据智研咨询集团统计结果显示,截至2016年12月,我国60%以上的企业部署了企业信息化系统,其中50.4%、28.2%、25.9%的企业建设使用了办公自动化(OA)系统、企业资源计划(ERP)系统和客户关系管理(CRM)系统,相比于上一年提升了13.4个百分点,且预测整体呈快速的上升趋势。此外,2013年由国家财政部印发的《企业会计信息化工作规范财会20号》明确提出以信息技术促进会计工作集中化、逐步建立财务共享中心,意味着在当今财务共享、“互联网+”的大背景下,企业对信息技术的关注度越来越大以及对信息系统的依赖性也愈发强烈,但也说明企业面临较大的信息脆性风险,潜在的信息安全风险也逐步暴露出来,这就表明会计信息系统的地位越来越重要。因此,为保证信息系统的真实性、安全性和有效性,信息系统审计显得尤为重要,而国际会计联合会会长罗伯特梅尔曾指出:“会计师将不得不对实际上通过计算机报告的财务信息承担责任”,可见会计信息系统审计是信息系统审计工作的重中之重,研究会计信息系统审计方法是当务之急。 针对财务处理“无痕化”、“电子化”,如何进行会计信息系统审计成为审计的关注要点之一。目前COBIT框架提出了一般控制和应用控制两要素审计方法,为企业管理层、IT与审计之间交流架起桥梁,但笔者认为会计信息系统审计作为信息系统审计的核心,COBIT没有针对会计信息系统给出明确性的指南,未能提出一套完整的、具有针对性的框架体系。ISACA制定的信息系统审计准则由基本准则、审计指南和作业程序三个层次组成,明确审计人员的基本要求以及具体的审计程序,是一套通用的信息系统审计准则,也为审计人员进行系统审计工作指明一定方向,但该准则针对性不强,未明确会计信息系统审计应重视哪些方面以及具体怎么做等问题。因此,有必要探索会计信息系统的审计方法,为会计信息系统审计工作提供一个明确的、可行的方法指南。 二、文献回顾 信息化的发展对审计工作产生了重大影响,信息系统审计的研究也成为一个热点。目前我国尚未颁布一套完善的信息系统审计规范,刘念祖等(2013)、裴晓宁等(2016)均指出我国当务之急是构建信息系统审计准则。因此,纵观分析,无论是早期还是当前学者,大都是对信息系统审计准则、框架构建进行相关的研究,以期为我国信息系统审计人员提供规范指导。 部分研究学者主要基于国际信息系统审计标准COBIT进行了较多的研究和探讨,剖析了COBIT标准的体系结构,并建议我国构建信息系统审计框架,提出了一定的构建想法。周德铭、曹洪泽(2014)在借鉴国外信息系统过程控制审计框架基础上,提出四维结构的信息系统审计控制审计框架;王会金(2012)提出中观信息系统审计风险控制框架体系,为相关系统安全提供理论支持与实践指导;张文秀、齐兴利等(2010)构建我国信息系统审计框架,提出面向系统和面向数据的信息系统审计,进一步深入了我国信息系统审计的研究与应用;陈婉玲、袁若宾(2006)讨论了我国信息系统审计框架以及提出制定审计准则的意见,强调了审计指南的重要性;金文、张金城(2005)提出以信息系统生命周期为出发点,构建符合COBIT定义的信息技术过程和管理、控制与审计模型。上述研究主要依据COBIT标准构建我国信息系统审计框架,通常COBIT便于人们了解和分析信息系统建设与应用过程,帮助审计师明确审计轨迹。但是,COBIT未能提出一套完整的、具有针对性的框架体系,无法指导会计信息系统进行具体的审计工作,最终可能会给带给企业一定风险。 另外一部分的研究者主要是基于国际信息系统审计准则进行相关的研究,解读了国际信息系统审计准则的相关内容,并在此基础上提出制定我国信息系统审计准则的意见。刘杰(2014)通过比较国内外信息系统审计准则,指出我国准则的弊端,并提出相关政策建议;张文秀等(2012)指出在我国借鉴国际信息系统审计规范的过程中要注意国家文化的特征,要探讨适合我国国情的审计准则;陈婉玲、杨文杰(2006)借鉴ISACA的信息系统审计准则,提出顶层设计方案,指出我国可以按照工作流程或审计工作任务进行准则制定。通过文献回顾,可以了解到信息系统审计准则对审计工作具有一定的指导作用,大体是以基本准则、审计职能和作业程序为依据,为我国信息系统审计提供通用的规范。但是,目前对准则提出的意见大多较为宽泛地指出审计的流程、任务等,不具备可操作性,没有具体指导会计信息系统审计的指南或作业程序,无法有效地帮助审计人员进行会计信息系统审计。 少部分学者关注审计具体的操作分析,王宏(2017)从系统操作和内部控制两个方面介绍了会计信息系统进行财务舞弊的技术手段和常用方法,提出识别和应对舞弊的思路和对策。而国外拥有一套成熟的信息系统审计准则,对信息系统审计主要关注信息系统风险、控制和审计之间的关系。Ivan、Milodin(2010)提出对风险和控制进行永久监测的应用程序的综合审计方法;ISACA(2011)提出COBIT 5框架版本,该版本开始注重风险、控制和审计的一体化研究;Huang、Yen等(2011)提出企业风险管理下注册会计师IT综合评价模型;国际会计师联合会(IFAC,2012)指出财务审计师必须了解和分析会计信息系统,并掌握通过信息系统获取财务报表的过程;Claudiu Brandas、Dan Stirbu、Otniel Didraga(2013)提出会计信息系统风险、控制与审计一体化方法模型等等。可见,国外注重研究审计方法模型,为审计工作提供更好的指引。 鉴于以上文献回顾,我国在对会计信息系统如何进行具体审计方面的研究比较缺乏。为此,本文提出面向会计信息系统的六要素审计方法,明确会计信息系统审计的六要素即用户、账套、科目树、凭证、账簿、报表,该方法体系与财务框架具有高度的相融性,尤其要重视用户要素在内控方面作用、科目树要素进行实质性检查以及报表要素对流程合法性考察,有侧重地对六要素进行审计,为我国信息系统审计人员提供具体的审计指导,丰富了信息系统审计理论的研究框架,拓展了一个新的研究方向,为以后相关理论和实务研究提供指引。