□财会月刊全国优秀经济期刊·
持续监控相关概念辨析
阳杰
(温州大学城市学院浙江温州325035)
【摘要】本文对信息系统内部控制与IT治理,持续监控、持续审计和持续认证这两组意思接近的概念进行了辨析,并对信息系统内部控制的持续监控进行了重新定义。
【关键词】IT治理
持续审计持续监控信息系统内部控制
持续认证
在针对持续监控的研究中,信息系统内部控制与IT治理、持续监控、持续审计和持续认证是两组意思接近的概念,在许多研究中并未对它们进行严格的概念区分,以致混用。为此,本文在对西方权威文献进行梳理的基础上,对这几个概念进行初步的辨析。
一、信息系统内部控制与IT治理
我国《企业内部控制应用指引第18号——信息系统》将信息系统定义为:企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。而内部控制是由企业董事会成员、经理层和其他人员设计用来对经营的效果和效率、财务报告的可靠性、法律和条规的遵守情况等三个目标的实现提供合理保证的一个流程。信息系统的基本功能就是进行信息采集、加工、报告和管理。在信息化环境下,企业将具有既定控制目标的内部控制与信息系统相融合,实现内部控制的集成、转化和提升,使信息系统具有目的性。
当前西方准则制定机构普遍使用IT控制来替代信息系统内部控制,并由此衍生出了IT审计和IT治理等概念。这里的IT并非我们通常所指的信息技术,而是“信息及相关技术”。IT控制的概念最初是由IT治理协会(IT⁃GI)在其信息及相关技术控制目标(COBIT)框架中提出来的,该框架中的IT是由“Information”中的“I”和“relatedTechnology”中的“T”组合成的,它首先强调的是信息,然后才是技术。这里的IT其实就是信息系统。因此可以说,ITGI提出的IT控制、IT治理和国际信息系统审计与控制协会(ISACA)提出的IT审计概念,其实都是针对信息系统的。本文采用的是信息系统内部控制概念,它等同于ITGI提出的IT控制。
IT治理是企业治理的组成部分,也是控制环境的构成要素。企业治理是指导和控制企业的系统,主要由董事会和经理层为履行职责所采取的一系列举措而构成,其
□·120·2014.1下
目标是为企业运作提供战略指导,控制企业风险,合理使用企业资源,确保企业战略目标的实现(ITGI,2003)。一致性和绩效是企业治理的两个主要的维度。一致性指的是与企业的控制和认证安排相符合,绩效是驱动企业前进的价值创造(IFAC,2004)。一致性和绩效之间的平衡形成了良好的企业治理。IT治理关注的是企业治理中与IT相关的问题,它侧重的是制度的构建,通过合理配置IT决策权来激励和约束IT管理者来做出使IT投资价值最大化、风险最小化的决策。
战略融合、价值交付、资源管理、风险管理和绩效测评是IT治理的五个领域,其最终目标是保持IT与业务的一致性,IT支持业务运行并实现收益最大化和IT资源的有效使用及IT风险管理(ISACA,2007)。IT治理定位于高层指导和控制,关注的是“做什么”和“由谁做”,它是内部控制环境的重要组成部分。而信息系统内部控制是企业范围内全体人员的责任,它关注的是“做什么”,它是支撑、促进和加强IT治理的必要手段。信息系统内部控制一旦失效,信息系统所产生的信息质量就难以保证,IT治理决策也只能是“垃圾进,垃圾出”。
二、持续监控、持续审计和持续认证
1992年的COSO在《内部控制整合框架》中首次引入了监控要素。在该框架中,监控是作为整个内部控制系统的一种反馈机制,目的在于确保内部控制能够根据环境的变化及时进行自身调整,以保证它持续有效。监控包括持续监控和专项评价(又称专项监督)两种互补方式。
在COSO和PCAOB制定的规范中,通常使用的是“ongoingmonitoring”的概念,IIA的《持续审计:对认证、监控和风险评估的意义》和ISACA的第42号信息系统审计指南《持续认证》中都是使用“continuousmonitoring”的概念,不过,ISACA在《内部控制系统和IT监控指南》中也使用的是“ongoingmonitoring”的概念,但它对“ongoing
monitoring”和“continuousmonitoring”作了区分,并认为,后者是前者的一个子集,是一种自动化的监控形式,也就是说,两者的区别主要在于是否依靠IT来自动运行,依靠IT自动运行的,则属于“continuousmonitoring”。我们认为两者运行手段的差异,并没有改变其自身的特征,所以本文对此不作区分。
持续监控是“嵌入”企业日常性的、反复发生的活动之中的,对内部控制系统进行连续的、全面的、系统的、动态的检查,以评估内部控制的充分性和有效性。它包括一般性的管理和监督活动、同行比较和利用内外部数据进行趋势分析,也可能包括利用自动化工具评估控制、交易和流程。专项评价指企业对内部控制建立与实施的某一方面(包括持续监控)或者某些方面的情况所进行的不定期的、有针对性的检查。由于持续监控与企业的经营活动水乳交融、并行共进、密切监视、精准把控、及时反馈,能够及早识别并纠正控制缺陷,且能实时、动态地应对环境的变化,所以它的效率更高,效果更好。可见,持续监控是一种主要的监控方式,它提供了经理层用来支持其断言的大部分证据(COSO,2009)。持续监控的程度和有效性越强,专项评价的需求就越少。
COSO的《内部控制整体框架》认为内部审计是内部控制的重要组成部分。内部审计是控制的确认者,监督、评价和改善内部控制是内部审计的基本职责。内部审计是作为组织的控制职能来考核、评价组织的其他控制的职能部门(王光远,2007)。因此内部审计职能开展的持续审计(也称连续审计)或持续认证和经理层所开展的持续监控活动在技术和目标上是一致的(IIA,2005)。
Coderre在比较持续监控和持续审计时,将持续审计和持续控制评估视为两种互补的方法,而将持续风险评估视为持续审计和持续监控的区别。笔者认为,由于内部控制缺陷可分为设计缺陷和运行缺陷,因而以持续风险评估作为持续审计和持续监控的区别有失偏颇。具体说,设计缺陷是指缺少为实现控制目标所必需的控制设计。运行缺陷是指现存设计完好的控制没有按设计意图运行,以有效地实施控制。持续控制评估的目的是评估内部控制是否存在运行缺陷,这是一种静态的风险观念,它隐含的前提就是当前的内部控制在设计方面是有效的。持续风险评估的目的是评估内部控制是否存在设计缺陷,这是一种动态的风险观念,它所隐含的前提就是当前的内部控制在运行方面是有效的。所以,持续控制评估和持续风险评估技术对于持续监控而言都是必要的。
我们注意到,Coderre对持续审计的定义已经不仅仅局限在传统的“审计”范畴,其落脚点不是对“经济活动和经济事项”提供认证,而是通过这些相关的数据来评估内部控制的有效性和企业面临的风险水平,因而Coderre对
全国中文核心期刊·
财会月刊□持续审计的定义实质上是持续认证。
当前,在持续审计领域,人们更多的是应用持续认证的概念。严格来说,两者也存在区别。1973年,美国会计学会下属的基本审计概念委员会将审计定义为:“一种采用客观的方式来获取并评价关于经济活动和经济事件认定的证据,来查明该认定与既定的标准之间的一致性,并将结果传递给利益相关方的一个系统化的流程”。认证服务在我国也被译作“保证服务”或“确认性服务。1997年美国注册会计师协会(AICPA)下属的Elliott委员会对认证的定义是:“一种用来改善决策者使用的信息质量或信息环境的独立专业服务”。认证服务的范围很广,它包括传统审计、WebTrust、SysTrust和审计服务扩展的集合。ITGI在2007发布的《IT认证指南》中开始用IT认证(ITAssur⁃ance)来代替传统的信息系统审计或IT审计的概念。
Vasarhelyi等(2010)从三个方面划分了持续监控与持续审计(亦称持续认证或持续数据认证)的区别,并指出这些区别是相关的:①持续监控包含了一组用于监控内部控制功能的程序,如对访问控制和授权、系统配置和业务流程设计的监控;②持续审计是对持续数据信息系统中数据的真实性、完整性进行验证;③持续风险监控和评估用于动态地评估风险,并提供用于审计计划的输入。
与Vasarhelyi等(2010)持续审计的观点相类似,KP⁃MG(2009)将持续监控划分为三个要素:①包括对一个系统的全局设计,用于定义一个事项或者交易如何生成、处理和记录的访问控制和规则的监控;②包括建立规则,根据实际交易流进行测试,以识别例外、异常的模式和趋势,或者识别与期望的绩效指标相违背的因素;③对宏观趋势和结果进行监控,要求在确定的风险和绩效领域中对衡量的历史或者新兴趋势进行评价,从而促使经理层将业务绩效与组织中的人员、流程和技术的变革相联系。这种划分虽然与Vasarhelyi等(2010)对持续认证的划分类似,但持续认证各要素的内涵明显地体现出了审计的基本目的——查错防弊,而持续监控的各要素更加体现了对控制、风险和绩效方面的关注。
三、持续监控和持续认证的区别
1.运行主体不同。持续监控是一项管理职能,执行主体是经理层,由经理层组织实施。而持续认证是一项鉴证职能,执行主体是审计人员,由审计部门组织实施。
2.覆盖面不同。持续监控的目的是实施和维护一个有效的内部控制系统,它覆盖了内部控制系统中所有的关键控制点。而持续认证的目的是收集充分的审计证据,作为对某个审计主题发表意见的基础,它所覆盖的关键控制点的数量与认证主题息息相关。
3.目的不同。持续监控同时关注绩效、控制和风险,目的是对内部控制系统持续改进。而持续认证提供的是
2014.1下·121·□
□财会月刊全国优秀经济期刊·
《财务分析》课程开放式案例教学法
(副教授)张莉芳
(南京财经大学会计学院南京210003南京大学商学院南京210093)
【摘要】本文针对本科院校的《财务分析》课程,提出开放式案例教学法,包括三层开放式教学目标的设计、三类开放式教学案例的选取和四维开放式案例教学的实施。同时针对我国《财务分析》课程案例教学的现状,提出了一些改进建议。
【关键词】案例教学法
财务分析高校本科
教学法真正作为一种教学方法在西方教育界迅速崭露头角,被广泛运用于法学、医学、工商管理等教学领域,逐渐风靡全球。笔者认为,在本科院校的《财务分析》课程中引入案例教学法对学生和老师都大有裨益。
一、开放式案例教学法的定义及特点
在开放式案例教学法过程中,教师根据学生特点,以学生为主体,设置灵活开放的教学目标,选取现实中典型的事件作为教学案例,引导学生进入特定的教学情景,并组织学生对案例进行阅读、思考、分析、讨论等一系列活审计的咨询作用,以帮助经理层更好地实施持续监控。
随着我国经济持续快速的发展,股票、债券、期货、储蓄、外汇、保险等这些投资工具所涵盖的生活范围日益扩大,财务分析理论和方法被广泛应用,具有较强财务分析能力的应用型人才越来越受到社会各界的青睐。但长期以来,我国高校的《财务分析》课程主要采用教师讲授、学生听讲的教学模式(简称“传统课堂教学”),这种填鸭式教学只能灌输学生理论知识,却往往和实践脱节,很难激发学生的学习兴趣和培养应用型人才。
20世纪20年代开始,在哈佛大学的倡导下,现代案例
□财会月刊全国优秀经济期刊·
持续监控相关概念辨析
阳杰
(温州大学城市学院浙江温州325035)
【摘要】本文对信息系统内部控制与IT治理,持续监控、持续审计和持续认证这两组意思接近的概念进行了辨析,并对信息系统内部控制的持续监控进行了重新定义。
【关键词】IT治理
持续审计持续监控信息系统内部控制
持续认证
在针对持续监控的研究中,信息系统内部控制与IT治理、持续监控、持续审计和持续认证是两组意思接近的概念,在许多研究中并未对它们进行严格的概念区分,以致混用。为此,本文在对西方权威文献进行梳理的基础上,对这几个概念进行初步的辨析。
一、信息系统内部控制与IT治理
我国《企业内部控制应用指引第18号——信息系统》将信息系统定义为:企业利用计算机和通信技术,对内部控制进行集成、转化和提升所形成的信息化管理平台。而内部控制是由企业董事会成员、经理层和其他人员设计用来对经营的效果和效率、财务报告的可靠性、法律和条规的遵守情况等三个目标的实现提供合理保证的一个流程。信息系统的基本功能就是进行信息采集、加工、报告和管理。在信息化环境下,企业将具有既定控制目标的内部控制与信息系统相融合,实现内部控制的集成、转化和提升,使信息系统具有目的性。
当前西方准则制定机构普遍使用IT控制来替代信息系统内部控制,并由此衍生出了IT审计和IT治理等概念。这里的IT并非我们通常所指的信息技术,而是“信息及相关技术”。IT控制的概念最初是由IT治理协会(IT⁃GI)在其信息及相关技术控制目标(COBIT)框架中提出来的,该框架中的IT是由“Information”中的“I”和“relatedTechnology”中的“T”组合成的,它首先强调的是信息,然后才是技术。这里的IT其实就是信息系统。因此可以说,ITGI提出的IT控制、IT治理和国际信息系统审计与控制协会(ISACA)提出的IT审计概念,其实都是针对信息系统的。本文采用的是信息系统内部控制概念,它等同于ITGI提出的IT控制。
IT治理是企业治理的组成部分,也是控制环境的构成要素。企业治理是指导和控制企业的系统,主要由董事会和经理层为履行职责所采取的一系列举措而构成,其
□·120·2014.1下
目标是为企业运作提供战略指导,控制企业风险,合理使用企业资源,确保企业战略目标的实现(ITGI,2003)。一致性和绩效是企业治理的两个主要的维度。一致性指的是与企业的控制和认证安排相符合,绩效是驱动企业前进的价值创造(IFAC,2004)。一致性和绩效之间的平衡形成了良好的企业治理。IT治理关注的是企业治理中与IT相关的问题,它侧重的是制度的构建,通过合理配置IT决策权来激励和约束IT管理者来做出使IT投资价值最大化、风险最小化的决策。
战略融合、价值交付、资源管理、风险管理和绩效测评是IT治理的五个领域,其最终目标是保持IT与业务的一致性,IT支持业务运行并实现收益最大化和IT资源的有效使用及IT风险管理(ISACA,2007)。IT治理定位于高层指导和控制,关注的是“做什么”和“由谁做”,它是内部控制环境的重要组成部分。而信息系统内部控制是企业范围内全体人员的责任,它关注的是“做什么”,它是支撑、促进和加强IT治理的必要手段。信息系统内部控制一旦失效,信息系统所产生的信息质量就难以保证,IT治理决策也只能是“垃圾进,垃圾出”。
二、持续监控、持续审计和持续认证
1992年的COSO在《内部控制整合框架》中首次引入了监控要素。在该框架中,监控是作为整个内部控制系统的一种反馈机制,目的在于确保内部控制能够根据环境的变化及时进行自身调整,以保证它持续有效。监控包括持续监控和专项评价(又称专项监督)两种互补方式。
在COSO和PCAOB制定的规范中,通常使用的是“ongoingmonitoring”的概念,IIA的《持续审计:对认证、监控和风险评估的意义》和ISACA的第42号信息系统审计指南《持续认证》中都是使用“continuousmonitoring”的概念,不过,ISACA在《内部控制系统和IT监控指南》中也使用的是“ongoingmonitoring”的概念,但它对“ongoing
monitoring”和“continuousmonitoring”作了区分,并认为,后者是前者的一个子集,是一种自动化的监控形式,也就是说,两者的区别主要在于是否依靠IT来自动运行,依靠IT自动运行的,则属于“continuousmonitoring”。我们认为两者运行手段的差异,并没有改变其自身的特征,所以本文对此不作区分。
持续监控是“嵌入”企业日常性的、反复发生的活动之中的,对内部控制系统进行连续的、全面的、系统的、动态的检查,以评估内部控制的充分性和有效性。它包括一般性的管理和监督活动、同行比较和利用内外部数据进行趋势分析,也可能包括利用自动化工具评估控制、交易和流程。专项评价指企业对内部控制建立与实施的某一方面(包括持续监控)或者某些方面的情况所进行的不定期的、有针对性的检查。由于持续监控与企业的经营活动水乳交融、并行共进、密切监视、精准把控、及时反馈,能够及早识别并纠正控制缺陷,且能实时、动态地应对环境的变化,所以它的效率更高,效果更好。可见,持续监控是一种主要的监控方式,它提供了经理层用来支持其断言的大部分证据(COSO,2009)。持续监控的程度和有效性越强,专项评价的需求就越少。
COSO的《内部控制整体框架》认为内部审计是内部控制的重要组成部分。内部审计是控制的确认者,监督、评价和改善内部控制是内部审计的基本职责。内部审计是作为组织的控制职能来考核、评价组织的其他控制的职能部门(王光远,2007)。因此内部审计职能开展的持续审计(也称连续审计)或持续认证和经理层所开展的持续监控活动在技术和目标上是一致的(IIA,2005)。
Coderre在比较持续监控和持续审计时,将持续审计和持续控制评估视为两种互补的方法,而将持续风险评估视为持续审计和持续监控的区别。笔者认为,由于内部控制缺陷可分为设计缺陷和运行缺陷,因而以持续风险评估作为持续审计和持续监控的区别有失偏颇。具体说,设计缺陷是指缺少为实现控制目标所必需的控制设计。运行缺陷是指现存设计完好的控制没有按设计意图运行,以有效地实施控制。持续控制评估的目的是评估内部控制是否存在运行缺陷,这是一种静态的风险观念,它隐含的前提就是当前的内部控制在设计方面是有效的。持续风险评估的目的是评估内部控制是否存在设计缺陷,这是一种动态的风险观念,它所隐含的前提就是当前的内部控制在运行方面是有效的。所以,持续控制评估和持续风险评估技术对于持续监控而言都是必要的。
我们注意到,Coderre对持续审计的定义已经不仅仅局限在传统的“审计”范畴,其落脚点不是对“经济活动和经济事项”提供认证,而是通过这些相关的数据来评估内部控制的有效性和企业面临的风险水平,因而Coderre对
全国中文核心期刊·
财会月刊□持续审计的定义实质上是持续认证。
当前,在持续审计领域,人们更多的是应用持续认证的概念。严格来说,两者也存在区别。1973年,美国会计学会下属的基本审计概念委员会将审计定义为:“一种采用客观的方式来获取并评价关于经济活动和经济事件认定的证据,来查明该认定与既定的标准之间的一致性,并将结果传递给利益相关方的一个系统化的流程”。认证服务在我国也被译作“保证服务”或“确认性服务。1997年美国注册会计师协会(AICPA)下属的Elliott委员会对认证的定义是:“一种用来改善决策者使用的信息质量或信息环境的独立专业服务”。认证服务的范围很广,它包括传统审计、WebTrust、SysTrust和审计服务扩展的集合。ITGI在2007发布的《IT认证指南》中开始用IT认证(ITAssur⁃ance)来代替传统的信息系统审计或IT审计的概念。
Vasarhelyi等(2010)从三个方面划分了持续监控与持续审计(亦称持续认证或持续数据认证)的区别,并指出这些区别是相关的:①持续监控包含了一组用于监控内部控制功能的程序,如对访问控制和授权、系统配置和业务流程设计的监控;②持续审计是对持续数据信息系统中数据的真实性、完整性进行验证;③持续风险监控和评估用于动态地评估风险,并提供用于审计计划的输入。
与Vasarhelyi等(2010)持续审计的观点相类似,KP⁃MG(2009)将持续监控划分为三个要素:①包括对一个系统的全局设计,用于定义一个事项或者交易如何生成、处理和记录的访问控制和规则的监控;②包括建立规则,根据实际交易流进行测试,以识别例外、异常的模式和趋势,或者识别与期望的绩效指标相违背的因素;③对宏观趋势和结果进行监控,要求在确定的风险和绩效领域中对衡量的历史或者新兴趋势进行评价,从而促使经理层将业务绩效与组织中的人员、流程和技术的变革相联系。这种划分虽然与Vasarhelyi等(2010)对持续认证的划分类似,但持续认证各要素的内涵明显地体现出了审计的基本目的——查错防弊,而持续监控的各要素更加体现了对控制、风险和绩效方面的关注。
三、持续监控和持续认证的区别
1.运行主体不同。持续监控是一项管理职能,执行主体是经理层,由经理层组织实施。而持续认证是一项鉴证职能,执行主体是审计人员,由审计部门组织实施。
2.覆盖面不同。持续监控的目的是实施和维护一个有效的内部控制系统,它覆盖了内部控制系统中所有的关键控制点。而持续认证的目的是收集充分的审计证据,作为对某个审计主题发表意见的基础,它所覆盖的关键控制点的数量与认证主题息息相关。
3.目的不同。持续监控同时关注绩效、控制和风险,目的是对内部控制系统持续改进。而持续认证提供的是
2014.1下·121·□
□财会月刊全国优秀经济期刊·
《财务分析》课程开放式案例教学法
(副教授)张莉芳
(南京财经大学会计学院南京210003南京大学商学院南京210093)
【摘要】本文针对本科院校的《财务分析》课程,提出开放式案例教学法,包括三层开放式教学目标的设计、三类开放式教学案例的选取和四维开放式案例教学的实施。同时针对我国《财务分析》课程案例教学的现状,提出了一些改进建议。
【关键词】案例教学法
财务分析高校本科
教学法真正作为一种教学方法在西方教育界迅速崭露头角,被广泛运用于法学、医学、工商管理等教学领域,逐渐风靡全球。笔者认为,在本科院校的《财务分析》课程中引入案例教学法对学生和老师都大有裨益。
一、开放式案例教学法的定义及特点
在开放式案例教学法过程中,教师根据学生特点,以学生为主体,设置灵活开放的教学目标,选取现实中典型的事件作为教学案例,引导学生进入特定的教学情景,并组织学生对案例进行阅读、思考、分析、讨论等一系列活审计的咨询作用,以帮助经理层更好地实施持续监控。
随着我国经济持续快速的发展,股票、债券、期货、储蓄、外汇、保险等这些投资工具所涵盖的生活范围日益扩大,财务分析理论和方法被广泛应用,具有较强财务分析能力的应用型人才越来越受到社会各界的青睐。但长期以来,我国高校的《财务分析》课程主要采用教师讲授、学生听讲的教学模式(简称“传统课堂教学”),这种填鸭式教学只能灌输学生理论知识,却往往和实践脱节,很难激发学生的学习兴趣和培养应用型人才。
20世纪20年代开始,在哈佛大学的倡导下,现代案例