*9節(jié) 信息技術(shù)內(nèi)部控制審計(jì)

  一、與信息技術(shù)相關(guān)的控制

  在信息技術(shù)環(huán)境下,傳統(tǒng)的手工控制越來越多地被自動(dòng)控制所替代、概括地講,自動(dòng)控制能為企業(yè)帶來以下好處:

  1.自動(dòng)控制能夠有效處理大流量交易及數(shù)據(jù),因?yàn)樽詣?dòng)信息系統(tǒng)可以提供與業(yè)務(wù)規(guī)則一致的系統(tǒng)處理方法;

  2.自動(dòng)控制比較不容易被繞過;

  3.自動(dòng)信息系統(tǒng)、數(shù)據(jù)庫(kù)及操作系統(tǒng)的相關(guān)安全控制可以實(shí)現(xiàn)有效的職責(zé)分離;

  4.自動(dòng)信息系統(tǒng)可以提高信息的及時(shí)性、準(zhǔn)確性,并使信息變得更易獲?。?/p>

  5.自動(dòng)信息系統(tǒng)可以提高管理層對(duì)企業(yè)業(yè)務(wù)活動(dòng)及相關(guān)政策的監(jiān)督水平。
 

  同時(shí),對(duì)自動(dòng)控制的依賴也可能給企業(yè)帶來下列財(cái)務(wù)報(bào)告重大錯(cuò)報(bào)風(fēng)險(xiǎn):

  1.信息系統(tǒng)或相關(guān)系統(tǒng)程序可能會(huì)對(duì)數(shù)據(jù)進(jìn)行錯(cuò)誤處理,也可能會(huì)去處理那些本身就錯(cuò)誤的數(shù)據(jù);

  2.自動(dòng)信息系統(tǒng)、數(shù)據(jù)庫(kù)及操作系統(tǒng)的相關(guān)安全控制如果無效,會(huì)增加對(duì)數(shù)據(jù)信息非授權(quán)訪問的風(fēng)險(xiǎn),這種風(fēng)險(xiǎn)可能導(dǎo)致系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)對(duì)非授權(quán)交易及不存在交易的記錄遭到破壞,系統(tǒng)、系統(tǒng)程序、數(shù)據(jù)遭到不適當(dāng)?shù)母淖?,系統(tǒng)對(duì)交易進(jìn)行不適當(dāng)?shù)挠涗?,以及信息技術(shù)人員獲得超過其職責(zé)范圍的過大系統(tǒng)權(quán)限等;

  3.數(shù)據(jù)丟失風(fēng)險(xiǎn)或數(shù)據(jù)無法訪問風(fēng)險(xiǎn),如系統(tǒng)癱瘓;

  4.不適當(dāng)?shù)娜斯じ深A(yù),或人為繞過自動(dòng)控制。

  因此,與財(cái)務(wù)報(bào)告相關(guān)的控制活動(dòng)一般由一系列手工控制和自動(dòng)控制所組成。
 

  二、信息技術(shù)內(nèi)部控制審計(jì)

  在信息技術(shù)環(huán)境下,手工控制的基本原理與方式在信息環(huán)境下并不會(huì)發(fā)生實(shí)質(zhì)性的改變,注冊(cè)會(huì)計(jì)師仍需要按照標(biāo)準(zhǔn)執(zhí)行相關(guān)的審計(jì)程序,而對(duì)于自動(dòng)控制,就需要從信息技術(shù)一般性控制審計(jì)與信息技術(shù)應(yīng)用控制審計(jì)兩方面進(jìn)行考慮:

  信息技術(shù)一般性控制審計(jì)

  系統(tǒng)一般性控制是指為了保證信息系統(tǒng)的安全,對(duì)整個(gè)信息系統(tǒng)以及外部各種環(huán)境要素實(shí)施的、對(duì)所有的應(yīng)用或控制模塊具有普遍影響的控制措施,信息技術(shù)一般控制通常會(huì)對(duì)實(shí)現(xiàn)部分或全部財(cái)務(wù)報(bào)告認(rèn)定做出間接貢獻(xiàn)。

  如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)應(yīng)用控制、自動(dòng)會(huì)計(jì)程序或依賴系統(tǒng)生成信息的控制時(shí),他們就需要對(duì)相關(guān)的信息技術(shù)一般控制進(jìn)行驗(yàn)證。

  注冊(cè)會(huì)計(jì)師應(yīng)清楚記錄信息技術(shù)一般控制與關(guān)鍵的自動(dòng)應(yīng)用控制及接口、關(guān)鍵的自動(dòng)會(huì)計(jì)程序、關(guān)鍵手工控制使用的系統(tǒng)生成數(shù)據(jù)和報(bào)告,或生成手工日記賬時(shí)使用系統(tǒng)生成的數(shù)據(jù)和報(bào)告的關(guān)系。

  由于程序變更控制、計(jì)算機(jī)操作控制及程序數(shù)據(jù)訪問控制影響到系統(tǒng)驅(qū)動(dòng)組件的持續(xù)運(yùn)行,注冊(cè)會(huì)計(jì)師需要對(duì)上述三個(gè)領(lǐng)域?qū)嵤┛刂茰y(cè)試。

  信息技術(shù)一般控制包括程序開發(fā)、程序變更、程序和數(shù)據(jù)訪問以及計(jì)算機(jī)運(yùn)行等四個(gè)方面。
 

  1.程序開發(fā):

  程序開發(fā)領(lǐng)域的目標(biāo)是確保系統(tǒng)的開發(fā)、配置和實(shí)施能夠?qū)崿F(xiàn)管理層的應(yīng)用控制目標(biāo)。程序開發(fā)控制的一般要素包括:

  (1) 對(duì)開發(fā)和實(shí)施活動(dòng)的管理;

  (2) 項(xiàng)目啟動(dòng)、分析和設(shè)計(jì);

  (3) 對(duì)程序開發(fā)實(shí)施過程的控制軟件包的選擇;

  (4) 測(cè)試和質(zhì)量確保;

  (5) 數(shù)據(jù)遷移;

  (6) 程序?qū)嵤?

  (7) 記錄和培訓(xùn);
 

  2.程序變更

  程序變更領(lǐng)域的目標(biāo)是確保對(duì)程序和相關(guān)基礎(chǔ)組件的變更是經(jīng)過請(qǐng)求、授權(quán)、執(zhí)行、測(cè)試和實(shí)施的,以達(dá)到管理層的應(yīng)用控制目標(biāo)。程序變更一般包括:

  (1) 對(duì)維護(hù)活動(dòng)的管理;

  (2) 對(duì)變更請(qǐng)求的規(guī)范、授權(quán)、跟蹤;

  (3) 測(cè)試和質(zhì)量保證;

  (4) 程序?qū)嵤?

  (5) 記錄和培訓(xùn);

  (6) 職責(zé)分離。
 

  3.程序和數(shù)據(jù)訪問

  程序和數(shù)據(jù)訪問這一領(lǐng)域的目標(biāo)是確保分配的訪問程序和數(shù)據(jù)的權(quán)限是經(jīng)過用戶身份認(rèn)證并經(jīng)過授權(quán)的。程序和數(shù)據(jù)訪問的子組件一般包括安全活動(dòng)管理、安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全和物理安全。
 

  4.計(jì)算機(jī)運(yùn)行

  計(jì)算機(jī)運(yùn)行這一領(lǐng)域的目標(biāo)是確保生產(chǎn)系統(tǒng)根據(jù)管理層的控制目標(biāo)完整準(zhǔn)確地運(yùn)行,確保運(yùn)行問題被完整準(zhǔn)確地識(shí)別并解決,以維護(hù)財(cái)務(wù)數(shù)據(jù)的完整性。計(jì)算機(jī)運(yùn)行的子組件一般包括計(jì)算機(jī)運(yùn)行活動(dòng)的總體管理、批調(diào)度和批處理、實(shí)時(shí)處理、備份和問題管理以及災(zāi)難恢復(fù)。