新岳乱合集目录500伦_在教室里被强h_幸福的一家1—6小说_美女mm131爽爽爽作爱

【摘要】本文對信息系統(tǒng)內(nèi)部控制與IT治理，持續(xù)監(jiān)控、持續(xù)審計(jì)和持續(xù)認(rèn)證這兩組意思接近的概念進(jìn)行了辨析，并對信息系統(tǒng)內(nèi)部控制的持續(xù)監(jiān)控進(jìn)行了重新定義。
【關(guān)鍵詞】IT治理 持續(xù)審計(jì) 持續(xù)監(jiān)控 信息系統(tǒng) 內(nèi)部控制 持續(xù)認(rèn)證

在針對持續(xù)監(jiān)控的研究中，信息系統(tǒng)內(nèi)部控制與IT治理、持續(xù)監(jiān)控、持續(xù)審計(jì)和持續(xù)認(rèn)證是兩組意思接近的概念，在許多研究中并未對它們進(jìn)行嚴(yán)格的概念區(qū)分，以致混用。為此，本文在對西方權(quán)威文獻(xiàn)進(jìn)行梳理的基礎(chǔ)上，對這幾個概念進(jìn)行初步的辨析。
一、信息系統(tǒng)內(nèi)部控制與IT治理
我國《企業(yè)內(nèi)部控制應(yīng)用指引第18號——信息系統(tǒng)》將信息系統(tǒng)定義為：企業(yè)利用計(jì)算機(jī)和通信技術(shù)，對內(nèi)部控制進(jìn)行集成、轉(zhuǎn)化和提升所形成的信息化管理平臺。而內(nèi)部控制是由企業(yè)董事會成員、經(jīng)理層和其他人員設(shè)計(jì)用來對經(jīng)營的效果和效率、財(cái)務(wù)報(bào)告的可靠性、法律和條規(guī)的遵守情況等三個目標(biāo)的實(shí)現(xiàn)提供合理保證的一個流程。信息系統(tǒng)的基本功能就是進(jìn)行信息采集、加工、報(bào)告和管理。在信息化環(huán)境下，企業(yè)將具有既定控制目標(biāo)的內(nèi)部控制與信息系統(tǒng)相融合，實(shí)現(xiàn)內(nèi)部控制的集成、轉(zhuǎn)化和提升，使信息系統(tǒng)具有目的性。
當(dāng)前西方準(zhǔn)則制定機(jī)構(gòu)普遍使用IT控制來替代信息系統(tǒng)內(nèi)部控制，并由此衍生出了IT審計(jì)和IT治理等概念。這里的IT并非我們通常所指的信息技術(shù)，而是“信息及相關(guān)技術(shù)”。IT控制的概念最初是由IT治理協(xié)會（ITGI）在其信息及相關(guān)技術(shù)控制目標(biāo)（COBIT）框架中提出來的，該框架中的IT是由“Information”中的“I”和“related Technology”中的“T”組合成的，它首先強(qiáng)調(diào)的是信息，然后才是技術(shù)。這里的IT其實(shí)就是信息系統(tǒng)。因此可以說，ITGI提出的IT控制、IT治理和國際信息系統(tǒng)審計(jì)與控制協(xié)會（ISACA）提出的IT審計(jì)概念，其實(shí)都是針對信息系統(tǒng)的。本文采用的是信息系統(tǒng)內(nèi)部控制概念，它等同于ITGI提出的IT控制。
IT治理是企業(yè)治理的組成部分，也是控制環(huán)境的構(gòu)成要素。企業(yè)治理是指導(dǎo)和控制企業(yè)的系統(tǒng)，主要由董事會和經(jīng)理層為履行職責(zé)所采取的一系列舉措而構(gòu)成，其目標(biāo)是為企業(yè)運(yùn)作提供戰(zhàn)略指導(dǎo)，控制企業(yè)風(fēng)險(xiǎn)，合理使用企業(yè)資源，確保企業(yè)戰(zhàn)略目標(biāo)的實(shí)現(xiàn)（ITGI，2003）。一致性和績效是企業(yè)治理的兩個主要的維度。一致性指的是與企業(yè)的控制和認(rèn)證安排相符合，績效是驅(qū)動企業(yè)前進(jìn)的價(jià)值創(chuàng)造（IFAC，2004）。一致性和績效之間的平衡形成了良好的企業(yè)治理。IT治理關(guān)注的是企業(yè)治理中與IT相關(guān)的問題，它側(cè)重的是制度的構(gòu)建，通過合理配置IT決策權(quán)來激勵和約束IT管理者來做出使IT投資價(jià)值最大化、風(fēng)險(xiǎn)最小化的決策。
戰(zhàn)略融合、價(jià)值交付、資源管理、風(fēng)險(xiǎn)管理和績效測評是IT治理的五個領(lǐng)域，其最終目標(biāo)是保持IT與業(yè)務(wù)的一致性，IT支持業(yè)務(wù)運(yùn)行并實(shí)現(xiàn)收益最大化和IT資源的有效使用及IT風(fēng)險(xiǎn)管理（ISACA，2007）。IT治理定位于高層指導(dǎo)和控制，關(guān)注的是“做什么”和“由誰做”，它是內(nèi)部控制環(huán)境的重要組成部分。而信息系統(tǒng)內(nèi)部控制是企業(yè)范圍內(nèi)全體人員的責(zé)任，它關(guān)注的是“做什么”，它是支撐、促進(jìn)和加強(qiáng)IT治理的必要手段。信息系統(tǒng)內(nèi)部控制一旦失效，信息系統(tǒng)所產(chǎn)生的信息質(zhì)量就難以保證，IT治理決策也只能是“垃圾進(jìn)，垃圾出”。
二、持續(xù)監(jiān)控、持續(xù)審計(jì)和持續(xù)認(rèn)證
1992年的COSO在《內(nèi)部控制整合框架》中首次引入了監(jiān)控要素。在該框架中，監(jiān)控是作為整個內(nèi)部控制系統(tǒng)的一種反饋機(jī)制，目的在于確保內(nèi)部控制能夠根據(jù)環(huán)境的變化及時(shí)進(jìn)行自身調(diào)整，以保證它持續(xù)有效。監(jiān)控包括持續(xù)監(jiān)控和專項(xiàng)評價(jià)（又稱專項(xiàng)監(jiān)督）兩種互補(bǔ)方式。
在COSO和PCAOB制定的規(guī)范中，通常使用的是“ongoing monitoring”的概念，IIA的《持續(xù)審計(jì)：對認(rèn)證、監(jiān)控和風(fēng)險(xiǎn)評估的意義》和ISACA的第42號信息系統(tǒng)審計(jì)指南《持續(xù)認(rèn)證》中都是使用“continuous monitoring”的概念，不過，ISACA在《內(nèi)部控制系統(tǒng)和IT監(jiān)控指南》中也使用的是“ongoing monitoring”的概念，但它對“ongoing monitoring”和“continuous monitoring”作了區(qū)分，并認(rèn)為，后者是前者的一個子集，是一種自動化的監(jiān)控形式，也就是說，兩者的區(qū)別主要在于是否依靠IT來自動運(yùn)行，依靠IT自動運(yùn)行的，則屬于“continuous monitoring”。我們認(rèn)為兩者運(yùn)行手段的差異，并沒有改變其自身的特征，所以本文對此不作區(qū)分。
持續(xù)監(jiān)控是“嵌入”企業(yè)日常性的、反復(fù)發(fā)生的活動之中的，對內(nèi)部控制系統(tǒng)進(jìn)行連續(xù)的、全面的、系統(tǒng)的、動態(tài)的檢查，以評估內(nèi)部控制的充分性和有效性。它包括一般性的管理和監(jiān)督活動、同行比較和利用內(nèi)外部數(shù)據(jù)進(jìn)行趨勢分析，也可能包括利用自動化工具評估控制、交易和流程。專項(xiàng)評價(jià)指企業(yè)對內(nèi)部控制建立與實(shí)施的某一方面（包括持續(xù)監(jiān)控）或者某些方面的情況所進(jìn)行的不定期的、有針對性的檢查。由于持續(xù)監(jiān)控與企業(yè)的經(jīng)營活動水乳交融、并行共進(jìn)、密切監(jiān)視、精準(zhǔn)把控、及時(shí)反饋，能夠及早識別并糾正控制缺陷，且能實(shí)時(shí)、動態(tài)地應(yīng)對環(huán)境的變化，所以它的效率更高，效果更好。可見，持續(xù)監(jiān)控是一種主要的監(jiān)控方式，它提供了經(jīng)理層用來支持其斷言的大部分證據(jù)（COSO，2009）。持續(xù)監(jiān)控的程度和有效性越強(qiáng)，專項(xiàng)評價(jià)的需求就越少。
COSO的《內(nèi)部控制整體框架》認(rèn)為內(nèi)部審計(jì)是內(nèi)部控制的重要組成部分。內(nèi)部審計(jì)是控制的確認(rèn)者，監(jiān)督、評價(jià)和改善內(nèi)部控制是內(nèi)部審計(jì)的基本職責(zé)。內(nèi)部審計(jì)是作為組織的控制職能來考核、評價(jià)組織的其他控制的職能部門（王光遠(yuǎn)，2007）。因此內(nèi)部審計(jì)職能開展的持續(xù)審計(jì)（也稱連續(xù)審計(jì)）或持續(xù)認(rèn)證和經(jīng)理層所開展的持續(xù)監(jiān)控活動在技術(shù)和目標(biāo)上是一致的（IIA，2005）。
Coderre在比較持續(xù)監(jiān)控和持續(xù)審計(jì)時(shí)，將持續(xù)審計(jì)和持續(xù)控制評估視為兩種互補(bǔ)的方法，而將持續(xù)風(fēng)險(xiǎn)評估視為持續(xù)審計(jì)和持續(xù)監(jiān)控的區(qū)別。筆者認(rèn)為，由于內(nèi)部控制缺陷可分為設(shè)計(jì)缺陷和運(yùn)行缺陷，因而以持續(xù)風(fēng)險(xiǎn)評估作為持續(xù)審計(jì)和持續(xù)監(jiān)控的區(qū)別有失偏頗。具體說，設(shè)計(jì)缺陷是指缺少為實(shí)現(xiàn)控制目標(biāo)所必需的控制設(shè)計(jì)。運(yùn)行缺陷是指現(xiàn)存設(shè)計(jì)完好的控制沒有按設(shè)計(jì)意圖運(yùn)行，以有效地實(shí)施控制。持續(xù)控制評估的目的是評估內(nèi)部控制是否存在運(yùn)行缺陷，這是一種靜態(tài)的風(fēng)險(xiǎn)觀念，它隱含的前提就是當(dāng)前的內(nèi)部控制在設(shè)計(jì)方面是有效的。持續(xù)風(fēng)險(xiǎn)評估的目的是評估內(nèi)部控制是否存在設(shè)計(jì)缺陷，這是一種動態(tài)的風(fēng)險(xiǎn)觀念，它所隱含的前提就是當(dāng)前的內(nèi)部控制在運(yùn)行方面是有效的。所以，持續(xù)控制評估和持續(xù)風(fēng)險(xiǎn)評估技術(shù)對于持續(xù)監(jiān)控而言都是必要的。
我們注意到，Coderre對持續(xù)審計(jì)的定義已經(jīng)不僅僅局限在傳統(tǒng)的“審計(jì)”范疇，其落腳點(diǎn)不是對“經(jīng)濟(jì)活動和經(jīng)濟(jì)事項(xiàng)”提供認(rèn)證，而是通過這些相關(guān)的數(shù)據(jù)來評估內(nèi)部控制的有效性和企業(yè)面臨的風(fēng)險(xiǎn)水平，因而Coderre對持續(xù)審計(jì)的定義實(shí)質(zhì)上是持續(xù)認(rèn)證。
當(dāng)前，在持續(xù)審計(jì)領(lǐng)域，人們更多的是應(yīng)用持續(xù)認(rèn)證的概念。嚴(yán)格來說，兩者也存在區(qū)別。1973年，美國會計(jì)學(xué)會下屬的基本審計(jì)概念委員會將審計(jì)定義為：“一種采用客觀的方式來獲取并評價(jià)關(guān)于經(jīng)濟(jì)活動和經(jīng)濟(jì)事件認(rèn)定的證據(jù)，來查明該認(rèn)定與既定的標(biāo)準(zhǔn)之間的一致性，并將結(jié)果傳遞給利益相關(guān)方的一個系統(tǒng)化的流程”。認(rèn)證服務(wù)在我國也被譯作“保證服務(wù)”或“確認(rèn)性服務(wù)。1997年美國注冊會計(jì)師協(xié)會（AICPA）下屬的Elliott委員會對認(rèn)證的定義是：“一種用來改善決策者使用的信息質(zhì)量或信息環(huán)境的獨(dú)立專業(yè)服務(wù)”。認(rèn)證服務(wù)的范圍很廣，它包括傳統(tǒng)審計(jì)、WebTrust、SysTrust和審計(jì)服務(wù)擴(kuò)展的集合。ITGI在 2007發(fā)布的《IT認(rèn)證指南》中開始用IT認(rèn)證（IT Assurance）來代替?zhèn)鹘y(tǒng)的信息系統(tǒng)審計(jì)或IT審計(jì)的概念。
Vasarhelyi等（2010）從三個方面劃分了持續(xù)監(jiān)控與持續(xù)審計(jì)（亦稱持續(xù)認(rèn)證或持續(xù)數(shù)據(jù)認(rèn)證）的區(qū)別，并指出這些區(qū)別是相關(guān)的：①持續(xù)監(jiān)控包含了一組用于監(jiān)控內(nèi)部控制功能的程序，如對訪問控制和授權(quán)、系統(tǒng)配置和業(yè)務(wù)流程設(shè)計(jì)的監(jiān)控；②持續(xù)審計(jì)是對持續(xù)數(shù)據(jù)信息系統(tǒng)中數(shù)據(jù)的真實(shí)性、完整性進(jìn)行驗(yàn)證；③持續(xù)風(fēng)險(xiǎn)監(jiān)控和評估用于動態(tài)地評估風(fēng)險(xiǎn)，并提供用于審計(jì)計(jì)劃的輸入。
與Vasarhelyi等（2010）持續(xù)審計(jì)的觀點(diǎn)相類似，KPMG（2009）將持續(xù)監(jiān)控劃分為三個要素：①包括對一個系統(tǒng)的全局設(shè)計(jì)，用于定義一個事項(xiàng)或者交易如何生成、處理和記錄的訪問控制和規(guī)則的監(jiān)控；②包括建立規(guī)則，根據(jù)實(shí)際交易流進(jìn)行測試，以識別例外、異常的模式和趨勢，或者識別與期望的績效指標(biāo)相違背的因素；③對宏觀趨勢和結(jié)果進(jìn)行監(jiān)控，要求在確定的風(fēng)險(xiǎn)和績效領(lǐng)域中對衡量的歷史或者新興趨勢進(jìn)行評價(jià)，從而促使經(jīng)理層將業(yè)務(wù)績效與組織中的人員、流程和技術(shù)的變革相聯(lián)系。這種劃分雖然與Vasarhelyi等（2010）對持續(xù)認(rèn)證的劃分類似，但持續(xù)認(rèn)證各要素的內(nèi)涵明顯地體現(xiàn)出了審計(jì)的基本目的——查錯防弊，而持續(xù)監(jiān)控的各要素更加體現(xiàn)了對控制、風(fēng)險(xiǎn)和績效方面的關(guān)注。
三、持續(xù)監(jiān)控和持續(xù)認(rèn)證的區(qū)別
1. 運(yùn)行主體不同。持續(xù)監(jiān)控是一項(xiàng)管理職能，執(zhí)行主體是經(jīng)理層，由經(jīng)理層組織實(shí)施。而持續(xù)認(rèn)證是一項(xiàng)鑒證職能，執(zhí)行主體是審計(jì)人員，由審計(jì)部門組織實(shí)施。
2. 覆蓋面不同。持續(xù)監(jiān)控的目的是實(shí)施和維護(hù)一個有效的內(nèi)部控制系統(tǒng)，它覆蓋了內(nèi)部控制系統(tǒng)中所有的關(guān)鍵控制點(diǎn)。而持續(xù)認(rèn)證的目的是收集充分的審計(jì)證據(jù)，作為對某個審計(jì)主題發(fā)表意見的基礎(chǔ)，它所覆蓋的關(guān)鍵控制點(diǎn)的數(shù)量與認(rèn)證主題息息相關(guān)。
3. 目的不同。持續(xù)監(jiān)控同時(shí)關(guān)注績效、控制和風(fēng)險(xiǎn)，目的是對內(nèi)部控制系統(tǒng)持續(xù)改進(jìn)。而持續(xù)認(rèn)證提供的是一種確認(rèn)性服務(wù)，只要內(nèi)部控制系統(tǒng)能夠合理地控制風(fēng)險(xiǎn)，審計(jì)師就會發(fā)表無保留意見。經(jīng)理層實(shí)施持續(xù)監(jiān)控是為了發(fā)現(xiàn)改進(jìn)的空間，以尋求持續(xù)改進(jìn)的途徑。
4. 作用不同。持續(xù)監(jiān)控實(shí)施的過程是對內(nèi)部控制系統(tǒng)進(jìn)行查漏補(bǔ)缺的過程，在已經(jīng)存在控制的地方，它的功能是對現(xiàn)有控制進(jìn)行監(jiān)控和修補(bǔ)，在不存在控制的地方，它本身又可以作為一種控制活動（ISACA，2010）。而持續(xù)審計(jì)出于審計(jì)獨(dú)立性的考慮，它只能對內(nèi)部控制系統(tǒng)發(fā)表意見，而難以行使完善內(nèi)部控制系統(tǒng)的職能，因此，持續(xù)審計(jì)的直接對象就是企業(yè)中現(xiàn)有的內(nèi)部控制。
5. 頻率不同。持續(xù)監(jiān)控作為經(jīng)理層的一種日常管理工具，它的執(zhí)行更加頻繁（例如，每小時(shí)、每天、每周）；而內(nèi)部審計(jì)部門可能更加關(guān)注不同時(shí)間（例如，每月、每季、每年）的趨勢，其執(zhí)行具有一定的周期性。
綜合上述五個方面的差別，我們認(rèn)為，持續(xù)監(jiān)控是內(nèi)部控制系統(tǒng)的必要組成部分，雖然持續(xù)認(rèn)證和持續(xù)監(jiān)控在功能上存在互補(bǔ)（IIA，2005），但它們之間存在的差異，使得持續(xù)認(rèn)證難以全面地履行持續(xù)監(jiān)控的職能。企業(yè)在實(shí)施持續(xù)監(jiān)控時(shí)，最好與持續(xù)認(rèn)證同時(shí)進(jìn)行。這一方面可以避免兩種職能工作的重復(fù)，另一方面還可以發(fā)揮內(nèi)部審計(jì)的咨詢作用，以幫助經(jīng)理層更好地實(shí)施持續(xù)監(jiān)控。
結(jié)合上面對IT治理、信息系統(tǒng)內(nèi)部控制、持續(xù)監(jiān)控、持續(xù)審計(jì)、持續(xù)認(rèn)證概念的分析，筆者認(rèn)為，可將信息系統(tǒng)內(nèi)部控制的持續(xù)監(jiān)控定義為：在IT治理的制度安排下，嵌入在信息系統(tǒng)中能夠?qū)π畔⑾到y(tǒng)中的控制參數(shù)和業(yè)務(wù)規(guī)則進(jìn)行實(shí)時(shí)監(jiān)測，并在一個合乎企業(yè)風(fēng)險(xiǎn)管理要求的某個頻率上周期性地對信息系統(tǒng)中的業(yè)務(wù)數(shù)據(jù)進(jìn)行分析，以便發(fā)現(xiàn)控制運(yùn)行方面存在的缺陷、風(fēng)險(xiǎn)程度和運(yùn)行績效，并將相關(guān)發(fā)現(xiàn)以“警報(bào)”或者“例外報(bào)告”的形式發(fā)送給相關(guān)責(zé)任人員，讓他們及時(shí)采取補(bǔ)救措施，并跟蹤和反饋這些補(bǔ)救措施的執(zhí)行，以實(shí)現(xiàn)對內(nèi)部控制系統(tǒng)的持續(xù)改進(jìn)，確保內(nèi)部控制持續(xù)有效的一個管理流程。
【注】本文系浙江省自然科學(xué)基金項(xiàng)目（項(xiàng)目編號：LQ13G020011），教育部人文社科規(guī)劃項(xiàng)目（項(xiàng)目編號：13YJAZH082）的階段性研究成果。
主要參考文獻(xiàn)
1. 牛艷芳，陽杰.會計(jì)信息系統(tǒng)研究的邊界與范式.東疆學(xué)刊，2012；2
2. 陽杰，莊明來.內(nèi)部控制持續(xù)監(jiān)控系統(tǒng)研究的理論框架.江西社會科學(xué)，2012；5

【作　　者】
陽 杰

【作者單位】
（溫州大學(xué)城市學(xué)院 浙江溫州 325035）