算控制、財產保護控制、會計系統控制、內部報告控制、經濟活動分析控制、績效考評控制、信息技術控制等。(4)信息與溝通。信息與溝通是及時、準確、完整地收集與企業經營管理相關的各種信息,并使這些信息以適當的方式在企業有關層級之間進行及時傳遞、有效溝通和正確應用的過程,是實施內部控制的重要條件。信息與溝通主要包括信息的收集機制及在企業內部和與企業外部有關方面的溝通機制等。(5)監督檢查。監督檢查是企業對其內部控制的健全性、合理性和有效性進行監督檢查與評估,形成書面報告并作出相應處理的過程,是實施內部控制的重要保證。監督檢查主要包括對建立并執行內部控制的整體情況進行持續性監督檢查,對內部控制的某一方面或者某些方面進行專項監督檢查,以及提交相應的檢查報告、提出有針對性的改進措施等。企業內部控制自我評估是內部控制監督檢查的一項重要內容。內部控制是由企業董事會、管理層及全體員工共同參與的一個過程,旨在確保企業行為符合法規要求、保護資產安全、提高經營的效果與效率,企業董事會應對內控制度的建立健全、有效實施及其檢查監督負責,董事會應認真審閱內部控制自我評估報告,以及會計師事務所對內部控制自我評估報告的評價意見。內部控制自我評估報告至少應包括如下內容:內控制度是否建立健全、內控制度是否有效實施、內部控制檢查監督工作的情況、內控制度及其實施過程中出現的重大風險及其處理情況、對本年度內部控制檢查監督工作計劃完成情況的評價、完善內控制度的有關措施和下一年度內部控制有關工作計劃。例如:金陵藥業股份有限公司(上市公司)在2010年年初公布“金陵藥業2009年度內部控制自我評價報告”,報告說金陵藥業公司對生產經營、財務報告、信息披露等相關的內部控制制度的建立和實施情況、內部控制有效性進行了全面自查,形成了公司內部控制自我評價報告。具體有以下幾個方面:1、公司內部控制綜述;(1)公司內部控制的組織架構;(2)內部控制制度建立健全情況;(3)內部審計部門的設立情況;(4)2009年公司為建立和完善內部控制所進行的重要活動、工作及成效。2、公司內部重點控制活動;(1)公司控股子公司情況表;(2)公司控股子公司的內部控制情況;(3)公司關聯交易的內部控制情況;(4)公司對外擔保的控制情況;(5)公司募集資金使用的內部控制情況;(6)公司重大投資的內部控制情況;(7)公司信息披露的內部控制情況;3、公司內部控制的后續完善計劃;4、公司內部控制情況的總體評價。該公司董事會認為:“公司內部控制在內部環境、風險評估、控制活動、信息與溝通、內部監督等各個方面發揮了較好的管理控制作用。總體上符合深圳證券交易所《上市公司內部控制指引》的相關要求。”5、公司監事會對內部控制自我評價的意見。6、公司獨立董事對內部控制自我評價的意見。金陵藥業這份自查評價報告公布在此次財政部“企業內部控制評價指引”發布前,此前,上海、深圳證券交易所發布了《上市公司內部控制指引》,部分上市公司已經嘗試對外披露內部控制評價報告。但由于缺少統一的指導,這些對外披露的評價報告格式五花八門、質量參差不齊,不具可比性,也不利于報告使用者理解。因此,財政部這次頒發的“企業內部控制評價指引”專門對內部控制評價報告進行規范,要求企業在評價報告中至少披露以下內容:(1)董事會對內部控制報告真實性的聲明,實質就是董事會全體成員對內部控制有效性負責;(2)內部控制評價工作的總體情況;(3)內部控制評價的依據,一般指基本規范、評價指引及企業在此基礎上制定的評價辦法;(4)內部控制評價的范圍,描述內部控制評價所涵蓋的被評價單位,以及納入評價范圍的業務事項;(5)內部控制評價的程序和方法;(6)內部控制缺陷及其認定情況,主要描述適用本企業的內部控制缺陷具體認定標準,并聲明與以前年度保持一致,同時,根據內部控制缺陷認定標準,確定評價期末存在的重大缺陷、重要缺陷和一般缺陷;(7)內部控制缺陷的整改情況及重大缺陷擬采取的整改措施;(8)內部控制有效性的結論,對不存在重大缺陷的情形,出具評價期末內部控制有效結論,對存在重大缺陷的情形,不得作出內部控制有效的結論,并需描述該重大缺陷的成因、表現形式及其對實現相關控制目標的重要程度。
企業內部控制的有效性,包括財務報告內部控制有效性和非財務報告內部控制有效性。內部控制制度的重點是嚴格會計管理,設計合理有效的組織機構和職務分工,實施崗位責任分明的標準化業務處理程序。按其作用范圍大體可以分為以下兩個方面:1、內部會計控制:內部會計控制其范圍直接涉及會計事項各方面的業務,主要是指財會部門為了防止侵吞財物和其他違法行為的發生,以及保護企業財產的安全所制定的各種會計處理程序和控制措施。有效的會計系統應當做到:(1)確認并記錄所有真實的經濟業務,及時并充分詳細地描述經濟業務,以便在財務會計報告中對經濟業務作出適當的分類。(2)計量經濟業務的價值,以便在財務會計報告中記錄其適當的貨幣價值。(3)確定經濟業務發生的時間,以便將經濟業務記錄在適當的會計期間。(4)在財務會計報告中適當地表達經濟業務和披露相關事項。2、內部管理控制:內部管理控制范圍涉及企業生產、技術、經營、管理的各部門、各層次、各環節。其目的是為了提高企業管理水平,確保企業經營目標和有關方針、政策的貫徹執行。從事前防范的環節來說,首先,企業需要根據內部控制規范及指引,結合企業實際情況,建立一套嚴格的內控規章制度,包括《企業財務管理辦法》、《企業預算管理辦法》、《資金計劃管理辦法》、《企業資金授權審批管理辦法》等制度。內部會計控制制度設計的組織者必須是企業管理當局。設計者既要熟知企業經營政策和業務性質,了解經營理念和管理目標,還應熟悉內部控制原理和方法,有較強的綜合分析和文字表達能力。如果企業內部具備這樣的人才,企業可自行設計內部會計控制制度,否則應聘請外部專家來設計。設計時要注重選擇關鍵的控制點,只有找出企業會計工作和管理工作中的這些關鍵環節,才能有針對性地設置相應內部控制制度,做到防范于未然。同時設計者必須明確控制目標,充分考慮各項內部會計控制制度是否符合內部控制基本原則,認真檢查關鍵控制點是否進行了控制,所有的控制目標是否已達到。其次,在制度的基礎上,要合理設置職能部門,明確各部門的職責,各司其職,建立財務、業務等控制和職能分離體系。充分考慮不兼容職務和相互分離的制衡要求,各部門、各崗位形成相互制約、相互監督的格局。如會計工作中的會計和出納就屬不相容職務,需要分離。應當加以分離的職務通常有:授權進行某項經濟業務的職務要分離;執行某項經濟業務的職務與審核該項業務的職務要分離;執行某項經濟業務的職務與記錄該項業務的職務要分離;保管某項財產的職務與記錄該項財產的職務要分離等等。各組織機構的職責權限必須得到授權,并保證在授權范圍內的職權不受外界干預;每類經濟業務在運行中必須經過不同的部門并保證在有關部門進行相互檢查;在對每項經濟業務的檢查中,檢查者不應從屬于被檢查者,以保證被檢查出的問題得以迅速解決。當某項經濟業務的數額超過某部門的批準權限時,只有經過特定授權批準才能處理。授權批準控制的基本要求是要明確一般授權與特定授權的界限和責任;還要明確每類經濟業務的授權批準程序;再次,要建立必要的檢查制度,以保證經授權后所處理的經濟業務的工作質量。企業設置內部審計機構或建立內部控制自我評估系統,要加強對本企業內部會計控制的監督和評估,及時發現內部控制中的漏洞和隱患,并針對出現的新問題、新情況及內部控制執行中的薄弱環節,及時修正或改進控制政策,做到有章必循、違章必究、違規必罰、以罰促糾,以期能更好地完成內部控制目標。另外,還要關注人員素質,會計人員在現代經濟發展的新形勢下,僅僅具有較高的專業素質還是不夠的,要加強對會計人員的品德教育、職業道德教育,在專業人員的選拔任用方面以德為先,凈化專業隊伍,造就一支綜合素質較高的會計隊伍,才能保證企業的經濟管理工作沿著健康有序的軌道良性運轉。從事中控制環節來說,事中控制主要體現在安全性、完整性、合法性和效益性的控制,主要方法有:賬實盤點控制、庫存限額控制、實物隔離控制等。從事后監督環節來說,除事前防范,事中控制環節之外,事后監督也是必不可少的環節。如,在每個會計期間或每項重大經濟活動完成之后,內部審計監督部門都應按照有效的監督程序,審計各項經濟業務活動,及時發現內部控制的漏洞和薄弱環節。對內部控制及其實施情況的監督檢查方式主要包括持續性監督檢查和專項監督檢查等。(1)持續性監督檢查,是指企業對建立和實施內部控制的整體情況所進行的連續的、全面的、系統的、動態的監督檢查。(2)專項監督檢查,是指企業對內部控制建立與實施的某一方面或者某些方面的情況所進行的不定期的、有針對性的監督檢查。持續性監督檢查和專項監督檢查應當有機結合。就內部審計應發揮的支持內部管理的作用來看,我國目前大多數企業的內部審計,無論從機構的設置、工作重點,還是內部審計內容的深度和廣度、審計方式和規范管理等方面還有較大的距離,無法適應現代企業建立健全內部控制制度的要求,更有相當一部分企業尚未意識到內部控制的重要性,對內部控制存在許多誤解,甚至概念模糊,治理結構先天不足,再加上內部控制固有的局限性,使企業內部控制薄弱,經濟業務隨意性大,缺乏有效的內部控制審計機制。如,目前企業大部分的內部審計部門,基本上與其他職能部門平行,有些中小企業甚至還沒有獨立的內部審計部門,這種狀況使內部審計機構及人員往往受利益因素制約、人際關系影響,無法獨立、客觀、真實、公正、深入地開展工作,做出的審計處理也往往因管理體制的制約得不到有效貫徹落實,久而久之就失去了內部審計的權威性,成了企業可有可無的部門,難以在內部控制監督、評價中取得滿意的效果;又如有的企業的內部審計人員往往將大部分精力投入到財務數據的真實性、合法性的查證及生產經營的監督上,其主要職能是查錯防弊而不是對企業管理作出分析、評價和作出管理建議,審計的對象主要是會計報表、帳本、憑證及其相關資料,工作都集中在財務領域而未深入到管理和經營領域;從審計方式看,目前,一般企業的內部審計都是事后審計,只將內部控制評價作為審計的一種手段而不是獨立的審計內容,無法做到對企業內部控制進行全過程、全方位的監督和評價,實現事前預防和事中控制,及時發現各個環節存在的問題,把企業的風險降到最低程度;等等。有鑒于此,此次頒發的“企業內部控制評價指引”要求企業實施內部控制評價,應當遵循下列原則:(1)風險導向原則。內部控制評價應當以風險評估為基礎,根據風險發生的可能性和對企業單個或整體控制目標造成的影響程度來確定需要評價的重點業務單元、重要業務領域或流程環節。(2)一致性原則。內部控制評價應當采用統一可比的評價方法和標準,保證評價結果的可比性。(3)公允性原則。內部控制評價應當以事實為依據,評價結果應當有適當的證據支持。(4)獨立性原則。內部控制評價機構的確定及評價工作的組織實施應當保持相應的獨立性。(5)成本效益原則。內部控制評價應當以適當的成本實現科學有效的評價。之所以將風險導向原則列為內控評價原則的首條,是為了更多地將風險導向中的“風險”擴大為企業在經營過程中面臨的不能實現其目標的各種風險,根據風險管理的需要,尋找所有可能降低風險的途徑, 結合企業目標,評價企業現有控制措施能否將其存在的風險降低至可接受水平,以風險評估的結果來主導內部控制評價重點,根據風險的性質、影響程度、可接受水平,評價內部控制的恰當性和有效性,提出管理、控制風險的建議和方法,將評價、審計結果直接與企業經營目標和風險控制聯系在一起。近年來以風險為導向的現代內部控制評價方法不斷涌現,主要方法有標桿比較法、風險矩陣法、控制自我評估法等。傳統內部控制評價方法主要描述和分析內部控制機制的恰當性和有效性,以及在完成所指派職責時的執行效果。其對內部控制的測試與評價所遵循的邏輯順序是“控制→風險→評價控制目的是否實現”,可見, 傳統內部控制評價方法更多的是一種事后的反饋,在確認內部控制薄弱環節之后,提供信息以幫助管理層增強和完善內部控制。而基于風險管理的現代內部控制評價方法,其內部控制的測試與評價遵循的邏輯順序是“目標→風險→控制”,同時將根據企業風險評估調整評價、審計戰略,確定評價、審計重點,緊密關注高風險的領域,以提供更相關、更符合管理層和董事會需求的確證信息,從而保證要素投入主體的利益。其中,(1)標桿比較法:標桿比較法(benchmark)就是將本企業各項活動與從事該項活動最佳者進行比較,從而提出行動方法,以彌補自身的不足。它一般分為以下兩個步驟:首先,企業需要建立或確認自身所在行業的最佳實務。其次,了解企業風險管理整體框架實際情況并將其與最佳實務進行對比,用定量或定性方式評估差距。(2)風險控制矩陣:風險控制矩陣(Risk and Control Matrix, RCM) 是審計人員根據企業經營目標、風險與控制之間的聯系,為確保審計建議,針對重要的風險而建立的一張工作表。風險控制矩陣是差距分析和審計過程中的一個關鍵文檔。RCM為公司相關的風險、需要達到的控制及當前控制狀態等提供了一個控制范例。(3)控制自我評價法:內部控制自我評價(Control Self-assessment,CSA)是近年來產生的一種新的內部控制評價方法,體現了內部控制評價的新觀念控制自我評估。控制自我評價法是在1987年由加拿大海灣資源有限公司首先采用的,是一種用來檢查和評估內部控制有效性的新方法,是由組織成員在內部審計機構的推進和協助下評估組織活動的風險和控制的過程。CSA強調內部控制系統既不是內部審計工作的責任,也不僅僅是高級管理層應關心的問題,相反,應該把它看成是所有雇員共同的責任。控制自我評估體現了應該最先詢問那些參與了風險評估過程以及執行了整個控制過程的人,它所包含的不斷改善理念與現代的全面質量管理概念非常匹配,與整體協作的概念及群體學習的模式也有相通之處,因而在今天的商業社會中存在著巨大的潛能。據悉,財政部將在內部控制規范講解中對內部控制評價報告的內容提供進一步指引,包括探索引入使用內部控制評價表,作為對內部控制評價報告的進一步補充。所謂內部控制評價表,就是對評價過程中形成的評價工作底稿的全面整理和綜合匯總,是企業對內部控制各構成要素的結論性評估表格,一般由評價內容、業務描述、有效性/缺陷、評價記錄等欄目組成。通過使用內部控制評價表,可以使不同企業的內部控制評價報告更具可比性,同時也有利于報告使用者閱讀和理解。
企業實施內部控制評價,包括對內部控制設計有效性和運行有效性的評價。“內部控制設計有效性”是指為實現控制目標所必需的內部控制要素都存在并且設計恰當;“內部控制運行有效性”是指現有內部控制按照規定程序得到了正確執行。內部控制評價必須審查單位內部控制度是否健全、運轉功能是否正常、自我調節能力是否具備或良好。如果只審計企業財務數據,卻對企業內部控制制度不給予系統性評價,在此情況下,是絕對無法發現并客觀評價企業內部潛在風險的,實質性和預防性的管理意見和建議就更加不可能被提出。在企業實際管理中,常見風險有信息量不足或虛假而導致決策錯誤;信息系統故障;未做到職責分離等。評估風險時,常采用定量或定性的方法,既要分析判斷風險發生的可能性,又要分析風險對實現企業目標產生影響的嚴重程度。目前,企業內部控制評價工作中比較困難的是有關內部控制缺陷的認定,尤其是非財務報告內部控制缺陷的認定。內部控制缺陷,是指內部控制的設計存在漏洞、不能有效防范錯誤與舞弊,或者內部控制的運行存在弱點和偏差、不能及時發現并糾正錯誤與舞弊的情形。重大缺陷,是指業已發現的內部控制缺陷可能嚴重影響財務報告的真實可靠和資產的安全完整。財務報告內部控制缺陷一般可以通過定量的方式予以確定。相對而言,非財務報告內部控制缺陷的認定很難形成統一的標準,企業可以根據自身的實際情況,參照財務報告內部控制缺陷的認定標準,合理確定非財務報告內部控制缺陷的定量和定性認定標準。其中:定量標準,既可以根據缺陷造成直接財產損失的絕對金額制定,也可以根據缺陷的直接損失占本企業資產、銷售收入或利潤等的比率確定;定性標準,可以根據缺陷潛在負面影響的性質、范圍等因素確定。關于定性評價方法的選擇,有些企業為了更清晰地反映企業整體內部控制的概況和特征,讓管理者直觀了解內部控制的運行狀況,從而發現內部控制中的不足,而采用流程圖法。有的企業根據相關評價指標和權重,結合各業務單位的財務、業務情況在定量評價表中為各項指標打分,根據各業務單位的打分信息生成綜合評價表中的各項指標的值。關于定量評價方法的選擇,有的企業根據國資委印發的《中央企業財務內部控制評價工作指引(2007年度試行)》的相關公司財務內部控制的評價體系,并結合權值因子確定法來對制定公司總部和其子公司的各項財務內部控制指標,分為健全合理性與有效性兩方面,并賦予相應權重,以便于量化。在綜合評價表中將計算出公司總部和各子公司最后的評價得分結果。為了讓管理者更清晰地看出各業務單位的評價結果以及內部控制的健全和有效性,系統將以最后的評分結果為依據來對所有業務單位進行排名,并以另一工作表的形式來顯示最后的排名信息給評價小組,為評價報告提供量化數據。常見的是,企業的內部控制定性評價的結果未能被定量評價使用,而定量評價又沒有相應的定性評價結果作為基礎,則很難從整體的角度來反映企業整體的內部控制評價現狀。因此,定性評價和定量評價的有機、合理的結合,并形成相應的體系,對于完善企業內部控制評價是非常必要的。
關于對信息系統的有效性進行評價,包括信息系統一般控制評價和信息系統應用控制評價。信息系統的“一般控制評價”應當著重考慮與信息系統開發有關的信息技術控制目標、程序變更、計算機運行和對數據的接觸是否符合企業內部控制的要求,是否有利于企業內部控制目標的實現,并以此評價信息系統的安全性、可靠性和合理性。信息系統的“應用控制評價”應當結合企業業務流程特點,著重考慮信息系統中與業務流程相關的控制點,并以此評價相關應用系統操作數據的真實性、準確性和合規性。目前大多數大中型企業都建構了信息交流平臺、ERP系統與會計信息系統,這些信息系統已成為企業內部控制的一部分。信息系統是信息內部傳遞和信息對外報告的技術手段,是企業利用計算機和通信技術,對內部控制進行集成、轉化和提升所形成的信息化管理平臺。通過信息系統強化內部控制,有利于減少人為因素,提高控制的效率和效果。當然,信息系統自身也存在風險,需要加強管理和控制。“企業內部控制應用指引”中的“信息系統應用”指引指出,企業應當結合組織架構、業務范圍、地域分布、技術能力等因素,制定信息系統建設整體規劃,加大投入力度,有序組織信息系統開發、運行與維護,優化管理流程,防范經營風險。如,根據信息系統建設整體規劃提出項目建設方案,明確建設目標、人員配備、職責分工、經費保障和進度安排等相關內容,按照規定的權限和程序審批后實施;企業開發信息系統,應當將生產經營管理業務流程、關鍵控制點和處理規則嵌入系統程序,實現手工環境下難以實現的控制功能;加強信息系統開發全過程的跟蹤管理,組織開發單位與內部各單位的日常溝通和協調,督促開發單位按時保質完成編程工作,對配備的硬件設備和系統軟件進行檢查驗收,組織系統上線運行;加強信息系統運行與維護的管理,制定信息系統工作程序、信息管理制度以及各模塊子系統的具體操作規范,及時跟蹤、發現和解決系統運行中存在的問題,確保信息系統按照規定的程序、制度和操作規范持續穩定運行;等。2007年2月日本企業會計審議會發布了《關于財務報告內部控制評價與審計準則及其實施準則的制定(意見書)》,意見書中,將信息化(IT)對應作為內部控制的一個基本要素,要求對組織內外IT環境和IT的使用和控制與內部控制的其他要素作為一個整體進行評價。這是日本評估和審計財務報告內部控制的一個重要特征。實施準則從以下四個方面對使用IT的內部控制進行評價:一是使用IT的內部控制的評價。在這一內部控制中,既包括計算機程序之中的自動化的內部控制,也包括手工操作與計算機處理為一體發揮職能的內部控制。二是評價范圍的決定。三是評價單位的認定。四是使用IT的內部控制的構建狀況和運行狀況有效性的評價。具體地說,IT的控制評價分為IT總體控制的評價和IT業務處理控制的評價。其中,IT總體控制是為確保業務處理控制有效地發揮職能的環境而進行的控制活動,通常是指與多數業務過程控制有關的政策和程序。IT業務處理控制是指為確保所有經過授權的經濟活動在企業業務管理系統中正確的處理、記錄的控制活動。該實施準則列舉了評估IT總體控制的設計和運行有效性的具體實例,如系統的開發和維護、系統的運用和管理、系統安全性的確保、委托加工物資的契約管理等。關于評估IT業務處理控制的設計和運行的有效性,該實施準則也列示了考慮的要點,包括關于錄入信息的完整性、正確性、正當性等確保的控制,錯誤的修正和再處理,主要數據的維護和管理等。我國目前的情況是,財政部前幾年頒布了《會計核算軟件基本功能規范》,因此,會計信息系統在系統開發的各個階段,應注意審查和考核下列問題: 1.系統的功能是否恰當、完備,是否符合財政部頒布的《會計核算軟件基本功能規范》中的相關要求,能否滿足用戶核算和管理的要求;2.系統的數據流程、處理方法是否符合會計制度、法規、法令和財經紀律;3.系統是否建立了恰當的程序控制,以防止或及時發現無意的差錯或有意的舞弊;4.系統是否保留了充分的審計線索,能否為日后順利開展審計提供必要的條件;5.系統的安全保密措施和管理制度是否健全、有效,能否為系統日后安全可靠的運行提供保證;6.系統是否預留了公共數據接口,以便審計抽樣;7.在整個設計和開發過程中是否遵守執行了系統的開發控制。審計人員還應參加電算化會計系統的調試、檢測和驗收工作,盡可能及時發現系統的問題,及時提出改進的建議。至于ERP軟件,目前我國還沒有一部對其進行規范的比較全面的法規出臺。而我國比較著名的軟件開發商如“用友”、“金蝶”等廠家,各自開發的ERP軟件都不盡相同,各自的客戶實行各自的實施方案,審計人員在對其客戶進行內部控制評價時,需了解其ERP軟件,大多停留在表面的評價上,并未對該ERP軟件所涉及到的采購、銷售、生產、倉儲、運輸、成本管理等內部環節的準確性、完整性測試。在信息化條件下,資料是存儲在磁性介質上的,修改起來不留痕跡,因此舞弊行為較難發現,從而增加了內部審計人員的檢查、評價風險。因此,在信息化系統中,內控評價與審計的內容以及評價方法、審計方法都受到影響,制定一套適應有關計算機評價與審計的標準也就迫在眉睫。應盡快在原有的評價指引、審計準則的基礎上,建立一系列的新的評價標準、審計標準和準則,以規范內控的計算機評價、審計的開展,維護內部評價、外部審計的獨立性、客觀性和公正性。(完)
