信息系統(tǒng)應用控制審計(上)

信息系統(tǒng)應用控制審計（上）佚名【期刊名稱】《中國注冊會計師》【年（卷），期】2018（000）007【總頁數(shù)】3頁（P31-33）【正文語種】中文行業(yè)信息化專題在審計計劃階段，注冊會計師通過對擬依賴的信息系統(tǒng)應用控制和數(shù)據(jù)進行初步了解和識別，以輔助于審計范圍和審計計劃的確定。需要強調(diào)的是，信息系統(tǒng)應用控制范圍的確定是一個由淺入深的過程，在審計初步計劃階段，注冊會計師獲取的只是應用控制的初步范圍，詳細審計范圍的確定需要在詳細審計計劃階段和審計執(zhí)行初期，通過資深注冊會計師對各業(yè)務流程進行端到端的了解過程才能逐步確定。因此，應用控制審計是一個循序漸進的過程，很難將審計計劃階段和執(zhí)行階段完全割裂開來。隨著審計活動的深入，審計范圍及計劃往往伴隨著修正和更新，以確保審計效果的優(yōu)化和效率的提升。一、應用控制的類型應用控制（ApplicationControls）指的是企業(yè)內(nèi)部控制系統(tǒng)中與系統(tǒng)相關的業(yè)務層面控制。應用控制具備以下兩方面的特征：（1） 應用控制或多或少是在信息系統(tǒng)的參與下完成的；（2） 應用控制是存在于業(yè)務流程或交易層面和過程中的內(nèi)部控制。常見的信息系統(tǒng)應用控制包括以下幾種基本類型：（1）自動控制；（2）系統(tǒng)報表；（3）自動計算；（4）訪問控制；（5）系統(tǒng)接口。下面分別對這幾種應用控制類型進行詳細解釋及闡述。（一） 自動控制系統(tǒng)自動控制是通過計算機應用系統(tǒng)后臺邏輯或參數(shù)設置強制執(zhí)行的控制。系統(tǒng)自動控制由于是系統(tǒng)自動實現(xiàn)的，少有人為干預而具有高度的一致性和穩(wěn)定性。一旦設定成功，在系統(tǒng)沒有發(fā)生變更并且運行維護正常的情況下，往往能持續(xù)地保證該功能和控制的正常有效運行。例如，在采購過程中的三單匹配控制。系統(tǒng)自動進行采購、收貨和付款三單匹配操作，符合系統(tǒng)設定邏輯的匹配才能順利通過到下一步操作處理，否則系統(tǒng)提出警告生產(chǎn)例外數(shù)據(jù)報告或拒絕操作的下一步流轉(zhuǎn)。（二） 系統(tǒng)報表系統(tǒng)報表是指通過程序設定由系統(tǒng)自動進行信息歸集、邏輯處理和展示的符合一定邏輯的數(shù)據(jù)集合。系統(tǒng)報表可以通過前臺應用界面或基于web的網(wǎng)頁進行展示，也有部分企業(yè)的報表是通過批處理程序從后臺運行得出的。這些報表通常被用于執(zhí)行手工控制或進行下一步業(yè)務流程操作使用，從而直接或間接成為財務報表上數(shù)字的來源或支撐。例如，典型的系統(tǒng)報表是例外報告。對于順序編號的文檔，系統(tǒng)將丟失的或者重復的文件編號，自動生成一份例外報告數(shù)據(jù)，用于后續(xù)手工跟進解決。這里的例外報告就是一份系統(tǒng)生成報表。（三） 自動計算系統(tǒng)自動計算是指通過系統(tǒng)程序按照預先設定的邏輯由程序自動完成的計算、分類、預測等業(yè)務處理過程。自動計算這一應用控制的有效設計和運行往往涉及到其他應用控制（如自動控制和訪問控制）設計及運行的有效性。注冊會計師在擬依賴相關計算的時候需要綜合考慮，防止某一環(huán)節(jié)的設計或運行不當導致自動計算的失效。（四） 訪問控制信息系統(tǒng)訪問控制即保證系統(tǒng)由合適的人進行合適的操作，從而確保系統(tǒng)按照設定的方式運轉(zhuǎn)的應用控制。讓合適的人對系統(tǒng)做合適的事就是我們所說的訪問控制。也就是說，訪問控制約束的是人和系統(tǒng)的交互。人與系統(tǒng)交互是通過一定的賬號和權限來實現(xiàn)的，因此這個過程需要通過系統(tǒng)賬號和權限設定來實現(xiàn)。要實現(xiàn)這樣的預期，實際上涉及到兩個層面的問題：一是系統(tǒng)中權限的設計問題。即系統(tǒng)的權限設計能幫助訪問者正確實現(xiàn)操作功能。權限設計一般需要滿足以下條件：（1）實現(xiàn)必要的權限要素/單元的定義和分割，符合最小權限要素/單元原則。（2）權限設計正確，符合業(yè)務預期。（3）對相互沖突的權限進行了職責分離。二是權限賦予問題，即〃讓正確的人做正確的事”。權限賦予的正確性包括下列含義：（1）將正確的權限賦予給了正確的崗位以確保權限與崗位職責相符。（2）權限賦予要符合〃知所必需”的原則，防止賦予過多不必要的權限。（3）權限賦予實現(xiàn)了職責分離的要求，避免將沖突權限賦予給同一個賬號。（五） 系統(tǒng)接口系統(tǒng)接口是系統(tǒng)之間的信息交互渠道。數(shù)據(jù)從源系統(tǒng)通過一定的通道（如應用系統(tǒng)層、數(shù)據(jù)庫層、操作系統(tǒng)層和網(wǎng)絡層等）流轉(zhuǎn)到目標系統(tǒng)，這個過程就是系統(tǒng)接口實現(xiàn)的功能。如果把系統(tǒng)比喻成城市的話，系統(tǒng)接口就相當于城市之間的道路、橋梁等交通基礎設施，幫助各個城市間的資源流轉(zhuǎn)和交互。在信息技術高速發(fā)展的今天，一個企業(yè)只使用一個單一的信息系統(tǒng)，即所謂的信息孤島的情形已經(jīng)比較少見，取而代之的是各種高內(nèi)聚，低耦合的不同系統(tǒng)在企業(yè)運營的中高頻次進行著各種實時、半實時或定時的信息交互，對實現(xiàn)信息的增值和企業(yè)正常高效運作起到的至關重要的作用。如何保證系統(tǒng)接口傳遞的信息/數(shù)據(jù)的準確性和完整性，自然成為了企業(yè)管理者和注冊會計師要考慮的一個重要議題。以上就是應用控制的5種基本類型。接下來，我們將進一步闡述應用控制能實現(xiàn)哪些信息處理目標，這些目標與財務報表認定之間存在何種關系的問題。二、信息處理目標信息處理目標(Informationprocessingobjectives)是一套與控制相關的管理層目標體系。這一套目標體系為業(yè)務層面控制活動設計有效性的評估提供了有用的框架。對于各個業(yè)務流程及相關的交易流而言，控制活動的設計和執(zhí)行需要能確保經(jīng)授權的交易被準確完整地記錄和處理，并且一旦記錄處理完成，能避免被非授權地修改，如此才能達到業(yè)務按管理層預期方式運行的效果。表1信息處理目標具體闡述完整性(Completeness，簡稱6目標所有發(fā)生的交易都在合適的期間被錄入和處理一次，且僅一次。例如：重復的日記賬被識別且拒絕；所有的異常/拒絕都被處理和解決了。表2完整性常見控制技術舉例具體闡述控制技術表3準確性常見控制技術舉例具體闡述控制技術表4有效性常見控制技術舉例控制技術每筆交易的有效性都經(jīng)過了適當?shù)墓芾砣藛T人工復核和審批。復核和審批都通過手工進行記錄。應用授權(ApplicationSecurityAuthorization)每筆交易都需要經(jīng)過授權的人員錄入或?qū)徟?。自動有效性檢查(ProgrammedValidityChecks)具體闡述人工授權(ManualAuthorization)應用系統(tǒng)可以自動檢查交易的有效性。例如，三單匹配自動控制能自動拒絕不能匹配上收貨或采購訂單的付款。由于信息處理目標是業(yè)務層面交易控制目標，因此，這套目標僅適用于業(yè)務層面的控制活動。在系統(tǒng)審計中，信息處理目標與應用控制相關。由于信息系統(tǒng)一般控制活動不是業(yè)務流程或交易層面的控制，因此，信息處理目標與信息系統(tǒng)一般控制不相關。（一） 信息處理具體目標具體而言，信息處理目標可以概括為四個目標（如表1所示）。對于四個信息處理目標（CAVR），企業(yè)有一些常見的控制技術來確保相關信息處理目標的實現(xiàn)。下面，分別進行舉例。完整性常見控制技術舉例（如表2所示）。需要說明的是，完整性相關的這些控制技術需要管理層及時復核并跟進異常情況，以確保控制執(zhí)行的有效性。準確性常見控制技術舉例（如表3所示）。在很多完整性控制技術中，這些控制技術在提供完整性保證的同時，也提供了準確性。例如，批量匯總，自動匹配，逐一檢查等。有效性常見控制技術舉例（如表4所示）。訪問限制常見控制技術舉例（如表5所示）。（二） 信息處理目標的應用當注冊會計師計劃依賴財務報表業(yè)務流程中的相關控制的時候，簡單的識別和測試與信息處理目標中的某一個特定目標相關的控制活動是不夠的，注冊會計師需要確保在這個業(yè)務流程或子流程中，四個信息處理目標都需要被達成。如果在信息處理的某一個階段，某一信息處理目標沒有被實現(xiàn)，那么在后續(xù)的業(yè)務過程中產(chǎn)生的數(shù)據(jù)和信息可能是不可靠的。這些數(shù)據(jù)和信息可能反映的是沒有發(fā)生的、不完整的、或者是邏輯不準確的交易和事件，也可能反映的是不存在的資產(chǎn)或負債?？刂萍夹g具體闡述管理層定期核對文件總數(shù)與獨立維護的控制總數(shù)以確保沒有發(fā)生未經(jīng)授權的修改?？刂瓶倲?shù)可能是手工維護的一個清單，例如，手工記錄的總賬中的AR余額與AR系統(tǒng)中的應收金額的比對。例外報告（ExceptionReport）數(shù)據(jù)安全（DataSecurity）大部分的業(yè)務數(shù)據(jù)都儲存在一定的數(shù)據(jù)環(huán)境中（如數(shù)據(jù)文件，數(shù)據(jù)庫或云)。一般而言，數(shù)據(jù)安全作為系統(tǒng)一般控制的一部分進行測試，但是，注冊會計師需要注意將一般控制測試的內(nèi)容與特定業(yè)務目的數(shù)據(jù)安全進行關聯(lián)，以確保特定數(shù)據(jù)的訪問安全。文件核對(FileReconciliations)例夕卜報告在完整性，準確性中都有廣泛使用，這一控制技術在訪問限制中也可以被使用。例如，一份主數(shù)據(jù)修改的報告可以被用于管理層復核，以便于確認主數(shù)據(jù)的沒有被非授權的修改。信息處理目標財務報表認定完整性(Completeness)完整性，截止，存在和發(fā)生，分類準確性(Accuracy)準確性，計價和分攤有效性(Validity)存在和發(fā)生，權利和義務訪問限制(RestrictAccess)除了權利和義務以外，可能大部分相關注冊會計師需要考慮驗證交易的有效性；數(shù)據(jù)錄入和處理的完整性和準確性；在錄入、處理和記錄過程中的訪問限制。評估實現(xiàn)某一信息處理目標的控制活動缺失是否可能造成的財務報表重大錯報。—旦注冊會計師認定控制活動的設計可以合理應對相關的風險且控制被執(zhí)行，注冊會計師就可以選擇業(yè)務層面的相關控制以測試其運行有效性，并考慮這些控制能為哪些財務報表認定提供審計證據(jù)了。信息處理目標與財務報表認定的關系信息處理目標對財務報表的認定實現(xiàn)是至關重要的。如果保證信息處理目標的控制活動是有效的，注冊會計師需要判斷這些控制活動能為哪些財務報表認定提供審計證據(jù)。與控制活動與財務報表認定的關系類似，一個控制活動可能可以實現(xiàn)多個信息處理目標，一個信息處理目標也可能由多個控制活動來實現(xiàn)。那么，信息處理目標與財務報表認定之間是什么關系呢？盡管信息處理目標看上去和財務報表認定很類似，但是他們之間不是一對一的關系，而且這兩套體系的使用目的是不同的。信息處理目標是用于評估控制活動設計的有效性，特別是業(yè)務流程中的應用控制。而財務報表認定是用于管理層對于財務報表公允表達的陳述。表6列式了信息處理目標和財務報表認定之間的對