3.4 會計信息系統的ISCA模型

3.4.1 ISCA模型概述

信息系統內控和審計（Information System, Control and Audit, ISCA）模型是楊周南教授提出的建立、運行和控制管理會計信息系統的體系結構，它揭示了企業在實施會計信息化、建立會計信息系統的同時，應建立會計信息系統的內控和審計體系。我國多數企業在實施會計信息化時只關注會計信息系統的建立和使用，而忽略了后兩項工作。隨著會計信息化的發展，人們對信息系統的依賴性日漸加深。企業除了傳統意義上的經營風險、控制風險和財務風險等之外，與信息系統的安全性、可靠性相關的信息和信息系統風險日益增長。不加控制的會計信息系統可能會產生嚴重的后果，如會計信息會很容易被毀損、失竊和失真而導致不正確的決策，以及非法訪問、未經授權復制、黑客的闖入和病毒的侵入等違規使用，從而使會計信息系統受到嚴重的損害。這些不僅會影響對信息技術使用的質量及效果，同時會影響會計人員使用信息技術的信心和會計信息化的深入發展。由此可見，在會計信息系統成功建立以后，在其運行過程中，建立一套有效的內部控制機制以確保系統的安全、可靠和有效是十分必要的。同時為了確保和審查內部控制機制的有效執行，必須開展對會計信息系統及其內部控制機制的審計，以最終達到對會計信息系統安全、可靠、有效和高效的應用。即通過審計活動可以發現信息系統本身及其控制環節的不足之處，以便及時改進與完善會計信息系統，使其在企業的經營管理中有效發揮作用。

3.4.2 ISCA模型的結構

ISCA模型由三個要素組成，即會計信息系統、會計信息系統的內部控制和審計體系，如圖3-4所示。

會計信息系統的控制目標有如下幾個。

（1）保證會計信息系統的合規及合法性，系統的開發、使用和維護都要符合有關法律、法規、制度、條例、政策和標準的要求。

（2）保證會計信息系統的安全性，使信息系統的各項資源（硬件、軟件和數據等）不受自然或人為的破壞。

（3）保證會計信息系統的有效運作并產生準確完整的會計和業務信息。

（4）保證對系統的硬件和軟件的維護按照適當的授權進行并經過測試。

（5）保證會計信息系統和程序庫，以及數據文件的訪問要經過授權，避免未經授權的人員侵入系統修改程序和數據文件。

（6）保證會計數據的有效備份與系統的恢復能力。

（7）防止、發現和糾正系統所產生的錯誤與故障，使系統能正常運行，以提供及時、準確、完整并可靠的信息。

根據上述控制目標建立的信息系統，內部控制制度可分為一般控制和應用控制，詳情可參見第6章。

為了確保內部控制制度的正常運行，還應定期審計會計信息系統。審計目標是通過審計活動審查與評價信息系統的內部控制制度建設及其執行情況并提出審計建議。該審計活動也是確保會計信息系統安全、可靠、有效和高效運行的重要措施。根據審計對象的不同，信息系統審計可以分為如下方面。

（1）審計信息技術的管理控制。

（2）審計信息系統資源（如基礎設施、應用系統、數據中心和數據通信等）。

（3）審計信息系統開發過程。

（4）審計信息系統運行維護過程（即系統實施后）。

（5）符合性信息系統審計（指涉及國家和國際標準的符合性信息系統審計）等。

根據審計主體的不同，信息系統審計又可以分為內部審計和外部審計兩類。內部審計是企業信息系統控制的重要組成部分，指由企業內部審計機構執行的信息系統審計，是確保信息系統安全、可靠并有效的基本保證；外部審計是由獨立的外部信息系統審計人員執行的信息系統審計。外部信息系統審計產生之初是為了解除注冊會計師在會計報表審計中的責任，后來發展成為一個獨立的咨詢服務行業，為企業提供專業的信息系統審計服務。在企業建設信息系統的初期，外部審計可以幫助企業迅速提高信息系統的安全性。而在企業信息系統的穩定運行期，外部審計也可以及時發現一些看起來十分普通，但實際上非常危險的問題。

3.4.3 ISCA模型的應用

做好ISCA模型的應用，我們要從制度、人員和資金等方面入手。

1．制度

為開展ISCA模型的應用，我們必須做好制度建設，包括建立會計信息系統的內部控制制度并對會計信息系統和內部控制制度執行的審計制度。ISCA模型的制度建設是應用ISCA模型的基礎和保障，詳情見相關章節。

2．人員

我國會計信息化經過30年的發展，培養了一批既懂計算機技術，又懂包括會計等管理知識在內的人才，為企業建立會計信息系統奠定了人才基礎。但由于缺乏對實施信息系統內部控制和審計的必要性認識，所以目前能理解信息系統內部控制及其審計的理論和實務人才寥若晨星。我們要加強信息化人才的培養力度，制訂信息化人才的培養計劃，通過一系列的政策措施鼓勵素質高并有潛力的人才從事ISCA模型的應用。

3．資金

實施ISCA模型的應用，要有一定的資金投入，以保證信息化過程中的人力和物力，企業對信息系統投資的預算則代表了信息系統發展的能力。企業要根據自身的規模和行業性質，認真做好應用ISCA模型所需資金的預算計劃，嚴格控制專項資金的使用和管理，避免他用或浪費，為ISCA模型的應用奠定資金基礎。