审计风险识别报告范例6篇

前言:中文期刊网精心挑选了审计风险识别报告范文供你参考和学习,希望我们的参考范文能激发你的文章创作灵感,欢迎阅读。

审计风险识别报告

审计风险识别报告范文1

关键词:会计控制;信息技术;内部控制;企业资源计划

会计控制作为会计的基本职能,对于界的吸引力是如此之大,以至于理论界对它的研究从来就没有停止过。但会计控制却从来没有如会计核算的研究那么研究起来得心应手。自80年代始至21世纪初,机、远程通讯及信息技术、数据库技术发展日新月异。它们在管理中的运用,使得会计控制的进一步实施与效果提升成为可能。CAD、CAM、MRP、MRP2、ERP等渐次推广,使得会计职能侧重点逐步转向会计控制。我国会计电算化发展最初是面向任务与职能,模仿手工处理;接着是用它来进行财务管理,嵌入一些财务管理的思想观念;后来是从国外泊来ERP(企业资源计划)新的概念。会计伴随着高新技术的发展而变化,,可以说是手工记帐、双轨制、完全甩帐、会计与业务协同管理多种管理成分并存。在此信息技术条件下,研究企业会计控制的本质与性,机遇和挑战是适逢其时的,这是提高会计信息可靠性和决策有用性的需要,也是规范会计信息处理,提高会计信息质量,优化秩序的要求。可见会计控制研究意义深远,责任重大。

一、会计控制的国内外研究状况

研究会计控制不能不联系到内部控制,因为会计控制包含于内部控制。会计控制要很好地发挥作用必须在内部控制的框架环境中,对会计控制的内在要求作深入的研究。可见,会计控制研究是贯穿于内部控制的研究之中的。

在我国,有关内部控制的规范有:1986年财政部颁发《会计基础工作规范》。该规范提到了会计控制,并作出如下定义:“单位为了提高会计信息质量,保护资产的安全、完整,确保有关法规和制度的贯彻执行等而制定和实施的一系列控制、措施和程序”。1997年1月,注协《独立审计具体准则第九号———内部控制与审计风险》,对内部控制的定义为:“被审计单位为了保证业务活动的有效进行,保护资产的安全和完整,防止、发现、纠正错误与舞弊,保证会计资料的真实、合法、完整而制定和实施的政策与程序”。该定义是审计的定义,它明显地套用了美国AICPA(注册会计师协会)在1988年所下定义。1997年1月国家审计署实施《中华人民共和国国家审计基本准则》,其中将内部控制制度的测试当作作业准则予以规定;1999年新会计法将内部控制看作是保障会计信息真实和完整的基本手段;2001年6月财政部《内部会计控制———基本规范(试行)》及《内部会计控制规范———货币资金(试行)》。

在国外,1934年美国《证券交易法》已出现内部会计控制的术语。1949年AICPA在一份特别报告中,首次将内部控制界定为:“一个企业为保护资产完整、保证会计数据的正确、可靠、提高经营效率、贯彻管理部门既定决策,所制定的政策、程序、方法和措施”。该定义界定的范围已超出会计控制的范围。1958年美国会计程序委员会《独立审计人员评价内部控制的范围》的报告,其中将内部控制分为内部会计控制与内部管理控制,即所谓的内部控制二分法的由来。1986年INTOSAI(最高国家审计机关国际组织)在第12界国际审计会议上发表《总声明》,把会计控制界定为:“作为完整的财务和其它控制体系,包括组织结构、方法程序和内部审计。它是由管理者根据总体目标而建立的,目的在于帮助企业的经营活动合理化,具有经济性、效率性和效果性;保证管理决策的贯彻;维护资产和资源的安全;保证会计纪录的准确和完整,并提供及时、可靠的财务和管理信息。”1988年AIPCA《审计准则公告第55号》对内部控制的定义为:“为合理保证企业特定目标的实现而建立的各种政策和程序,由控制环境、会计制度和控制程序三个要素组成。1992年美国COSO委员会《内部控制———整体框架》的报告。1995年AICPA又以《审计准则公告第78号》再次发表。该报告指出:”内部控制是由董事会、经理当局以及其它员工为达到财务报告的可靠性、经营活动的效率和效果、相关法律法规的遵循等三个目标而提供合理保证的过程。“报告中首次提出内部控制包含控制环境、风险评估、控制活动、信息与沟通、监控五要素组成的结构。COSO三目标与五要素报告是至今为止权威性最强的文件。著名的巴塞尔委员会也曾在COSO的成果基础上结合银行业发表过《银行组织中内控制度的框架》,概括出适合于银行业的十三条原则。

从上述国内外对会计控制及内部控制的研究演进过程可以看出,在信息技术条件下,重新认识会计控制问题对于内部会计控制制度建设和制度创新是具有脾益的。

二、会计控制与内部控制区分

在研究会计控制时,常因为其与内部控制的密不可分而等量齐观。从前面对内部控制与会计控制的定义可以看出,会计控制与内部控制无论在内涵上,还是在外延上似乎难以区分。其实,会计控制既与内部控制相联系,同时又有严格的区别。两者的主要联系点是基本目标是一致的,即可概括为提高经济活动的效率与效益、财务报告的可靠性及相关法律法规的遵循。控制的方法基本是相同的,如内部牵制、职务分离、监管等。控制对象是一致的,都是企业生产经营活动。控制程序是相同的,都是建立制度、控制活动、分析差异、奖惩等。但从会计控制角度看,会计控制作为管理活动和信息处理活动,有其特殊化的方面。会计控制可分为业务控制和信息系统控制。会计的业务控制是属于内部控制的组成部分,在计算机大量使用后,许多控制活动是以计算机程序的方式嵌入到企业信息系统之中,由计算机自动进行。比如交易授权控制,它是由程序而不是由员工来触发,具有授权控制不明显的特点。再比如在采购系统中,控制能否符合目标只能在出现大的负面时才能被察觉。管理者对交易授权的关注已转向对相关计算机程序的正确性和完整性检查上。对于职务分离,在计算机信息系统下,许多手工系统下舞弊和差错不复存在,因而这些活动的职务分离也就消失了。总之,会计信息系统控制在新的环境中,由于通信技术、大型数据库、应用软件、商务等的广泛采用,控制的方式、方法、侧重点与效果也将发生质变。

会计控制从不同的层面看具体内涵不同,按照前面介绍的美国的定义,其内涵是十分广泛的甚至是无所不包的。从宏观管理的角度看,内部控制是国家政府的行政监管控制,主要是监控企业法律法规的遵循性,属于外部审计范畴。从公司治理角度看,内部控制是股东人———董事会对经管负责人———总经理的监控。从企业角度看,内部控制则是企业经管人对内部各部门的监控,一般借助于内部审计,其目的还在于提高组织的效率。会计控制主要是一种价值控制,即代表企业利益对各职能部门生产单位的监控,主要是在整个资金循环过程中对资金使用和资金分配的控制及信息系统的控制。会计控制包含了对企业资金流、物质流和信息流的控制,涵盖了对企业经济活动从起点到终点的全方位的控制。实际上,一旦企业的价值活动得到控制,在会计事项处理中会计信息的可靠性、系统性、完整性就可以得到保证。

三、会计实时控制

按照阎达五教授的定义,会计控制的实时控制是指“在IT环境中财会人员利用化技术手段和三量(时间量、实物量、货币量)信息,对企业经营活动的过程进行实时对比和实时分析,通过指导、调节、约束、促进等环节干预企业的经营业务,以实现提高经营效益从而达到价值增值这一终极目标。”该定义概括了实施控制的信息来源、基本方法和目标,并且把指导协调等纳入到控制范畴,具有代表性。笔者认为:准确理解会计实时控制主要体现其跨越时空,进行动态的控制方面。实际上如果没有企业深层次的改革,在原有会计处理环境下、原有组成要素基础和业务流程基础上,要达到真正的实时控制是不可能的。

目前,这种改革主要体现在对ERP的使用上。针对目前会计信息渠道已不能及时提供信息和满足信息使用者个性化需求,采用ERP或类似的现代化程度更高的管理信息系统是大势所趋。唯有如此,才能最终实现会计由适时控制向实时控制转变。该系统吸收并内嵌了国际先进企业的财务管理实践,改善了企业会计核算和财务管理的业务流程,如支持凭证的集中式审核,加快了期末封账的速度;财务系统不仅在内部的各模块充分集成,与供应链和生产制造等系统也达到了无缝集成,使得企业各项经营业务的财务信息能及时准确地得到反馈,从而加强了对资金流的全局控制;强调面向业务流程的财务信息的收集、分析和控制。使财务系统能支持重组后的业务流程,并做到对业务活动的成本控制;更全面地提供财务管理信息,为包括战略决策和业务操作等各层次的管理需要服务。能提供财务报表外多种管理性报表和查询功能,并提供了易于最终用户使用的财务建模分析;支持企业的全球化经营。为分布在世界各地的分支机构提供一个统一的会计核算和财务管理平台,能提供多币种会计处理能力, 支持各币种间的转换;支持多国会计实体的财务报表合并等。

一般地说,运用信息技术建立实时交互式的网上模型,首先要建立一个会计数据库,该数据库由分布在各地的内部会计人员通过企业内部网共同以最原始的水平录入数据和维护。其次,根据不同的会计信息处理和流程建立一个模型库。该模型库实现模型的生成、组合、运算及模型的增、删、改一体化运作。该模型主要有分类汇总模型、财务报告模型、财务模型、预测模型、决策模型等。采用事件驱动的原理,将模型库与源数据信息库相连接,在事件驱动的方式下,可以把信息使用者所需要的信息按动机不同划分为若干事件,为每一种事件设计相应的过程程序模型,当决策者需要某种信息时,相应驱动不同事件程序,得到相应信息。这种方式使得会计业务流程和工作重心发生转移,会计人员的主要工作是加工经过标准编码的源数据信息。由于工作重点的转移,必然要求对会计业务流程作相应的重组。具有标准编码的源数据信息应集中在INTERNET或企业专用网上的源数据库中,称之为源数据信息库。经授权任何人均能够在线收集、分析和提取。在美国SEC(证券交易委员会)1983年开始建立一个全国性上市公司会计数据库,称为EDGAR(数据收集、分布和提取系统)。1992年正式进入运行阶段。Oracle公司提出的系统的ICA结构(体系),也是这方面的应用。长期以来,由于实时控制的IT环境尚不具备(网络、数据库、管理软件),倍息加工远离业务流程,AIS(会计信息系统)仍是一个信息孤岛,无法达到完全意义上的实时控制。在ERP系统实施后,会计系统与其他业务管理系统实现了信息的相互交换,及信息的计算机集成,集团内部数据共享,财务系统有良好的开放性,同业务系统有灵活的数据接口,在很大程度上克服了相同信息在各部门手工重复输入的传统缺陷,只要在一个终端输入一次即可。可减轻财务人员日常工作负担,提高了工作效率和会计核算质量。按照金蝶总裁徐少春的观点:“未来的财务系统在组织建制方面将不再有专门的财务部门”,财务人员的工作大有可能由ERP系统来取代。

四、信息技术条件下会计信息系统控制

按照财政部博导杨周南的定义:“信息系统控制是企业为了保证信息系统效率、完整一致性和安全性而采取的控制措施。”会计信息系统的控制体现了会计控制的内涵,与业务控制的对象是生产经营过程不同。信息系统控制的对象是信息系统,包括计算机硬件、软件资源、应用系统、数据和相关人员等信息系统的组成要素。控制目的是保证效率、安全性和完全一致性。信息系统控制的手段是系统自动控制和手工控制相结合,仍以手工控制为主。在会计控制的两个分支中,业务控制的有效性依赖于信息系统的完整性和正确性。

1.网络环境下会计控制活动的变化

会计信息化的内部控制则是内部会计控制的特殊形式。财政部颁布的《内部会计控制规范———基本规范(试行)》中指出:“电子信息技术控制要求运用电子信息技术手段建立内部会计控制系统,减少和消除人为操纵因素,确保内部会计控制的有效实施”。随着IT技术特别是以Internet为代表的网络技术的和运用,无疑给企业内部控制带来了新的机遇和挑战。会计信息化之后,会计控制的目标、遵循的基本原则、会计控制的对象等并没有发生根本性变化。但由于会计系统运行机制和远行环境的变化,会计控制的侧重点、会计控制的与方法不可避免地会发生裂变。并且这种将会在较长时期内发生作用。企业原有的会计内控制度会发生消失、弱化、转化。

(1)会计数据输入。在电算化会计中,计算机输出的数据是在程序控制之下,对输入的数据源自动进行加工处理,并储存于磁性介质上。所有记账、编制会计报表及分析等工作均在计算机程序的控制下自动进行。然而,电脑中的原始数据必须是由人工事先进行审核和输入计算机的,一旦原始数据在输入中发生错误,计算机无法识别,只会将错就错地进行各种计算工作。因而自动处理数据的准确性,完全依赖于原始数据输入的准确性,正因为会计电算化的这一固有弱点,所以对内部控制提出了一些新的具体要求:一切数据的处理方法和过程都必须规范化,并保持准确性和相对的稳定性,这样才能保证会计信息质量的真实性、完整性和准确性。

(2)电脑操作无形化。在手工方式下,会计信息以账、证、表等形式存储在不同的纸质上,增、删、修改了的会计凭证或会计账册都可以从各自的笔迹和印章上分清责任。但实行了会计信息化后,有形记录较传统手工会计系统大为减少,凭证、业务事项的说明和账簿等大多要依赖计算机方可录入、阅读或查询。数据的载体不同了,储息来源于数据和程序,并且从一开始就存储在各种磁性介质上。有些业务或处理结果可能不被打印出来,只有依靠计算机才能阅读这些数据。如果缺乏适当的内控,那么未经批准擅自改动数据的可能性就明显增大,而且数据改动后能不留下任何痕迹。电磁介质也易受损坏,且有丢失或毁损的危险。所以会计电算化、信息化对会计档案管理形式提出了更高的要求。不仅要保存纸介质会计核算资料,而且要保存、保管好以磁性介质方式存储的各种会计数据和计算机程序,以及系统开发运行中编制的各种文档和其他会计资料。电脑操作无形化和会计档案无纸化带来的风险,是内部控制在会计电算化、信息化条件下面对的新。

(3)传统内部控制措施部分消失。如编制科目汇总表,凭证汇总表,试算平衡的检查,总账与明细账的核对,凭证借贷平衡校验,余额发生额平衡检查等,这些控制在进行系统设计的时候已嵌入于企业信息系统中,对业务控制由计算机自动执行。计算机系统的内部控制也由手工条件下的单一制度控制转变为程序控制和制度控制。

(4)一批具有特殊技能员工的出现。授权、批准控制是一种常见的、基础的内部控制。在手工会计系统中,对于一项经济业务的每个环节都要经过某些具有相应权限人员的审核和签章。但会计电算化后,职能划分发生了巨大的变化。因为业务处理全部都是以电算化系统为主,因而电算化功能和知识的高度集中导致了职责的集中,某些人员对操作系统、应用程序或数据拥有特权,既可从事数据的输入,又可负责数据的输出和报送。因此,如果不加强内部控制,就会使某些计算机操作人员直接对使用中的程序和数据库进行修改,操纵处理结果,从而加大了出现错误和舞弊的风险。由于操作人员是一批只有特殊技能的员工,他们的失误或故意破坏具有突发性、毁灭性和隐蔽性特点。因此,控制操作人员的职能,是会计电算化对内部控制提出的新要求。

2.信息技术条件下会计内部控制

信息技术条件下的会计控制可以有多种分类,从会计信息系统角度分类,应分为一般控制和应用控制。

一般控制是指会计电算系统普遍适用的,为了系统的安全可靠对系统构成要素(人、硬件、软件)及环境进行的控制,包括:

(1)组织与管理控制。指通过部门的设置、人员的分工、岗位职责的制定以及权根的划分等进行的控制。其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少错蔽的发生。在新的会计软件投入正式使用后,对原有会计机构必须做相应调整,对各类人员制定岗位责任制度。会计电算化后的工作岗位可分为基本会计岗位和电算化会计岗位。基本会计岗位可包括:会计主管、出纳、会计核算各岗、稽核、会计档案管理等工作岗位;电算化会计岗位包括:系统管理、操作、维修等工作环节。机构调整必须同组织控制相结合,以实现职权分离,有效地限制和及时发现错误或违法行为。如规定系统开发人员和维护人员不能兼任系统操作员或管理人员等。

(2)系统开发和维护控制。系统开发控制是针对系统开发阶段而言的,具体包括:系统开发前进行可行性和需求分析,开发过程中进行适当的人员分工,收集和保管有关资料并加以保密等。系统维护是指为保障系统的正常运行而对系统硬件、软件进行的安装、修正、更新、扩展、备份等方面工作。系统维护控制包括硬件维护和软件维护,硬件维护主要包括:1.定期进行检查并做好记录;2.在系统运行过程中出现硬件故障要及时进行故障分析并做好记录。而软件维护包括正确性维护、适应性维护、完善性维护等。

(3)硬件、软件控制。硬件控制是指计算机制造商随机配置的某些控制功能或技术手段。软件控制是指为保证系统软件运行正常而预先在系统中设计的各种处理故障、纠正错误、保证系统安全的控制。

(4)系统安全控制。是为保证计算机资源的安全可靠而进行的控制。主要是为防止减少工作疏忽、蓄意破坏等造成的损失和危害。系统安全控制是其它控制的先决条件。在电子商务条件下会计控制是极其重要的内容。如对进入机房内的人员进行严格审查;保证机房设备安全的防火规定;保证计算机正常运行的机房防潮、防磁及恒温等方面的规定;数据备份规定及不准在计算机上玩电脑游戏规定;会计核算软件的修改需报经单位总会计师批准等等规定。

应用控制是指对会计信息系统中具体数据处理活动而进行的控制,包括:

(1)输入控制。是为了防止输入数据的遗漏或重复的检查控制。常见的有:建立科目名称和代码对照文件,防止科目出错。设计科目代码校验,以保证科目代码的正确性。设立对应关系参照文件,用来判断对应账户是否发生错误。试算平衡控制,对每笔记录和借贷方进行平衡校验,防止输入金额出错。顺序检查法,防止凭证编号重复。二次输入法,将数据先后两次输入或同时由两人输入,经对比后确定输入是否正确等。

(2)处理控制。操作过程控制主要通过制订一套完整而严格的操作规定来实现。操作规程应明确职责、操作程序和注意事项,并形成一套电算化系统文件。如规定交接班手续和登记运行日志,规定数据备份及机器的使用规范,规定软盘专用以防病毒感染。具体的控制措施有:登账条件检验,即对输入数据,经复合后才能登账的控制。防错纠错控制即系统要有防止或及时发现在处理过程中数据丢失、重复或出错的控制措施。修改权限和修改痕迹控制,即对已入账的凭证,系统只能提供留有痕迹的更改功能,对已结帐的凭证与账簿生成的报表数据,系统不提供更改功能等。操作环境包括系统操作过程以及系统的维护。

(3)输出控制。在输出环节可能发生未经授权输出,未送给指定部门或未及时送到,输出结果不正确、不完整或不易懂等错误或问题。控制措施是:要求只具有相应权限的人才能执行输出操作,并要登记操作记录,从而达到限制输出信息的目的。做好会计档案管理,其要点包括:1.存档的手续必须有会计主管和系统管理员的签章才能存档保管;2.各种安全保证措施,如备份软盘应贴上保护标签,应存放在安全、洁净、防潮的地方;3.采用磁性介质保存会计档案要定期进行检查和定期复制,防止由于磁性介质损坏而使会计档案丢失。

阎达五,张瑞君,2003:《会计控制新论:会计实时控制研究》,《会计研究》第4期。