基于虚拟机快照技术构建ISCA模型实践教学设计

2015-01-02李丹曾庆峰

中国注册会计师 2015年4期

关键词：快照入库备份

李丹曾庆峰

李丹曾庆峰

本文首先分析建立ISCA模型实践教学环境的必要性和传统会计电算化教学中存在的不足。其次，分析虚拟机和其中快照功能为构建ISCA实践教学环境从技术方面提供的可能性。最后，提出实现ISCA模型实践教学环境的实施步骤，并设计典型案例。

ISCA模型虚拟机快照技术实践教学设计

一、构建ISCA实践教学环境的必要性

ISCA模型是企业管理信息系统中会计信息系统、健全的信息系统内部控制、内控审计系统三者的结合体。

在传统会计电算化教学过程中，学生只学习如总账、报表、工资、固定资产等财务模块，教学内容设计上没有从企业集成管理系统、内部控制信息化和内控审计信息化三者结合认识会计信息系统。学生无法将内控理论和内控检测与评价实践相结合，无法深刻体会由于审计监督不足、内控设计缺陷或执行失效未被发现，而造成的财务数据不真实、不可靠。

传统会计电算化教学中实现ISCA模型实践教学环境存在三点不足：（1）我国企业的会计信息系统正处于从“信息孤岛”向“系统集成”的转型期，不少企业已运行和正准备上线ERP系统。但是，传统会计电算化教学没有将财务模块和业务模块如营销模块、生产模块等集成，没有在业务流程、会计工作流程、信息流程和内控流程集成系统中考虑会计信息系统，这一缺陷导致嵌入在ERP系统中的业务自动内部控制测试无法列入教学内容。（2）会计电算化教学账套准备数据是为完成具体财务操作业务而设计的，没有针对某项业务内部关键控制点测试来设计实验准备数据。因为传统的会计信息系统或者ERP系统提供的备份技术只能账套备份，技术上做不到把某项风险控制点实施前数据照相备份。而且，备份出来的账套是静态数据，看不到产生数据时的内控环境。没有内控测试实验准备数据，无法实现内控的实验设计。（3）没有ERP系统内控审计的教学案例。传统的审计系统难以获得非财务化的经营业务方面的审计资料，无法对与财务数据的相关业务系统运行中的内控活动进行审计，无法对内部控制缺陷进行识别、严重性评估、认定和应对。然而，我国《内部控制基本规范》中的相关要求是针对“全面内部控制”的。也就是说，不仅财务报告相关内部控制在法规层面被要求规范执行，而且非财务报告相关内部控制也要符合标准。

内部控制信息化管理和审计信息化是会计学科和IT技术相互结合的过程，是会计管理学科发展方向之一。如何培养专业人才，将先进的IT技术引入教学，使学生在操作实践中懂得IT环境下内控信息化和审计信息化，以实现对会计信息有效控制和监督，是一个十分现实和迫切的任务。人才的培养要有相匹配的教学实验环境，如能从实践的角度，利用科学的手段去落实理论研究的成果，将是内部控制理论到实践的有益的补充。因此，建立ISCA模型实践教学环境十分必要。

二、基于虚拟机快照技术构建ISCA模型实验教学环境的可行性

1.虚拟机

虚拟机（Virtual Machine）指通过软件模拟的具有完整硬件系统功能的、运行在一个完全隔离环境中的完整计算机系统。虚拟机不是一台真实的计算机，是通过软件模拟的计算机系统。真实计算机称为宿主机，软件模拟计算机系统称之为虚拟机。虚拟机是网络化、云计算一种主要的应用。

一个虚拟机文件就可以构建一个集成的ERP系统。虚拟机上集成的ERP系统解决了上述不足中的第一个问题和第三个问题。利用虚拟机技术构建ISCA模型实践教学环境有三个方面：第一，会计信息系统与业务系统集成在ERP系统中，ERP系统的核心是集成，是业务、财务、信息和内控管理的集成系统；第二，ERP业务流程自动化要求有效的业务控制，内控信息化嵌入在ERP系统中，内控信息在虚拟机中实现了可视化；第三，审计和评价ERP内控信息系统建设和执行有效性是防范IT风险，实现会计信息系统安全、可靠的重要保证。可以在虚拟机构建的ERP系统上设计检验内控缺陷漏洞或者执行无效的内控审计案例。

2.快照功能

虚拟机提供快照功能，快照功能是将信息系统运行某时点界面和数据像照片底片一样永久保留下来。快照功能可以动态保留任何时点数据，所以利用快照就可以做到把某项控制实施前一时点界面照相备份，从技术上解决了上述不足中的第二个问题，即实现针对某项业务内部控制测试实验的准备数据。有了内控实验准备数据，就可以设计ERP系统内控管理方面的实验。同时，快照也解决了第三个问题，快照备份数据既可以是符合内控要求的实验数据，也可以专门设计内控存在缺陷或执行失效的实验数据作为审计案例。在虚拟机上可以随时点击快照回放，这样快照实验数据可以反复调用，也就是说内控缺陷和漏洞可以反复再现，反复测试。保证学生从实践中悟到识别和应对会计信息系统内控舞弊风险的审计方法。

三、虚拟机快照技术构建ISCA模型实践教学分析

（一）虚拟机快照技术构建ISCA模型实践教学的实施步骤

首先，分析嵌入在ERP系统的内控风险关键控制点。其次，利用虚拟机快照技术保存关键控制点实验数据作为内控测试准备数据。第三，分析系统中的风险点、内部控制缺陷漏洞和执行无效等问题。第四，分析应对内控信息化舞弊的审计监督措施。

（二）利用虚拟机快照技术构建ISCA模型实践教学典型案例设计

本文以用友ERP-U8（V8.61）为例，探讨“虚假入库单”实践教学案例设计。

“虚假入库单”是指仓库验收材料入库时，运输部门与仓库人员串通，截留部分材料私自出售，并以虚假数据填制材料入库单。从审计角度看，涉及存货完整性和准确性的认定。

1. ERP系统中涉及“入库单”的内控风险关键控制点

“入库单”内控风险关键控制点是指：一个能够预防和消除“入库单”内控风险的影响或将其减少到可接受风险水平的控制措施，保证所有应当记录的存货均已记录，并且设计入库的金额和其他数据已恰当记录。

在用友ERP-U8系统企业应用平台中，系统提供关键风险控制点如下：

（1）在“采购管理”/“设置”/“采购选项”设置里选中“普通业务必有订单”。选中“普通销售必有订单”后，采购入库单不能手工录入，只能参照订单生成。这样仓库管理员只能按照采购订单上存货名称生成入库单，存货名称不能增加也不能修改，保证入库单上存货名称真实和完整。但是，根据采购订单生成的入库单中入库数量是可以修改的。另外，ERP系统提供数据权限设置功能中记录级权限设置，可以对采购订单的金额分级录入管理，操作员记录级数据权限设置功能打勾选择后，只能对单据制单人一定金额以上有权限的单据进行操作；对单据审核人有权限的单据进行操作，保证采购订单记录准确性。采购订单准确是保证入库单准确的前提条件。

（2）上述选择后入库单必须根据订单生成。系统还提供默认的单据生成顺序：请购单-采购订单-到货单-入库单-采购发票-采购结算-应付款审核-应付款制单-应付会计凭证，按照以上顺序入库单可以根据到货单生成。采购发票根据入库单生成，系统内控要求入库单和采购发票数量一致，禁止更改采购发票上数量。另外，采购订单、到货单、入库单都要经过专人审核。ERP系统中提供功能级权限设置，路经：“系统管理”/“权限”/“权限”。利用功能级权限设置可以使入库单的制单人和审核人由不同操作员控制，这样岗位职责分离，可以相互监督，保证存货名称、数量等数据真实、完整。

（3）ERP系统提供数据权限设置功能，路径是“系统服务”/“权限”/“数据权限分配”。如果限制仓库管理员查看入库价格信息，可以利用数据权限设置中的字段级权限设置功能将仓库管理员价格信息查看权列为禁用。可以防止仓库管理员过度关注存货价格，保证入库金额准确性。

（4）采购结算功能，路径：“采购管理”/“采购结算”。采购结算是采购人员根据采购入库单、采购发票核算采购成本。采购结算生成的采购结算单，是记载采购入库单记录与采购发票记录对应关系的结算对照表，把物流和资金流联系在一起。系统中采购发票数据可以和企业外部供应商开具的纸质发票相互核对，核对正确的发票再和入库单核对，保证入库单的完整性。

（5）盘点功能，路径：“库存管理”/“盘点业务”。盘点表获得的实物证据可以计算核对入库数量真实和完整。

（6）财务部门和业务部门数据核对。如，财务部门将采购发票上记载的信息和入库单相互核对，在审核无误后办理付款手续；再如，财务部门对存货核算的信息与仓库实际盘点的结果核对分析，以保证财务存货核算信息与仓库实际出入库情况相符。

2.利用虚拟机快照技术保存关键控制点实验数据作为内控测试准备数据

以“采购结算”功能为例，说明内控测试实验准备数据备份的操作步骤。

将采购业务按顺序完成“请购单-采购订单-到货单-入库单-采购发票”，即完成［采购结算］前所有操作。然后，点击虚拟机上快照按钮备份数据，命名为：“快照1：采购结算前”。

快照1备份数据可以向前追溯采购结算前任何一个关键控制点执行情况，例如，观测制单和审核的操作员是否分工明确，观测路径：“系统管理”/“权限”/“权限”。再如，可以观测到采购结算前的［采购订单］-［到货单］-［采购入货单］-［采购发票］内控管理信息，包括检查采购订单是否连续编号、入库单是否审核、发票是否审核等内控活动。同时，快照1备份数据也可以支持继续后面操作，如执行“采购结算”/“自动结算”，系统自动进行入库单和采购发票的核对，并自动将应付款单据数据传递到应付款模块中［审核］和存货核算模块中成本核算。系统自动生成的采购结算单，是记载采购入库单记录与采购发票记录对应关系的结算对照表，是内部控制管理关键控制点，是内控信息嵌入在ERP系统中的一个实例，可防止入库单数量少于发票数量问题发生，保证入库单真实和完整。

3.“虚假入库单”舞弊操作及审计监督措施

“虚假入库单”操作手段如下：

第一，录入虚假的采购订单。由于采购订单是核对入库单正确性的关键订单，所以有可能出现未经过授权的仓库管理员进入采购订单模块，或篡改系统的初始设置。虚假的采购订单向下游传递错误数据，在大量交易数据中，自动系统也会处理那些本身就是错误的数据，以至于系统无法识别并更正错误数据，导致系统对入库交易进行了不恰当的记录。

第二，篡改系统入库单必须参照到货单生成程序，部分入库单虚假入库。

第三，利用盘点时间置后管理漏洞，虚构盘点表，虚构入库单。例如，在传统审计库存盘点中存在典型问题是：某项存货是2月份购进，6月份全部卖出。传统库存盘点时间安排在12月31日，那么对于这项存货入库情况无法实施盘点，无法获取实物证据，这批货是否真实、完整，只能依靠书面凭证判断。

第四，采用多套账舞弊。按照管理层的意愿，利用系统设置的超级用户，凌驾于所有内控之上，同时操作真实入库数量和少入库的两套或多套账。

审计监督要点：

第一，由于原始单据进入计算机自动完成，传统审计只能审计财务账套，而对于生成财务账套的业务交易数据不能直接识别，传统审计线索在这里中断、消失了。快照技术不但备份了财务数据，而且备份了相关业务交易数据，如各种单据、票证等，同时还备份了业务执行过程和内控信息，保留了审计线索。在虚拟机上点击快照恢复按钮可随时调用快照备份数据，实现审计线索可视化，例如，可以追查是否有人故意对计算机中业务数据进行删除、剪接。

第二，快照备份数据是动态数据，可以用穿行测试的方法，测试［采购结算］前：［采购订单］-［到货单］-［入库单］-［采购发票］内控执行情况。例如，检查采购订单、入库单是否连续编号。再如，从采购订单追查入库单，分析比较入库单的完整性。快照备份也可以继续执行［采购结算］后：［应付款审核］-［应付款制单］和存货核算中［正常单据记账］-［财务核算］，和ERP系统真实的生产数据对比，发现内控设计和运行缺陷和漏洞，包括人工控制和计算机程序控制两方面的缺陷和漏洞，例如，发现业务和财务接口数据是否被篡改。

第三，利用数据库技术，从实际ERP真实生产数据和快照备份数据分别导入到大数据数据库中，导入数据包括采购合同、采购订单、质量检查、入库单、发票、会计账套等。用大数锯分析技术持续对比、发掘两种数据库数据，例如，进行关联分析、聚类分析和异常分析。ERP生产数据库导出数据和快照备份数据对比，快照数据相当于实时的采集原始数据，对比发现ERP生产导出数据是否被截取、被篡改，检查入库单导出数据安全性、一致性、完整性。又因为快照数据实现了审计线索的可视化，违规操作形成的异常数据能更加直观地显现出来，同时可以动态分析“入库单”内控管理执行情况。

第四，保留企业一年或连续三年中每月的快照备份，这样就可以获得追溯审查ERP系统中存货入库情况的真实性数据。如果某月有采购入库，在存货未售出之前确定盘点时间，库存盘点可以全程录像作为实物证据。实物证据和快照备份的库存数据相互印证，保证入库数据完整性。另外，实行双人管库制度，两名管库员对库存操作实行双重快照备份，这样可以核对两名库管员是否对库内物品同进库、同在库，防止某位仓库管理员嵌入非法程序，打印出虚假入库单提供给审计人员。

第五，针对多套账问题，快照不是只对一套账数据备份，而是备份了整个运行环境，那么多套账也在备份的快照中，审计人员可以对比多套账，发现存有虚假入库的账套。

第六，快照备份数据中包含权限设置及变更情况。通过查看快照备份中的“系统管理”/“权限”设置，基础设置中基础档案设置、数据权限设置、工作流程设置，分析权限分工情况，保证请购、审批、询价、确定供应商、订立与审议采购合同、到货验收、采购入库、付款审批等不相容职责相分离，保证ERP系统中的账号均在经过审批和授权的情况下被使用，防止仓库人员故意篡改系统记录，从录入信息的源头控制数据的真实性和可靠性。持续的快照备份可以做到定期审阅用户账号的创建、修改和删除信息，特别是可以定期查看系统日志，监督特权账号和超级用户账号的使用情况。