云会计下基于COBIT标准的AIS审计实施框架,本文主要内容关键词为:框架论文,会计论文,标准论文,COBIT论文,AIS论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
云计算、移动互联网、通讯等技术的迅猛发展催生了会计信息化领域的新变革——“云会计”。云会计“按需购买,集中管理”的服务模式让企业不需保留会计信息化基础设施,只需接入一根网线,便可享用云端实时更新的会计云服务。企业所购买的会计云服务“无缝对接”成适合自身财务、业务管理需求的会计信息系统(Accounting Information System,以下简称AIS)。AIS审计是针对AIS实施的IT审计,旨在采用客观的标准对AIS的策划、开发、使用和维护等相关活动进行完整的、有效的检查和评估。企业在享用云会计高效率、低成本、易更新维护、易与外部信息系统协同、为大数据决策提供支撑等优势的同时,也越来越关注云会计下AIS的效率性、有效性,数据与信息资产的安全性、完整性等方面,这就对云会计下的AIS审计提出了更高层次的要求。 借鉴COBIT5中的流程参考模型,结合云会计自身特点,本文构建了云会计下基于COBIT标准的AIS审计实施框架,如图1所示。 下面针对图1所示框架的每个流程中云会计下AIS审计应关注的要点进行详细描述。 1.制定审计目标 审计人员在接受业务委托后,在考虑企业目标、IT目标的基础上,根据业务的性质结合审计可以使用到的资源明确审计的目标、时间与范围,并拟定审计报告涉及内容的范围。不同性质的AIS审计,审计目标的侧重点不同,如财报审计中的AIS审计旨在发现重大账户余额、交易类型、披露事项或财务报表层次产生重大错报的风险而对AIS了解,更加关注AIS是否有效运行,处理与生成的财务业务数据是否真实完整,是否会影响财务报表。内部AIS审计更加关注AIS业务流程、信息资源与企业策略和目标的结合程度、实现程度。尽管不同性质的AIS审计目标不完全一致,评价AIS可信性水平是云会计下AIS审计的一个共同目标,以对会计信息的输入、处理和输出流程符合用户预期,以及AIS产生的会计信息所具有的相关性和可靠性等会计信息质量特征符合企业各级管理人员、审计人员、税务部门、投资者等会计信息使用者的预期获取合理保证。 2.风险评估 云端的服务自动更新维护、用户需求不断变化等因素都使得云会计环境始终处于动态变化之中,相比于传统AIS,审计人员面临的审计环境更为复杂,因此风险评估是云会计下AIS审计中至关重要的环节。 由于服务的基础设施处于云会计供应商的掌控之下,服务程序的设计等软件层面技术对用户来说往往是不透明的,仅仅依靠审计人员对会计云服务进行系统性了解以评估AIS审计风险往往耗费大量时间与资源,并且IT审计人员并不一定都熟悉云会计技术与理念,这样评估结果的可靠性也难以保证。因此,需要借助外部专家的工作——由专家或第三方评估机构对云会计的可信性进行评价。通过了解客户的信息技术环境,包括审计客户实施的信息技术政策和程序,云会计供应商的资质、技术水平、服务协议的范围与标准、云会计基础设施构建等情况,考察诸如AIS对相关业务的财务处理与管理控制中遵照相关会计法律法规、规章制度以及会计信息化领域中诸如《会计核算软件基本功能规范》等法规的符合程度,即合规性等可信属性,借助业界和学界相对认可的可信性评价方法得到科学合理的可信性评价结论。 此外,审计人员应当结合审计客户具体情况详细了解当前使用的会计云服务及其可持续性、AIS内部控制与AIS的适应程度、AIS内部控制是否及时调整等等。在了解企业战略和业务目标,结合业务流程分析并考虑可信性评价结果的基础上,得出可能存在的威胁及威胁发生的可能性,根据风险因素及关键风险指标构建各个风险事项的二维风险矩阵对风险进行定性和定量的评估。 3.制定审计计划 根据风险评估的结果,考虑企业的IT管理框架、人力资源配置、对会计云服务的业务需求以及当前正在使用的会计云服务组合等因素,制定出较为详细的审计计划,规划出审计日程表,包括审计时间、范围、所需的人力物力资源。审计范围的确定应当将本期所有使用过的会计云服务都纳入审计范围,包括当前正在使用、审计期间内曾使用但当前未使用的会计云服务。在人力资源的分配方面,结合风险评估对供应商、企业业务流程的了解,应向高风险领域投入较多具有胜任能力的审计人员,如了解业务流程逻辑、对云会计技术背景熟悉的人员。 4.设计审计程序 将云会计下AIS控制划分为三个层级,分别为AIS一般控制、AIS应用控制以及管理层AIS控制,分别实施特定审计程序。 (1)AIS一般控制 由于云会计服务模式的特殊性,基础设施和服务均由云会计供应商提供,用户仅需接入互联网就可使用购买的会计云服务,因此,云会计下AIS一般控制需要从云会计供应商和用户两个角度考量控制设计和执行的有效性,这样不仅使得AIS审计过程和结论更加可靠,还能在很大程度上规范云会计供应商的行为,有利于云会计产业环境健康发展,从而使得用户最终受益。云会计下AIS一般控制关注的风险点主要有服务更新、基础设施变更(包括操作系统、服务器、数据库、网络设备等)、访问安全、数据安全、网络安全等5个方面,其中SaaS(软件即服务)涉及服务更新和访问安全2个方面,PaaS(平台即服务)和IaaS(基础设施即服务)涉及基础设施变更、访问安全、数据安全、网络安全4个方面。 区分云会计供应商与用户来考虑AIS一般控制给AIS审计增加了工作量与复杂度,但是,由于会计云服务的大规模性与一定程度上的公用性,使得对相同云会计供应商的一般控制测试流程与内容重复度极高,也相应地降低了审计负荷。 (2)AIS应用控制 相比一般控制能依据较为统一的标准规范进行AIS审计,应用控制则难以参照一致的规范,需根据审计客户的业务特点、管理流程设计特定的审计程序。会计云服务的普适性使得AIS审计更应关注AIS应用控制,尤其是业务流程相关的控制。COBIT的关键理念是将IT治理目标与企业目标相结合,在云会计下,这种结合更应体现为会计云服务的应用控制流程与企业业务流程控制、AIS内部控制的契合程度。企业选择适合自身财务业务管理需要的会计云服务,并将自身业务流程、AIS内部控制加以调整,以便与AIS业务流程相适应,促使云会计对企业的效用最大化。在遵循COBIT标准进行AIS审计时,先从企业的控制目标入手,分析实现相关控制目标的业务流程合理性,找出业务流程中的关键风险点,分析当前使用的会计云服务针对该关键风险点的AIS应用控制,设计出控制点检查表,依据控制点所在的业务流程制定穿行测试路径。 会计云服务选择的多样性使得业务流程跟随企业的服务需求变化而不断重构,同时导致应用控制测试程序的设计复杂度提高。在企业交易业务流程极其复杂的情况下,审计人员可以借助专业的自动化测试软件结合大数据分析进行大量的穿行测试,然而通常情况下,最重要的风险只能通过熟悉行业、企业业务的专业人员手动分析发现,如业务交易撤销记录漏洞等逻辑错误。因此,要求审计人员不仅需具备IT、财务、企业管理等方面的知识,还需具备较强的业务流程、业务逻辑分析能力。如果审计人员难以胜任,就应当在一定程度上利用外部专家的工作,例如利用外部专家或第三方评价机构对云会计下AIS可信性评价结论,或针对某个特定目标如数据控制(输入输出控制)、接口控制等评估AIS的可信性程度。 (3)管理层AIS控制 管理层AIS控制通常涉及日常AIS管理、IT战略规划层面。在云会计下,AIS审计需关注IT战略规划与设计是否与企业目标相契合,会计云服务需求制定与变更是否经由IT管理层会同财务部门、业务部门共同分析制定,云会计供应商的选择与管理,是否结合企业与供应商双方因素进行服务可持续性管理,并签订服务水平协议管理等。 5.执行审计程序获取审计证据 根据设计的审计程序执行现场工作,利用与管理层及相关人员访谈、观察、检查记录与文件、穿行测试和计算机辅助审计技术等测试方法执行审计程序,结合专家或第三方评估机构给出的可信性评价结论及辅助获取的可信性证据,从客户和供应商处获取有关一般控制、应用控制、管理层AIS控制等层面充分适当的审计证据,并将发现的控制缺陷与相关人员沟通,记录测试及沟通的结果,并及时进行缺陷的复核与评估。 6.形成审计意见出具管理层建议 汇总执行审计程序得到的审计结果,结合审计目标、企业IT战略、可信性与风险度量结果形成审计意见,并向审计客户出具审计中发现缺陷形成的管理层建议,与管理层充分沟通,取得其对管理层建议的答复及计划改进措施。标签:云会计论文; ais论文; 审计软件论文; 会计与审计论文; 审计计划论文; 审计质量论文; 审计目标论文; 审计方法论文; 审计流程论文; cobit论文; 财会论文; 供应商论文;