基于虛擬機快照技術構建ISCA模型實踐教學設計

李丹 曾慶峰

基于虛擬機快照技術構建ISCA模型實踐教學設計

李丹 曾慶峰

本文首先分析建立ISCA模型實踐教學環境的必要性和傳統會計電算化教學中存在的不足。其次，分析虛擬機和其中快照功能為構建ISCA實踐教學環境從技術方面提供的可能性。最后，提出實現ISCA模型實踐教學環境的實施步驟，并設計典型案例。

ISCA模型 虛擬機 快照技術 實踐教學設計

一、構建ISCA實踐教學環境的必要性

ISCA模型是企業管理信息系統中會計信息系統、健全的信息系統內部控制、內控審計系統三者的結合體。

在傳統會計電算化教學過程中，學生只學習如總賬、報表、工資、固定資產等財務模塊，教學內容設計上沒有從企業集成管理系統、內部控制信息化和內控審計信息化三者結合認識會計信息系統。學生無法將內控理論和內控檢測與評價實踐相結合，無法深刻體會由于審計監督不足、內控設計缺陷或執行失效未被發現，而造成的財務數據不真實、不可靠。

傳統會計電算化教學中實現ISCA模型實踐教學環境存在三點不足：（1）我國企業的會計信息系統正處于從“信息孤島”向“系統集成”的轉型期，不少企業已運行和正準備上線ERP系統。但是，傳統會計電算化教學沒有將財務模塊和業務模塊如營銷模塊、生產模塊等集成，沒有在業務流程、會計工作流程、信息流程和內控流程集成系統中考慮會計信息系統，這一缺陷導致嵌入在ERP系統中的業務自動內部控制測試無法列入教學內容。（2）會計電算化教學賬套準備數據是為完成具體財務操作業務而設計的，沒有針對某項業務內部關鍵控制點測試來設計實驗準備數據。因為傳統的會計信息系統或者ERP系統提供的備份技術只能賬套備份，技術上做不到把某項風險控制點實施前數據照相備份。而且，備份出來的賬套是靜態數據，看不到產生數據時的內控環境。沒有內控測試實驗準備數據，無法實現內控的實驗設計。（3）沒有ERP系統內控審計的教學案例。傳統的審計系統難以獲得非財務化的經營業務方面的審計資料，無法對與財務數據的相關業務系統運行中的內控活動進行審計，無法對內部控制缺陷進行識別、嚴重性評估、認定和應對。然而，我國《內部控制基本規范》中的相關要求是針對“全面內部控制”的。也就是說，不僅財務報告相關內部控制在法規層面被要求規范執行，而且非財務報告相關內部控制也要符合標準。

內部控制信息化管理和審計信息化是會計學科和IT技術相互結合的過程，是會計管理學科發展方向之一。如何培養專業人才，將先進的IT技術引入教學，使學生在操作實踐中懂得IT環境下內控信息化和審計信息化，以實現對會計信息有效控制和監督，是一個十分現實和迫切的任務。人才的培養要有相匹配的教學實驗環境，如能從實踐的角度，利用科學的手段去落實理論研究的成果，將是內部控制理論到實踐的有益的補充。因此，建立ISCA模型實踐教學環境十分必要。

二、基于虛擬機快照技術構建ISCA模型實驗教學環境的可行性

1.虛擬機

虛擬機（Virtual Machine）指通過軟件模擬的具有完整硬件系統功能的、運行在一個完全隔離環境中的完整計算機系統。虛擬機不是一臺真實的計算機，是通過軟件模擬的計算機系統。真實計算機稱為宿主機，軟件模擬計算機系統稱之為虛擬機。虛擬機是網絡化、云計算一種主要的應用。

一個虛擬機文件就可以構建一個集成的ERP系統。虛擬機上集成的ERP系統解決了上述不足中的第一個問題和第三個問題。利用虛擬機技術構建ISCA模型實踐教學環境有三個方面：第一，會計信息系統與業務系統集成在ERP系統中，ERP系統的核心是集成，是業務、財務、信息和內控管理的集成系統；第二，ERP業務流程自動化要求有效的業務控制，內控信息化嵌入在ERP系統中，內控信息在虛擬機中實現了可視化；第三，審計和評價ERP內控信息系統建設和執行有效性是防范IT風險，實現會計信息系統安全、可靠的重要保證。可以在虛擬機構建的ERP系統上設計檢驗內控缺陷漏洞或者執行無效的內控審計案例。

2.快照功能

虛擬機提供快照功能，快照功能是將信息系統運行某時點界面和數據像照片底片一樣永久保留下來。快照功能可以動態保留任何時點數據，所以利用快照就可以做到把某項控制實施前一時點界面照相備份，從技術上解決了上述不足中的第二個問題，即實現針對某項業務內部控制測試實驗的準備數據。有了內控實驗準備數據，就可以設計ERP系統內控管理方面的實驗。同時，快照也解決了第三個問題，快照備份數據既可以是符合內控要求的實驗數據，也可以專門設計內控存在缺陷或執行失效的實驗數據作為審計案例。在虛擬機上可以隨時點擊快照回放，這樣快照實驗數據可以反復調用，也就是說內控缺陷和漏洞可以反復再現，反復測試。保證學生從實踐中悟到識別和應對會計信息系統內控舞弊風險的審計方法。

三、虛擬機快照技術構建ISCA模型實踐教學分析

（一）虛擬機快照技術構建ISCA模型實踐教學的實施步驟

首先，分析嵌入在ERP系統的內控風險關鍵控制點。其次，利用虛擬機快照技術保存關鍵控制點實驗數據作為內控測試準備數據。第三，分析系統中的風險點、內部控制缺陷漏洞和執行無效等問題。第四，分析應對內控信息化舞弊的審計監督措施。

（二）利用虛擬機快照技術構建ISCA模型實踐教學典型案例設計

本文以用友ERP-U8（V8.61）為例，探討“虛假入庫單”實踐教學案例設計。

“虛假入庫單”是指倉庫驗收材料入庫時，運輸部門與倉庫人員串通，截留部分材料私自出售，并以虛假數據填制材料入庫單。從審計角度看，涉及存貨完整性和準確性的認定。

1. ERP系統中涉及“入庫單”的內控風險關鍵控制點

“入庫單”內控風險關鍵控制點是指：一個能夠預防和消除“入庫單”內控風險的影響或將其減少到可接受風險水平的控制措施，保證所有應當記錄的存貨均已記錄，并且設計入庫的金額和其他數據已恰當記錄。

在用友ERP-U8系統企業應用平臺中，系統提供關鍵風險控制點如下：

（1）在“采購管理”/“設置”/“采購選項”設置里選中“普通業務必有訂單”。選中“普通銷售必有訂單”后，采購入庫單不能手工錄入，只能參照訂單生成。這樣倉庫管理員只能按照采購訂單上存貨名稱生成入庫單，存貨名稱不能增加也不能修改，保證入庫單上存貨名稱真實和完整。但是，根據采購訂單生成的入庫單中入庫數量是可以修改的。另外，ERP系統提供數據權限設置功能中記錄級權限設置，可以對采購訂單的金額分級錄入管理，操作員記錄級數據權限設置功能打勾選擇后，只能對單據制單人一定金額以上有權限的單據進行操作；對單據審核人有權限的單據進行操作，保證采購訂單記錄準確性。采購訂單準確是保證入庫單準確的前提條件。

（2）上述選擇后入庫單必須根據訂單生成。系統還提供默認的單據生成順序：請購單-采購訂單-到貨單-入庫單-采購發票-采購結算-應付款審核-應付款制單-應付會計憑證，按照以上順序入庫單可以根據到貨單生成。采購發票根據入庫單生成，系統內控要求入庫單和采購發票數量一致，禁止更改采購發票上數量。另外，采購訂單、到貨單、入庫單都要經過專人審核。ERP系統中提供功能級權限設置，路經：“系統管理”/“權限”/“權限”。利用功能級權限設置可以使入庫單的制單人和審核人由不同操作員控制，這樣崗位職責分離，可以相互監督，保證存貨名稱、數量等數據真實、完整。

（3）ERP系統提供數據權限設置功能，路徑是“系統服務”/“權限”/“數據權限分配”。如果限制倉庫管理員查看入庫價格信息，可以利用數據權限設置中的字段級權限設置功能將倉庫管理員價格信息查看權列為禁用。可以防止倉庫管理員過度關注存貨價格，保證入庫金額準確性。

（4）采購結算功能，路徑：“采購管理”/“采購結算”。采購結算是采購人員根據采購入庫單、采購發票核算采購成本。采購結算生成的采購結算單，是記載采購入庫單記錄與采購發票記錄對應關系的結算對照表，把物流和資金流聯系在一起。系統中采購發票數據可以和企業外部供應商開具的紙質發票相互核對，核對正確的發票再和入庫單核對，保證入庫單的完整性。

（5）盤點功能，路徑：“庫存管理”/“盤點業務”。盤點表獲得的實物證據可以計算核對入庫數量真實和完整。

（6）財務部門和業務部門數據核對。如，財務部門將采購發票上記載的信息和入庫單相互核對，在審核無誤后辦理付款手續；再如，財務部門對存貨核算的信息與倉庫實際盤點的結果核對分析，以保證財務存貨核算信息與倉庫實際出入庫情況相符。

2.利用虛擬機快照技術保存關鍵控制點實驗數據作為內控測試準備數據

以“采購結算”功能為例，說明內控測試實驗準備數據備份的操作步驟。

將采購業務按順序完成“請購單-采購訂單-到貨單-入庫單-采購發票”，即完成［采購結算］前所有操作。然后，點擊虛擬機上快照按鈕備份數據，命名為：“快照1：采購結算前”。

快照1備份數據可以向前追溯采購結算前任何一個關鍵控制點執行情況，例如，觀測制單和審核的操作員是否分工明確，觀測路徑：“系統管理”/“權限”/“權限”。再如，可以觀測到采購結算前的［采購訂單］-［到貨單］-［采購入貨單］-［采購發票］內控管理信息，包括檢查采購訂單是否連續編號、入庫單是否審核、發票是否審核等內控活動。同時，快照1備份數據也可以支持繼續后面操作，如執行“采購結算”/“自動結算”，系統自動進行入庫單和采購發票的核對，并自動將應付款單據數據傳遞到應付款模塊中［審核］和存貨核算模塊中成本核算。系統自動生成的采購結算單，是記載采購入庫單記錄與采購發票記錄對應關系的結算對照表，是內部控制管理關鍵控制點，是內控信息嵌入在ERP系統中的一個實例，可防止入庫單數量少于發票數量問題發生，保證入庫單真實和完整。

3.“虛假入庫單”舞弊操作及審計監督措施

“虛假入庫單”操作手段如下：

第一，錄入虛假的采購訂單。由于采購訂單是核對入庫單正確性的關鍵訂單，所以有可能出現未經過授權的倉庫管理員進入采購訂單模塊，或篡改系統的初始設置。虛假的采購訂單向下游傳遞錯誤數據，在大量交易數據中，自動系統也會處理那些本身就是錯誤的數據，以至于系統無法識別并更正錯誤數據，導致系統對入庫交易進行了不恰當的記錄。

第二，篡改系統入庫單必須參照到貨單生成程序，部分入庫單虛假入庫。

第三，利用盤點時間置后管理漏洞，虛構盤點表，虛構入庫單。例如，在傳統審計庫存盤點中存在典型問題是：某項存貨是2月份購進，6月份全部賣出。傳統庫存盤點時間安排在12月31日，那么對于這項存貨入庫情況無法實施盤點，無法獲取實物證據，這批貨是否真實、完整，只能依靠書面憑證判斷。

第四，采用多套賬舞弊。按照管理層的意愿，利用系統設置的超級用戶，凌駕于所有內控之上，同時操作真實入庫數量和少入庫的兩套或多套賬。

審計監督要點：

第一，由于原始單據進入計算機自動完成，傳統審計只能審計財務賬套，而對于生成財務賬套的業務交易數據不能直接識別，傳統審計線索在這里中斷、消失了。快照技術不但備份了財務數據，而且備份了相關業務交易數據，如各種單據、票證等，同時還備份了業務執行過程和內控信息，保留了審計線索。在虛擬機上點擊快照恢復按鈕可隨時調用快照備份數據，實現審計線索可視化，例如，可以追查是否有人故意對計算機中業務數據進行刪除、剪接。

第二，快照備份數據是動態數據，可以用穿行測試的方法，測試［采購結算］前：［采購訂單］-［到貨單］-［入庫單］-［采購發票］內控執行情況。例如，檢查采購訂單、入庫單是否連續編號。再如，從采購訂單追查入庫單，分析比較入庫單的完整性。快照備份也可以繼續執行［采購結算］后：［應付款審核］-［應付款制單］和存貨核算中［正常單據記賬］-［財務核算］，和ERP系統真實的生產數據對比，發現內控設計和運行缺陷和漏洞，包括人工控制和計算機程序控制兩方面的缺陷和漏洞，例如，發現業務和財務接口數據是否被篡改。

第三，利用數據庫技術，從實際ERP真實生產數據和快照備份數據分別導入到大數據數據庫中，導入數據包括采購合同、采購訂單、質量檢查、入庫單、發票、會計賬套等。用大數鋸分析技術持續對比、發掘兩種數據庫數據，例如，進行關聯分析、聚類分析和異常分析。ERP生產數據庫導出數據和快照備份數據對比，快照數據相當于實時的采集原始數據，對比發現ERP生產導出數據是否被截取、被篡改，檢查入庫單導出數據安全性、一致性、完整性。又因為快照數據實現了審計線索的可視化，違規操作形成的異常數據能更加直觀地顯現出來，同時可以動態分析“入庫單”內控管理執行情況。

第四，保留企業一年或連續三年中每月的快照備份，這樣就可以獲得追溯審查ERP系統中存貨入庫情況的真實性數據。如果某月有采購入庫，在存貨未售出之前確定盤點時間，庫存盤點可以全程錄像作為實物證據。實物證據和快照備份的庫存數據相互印證，保證入庫數據完整性。另外，實行雙人管庫制度，兩名管庫員對庫存操作實行雙重快照備份，這樣可以核對兩名庫管員是否對庫內物品同進庫、同在庫，防止某位倉庫管理員嵌入非法程序，打印出虛假入庫單提供給審計人員。

第五，針對多套賬問題，快照不是只對一套賬數據備份，而是備份了整個運行環境，那么多套賬也在備份的快照中，審計人員可以對比多套賬，發現存有虛假入庫的賬套。

第六，快照備份數據中包含權限設置及變更情況。通過查看快照備份中的“系統管理”/“權限”設置，基礎設置中基礎檔案設置、數據權限設置、工作流程設置，分析權限分工情況， 保證請購、審批、詢價、確定供應商、訂立與審議采購合同、到貨驗收、采購入庫、付款審批等不相容職責相分離，保證ERP系統中的賬號均在經過審批和授權的情況下被使用，防止倉庫人員故意篡改系統記錄，從錄入信息的源頭控制數據的真實性和可靠性。持續的快照備份可以做到定期審閱用戶賬號的創建、修改和刪除信息，特別是可以定期查看系統日志，監督特權賬號和超級用戶賬號的使用情況。

四、結束語

虛擬機是云計算的一種應用，虛擬機建立的ISCA模型實踐教學環境可以為云會計、內控信息化管理、內控云審計培訓提供支持。隨著移動互聯網的發展，未來虛擬機也可以移植在手機中，一部手機就可以成為移動的ISCA模型實驗主機，也可以成為移動會計和審計實驗室。

作者單位：北京服裝學院商學院北京科技大學計算機通信學院

主要參考文獻

1.楊周南.論會計管理信息化的ISCA模型.會計研究.2003（10）

2.陳瀟怡，歐陽電平. 企業內控信息化實施的規范化方法研究—基于領域分析與形式化方法.會計研究. 2013（3）

3.楊有紅，李宇立.內部控制缺陷的識別、認定與報告.會計研究.2011（3）

4.韓新毓. 全面風險管理視角下的ERP 采購流程風險及控制. 會計之友.2013（8）

北京服裝學院教育教學改革一般項目“《稅法》課程間接稅改革實踐教學案例設計”（項目編號：JG-1410）。創新團隊項目編號：2014T-02:基于管理會計視角的紡織服裝企業職位資本研究