第一節 信息技術內部控制審計 $lesson$

　　一、與信息技術相關的控制

　　在信息技術環境下，傳統的手工控制越來越多地被自動控制所替代、概括地講，自動控制能為企業帶來以下好處：

　　1.自動控制能夠有效處理大流量交易及數據，因為自動信息系統可以提供與業務規則一致的系統處理方法;

　　2.自動控制比較不容易被繞過;

　　3.自動信息系統、數據庫及操作系統的相關安全控制可以實現有效的職責分離;

　　4.自動信息系統可以提高信息的及時性、準確性，并使信息變得更易獲取：

　　5.自動信息系統可以提高管理層對企業業務活動及相關政策的監督水平。

　　同時，對自動控制的依賴也可能給企業帶來下列財務報告重大錯報風險：

　　1.信息系統或相關系統程序可能會對數據進行錯誤處理，也可能會去處理那些本身就錯誤的數據;

　　2.自動信息系統、數據庫及操作系統的相關安全控制如果無效，會增加對數據信息非授權訪問的風險，這種風險可能導致系統內數據和系統對非授權交易及不存在交易的記錄遭到破壞，系統、系統程序、數據遭到不適當的改變，系統對交易進行不適當的記錄，以及信息技術人員獲得超過其職責范圍的過大系統權限等;

　　3.數據丟失風險或數據無法訪問風險，如系統癱瘓;

　　4.不適當的人工干預，或人為繞過自動控制。

　　因此，與財務報告相關的控制活動一般由一系列手工控制和自動控制所組成。

　　二、信息技術內部控制審計

　　在信息技術環境下，手工控制的基本原理與方式在信息環境下并不會發生實質性的改變，注冊會計師仍需要按照標準執行相關的審計程序，而對于自動控制，就需要從信息技術一般性控制審計與信息技術應用控制審計兩方面進行考慮：

　　(一)信息技術一般性控制審計

　　系統一般性控制是指為了保證信息系統的安全，對整個信息系統以及外部各種環境要素實施的、對所有的應用或控制模塊具有普遍影響的控制措施，信息技術一般控制通常會對實現部分或全部財務報告認定做出間接貢獻。

　　如果注冊會計師計劃依賴自動應用控制、自動會計程序或依賴系統生成信息的控制時，他們就需要對相關的信息技術一般控制進行驗證。

　　注冊會計師應清楚記錄信息技術一般控制與關鍵的自動應用控制及接口、關鍵的自動會計程序、關鍵手工控制使用的系統生成數據和報告，或生成手工日記賬時使用系統生成的數據和報告的關系。

　　由于程序變更控制、計算機操作控制及程序數據訪問控制影響到系統驅動組件的持續運行，注冊會計師需要對上述三個領域實施控制測試。

　　信息技術一般控制包括程序開發、程序變更、程序和數據訪問以及計算機運行等四個方面。

　　1.程序開發：

　　程序開發領域的目標是確保系統的開發、配置和實施能夠實現管理層的應用控制目標。程序開發控制的一般要素包括：

　　(1) 對開發和實施活動的管理;

　　(2) 項目啟動、分析和設計;

　　(3) 對程序開發實施過程的控制軟件包的選擇;

　　(4) 測試和質量確保;

　　(5) 數據遷移;

　　(6) 程序實施;

　　(7) 記錄和培訓;

　　2.程序變更

　　程序變更領域的目標是確保對程序和相關基礎組件的變更是經過請求、授權、執行、測試和實施的，以達到管理層的應用控制目標。程序變更一般包括：

　　(1) 對維護活動的管理;

　　(2) 對變更請求的規范、授權、跟蹤;

　　(3) 測試和質量保證;

　　(4) 程序實施;

　　(5) 記錄和培訓;

　　(6) 職責分離。

　　3.程序和數據訪問

　　程序和數據訪問這一領域的目標是確保分配的訪問程序和數據的權限是經過用戶身份認證并經過授權的。程序和數據訪問的子組件一般包括安全活動管理、安全管理、數據安全、操作系統安全、網絡安全和物理安全。

　　4.計算機運行

　　計算機運行這一領域的目標是確保生產系統根據管理層的控制目標完整準確地運行，確保運行問題被完整準確地識別并解決，以維護財務數據的完整性。計算機運行的子組件一般包括計算機運行活動的總體管理、批調度和批處理、實時處理、備份和問題管理以及災難恢復。

    2010年注冊會計師學員考后交流

    2011注冊會計師網上輔導招生簡章