會計信息系統六要素審計方法

導語：會計信息系統六要素審計方法一文來源于網友上傳，不代表本站觀點，若需要原創文章可咨詢客服老師，歡迎參考。

摘要：信息化時代的到來促使企業越來越依賴于信息系統，而信息系統帶來的潛在風險使得審計人員也愈發關注信息系統審計。同時，會計信息系統作為企業信息系統的核心和主體，對企業顯得更加重要，如何對會計信息系統進行審計成為亟待解決的問題。目前主要有CBOIT標準和ISACA信息系統準則進行指引，但在對會計信息系統的具體審計指導方面存在一定局限。因此，基于企業會計信息系統體現的業務流程，本文提出面向會計信息系統的六要素審計方法體系，包括用戶、賬套、科目樹、憑證、賬簿、報表六個要素，明確會計信息系統審計的要素，拓展信息系統審計的研究方法，提出一種新的信息系統審計研究思路，從而為會計信息系統審計提供理論借鑒，指導會計信息系統審計的工作方向。

關鍵詞：信息系統審計;六要素;會計信息化;方法體系

一、引言

據智研咨詢集團統計結果顯示，截止2016年12月，我國60%以上的企業部署了企業信息化系統，其中50.4%、28.2%、25.9%的企業建設使用了辦公自動化（OA）系統、企業資源計劃（ERP）系統和客戶關系管理（CRM）系統，相比于上一年提升了13.4個百分點，且預測整體呈快速的上升趨勢。此外，2013年由國家財政部印發的《企業會計信息化工作規范財會20號》明確提出以信息技術促進會計工作集中化、逐步建立財務共享中心，意味著在當今財務共享、“互聯網+”的大背景下，企業對信息技術的關注度越來越大以及對信息系統的依賴性也愈發強烈，但也說明企業面臨較大的信息脆性風險，潛在的信息安全風險也逐步暴露出來，這就表明會計信息系統的地位越來越重要。因此，為保證信息系統的真實性、安全性和有效性，信息系統審計顯得尤為重要，而國際會計聯合會會長羅伯特梅爾曾指出：“會計師將不得不對實際上通過計算機報告的財務信息承擔責任”，可見會計信息系統審計是信息系統審計工作的重中之重，研究會計信息系統審計方法是當務之急。針對財務處理“無痕化”、“電子化”，如何進行會計信息系統審計成為審計的關注要點之一。目前COBIT框架提出了一般控制和應用控制兩要素審計方法，為企業管理層、IT與審計之間交流架起橋梁，但筆者認為會計信息系統審計作為信息系統審計的核心，COBIT沒有針對會計信息系統給出明確性的指南，未能提出一套完整的、具有針對性的框架體系。ISACA制定的信息系統審計準則由基本準則、審計指南和作業程序三個層次組成，明確審計人員的基本要求以及具體的審計程序，是一套通用的信息系統審計準則，也為審計人員進行系統審計工作指明一定方向，但該準則針對性不強，未明確會計信息系統審計應重視哪些方面以及具體怎么做等問題。因此，有必要探索會計信息系統的審計方法，為會計信息系統審計工作提供一個明確的、可行的方法指南。

二、文獻回顧

信息化的發展對審計工作產生了重大影響，信息系統審計的研究也成為一個熱點。目前我國尚未頒布一套完善的信息系統審計規范，劉念祖等（2013）、裴曉寧等（2016）均指出我國當務之急是構建信息系統審計準則。因此，縱觀分析，無論是早期還是當前學者，大都是對信息系統審計準則、框架構建進行相關的研究，以期為我國信息系統審計人員提供規范指導。部分研究學者主要基于國際信息系統審計標準COBIT進行了較多的研究和探討，剖析了COBIT標準的體系結構，并建議我國構建信息系統審計框架，提出了一定的構建想法。周德銘、曹洪澤（2014）在借鑒國外信息系統過程控制審計框架基礎上，提出四維結構的信息系統審計控制審計框架；王會金（2012）提出中觀信息系統審計風險控制框架體系，為相關系統安全提供理論支持與實踐指導；張文秀、齊興利等（2010）構建我國信息系統審計框架，提出面向系統和面向數據的信息系統審計，進一步深入了我國信息系統審計的研究與應用；陳婉玲、袁若賓（2006）討論了我國信息系統審計框架以及提出制定審計準則的意見，強調了審計指南的重要性；金文、張金城（2005）提出以信息系統生命周期為出發點，構建符合COBIT定義的信息技術過程和管理、控制與審計模型。上述研究主要依據COBIT標準構建我國信息系統審計框架，通常COBIT便于人們了解和分析信息系統建設與應用過程，幫助審計師明確審計軌跡。但是，COBIT未能提出一套完整的、具有針對性的框架體系，無法指導會計信息系統進行具體的審計工作，最終可能會給帶給企業一定風險。另外一部分的研究者主要是基于國際信息系統審計準則進行相關的研究，解讀了國際信息系統審計準則的相關內容，并在此基礎上提出制定我國信息系統審計準則的意見。劉杰（2014）通過比較國內外信息系統審計準則，指出我國準則的弊端，并提出相關政策建議；張文秀等（2012）指出在我國借鑒國際信息系統審計規范的過程中要注意國家文化的特征，要探討適合我國國情的審計準則；陳婉玲、楊文杰（2006）借鑒ISACA的信息系統審計準則，提出頂層設計方案，指出我國可以按照工作流程或審計工作任務進行準則制定。通過文獻回顧，可以了解到信息系統審計準則對審計工作具有一定的指導作用，大體是以基本準則、審計職能和作業程序為依據，為我國信息系統審計提供通用的規范。但是，目前對準則提出的意見大多較為寬泛地指出審計的流程、任務等，不具備可操作性，沒有具體指導會計信息系統審計的指南或作業程序，無法有效地幫助審計人員進行會計信息系統審計。少部分學者關注審計具體的操作分析，王宏（2017）從系統操作和內部控制兩個方面介紹了會計信息系統進行財務舞弊的技術手段和常用方法，提出識別和應對舞弊的思路和對策。而國外擁有一套成熟的信息系統審計準則，對信息系統審計主要關注信息系統風險、控制和審計之間的關系。Ivan、Milodin（2010）提出對風險和控制進行永久監測的應用程序的綜合審計方法；ISACA（2011）提出COBIT5框架版本，該版本開始注重風險、控制和審計的一體化研究；Huang、Yen等（2011）提出企業風險管理下注冊會計師IT綜合評價模型；國際會計師聯合會（IFAC，2012）指出財務審計師必須了解和分析會計信息系統，并掌握通過信息系統獲取財務報表的過程；ClaudiuBrandas、DanStirbu、OtnielDidraga（2013）提出會計信息系統風險、控制與審計一體化方法模型等等?？梢姡瑖庾⒅匮芯繉徲嫹椒Ｐ?，為審計工作提供更好的指引。鑒于以上文獻回顧，我國在對會計信息系統如何進行具體審計方面的研究比較缺乏。為此，本文提出面向會計信息系統的六要素審計方法，明確會計信息系統審計的六要素即用戶、賬套、科目樹、憑證、賬簿、報表，該方法體系與財務框架具有高度的相融性，尤其要重視用戶要素在內控方面作用、科目樹要素進行實質性檢查以及報表要素對流程合法性考察，有側重的對六要素進行審計，為我國信息系統審計人員提供具體的審計指導，豐富了信息系統審計理論的研究框架，拓展了一個新的研究方向，為以后相關理論和實務研究提供指引。

三、會計信息系統六要素審計方法構建

當前財務審計人員主要關注的內容為會計核算六要素即資產、負債、權益、收入、成本和利潤，而在信息化環境下，會計核算要素體現在信息系統之中，單純地審查會計要素已無法充分發揮審計作用，審計人員應該將注意力轉移到會計核算要素依附的會計信息系統之上，重視對會計信息系統的審計。因此，本文立足于會計信息系統角度以及系統所體現的業務流程，提出針對會計信息系統的六要素審計方法，更好滿足信息化環境下的審計需求，確保信息系統中數據和流程的真實、完整和合法性。具體的六要素聯系如圖1所示。（一）會計信息系統的用戶要素構建。用戶是會計人員進入企業第四維空間———信息空間的一把鑰匙，是會計信息化管理過程的邏輯起點。本質上看，用戶要素是一種訪問控制機制，管理好用戶是所有會計管理工作的重要一環。用戶要素包含三個屬性：用戶、角色、權限。用戶代表進入系統的使用者，如企業的會計人員張三、李四等；角色代表企業系統工作的職能和具體崗位，如會計人員、主管、出納倉庫管理員等；權限是對一個或多個角色或用戶賦予相應的操作，使其能夠使用某個模塊、功能等。用戶要素包括五個基本的靜態集合：用戶集（users）、角色集（roles）、對象集（objects）、操作集（operators）和特權集（perms），以及一個運行過程中動態維護的集合———會話集（sessions）。具體原理如圖2所示。系統初始化是指會計軟件在正式投入使用之前所進行的一系列的初始設置，是手工核算過度到電算化處理的橋梁，其中設置用戶及其權限是最重要的控制信息設置。因此，根據不相容職位分離、授權批準控制等，用戶要素構建是必要的，是防范風險的第一步。（1）內部機構創新。用戶要素中具有兩個特殊的用戶即系統管理員和賬套管理員用戶。其中系統管理員用戶負責建立新的賬套，指定賬套管理員，為新賬套授權等業務，不參與財務日常工作；賬套管理員用戶擁有賬套操作的所有權限。系統管理員是在信息化后出現的，這就表明組織內部機構需要與時俱進，進行相應地創新，以達到有效地控制。（2）不相容職位分離。信息化環境使得信息處理大都處于自動化，較少的進行人為干預，這就可能面臨著一人擔任多項職位，因此，要分離不相容職責，以防有關人員在數據處理過程中發生舞弊行為。用戶要素通過用戶、角色屬性，明確進入系統的相關人員及其相關的身份，并通過權限屬性，按照不相容職位分離的規范，對一個或多個角色或用戶賦予相應的職責，以此達到有效的訪問控制。（3）授權審批控制。用戶要素的權限屬性規定了一個角色所能處理的業務事項，明確不同員工行使的職能及承擔相應責任。根據企業日常經營管理活動進行授權，此外，對于突發事件，還可以進行特權授予。一旦獲得相應的用戶權限，就能很好的防止越權審批現象的發生，以此保證信息系統安全運行?？梢姡畔⒒h境下的用戶要素在控制方面主要體現在防止非法進入、非法篡改、明確員工相應職責等方面，因此，信息系統審計應該關注該要素，注重用戶要素的屬性，如果用戶要素出現問題，會使得企業財務數據的真實性和可靠性大打折扣。（二）會計信息系統的賬套要素構建。賬套是一個獨立、完整的數據集合，這個數據集合包括一整套獨立、完整的系統控制參數、用戶權限、基本檔案、會計信息、賬表查詢等，就是一個獨立的數據庫。一個硬件系統中可以包括一個或者多個會計軟件系統，一個會計軟件系統可以包含一套或者多套賬套，一個賬套只能包含一套賬（但可以是不同年份的賬）。因此，設置多套賬有兩個方法，一是在計算機系統中建立多個會計軟件系統，每個會計軟件系統中設立一個賬套；二是在計算機系統中建立一個會計軟件系統，在軟件系統中設立多個賬套。鑒于此，賬套的設置方式決定了企業的記賬模式，這需要審計師了解企業賬套設置的方式，全方面掌握系統中記載的電子化數據，以防產生一定的審計風險。系統初始化環節也涉及賬套的設置。明確用戶要素是進入系統的第一環節，要開始真正地記錄一項的業務數據，需要賬套管理人員進行相關賬套的建立，初始化涉及的工作較為復雜，如設置用戶、設立科目樹、設憑證種類、設賬簿種類、設報表公式等，因此，為保證信息化環境下會計工作的正式展開，需要構建賬套要素。主要考慮以下幾點：（1）計算機環境。賬套的建立要考慮其所處的計算機環境，其存儲結構（“外結構”）決定了會計工作的組織方式。賬套存放在本地機器中，一般針對小微企業的會計組織方式；賬套存放在服務器中，一般針對大中企業的會計組織方式，服務于一定范圍內的分支機構；賬套存放在云端，一般針對特大企業的會計組織方式，主要服務于全國甚至全球的分支機構。（2）賬套的科目樹的結構（也可稱為“內結構”）決定了不同賬套之間報表合并的兼容性。一般而言，科目樹的結構越相似，報表合并的兼容性越好。因此，賬套要素要求信息系統審計人員關注系統所處的計算機環境，考察其采用的外結構是否符合企業自身規模的要求，能否達到有效地控制作用；對科目樹結構的設置是否按效果性、效率性等目標進行選擇等等。（三）會計信息系統的科目樹要素構建?？颇刻刂笗嬁颇浚前凑战洕鷺I務的內容和經濟管理的要求，對會計要素的具體內容進行分類核算的科目，分為總分類科目和明細分類科目。科目樹就是根據總分類和明細分類科目進行上下節點編號，便于會計科目和會計核算在信息空間反映和運行?？颇繕浒琻（n>0）個節點的有窮集，其中每個元素稱為節點（node）；有一個特定的節點被稱為根節點或樹根（root）；除根節點之外的其余數據元素被分為m（m≥0）個互不相交的集合T1，T2，……Tm-1，其中每一個集合Ti（1<=i<=m）本身也是一棵樹，被稱作原樹的子樹（subtree）。一級科目共有6個節點，分別代表核算的6個要素，即資產、負債、權益、收入、成本、利潤。二級科目根據企業的需要設定，科目設幾個層級也是企業自己定義，最下一級科目也稱為末級科目。具體如圖3所示。設置科目是為了全面系統地反映和監督企業各項會計要素的增減變化情況，主要是進行實質性測試。每一個項目都規定一個名稱，每一個會計科目都明確地反映一定的經濟內容。在會計信息系統中，會計科目的存儲不在是手工環境下使用的會計科目名稱，而是對會計科目進行編碼，科目樹的結構使得其具有層次性，便于相關的編碼。會計科目樹編碼就是將企業會計核算中所使用的會計科目逐一地按系統要求描述給系統，以便計算機識別、分類、匯總、查詢，它是會計信息系統初始化中最繁瑣、最復雜、最主要的部分。會計科目樹編碼應遵循以下原則：（1）唯一性。一個編碼只能表示一個科目，而一個科目也只能有一個編碼。（2）可擴展性。編碼要為今后企業發展保留一定的空間，以便增加新的內容。（3）穩定性?？蓴U展性是穩定性的前提條件。科目編碼的穩定性與會計信息系統的問題性是密切相關的。（4）規范性。編碼必須具有一定的結構、格式，以便于計算機處理、存儲、統計、查詢等?？颇繕湓跁嬓畔⑾到y中處于中心地位，科目樹的控制機制是會計內部控制的核心，直接決定整個會計工作是否可靠可控。因此，內部審計師、注冊會計師和信息系統審計師應當重點關注科目樹編碼原則，?？颇繕渚幋a的正確有效性；此外，“較長”的科目樹反映了較為復雜的業務情況，可能存在一定的舞弊風險，審計人員應該將其視為重點審計內容，逐層審查科目樹對應的項目，以確保數據的真實、安全。（四）會計信息系統的憑證要素構建。傳統意義上的憑證是指能夠用來證明經濟業務事項發生、明確經濟責任并據以登記賬簿、具有法律效力的書面證明，它是一種紙質證明。而在信息化背景下的憑證，是嵌于系統的一種電子數據，用于對實例樹的葉節點數值調整。憑證輸入是會計信息化工作的邏輯起點，輸入憑證的結果是在科目樹的一個實例樹的葉節點上增加數值。以此類推，修改憑證和刪除憑證的結果是在科目樹的一個實例樹的葉節點上修改數值。信息化環境下，憑證制度逐漸消失，憑證是經濟業務活動的依托，設計良好的憑證格式及其傳遞程序，具有較強的控制功能?？梢姡c傳統手工環境下的憑證記錄過程不同，信息系統中的憑證是自動生成的，因此，審計人員應該重視憑證控制規則。憑證要素是會計核算合法合理的關鍵環節，同時也是會計控制的重要環節。憑證要素的控制有兩個關鍵節點，即審核和記賬：（1）在審核前，實例樹處于非控制狀態，記賬憑證可以修改，刪除等。（2）審核后，記賬前，實例樹處于有限的控制狀態，記賬憑證修改和刪除都受到限制。（3）記賬后，實例樹被鎖定，記賬憑證處于限制狀態，無法修改和刪除，這能有效地防止“反記賬”、“反結賬”的現象，為審計留下線索。在此筆者提出機制憑證率的概念，所謂機制憑證率是指機制憑證占總的憑證之比，公式如下：機制憑證率=∑機制憑證∑（機制憑證+手工憑證）×100%機制憑證率反映了業財一體化程度的指標，數值越大則一體化程度越高，同時也表明數據的真實性和合法性越高；反之則越低。可見，信息化后，憑證的控制方式徹底改變。因此，審計人員應該從這個角度掌握審計管理工作的本質，明白憑證輸入的人為因素越少，核算控制的程度越高，數據的真實性和合法性越高。（五）會計信息系統的賬簿要素構建。手工環境下的賬簿是由具有一定格式而又互相聯系的賬頁所組成，用以全面、系統、連續記錄各項經濟業務的簿籍，是編制財務報表的依據，也是保存會計資料的重要工具。而信息化環境下的賬簿是根據實例樹生產的，以便后期的查詢審計。根據會計工作的流程，對已生成的記賬憑證進行審核和記賬操作后記入賬簿。由于信息化環境下賬簿要素的主要職能是查詢，與手工階段相比其控制的職能基本消失，賬簿主要是根據實例樹自動生成的，平行登記總賬和明細賬的控制失效，因此，賬簿的設置、啟用與登記是實施審計的重要突破口：首先，應查看企業是否按照規定進行賬簿設置。其次，啟用賬簿是否按規定進行“啟用表”的填寫。最后，要核實入賬的憑證是否經過審核，從而達到有效地控制，以防系統在內部流程中出現舞弊現象。（六）會計信息系統報表要素構建。信息化環境下的報表與手工環境下的也不相同，是通過實例樹生產并按照一定格式呈現、存儲的會計報表。報表要素分為三個屬性：實例樹、取數格式、存儲。其中實例樹是報表要素的數據來源，取數公式是報表要素的計算方式，存儲是報表要素的數據去處。在信息系統中，報表是根據系統實例樹、取數公式由計算機自動生成的，為保證報表的真實性，主要取決于兩個方面：一是輸入數據，來源于實例樹；二是數據處理，主要依賴于取數公式：（1）只要憑證輸入正確，那么實例樹就準確無誤，在此也體現上述憑證要素構建的必要性，彼此之間是相互聯系、影響的。（2）對于報表的取數公式，一般表達式如下：LxCy=取數表達式其中，公式左邊為報表中某個數據項的位置，Lx表示第x行，Cy表示第y列。公式右邊的取數表達式為數據的來源即由科目樹生成的實例樹中的具體數據。確保兩個屬性無誤后，系統會自動生成一個報表模板的數據庫文件。因此，審計人員應該關注實例樹、取數公式，審查取數公式是否與財務準則的規定一致，以確保報表數據的真實性、安全性、合法性。

四、結論

面向會計信息系統的六要素審計方法是基于企業業務流程角度并以一種全新的視角對會計信息系統進行審計，以確保會計信息系統提供真實、完整和合法的數據。首先，針對進入系統的初始步驟，提出用戶要素，保證職責權限分明；其次，對業務流程依次提出賬套、科目樹、憑證、賬簿、報表要素，與財務框架具有較高的相融性，從而對會計信息系統使用的全流程進行相關控制點的關注。總的而言，六要素審計方法與傳統理論互為補充，更好地完善會計信息系統審計的內容，為當前會計信息系統審計研究提供新的研究思路，拓展了信息系統審計的研究領域，同時也對信息系統審計實際工作起指導性作用。

作者:陳 耿 李婷婷 韓志耕 鐘宜彬 單位:南京審計大學