会计信息系统六要素审计方法

摘要：信息化时代的到来促使企业越来越依赖于信息系统，而信息系统带来的潜在风险使得审计人员也愈发关注信息系统审计。同时，会计信息系统作为企业信息系统的核心和主体，对企业显得更加重要，如何对会计信息系统进行审计成为亟待解决的问题。目前主要有CBOIT标准和ISACA信息系统准则进行指引，但在对会计信息系统的具体审计指导方面存在一定局限。因此，基于企业会计信息系统体现的业务流程，本文提出面向会计信息系统的六要素审计方法体系，包括用户、账套、科目树、凭证、账簿、报表六个要素，明确会计信息系统审计的要素，拓展信息系统审计的研究方法，提出一种新的信息系统审计研究思路，从而为会计信息系统审计提供理论借鉴，指导会计信息系统审计的工作方向。

关键词：信息系统审计;六要素;会计信息化;方法体系

一、引言

据智研咨询集团统计结果显示，截止2016年12月，我国60%以上的企业部署了企业信息化系统，其中50.4%、28.2%、25.9%的企业建设使用了办公自动化（OA）系统、企业资源计划（ERP）系统和客户关系管理（CRM）系统，相比于上一年提升了13.4个百分点，且预测整体呈快速的上升趋势。此外，2013年由国家财政部印发的《企业会计信息化工作规范财会20号》明确提出以信息技术促进会计工作集中化、逐步建立财务共享中心，意味着在当今财务共享、“互联网+”的大背景下，企业对信息技术的关注度越来越大以及对信息系统的依赖性也愈发强烈，但也说明企业面临较大的信息脆性风险，潜在的信息安全风险也逐步暴露出来，这就表明会计信息系统的地位越来越重要。因此，为保证信息系统的真实性、安全性和有效性，信息系统审计显得尤为重要，而国际会计联合会会长罗伯特梅尔曾指出：“会计师将不得不对实际上通过计算机报告的财务信息承担责任”，可见会计信息系统审计是信息系统审计工作的重中之重，研究会计信息系统审计方法是当务之急。针对财务处理“无痕化”、“电子化”，如何进行会计信息系统审计成为审计的关注要点之一。目前COBIT框架提出了一般控制和应用控制两要素审计方法，为企业管理层、IT与审计之间交流架起桥梁，但笔者认为会计信息系统审计作为信息系统审计的核心，COBIT没有针对会计信息系统给出明确性的指南，未能提出一套完整的、具有针对性的框架体系。ISACA制定的信息系统审计准则由基本准则、审计指南和作业程序三个层次组成，明确审计人员的基本要求以及具体的审计程序，是一套通用的信息系统审计准则，也为审计人员进行系统审计工作指明一定方向，但该准则针对性不强，未明确会计信息系统审计应重视哪些方面以及具体怎么做等问题。因此，有必要探索会计信息系统的审计方法，为会计信息系统审计工作提供一个明确的、可行的方法指南。

二、文献回顾

信息化的发展对审计工作产生了重大影响，信息系统审计的研究也成为一个热点。目前我国尚未颁布一套完善的信息系统审计规范，刘念祖等（2013）、裴晓宁等（2016）均指出我国当务之急是构建信息系统审计准则。因此，纵观分析，无论是早期还是当前学者，大都是对信息系统审计准则、框架构建进行相关的研究，以期为我国信息系统审计人员提供规范指导。部分研究学者主要基于国际信息系统审计标准COBIT进行了较多的研究和探讨，剖析了COBIT标准的体系结构，并建议我国构建信息系统审计框架，提出了一定的构建想法。周德铭、曹洪泽（2014）在借鉴国外信息系统过程控制审计框架基础上，提出四维结构的信息系统审计控制审计框架；王会金（2012）提出中观信息系统审计风险控制框架体系，为相关系统安全提供理论支持与实践指导；张文秀、齐兴利等（2010）构建我国信息系统审计框架，提出面向系统和面向数据的信息系统审计，进一步深入了我国信息系统审计的研究与应用；陈婉玲、袁若宾（2006）讨论了我国信息系统审计框架以及提出制定审计准则的意见，强调了审计指南的重要性；金文、张金城（2005）提出以信息系统生命周期为出发点，构建符合COBIT定义的信息技术过程和管理、控制与审计模型。上述研究主要依据COBIT标准构建我国信息系统审计框架，通常COBIT便于人们了解和分析信息系统建设与应用过程，帮助审计师明确审计轨迹。但是，COBIT未能提出一套完整的、具有针对性的框架体系，无法指导会计信息系统进行具体的审计工作，最终可能会给带给企业一定风险。另外一部分的研究者主要是基于国际信息系统审计准则进行相关的研究，解读了国际信息系统审计准则的相关内容，并在此基础上提出制定我国信息系统审计准则的意见。刘杰（2014）通过比较国内外信息系统审计准则，指出我国准则的弊端，并提出相关政策建议；张文秀等（2012）指出在我国借鉴国际信息系统审计规范的过程中要注意国家文化的特征，要探讨适合我国国情的审计准则；陈婉玲、杨文杰（2006）借鉴ISACA的信息系统审计准则，提出顶层设计方案，指出我国可以按照工作流程或审计工作任务进行准则制定。通过文献回顾，可以了解到信息系统审计准则对审计工作具有一定的指导作用，大体是以基本准则、审计职能和作业程序为依据，为我国信息系统审计提供通用的规范。但是，目前对准则提出的意见大多较为宽泛地指出审计的流程、任务等，不具备可操作性，没有具体指导会计信息系统审计的指南或作业程序，无法有效地帮助审计人员进行会计信息系统审计。少部分学者关注审计具体的操作分析，王宏（2017）从系统操作和内部控制两个方面介绍了会计信息系统进行财务舞弊的技术手段和常用方法，提出识别和应对舞弊的思路和对策。而国外拥有一套成熟的信息系统审计准则，对信息系统审计主要关注信息系统风险、控制和审计之间的关系。Ivan、Milodin（2010）提出对风险和控制进行永久监测的应用程序的综合审计方法；ISACA（2011）提出COBIT5框架版本，该版本开始注重风险、控制和审计的一体化研究；Huang、Yen等（2011）提出企业风险管理下注册会计师IT综合评价模型；国际会计师联合会（IFAC，2012）指出财务审计师必须了解和分析会计信息系统，并掌握通过信息系统获取财务报表的过程；ClaudiuBrandas、DanStirbu、OtnielDidraga（2013）提出会计信息系统风险、控制与审计一体化方法模型等等。可见，国外注重研究审计方法模型，为审计工作提供更好的指引。鉴于以上文献回顾，我国在对会计信息系统如何进行具体审计方面的研究比较缺乏。为此，本文提出面向会计信息系统的六要素审计方法，明确会计信息系统审计的六要素即用户、账套、科目树、凭证、账簿、报表，该方法体系与财务框架具有高度的相融性，尤其要重视用户要素在内控方面作用、科目树要素进行实质性检查以及报表要素对流程合法性考察，有侧重的对六要素进行审计，为我国信息系统审计人员提供具体的审计指导，丰富了信息系统审计理论的研究框架，拓展了一个新的研究方向，为以后相关理论和实务研究提供指引。

三、会计信息系统六要素审计方法构建

当前财务审计人员主要关注的内容为会计核算六要素即资产、负债、权益、收入、成本和利润，而在信息化环境下，会计核算要素体现在信息系统之中，单纯地审查会计要素已无法充分发挥审计作用，审计人员应该将注意力转移到会计核算要素依附的会计信息系统之上，重视对会计信息系统的审计。因此，本文立足于会计信息系统角度以及系统所体现的业务流程，提出针对会计信息系统的六要素审计方法，更好满足信息化环境下的审计需求，确保信息系统中数据和流程的真实、完整和合法性。具体的六要素联系如图1所示。（一）会计信息系统的用户要素构建。用户是会计人员进入企业第四维空间———信息空间的一把钥匙，是会计信息化管理过程的逻辑起点。本质上看，用户要素是一种访问控制机制，管理好用户是所有会计管理工作的重要一环。用户要素包含三个属性：用户、角色、权限。用户代表进入系统的使用者，如企业的会计人员张三、李四等；角色代表企业系统工作的职能和具体岗位，如会计人员、主管、出纳仓库管理员等；权限是对一个或多个角色或用户赋予相应的操作，使其能够使用某个模块、功能等。用户要素包括五个基本的静态集合：用户集（users）、角色集（roles）、对象集（objects）、操作集（operators）和特权集（perms），以及一个运行过程中动态维护的集合———会话集（sessions）。具体原理如图2所示。系统初始化是指会计软件在正式投入使用之前所进行的一系列的初始设置，是手工核算过度到电算化处理的桥梁，其中设置用户及其权限是最重要的控制信息设置。因此，根据不相容职位分离、授权批准控制等，用户要素构建是必要的，是防范风险的第一步。（1）内部机构创新。用户要素中具有两个特殊的用户即系统管理员和账套管理员用户。其中系统管理员用户负责建立新的账套，指定账套管理员，为新账套授权等业务，不参与财务日常工作；账套管理员用户拥有账套操作的所有权限。系统管理员是在信息化后出现的，这就表明组织内部机构需要与时俱进，进行相应地创新，以达到有效地控制。（2）不相容职位分离。信息化环境使得信息处理大都处于自动化，较少的进行人为干预，这就可能面临着一人担任多项职位，因此，要分离不相容职责，以防有关人员在数据处理过程中发生舞弊行为。用户要素通过用户、角色属性，明确进入系统的相关人员及其相关的身份，并通过权限属性，按照不相容职位分离的规范，对一个或多个角色或用户赋予相应的职责，以此达到有效的访问控制。（3）授权审批控制。用户要素的权限属性规定了一个角色所能处理的业务事项，明确不同员工行使的职能及承担相应责任。根据企业日常经营管理活动进行授权，此外，对于突发事件，还可以进行特权授予。一旦获得相应的用户权限，就能很好的防止越权审批现象的发生，以此保证信息系统安全运行。可见，信息化环境下的用户要素在控制方面主要体现在防止非法进入、非法篡改、明确员工相应职责等方面，因此，信息系统审计应该关注该要素，注重用户要素的属性，如果用户要素出现问题，会使得企业财务数据的真实性和可靠性大打折扣。（二）会计信息系统的账套要素构建。账套是一个独立、完整的数据集合，这个数据集合包括一整套独立、完整的系统控制参数、用户权限、基本档案、会计信息、账表查询等，就是一个独立的数据库。一个硬件系统中可以包括一个或者多个会计软件系统，一个会计软件系统可以包含一套或者多套账套，一个账套只能包含一套账（但可以是不同年份的账）。因此，设置多套账有两个方法，一是在计算机系统中建立多个会计软件系统，每个会计软件系统中设立一个账套；二是在计算机系统中建立一个会计软件系统，在软件系统中设立多个账套。鉴于此，账套的设置方式决定了企业的记账模式，这需要审计师了解企业账套设置的方式，全方面掌握系统中记载的电子化数据，以防产生一定的审计风险。系统初始化环节也涉及账套的设置。明确用户要素是进入系统的第一环节，要开始真正地记录一项的业务数据，需要账套管理人员进行相关账套的建立，初始化涉及的工作较为复杂，如设置用户、设立科目树、设凭证种类、设账簿种类、设报表公式等，因此，为保证信息化环境下会计工作的正式展开，需要构建账套要素。主要考虑以下几点：（1）计算机环境。账套的建立要考虑其所处的计算机环境，其存储结构（“外结构”）决定了会计工作的组织方式。账套存放在本地机器中，一般针对小微企业的会计组织方式；账套存放在服务器中，一般针对大中企业的会计组织方式，服务于一定范围内的分支机构；账套存放在云端，一般针对特大企业的会计组织方式，主要服务于全国甚至全球的分支机构。（2）账套的科目树的结构（也可称为“内结构”）决定了不同账套之间报表合并的兼容性。一般而言，科目树的结构越相似，报表合并的兼容性越好。因此，账套要素要求信息系统审计人员关注系统所处的计算机环境，考察其采用的外结构是否符合企业自身规模的要求，能否达到有效地控制作用；对科目树结构的设置是否按效果性、效率性等目标进行选择等等。（三）会计信息系统的科目树要素构建。科目特指会计科目，是按照经济业务的内容和经济管理的要求，对会计要素的具体内容进行分类核算的科目，分为总分类科目和明细分类科目。科目树就是根据总分类和明细分类科目进行上下节点编号，便于会计科目和会计核算在信息空间反映和运行。科目树包含n（n>0）个节点的有穷集，其中每个元素称为节点（node）；有一个特定的节点被称为根节点或树根（root）；除根节点之外的其余数据元素被分为m（m≥0）个互不相交的集合T1，T2，……Tm-1，其中每一个集合Ti（1<=i<=m）本身也是一棵树，被称作原树的子树（subtree）。一级科目共有6个节点，分别代表核算的6个要素，即资产、负债、权益、收入、成本、利润。二级科目根据企业的需要设定，科目设几个层级也是企业自己定义，最下一级科目也称为末级科目。具体如图3所示。设置科目是为了全面系统地反映和监督企业各项会计要素的增减变化情况，主要是进行实质性测试。每一个项目都规定一个名称，每一个会计科目都明确地反映一定的经济内容。在会计信息系统中，会计科目的存储不在是手工环境下使用的会计科目名称，而是对会计科目进行编码，科目树的结构使得其具有层次性，便于相关的编码。会计科目树编码就是将企业会计核算中所使用的会计科目逐一地按系统要求描述给系统，以便计算机识别、分类、汇总、查询，它是会计信息系统初始化中最繁琐、最复杂、最主要的部分。会计科目树编码应遵循以下原则：（1）唯一性。一个编码只能表示一个科目，而一个科目也只能有一个编码。（2）可扩展性。编码要为今后企业发展保留一定的空间，以便增加新的内容。（3）稳定性。可扩展性是稳定性的前提条件。科目编码的稳定性与会计信息系统的问题性是密切相关的。（4）规范性。编码必须具有一定的结构、格式，以便于计算机处理、存储、统计、查询等。科目树在会计信息系统中处于中心地位，科目树的控制机制是会计内部控制的核心，直接决定整个会计工作是否可靠可控。因此，内部审计师、注册会计师和信息系统审计师应当重点关注科目树编码原则，保科目树编码的正确有效性；此外，“较长”的科目树反映了较为复杂的业务情况，可能存在一定的舞弊风险，审计人员应该将其视为重点审计内容，逐层审查科目树对应的项目，以确保数据的真实、安全。（四）会计信息系统的凭证要素构建。传统意义上的凭证是指能够用来证明经济业务事项发生、明确经济责任并据以登记账簿、具有法律效力的书面证明，它是一种纸质证明。而在信息化背景下的凭证，是嵌于系统的一种电子数据，用于对实例树的叶节点数值调整。凭证输入是会计信息化工作的逻辑起点，输入凭证的结果是在科目树的一个实例树的叶节点上增加数值。以此类推，修改凭证和删除凭证的结果是在科目树的一个实例树的叶节点上修改数值。信息化环境下，凭证制度逐渐消失，凭证是经济业务活动的依托，设计良好的凭证格式及其传递程序，具有较强的控制功能。可见，与传统手工环境下的凭证记录过程不同，信息系统中的凭证是自动生成的，因此，审计人员应该重视凭证控制规则。凭证要素是会计核算合法合理的关键环节，同时也是会计控制的重要环节。凭证要素的控制有两个关键节点，即审核和记账：（1）在审核前，实例树处于非控制状态，记账凭证可以修改，删除等。（2）审核后，记账前，实例树处于有限的控制状态，记账凭证修改和删除都受到限制。（3）记账后，实例树被锁定，记账凭证处于限制状态，无法修改和删除，这能有效地防止“反记账”、“反结账”的现象，为审计留下线索。在此笔者提出机制凭证率的概念，所谓机制凭证率是指机制凭证占总的凭证之比，公式如下：机制凭证率=∑机制凭证∑（机制凭证+手工凭证）×100%机制凭证率反映了业财一体化程度的指标，数值越大则一体化程度越高，同时也表明数据的真实性和合法性越高；反之则越低。可见，信息化后，凭证的控制方式彻底改变。因此，审计人员应该从这个角度掌握审计管理工作的本质，明白凭证输入的人为因素越少，核算控制的程度越高，数据的真实性和合法性越高。（五）会计信息系统的账簿要素构建。手工环境下的账簿是由具有一定格式而又互相联系的账页所组成，用以全面、系统、连续记录各项经济业务的簿籍，是编制财务报表的依据，也是保存会计资料的重要工具。而信息化环境下的账簿是根据实例树生产的，以便后期的查询审计。根据会计工作的流程，对已生成的记账凭证进行审核和记账操作后记入账簿。由于信息化环境下账簿要素的主要职能是查询，与手工阶段相比其控制的职能基本消失，账簿主要是根据实例树自动生成的，平行登记总账和明细账的控制失效，因此，账簿的设置、启用与登记是实施审计的重要突破口：首先，应查看企业是否按照规定进行账簿设置。其次，启用账簿是否按规定进行“启用表”的填写。最后，要核实入账的凭证是否经过审核，从而达到有效地控制，以防系统在内部流程中出现舞弊现象。（六）会计信息系统报表要素构建。信息化环境下的报表与手工环境下的也不相同，是通过实例树生产并按照一定格式呈现、存储的会计报表。报表要素分为三个属性：实例树、取数格式、存储。其中实例树是报表要素的数据来源，取数公式是报表要素的计算方式，存储是报表要素的数据去处。在信息系统中，报表是根据系统实例树、取数公式由计算机自动生成的，为保证报表的真实性，主要取决于两个方面：一是输入数据，来源于实例树；二是数据处理，主要依赖于取数公式：（1）只要凭证输入正确，那么实例树就准确无误，在此也体现上述凭证要素构建的必要性，彼此之间是相互联系、影响的。（2）对于报表的取数公式，一般表达式如下：LxCy=取数表达式其中，公式左边为报表中某个数据项的位置，Lx表示第x行，Cy表示第y列。公式右边的取数表达式为数据的来源即由科目树生成的实例树中的具体数据。确保两个属性无误后，系统会自动生成一个报表模板的数据库文件。因此，审计人员应该关注实例树、取数公式，审查取数公式是否与财务准则的规定一致，以确保报表数据的真实性、安全性、合法性。

四、结论

面向会计信息系统的六要素审计方法是基于企业业务流程角度并以一种全新的视角对会计信息系统进行审计，以确保会计信息系统提供真实、完整和合法的数据。首先，针对进入系统的初始步骤，提出用户要素，保证职责权限分明；其次，对业务流程依次提出账套、科目树、凭证、账簿、报表要素，与财务框架具有较高的相融性，从而对会计信息系统使用的全流程进行相关控制点的关注。总的而言，六要素审计方法与传统理论互为补充，更好地完善会计信息系统审计的内容，为当前会计信息系统审计研究提供新的研究思路，拓展了信息系统审计的研究领域，同时也对信息系统审计实际工作起指导性作用。

作者:陈 耿 李婷婷 韩志耕 钟宜彬 单位:南京审计大学