会计电算化对企业内部控制审计的影响及对策-工商管理硕士论文

四川大学 硕士学位论文 会计电算化对企业内部控制审计的影响及对策 姓名：罗东升 申请学位级别：硕士 专业：工商管理 指导教师：章成蓉 20050101 会计电算化对企业内部控制审计的影响及对策 研究生：罗东升 导师：章成蓉教授 摘要 随着信息社会的到来，使用计算机进行会计核算的管理成为历史的必然。 会计实行电算化后会计工作的职能划分、责权关系、稽核关系及会计文档的管 理形式等会计业务关系发生了一系列深刻的变化，因而过去的一套内部控制体 系的局限性也日益显化，迫切需要建立一套新的，更加严密有效的内部控制制 度。 同时，会计电算化给内部控制审计带来了新的挑战和机遇。现代审计是以 内部控制的研究和评价为基础的，外部审计人员为了对被审计单位会计资料等 的公正性发表审计意见，必须首先研究和评价被审计单位的内部控制，内部审 计人员也是如此，而且内部审计有时还以完善内部控制系统为直接目的，无论 内部审计人员还是外部审计人员，他们都需要对内部控制进行研究和评价。 本文在分析会计电算化对企业内部控制审计的影响基础上，通过实证的分 析方法剖析A 公司在会计信息系统中的内部控制设置及审计经验，探索在信息 系统下内部控制审计的对策。 关键词：内部控制会计电算化内部控制审计J T 审计 S t u d yo nM e a s u r ea n dI m p a c to fA c c o u n t i n g C o m p u t e r i z e du p o nE n t e r p r i s e I n t e r n a lC o n t r o lA u d i t G r a d u a t es t u d e n t ：L u oD o n g s h e n gS u p e r v is o t ：Z h a n gC h e n g r o n g A b s t r a c t I nt h i sI n f o r m a t i o na g e ，i tb e c o m e sc e r t a i nt ou s ec o m p u t e rt om a n a g e a c c o u n t i n gs y s t e m T h er e l a t i o n s h i po fa c c o u n t i n gt r a n s a c t i o nw a sd e e p l yc h a n g e d a f t e ra c c o u n t i n gs y s t e mc o m p u t e r i z e d ，s u c ha st h ef u n c t i o np a r t i t i o n ，r e s p o n s i b i l i t y a n do b l i g a t i o n ，a u d i t i n gr e l a t i o n s h i pa n da c c o u n t i n gd o c u m e n t sm a n a g e m e n ts u c h k i n do fa c c o u n t i n gj o b T h el i m i to fo l di n t e r n a lc o n t r o ls y s t e mi sb e c o m em o r ea n d m o r eo u t s t a n d i n g ，S Oi t Sv e r yu r g e n tt os e tu pan e w l y ，s t r i c ta n de f f e c t i v ei n t e m a l c o n t r o ls y s t e m I nt h es a m et i m e ，t h ec o m p u t e r i z e da c c o u n t i n gs y s t e mb r i n g san e wo p p o r t u n i t y a n dc h a l l e n g et oA u d i t T h em o d e ma u d i ti sb a s e do nt h es t u d ya n de v a l u a t i o no f i n t e m a lc o n t r o ls y s t e m T h ee x t e r n a la u d i t o rm u s ti n v e s t i g a t ea n de v a l u a t et h e i n t e r n a lc o n t r o ls y s t e mS Oa st od e l i v e rt h e i ra u d i t i n go p i n i o no nt h eh o n e s t yo f a c c o u n t i n gd o c u m e n to fa u d i t e de n t e r p r i s e ，a l s ot h es a m ef o ri n t e r n a la u d i t o r , f u r t h e r m o r e ，s o m e t i m e si t St h ed i r e c tt a r g e to ft h ei n t e r n a la u d i t o rt oi m p r o v et h e i n t e r n a lc o n t r o ls y s t e m T h i sa r t i c l eb a s e do nt h ea n a l y s i so fi m p a c to fc o m p u t e r i z e da c c o u n t i n gs y s t e m u p o ni n t e r n a lc o n t r o la u d i t i n g , t h r o u g hu s ea n a l y t i cd e m o n s t r a t i o nm e t h o dt oa n a l y z e t h ee x p e r i e n c eo f i n t e r n a lc o n t r o ls y s t e ms e tu pa n da u d i ti nc o m p a n y A ，a i ma tt os e e k f o ras e to f m e a s u r eo f i n t e m a lc o n t r o ls y s t e ma u d i t i n gu n d e ri n f o r m a t i o ns y s t e m K e yW o r d s ：I n t e r n a lC o n t r o lA c c o u n t i n gC o m p u t e r i z e d I n t e r n a lc o n t r o lA u d i tI n f o r m a t i o nT e c h n o l o g yA u d i t p q 川大学2 0 0 2 级M B A 学位论文 第l 页 前言 电算化会计的推广和应用是对传统会计的一次变革，同时也给传统审计带 来巨大冲击。首先，在电算化会计中，证、账、表等会计数据和会计信息都存 储在磁性介质上，账务处理虽然还需要会计人员的控制，但处理过程却在计算 机系统内完成。特别在网络环境下，会计数据的收集、加工、存储、传输和会 计信息的输出基本上是在程序的控制下自动完成的。可见，有形的审计线索大 大减少，传统审计已无法考察会计数据和会计信息的安全性、有效性、完整 性、准确性；其次，在电算化会计中，由于人机系统工作的特点，传统咀账簿 体系和会计人员为中心的内部控制己失去作用，代之而起的将是以会计数据处 理流程为中心。现行的制度基础审计中的符合性测试必将受到影响，必须重新 来研究新环境下的审计风险；最后，由于电算化会计系统本身的脆弱性，如不 可预计的环境灾害、计算机硬件或软件的失灵、人为无意的差错和有意的舞弊 等，都可能给系统造成无法估计的危害。也无疑给审计工作带来困难，加大了 审计挑险。总之，电算化会计给企业带来巨大效益的同时，也给传统审计带来 巨大冲击，电算化审计的产生与发展是时代使然。 西方对计算机会计内部控制的研究大概始于7 0 年代，美国执业会计师协 会( A I C P A ) 和E D P 审计人员协会从1 9 7 4 ：年开始先后发表了一系列研究报告或 相关的审计准则，国际会计师联合会( I F A c ) 也在8 0 年代制订了几个有关计 算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影 响，强调加强内部控制及其审计的必要性；另方面则比较一致地将内部控制 分为一般控制和应用控制两大类，并据此制定了一套E D P 控制标准。 我国财政部1 9 9 4 年发布的会计核算软件基本功能规范，集中在输 入、处理、输出和安全四个方面对会计软件提出规范性要求，实质上涉及的都 是内部控制的问题，即会计软件系统所应该实现的控制。而首次涉及计算机会 计系统内部控制的审计法规则是1 9 9 9 年7 月1 日生效的独立审计具体准则 第2 0 号计算机信息系统环境下的审计。 内部控制制度审计作为一个独立的审计种类，具有完整的审计程序。它可 以通过对内部控制的检查、评价，找出内部控制系统中的薄弱环节并加以改 进，促进企业健全内部控制制度，改善管理，减少损失浪费，提高经济效益。 , o q 川人学2 0 0 2 级M B A 学位论文第2 页 内部控制制度是现代企业进行有效管理的一种必不可少的手段，内部控制制度 主要包括两个方面，即内部管理控制制度和内部会计控制制度。然而一个企业 的内部控制制度是否健全和有效，不仅直接反映这个企业的管理水平和工作效 率，而且与现代审计活动的开展关系极大。现代审计的一个重要特征，就是在 评价被审计对象内部控制制度的基础上，决定进一步审计工作的范围、程序和 方法。所谓内部控制制度审计是指以内部控制为对象，在评审被审计单位内部 控制制度的基础上，决定抽查会计资料的内容、范围和程序，据以进行符合性 和实质性测试的一种审计方法。它是从传统的会计事项为基础的详细审计转化 和发展过来的一种新型审计方式，由于这是一种科学的审计方法，不仅减少了 审计的风险性，而且提高了审计工作的质量和审计效益，故被许多国家确定为 审计标准之内部控制制度审计的基本内容。 会计电算化影响会计内部控制及其审计已是不争的事实，但目前对会计电 算化下内部控制的内容、分类以及如何审计内部控制问题，概念仍然不十分清 晰，不少控制措施以及审计方法严重脱离实际，在相当长的时间里由于人们对 计算机会计系统比较陌生，内部控制措施不明确，审计方法不得要领，所以审 计人员只得沿用对手工会计的审计方法，很少能够对内部控制进行有效的审 计，漏洞较多，不足以确保会计系统的安全。因此，提高对内部控制的认识， 加强对其内涵和技术的研究，重视对内部控制的审计，仍是当前会计电算化和 审计领域的一个关键课题。一般情况下审计人员的责任主要不是审计计算机和 会计软件系统的内部控制措旌，而是审计应用单位制订的内部控制制度是否健 全和真正有效执行。我国过去对会计核算软件的两级评审制度，其实质就是对 会计软件内部控制功能的审计。 尽管目前关于内部控制理论及内部控制审计的研究不少，但大多是泛泛而 谈未能将二者进行有机结合从系统角度进行分析考虑，对实践的指导性不是 很强，笔者通过自身的一些E R P 经验及参与企业内部审计工作对二者有着较为 深刻的感触，借此本文通过在会计电算化下企业内部控制的变化引出其对内部 控制审计的影响并探索相应对策。 叫川人学2 0 0 2 级M B A 学位论文 第3 页 第一部分会计电算化下企业内部控制重点的变化及主要风险 1 1 内部控制理论的概念及其发展 1 1 1 内部控制的内涵与外延 内部控制理论在经过了“内部牵制”、“内部控制系统”和“内部控制结 构”等发展阶段之后，又进一步发展到了“一体化框架”阶段。美国T r e a d w a y 委员会的发起组织组成的委员会( C o m m i t t e eo fS p o n s o r i n gO r g a n i z a t i o n s o ft h eT r e a d w a yC o m m i s s i o n ，简称C o S 0 ) 在经过多年研究之后于1 9 9 2 年9 月发布并于1 9 9 4 年修订了一份研究报告： 内部控制一体化框架 ( I n t e r n a lC o n t r o l I n t e g r a t e dF r a m e w o r k ) 。该报告首次把内部控制从原 来的平面结构发展为立体框架模式，代表着国际上在内部控制方面的最高研究 水平。此后发布的其他一些有关内部控制的报告( 如加拿大的C O C O ，英国的 C a d b u r y ，南非的K i n g ，法国的V i e n o t ，等等) 均以C O S O 的报告为模本砒“。 我国的内部会计控制规范和巴塞尔银行监管委员会的银行组织的内部控 制系统框架也是以C O S O 的报告为基础的。但我国大部分企业管理层甚至许 多内审人员对内部控制的内涵与外延的理解还停留在内部牵制阶段，认为内部 控制就是“职责分工、岗位分离、授权授信、内部审计等”，与国际水平还有 相当的差距。 在外延方面，C O S O 认为内部控制系统包括五个组成要素：控制环境、风险 评估、控制活动、信息与沟通、监控。其中风险评估和信息与沟通是传统内控 理论所没有的，对控制环境之重要性的强调也是前所未有的，监控的具体含义 也得到了拓展。这五个要素相互联系，共同构成一个立体框架：1 、控制环境 ( c o n t r o le n v i r o n m e n t ) ，是指对企业控制的建立和实施有重大影响的一组因 素的总称，包括管理哲学、经营方式、组织结构、人力资源政策与实务、董事 会等。2 、风险评估( r i s ka p p r a i s a l ) ，包括风险辨识和风险分析，风险辨识 有：科技的发展、顾客的需求或预期改变、竞争、新颁法律或行政命令，天然 灾害、经济环境改变、资讯系统处理的中断、聘雇员的品质、训练方法及激励 【注I 】S t e p h e nJ R o o t , B e y o n d C O S O I n t e r n a l C o n t r o l E n h a n c e C o r p o r a t e G o v e r i I a n c e ( 1 9 9 8 ) ；K M P G ，I n t e r n a l C o n c m l ：aP r a c t i c eG u i d e ( 1 9 9 9 ) ；P r i c e w a t e f h o u C o o p e r s O p e r a t i o n a lr i s km a n a g e m e n t ：T h eN e x t T r o n t i e r 2 0 0 1 ) 川川人学2 0 0 2 级M B A 学位论文 第4 页 制度、经理人责任的改变、企业活动的性质、员工可接近资产的程度、董事会 或监督委员会不够坚定或无效等等：风险分析过程通常包括估计风险的严重程 度、评估风险发生的可能性( 或概率) ，考虑应如何管理风险，亦即评估应如何 采取行动。3 、控制活动( c o n t r o la c t i v i t y ) 。指为保证企业目标的实现而建 立的政策和程序，包括业绩评价、信息处理控制、实物控制、职务分离等。 4 、信息与沟通( i n f o r m a t i o na n dc o m m u n i c a t e ) 。对与财务报告目标相关的信 息进行系统的记录，包括确认，记录所有有效的经济业务，序时详细记录经济 业务，以便适当归类，提供会计报告、采用恰当的货币价值计量经济业务、确 定经济业务发生时期，并保证在合理会计期间记录经济业务、在财务报告中恰 当揭示经济业务。5 、监督( m o n i t o r i n g ) 。通过检查控制活动来实现对控制系 统的监督。这五项控制要素不是内部控制过程中先后顺序上的一道道工序，而 是一个多方向交叉的多维的反复的过程。C O S O 报告突出了内部控制过程中的复 杂性和各控制要素之间有机的多维的联系与影响。 1 1 2 美国财务报告内部控制的瓤概念 美国证券交易委员( S E C ) 在2 0 0 2 年发布的3 3 8 1 3 8 号提案中首次对财务 报告内部控制进行了诠释，该提案认为，财务报告内部控制的目的是确保公司 设计的控制程序能为下列事项提供含理的保证：公司的业务活动经过合理的授 权；保护公司的资产避免未经授权或不恰当的使用；公司的业务活动被恰当的 汜录并报告，从而保证上市公司的财务报表符合公认会计原则的编报要求。该 定义符合美国注册会计师协会审计准则公告3 1 9 条款的规定，并与萨班斯一 一奥克斯利法案1 0 3 条款中的内部控制定义保持一致。 根据S E C 2 0 0 3 年6 月正式发布的最终规则中的定义，财务报告内部控制是 指由公司的首席执行宫、首席财务官或者公司行使类似职权的人员设计或监管 的，受到公司的董事会、管理层和其他人员影响的，为财务报告的可靠性和满 足外部使用的财务报表编制符合公认会讳原则提供合理保证的控制程序，具体 包括以下控制政策和程序I 拄1 】： 1 保持详细程度合理的会计记录，准确公允地反映资产的交易和处置情 况： 嘧1 l 朱荣恩。内部撵制评价【M 】_ | E 京，中国时代经济出舨社，2 0 0 2 U q 川人学2 0 0 2 级M B A 学位论文 第5 页 2 为下列事项提供合理的保证：公司对发生的交易进行必要的纪录，从 而使财务报表的编制满足公认会计原则的要求：公司所有的收支活动经过公司 管理层和董事的合理授权； 3 为防止或及时发现公司资产未经授权的取得、使用和处置提供合理保 证，这种未经授权的取得、使用和处置资产的行为可能对财务报表产生重要影 响。 定义中的1 、2 两点与萨班斯一奥克斯利法案1 0 3 条款中要求注册会计 师事务所在审计或鉴证报告中进行内部控制评价的内容保持一致，第3 点则是 针对公司资产的使用和处置提出的，表明保护资产的安全完整是财务报告内部 控制的有机组成部分。 与C O S O 报告中对内部控制的定义相比，S E C 在最终规则中对财务报告内 部控制的定义仅包含了与财务报告可靠性目标相关的部分，而省略了经营活动 的效率效果的目标，遵循相关法律法规目标中也仅保留了诸如证券交易委员会 财务报告要求这类与财务报表编制直接相关的法律法规。这个定义与证券交 易法第1 3 ( b ) ( 2 ) ( B ) 款对内部会计控制的描述保持一致。 2 0 世纪7 0 年代以来，管理层对内部控制有效性是否进行报告曾引起广泛 的争论，但直到萨班斯一奥克斯利法案颁布之前，还没有形成统一的规 范。2 0 0 2 年7 月，国会通过的萨班斯一类克斯利法案第一次对财务报告内 部控制的有效性提出了明确的要求。该法案涉及内部控制的条款主要有瞄“： 1 第1 0 3 款规定，对管理层财务报告内部控制评估的审计师报告，需要 评价公司的内部控制政策和程序是否包括详细程度合理的纪录，以准确公允地 反映公司的资产交易和处置情况；内部控制是否合理保证公司对发生的交易活 动进行了必要的纪录，以满足财务报告编制符合公认会计原则的要求；是否合 理保证公司的管理层和董事会对公司的收支活动进行了合理授权。 2 第3 0 2 款规定，公司首席执行官和首席财务官应当对所提交的年度或 季度报告签署书面证明，证明中涉及内部控制的内容包括：签字人员有责任建 立和维护一套内部控制程序，并且这套内部控制程序的设计应当确保企业内部 其他管理人员都能够知道公司及其纳入合并范围的子公司的所有重大信息，尤 其在定期报告编制期间；保证在财务报告编制之前9 0 天内已经对公司内部控 往1 朱荣思。内部控制评价 岫北京：中屋时代经济出版社，2 0 0 2 州川大学2 0 0 2 级M B A 学位论文 第6 页 制的有效性进行了评价；将关于内部控制有效性的结论反映在报告中；向外部 审计师和公司董事会下的审计委员会报告了在内部控制设计或运行中对公司财 务信息的记录、加工、汇总和报告产生不利影响的所有重大控制缺陷以及重要 控制弱点。 3 第4 0 4 款规定，根据1 9 3 4 年证券交易法中1 3 ( a ) 或1 5 ( d ) 款要求 递交年报的公司，管理层需要对财务报告的内部控制进行报告。同时，该条款 要求这些公司的审计师对管理层的评估进行认证和报告。 4 0 4 条款的规定引起了法律界和职业界的广泛关注，S E C 和A I C P A 积极行 动起来，分别提出了自己的提案和征求意见稿，具体内容包括： l + 2 0 0 2 年1 0 月2 2 日，S E C 发布第3 3 8 1 3 8 号提案，并于2 0 0 3 年6 月5 H 颁椎最终的规则，寻求为遵循4 0 4 条款所需的过渡时间做法。主要内容有： ( 1 ) 修订1 9 3 4 年证券交易法的相关内容，要求上市投资公司之外的公司在年 报中包括一份管理层对公司财务报告内部控制的报告。该内部控制报告的内容 必须包括：管理层签署申明，由其负责建立和维护充分的公司财务报告内部控 制；公司在最近财政年度终了之时对财务报告内部控制的有效性进行评估；说 明管理层进行公司财务报告内部控制有效性评估时采用的框架；提供一份申 明，表明对公司财务报表进行审计的注艇会计师事务所已经对公司管理层的财 务报告内部控制评估报告提供了鉴证报告。( 2 ) 要求公司填报“注艇会计师 事务所鉴证报告( R e g i s t e r e dP u b l i cA c c o u n t i n gF i r m SA t t e s t a t i o nR e p o r t ) ”， 并作为年报的一部分予以公布。( 3 ) 要求管理层对公司季度内出现的、对公 司财务报告内部控制具有重要影响或可能具有重要影响的任何财务报告内部控 制变更进行评价。 ( 4 ) 对1 9 3 4 年的证券交易法和1 9 4 0 年的投资公司 法的相关规则和表格进行了修订，以满足3 0 2 条款的书面证明要求，并根据 萨班斯一奥克斯利法案3 0 2 条款和9 0 6 条款的要求提供该书面证明。 ( 5 ) 自2 0 0 3 年8 月1 4 日起生效。对第一个财政年度在2 0 0 4 年6 月1 5 日或以后结 束的所谓“加速编报”( A c c e l e r a t e dF i l e r ) 公司( 3 ) ，必须在该财政年度的 年报中根据相关的披露要求提供管理层对财务报告内部控制的报告。对第一个 财政年度在2 0 0 4 年6 月1 5 日或之后结束的非加速编报公司，包括外国私人发 行公司( F o r e i g nP r i v a t eI s s u e r ) ，必须在2 0 0 5 年4 月1 5 日或之后结柬的财政 年度年报中遵循内部控制报告的要求。( 6 ) 上市投资公司必须在2 0 0 3 年8 月 p t t ；1 1 大学2 0 0 2 级M B A 学位论文 第7 页 1 4R 或以后遵循针对他们修订的规则和表格要求。特别是财政年度在2 0 0 4 年 6 月1 5 日或之后结束的上市投资公司，必须遵循证券交易法规则1 3 a - 1 5 ( a ) 和1 5 d 一1 5 ( a ) 和投资公司法规则3 0 a 3 ( a ) 的修订内容，维护财务 报告的内部控制。 2 2 0 0 3 年3 月1 8 日，美国注册会计师协会( A I C P A ) 发布财务报告内部 控制审计的征求意见稿，作为对萨班斯一奥克斯利法案4 0 4 条款的响应， 主要内容包括：( 1 ) 对一些审计准则公报( S A S s ) 和鉴证事务准则公报 ( S S A E ) 进行了修订，使之在财务报告内部控制有效性审计中更好地发挥作 用。( 2 ) 作为一项完整的活动，公众公司( P u b l i cC o m p a n y ) 审计包括财务报 表审计和财务报告内部控制有效性审计两个部分。( 3 ) 独立审计师需要对审 计工作进行计划，对公司的内部控制进行了解，对控制的设计有效性和执行有 效性进行评价，进而发表审计意见。( 4 ) 对内部控制缺陷进行了定义。征求 意见稿中将内部控制缺陷分为设计缺陷和执行缺陷，前者主要是指公司的控制 结构和程序不完整，遗漏了一些必要的控制；或者现存的控制设计不合理，从 而导致即使控制按照设计执行了，但无法达到控制的目标。后者则是指一项控 制虽然设计合理，但没有得到有效的执行，或者执行控制的员工没有得到合理 的授权或资质，从而导致控制不能得到有效的执行。征求意见稿中根据内部缺 陷的严重程度将其分为重大控制缺陷( S i g n i f i c a n tD e f i c i e n c y ) 和重要控制弱点 ( M a t e r i a lW e a k n e s s ) 两类。重大控制缺陷是指可能对公司管理层发表的申明 中关于保证交易的发生、记账、过账、报告财务数据和财务报表保持一致的能 力产生不利影响的内部控制缺陷。重要控制弱点是指在内部控制的组成部分的 一个或多个方面存在重大控制缺陷，造成公司的内部控制不能将及时地防止或 发现财务报表中实质性的错误表述的风险降低到一个较低的水平。( 5 ) 对财 务报告内部控制评价发表无保留审计报告的限制条件做了规定。如公司内部控 制中存在未更正的重要控制弱点，独立审计师不能发表财务报告内部控制有效 的无保留意见，而应该根据重要控制弱点的性质，发表保留意见或仅对意见。 根据征求意见稿的观点，财务报表中存在实质性错误表述，公司没有发现，而 外部审计师发现了，则表明公司的内部控制中存在重要控制弱点。 3 针对上述提案和征求意见稿，各注册会计师事务所也积极行动起来， 提出根据4 0 4 条款进行财务报告内部控制评价的操作指引，典型的有 叫川大学2 0 0 2 级M B A 学位论文第8 页 M c G l a d r e y & P u l l e n 会计师事务所和K P M G 会计师事务所发布的两份报告。这 两份报告都对会计报告内部控制有效性评价提出了具体的操作建议，报告中新 的、有价值的观点有： ( 1 ) 对管理层评估财务报告内部控制的程序提供了建议。报告认为，管 理层对内部控制的评估可以分四个步骤来完成，即：计划、设计有效性评价、 执行有效性评价、评估和报告。首先是计划阶段，主要内容包括：对高级管理 人员进行教育，内容涵盖4 0 4 条款及管理当局对财务报告内部控制有效性进行 评价的特殊要求；建立任务小组并明确责任，设定管理层对财务报告内部控制 有效性评价的时间表，并选取C O S O 或其他适当的标准进行评价；确定需要重 点关注的内部控制，并对内部控制体系中涉及多个分部或单位的情况进行处 理，确定哪些分部或单位应该包括在评估内容中，同时对确定的内部控制环节 及相关的分部或单位形成内部控制文件。其次是对财务报告内部控制的设计有 效性进行评价，内容包括：根据确定的标准，对形成文件的重要控制进行设计 有效性评价，内容涵盖内部控制的每个层面( 控制环境、风险评价、控制活 动、信息与沟通、监控) 以及每一个重要控制；检查现存的内部控制文件，发 现存在的缺陷并进行必要的改进工作。第三阶段是对财务报告内部控制的执行 有效性进行评价，具体的行动步骤有：管理层将所设计的内部控制责任分配到 具体的岗位，并组织内部审计人员或第三方人员实施监控程序和评价活动，对 每个分部、单位或环节进行内部控制执行有效性评价；将经理层和内部审计得 出的关于内部控制有效性的结论以及他们在评价过程中发现的内部控制的重大 控制缺陷或重要控制弱点告知C E O 和C F O ：C E O 和C F O 对发现的内部控制缺 陷的重要性进行评价，并就采取的对策达成一致意见；将执行的关于控制的执 行有效性评价程序和评价的结果形成文件；将得出的结论向审计委员会和外部 审计人员报告，并就所发现的重大控制缺陷和重要控制弱点采取的对策取得他 们的赞同。最后阶段是评估和报告阶段，内容有：将财务报告内部控制有效性 的评价与审计人员的审核程序协调起来，对发现的内部控制缺陷实旌必要的内 部控制变更；发表管理层关于财务报告内部控制的申明。并将其作为公司年报 的一部分予以公布；复查发现的重大控制缺陷和重要控制弱点以及采取的对 策，并向法律顾问、审计委员会和董事会报告。 川人学2 0 0 2 级M B A 学位论文第9 页 ( 2 ) 强调“人”的重要性。报告认为，财务报告内部控制有效性评价应 包含董事会、审计委员会、法律顾问、首席执行官、首席财务官、经营管理 层、内部审计和外部审计等各个方面，明确了评估的每个行动步骤由哪些高级 管理人员负主要责任，以确保按时完成内部控制评价工作。 ( 3 ) 界定了管理当局的责任。报告认为，管理层必须承担公司内部控制 有效性的责任，并运用恰当的控制标准( 如C O S O 标准) 来评价公司内部控制 的有效性，对形成的评估结果有足够的证据支持，同时签署一份关于公司内部 控制有效性的书面申明。为取得足够的证据支持管理层的评估结果，管理当局 可以利用内部审计人员、管理人员、其他人员或第三方的工作，将其作为评价 内部控制执行有效性的基础。相应地，管理当局可以雇佣外部审计师之外的注 册会计师事务所或咨询公司来帮助管理当局对内部控制执行有效性进行评价。 ( 4 ) 明确了审计师对财务报告内部控制有效性审核程序的构成要素。报 告要求审计师对内部控制每个层面的重要控制的设计和执行有效性、以及每个 重要账户的余额、交易类别和披露进行评价。审计师不能将他人的评估结果作 为对重要账户余额、交易类别和披露的控制执行有效性的初始证据，但审计师 可以根据他人的工作来改变自身评估工作的测试性质、时间和程度，但这样做 要求审计师重复他人的一部分测试工作，并对每个重要账户、交易类别和披露 相关的控制执行独立性测试。 ( 5 ) 界定了内部控制有效性评价与财务报告审计的关系。两者即有不 同，又有联系。首先，两者的目标不同。财务报表审计的目的是对财务报表是 否在所有重大方面符合公认会计原则的规定发表意见，因而关注的是财务报告 程序的结果。财务报表审计中也需要对公司的内部控制情况进行了解，并对控 制风险进行评价，但这些工作主要是为了决定其它财务报表审计程序的属性、 时I 剐和程度，而并不需要单独对财务报告内部控制的有效性提供报告。而内部 控制审计的目标却是对公司是否在所有重大方面建立健全了财务报告的有效内 部控制发表意见，此时，独立审计师需要了解公司建立的财务报告内部控制， 并对其设计有效性和执行有效性进行测试，要完成这项工作，审计师必须对财 务报告程序( 从交易的开始直到财务报告的编报完成) 中的每一个重要控制的 有效性进行评价。其次，两者也有联系，即都需要对财务报告内部控制的设计 和执行有效性进行评价，审计师可以利用所取得的内部控制评价的证据来改变 川人学2 0 0 2 级M B A 学位论文 第l O 页 其它财务报告审计程序的属性、时间和程度。由于内部控制的内在局限性审 计师仍然需要执行实质性程序进行测试。此外，独立审计师可以根据内部控制 有效性审计中发现的缺陷，来决定财务报表审计实质性测试过程的属性、时间 和程度。 1 1 3 对我国财务报告内部控制评价的启示和借鉴 我国自2 0 世纪9 0 年代起开始加大政府对内部控制的推动作用。现有的法 律法规和行政规范中多项涉及到内部控制的内容。可以看出，政府监管部门对 单位内部控制的建立健全提出了一定的要求，但没有对管理层进行内部控制制 度有效性评价提供实质性指导，从而造成不同公司的管理层在进行内部控制的 有效性评价时没有一个统一的标准。与此同时，我国的内部会计规范才刚刚开 始，一套完整的内部会计控制规范体系的建立还有待时日，这也给内都控制有 效性评价增加了难度。萨班斯奥克斯利法案4 0 4 条款、S E C 发布的最 终规则以及会计师事务所提供的报告，对我国财务报告内部控制有效性评价具 有一定的启发和借鉴意义，具体如下： 1 通过法律法规的形式对财务报告内部控制有效性评价进行强制性规 定。目前，仅有2 0 0 1 年l O 月证监会发布“关于做好证券公司内部控制评审工 作的通知”中对内部控制评审提出了明确的规定，即要求证券公司根据“证券 公司内部控制指引”的要求聘请有证券执业资格的会计师事务所对公司内部控 制进行评审，会计师事务所应当向证券公司提交内部控制评审报告。而在其他 规范中，没有对管理层进行财务报告内部控制有效性评价提出强制性规定。面 对我国上市公司的经营失败和公司舞弊指控的增多，财务报告内部控制的重要 性同益显现，这就对财务报告内部控制有效性进行评价提出了新的要求。我们 应借鉴国外的经验，在相关法律法规中对内部控制评价提出明确的要求，以将 财务报告错误表述的风险降低到一个恰当的水平。 2 建立统一科学的评价标准。美国的相关法律条款和实务都对在内部控 制评价的早期确定科学的评级标准提出了要求，认为应采用诸如C O S O 报告提 出的内部控制完整框架的公认标准，作为财务报告内部控制有效性评价的标 准。目前我国内部控制评价实务中，管理层建立健全有效的内部控制，一般是 参照财政部发稚的内部会计控制规范基本规范( 试行) 进行的，内容 主要是以单位的内部会计控制为主，同时兼颓与会计有关的控制；独立审计师 叫川大学2 0 0 2 级M B A 学位论文 第1 l 页 内部控制审核业务则是根据中国注册会计师协会发布的内部控制审核指导意 见进行的。由于缺乏一套完整的内部控制体系，造成内部控制有效性评价流 于形式，没有和财务报告审计中的内部控制评价明显区分开来。因此，投入一 定的人力、物力、财力，尽早建立一套完整的、公认的内部控制标准，使内部 控制评价有章可循是必要的。 3 明确内部控制评价的内容。目前我国理论与实务界没有对内部控制评 价的内容形成一致的意见。由于独立审计师对财务报告内部控制有效性进行审 计时，主要是针对财务报告形成过程中所有重要的内部控制有效性进行评价， 因此在确定内部控制评价的内容时，一方面应根据注册会计师与委托人达成的 业务约定书内容，另一方面，还需要考虑审计师在审计初期确定的审核标准。 4 设计一套科学的行动指南，为管理层进行内部控制有效性评价提供指 弓；。可以借鉴K P M G 和M c G l a d r e y & P u l l e n 会计师事务所报告中的做法，在单 位内部组建由高级管理人员组成的专门小组，分步骤有计划地对内部控制的设 计和执行情况进行检查和评价。单位可以聘请年报审计的注册会计师之外的中 介机构或有关专业人员协助对本单位的内部控制的建立健全及有效性进行评 价，并对评价过程中发现的重大控制缺陷或重要控制弱点进行必要的改进，保 证财务报告的编报质量，降低财务风险。 5 明确内部控制评价的时间范围。尽管独立审计师发表的内部控制评价 报告是针对特定时点进行的( 一般是与所审计会计报表期间的期束资产负债表 同相一致) ，但审计人员对内部控制有效性与否进行的测试工作则涵盖了一段 时削。因此，K P M G 会计师事务所提供的报告要求，管理层应该保证投入运行 的内部控制必须运行了一段足够的时间，以便于审计师实行执行有效性测试工 作。在确定我国内部控制有效性评价的时间范围时，应借鉴国外的有益经验， 针对一段时间内的内部控制的有效性进行评价，并在管理层关于财务报告内部 控制的申明中明确报告的期间范围，对超过定期限的内部控制评价结果，还 需要取得额外的证据来支持最终的评价结果。 6 管理层评价与外部审计师审核的协调一致性。管理层对内部控制有效 性负责，必须选择适当的控制标准对公司的内部控制有效性进行评价，并获取 足够的证据来支持最终的评价结果，同时需要签署一份关于公司内部控制有效 性的书面申明。而审计师需要对管理层最终形成的内部控制评价报告意见提供 叫川大学2 0 0 2 级M B A 学位论文 第1 2 页 足够的恰当证据。所以管理层应该加强与外部审计师的交流和沟通，例如所确 定的重要的内部控制内容及原因：对重要内部控制形成的文件的完整性以及设 计的合理性如何；在进行重要控制的执行有效性评价时采取的程序是否科学合 理：发现的内部控制缺陷及其重要性如何，采用的改进措施是否有效等。管理 层、内部审计人员以及管理层雇用的第三方的测试工作只能作为外部审计人员 内部控制评价工作的一部分，但审计师还需要重复相关的测试工作，并进行执 行有效性的独立测试，以保证审计结论的公允。 内部控制的建立健全和完善是_ 个长期的工作，我国的内部控制规范才刚 刚开始，在此过程中，适当地借鉴美国等发达国家的有益经验和实际做法，可 以为我国的会计服务市场的发展和内部控制评价的认识提供新的视角。目前， 如何遵循4 0 4 条款对财务报告内部控制有效性进行评价，美国的S E C 已经形成 了最终的规则，而A I C P A 还没有形成最终的审计准则，我们应进一步关注其 进展，并结合我凋的实际情况，建立健全符合我国国情的内部控制评价框架， 以完善我国的内部控制评价工作。 1 2 会计电算化下企业内部控制的主要变化及主要风险 1 2 1 企业实施E R P 带来的风险 E R P 的实施，就好比危险的飞行一般，让人胆战心惊而又无法抗拒。在 E R P 应用的过程中，企业要面临来自业务流程、应用架构、数据质量和技术架 构等四个方面的业务风险。 由于对原有手工业务流程的重新设计，E R P 系统的实施在很大程度上改变 了企业的业务流程。在E R P 系统实施以前，许多企业基于计算机的业务系 统，基本都是围绕某业务功能或者是职能部门运行的，比如销售系统、采购 系统和财务系统等。这些系统都不是基于跨部门的流程来设计的。E R P 系统实 现了从采购到付款、订单的获取到发票的开出等业务集成，实现了跨职能部门 业务处理。 在这种情况下，E R P 系统中单一的数据库，使过去跨部门的审批流程得到 简化和压缩。压缩所造成的一个结果是，用于企业内部控制的许多审计线索在 E R P 系统的引入后消失了。同时，企业过去基于文件审批的内部控制机制，也 无法适应E R P 基于流程的管理需要。更重要的是，由于企业的业务运作更加 州川人学2 0 0 2 级M B A 学位论文 第1 3 页 依赖于E R P 系统，这种依赖和信息系统本身特点所导致的脆弱性，形成了企 业新的业务风险。 实施E R P 系统后，企业所遇到的业务风险一般来自四个方面：业务流 程、应用架构、数据质量和技术架构。其中，业务流程的转变对企业内部控制 的影响最大，对企业内部管理和财务方面的监控提出了新的要求，这方面的风 险特征相比过去发生了根本性的变化。例如，在E R P 系统中通过对手工流 程的机器处理，比如审批处理自动化等，进一步增强了完成各种业务流程的效 率。但是，在新的业务执行环境中，这些审批处理自动化方法将改变企业内部 原有的一些风险特征，这时相应的内部控制体系就需要重新评估和设计。 E R P 实行的是流程化的管理，打破了原来职能部门的条块分割，实现了企 业资源的统一管理和共享。企业的运行和管理在一定程度上已经交给了E R P 系统来进行控制。 这样一来，一方面导致企业所处的内部风险环境发生了变化，过去手工状 态下的控制风险，由于E R P 系统的引入而变得更加复杂；另一方面，E R P 系 统的实施需要对原有的、业务流程进行优化和设计，改变了企业的组织结构。 流程优化的目的就是减少或合并流程中重复的、不增值的环节，原有的基 于手工作业流程中有利于控制的重复环节将消失，这样一来内部控制体系会发 生变化。这些变化必然对企业内部的整体控制体系的有效性产生负面影响。在 这种情况下，就需要企业对基于E R P 系统的关键业务流程的内部控制进行定 期的审核，确认是否存在足够的有效控制以降低由于E R P 系统的使用而带来 的业务风险。 1 2 2 对计算机会计内部控制的再认识 西方对计算机会计内部控制的研究大概始于7 0 年代，美国执业会计师协 会( A I C P A ) 和E D P 审计人员协会从1 9 7 4 年开始先后发表了一系列研究报告 或相关的审计准则，国际会计师联合会( I F A C ) 也在8 0 年代制订了几个有关 计算机审计的准则。这些文告或准则一方面肯定了计算机处理对内部控制的影 响，强调加强内部控制及其审计的必要性：另一方面则比较致地将内部控制 分为一般控制和应用控制两大类，并据此制定了一套E D P 控制标准。 我国财政部1 9 9 4 年发布的会计核算软件基本功能规范，集中在输 入、处理、输出和安全四个方面对会计软件提出规范性要求，实质上涉及的都 州川人学2 0 0 2 级M B A 学位论文第1 4 页 是内部控制的问题，即会计软件系统所应该实现的控制。而首次涉及计算机会 计系统内部控制的审计法规则是1 9 9 9 年7 月1 日生效的独立审计具体准则 第2 0 号会计电算化环境下的审计。 计算机信息处理环境影响会计内部控制及其审计已是不争的事实，但目前 对计算机信息处理环境下内部控制的内容、分类以及如何审计内部控制问题， 概念仍然不十分清晰。不少控制措施以及审计方法严重脱离实际，许多问题还 有待研究。 川川太学2 0 0 2 级M B A 学位论文 第1 5 页 第二部分会计电算化下企业内部控制审计 2 1 内部控制审计的意义及一般方法 2 1 1 内部控制审计的意义 内部控制制度是现代企业进行有效管理的一种必不可少的手段，内部控制 制度主要包括两个方面，即内部管理控制制度和内部会计控制制度。然而一个 企业的内部控制制度是否健全和有效，不仅直接反映这个企业的管理水平和工 作效率，而且与现代审计活动的开展关系极大。现代审计的一个重要特征，就 是在评价被审计对象内部控制制度的基础上，决定进一步审计工作的范围、程 序和方法。所谓内部控制制度审计是指以内部控制为对象，在评审被审计单位 内部控制制度的基础上，决定抽查会计资料的内容、范围和程序，据以进行符