信息系統結構控制中的審計框架研究

高明月 王冰羽

摘 要：現如今，會計系統正在隨著互聯網的迅猛發展而變得更加先進，比如，融入了信息技術的會計系統就成了時下流行的會計信息系統，各大知名企業紛紛應用這種先進的系統提升會計工作質量。本文在分析國外信息技術內容、信息技術程序和信息技術共享的信息系統過程控制審計框架基礎上，依據系統控制理論關于執行和控制的結構性原理，分析信息系統承載業務的業務流程對信息系統的影響，結合我國信息系統審計實踐，研究和提出審計目標，確定信息系統審計控制結構，嘗試在控制審計框架的基礎上擴展構建框架結構控制審計框架，從而形成較為完整的信息系統控制審計框架。

關鍵詞：信息系統 結構控制 審計

中圖分類號：F239 文獻標識碼：A 文章編號：2096-0298（2017）10（c）-137-02

目前，審計工作的效率正在不斷提升，這主要得益于其應用了先進的技術，才會具備完善的信息系統。在國外，審計工作結合信息技術已經具備十分成熟的系統，國內與國外相比，還存在一定的差距，但亦在不斷完善之中。國內的信息系統主要是吸取先進的經驗，結合實際情況，采取一般控制和應用控制測試兩要素的帶有結構控制審計的方法。我國各大企業對于信息系統審計高度重視，一方面得益于信息系統的先進性，另一方面體現了我國企業與時俱進、不斷探尋的精神。

1 信息系統過程控制審計框架

20世紀初期，美國信息系統安全局和內部控制審計局聯合發表了一篇名叫《信息系統與內部控制》的文章。文章中詳盡的規劃了按照信息技術目標，對信息技術資源（用戶、權限、訪問、接口和數據）的信息技術過程（系統自動生成審計報告、系統配置、科目映射、接口控制、訪問和權限）進行管理控制的過程的控制審計框架。該審計框架以信息系統為基礎，對審計進行了相應的結構控制工作。相應地，在信息系統的大背景下，研發出了以一般控制為主，應用控制為輔的審計測試方法，以供企業需要。信息技術的一般控制離不開程序設計，更離不開程序的開發和數據處理三個方面。信息技術應用控制和人工控制類似，系統自動控制關注的要素包括系統處理數據的完整性、系統運算邏輯的精準性、信息系統相關的邏輯檢測、系統自動生成審計報告、系統配置、科目映射、接口控制、訪問和權限等多種要素。

《信息系統與內部控制》中，共分為兩種派別，一種是系統論，另一種是控制論。系統論的觀點是，我們生存的世界是有各個系統組成的，一個系統的產生往往帶動另一件系統的出現，這并不是一個罕見的情況，而是普遍存在的。而控制論則認為，世間萬物生長必然有規律，而且是遵循大自然所設定的法則，我們不僅不能打破，還要遵守會計行業規律。對事物內部控制的合理性和有效性綜合評估，則需要外部控制審計進行嚴格檢查和對內部控制再實施的控制評價。本文主要研究信息系統結構控制審計的框架研究，即一般控制測試和應用控制測試。因此，信息技術系統過程控制審計框架的理論和方法，已經在國內外企業信息系統審計中的實踐得到了非常廣泛的應用。

信息系統審計框架是由中間控制審計框架構成的。實際上，我們需要開發出新的信息系統，更需要在應用新系統的同時改進系統的不足之處。系統論認為，世界是由各種相連的系統構成的，一個大系統下面包含很多小的系統，小的系統在量的積累下逐漸構成量變的大系統，每個小系統都有著各自存在的意義，包含收集數據、整合數據、研究數據、分析數據、應用數據、計算機運行管理數據和網絡安全等作用。其中，計算機運行這一領域的目標是保證業務系統根據管理層的需求控制目標精確完整的進行，運行問題有效的識別和解決，從而維護財務數據系統的完整性。計算機運行包括但不限于以下要素，分別分數據備份和恢復、系統作業管理和問題故障管理。20世紀80年代，我們目前企業內部信息系統控制已經開始和國際接軌，并構建出來信息技術一般控制、信息技術應用控制和信息技術公司層面控制三個要素。

中間控制審計框架是按照企業信息技術流程和信息系統各自存在不同特點而形成的。結構控制審計框架主要以信息技術一般控制和信息技術應用控制為主。兩種審計框架既有區別又有聯系。因此，設計和研究信息系統結構框架非常有必要。

2 信息系統結構控制審計框架的內容

信息系統結構控制審計框架，是嚴格按照信息系統控制要求（輸入、處理和輸出）和目標（準確性、完整性、存在和發生）對信息系統結構資源（收集資源、管理資源、應用資源、安全資源和網絡資源）的結構控制（信息技術一般控制、信息技術應用控制和公司層面應用控制）進行管理的三個框架，并由此形成管理控制、信息技術一般控制、信息技術應用控制和公司層面應用控制等四個框架構成的。

2.1 信息系統結構控制審計三種框架

信息系統結構控制審計三種框架分別由信息技術一般控制、信息技術應用控制和公司層面應用控制組成。公司層面信息技術控制水平證明了公司信息技術的發展情況，包括公司對信息技術的支持和信賴程度，信息技術提供的電算化能否滿足企業的復雜信息計算。信息系統結構控制審計的三種框架是相輔相成的。信息技術一般控制是信息技術應用控制和公司層面信息技術應用控制的基礎，信息技術應用控制決定了信息技術一般控制和公司層面信息技術應用控制。

2.2 信息系統結構控制審計四種框架

眾所周知，信息系統結構控制審計的框架并不復雜，但是技術含量較高。比如，在該框架中，一般控制審計是其基礎部分；應用控制審計亦是不可或缺；公司層面控制符合正常審計工作的范疇，也隸屬于該框架；管理控制審計則是該框架的第四部分。隨著信息技術的普及，很多企業開始引進計算機系統用來處理財務數據，計算機系統處理數據能有效提高企業審計的效率，比如，采用企業資源管理計劃系統（Enterprise Resource Planning）簡寫為ERP，企業管理和程序系統（Systems Applications and Products in Data Processing）簡寫為SAP。這兩個系統都有助于提升企業的辦公效率。ERP和SAP都由多個模塊構成的，比如信息錄入管理、企業績效管理、數據分析管理、數據輸出管理、企業資源計劃等。在存貨業務模型中，涉及出庫訂單、入庫訂單、存儲單據、供貨單和客戶滿意度調查等流程。實現信息化條件下的庫存流程，會影響信息系統的應用流程、信息資源流程、網絡通信流程、信息安全等。庫存模塊要素主要涉及了信息系統結構，一般控制結構和業務分析結構。在實現模塊與模塊之間的合理應用，在程序啟用之前，四種框架要相互協作與分工，保證信息系統結構的正常運行。

2.2.1 信息系統一般控制審計

為了保證信息系統的足夠安全，對會計信息系統的由內到外全面控制，對企業內部的審計模塊進行相應的控制，繼而出現了信息系統一般控制理論。信息系統一般控制會對企業的財務、銷售、績效等部門產生積極的影響。在正常的情況下，企業出具效率高的財務報表正是得益于信息系統的一般控制。因為它完全依賴于計算機處理，自動化會計信息技術系統才能有效的進行。相對于人工控制信息系統，信息技術一般控制審計同樣重要。如果企業計劃依據信息系統生成信息的控制，工作人員要對相關的信息技術控制做出符合企業流程的程序。

程序的設計和開發、數據的輸入和處理是信息系統一般控制的主要工作內容。程序開發控制一般包括開發過程中的職責分離、開發過程中的需求和變更處理、程序變更、管理方法、數據處理和運行。確保對程序有關數據的處理和變更是程序變更的核心，更是經過后臺程序測試和授權允許后執行的，以達到管理人員的目標。程序和數據訪問的重點在于保障數據真實可靠，操作人員經過系統核實后準確無誤的。最后一個重點是計算機運行。計算機運行的目標是確保問題有效進行識別和解決。例如，程序變更控制缺陷可能導致未授權人員檢查錄入數據字段格式的編程邏輯進行修改，以至于系統接受不準確的錄入數據。

2.2.2 信息系統應用控制審計

信息系統首先要進行輸入數據，其次是處理數據，最后是輸出數據，這是應用控制審計工作中不可或缺的三大重要程序。與人工控制關注相似，系統自動控制要素包括準確性、存在、發生和完整性。例如，各系統之間數據的完整性、銷售訂單的系統自動順序編號、明細賬數據的完整性等。針對系統控制的信息技術控制關注點主要包括系統自動生成報告、接口控制、訪問和權限等。各企業，各部門的不同崗位設置的權限不同，因此要盡可能減少差異，通過信息系統應用來控制審計。

2.2.3 信息系統公司層面控制審計

除了信息技術一般控制和信息技術應用控制外，目前國內越來越重視公司層面的控制審計。常見的公司層面控制審計包括信息技術規劃、數據信息季度審計、信息技術的成本管理、信息技術的審計監督和信息技術的風險管理等。例如，某公司使用了較多的信息技術外部資源和服務，則可能會相應地提高外部用戶管理和外聯接口失效的風險，因此需要更多關注信息技術公司層面進行審計的控制。

2.2.4 信息系統管理控制審計

信息系統管理控制審計是按照審計管理目標，對企業的各類管理資源控制有效性進行分析和評價。信息系統管理控制審計有效保障企業的信息系統的安全，保障系統承載業務的真實性和完整性。例如，在基于信息技術的信息系統中，系統進行自動操作來實現對交易信息的創建、記錄、處理和生成報告，并將信息保存為電子形式。根據管理控制的目標，根據信息化系統控制要素，信息系統管理目標的要求，管理控制體系包括組織管理控制、規劃管理控制和操作管理控制三方面的審計重點。

3 結語

隨著信息技術的普及，很多企業開始引進信息系統來操控企業的信息和有關賬目的核實工作，尤其是在信息系統一般控制和信息系統應用控制。總之，加強企業信息系統結構控制，不僅是企業發展的要求，也是時代的要求。一方面，我們要借鑒國外信息系統結構控制的先進理論，根據我國實際情況，建立完全的信息系統結構控制體系；另一方面，在實際操作中，強化信息技術體系，提高審計水平。

參考文獻

[1] 周德銘，曹洪澤.信息系統結構控制審計框架研究[J].審計研究，2014（05）.

[2] 王振武，張子瑾.信息系統審計理論結構框架研究[J].會計之友，2011（21）.

[3] 唐志豪.信息系統審計理論結構研究[J].財會月刊，2007（08）.

[4] 孫健，呂軍，高航.基于過程的信息審計平臺的體系結構研究[J].航空計算術，2005（01）.

[5] 劉杰.信息系統審計規范的制度形成機制與體系結構[J].財會月刊，2012（09）.

[6] 吳青，翟建設，張佳琦.信息系統審計人才知識結構的研究[J].中國管理信息化，2010，13（23）.