一级国产20岁美女毛片,久久97久久,久久香蕉网,国产美女一级特黄毛片,人体艺术美女视频,美女视频刺激,湿身美女视频

【摘要】本文對信息系統(tǒng)內部控制與IT治理，持續(xù)監(jiān)控、持續(xù)審計和持續(xù)認證這兩組意思接近的概念進行了辨析，并對信息系統(tǒng)內部控制的持續(xù)監(jiān)控進行了重新定義。
【關鍵詞】IT治理 持續(xù)審計 持續(xù)監(jiān)控 信息系統(tǒng) 內部控制 持續(xù)認證

在針對持續(xù)監(jiān)控的研究中，信息系統(tǒng)內部控制與IT治理、持續(xù)監(jiān)控、持續(xù)審計和持續(xù)認證是兩組意思接近的概念，在許多研究中并未對它們進行嚴格的概念區(qū)分，以致混用。為此，本文在對西方權威文獻進行梳理的基礎上，對這幾個概念進行初步的辨析。
一、信息系統(tǒng)內部控制與IT治理
我國《企業(yè)內部控制應用指引第18號——信息系統(tǒng)》將信息系統(tǒng)定義為：企業(yè)利用計算機和通信技術，對內部控制進行集成、轉化和提升所形成的信息化管理平臺。而內部控制是由企業(yè)董事會成員、經理層和其他人員設計用來對經營的效果和效率、財務報告的可靠性、法律和條規(guī)的遵守情況等三個目標的實現(xiàn)提供合理保證的一個流程。信息系統(tǒng)的基本功能就是進行信息采集、加工、報告和管理。在信息化環(huán)境下，企業(yè)將具有既定控制目標的內部控制與信息系統(tǒng)相融合，實現(xiàn)內部控制的集成、轉化和提升，使信息系統(tǒng)具有目的性。
當前西方準則制定機構普遍使用IT控制來替代信息系統(tǒng)內部控制，并由此衍生出了IT審計和IT治理等概念。這里的IT并非我們通常所指的信息技術，而是“信息及相關技術”。IT控制的概念最初是由IT治理協(xié)會（ITGI）在其信息及相關技術控制目標（COBIT）框架中提出來的，該框架中的IT是由“Information”中的“I”和“related Technology”中的“T”組合成的，它首先強調的是信息，然后才是技術。這里的IT其實就是信息系統(tǒng)。因此可以說，ITGI提出的IT控制、IT治理和國際信息系統(tǒng)審計與控制協(xié)會（ISACA）提出的IT審計概念，其實都是針對信息系統(tǒng)的。本文采用的是信息系統(tǒng)內部控制概念，它等同于ITGI提出的IT控制。
IT治理是企業(yè)治理的組成部分，也是控制環(huán)境的構成要素。企業(yè)治理是指導和控制企業(yè)的系統(tǒng)，主要由董事會和經理層為履行職責所采取的一系列舉措而構成，其目標是為企業(yè)運作提供戰(zhàn)略指導，控制企業(yè)風險，合理使用企業(yè)資源，確保企業(yè)戰(zhàn)略目標的實現(xiàn)（ITGI，2003）。一致性和績效是企業(yè)治理的兩個主要的維度。一致性指的是與企業(yè)的控制和認證安排相符合，績效是驅動企業(yè)前進的價值創(chuàng)造（IFAC，2004）。一致性和績效之間的平衡形成了良好的企業(yè)治理。IT治理關注的是企業(yè)治理中與IT相關的問題，它側重的是制度的構建，通過合理配置IT決策權來激勵和約束IT管理者來做出使IT投資價值最大化、風險最小化的決策。
戰(zhàn)略融合、價值交付、資源管理、風險管理和績效測評是IT治理的五個領域，其最終目標是保持IT與業(yè)務的一致性，IT支持業(yè)務運行并實現(xiàn)收益最大化和IT資源的有效使用及IT風險管理（ISACA，2007）。IT治理定位于高層指導和控制，關注的是“做什么”和“由誰做”，它是內部控制環(huán)境的重要組成部分。而信息系統(tǒng)內部控制是企業(yè)范圍內全體人員的責任，它關注的是“做什么”，它是支撐、促進和加強IT治理的必要手段。信息系統(tǒng)內部控制一旦失效，信息系統(tǒng)所產生的信息質量就難以保證，IT治理決策也只能是“垃圾進，垃圾出”。
二、持續(xù)監(jiān)控、持續(xù)審計和持續(xù)認證
1992年的COSO在《內部控制整合框架》中首次引入了監(jiān)控要素。在該框架中，監(jiān)控是作為整個內部控制系統(tǒng)的一種反饋機制，目的在于確保內部控制能夠根據環(huán)境的變化及時進行自身調整，以保證它持續(xù)有效。監(jiān)控包括持續(xù)監(jiān)控和專項評價（又稱專項監(jiān)督）兩種互補方式。
在COSO和PCAOB制定的規(guī)范中，通常使用的是“ongoing monitoring”的概念，IIA的《持續(xù)審計：對認證、監(jiān)控和風險評估的意義》和ISACA的第42號信息系統(tǒng)審計指南《持續(xù)認證》中都是使用“continuous monitoring”的概念，不過，ISACA在《內部控制系統(tǒng)和IT監(jiān)控指南》中也使用的是“ongoing monitoring”的概念，但它對“ongoing monitoring”和“continuous monitoring”作了區(qū)分，并認為，后者是前者的一個子集，是一種自動化的監(jiān)控形式，也就是說，兩者的區(qū)別主要在于是否依靠IT來自動運行，依靠IT自動運行的，則屬于“continuous monitoring”。我們認為兩者運行手段的差異，并沒有改變其自身的特征，所以本文對此不作區(qū)分。
持續(xù)監(jiān)控是“嵌入”企業(yè)日常性的、反復發(fā)生的活動之中的，對內部控制系統(tǒng)進行連續(xù)的、全面的、系統(tǒng)的、動態(tài)的檢查，以評估內部控制的充分性和有效性。它包括一般性的管理和監(jiān)督活動、同行比較和利用內外部數(shù)據進行趨勢分析，也可能包括利用自動化工具評估控制、交易和流程。專項評價指企業(yè)對內部控制建立與實施的某一方面（包括持續(xù)監(jiān)控）或者某些方面的情況所進行的不定期的、有針對性的檢查。由于持續(xù)監(jiān)控與企業(yè)的經營活動水乳交融、并行共進、密切監(jiān)視、精準把控、及時反饋，能夠及早識別并糾正控制缺陷，且能實時、動態(tài)地應對環(huán)境的變化，所以它的效率更高，效果更好。可見，持續(xù)監(jiān)控是一種主要的監(jiān)控方式，它提供了經理層用來支持其斷言的大部分證據（COSO，2009）。持續(xù)監(jiān)控的程度和有效性越強，專項評價的需求就越少。
COSO的《內部控制整體框架》認為內部審計是內部控制的重要組成部分。內部審計是控制的確認者，監(jiān)督、評價和改善內部控制是內部審計的基本職責。內部審計是作為組織的控制職能來考核、評價組織的其他控制的職能部門（王光遠，2007）。因此內部審計職能開展的持續(xù)審計（也稱連續(xù)審計）或持續(xù)認證和經理層所開展的持續(xù)監(jiān)控活動在技術和目標上是一致的（IIA，2005）。
Coderre在比較持續(xù)監(jiān)控和持續(xù)審計時，將持續(xù)審計和持續(xù)控制評估視為兩種互補的方法，而將持續(xù)風險評估視為持續(xù)審計和持續(xù)監(jiān)控的區(qū)別。筆者認為，由于內部控制缺陷可分為設計缺陷和運行缺陷，因而以持續(xù)風險評估作為持續(xù)審計和持續(xù)監(jiān)控的區(qū)別有失偏頗。具體說，設計缺陷是指缺少為實現(xiàn)控制目標所必需的控制設計。運行缺陷是指現(xiàn)存設計完好的控制沒有按設計意圖運行，以有效地實施控制。持續(xù)控制評估的目的是評估內部控制是否存在運行缺陷，這是一種靜態(tài)的風險觀念，它隱含的前提就是當前的內部控制在設計方面是有效的。持續(xù)風險評估的目的是評估內部控制是否存在設計缺陷，這是一種動態(tài)的風險觀念，它所隱含的前提就是當前的內部控制在運行方面是有效的。所以，持續(xù)控制評估和持續(xù)風險評估技術對于持續(xù)監(jiān)控而言都是必要的。
我們注意到，Coderre對持續(xù)審計的定義已經不僅僅局限在傳統(tǒng)的“審計”范疇，其落腳點不是對“經濟活動和經濟事項”提供認證，而是通過這些相關的數(shù)據來評估內部控制的有效性和企業(yè)面臨的風險水平，因而Coderre對持續(xù)審計的定義實質上是持續(xù)認證。
當前，在持續(xù)審計領域，人們更多的是應用持續(xù)認證的概念。嚴格來說，兩者也存在區(qū)別。1973年，美國會計學會下屬的基本審計概念委員會將審計定義為：“一種采用客觀的方式來獲取并評價關于經濟活動和經濟事件認定的證據，來查明該認定與既定的標準之間的一致性，并將結果傳遞給利益相關方的一個系統(tǒng)化的流程”。認證服務在我國也被譯作“保證服務”或“確認性服務。1997年美國注冊會計師協(xié)會（AICPA）下屬的Elliott委員會對認證的定義是：“一種用來改善決策者使用的信息質量或信息環(huán)境的獨立專業(yè)服務”。認證服務的范圍很廣，它包括傳統(tǒng)審計、WebTrust、SysTrust和審計服務擴展的集合。ITGI在 2007發(fā)布的《IT認證指南》中開始用IT認證（IT Assurance）來代替?zhèn)鹘y(tǒng)的信息系統(tǒng)審計或IT審計的概念。
Vasarhelyi等（2010）從三個方面劃分了持續(xù)監(jiān)控與持續(xù)審計（亦稱持續(xù)認證或持續(xù)數(shù)據認證）的區(qū)別，并指出這些區(qū)別是相關的：①持續(xù)監(jiān)控包含了一組用于監(jiān)控內部控制功能的程序，如對訪問控制和授權、系統(tǒng)配置和業(yè)務流程設計的監(jiān)控；②持續(xù)審計是對持續(xù)數(shù)據信息系統(tǒng)中數(shù)據的真實性、完整性進行驗證；③持續(xù)風險監(jiān)控和評估用于動態(tài)地評估風險，并提供用于審計計劃的輸入。
與Vasarhelyi等（2010）持續(xù)審計的觀點相類似，KPMG（2009）將持續(xù)監(jiān)控劃分為三個要素：①包括對一個系統(tǒng)的全局設計，用于定義一個事項或者交易如何生成、處理和記錄的訪問控制和規(guī)則的監(jiān)控；②包括建立規(guī)則，根據實際交易流進行測試，以識別例外、異常的模式和趨勢，或者識別與期望的績效指標相違背的因素；③對宏觀趨勢和結果進行監(jiān)控，要求在確定的風險和績效領域中對衡量的歷史或者新興趨勢進行評價，從而促使經理層將業(yè)務績效與組織中的人員、流程和技術的變革相聯(lián)系。這種劃分雖然與Vasarhelyi等（2010）對持續(xù)認證的劃分類似，但持續(xù)認證各要素的內涵明顯地體現(xiàn)出了審計的基本目的——查錯防弊，而持續(xù)監(jiān)控的各要素更加體現(xiàn)了對控制、風險和績效方面的關注。
三、持續(xù)監(jiān)控和持續(xù)認證的區(qū)別
1. 運行主體不同。持續(xù)監(jiān)控是一項管理職能，執(zhí)行主體是經理層，由經理層組織實施。而持續(xù)認證是一項鑒證職能，執(zhí)行主體是審計人員，由審計部門組織實施。
2. 覆蓋面不同。持續(xù)監(jiān)控的目的是實施和維護一個有效的內部控制系統(tǒng)，它覆蓋了內部控制系統(tǒng)中所有的關鍵控制點。而持續(xù)認證的目的是收集充分的審計證據，作為對某個審計主題發(fā)表意見的基礎，它所覆蓋的關鍵控制點的數(shù)量與認證主題息息相關。
3. 目的不同。持續(xù)監(jiān)控同時關注績效、控制和風險，目的是對內部控制系統(tǒng)持續(xù)改進。而持續(xù)認證提供的是一種確認性服務，只要內部控制系統(tǒng)能夠合理地控制風險，審計師就會發(fā)表無保留意見。經理層實施持續(xù)監(jiān)控是為了發(fā)現(xiàn)改進的空間，以尋求持續(xù)改進的途徑。
4. 作用不同。持續(xù)監(jiān)控實施的過程是對內部控制系統(tǒng)進行查漏補缺的過程，在已經存在控制的地方，它的功能是對現(xiàn)有控制進行監(jiān)控和修補，在不存在控制的地方，它本身又可以作為一種控制活動（ISACA，2010）。而持續(xù)審計出于審計獨立性的考慮，它只能對內部控制系統(tǒng)發(fā)表意見，而難以行使完善內部控制系統(tǒng)的職能，因此，持續(xù)審計的直接對象就是企業(yè)中現(xiàn)有的內部控制。
5. 頻率不同。持續(xù)監(jiān)控作為經理層的一種日常管理工具，它的執(zhí)行更加頻繁（例如，每小時、每天、每周）；而內部審計部門可能更加關注不同時間（例如，每月、每季、每年）的趨勢，其執(zhí)行具有一定的周期性。
綜合上述五個方面的差別，我們認為，持續(xù)監(jiān)控是內部控制系統(tǒng)的必要組成部分，雖然持續(xù)認證和持續(xù)監(jiān)控在功能上存在互補（IIA，2005），但它們之間存在的差異，使得持續(xù)認證難以全面地履行持續(xù)監(jiān)控的職能。企業(yè)在實施持續(xù)監(jiān)控時，最好與持續(xù)認證同時進行。這一方面可以避免兩種職能工作的重復，另一方面還可以發(fā)揮內部審計的咨詢作用，以幫助經理層更好地實施持續(xù)監(jiān)控。
結合上面對IT治理、信息系統(tǒng)內部控制、持續(xù)監(jiān)控、持續(xù)審計、持續(xù)認證概念的分析，筆者認為，可將信息系統(tǒng)內部控制的持續(xù)監(jiān)控定義為：在IT治理的制度安排下，嵌入在信息系統(tǒng)中能夠對信息系統(tǒng)中的控制參數(shù)和業(yè)務規(guī)則進行實時監(jiān)測，并在一個合乎企業(yè)風險管理要求的某個頻率上周期性地對信息系統(tǒng)中的業(yè)務數(shù)據進行分析，以便發(fā)現(xiàn)控制運行方面存在的缺陷、風險程度和運行績效，并將相關發(fā)現(xiàn)以“警報”或者“例外報告”的形式發(fā)送給相關責任人員，讓他們及時采取補救措施，并跟蹤和反饋這些補救措施的執(zhí)行，以實現(xiàn)對內部控制系統(tǒng)的持續(xù)改進，確保內部控制持續(xù)有效的一個管理流程。
【注】本文系浙江省自然科學基金項目（項目編號：LQ13G020011），教育部人文社科規(guī)劃項目（項目編號：13YJAZH082）的階段性研究成果。
主要參考文獻
1. 牛艷芳，陽杰.會計信息系統(tǒng)研究的邊界與范式.東疆學刊，2012；2
2. 陽杰，莊明來.內部控制持續(xù)監(jiān)控系統(tǒng)研究的理論框架.江西社會科學，2012；5

【作　　者】
陽 杰

【作者單位】
（溫州大學城市學院 浙江溫州 325035）