搜索
《索耶内部审计》读后感内部审计已经成为了越来越重要的工作,索耶内部审计对内部审计阐述了明确的定义并且指导了工作人员如何进行内部审计。一、内部控制的涵义和作用1.内部控制的涵义(1)内部控制的含义在当前的经济环境下,现代公司的商业过程常常会超越法定的公司边界,公司越来越多的业务都要与其他公司合作完成或完全由其他公司完成,而根据“内部”的一般涵义,它是不适合包含由其他组织完成的流程的,但是,这些涉外的业务都与企业目标的实现直接相关,如果不能包含到“内部控制”中,那么就说明相关各方对内部控制的定义存在缺陷。根据韦伯词典,“内部”的基本涵义为“位于某事物的范围之内或表面”,还有一个涵义是“和一个组织的机构相关”。在《超越COSO,加强公司治理的内部控制》一书中,美国的StevenRoot据此认为,如果某一事物是“内部的”,那么,它可以是在一个团体、机构或组织内,也可以是和组织相关。从而,企业内部控制可以超出组织的物理和法律边界,而包括与企业相关的外部契约在内的企业所有契约及活动。1(2)内部控制的定义如前所述,内部控制的定义经历了方法观、过程观、风险观三个阶段。人们对内部控制的定义经历了从简单到复杂、从静态到动态、从以制度为本到以人为本的一种逻辑演绎,体现了人们对内部控制认识的逐渐深化,加深了人们对内部控制的进一步理解,从而使人们对内部控制这一客观事物的认识更能贴近事物的本原。从内部控制定义的发展过程可以看出,对内部控制定义的每一次突破,都是在充分吸收了前人研究成果的基础上,并结合客观实际的需要而提出来的,本文也不例外。本文认为,所谓内部控制,是由企业建立的,通过约束和激励等手段,以保障企业各利益相关者的行为能够按契约的要求进行,并能够促使契约自我优化的一种系统化的机制,其目的是为了实现企业目标。(3)内部控制的范围界定“内部”其实是在界定内部控制的范围,而企业内部控制的范围取决于企业的范围或边界。企业是一个人造的经济系统,系统的边界是事物质的规定性在人们头脑中的反映,是用以区分系统与环境两个本质不同的系统所包含的要素的界限。企业与市场在本质上是一样的,都是交易的一种组织形式。在经济发展的最初阶段,市场是交易的主要场所,企业等组织形式较少,还没有发展起来。企业的出现是因为在一定条件下,交易在企业内部进行比在一般意义上的市场内进行成本更低,效率更高,所以,出现了所谓的企业对市场的替代。但是,如果企业内部由于管理水平等原因导致某些交易的交易成本比在市场内进行高,那么这种交易就会选择在市场内进行,比较典型的就是某些品牌经营公司,只有总部,负责设计,负责销售,而没有生产等部门。公司内部各部门之间采用市场价格作为转移价格也是一种市场替代企业的表现。总而言之,企业和市场之间的边界是以交易成本的相对高低来确定的,随着社会经济环境、信息技术、社会政治法律制度、人们素质等环境因素的变动,交易成本也处于不断的变动之中,从而,企业和市场的边界从理论上来说也处于一个不断变动的状态,是一个动态的界限。当然,影响这种交易成本相对高低的一个重要因素就是企业经营管理和内部控制的好坏。因此,企业的边界取决于市场交易成本和企业内交易成本的相对高低,如果二者相等,则企业的边界相对稳定,如果不断的在变化,则企业的边界在不断的调整。从上述分析可以看出,企业对市场的替代是因为在企业内部建立长期稳定的契约关系对资源进行交易能够节约交易成本,提高效率。并且,企业和市场的边界是随着资源在企业和市场中交易成本的高低处于不断变化的动态过程,因此,内部控制的范围也是随着企业边界的变化而不断变化的过程。2.内部控制的作用内部控制作为一种先进的组织管理制度,已经被不少经营管理比较出色的企业所采用,内部控制在现代经济生活中发挥着越来越重要的作用,主要表现为以下四个方面。(1)保证党和国家方针政策与法规制度的贯彻执行贯彻党和国家的方针政策与法律法规是企业的一项法定义务,健全有效地内部控制制度则是保证这一任务圆满完成的重要手段。因为,通过内部控制所形成的相互协调与相互制约机制,能够及时地反映、检查、揭示和纠正经营管理中的违法违纪行为,从而有效地保证党和国家的方针政策与法规制度在企业内部得以较好地贯彻执行。(2)保证企业经营目标的顺利实现健全的内部控制制度能够对企业内部各个职能部门和人员进行合理的分工、协调、监督、检查与考核。通过内部控制所规定的各种程序和手段,可以将企业内部各个职能部门的方针政策、计划定额以及其他内部管理制度的情况反馈给企业管理部门,及时发现和纠正所出现的偏差,保证各项生产经营活动高效有序地进行,从而全面提高经济效益,实现各项预期目标。(3)保证财务会计信息的质量财务会计工作涉及企业生产经营的各个方面,企业决策和日常管理所需要的信息绝大多数来自财务会计信息系统。准确可靠的财务会计信息是企业评价过去、控制现在及把握未来的重要条件,也是国家有关部门制定宏观经济政策的依据。内部控制制度通过制定和执行恰当的业务控制程序,科学、合理地划分职责范围,建立相互协调、相互制约的机制,可以使会计活动得到有效的控制,避免差错和弊端的发生,从而可以保证财务会计信息的质量水平。保证会计数据的正确性是内部控制最初的也是最重要的作用。二、内部控制的主要内容1.组织与管理控制组织与管理控制是指通过部门的设置、人员的分工、岗位职责的制定、权限的划分等形式进行的控制,其基本目标是建立恰当的组织机构和职责分工制度,以达到相互牵制、相互制约、防止或减少舞弊发生的目的。其主要内容包括:(1)工作站点设置控制。合理设置工作站点,并通过操作系统、数据库管理系统实现对各工作站的职责分工控制;(2)内审制度。设立内审部门,监督和控制各工作站的日常运行;(3)风险管理制度。设立风险评估小组(可由系统分析员、内审人员、主要用户组成),定期对系统进行风险评估、弱点分析,以不断完善会计控制体系;(4)人事管理控制。实行业务考核制度,对特殊企业(如金融企业等)的重要岗位可实行轮岗制度等。2.系统日常操作管理控制系统操作控制主要表现为操作权限控制和操作规程控制两个方面。操作权限控制是指每个岗位的人员只能按照所授予的权限对系统进行作业,不得超越权限接触系统。系统应制定适当的权限标准体系,使系统不被越权操作,从而保证系统的安全。操作权限控制常采用设置口令来实行。操作规程控制是指系统操作必须遵循一定的标准操作规程进行。操作规程应明确职责、操作程序和注意事项,并形成一套电算化系统文件,如对进入机房内的人员进行严格审查;规定交接班手续和登记运行日志;规定数据备份及机器的使用规范;规定软盘专用以防病毒感染;规定不准在计算机上玩电脑游戏等等。标准操作规程包括:软硬件操作规程,作业运行规程,上机时间记录规程等。3.系统维护控制系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善。对网络会计系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都必须设置必要的控制,维护的原因和性质要有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,网络会计系统操作员不能参与软件的修改,所有与系统维护有关的记录都应该打印后存档。4.会计数据资源控制数据库系统是整个系统控制的主要安全目标。对数据库系统安全的威胁主要来自两个方面:一是系统内外人员对数据库的非法访问;二是由于系统故障、误操作或人为破坏造成数据库的物理损坏。针对上述风险,会计数据资源控制主要可采取以下措施:(1)合理定义应用子模式。子模式是指全部数据资源中面向某一特定用户或应用项目的一个数据子集。在网络环境下,为了限制合法用户或非法访问者轻易获取全部会计数据资源,应根据不同的应用项目(功能)分别定义面向用户操作的数据界面,做到需要什么数据,用到什么数据,就开放什么数据。(2)会计数据资源授权表制度。明确定义每一用户对数据资源访问的范围和内容,并分别规定对数据库的查阅、修改、删除、插入等操作权限。(3)数据备份和恢复制度。网络环境下的数据备份和恢复远比成批集中式处理环境下要复杂,为保证系统恢复的有效性和一致性,建立业务日志文件(记录系统处理过程的文件)和检查点文件(作业内容信息能被记录下来,并可重新启动该作业的一个点)是必要的。5.网络的安全控制随着网络技术快速地发展,公司应加强网络安全的控制,在技术上对整个财务网络系统的各个层次(通信平台、网络平台、操作系统平台、应用平台)都要采取安全防范措施和规则,建立综合的多层次的安全体系。网络安全性指标包括数据保密、访问控制、身份识别等。(6)应用控制应用控制是指具体的应用系统中用来预防、检测和更正错误,以及防止不法行为的内部控制措施。1、在输入控制中,要求输入的数据应经过必要的授权,并经有关内部控制部门检查,还要采用各种技术手段对输入数据的准确性进行校验;2、在处理控制中,对数据进行有效性控制和文件控制,有效性控制包括数字的核对、字段和记录长度检查、代码和数值有效范围的检查、记录总数的检查等,文件控制包括检查文件长度、标识和是否染毒等;3、在输出控制中,一要验证输出结果是否正确和是否处于最新状态,以便用户随时得到最新准确的会计信息,二要确保输出结果能够送发到合法的输出对象,文件传输安全正确。三、完善我国会计信息化环境下内部会计控制的几点建议1.加强对会计信息化系统研制开发的控制会计信息化系统的研制开发是一项系统工程,不仅涉及到诸多学科,而且还涉及到其系统是否遵循当前的会计法规和财经制度的有关规定。尽管各会计软件系统采用了一些内部控制措施,如设置口令、设置使用权限等,但对能够打开密码库的人来说,这些都形同虚设,起不了作用;还有数据修改不留痕迹,在机内没有相应的数据修改记录,不能为审计工作留好接口;再有岗位分工是手工操作中的重要内部控制手段,这在会计信息化系统中虽有体现,但还不够合理明确,实践中可操作性不强。因此,财政部门在依据有关法规对商品化会计软件进行评审时,在基本功能模块符合规定的前提下,不能忽视对软件内部会计控制的检查,使会计软件公司明确自己的责任,严格规范会计软件产品的程序系统在数据输入、处理、输出、传输和安全保护的控制功能。2.建立和完善会计信息化的管理制度管理制度是保证实现会计信息化安全、准确、可靠的先决条件。不建立和完善有关管理制度,不但不能很好地发挥会计信息化的作用,反而有可能造成会计工作的混乱,甚至给企业和国家造成损失。管理制度一般包括下列几方面的内容:①各种人员的岗位责任制。确定各种人员的职责范围及其考核办法。②安全保密制度。制定口令密码的使用和管理办法,机房、保卫、数据资料安全等方面应遵循的制度。③机器操作管理制度。规定应遵守的机器操作过程和应注意事项。④数据管理制度。规定输入、输出、存储、查询、使用数据应遵守的制度。⑤会计档案管理制度。修订《会计档案管理办法》,重新规定会计档案的范围、保管办法以及领用手续。⑥系统维护管理制度。规定系统维护的申请、审批和应完成的任务。3.加强会计信息化系统的组织控制在会计信息化系统中,建立有效的内部会计控制,首先要有恰当的组织控制。组织控制的最基本要求是达到恰当的职责分离,使系统中的有关人员正确、有效地履行自己的职责,并能有效地限制和及时发现错误和不法行为。目前,由于我国各类企业规模、管理方式及发展方向不同,因而电算化系统的组织机构设置也不同。各单位有权自行选择,但不管什么组织机构设置,都必须贯彻五分离原则:①授权批准职务与执行业务职务相分离;②业务经办职务与审核监督职务相分离;③业务经办职务与会计记录职务相分离;④财产保管职务与会计记录职务相分离;⑤业务经办职务与财产保管职务相分离。4.加强企业会计信息化系统的内部审计电算化内部审计是内部会计控制的一种特殊形式,在某种意义上说是对其他内部控制的再控制,因而是电算化系统内部控制最有效的手段之一。通过电算化内部审计,可以发现各种控制手段的弊端,找出进一步改进的措施。在系统运行的各个环节,都应有内审人员参与,定期检查和测试会计信息化系统的工作情况,参与制定和监督执行相关管理制度,建议修改或选择会计软件。5