（会计学专业论文）信息技术对审计理论影响研究.pdf

内容摘要 随着信息技术广泛应用于社会各个领域，信息技术的影响随处可见，无怪乎 有人用“革命”来形容信息技术对社会的冲击。随着信息时代的到来，信息技术 正在改变着人类社会传统的工作方式、管理方式、生产方式、消费结构乃至整个 社会经济结构，极大地加速了社会、经济、科技、文化等领域内深层次的制度变 革与创新。扎根于社会经济文化环境之中的现代审计也必定受到其冲击和洗礼。 在审计理论的发展史上，有三个里程碑式的著作，分别是1 9 6 1 年莫茨和夏 拉夫的审计理论结构、1 9 7 2 年美国会计学会基本审计概念委员会出版的基 本审计概念说明和1 9 7 8 年尚德尔教授的审计理论评价、调查和判断 纵观审计实践和理论的发展史可以看出，审计理论的产生既是审计实践发展的需 要，又是审计实践发展的必然结果。然而随着信息技术的影响日益加深，来系统 地研究其对现代审计影响可以说是留给审计理论研究工作者的一个迫切的任务。 本文主要分为三章： 第一章“信息技术环境下控制测试的考虑”：第一节在信息技术环境下企 业特有内部控制基础上，按照c o s o 委员会2 0 0 4 年企业风险管理框架( e r m i f ) 系统分析了信息技术对企业内部控制造成的冲击。在第二节分析了信息技术对企 业内部控制控制测试的影响。 第二章“信息技术环境下的审计理论结构”：随着信患技术的影响日益加 深，比较系统地研究了其对现代审计要素影响，在此基础上对信息技术环境下审 计理论结构进行了重新认定。 第三章“信息技术的发展对未来审计的影响”：本章沿着信息技术发展的 轨道探讨信息技术的发展对未来审计理论的影响。笔者认为，未来审计的发展方 向主要表现为网络审计、详细审计和连续审计这三个方向。 关键词：信息技术；审计理论；影响 a b s t r a c t n o wi t ( i n f o r m a t i o nt e c h n o l o g y ) i sw i d e l yu s e di ns o c i e t y , t h ei n f l u e n c eo fi t c a nb es e e ne v e r y w h e r e s os o m e o n eu s e t h er e v o l u t i o n t od e s c r i b et h ei m p a c to f t h ei n f o r m a t i o nt e c h n o l o g yt ot h es o c i e t y w i 也t h ec o m i n go fi n f o r m a t i o na g e t h ei t i sc h a n g i n gt h eh u m a ns o c i e t yt r a d i t i o nw o r kw a y , t h em a n a g e m e n tw a y , t h e p r o d u c t i o nm e t h o d ，t h ec o n s u m p t i o np a t t e r na n de v e nt h ee n t i r es o c i o e c o n o m i c s t r u c t u r e s ；i te n o r m o u s l yh a sa c c e l e r a t e dt h et r a n s f o r m a t i o na n dt h ei n n o v a t i o ni n s o c i e t y , e c o n o m y , s c i e n c ea n dt e c h n o l o g y 1 1 1 e m o d e ma u d i t s y s t e m i sa l s o t r e m e n d o u si n f l u e n c e db yt h ei t i nt h ed e v e l o p m e n to fa u d i tt h e o r yh i s t o r y , i th a st h r e em i l e s t o n e s l i k ew o r k ： r 。k m a u t sa n dh a s h a r a f t 1 l ep h i l o s o p h yo fa u d i t i n g ) i n1 9 6 1 ；a a a 9 a s t a t e m e n to fb a s i ca u d i t i n gc o n c e p t s ) i n1 9 7 2 ；c h a r l e sw s c h a n d l t h e o r yo f a u d i t i n g - e v a l u a t i o n i n v e s t i g a t i o na n dj u d g m e n t ) i n1 9 7 8 n ea u d i tt h e o r yi st h e r e s e to ft h ed e v e l o p m e n to fa u d i tp r a c t i c e s ot h i sp a p e rd o e saf u n d a m e n t a ls y s t e m r e s e a r c ht oi ta g e s a u d i tt h e o r y t h i sa r t i c l em a i nc o n t e n ta sf o l l o w s ： c h a p t e rli s t h ec o n s i d e r a t i o no fc o n t r o lt e s tu n d e ri te n v i r o n m e n t s ”：f i r s t s e c t i o ni st h eu n i q u ee n t e r p r i s ei n t e m a lc o n t r o lu n d e rt h ei n f o r m a t i o nt e c h n o l o g y e n v i r o n m e n k a c c o r d i n g t ot h ec o s oc o m m i t t e e e n t e r p r i s e 黜s k m a n a g e m e n t - i n t e g r a t e df r a m e w o r k ( e r m i f ) i n2 0 0 4 ，s y s t e m a t i c a l l ya n a l y s i st h e i m p a c to fi n f o r m a t i o nt e c h n o l o g yt ot h ee n t e r p r i s ei n t e r n a lc o n t r 0 1 s e c o n ds e c t i o ni s t h ec p a s c o n s i d e r a t i o nw h e nc a r r i e do nt h ec o n t r o lt e s tu n d e rt h ei n f o r m a t i o n t e c h n o l o g ye n v i r o n m e n t c h a p t e r2i s “n l ea u d i tt h e o r ys t r u c t u r eu n d e ri te n v i r o n m e n t ：a l o n gw i t l lt h e i n f o r m a t i o nt e c h n o l o g yi n f l u e n c ed e e p l yd a yb yd a y , t h i sp a p e rs y s t e m a t i c a l l ys t u d i e d t h ei n f l u e n c eo fi to nt h em o d e ma u d i t ，i nt h i sf o u n d a t i o n , t h ea u t h o rc o n s t r u c tt h e a u d i tt h e o r ys t r u c t u r ea p p l yt ot h ei n f o r m a t i o nt e c h n o l o g ye n v i r o n m e n t c h a p t e r3i s 1 h ei n f l u e n c eo fi td e v e l o p m e n to nf u t u r ea u d i t ”：i nt h i sp a r tt h e a u t h o rf o r e c a s tt h ef u t u r eo fa u d i ti st h en e t w o r ka u d i t i n g ，t h ed e t a i l e da u d i t i n ga n d c o n t i n u o u sa u d i t i n g k e yw o r d s ：i n f o r m a t i o nt e c h n o l o g y ；a u d i tt h e o r y ；i n f l u e n c e 一、本文研究的背景 绪论 2 0 世纪5 0 年代以来，信息技术。正在成为促进经济发展和社会进步的主导技 术，信息产业逐渐成为社会发展的主导产业，特别是随着互联网、电子商务的迅 速发展和广泛应用，使人们进入了以互联网为重要特征的信息时代。信息技术的 广泛应用不仅改变了人们的生活方式、工作环境，对企业的竞争环境也产生了巨 大的影响。无怪乎有人用“革命”来形容信息技术对社会的冲击。 自1 9 5 0 年通用电气公司第一次把电脑用于商业用途，在肯塔基州一家日用 品工厂里用它处理账目和产品信息以来，电脑已经成为所有行业里所有机构的标 准组成部分。在今天，各个行业为了把信息管理和较传统的经济实践融合成为新 的商业行为，都采取了数字化的行动。过去的工业技术革命，均是为了把人类从 沉重的体力劳动中解放出来，是人类体力的增大与外部器官的延伸；而这次技术 革命，却是把人类从繁杂的脑力劳动中摆脱出来，是人类脑力的增大。古生物学 家斯蒂芬古尔德( s t e p h e n j g o u l d ) 曾经写道：“我所读到的生命史，是一 连串稳定状态，其问有少数迅速发生的重大事件所界定的间隔，并借此建立了一 个稳定状态。”这个历史的间隔即所谓的技术革命。这场新技术革命常见的称谓 有：“现代科技革命”、“新技术革命”、“第三次浪潮”、“第三次或第四次科技革 命”及“智能技术革命”等几种提法。这些称谓都可以从不同的角度指征这场科 技革命。如果把前两次技术革命依次称为“蒸汽技术革命”和“电力技术革命” 的话，那么这场新技术革命就可被称为“信息技术革命”。 一般来说，这场信息技术革命自兴起至今大致经历了两个基本阶段，2 0 世 纪4 0 5 0 年代是新技术革命的形成阶段，其主要标志是原子能、电子计算机和空 。现代信息技术是以微电子学、计算机技术和通信技术为基础而形成的对声音、图像、文字、数字和各种传 感信号的信息进行采集、存储、加工、传递和使用的技术。它包含感测技术、通信技术、计算机技术、网 络技术、光电子技术、多媒体技术、人工智能技术、软件技术、数据处理技术等。如果考虑信息技术的相 关外延基础和支撑条件，信息技术体系包括：( 1 ) 信息技术的基础技术，指新材料、新能量技术。没有材料 和能量技术的进步，信息技术在性能水平上的提高是不可能的。( 2 ) 信息技术的支撑技术，指机械技术、电 子与微电子技术、激光技术和生物技术等。( 3 ) 信息技术的主体技术即所谓“四基元”技术。包括信息获 取技术感测与识别，信息传递技术通信与存储，信息处理与再生技术计算与智能，信息施用 技术控制与显示。( 4 ) 信息技术的应用技术，即应用在经济、社会领域的各类具体技术。 信息技术对审计理论影响研究 间技术的诞生，其中计算机技术开辟了人类智力的新纪元。从2 0 世纪7 0 年代开 始，新技术革命进入全面发展的新阶段。其主要标志是信息高速公路，即网络技 术等。网络是现代通信的新表现方式，从技术的角度来看、网络是由计算机技术 与通信技术等技术相结合而成。与人类社会的进步和社会活动的不断扩展相适应， 人们的信息需求同益增长，信息的内容和范围也更为广泛，信息交流手段和方式、 方法也更加先进与多样化。信息作为社会的一种基本要素，其作用已渗透到人类 社会活动的各个方面。而在构成信息资源和信息产业的若干条件中，现代信息技 术的发展和应用起着关键性的作用。它从根本上提高了人类开发和利用信息资源 的本领，成为促进社会发展的根本动力。 审计作为社会价值链条。中的一个环节，也必然受到信息技术的冲击。在审 计理论的发展史上，有三个里程碑式的著作，分别是1 9 6 1 年莫茨和夏拉夫的审 计理论结构、1 9 7 2 年美国会计学会基本审计概念委员会出版的基本审计概念 说明和1 9 7 8 年尚德尔教授的审计理论评价、调查和判断。纵观审计实 践和理论的发展史可以看出，审计理论的产生既是审计实践发展的需要，又是审 计实践发展的必然结果。然而随着信息技术的影响日益加深，来系统地研究其对 现代审计影响可以说是留给审计理论研究工作者的一个迫切的任务。笔者在本文 中将对其做出一个概念性的系统结构研究。 二、信息技术对审计影响研究文献综述 随着企业信息化的普及和发展，目前对信息技术在会计领域的应用和理论研 究已经取得了比较成熟的结果，并且对于计算机辅助审计和信息系统审计研究也 比较成熟。但是当前系统研究信息技术对审计理论影响的文献和专著都还比较 少，且大都有侧重于某一方面。 1 国内文献部分 1 9 9 0 年2 月，我国有两本计算机审计的编著和教材产生，一本是肖泽忠编 写的计算机审计：另一本是审计署委托陈婉玲等人编写的计算机审计。从 。笔者认为，一个职业或一个企业能够具各多大的价值，取决于它在社会整个价值链条中居于什么样的地位， 能够为这条价值链的延伸和增值提供多大的服务及保证。而信息技术的发展对整个社会价值链的发展、解 构和重构起到土导性的力量。以企业的存货来说，企业库存其实就是信息不足的有形产物( 埃文斯、沃斯 特，2 0 0 1 ) 。详参埃文斯、沃斯特著裂变一新经济浪潮冲击下的企业战略，刘宝旭等译，上海远东出版 社，上海传播出版社，2 0 0 1 年版p 1 5 绪论 此，我国的计算机审计理论与实践的研究开始进入有益探索的阶段。在这两本书 中，作者分别界定了计算机审计的定义。“计算机审计是审计人员用手工的或电 算化的审计方法、技术和程序对电算化或手工信息系统所进行的审计”( 肖泽忠， 1 9 9 0 ) ，“计算机审计是对电算化会计系统的审计或利用计算机进行审计”( 陈婉 玲，1 9 9 0 ) 。从以上二人的定义中可以看出，计算机审计包括一下几种形式：审 计主体以计算机辅助对被审计对象手工会计信息系统进行审计；审计主体用手工 审计方法对被审计对象电算化会计信息系统进行审计；审计主体用计算机对被审 计单位电算化会计信息系统进行审计。笔者认为，这种定义比较准确，而且范围 足以覆盖财务报表审计、信息系统审计。也就是说，它把对被审计对象财务报 告的审计和对被审计对象信息系统的审计有机的结合了起来，这也和本文后面笔 者的观点是一致的。后来，中国会计电算化。每期都设有“审计电算化”专 栏，中国注册会计师也开辟“i t 时代”专栏，对计算机审计所涉及的理论和 实务问题开展深入研究。随后，计算机审计的实务工作和理论研究工作开始展开。 为了规范审计机关开展计算机辅助审计，提高计算机辅助审计工作质量。审 计署1 9 9 6 年1 2 月发布了审计机关计算机辅助审计办法，对审计机关将计算 机作为辅助审计工具进行审计的相关问题做了规定。为了规范注册会计师在计算 机信息系统环境下执行会计报表审计业务，我国颁布了独立审计具体准则第2 0 号一计算机信息系统环境下的审计，它主要分为六章：总则、一般原则、审计 计划、内部控制研究、评价与风险评估、审计程序和负责。 张金城( 1 9 9 9 ) 从审计环境、审计重要程度、审计风险、审计线索、审计内 容、审计方法与技术、审计方式、审计人员素质等方面分析了会计系统网络化对 审计的影响。张金城( 2 0 0 0 ) 又从六个方面进一步对会计电算化环境下的审计问 题做了分析。谢诗芬( 2 0 0 0 ) 从会计信息化审计来历、概念、特征和意义入手， 指出未来科技将是第一审计环境要素，并且认为，审计环境和审计目标共同构成 。转引自庄明来会计电算化研究，中国金融出版社，2 0 0 1 ，p 2 8 4 - - 2 8 5 。信息系统审计( i n f o r m a t i o ns y s t e m a u d i t ，简称i t 审计) 是对信息系统的规划、开发、实施、运行和维护 等各个环节进行评价，确保其符合企业经营目标的过程。 o 笔者认为，将米的审计形态就是信息系统审计和对财务报表审计相结合的一体物，二肯是密不町分的。或 者说，信息系统审计是为了保证最终财务报表审计的正确性而必须经过的阶段，它必定有机的融入财务报 表审计程序和制度中。 o 从2 0 0 5 年该期刊改名为管理信息化 。笔者对语序的安排是有意的，周为我国对计算机审计的理论研究一直落后于实务的发展。 1 信息技术对审计理论影响研究 了审计理论结构的逻辑起点。陈杰、黄正瑞( 2 0 0 0 ) 分析了网络环境下会计系统 的安全审计程序和主要测试，并且主张要建立内部安全审计制度。他们认为，网 络系统内部安全审计是一种实时地发现漏洞的机制，安全审计人员的日常审计工 作将为会计信息系统的安全提供有效的保障。杨晓军( 2 0 0 0 ) 从电子商务的风险 与控制、电子商务环境下的审计理论与技术两个方面探讨了面向电子商务的审计 问题。李松( 2 0 0 1 ) 分析了网络化后计算机审计将面临的问题，包括审计软件与 会计软件配合、网络化审计风险加大、审计主体知识结构不完整、网络化审计缺 乏法律依据等问题并提出了相应的对策。黄作明、丛秋实( 2 0 0 4 ) 就远程计算机 审计及实现远程计算机审计的前提条件做了研究，包括建立与远程计算机审计相 关的法律、法规，加大审计人员培训力度，提高计算机审计的技术，保证计算机 系统的良性运行状态。高容( 2 0 0 4 ) 从审计理论、审计实践两方面论述了信息技 术对审计理论的影响，并指出这种影响在理论上的表现主要是基础的延展、体系 的扩张、目标的多元和内容的发展等，从而提出信息技术对传统理论的涤荡；而 这种影响表现在审计实践中则更为瞻显和直接，审计程序中将增加系统连接、系 统测试环节，审计工作方式中会出现在线实时审计，审计方法由手工转为电算化， 审计管理模式在审计组织形式、专职管理机构职能等方面发生变革，并且审计风 险的系数将大大提高。从这个基础上，该文从审计制度创新方面论述了体制创新 的必要，并提出了体制改革的设想和建议，接着提出，审计程序创新的重点应该 放在系统测试、模拟数据实验、建立审计黑匣子、电子函证等，在此基础上提出 审计法律环境构建、建设审计信息技术支持、营造审计信息技术人才工程、建立 风险规避机制等系列设想。刘汝焯、徐薇、黄昌胤( 2 0 0 4 ) 从论证电子证据的法 律地位出发，重点阐述审计中规范电子证据采集的标准和方法，最终提出了电子 证据立法的一系列构想。张进、易仁萍、陈伟( 2 0 0 4 ) 针对目前计算机审计中电 子数据采集的现状，分析了数据清理在电子数据采集中的重要性，研究了解决电 子数据采集中常见问题的数据清理方法，以一个实例介绍了数据清理在电子数据 采集中的应用。最后指出了电子数据采集中数据清理的研究方向。裴文英、姜玉 泉( 2 0 0 5 ) 探讨了审计过程中电子数据的特点和规律。庄明来( 1 9 9 7 ) 从信息形 成与传递对审计的影响入手，探讨了相应的审计策略，指出审计师面临一个多样 化集成的信息系统，随着网络环境、信息新技术的发展明细信息将是未来审计的 绪论 重点。庄明来( 2 0 0 3 ) 又进一步在分析计算机网络环境对审计影响的基础上，对 详细审计在降低审计风险过程中的作用进一步研讨，并对未来详细审计的改进提 出了若干意见。同时，深入探讨计算机审计的方法与内容，减少电算化审计的风 险是1 9 9 7 年以后这一段期间的重要内容。( 庄明来，2 0 0 2 ) 2 国外文献部分 以计算机为代表的信息技术( i n f o r m a t i o nt e c h n o l o g y ，以下简称i t ) 的兴起 和企业对核心竞争力的追求，导致了i t 系统在处理、存贮、交换信息等方面的 广泛运用。现在，企业各阶层的员工在他们的日常工作中都会运用到该系统，晟 明显的例证是传统的手工账册已经被流行的电子簿记取而代之。事实上，几乎所 有的公司都在某种程度上依赖i t 设定他们的经营目标、形成财务报告。由此而 产生一个问题是：如何在新环境下保持和提高独立审计的效率和效果? 在过去的 几年内，美国注册会计师协会( a i c p a ) 下属的审计准则委员会( a s b ) 一直关注 i t 对独立审计的影响。s a s n o 5 5 要求c p a 必须取得关于i t 系统足够的了解，藉 此来把握编制企业财务报告的报告程序以及会计估计、会计披露程序等。然而， 该准则没有对c p a 需要了解的财务报告过程做出具体的规定。在这方面，s a s n o 9 4 对s a s n o 5 5 做出了修正，2 0 0 1 年4 月，a s b 发布了第9 4 号准则：i t 对 c p a 评价内部控制的影响，该准则是作为s a s ( 审计准则公告) n o 5 5 的“补充 公告”推出的，它对下列三方面问题做出了规范：i t 对企业内部控制的影响； i t 对c p a 了解内部控制的影响；i t 对c p a 评价审计风险的影响。要求c p a 须了 解与企业财务报告编制及披露相关的i t 程序和人工程序，具体内容如下：( 1 ) 把 交易汇总记入总分类账的程序；( 2 ) 在总分类账中确认、记录、处理日常分录( 包 括重复发生基础上的标准分录以及由非正常交易和调整引起的非标准分录) 的程 序；( 3 ) 在财务报告中记录重复和非重复发生的调整，例如合并会计报表抵销分 录及重新确认的调整分录，而这些分录在此之前并没有在日常财务处理中得到反 映的程序。s a sn o 9 4 在总则中明确提醒执业注册会计师( c p a ) ：该准则不仅适 用于i t 系统复杂、规模庞大的企业，同时也适用于中小规模的企业，其原因在 于i t 对内部控制的影响源自i t 系统本身的属性及其影响的复杂性，而并非企业 规模的大小。 国际审计准则1 5 号电子数据处理环境下的审计在引言中指出，在 信息技术对审计理论影响研究 电子数据处理的环境下，并不改变审计的总体目标和范围。但是，计算机的使用 改变了财务资料的处理和存储，并可能影响这个单位为达到适当的内部控制而采 取的组织和程序。它对注册会计师从技术和能力、其他人员执行的工作、计划、 会计制度和内部控制、审计证据几个方面进行了约束和规范。国际审计准则1 6 号计算机辅助审计技术对利用计算机辅助审计技术提供指导。它适用于 利用计算机辅助审计技术的所有方面。它包括审计软件、测试数据、计算机辅助 审计技术的利用、利用计算机辅助审计技术需要考虑的问题、审计人员的计算机 知识、计算机辅助审计技术的可用性和合适的计算机设备、不能实行手工测试、 效果和效率、时问、利用计算机辅助审计技术、控制计算机辅助审计技术的应用、 记录、在小企业计算机环境下利用计算机辅助审计技术几个部分。 三、本文的结构 鉴于现在的审计体系是从企业的内部控制入手的，本文从信息技术对企业的 内部控制的影响分析开始，第一章第一节首先分析信息技术对内部控制的影响， 分为2 个部分：信息技术环境下的企业内部控制和信息技术对企业内部控制要素 的影响分析；接着第二节指出注册会计师在信息技术环境下进行控制测试应该考 虑的问题。 第二章笔者在信息环境下构建了一套系统的审计理论结构框架。分为两节： 第一节重点分析了信息技术对审计要素的影响；第二节在对审计要素分析的基础 上构建了一套新的审计理论结构。 第三章鉴于信息技术的发展，着重论述了未来审计发展的3 个方向：网络审 计、详细审计和持续审计。 四、本文的贡献与不足 本文的主要贡献在于：( 1 ) 按照c o s o 委员会2 0 0 4 年企业风险管理框架 ( e r m - i f ) 系统分析了信息技术对企业内部控制造成的冲击。( 2 ) 随着信息技术 的影响日益加深，比较系统地研究了其对现代审计影响，并在此基础上对信息技 术环境下审计理论结构进行了重新认定。( 3 ) 笔者预测未来审计的发展方向主要 表现为网络审计、详细审计和连续审计。 6 本文的不足之处在于：本文研究方法主要是规范研究，较少采用了实证统计 分析；偏重定性分析，定量分析较少。 信息技术对审计理论影响研究 第一章信息技术环境下控制测试的考虑 从理论上讲，人类自从有了群体活动，即有了一定意义上的控制，早期西方的 议会控制，我国古代的御使制度，均属控制制度的演变。内部控制的事实，可以追 溯到远古文明时期公共资金的管理中，从古埃及、古希腊、古罗马的历史沉迹， 均有发现，中国周礼中也有记述。但其真正的产生还是本世纪的事，内部控制 首先得到了外部审计师的重视，审计师从其对审计的影响及重要作用方面去关注 它，后来才得到企业管理人员的承认，企业管理者从其对管理目标的达成和经营 效率的提高方面去关心它。在本世纪四十年代以后，西方一些国家才开始应用“内 部控制”一词，内部控制源自“内部牵制”，它是企业现代化管理的产物。鉴于 现在的审计模式是从企业的内部控制入手的，“所以，本章探讨在信息技术革命 下的企业内部控制面临哪些变革。 第一节信息技术对内部控制的影响 信息技术的发展，引起了企业的生产、经营和管理的深刻变革，作为企业管 理的一个重要组成部分的内部控制也必须进行变革才能满足企业管理的需要。信 息技术的运用通过增加计算机执行的新控制程序和替代常有人为错误的手工控 制加强内部控制，但是对信息技术的依靠产生了新的风险，客户能够通过执行信 息技术环境下的特有控制管理这种风险。面对客户以信息技术为基础的会计系 统，在他们认可计算机生成结果的可靠性之前，审计师必须仔细评价控制风险。 一、信息技术环境下特有的企业内部控制 信息技术的发展使企业的运行环境发生了根本性的变化，对企业内部控制体 系产生了冲击，赋予了内部控制新的内涵，在美国注册会计师协会审计准则公 。审计模式是审计导向性的目标、范围和方法等要素的组合，它规定了审计应从何处下手、如何着手、何 时着手等问题。( 胡春元，2 0 0 1 ) 按照历史的顺序，审计模式的发展大致分为3 个阶段：账项基础审计阶段、 制度基础审计阶段和风险导向审计阶段。笔者认为，就现在我国的现实状况( 国家经济法律环境、企业的 运营环境和注册会计师职业能力) 来说，我国正处在由制度基础审计向风险导向审计过渡的阶段，因此， 内部控制在我国的注册会计师审计中，在比较长的时间内仍然是注册会计师关注的重要因素。即使到了将 来风险导向审计阶段，内部控制同样是注册会计| i l i 小可忽视的。 第一章信息技术环境下控制测试的考虑 告第3 号中把控制分为一般控制( g e n e r a lc o n t r o l s ) 与应用控制( a p p l i c a t i o n c o n t r o l s ) 。这是信息技术特有的内部控制，对促进企业发展，具有很重要的意 义。一般控制关系到所有的e d p 行为，而应用控制则关系到单个交易的处理。 ( 一) 一般控制 一般控制是带有普遍性的控制，它直接影响应用控制的效能。一般控制有以 下六大项： 1 组织控制 在使用e d p 的企业中，信息系统在进行业务处理时必须保证系统内不相容职 责的相互分离以及企业信息处理部门与企业其他业务部门的相互独立，以有效减 少信息系统内发生错误和舞弊的可能。在计算机信息处理环境中，业务的授权、 处理和记录等事项都是由计算机程序来完成的，其职责分离与手工会计大相径 庭。在信息技术环境下的职责分离把重点放在组织结构这一层次上，而不是在原 来的业务处理层次上。 ( 1 ) 信息处理部门与用户部门的职责分离 用户部门负责批准与执行手工处理业务和保管企业财产，而信息处理部门则 处理与信息处理有关的工作，它的工作大多数集中在业务数据的加工处理阶段， 不涉及业务的初始阶段和业务的授权。这样可以形成一种互相稽核、互相监督、 互相制约的关系，从而有效保护企业资产，保证资产记录和会计处理的的真实性 和准确性，保障各项业务的正常开展。 ( 2 ) 业务的授权 所有由信息系统处理的业务都要经过适当授权批准。每一个有权向计算机系 统提交业务的人都应该列入一张明细表中，用于检查各人授权批准的业务类型和 业务数量。凡是由会计信息系统生成的业务都应该在提交计算机处理之前通过审 核和批准。主文件的修改以及修改后的状态都应该记入一张表中。这些表还要需 要另一些独立人员的检查。为了保证只有通过审核的数据才能够进行处理，输入 文件必须保留审核人的签章。 ( 3 ) 信息处理部门内部的职责分工 为了保证不相容的职责由不同的人承担和一个人能对其他人的工作进行检 查，必须在信息处理部门内部进行相应的职责划分系统的开发人员在系统正式 信息技术对审计理论影响研究 投入运行后，未经批准不得擅自接触系统，也不能兼任系统的操作人员。系统 的维护和开发也要分离。由于系统开发人员对系统逻辑和程序非常熟悉，所以可 能在进行系统维护时把舞弊程序加进去。系统操作人员只负责使用、操作系统， 不能接触除操作手册以外的系统文档资料，系统操作人员也不得修改系统。系 统资料的保管和系统操作人员也要分离。数据库管理员与其他人员分离。数据 库管理员的职责包括建立数据库模式、创建用户子模式、分配用户权限、监视数 据库的使用和规划数据库未来的扩展等等，为了数据库的安全，应该要有专门的 人负责。 2 操作控制 计算机系统的使用操作应该建立一套完善的管理制度，包括上机守则与操作 规程、上机e 1 志记录、保密制度和操作工作规划。 3 文档控制 会计信息系统的文档资料描述了组织的计算机数据处理活动。加强对文档的 控制和有效的保护系统的文件与记录，是管理人员不可忽视的。 源程序作为重要的程序文档内容，是审计人员检查的重点之一。在进行源程 序审计时要特别防止审计人员检查的并不是系统实际运行的程序。因此，在检查 前，一般是现场打印源程序清单或边运行边打印。要注意源程序是否符合有关的 编码标准和模块化设计标准。如果审计人员对程序的某一部分怀疑时，可以请专 业的程序设计人员进行解释和协助。对文档的控制主要有三个方面：文档编写的 规范化、文档管理的系统化和文档管理的制度化。 4 系统开发与维护控制 信息系统的开发所面i 临的风险是多方面的，主要的风险是系统开发是否成 功，只有做好信息系统的开发控制，才能保证开发出来的系统合法合规，满足用 户的需求。 5 硬件和系统软件控制 实施硬件和系统软件控制的目的在于检测设备错误和故障、防止未经授权使 用数据、程序和设备和保证计算机的有效运行。 6 接触控制和档案资料保管控制 严禁无关人员接触相应的信息系统，对于接触控制主要体现在：专人保管、 1 0 第一章信息技术环境下控制测试的考虑 专门存放、详细记录有关使用情况等。防止未经授权的人擅自动用系统的各种资 源。实行严格的档案资料保管制度，派专人进行档案资料的保管维护。 ( 二) 应用控制 应用控制是指应用于e d p 过程的控制。与一般控制不同，应用控制的目的在 于保证数据处理的完整性、一致性、准确性和安全性。应用控制的目标是预防、 检测、纠正各种应用引起的泄密、错误。具体表现在以下五个方面： 保证所有合法业务一次且只经过一次便完全进行了处理； 保证业务数据是完整的和准确的； 保证业务的处理是正确的，对环境是适合的； 保证利用处理结果产生效益； 保证应用能够保持其功能、发挥其作用。 信息处理工作一般分为输入、处理和输出，应用控制也相应的分为输入控制、 处理控制和输出控制。 1 输入控制 美国注册会计师协会在其审计标准意见书中，将输入控制定义如下：“所谓 输入控制，是指正式确认为进行电子数据处理所可接受的数据，将其转换为机器 能够感知的形态，并且能为机器所识别，而且要合理地保证数据( 包括由通讯线 路传输的数据) 没有丢失、删除、外加、重复或不应有的变更。输入控制包括对 不正确的初始数据予以拒绝，或者给予修正后重新提供这方面的控制。”输入控 制保证数据未丢失、增加、复制、隐藏或其他不正当的变换。这些数据包括直接 键入数据、电缆传输数据以及修正数据。输入控制包括输入前控制、纠正差错和 程序控制。 2 处理控制 处理控制就是对计算机系统进行的内部数据处理活动的控制措施，保证所有 处理的业务都是合法的。在处理过程中不遗漏任何经过批准的业务，也不处理任 何未经许可的业务。有效的处理控制包括手工检查，保存终端操作记录并进行 检查，以便发现非法运用的应用程序；对主要数据文件的修改要打印出来并由管 理部门检查批准。程序控制，应用程序上应有处理数据上溢或下溢的功能、界 限检查和合理性检查的功能。数据转换，使用密码技术将数据转换成为不易读 信息技术对审计理论影响研究 的代码储存，保证数据在处理过程中不被泄漏。顺序处理，将业务文件或数据 进行顺序编码和记录，保证处理的连续进行，既不丢失也不重复项目。文件标 签与记录标志，为了保证文件不因意外用错而遭到破坏，可以采用文件标签。 数据追踪，为了确定数据处理是否正确，可以将处理过程的一些中间结果显示或 打印出来，进行直观检查，分析系统处理的变化。存在测试，在处理过程中， 应测试下一步程序所用的数据、记录和文件是否存在，如果不存在要查明原因。 3 输出控制 美国注册会计师协会在审计标准意见书中对输出控制定义如下：“所谓输出 控制，是为了保证处理结果( 诸如会计科目一览表或账户余额显示、报告书、磁 性文件、发货票、付款支票等) 的正确性，以及保证只由指定的人员接收输出而 进行的控制。”输出控制保证信息处理系统处理结果能够正确输出，在规定的时 间内及时、安全的送交用户，并控制未经许可的人不能得到这些信息。输出控制 包括：程序控制、比较控制、顺序控制和发送控制。 对应用控制的审计一般要经过确定范围、了解系统、记录与验证系统、一致 性检验、针对性检验、评价控制、提出建议书等几个步骤。应用控制与一般控制 是相辅相成的。通常应用控制只是在一个强有力的控制环境中才会有效。除非管 理控制和一般控制都很强，否则不可能开发出良好的应用控制。 二、信息技术对企业内部控制要素的影响分析 在2 0 0 4 年9 月c o s o 委员会新发布的企业风险管理整体框架( e r m i f ， e n t e r p r i s er i s km a n a g e m e n t - - i n t e g r a t e df r a m e w o r k ) 中将企业风险管理分 为内部环境( i n t e r n a le n v i r o n m e n t ) 、目标制定( o b j e c t i v es e t t i n g ) 、事项 识别( e v e n ti d e n t i f i e a t i o n ) 、风险评估( r i s ka s s e s s m e n t ) 、风险反应( r i s k r e s p o n s e ) 、控制活动( c o n t r o la c t i v i t i e s ) 、信息和沟通( i n f o r m a t i o na n d c o m m u n i c a t i o n ) 、监控( m o n i t o r i n g ) 等八个相互关联的要素。风险管理框架的范 围比内部控制框架的范围更为广泛，是对内部控制框架的扩展，是一个主要针对 风险的更为明确的概念。本文将按照企业风险管理框架( e r m - 一i f ) 分析信息技术 对企业内部控制造成的冲击。 ( 一) 改变了企业的内部环境 第一章信息技术环境下控制测试的考虑 控制环境构成一个单位的控制氛围，是所有控制方式和方法赖以存在的运行 环境它包括员工的诚实度和胜任能力、董事会或审计委员会、管理理念和经营方 式、组织结构、授权和责任的方式、人力资源政策和实施。笔者仅仅从信息技术 对企业组织结构和管理理念等方面探讨信息技术对企业内部环境的影响： 1 信息技术对传统企业组织设计的影响 现代企业的经营越来越依赖于信息，信息的处理能力直接决定着组织的运行 效率和成本。随着信息技术的发展，信息处理新方式的出现和变化，对传统企业 组织的各方面产生深刻的影响：企业的信息沟通。在一个有效的组织中，信息 沟通是多方面流动的，包括自上而下、自下而上、左右交叉。企业要把信息沟通 看成是实现组织目标的一种手段，而不是为了沟通而沟通。信息沟通是与管理的 计划、组织、人事、领导和控制等职能结成一体的，信息沟通另外一个很重要的 职能就是把企业同外部环境联系起来。企业的运行效率。不同的信息之间渠道 和不同的信息处理方法，表现出不同的企业组织的运行效率。企业的组织设计。 现代企业组织结构的演变与形成经历了相当长的历史过程。工业化的成长，市场 机制的发展，企业规模的扩大，技术的创新与进步( 尤其是信息技术) 的诸多因 素都是企业组织结构演进的重要推动力。在企业组织结构演进过程中，出现了直 线职能制( u 型结构) 、事业部制( m 型结构) 、超事业部制、矩阵制结构和多维 制结构。从组织的演变过程中可以看出，组织结构演变的本质就是使组织结构适 应信息处理的过程。正如组织学者加尔布雷斯所指出的那样，组织变化实质上就 是为了降低信息处理的需要和增加信息处理的能力而相应变化的。企业的组织 形式。由于信息技术的发展，组织中的信息处理方式也在发生变化。企业中的中 层管理人员从繁琐的事务性中解脱出来，可以有更多的精力做分析研究工作，来 进一步提高管理决策水平。这就使得企业组织形式向金字塔型向扁平化方向发 展。 2 信息技术与业务流程再造 业务流程再造是1 9 9 3 年美国学者迈克尔哈默( m i c h a e lh a m m e r ) 和詹姆 斯钱皮( j a m e sc h a m p y ) 首次提出的一种管理变革思想。哈默把b p r 定义为： 从根本上反思业务流程，对之进行彻底的重新设计，以显著改善像成本、质量、 速度、服务和速度等关键性绩效指标。它不是对旧过程的修修补补，而是对过程 信息技术对审计理论影响研究 进行高屋建瓴式的根本改造。它着眼于“过程”，简化原来需要经历多个部门的 复杂信息流程，消除由此产生的失误、延迟、返工，大大提高工作效率和工作效 果。信息技术作为一种有效的工具，不但可以在工作流程的重新组织中作为一种 强有力的沟通手段，促进流程简化和高速化，而且还可以在一些计划、调度、协 调方面引入定量分析与仿真方法，使新流程建立在科学化管理方式之上。信息技 术一旦与业务流程再造思想的革命性相结合就会释放出巨大的威力，创造出奇 迹。 3 信息技术对企业的管理风格、管理哲学和企业文化等虽然不会产生直接的 影响，但是会对管理观念、管理方式产生深刻的影响。信息是管理的核心，只有 正确的信息才会产生正确的管理决策。在人类进入信息社会的今天，与以往不同 的是，现代信息技术有可能使任何人，在任何时间和任何地点，获取他所需要的 信息。现代信息技术所导致的信息获取方式的转变，从根本上促进人们重新思考 和改造原有的管理模式。1 9 9 4 年，彼得德鲁克凭其对管理实践的深刻理解， 指出“管理的本质不是技术和程序。管理的本质是使得知识富有成效。”他强调 了对知识这一新资源的关注。知识管理的兴起代表了知识经济时代企业管理发展 的新方向。知识管理主要侧重于两个方面。一方面是促进有价值的个人未编码知 识的产生与共享，形成组织知识。另一方面则是实现组织集体知识的商品化。在 第一方面，知识管理主要关心的是创造一个有利于创造性知识产生与共享的环 境，通过组织安排和制度安排保证个人有价值知识的最大化和个人知识转化为组 织知识的最大化。在第二个方面，知识管理则更多关心如何使更多的组织知识转 化为有市场价值的商品和服务，转化为企业市场价值。从根本上来说，知识管理 的上述两个方面是相互促进、相辅相成的。通过知识共享、运用集体的智慧提高 企业的应变和创新能力，从而实现企业的可持续发展，是知识管理的本质追求。 企业内部对信息技术重要性的认识通常取决于董事会和高层管理当局的态 度。他们的监管、资源分配和对关键信息技术的参与提供了一个信息技术功能重 要性的有力信号。在复杂的环境下，管理当局通常设立信息技术指导委员会，帮 组监控企业的技术需要。相反，当信息技术职能部门存在大量的低水平雇员和外 部顾问时，一个隐含的信号是信息技术不重要，其结果常常是人员不足、资金不 。d r u c k e r p f t h e a g eo f s o c i a l t r a n s f o r m a t i o n 【叮t h e a t l t i c m o n t h l y 1 9 9 4 ，n o v e m b e r 4 第一章信息技术环境下控制测试的考虑 足和控制薄弱。 ( 二) 信息技术环境下的目标制定 在风险管理框架中，由于要针对不同的目标分析其相应的风险，因此目标的 制定自然就成为风险管理流程的首要步骤，并将其确认为风险管理框架的一部 分。与传统内部控制框架下不同的是风险管理框架引入了战略目标这个概念。运 用技术制定组织目标并形成竞争优势。不管组织是否需要获取利润，每个组织的 生存都需要信息。组织需要用数据来监控其发展，来告知组织成员其目