答辩问题
问题一、1.如何定义内部控制?
答:内部控制是指公司为防范和化解风险,保证经营运作符合公司的发展规划,在充分考虑内、外部环境的基础上,通过建立组织机制、运用管理方法、实施操作程序与控制措施而形成的系统。内部控制包括广义和狭义。
(一)广义内部控制
人们普遍认为,内部控制概念最早是由审计师提出来的。我国阎金得、陈关亭(1998 )认为“内部控制’第一次作为一个专业术语使用,是在1936年美国会计师协会文告中出现的。20世纪90年代,由美国“发起组织委员会 (COSO)”对内部控制作了如下描述:内部控制是由企业董事会、经理阶层和其他员工实施的,为营运的效率效果、财务报告的可靠性、相关法令的遵循性等目标的实现而提供合理保证的过程,应由控制环境、风险评估、控制活动、信息沟通、监督五个方面的内容构成。这应该是目前为止最为权威的广义内部控制的定义,即包括财务、经营、遵循风险及其他风险管理的控制。可见基本采用了美国COSO中内部控制定义,我们认为这应是广义的内部控制,为我国内部控制制度建设提供了基本标准。
(二)狭义内部控制
狭义企业内部控制定义是由企业董事会、监事会、经理层和全体员工实施的,旨在实现与财务报告有关的内部控制目标的过程。其目标主要是合理保证企业财务报告及其相关信息的真实完整。与财务报告相关的内部控制包括下列方面的政策和程序:一是保存足够详细的记录,准确、公允地反映企业的交易和资产处置情况。二是合理保证按照企业会计准则和相关会计制度编制财务报表的要求记录交易,发生的收入和支出已经过企业管理层和董事会的授权。三是合理保证及时防止或发现未经授权的、对财务报表有重大影响的取得、使用或处置的企业资产。这一狭义内部控制概念的提出主要是为了在注册会计师对企业内部控制进行审计时专门针对财务报告领域的内部控制有效性发表审计意见。
(三)二者关系
狭义内部控制与广义内部控制的定义相比, 前者仅包含了与财务报告可靠性目标相关的部分, 而省略了经营活动的效率效果的目标, 遵循相关法律法规目标中也仅保留了按照会计准则和相关会计制度对财务报告的要求这类与财务报表编制直接相关的法律法规。广义内部控制是对狭义内部控制概念的扩展,明确内部控制不应仅局限于公司治理的财务方面。可以这样理解,广义的内部控制上升到了公司治理的高度,而狭义的内部控制可以和美国PCAOB所提出的“财务报告内部控制”具有相同的涵义,主要用于注册会计师在对企业内部控制进行审计时定义其所涵盖的范围。
2.内部控制的目标和程序?
答:内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。内部控制的目标主要有三个方面:遵循性目标,即确保外部法令、内部规章得到遵循;营运性目标,即保证经营方针及目标的实现;可靠性目标,即信息真实、完整与及时。我把这三个目标归结为一个目标:防范和控制风险。什么是风险?风险是资产、资金遭受损失的可能性。这就是说,内部控制是与企业的资产、资金相联系的,其具体目标是保障资产、资金(包括表内外资产、资金)的安全,免受损失。
内部控制程序可以分为两个层次:一是将客户分解为不同的内部控制主体,主要是公司本部、子公司、分公司等不同层级。这个层次的划分比较简单,根据纳入项目工作范围内组织结构的范围和级次就可以确定。二是将每一个内部控制主体分解为可以记录、评价、完善的内部控制程序。对于一般企业,应该按照以下三个层次划分内部控制程序:
1. 业务模块。即将一个内部控制主体的全部程序根据不同的业务模块进行分解。模块划分的结果,不同的企业会有差异。但一般来说,一个制造业企业的全部内部控制程序,可以分解为采购与应付、生产与存货、销售与应收、资金与风险、资本性支出、总账与报表、税项、工资与福利、长期资产管理、期间费用、所有者权益等模块。
2. 主程序。即将一个模块根据不同业务模式下内部控制程序的差异,划分为不同的主程序。如采购与应付模块在同一个企业内部,采购大宗原材料、辅助用料和办公用品,其内部控制程序通常是有区别的,所以应该划分为不同的主程序,以便程序的描述和评价。
3. 子程序。即将一个主程序根据不同的内部控制阶段划分为不同的子程序。如大宗原材料的采购主程序,可以分解为供应商选择、合同签订、到货、计量、结算、付款、对账等子程序。
3.如何完善电算化会计信息系统的内部控制?
答: (一)建立、健全有关的管理制度 这是通过组织形式加强内部控制的一项重要措施。内容包括建立机房管理、操作管理、系统文档管理和数据管理等项制度,以保证计算机有一个正常的运行环境,保护计算机硬件、软件、文档资料和数据不受侵害和损失。这些制度的建立要作为系统设计的一项重要内容并在系统设计过程中完成。系统投入运行以后,要严格按照制度规定贯彻执行。 建立会计信息系统,必须选择一批政治素质好、业务上能胜任,并且具有会计和计算机应用技术复合知识的人才,组成承担系统运行的组织机构。其中包括程序设计、维护和管理人员,会计数据的采集整理、审核和保管人员,以及运行操作人员。在他们之间要按照内部牵制原则合理分工,在日常工作中能够互相制约,互相监督,防止无意差错和有意舞弊事件的发生。 (二) 系统开发和维护控制 1.系统开发控制 系统开发控制是一种预防性控制,目的是确保财务系统开发过程及内容符合内部控制的要求。财务软件的开发必须遵循国家有关机关和部门制订的标准和规范。在财务系统开发之初,要进行详细的可行性研究;在系统开发过程中,内审和风险管理人员要参与系统控制功能的研究与设计,制订有效的内部控制方案并在系统中实施;在系统测试运行阶段,要加强管理与监督,严格按照《商品化会计核算软件评审规则》等标准进行;在系统运行前要对有关人员进行培训,不仅培训系统的操作,还要使受训人员了解系统投入运行后新的内部控制制度和对财务提供的高质量会计信息的进一步分析与利用等;此外,应及时做好新旧系统转换。企业应在系统转换之际采取有效的控制手段,做好各项转换的准备工作,如旧系统的结算、汇总,人员的重新配置,新系统初始数据的安全导入等。 2.系统维护控制 系统维护包括软件修改、代码结构修改和计算机硬件与通讯设备的维修等,涉及到系统功能的调整、扩充和完善[3]。对财务系统进行维护必须经过周密计划和严格记录,维护过程的每一环节都应设置必要的控制,维护的原因和性质必须有书面形式的报告,经批准后才能实施修改。软件修改尤为重要,系统操作员不能参与软件的修改,所有与系统维护有关的记录都应打印后存档。 (三)电算化会计信息系统的安全控制 电算化会计信息系统的安全控制,是指采用各种方法保护数据和计算机程序,以防止数据泄密、被更改或破坏,主要包括实体安全控制、硬件安全控制、软件安全控制、网络安全控制和病毒的防范与控制等。 1.实体安全控制 实体安全涉及到计算机主机房的环境和各种技术安全要求、光和磁介质等数据存贮体的存放和保护,是一种预防性控制。计算机机房应该符合技术要求和安全要求,充分满足防火、防水、防潮、防盗、恒温等技术条件;机房应配有空调和消防设置等;对用于数据备份的磁盘、光盘等存贮介质应注意防潮、防尘和防磁;对每天的业务数据双备份,建立目录清单异地存放;长期保存的磁介质存贮媒体应定期转贮。计算机会计系统有关的资料应及时存档,企业应建立起完善的档案制度,加强档案管理。一个合理完善的档案管理制度一般有合格的档案管理人员、完善的资料借用和归还手续、完善的标签和索引方法、安全可靠的档案保管设备等。除此之外,还应定期对所有档案进行备份并保管好这些备份。为防止档案被破坏,企业应制订出档案被破坏的事件发生时的应急措施和恢复手段,企业使用的会计软件也应具有强制备份的功能和一旦系统崩溃及时恢复到最近状态的功能,网络中利用两人服务器进行双机镜像映射备份是备份的先进形式。 2.硬件安全控制 计算机会计信息系统的可靠运行主要依赖硬件设备,因此硬件设备的质量必须有充分保证。为防万一,关键性的硬件设备可采用双系统备份。此外,机房内用于动力、照明的供电线路应与计算机系统的供电线路分开,配置UPS(不间断电源)、防辐射和防电磁波干扰设备等。 3.软件安全控制 首先,应分析研究各应用软件的兼容性、统一性,使各业务系统成为基于同一种操作系统平台的大系统,各种业务之间能相互衔接,相关数据能够自动核对、校验,数据备份应统一完成。其次,系统软件应尽量减少人机对话窗口,必要的窗口如凭证输入窗口应力求界面友好、防错能力强,做到非正确输入不接受。再次,要增强系统软件的现场保护和自动跟踪能力,可以对一切非正常操作进行记录。
4.安全控制 随着网络技术的快速,公司应加强网络安全的控制,设置网络安全性指标,包括数据保密、访问控制、身份识别等,并且针对公司的特定状况,开发相应的技术来保护系统[4]。网络对信息系统的安全性提出了比单机系统更高的要求,需加强以下两个方面的控制:一是用户权限设置,应从业务范围出发,将整个网络系统分级管理,设置系统管理员、数据录入员、数据管理员和专职会计员等岗位,层层负责,对各种数据的读、写、修改权限进行严格限制,把各项业务的授权、执行、记录以及资产保管等职能授予不同岗位的用户,并赋予不同的操作权限,拒绝其他用户的访问;二是密码设置,用户应按照自己的用户身份和密码进入系统,对密码进行分组管理,对存储在网络上的重要数据进行有效加密,在网络中传播数据前对相关数据进行加密,接收到数据后再进行相应的解密处理,并定期更新加密密码5.病毒的防范和控制 防范病毒最为有效的措施是加强安全,健全并严格执行防范病毒管理制度[3]。对不需要本地硬盘和软盘的工作站,尽量采用无盘工作。要采用基于服务器的网络杀毒软件进行实时监控、追踪病毒;在网络服务上采用防病毒卡或芯片等硬件,以有效防治病毒。财务软件可挂接或捆绑第三方反病毒软件,加强软件自身的防病毒能力。对外来软件和传输来的数据必须经过病毒检查,在业务系统中严禁使用游戏软件。此外,应及时升级系统的防病毒产品。