高明月 王冰羽

摘 要：現(xiàn)如今，會計(jì)系統(tǒng)正在隨著互聯(lián)網(wǎng)的迅猛發(fā)展而變得更加先進(jìn)，比如，融入了信息技術(shù)的會計(jì)系統(tǒng)就成了時下流行的會計(jì)信息系統(tǒng)，各大知名企業(yè)紛紛應(yīng)用這種先進(jìn)的系統(tǒng)提升會計(jì)工作質(zhì)量。本文在分析國外信息技術(shù)內(nèi)容、信息技術(shù)程序和信息技術(shù)共享的信息系統(tǒng)過程控制審計(jì)框架基礎(chǔ)上，依據(jù)系統(tǒng)控制理論關(guān)于執(zhí)行和控制的結(jié)構(gòu)性原理，分析信息系統(tǒng)承載業(yè)務(wù)的業(yè)務(wù)流程對信息系統(tǒng)的影響，結(jié)合我國信息系統(tǒng)審計(jì)實(shí)踐，研究和提出審計(jì)目標(biāo)，確定信息系統(tǒng)審計(jì)控制結(jié)構(gòu)，嘗試在控制審計(jì)框架的基礎(chǔ)上擴(kuò)展構(gòu)建框架結(jié)構(gòu)控制審計(jì)框架，從而形成較為完整的信息系統(tǒng)控制審計(jì)框架。

關(guān)鍵詞：信息系統(tǒng) 結(jié)構(gòu)控制 審計(jì)

中圖分類號：F239 文獻(xiàn)標(biāo)識碼：A 文章編號：2096-0298（2017）10（c）-137-02

目前，審計(jì)工作的效率正在不斷提升，這主要得益于其應(yīng)用了先進(jìn)的技術(shù)，才會具備完善的信息系統(tǒng)。在國外，審計(jì)工作結(jié)合信息技術(shù)已經(jīng)具備十分成熟的系統(tǒng)，國內(nèi)與國外相比，還存在一定的差距，但亦在不斷完善之中。國內(nèi)的信息系統(tǒng)主要是吸取先進(jìn)的經(jīng)驗(yàn)，結(jié)合實(shí)際情況，采取一般控制和應(yīng)用控制測試兩要素的帶有結(jié)構(gòu)控制審計(jì)的方法。我國各大企業(yè)對于信息系統(tǒng)審計(jì)高度重視，一方面得益于信息系統(tǒng)的先進(jìn)性，另一方面體現(xiàn)了我國企業(yè)與時俱進(jìn)、不斷探尋的精神。

1 信息系統(tǒng)過程控制審計(jì)框架

20世紀(jì)初期，美國信息系統(tǒng)安全局和內(nèi)部控制審計(jì)局聯(lián)合發(fā)表了一篇名叫《信息系統(tǒng)與內(nèi)部控制》的文章。文章中詳盡的規(guī)劃了按照信息技術(shù)目標(biāo)，對信息技術(shù)資源（用戶、權(quán)限、訪問、接口和數(shù)據(jù)）的信息技術(shù)過程（系統(tǒng)自動生成審計(jì)報(bào)告、系統(tǒng)配置、科目映射、接口控制、訪問和權(quán)限）進(jìn)行管理控制的過程的控制審計(jì)框架。該審計(jì)框架以信息系統(tǒng)為基礎(chǔ)，對審計(jì)進(jìn)行了相應(yīng)的結(jié)構(gòu)控制工作。相應(yīng)地，在信息系統(tǒng)的大背景下，研發(fā)出了以一般控制為主，應(yīng)用控制為輔的審計(jì)測試方法，以供企業(yè)需要。信息技術(shù)的一般控制離不開程序設(shè)計(jì)，更離不開程序的開發(fā)和數(shù)據(jù)處理三個方面。信息技術(shù)應(yīng)用控制和人工控制類似，系統(tǒng)自動控制關(guān)注的要素包括系統(tǒng)處理數(shù)據(jù)的完整性、系統(tǒng)運(yùn)算邏輯的精準(zhǔn)性、信息系統(tǒng)相關(guān)的邏輯檢測、系統(tǒng)自動生成審計(jì)報(bào)告、系統(tǒng)配置、科目映射、接口控制、訪問和權(quán)限等多種要素。

《信息系統(tǒng)與內(nèi)部控制》中，共分為兩種派別，一種是系統(tǒng)論，另一種是控制論。系統(tǒng)論的觀點(diǎn)是，我們生存的世界是有各個系統(tǒng)組成的，一個系統(tǒng)的產(chǎn)生往往帶動另一件系統(tǒng)的出現(xiàn)，這并不是一個罕見的情況，而是普遍存在的。而控制論則認(rèn)為，世間萬物生長必然有規(guī)律，而且是遵循大自然所設(shè)定的法則，我們不僅不能打破，還要遵守會計(jì)行業(yè)規(guī)律。對事物內(nèi)部控制的合理性和有效性綜合評估，則需要外部控制審計(jì)進(jìn)行嚴(yán)格檢查和對內(nèi)部控制再實(shí)施的控制評價(jià)。本文主要研究信息系統(tǒng)結(jié)構(gòu)控制審計(jì)的框架研究，即一般控制測試和應(yīng)用控制測試。因此，信息技術(shù)系統(tǒng)過程控制審計(jì)框架的理論和方法，已經(jīng)在國內(nèi)外企業(yè)信息系統(tǒng)審計(jì)中的實(shí)踐得到了非常廣泛的應(yīng)用。

信息系統(tǒng)審計(jì)框架是由中間控制審計(jì)框架構(gòu)成的。實(shí)際上，我們需要開發(fā)出新的信息系統(tǒng)，更需要在應(yīng)用新系統(tǒng)的同時改進(jìn)系統(tǒng)的不足之處。系統(tǒng)論認(rèn)為，世界是由各種相連的系統(tǒng)構(gòu)成的，一個大系統(tǒng)下面包含很多小的系統(tǒng)，小的系統(tǒng)在量的積累下逐漸構(gòu)成量變的大系統(tǒng)，每個小系統(tǒng)都有著各自存在的意義，包含收集數(shù)據(jù)、整合數(shù)據(jù)、研究數(shù)據(jù)、分析數(shù)據(jù)、應(yīng)用數(shù)據(jù)、計(jì)算機(jī)運(yùn)行管理數(shù)據(jù)和網(wǎng)絡(luò)安全等作用。其中，計(jì)算機(jī)運(yùn)行這一領(lǐng)域的目標(biāo)是保證業(yè)務(wù)系統(tǒng)根據(jù)管理層的需求控制目標(biāo)精確完整的進(jìn)行，運(yùn)行問題有效的識別和解決，從而維護(hù)財(cái)務(wù)數(shù)據(jù)系統(tǒng)的完整性。計(jì)算機(jī)運(yùn)行包括但不限于以下要素，分別分?jǐn)?shù)據(jù)備份和恢復(fù)、系統(tǒng)作業(yè)管理和問題故障管理。20世紀(jì)80年代，我們目前企業(yè)內(nèi)部信息系統(tǒng)控制已經(jīng)開始和國際接軌，并構(gòu)建出來信息技術(shù)一般控制、信息技術(shù)應(yīng)用控制和信息技術(shù)公司層面控制三個要素。

中間控制審計(jì)框架是按照企業(yè)信息技術(shù)流程和信息系統(tǒng)各自存在不同特點(diǎn)而形成的。結(jié)構(gòu)控制審計(jì)框架主要以信息技術(shù)一般控制和信息技術(shù)應(yīng)用控制為主。兩種審計(jì)框架既有區(qū)別又有聯(lián)系。因此，設(shè)計(jì)和研究信息系統(tǒng)結(jié)構(gòu)框架非常有必要。

2 信息系統(tǒng)結(jié)構(gòu)控制審計(jì)框架的內(nèi)容

信息系統(tǒng)結(jié)構(gòu)控制審計(jì)框架，是嚴(yán)格按照信息系統(tǒng)控制要求（輸入、處理和輸出）和目標(biāo)（準(zhǔn)確性、完整性、存在和發(fā)生）對信息系統(tǒng)結(jié)構(gòu)資源（收集資源、管理資源、應(yīng)用資源、安全資源和網(wǎng)絡(luò)資源）的結(jié)構(gòu)控制（信息技術(shù)一般控制、信息技術(shù)應(yīng)用控制和公司層面應(yīng)用控制）進(jìn)行管理的三個框架，并由此形成管理控制、信息技術(shù)一般控制、信息技術(shù)應(yīng)用控制和公司層面應(yīng)用控制等四個框架構(gòu)成的。

2.1 信息系統(tǒng)結(jié)構(gòu)控制審計(jì)三種框架

信息系統(tǒng)結(jié)構(gòu)控制審計(jì)三種框架分別由信息技術(shù)一般控制、信息技術(shù)應(yīng)用控制和公司層面應(yīng)用控制組成。公司層面信息技術(shù)控制水平證明了公司信息技術(shù)的發(fā)展情況，包括公司對信息技術(shù)的支持和信賴程度，信息技術(shù)提供的電算化能否滿足企業(yè)的復(fù)雜信息計(jì)算。信息系統(tǒng)結(jié)構(gòu)控制審計(jì)的三種框架是相輔相成的。信息技術(shù)一般控制是信息技術(shù)應(yīng)用控制和公司層面信息技術(shù)應(yīng)用控制的基礎(chǔ)，信息技術(shù)應(yīng)用控制決定了信息技術(shù)一般控制和公司層面信息技術(shù)應(yīng)用控制。

2.2 信息系統(tǒng)結(jié)構(gòu)控制審計(jì)四種框架

眾所周知，信息系統(tǒng)結(jié)構(gòu)控制審計(jì)的框架并不復(fù)雜，但是技術(shù)含量較高。比如，在該框架中，一般控制審計(jì)是其基礎(chǔ)部分；應(yīng)用控制審計(jì)亦是不可或缺；公司層面控制符合正常審計(jì)工作的范疇，也隸屬于該框架；管理控制審計(jì)則是該框架的第四部分。隨著信息技術(shù)的普及，很多企業(yè)開始引進(jìn)計(jì)算機(jī)系統(tǒng)用來處理財(cái)務(wù)數(shù)據(jù)，計(jì)算機(jī)系統(tǒng)處理數(shù)據(jù)能有效提高企業(yè)審計(jì)的效率，比如，采用企業(yè)資源管理計(jì)劃系統(tǒng)（Enterprise Resource Planning）簡寫為ERP，企業(yè)管理和程序系統(tǒng)（Systems Applications and Products in Data Processing）簡寫為SAP。這兩個系統(tǒng)都有助于提升企業(yè)的辦公效率。ERP和SAP都由多個模塊構(gòu)成的，比如信息錄入管理、企業(yè)績效管理、數(shù)據(jù)分析管理、數(shù)據(jù)輸出管理、企業(yè)資源計(jì)劃等。在存貨業(yè)務(wù)模型中，涉及出庫訂單、入庫訂單、存儲單據(jù)、供貨單和客戶滿意度調(diào)查等流程。實(shí)現(xiàn)信息化條件下的庫存流程，會影響信息系統(tǒng)的應(yīng)用流程、信息資源流程、網(wǎng)絡(luò)通信流程、信息安全等。庫存模塊要素主要涉及了信息系統(tǒng)結(jié)構(gòu)，一般控制結(jié)構(gòu)和業(yè)務(wù)分析結(jié)構(gòu)。在實(shí)現(xiàn)模塊與模塊之間的合理應(yīng)用，在程序啟用之前，四種框架要相互協(xié)作與分工，保證信息系統(tǒng)結(jié)構(gòu)的正常運(yùn)行。

2.2.1 信息系統(tǒng)一般控制審計(jì)

為了保證信息系統(tǒng)的足夠安全，對會計(jì)信息系統(tǒng)的由內(nèi)到外全面控制，對企業(yè)內(nèi)部的審計(jì)模塊進(jìn)行相應(yīng)的控制，繼而出現(xiàn)了信息系統(tǒng)一般控制理論。信息系統(tǒng)一般控制會對企業(yè)的財(cái)務(wù)、銷售、績效等部門產(chǎn)生積極的影響。在正常的情況下，企業(yè)出具效率高的財(cái)務(wù)報(bào)表正是得益于信息系統(tǒng)的一般控制。因?yàn)樗耆蕾囉谟?jì)算機(jī)處理，自動化會計(jì)信息技術(shù)系統(tǒng)才能有效的進(jìn)行。相對于人工控制信息系統(tǒng)，信息技術(shù)一般控制審計(jì)同樣重要。如果企業(yè)計(jì)劃依據(jù)信息系統(tǒng)生成信息的控制，工作人員要對相關(guān)的信息技術(shù)控制做出符合企業(yè)流程的程序。

程序的設(shè)計(jì)和開發(fā)、數(shù)據(jù)的輸入和處理是信息系統(tǒng)一般控制的主要工作內(nèi)容。程序開發(fā)控制一般包括開發(fā)過程中的職責(zé)分離、開發(fā)過程中的需求和變更處理、程序變更、管理方法、數(shù)據(jù)處理和運(yùn)行。確保對程序有關(guān)數(shù)據(jù)的處理和變更是程序變更的核心，更是經(jīng)過后臺程序測試和授權(quán)允許后執(zhí)行的，以達(dá)到管理人員的目標(biāo)。程序和數(shù)據(jù)訪問的重點(diǎn)在于保障數(shù)據(jù)真實(shí)可靠，操作人員經(jīng)過系統(tǒng)核實(shí)后準(zhǔn)確無誤的。最后一個重點(diǎn)是計(jì)算機(jī)運(yùn)行。計(jì)算機(jī)運(yùn)行的目標(biāo)是確保問題有效進(jìn)行識別和解決。例如，程序變更控制缺陷可能導(dǎo)致未授權(quán)人員檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改，以至于系統(tǒng)接受不準(zhǔn)確的錄入數(shù)據(jù)。

2.2.2 信息系統(tǒng)應(yīng)用控制審計(jì)

信息系統(tǒng)首先要進(jìn)行輸入數(shù)據(jù)，其次是處理數(shù)據(jù)，最后是輸出數(shù)據(jù)，這是應(yīng)用控制審計(jì)工作中不可或缺的三大重要程序。與人工控制關(guān)注相似，系統(tǒng)自動控制要素包括準(zhǔn)確性、存在、發(fā)生和完整性。例如，各系統(tǒng)之間數(shù)據(jù)的完整性、銷售訂單的系統(tǒng)自動順序編號、明細(xì)賬數(shù)據(jù)的完整性等。針對系統(tǒng)控制的信息技術(shù)控制關(guān)注點(diǎn)主要包括系統(tǒng)自動生成報(bào)告、接口控制、訪問和權(quán)限等。各企業(yè)，各部門的不同崗位設(shè)置的權(quán)限不同，因此要盡可能減少差異，通過信息系統(tǒng)應(yīng)用來控制審計(jì)。

2.2.3 信息系統(tǒng)公司層面控制審計(jì)

除了信息技術(shù)一般控制和信息技術(shù)應(yīng)用控制外，目前國內(nèi)越來越重視公司層面的控制審計(jì)。常見的公司層面控制審計(jì)包括信息技術(shù)規(guī)劃、數(shù)據(jù)信息季度審計(jì)、信息技術(shù)的成本管理、信息技術(shù)的審計(jì)監(jiān)督和信息技術(shù)的風(fēng)險(xiǎn)管理等。例如，某公司使用了較多的信息技術(shù)外部資源和服務(wù)，則可能會相應(yīng)地提高外部用戶管理和外聯(lián)接口失效的風(fēng)險(xiǎn)，因此需要更多關(guān)注信息技術(shù)公司層面進(jìn)行審計(jì)的控制。

2.2.4 信息系統(tǒng)管理控制審計(jì)

信息系統(tǒng)管理控制審計(jì)是按照審計(jì)管理目標(biāo)，對企業(yè)的各類管理資源控制有效性進(jìn)行分析和評價(jià)。信息系統(tǒng)管理控制審計(jì)有效保障企業(yè)的信息系統(tǒng)的安全，保障系統(tǒng)承載業(yè)務(wù)的真實(shí)性和完整性。例如，在基于信息技術(shù)的信息系統(tǒng)中，系統(tǒng)進(jìn)行自動操作來實(shí)現(xiàn)對交易信息的創(chuàng)建、記錄、處理和生成報(bào)告，并將信息保存為電子形式。根據(jù)管理控制的目標(biāo)，根據(jù)信息化系統(tǒng)控制要素，信息系統(tǒng)管理目標(biāo)的要求，管理控制體系包括組織管理控制、規(guī)劃管理控制和操作管理控制三方面的審計(jì)重點(diǎn)。

3 結(jié)語

隨著信息技術(shù)的普及，很多企業(yè)開始引進(jìn)信息系統(tǒng)來操控企業(yè)的信息和有關(guān)賬目的核實(shí)工作，尤其是在信息系統(tǒng)一般控制和信息系統(tǒng)應(yīng)用控制?？傊?，加強(qiáng)企業(yè)信息系統(tǒng)結(jié)構(gòu)控制，不僅是企業(yè)發(fā)展的要求，也是時代的要求。一方面，我們要借鑒國外信息系統(tǒng)結(jié)構(gòu)控制的先進(jìn)理論，根據(jù)我國實(shí)際情況，建立完全的信息系統(tǒng)結(jié)構(gòu)控制體系；另一方面，在實(shí)際操作中，強(qiáng)化信息技術(shù)體系，提高審計(jì)水平。

參考文獻(xiàn)

[1] 周德銘，曹洪澤.信息系統(tǒng)結(jié)構(gòu)控制審計(jì)框架研究[J].審計(jì)研究，2014（05）.

[2] 王振武，張子瑾.信息系統(tǒng)審計(jì)理論結(jié)構(gòu)框架研究[J].會計(jì)之友，2011（21）.

[3] 唐志豪.信息系統(tǒng)審計(jì)理論結(jié)構(gòu)研究[J].財(cái)會月刊，2007（08）.

[4] 孫健，呂軍，高航.基于過程的信息審計(jì)平臺的體系結(jié)構(gòu)研究[J].航空計(jì)算術(shù)，2005（01）.

[5] 劉杰.信息系統(tǒng)審計(jì)規(guī)范的制度形成機(jī)制與體系結(jié)構(gòu)[J].財(cái)會月刊，2012（09）.

[6] 吳青，翟建設(shè)，張佳琦.信息系統(tǒng)審計(jì)人才知識結(jié)構(gòu)的研究[J].中國管理信息化，2010，13（23）.