高明月 王冰羽

摘 要：现如今，会计系统正在随着互联网的迅猛发展而变得更加先进，比如，融入了信息技术的会计系统就成了时下流行的会计信息系统，各大知名企业纷纷应用这种先进的系统提升会计工作质量。本文在分析国外信息技术内容、信息技术程序和信息技术共享的信息系统过程控制审计框架基础上，依据系统控制理论关于执行和控制的结构性原理，分析信息系统承载业务的业务流程对信息系统的影响，结合我国信息系统审计实践，研究和提出审计目标，确定信息系统审计控制结构，尝试在控制审计框架的基础上扩展构建框架结构控制审计框架，从而形成较为完整的信息系统控制审计框架。

关键词：信息系统 结构控制 审计

中图分类号：F239 文献标识码：A 文章编号：2096-0298（2017）10（c）-137-02

目前，审计工作的效率正在不断提升，这主要得益于其应用了先进的技术，才会具备完善的信息系统。在国外，审计工作结合信息技术已经具备十分成熟的系统，国内与国外相比，还存在一定的差距，但亦在不断完善之中。国内的信息系统主要是吸取先进的经验，结合实际情况，采取一般控制和应用控制测试两要素的带有结构控制审计的方法。我国各大企业对于信息系统审计高度重视，一方面得益于信息系统的先进性，另一方面体现了我国企业与时俱进、不断探寻的精神。

1 信息系统过程控制审计框架

20世纪初期，美国信息系统安全局和内部控制审计局联合发表了一篇名叫《信息系统与内部控制》的文章。文章中详尽的规划了按照信息技术目标，对信息技术资源（用户、权限、访问、接口和数据）的信息技术过程（系统自动生成审计报告、系统配置、科目映射、接口控制、访问和权限）进行管理控制的过程的控制审计框架。该审计框架以信息系统为基础，对审计进行了相应的结构控制工作。相应地，在信息系统的大背景下，研发出了以一般控制为主，应用控制为辅的审计测试方法，以供企业需要。信息技术的一般控制离不开程序设计，更离不开程序的开发和数据处理三个方面。信息技术应用控制和人工控制类似，系统自动控制关注的要素包括系统处理数据的完整性、系统运算逻辑的精准性、信息系统相关的逻辑检测、系统自动生成审计报告、系统配置、科目映射、接口控制、访问和权限等多种要素。

《信息系统与内部控制》中，共分为两种派别，一种是系统论，另一种是控制论。系统论的观点是，我们生存的世界是有各个系统组成的，一个系统的产生往往带动另一件系统的出现，这并不是一个罕见的情况，而是普遍存在的。而控制论则认为，世间万物生长必然有规律，而且是遵循大自然所设定的法则，我们不仅不能打破，还要遵守会计行业规律。对事物内部控制的合理性和有效性综合评估，则需要外部控制审计进行严格检查和对内部控制再实施的控制评价。本文主要研究信息系统结构控制审计的框架研究，即一般控制测试和应用控制测试。因此，信息技术系统过程控制审计框架的理论和方法，已经在国内外企业信息系统审计中的实践得到了非常广泛的应用。

信息系统审计框架是由中间控制审计框架构成的。实际上，我们需要开发出新的信息系统，更需要在应用新系统的同时改进系统的不足之处。系统论认为，世界是由各种相连的系统构成的，一个大系统下面包含很多小的系统，小的系统在量的积累下逐渐构成量变的大系统，每个小系统都有着各自存在的意义，包含收集数据、整合数据、研究数据、分析数据、应用数据、计算机运行管理数据和网络安全等作用。其中，计算机运行这一领域的目标是保证业务系统根据管理层的需求控制目标精确完整的进行，运行问题有效的识别和解决，从而维护财务数据系统的完整性。计算机运行包括但不限于以下要素，分别分数据备份和恢复、系统作业管理和问题故障管理。20世纪80年代，我们目前企业内部信息系统控制已经开始和国际接轨，并构建出来信息技术一般控制、信息技术应用控制和信息技术公司层面控制三个要素。

中间控制审计框架是按照企业信息技术流程和信息系统各自存在不同特點而形成的。结构控制审计框架主要以信息技术一般控制和信息技术应用控制为主。两种审计框架既有区别又有联系。因此，设计和研究信息系统结构框架非常有必要。

2 信息系统结构控制审计框架的内容

信息系统结构控制审计框架，是严格按照信息系统控制要求（输入、处理和输出）和目标（准确性、完整性、存在和发生）对信息系统结构资源（收集资源、管理资源、应用资源、安全资源和网络资源）的结构控制（信息技术一般控制、信息技术应用控制和公司层面应用控制）进行管理的三个框架，并由此形成管理控制、信息技术一般控制、信息技术应用控制和公司层面应用控制等四个框架构成的。

2.1 信息系统结构控制审计三种框架

信息系统结构控制审计三种框架分别由信息技术一般控制、信息技术应用控制和公司层面应用控制组成。公司层面信息技术控制水平证明了公司信息技术的发展情况，包括公司对信息技术的支持和信赖程度，信息技术提供的电算化能否满足企业的复杂信息计算。信息系统结构控制审计的三种框架是相辅相成的。信息技术一般控制是信息技术应用控制和公司层面信息技术应用控制的基础，信息技术应用控制决定了信息技术一般控制和公司层面信息技术应用控制。

2.2 信息系统结构控制审计四种框架

众所周知，信息系统结构控制审计的框架并不复杂，但是技术含量较高。比如，在该框架中，一般控制审计是其基础部分；应用控制审计亦是不可或缺；公司层面控制符合正常审计工作的范畴，也隶属于该框架；管理控制审计则是该框架的第四部分。随着信息技术的普及，很多企业开始引进计算机系统用来处理财务数据，计算机系统处理数据能有效提高企业审计的效率，比如，采用企业资源管理计划系统（Enterprise Resource Planning）简写为ERP，企业管理和程序系统（Systems Applications and Products in Data Processing）简写为SAP。这两个系统都有助于提升企业的办公效率。ERP和SAP都由多个模块构成的，比如信息录入管理、企业绩效管理、数据分析管理、数据输出管理、企业资源计划等。在存货业务模型中，涉及出库订单、入库订单、存储单据、供货单和客户满意度调查等流程。实现信息化条件下的库存流程，会影响信息系统的应用流程、信息资源流程、网络通信流程、信息安全等。库存模块要素主要涉及了信息系统结构，一般控制结构和业务分析结构。在实现模块与模块之间的合理应用，在程序启用之前，四种框架要相互协作与分工，保证信息系统结构的正常运行。

2.2.1 信息系统一般控制审计

为了保证信息系统的足够安全，对会计信息系统的由内到外全面控制，对企业内部的审计模块进行相应的控制，继而出现了信息系统一般控制理论。信息系统一般控制会对企业的财务、销售、绩效等部门产生积极的影响。在正常的情况下，企业出具效率高的财务报表正是得益于信息系统的一般控制。因为它完全依赖于计算机处理，自动化会计信息技术系统才能有效的进行。相对于人工控制信息系统，信息技术一般控制审计同样重要。如果企业计划依据信息系统生成信息的控制，工作人员要对相关的信息技术控制做出符合企业流程的程序。

程序的设计和开发、数据的输入和处理是信息系统一般控制的主要工作内容。程序开发控制一般包括开发过程中的职责分离、开发过程中的需求和变更处理、程序变更、管理方法、数据处理和运行。确保对程序有关数据的处理和变更是程序变更的核心，更是经过后台程序测试和授权允许后执行的，以达到管理人员的目标。程序和数据访问的重点在于保障数据真实可靠，操作人员经过系统核实后准确无误的。最后一个重点是计算机运行。计算机运行的目标是确保问题有效进行识别和解决。例如，程序变更控制缺陷可能导致未授权人员检查录入数据字段格式的编程逻辑进行修改，以至于系统接受不准确的录入数据。

2.2.2 信息系统应用控制审计

信息系统首先要进行输入数据，其次是处理数据，最后是输出数据，这是应用控制审计工作中不可或缺的三大重要程序。与人工控制关注相似，系统自动控制要素包括准确性、存在、发生和完整性。例如，各系统之间数据的完整性、销售订单的系统自动顺序编号、明细账数据的完整性等。针对系统控制的信息技术控制关注点主要包括系统自动生成报告、接口控制、访问和权限等。各企业，各部门的不同岗位设置的权限不同，因此要尽可能减少差异，通过信息系统应用来控制审计。

2.2.3 信息系统公司层面控制审计

除了信息技术一般控制和信息技术应用控制外，目前国内越来越重视公司层面的控制审计。常见的公司层面控制审计包括信息技术规划、数据信息季度审计、信息技术的成本管理、信息技术的审计监督和信息技术的风险管理等。例如，某公司使用了较多的信息技术外部资源和服务，则可能会相应地提高外部用户管理和外联接口失效的风险，因此需要更多关注信息技术公司层面进行审计的控制。

2.2.4 信息系统管理控制审计

信息系统管理控制审计是按照审计管理目标，对企业的各类管理资源控制有效性进行分析和评价。信息系统管理控制审计有效保障企业的信息系统的安全，保障系统承载业务的真实性和完整性。例如，在基于信息技术的信息系统中，系统进行自动操作来实现对交易信息的创建、记录、处理和生成报告，并将信息保存为电子形式。根据管理控制的目标，根据信息化系统控制要素，信息系统管理目标的要求，管理控制体系包括组织管理控制、规划管理控制和操作管理控制三方面的审计重点。

3 结语

随着信息技术的普及，很多企业开始引进信息系统来操控企业的信息和有关账目的核实工作，尤其是在信息系统一般控制和信息系统应用控制。总之，加强企业信息系统结构控制，不仅是企业发展的要求，也是时代的要求。一方面，我们要借鉴国外信息系统结构控制的先进理论，根据我国实际情况，建立完全的信息系统结构控制体系；另一方面，在实际操作中，强化信息技术体系，提高审计水平。

参考文献

[1] 周德铭，曹洪泽.信息系统结构控制审计框架研究[J].审计研究，2014（05）.

[2] 王振武，张子瑾.信息系统审计理论结构框架研究[J].会计之友，2011（21）.

[3] 唐志豪.信息系统审计理论结构研究[J].财会月刊，2007（08）.

[4] 孙健，吕军，高航.基于过程的信息审计平台的体系结构研究[J].航空计算术，2005（01）.

[5] 刘杰.信息系统审计规范的制度形成机制与体系结构[J].财会月刊，2012（09）.

[6] 吳青，翟建设，张佳琦.信息系统审计人才知识结构的研究[J].中国管理信息化，2010，13（23）.