一、 信息技術(shù)一般控制審計(jì)

(一) 信息技術(shù)一般控制的含義

信息技術(shù)一般控制是指為了保證信息系統(tǒng)的安全，對(duì)整個(gè)信息系統(tǒng)以及外部各種環(huán)境要素實(shí)施的、 對(duì)所有的應(yīng)用或控制模塊具有普遍影響的控制措施。信息技術(shù)一般控制審計(jì)通常會(huì)對(duì)實(shí)現(xiàn)部分或全部財(cái)務(wù)報(bào)表認(rèn)定作出間接貢獻(xiàn)。在有些情況下，信息技術(shù)一般控制審計(jì)也可能對(duì)實(shí)現(xiàn)信息處理目標(biāo)和財(cái)務(wù)報(bào)表認(rèn)定作出直接貢獻(xiàn)。這是因?yàn)橛行У男畔⒓夹g(shù)一般控制審計(jì)確保了應(yīng)用系統(tǒng)控制和依賴計(jì)算機(jī)處理的自動(dòng)會(huì)計(jì)程序得以持續(xù)有效地運(yùn)行。當(dāng)人工控制依賴系統(tǒng)生成的信息時(shí)，信息技術(shù)一般控制審計(jì)同樣重要。如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)應(yīng)用控制、 自動(dòng)會(huì)計(jì)程序或依賴系統(tǒng)生成信息的控制，他們就需要對(duì)相關(guān)的信息技術(shù)一般控制審計(jì)進(jìn)行驗(yàn)證。

注冊(cè)會(huì)計(jì)師應(yīng)清楚記錄信息技術(shù)一般控制審計(jì)與關(guān)鍵的自動(dòng)應(yīng)用控制及接口、 關(guān)鍵的自動(dòng)會(huì)計(jì)程序、 關(guān)鍵的人工控制所依賴的系統(tǒng)生成數(shù)據(jù)和報(bào)告，或生成手工日記賬時(shí)使用系統(tǒng)生成的數(shù)據(jù)和報(bào)告的關(guān)系。

(二) 信息技術(shù)一般控制的內(nèi)容

信息技術(shù)一般控制審計(jì)包括程序開(kāi)發(fā)、 程序變更、 程序和數(shù)據(jù)訪問(wèn)以及計(jì)算機(jī)運(yùn)行四個(gè)方面。

1. 程序開(kāi)發(fā)

程序開(kāi)發(fā)領(lǐng)域的目標(biāo)是確保系統(tǒng)的開(kāi)發(fā)、 配置和實(shí)施能夠?qū)崿F(xiàn)管理層的應(yīng)用控制目標(biāo)。

2. 程序變更

程序變更領(lǐng)域的目標(biāo)是確保對(duì)程序和相關(guān)基礎(chǔ)組件的變更是經(jīng)過(guò)請(qǐng)求、 授權(quán)、 執(zhí)行、 測(cè)試和實(shí)施的，以達(dá)到管理層的應(yīng)用控制目標(biāo)。程序變更范圍除包含代碼類的常規(guī)變更，同時(shí)也需要關(guān)注配置類的變更以及緊急變更。

3. 程序和數(shù)據(jù)訪問(wèn)

程序和數(shù)據(jù)訪問(wèn)這一領(lǐng)域的目標(biāo)是確保分配的訪問(wèn)程序和數(shù)據(jù)的權(quán)限是經(jīng)過(guò)用戶身份認(rèn)證并經(jīng)過(guò)授權(quán)的。程序和數(shù)據(jù)訪問(wèn)的子組件一般包括安全活動(dòng)管理、 安全管理、 數(shù)據(jù)安全、操作系統(tǒng)安全、 網(wǎng)絡(luò)安全和物理安全。

4. 計(jì)算機(jī)運(yùn)行

計(jì)算機(jī)運(yùn)行這一領(lǐng)域的目標(biāo)是確保業(yè)務(wù)系統(tǒng)根據(jù)管理層的控制目標(biāo)完整準(zhǔn)確地運(yùn)行，確保運(yùn)行問(wèn)題被完整準(zhǔn)確地識(shí)別并解決，以維護(hù)財(cái)務(wù)數(shù)據(jù)的完整性。

二、 信息技術(shù)應(yīng)用控制審計(jì)

信息技術(shù)應(yīng)用控制一般要經(jīng)過(guò)輸入、 處理及輸出等環(huán)節(jié)。和人工控制類似，系統(tǒng)自動(dòng)控制關(guān)注的要素包括完整性、 準(zhǔn)確性、 存在和發(fā)生等。

(一) 信息技術(shù)應(yīng)用控制各要素的主要含義

1. 完整性

系統(tǒng)處理數(shù)據(jù)的完整性，例如各系統(tǒng)之間數(shù)據(jù)傳輸?shù)耐暾浴?銷售訂單的系統(tǒng)自動(dòng)順序編號(hào)、 總賬數(shù)據(jù)的完整性等。

2. 準(zhǔn)確性

系統(tǒng)運(yùn)算邏輯的準(zhǔn)確性，例如金融機(jī)構(gòu)利息計(jì)提邏輯的準(zhǔn)確性、 生產(chǎn)企業(yè)的物料成本運(yùn)算邏輯的準(zhǔn)確性、 應(yīng)收賬款賬齡的準(zhǔn)確性等。

3. 存在和發(fā)生

信息系統(tǒng)相關(guān)的邏輯校驗(yàn)控制，例如限制檢查、 合理性檢查、 存在檢查和格式檢查等。部分業(yè)務(wù)操作的授權(quán)管理，例如入賬審批管理的權(quán)限設(shè)定和授予、 物料成本邏輯規(guī)則修改權(quán)限的設(shè)定和授予等。

針對(duì)系統(tǒng)自動(dòng)控制的信息技術(shù)應(yīng)用控制審計(jì)需要在理解業(yè)務(wù)流程的基礎(chǔ)之上進(jìn)行識(shí)別和定義。

(二) 常見(jiàn)的系統(tǒng)自動(dòng)控制以及信息技術(shù)應(yīng)用控制審計(jì)的關(guān)注點(diǎn)

1. 系統(tǒng)自動(dòng)生成報(bào)告

企業(yè)的業(yè)務(wù)或財(cái)務(wù)系統(tǒng)會(huì)定期或按需生成各類報(bào)告，例如賬齡報(bào)告、 貸款逾期報(bào)告、 業(yè)務(wù)和財(cái)務(wù)數(shù)據(jù)核對(duì)差異報(bào)告等。信息技術(shù)應(yīng)用控制審計(jì)包括對(duì)于這些報(bào)告的生成邏輯 (包括完整性和準(zhǔn)確性) 的驗(yàn)證、 異常報(bào)告跟進(jìn)控制的審閱等。

2. 系統(tǒng)配置和科目映射

信息系統(tǒng)中包含了大量的自動(dòng)校驗(yàn)控制和映射關(guān)系，包括數(shù)據(jù)完整性校驗(yàn)、 錄入合法性編輯檢查、 邊界閾值設(shè)定、 財(cái)務(wù)科目映射關(guān)系等。信息技術(shù)應(yīng)用控制審計(jì)會(huì)對(duì)這些系統(tǒng)配置和映射關(guān)系的存在性和有效性進(jìn)行驗(yàn)證。

3. 接口控制

接口控制包括各業(yè)務(wù)系統(tǒng)之間、 業(yè)務(wù)和財(cái)務(wù)系統(tǒng)之間、 企業(yè)內(nèi)部系統(tǒng)和合作伙伴/交易對(duì)手/監(jiān)管機(jī)構(gòu)之間的接口數(shù)據(jù)傳輸。信息技術(shù)應(yīng)用控制審計(jì)會(huì)對(duì)這些接口數(shù)據(jù)傳輸?shù)耐暾院蜏?zhǔn)確性進(jìn)行驗(yàn)證。

4. 訪問(wèn)和權(quán)限

企業(yè)內(nèi)部各業(yè)務(wù)部門、 財(cái)務(wù)部門、 信息技術(shù)部門等均會(huì)根據(jù)各自的職責(zé)需要對(duì)信息系統(tǒng)進(jìn)行訪問(wèn)，各部門、 各團(tuán)隊(duì)甚至各崗位訪問(wèn)的權(quán)限均可能存在差異，因此在系統(tǒng)控制層面需要對(duì)這些權(quán)限進(jìn)行明確的定義和部署，以保證適當(dāng)?shù)娜藛T配備適當(dāng)?shù)脑L問(wèn)權(quán)限。信息技術(shù)應(yīng)用控制審計(jì)會(huì)對(duì)這些訪問(wèn)權(quán)限授予情況的合理性進(jìn)行驗(yàn)證。

三、 公司層面信息技術(shù)控制審計(jì)

除信息技術(shù)一般控制審計(jì)和應(yīng)用控制審計(jì)外，目前國(guó)內(nèi)外企業(yè)的管理層也越來(lái)越重視公司層面的信息技術(shù)控制審計(jì)管理。常見(jiàn)的公司層面信息技術(shù)控制審計(jì)包括但不限于以下幾點(diǎn):

(1) 信息技術(shù)規(guī)劃的制定；

(2) 信息技術(shù)年度計(jì)劃的制定；

(3) 信息技術(shù)內(nèi)部審計(jì)機(jī)制的建立；

(4) 信息技術(shù)外包管理；

(5) 信息技術(shù)預(yù)算管理。

目前審計(jì)機(jī)構(gòu)針對(duì)公司層面信息技術(shù)控制審計(jì)往往會(huì)執(zhí)行單獨(dú)的審計(jì)，以評(píng)估企業(yè)信息技術(shù)的整體控制環(huán)境，來(lái)決定信息技術(shù)一般控制審計(jì)和應(yīng)用控制審計(jì)的重點(diǎn)、 風(fēng)險(xiǎn)等級(jí)、 審計(jì)測(cè)試方法。

四、 信息技術(shù)一般控制審計(jì)、 應(yīng)用控制審計(jì)與公司層面控制審計(jì)三者之間的關(guān)系

公司層面信息技術(shù)控制審計(jì)情況代表了該公司的信息技術(shù)控制的整體環(huán)境，包括該公司對(duì)于信息技術(shù)的重視程度和依賴程度、 信息技術(shù)復(fù)雜性、 對(duì)于外部信息技術(shù)資源的使用和管理情況、 信息技術(shù)風(fēng)險(xiǎn)偏好等，這些要素會(huì)影響該公司的信息技術(shù)一般控制審計(jì)和信息技術(shù)應(yīng)用控制審計(jì)的部署和落實(shí)。例如，如果某公司使用了較多的信息技術(shù)外部資源和服務(wù)，則可能會(huì)相應(yīng)地提高外部用戶管理和外連接口失效的風(fēng)險(xiǎn)，因此需要更多關(guān)注信息技術(shù)一般控制審計(jì)領(lǐng)域內(nèi)的用戶管理類控制，特別是外部用戶管理機(jī)制，以及信息技術(shù)應(yīng)用控制審計(jì)的外部系統(tǒng)接口管理機(jī)制等。

根據(jù)目前信息技術(shù)審計(jì)的業(yè)內(nèi)最佳實(shí)踐，注冊(cè)會(huì)計(jì)師在執(zhí)行信息技術(shù)一般控制審計(jì)和信息技術(shù)應(yīng)用控制審計(jì)之前，會(huì)首先執(zhí)行配套的公司層面信息技術(shù)控制審計(jì)，以了解公司的信息技術(shù)整體控制環(huán)境，并基于此識(shí)別出信息技術(shù)一般控制審計(jì)和信息技術(shù)應(yīng)用控制審計(jì)的主要風(fēng)險(xiǎn)點(diǎn)以及審計(jì)重點(diǎn)。

應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的、 有助于達(dá)到信息處理目標(biāo)的控制。例如，許多應(yīng)用系統(tǒng)中包含很多編輯，以檢查確保錄入數(shù)據(jù)的準(zhǔn)確性。編輯檢查可能包括格式檢查(如日期格式或數(shù)字格式)、 存在檢查 (如客戶編碼存在于客戶主數(shù)據(jù)文檔之中) 或合理性檢查 (如最大支付金額)。如果錄入數(shù)據(jù)的某一要素未通過(guò)編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄入數(shù)據(jù)拖入系統(tǒng)生成的例外報(bào)告之中，留待后續(xù)跟進(jìn)和處理。如果在帶有關(guān)鍵的編輯檢查功能的應(yīng)用系統(tǒng)所依賴的計(jì)算機(jī)環(huán)境中發(fā)現(xiàn)了信息技術(shù)一般控制審計(jì)的缺陷，注冊(cè)會(huì)計(jì)師可能就不能信賴上述編輯檢查功能按設(shè)計(jì)發(fā)揮作用。例如，程序變更控制缺陷可能導(dǎo)致未授權(quán)人員對(duì)檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改，以至于系統(tǒng)接受不準(zhǔn)確的錄入數(shù)據(jù)。此外，與安全和訪問(wèn)權(quán)限相關(guān)的控制缺陷可能導(dǎo)致數(shù)據(jù)錄入不恰當(dāng)?shù)乩@過(guò)合理性檢查，而該合理性檢查原本應(yīng)能使系統(tǒng)拒絕處理金額超過(guò)最大容差范圍的支付。因此，公司層面信息技術(shù)控制審計(jì)是公司信息技術(shù)的整體控制環(huán)境，決定了信息技術(shù)一般控制審計(jì)和信息技術(shù)應(yīng)用控制審計(jì)的風(fēng)險(xiǎn)基調(diào)； 信息技術(shù)一般控制審計(jì)是基礎(chǔ)，信息技術(shù)一般控制審計(jì)的有效與否會(huì)直接關(guān)系到信息技術(shù)應(yīng)用控制審計(jì)的有效性是否能夠信任。