2013注册会计师考试《审计》基础讲义：第9章(3)

　　查看汇总：2013注册会计师考试《审计》基础讲义汇总

　　第三节　信息技术内部控制审计

　　一、与信息技术相关的控制

　　在信息技术环境下，传统的手工控制越来越多地被自动控制所替代，能为企业带来很多好处。

　　同时，对自动控制的依赖也可能给企业带来下列重大错报风险：

　　1.信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据;

　　2.自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险;

　　3.数据丢失风险或数据无法访问风险，如系统瘫痪;

　　4.不适当的人工干预，或人为绕过自动控制。

　　因此，被审计单位采用信息系统处理业务，并不意味着手工控制被完全取代，信息系统对控制的影响，取决于企业对信息系统的依赖程度。

　　二、信息技术内部控制审计

　　(一)信息技术一般性控制审计

　　信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。

　　有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。

　　信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。

　　注意：

　　如果注册会计师计划依赖自动应用控制、自动会计程序、或依赖系统生成信息的控制时，他们就需要对相关的信息技术一般控制进行验证。

　　(二)信息技术应用控制审计

　　信息技术应用控制一般要经过输入、处理及输出等环节，与手工控制一样，自动系统控制同样关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。然而，自动系统控制造成的影响程度比信息技术一般控制要显著的多，并且需要进一步的手工调查。另外，所有的自动应用控制都会有一个手工控制与之相对应。

　　注意：

　　理论上，在测试的时候，每个自动系统控制都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。

　　1.完整性

　　(1)顺序标号，可以保证系统中每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。此时，需要系统提供一个没有编号凭证的报告，如果存在例外，需要相关人员进行调查跟进。

　　(2)编辑检查，以确保无重复交易录入，比如发票付款的时候，检查发票编号。

　　2.准确性

　　(1)编辑检查，包括限制检查、合理性检查、存在性检查和格式检查等。

　　(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。

　　3.授权

　　(1)交易流程中必须包含恰当的授权。

　　(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。

　　4.访问限制

　　(1)对于某些特殊的会计记录的访问，必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限，并且符合职责分离原则。如果存在例外，必须进行调查。

　　(2)访问控制必须满足适当的职责分离(比如，交易的审批和处理必须由不同的人员来完成)。

　　(3)对每个系统的访问控制都要单独考虑。密码必须要定期更换，并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告，管理层必须跟踪这些登录失败的具体原因。

　　三、信息技术应用控制与信息技术一般控制之间的关系

　　应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。

　　【例题·单选题】下列有关信息技术内部控制审计的表述中，不正确的是(　)。

　　A.自动化控制下，也会给企业带来一些财务报表的重大错报风险

　　B.对信息技术下内部控制的审计，注册会计师需要从信息技术的一般控制和应用控制两方面进行

　　C.信息技术的一般控制通常能对实现信息处理目标和财务报表认定做出直接贡献

　　D.信息技术应用控制一般要经过输入、处理及输出等环节，自动系统控制关注信息处理目标包括：完整性、准确性、经过授权和访问限制

　　『正确答案』C

　　『答案解析』信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。有些情况下，信息技术一般控制也可能对实现信息处理目标和财务报表认定做出直接贡献。

　　相关推荐：

　　2013注册会计师《经济法》基础讲义

　　2013注册会计师《税法》基础讲义