信息系統(tǒng)一般控制審計(jì)（上）

編者按

在信息化環(huán)境下，企業(yè)運(yùn)用信息技術(shù)編制財(cái)務(wù)報(bào)表，設(shè)計(jì)和執(zhí)行內(nèi)部控制。注冊(cè)會(huì)計(jì)師在對(duì)企業(yè)的財(cái)務(wù)報(bào)表進(jìn)行審計(jì)時(shí)，必須考慮信息技術(shù)的影響。同時(shí)，信息化也對(duì)注冊(cè)會(huì)計(jì)師的審計(jì)技術(shù)和方法帶來(lái)革命性變化。為了幫助注冊(cè)會(huì)計(jì)師應(yīng)對(duì)信息化帶來(lái)的挑戰(zhàn)，中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)資助普華永道中天會(huì)計(jì)師事務(wù)所研究編寫(xiě)了《信息系統(tǒng)環(huán)境下的財(cái)務(wù)報(bào)表審計(jì)》一書(shū)，即將出版。本刊約請(qǐng)作者加以摘編，分期連載，以饗讀者。

注冊(cè)會(huì)計(jì)師在完成信息系統(tǒng)審計(jì)工作計(jì)劃之后，就要進(jìn)入信息系統(tǒng)審計(jì)的執(zhí)行工作。我們將對(duì)信息系統(tǒng)審計(jì)的執(zhí)行工作從信息系統(tǒng)一般控制、應(yīng)用控制和數(shù)據(jù)三個(gè)領(lǐng)域分別闡述。

信息系統(tǒng)一般控制是整個(gè)信息系統(tǒng)審計(jì)的基礎(chǔ)和內(nèi)核，對(duì)被審計(jì)單位的應(yīng)用控制和數(shù)據(jù)保駕護(hù)航，對(duì)整個(gè)財(cái)務(wù)報(bào)表產(chǎn)生普遍性的影響。如果信息系統(tǒng)一般控制沒(méi)有得到有效設(shè)計(jì)或運(yùn)行，依賴(lài)于其上的自動(dòng)控制和手工控制就如建立在沙灘上的城堡，無(wú)法對(duì)財(cái)務(wù)報(bào)表提供有效的支撐。因此，如果信息系統(tǒng)一般控制和應(yīng)用控制均在審計(jì)范圍內(nèi)，我們一般應(yīng)該先安排執(zhí)行信息系統(tǒng)一般控制的審計(jì)工作。在大致確保一般控制整體有效的前提下，再進(jìn)行相關(guān)的應(yīng)用控制審計(jì)的執(zhí)行工作。如果一般控制整體無(wú)效或部分無(wú)效，我們需要評(píng)估無(wú)效的控制點(diǎn)對(duì)依賴(lài)其上的應(yīng)用控制的影響，確認(rèn)是否仍然可以依賴(lài)該應(yīng)用控制點(diǎn)，以及在此背景下該應(yīng)用控制點(diǎn)的審計(jì)策略和方法是否需要有所調(diào)整。

表1 信息系統(tǒng)建設(shè)生命周期各階段的主要審計(jì)風(fēng)險(xiǎn)

表2 風(fēng)險(xiǎn)與控制目標(biāo)、COBIT5模型及常見(jiàn)控制措施的對(duì)應(yīng)關(guān)系

簡(jiǎn)言之，應(yīng)用控制是否有效并可以被依賴(lài)、以及如何測(cè)試將在很大程度上取決于一般控制的有效性。因此，信息系統(tǒng)一般控制審計(jì)在整個(gè)審計(jì)過(guò)程中具有舉足輕重的作用。

一、系統(tǒng)建設(shè)

（一）系統(tǒng)建設(shè)活動(dòng)中與審計(jì)相關(guān)的特定風(fēng)險(xiǎn)

注冊(cè)會(huì)計(jì)師在執(zhí)行財(cái)務(wù)報(bào)表審計(jì)時(shí)，需要考慮被審計(jì)單位的信息系統(tǒng)建設(shè)活動(dòng)可能對(duì)審計(jì)工作產(chǎn)生的影響。例如，信息系統(tǒng)建設(shè)活動(dòng)是否與財(cái)務(wù)報(bào)表相關(guān)？相關(guān)程度如何？如果新建的信息系統(tǒng)與財(cái)務(wù)報(bào)表不相關(guān)（如工程輔助設(shè)計(jì)系統(tǒng)），注冊(cè)會(huì)計(jì)師并不需要將其納入審計(jì)范圍。反之，注冊(cè)會(huì)計(jì)師需要進(jìn)一步考慮系統(tǒng)建設(shè)活動(dòng)中與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的特定風(fēng)險(xiǎn)，如表1所示。

（二）系統(tǒng)建設(shè)活動(dòng)的重點(diǎn)關(guān)注領(lǐng)域

注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)根據(jù)對(duì)被審計(jì)單位信息技術(shù)環(huán)境的了解、財(cái)務(wù)報(bào)表對(duì)信息技術(shù)的依賴(lài)程度，以及可能使財(cái)務(wù)報(bào)表產(chǎn)生重大錯(cuò)報(bào)的信息技術(shù)相關(guān)風(fēng)險(xiǎn)評(píng)估情況，確定對(duì)財(cái)務(wù)報(bào)表認(rèn)定有直接或間接影響的信息系統(tǒng)。如果被審計(jì)單位的系統(tǒng)建設(shè)活動(dòng)涉及以下幾類(lèi)信息系統(tǒng)，注冊(cè)會(huì)計(jì)師通常需要 予以關(guān)注：

表3 確定系統(tǒng)建設(shè)審計(jì)領(lǐng)域控制測(cè)試時(shí)的考慮

表4 系統(tǒng)建設(shè)審計(jì)領(lǐng)域常見(jiàn)審計(jì)發(fā)現(xiàn)及其影響

1. 財(cái)務(wù)系統(tǒng)：通常涵蓋總賬、固定資產(chǎn)、應(yīng)收賬款、應(yīng)付賬款等模塊，是被審計(jì)單位日常會(huì)計(jì)核算的基礎(chǔ)應(yīng)用系統(tǒng)。其功能定位決定了這類(lèi)信息系統(tǒng)對(duì)財(cái)務(wù)報(bào)表認(rèn)定具有直接影響。因此，如果被審計(jì)單位在審計(jì)期間進(jìn)行了財(cái)務(wù)系統(tǒng)的開(kāi)發(fā)活動(dòng)，注冊(cè)會(huì)計(jì)師通常應(yīng)當(dāng)將財(cái)務(wù)系統(tǒng)納入信息系統(tǒng)審計(jì)范圍，并對(duì)與該系統(tǒng)開(kāi)發(fā)相關(guān)的風(fēng)險(xiǎn)和控制的設(shè)計(jì)與執(zhí)行給予充分的考慮和評(píng)估。

2. 報(bào)表平臺(tái)：通常包括三類(lèi)，一類(lèi)是專(zhuān)門(mén)執(zhí)行合并報(bào)表編制的平臺(tái)，能夠根據(jù)配置自動(dòng)執(zhí)行合并抵消，并出具合并層面的財(cái)務(wù)報(bào)表，如Oracle Hyperion產(chǎn)品；第二類(lèi)是從業(yè)務(wù)系統(tǒng)抽取數(shù)據(jù)生成報(bào)表，供財(cái)務(wù)人員做賬時(shí)查詢(xún)；第三類(lèi)是支持企業(yè)對(duì)外報(bào)送信息的系統(tǒng)，如根據(jù)稅務(wù)法律法規(guī)，專(zhuān)門(mén)生成符合報(bào)稅格式和規(guī)范的財(cái)務(wù)報(bào)表。如果注冊(cè)會(huì)計(jì)師確定這類(lèi)信息系統(tǒng)對(duì)財(cái)務(wù)報(bào)表認(rèn)定具有直接影響，通常應(yīng)當(dāng)將其納入信息系統(tǒng)審計(jì)范圍。

3. 業(yè)務(wù)系統(tǒng)：通常是支撐被審計(jì)單位生產(chǎn)經(jīng)營(yíng)活動(dòng)開(kāi)展的事務(wù)處理與管控系統(tǒng)，具體表現(xiàn)形式多樣。如制造業(yè)企業(yè)的ERP系統(tǒng)，零售企業(yè)的POS系統(tǒng)、進(jìn)銷(xiāo)存系統(tǒng)、客戶(hù)關(guān)系管理系統(tǒng)，商業(yè)銀行的貸款系統(tǒng)，電商的訂單處理系統(tǒng)等。值得注意的是，在現(xiàn)代企業(yè)中，業(yè)務(wù)端與財(cái)務(wù)端在信息技術(shù)的推動(dòng)下逐漸融合，如SAP、Oracle等ERP產(chǎn)品，財(cái)務(wù)相關(guān)的功能往往作為ERP系統(tǒng)的一個(gè)模塊而存在；或者系統(tǒng)之間存在著自動(dòng)化的接口，財(cái)務(wù)系統(tǒng)通過(guò)接口與業(yè)務(wù)系統(tǒng)同步數(shù)據(jù)并進(jìn)行賬務(wù)處理；或者業(yè)務(wù)系統(tǒng)能夠生成相關(guān)的報(bào)表，供財(cái)務(wù)人員查詢(xún)并做會(huì)計(jì)核算和賬務(wù)處理。在這樣的信息技術(shù)運(yùn)用環(huán)境中，業(yè)務(wù)系統(tǒng)應(yīng)當(dāng)被認(rèn)為對(duì)財(cái)務(wù)報(bào)表認(rèn)定具有直接影響，通常應(yīng)當(dāng)將其納入信息系統(tǒng)審計(jì)范圍。

表5 統(tǒng)變更流程各階段主要任務(wù)

表6 系統(tǒng)變更各階段的主要審計(jì)風(fēng)險(xiǎn)

表7 風(fēng)險(xiǎn)與控制目標(biāo)、COBIT5模型及常見(jiàn)控制措施的對(duì)應(yīng)關(guān)系

4. 工作流系統(tǒng)：通常能夠根據(jù)用戶(hù)角色和權(quán)限，以及工作流的配置和定義，自動(dòng)觸發(fā)并處理各類(lèi)工作請(qǐng)求。常見(jiàn)的形式是辦公自動(dòng)化系統(tǒng)。注冊(cè)會(huì)計(jì)師需要謹(jǐn)慎對(duì)待此類(lèi)系統(tǒng)，并評(píng)估工作流處理的對(duì)象對(duì)于財(cái)務(wù)報(bào)表認(rèn)定是否具有直接或間接影響。例如，主營(yíng)業(yè)務(wù)的采購(gòu)或銷(xiāo)售合同條款的錄入與審批在辦公自動(dòng)化系統(tǒng)中執(zhí)行，審批通過(guò)后，合同條款自動(dòng)經(jīng)由數(shù)據(jù)接口同步進(jìn)入ERP系統(tǒng)作為采購(gòu)或銷(xiāo)售事務(wù)結(jié)算的依據(jù)，在這種情形下，辦公自動(dòng)化系統(tǒng)處理的對(duì)象對(duì)于財(cái)務(wù)報(bào)表認(rèn)定具有直接的影響。還有一類(lèi)工作流系統(tǒng)，處理信息系統(tǒng)相關(guān)的工作請(qǐng)求，如系統(tǒng)變更、后臺(tái)數(shù)據(jù)更正等。雖然與被審計(jì)單位開(kāi)展的生產(chǎn)經(jīng)營(yíng)活動(dòng)并不直接相關(guān)，但卻是信息系統(tǒng)一般控制的基礎(chǔ)管控平臺(tái)，注冊(cè)會(huì)計(jì)師通常應(yīng)當(dāng)予以充分考慮。

（三）系統(tǒng)建設(shè)審計(jì)領(lǐng)域相關(guān)控制的一般要素

注冊(cè)會(huì)計(jì)師需要確定財(cái)務(wù)報(bào)表審計(jì)對(duì)信息系統(tǒng)的依賴(lài)程度，并在此基礎(chǔ)上對(duì)納入審計(jì)范圍的信息系統(tǒng)的系統(tǒng)建設(shè)領(lǐng)域相關(guān)控制進(jìn)行了解、評(píng)估和驗(yàn)證，系統(tǒng)建設(shè)審計(jì)領(lǐng)域相關(guān)控制的一般要素包括：

1. 對(duì)開(kāi)發(fā)和實(shí)施活動(dòng)的控制和管理；

2. 項(xiàng)目啟動(dòng)；

3. 系統(tǒng)分析與設(shè)計(jì)；

4. 編碼開(kāi)發(fā)與配置；

5. 測(cè)試與質(zhì)量保證；

6. 數(shù)據(jù)清洗、轉(zhuǎn)換與遷移；

7. 程序?qū)嵤?/p>

8. 記錄和培訓(xùn)；

9. 職責(zé)分離。

系統(tǒng)建設(shè)各階段面臨的財(cái)務(wù)報(bào)表審計(jì)相關(guān)特定風(fēng)險(xiǎn)與控制目標(biāo)、COBIT5模型及常見(jiàn)控制措施的對(duì)應(yīng)關(guān)系如表2所示。

表8 確定系統(tǒng)開(kāi)發(fā)審計(jì)領(lǐng)域內(nèi)部控制測(cè)試時(shí)的考慮

（四）系統(tǒng)建設(shè)審計(jì)領(lǐng)域控制測(cè)試的執(zhí)行

根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——通過(guò)了解被審計(jì)單位及其環(huán)境識(shí)別和評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)根據(jù)被審計(jì)單位的特定信息技術(shù)環(huán)境，對(duì)財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)進(jìn)行識(shí)別，了解并評(píng)價(jià)與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的內(nèi)部控制。就系統(tǒng)建設(shè)審計(jì)領(lǐng)域的內(nèi)部控制而言，識(shí)別和了解與企業(yè)財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制，并確定控制測(cè)試的性質(zhì)、時(shí)間安排和范圍,通常需要關(guān)注內(nèi)容見(jiàn)表3。

必須指出的是，以上考慮并非在任何情況下均適用，也并不能完全涵蓋所有情況。注冊(cè)會(huì)計(jì)師需要結(jié)合被審計(jì)單位的信息技術(shù)環(huán)境和特定風(fēng)險(xiǎn)做出職業(yè)判斷。

在執(zhí)行系統(tǒng)建設(shè)領(lǐng)域的審計(jì)工作時(shí)，注冊(cè)會(huì)計(jì)師需要充分考慮其審計(jì)發(fā)現(xiàn)對(duì)企業(yè)財(cái)務(wù)報(bào)表審計(jì)是否存在直接影響，并據(jù)此評(píng)估對(duì)審計(jì)程序的性質(zhì)、時(shí)間安排和范圍的影響。系統(tǒng)開(kāi)發(fā)審計(jì)領(lǐng)域常見(jiàn)的審計(jì)發(fā)現(xiàn)及其影響列示見(jiàn)表4。

二、系統(tǒng)變更

信息系統(tǒng)建設(shè)完成后，系統(tǒng)進(jìn)入運(yùn)行維護(hù)期。在這個(gè)時(shí)期，對(duì)于信息系統(tǒng)進(jìn)行維護(hù)目的修復(fù)、更新或者增強(qiáng)，即可視為系統(tǒng)變更。從變更的方式上來(lái)看，系統(tǒng)變更又可以分為兩類(lèi)，即代碼級(jí)變更和配置級(jí)變更。前者是通過(guò)直接更改程序代碼而后重新編譯軟件的方式對(duì)系統(tǒng)進(jìn)行修復(fù)、更新或者增強(qiáng)；而后者則是通過(guò)更改配置項(xiàng)目的方式實(shí)現(xiàn)系統(tǒng)變更。

（一）系統(tǒng)變更的階段和主要任務(wù)

系統(tǒng)變更的最根本特點(diǎn)是針對(duì)已經(jīng)存在的信息系統(tǒng)而進(jìn)行的。系統(tǒng)變更也可以劃分為若干個(gè)相對(duì)獨(dú)立的階段，每個(gè)階段的名稱(chēng)及其主要任務(wù)如表5所示。

（二）系統(tǒng)變更活動(dòng)對(duì)財(cái)務(wù)報(bào)表編制和審計(jì)的影響

注冊(cè)會(huì)計(jì)師需要考慮被審計(jì)單位的信息系統(tǒng)變更可能對(duì)審計(jì)工作產(chǎn)生的影響。最根本的問(wèn)題是，被審計(jì)單位的信息系統(tǒng)變更是否與財(cái)務(wù)報(bào)表相關(guān)？具體相關(guān)程度如何？是否會(huì)對(duì)信息系統(tǒng)應(yīng)用控制產(chǎn)生影響？如果發(fā)生變更的信息系統(tǒng)與財(cái)務(wù)報(bào)表不相關(guān)，注冊(cè)會(huì)計(jì)師并不需要將其納入審計(jì)范圍。如果有充分證據(jù)證明，自上一次測(cè)試后，與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)沒(méi)有發(fā)生變化，則注冊(cè)會(huì)計(jì)師也可以考慮相應(yīng)減少或省去對(duì)系統(tǒng)變更控制的測(cè)試。反之，注冊(cè)會(huì)計(jì)師需要進(jìn)一步考慮系統(tǒng)變更活動(dòng)中與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的特定風(fēng)險(xiǎn)，如表6所示。

（三）系統(tǒng)變更審計(jì)領(lǐng)域的相關(guān)控制

系統(tǒng)變更審計(jì)領(lǐng)域相關(guān)控制是圍繞系統(tǒng)變更活動(dòng)的一系列程序或機(jī)制，它們能夠確保對(duì)系統(tǒng)程序和相關(guān)技術(shù)基礎(chǔ)組件的變更是經(jīng)過(guò)請(qǐng)求、授權(quán)、執(zhí)行、測(cè)試和實(shí)施的，以達(dá)到管理層的應(yīng)用控制目標(biāo)。系統(tǒng)變更審計(jì)領(lǐng)域的相關(guān)控制要保證系統(tǒng)變更是在經(jīng)過(guò)充分測(cè)試并獲得管理層的適當(dāng)授權(quán)后，才由適當(dāng)?shù)娜藛T實(shí)施到企業(yè)的生產(chǎn)環(huán)境中。

表9 系統(tǒng)變更審計(jì)領(lǐng)域常見(jiàn)審計(jì)發(fā)現(xiàn)及其影響

系統(tǒng)變更審計(jì)領(lǐng)域相關(guān)控制的一般要素包括：

1. 對(duì)系統(tǒng)變更活動(dòng)的整體管理；

2. 對(duì)變更請(qǐng)求的規(guī)范、授權(quán)與跟蹤；

3. 編碼開(kāi)發(fā)；

4. 測(cè)試和質(zhì)量保證；

5. 程序?qū)嵤?/p>

6. 記錄和培訓(xùn)；

7. 職責(zé)分離。

系統(tǒng)變更各階段面臨的財(cái)務(wù)報(bào)表審計(jì)相關(guān)特定風(fēng)險(xiǎn)，與控制目標(biāo)、COBIT5模型及常見(jiàn)控制措施的對(duì)應(yīng)關(guān)系如表7所示。

（四）系統(tǒng)變更審計(jì)領(lǐng)域的測(cè)試

根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)——通過(guò)了解被審計(jì)單位及其環(huán)境識(shí)別和評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》，在風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)模式下，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)根據(jù)被審計(jì)單位的特定信息技術(shù)環(huán)境，對(duì)財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)進(jìn)行識(shí)別，了解并評(píng)價(jià)與財(cái)務(wù)報(bào)表審計(jì)相關(guān)的內(nèi)部控制。

就系統(tǒng)變更審計(jì)領(lǐng)域的內(nèi)部控制而言，識(shí)別和了解與企業(yè)財(cái)務(wù)報(bào)告相關(guān)的內(nèi)部控制，并確定控制測(cè)試的性質(zhì)、時(shí)間安排和范圍通常需要關(guān)注的內(nèi)容如表8所示。

必須指出的是，以上考慮要點(diǎn)并非在任何情況下均適用，也并不能完全涵蓋所有的情況。注冊(cè)會(huì)計(jì)師需要結(jié)合被審計(jì)單位的信息技術(shù)環(huán)境和特定風(fēng)險(xiǎn)做出職業(yè)判斷。

在執(zhí)行系統(tǒng)變更審計(jì)領(lǐng)域的審計(jì)工作時(shí)，注冊(cè)會(huì)計(jì)師需要充分考慮其審計(jì)發(fā)現(xiàn)對(duì)企業(yè)財(cái)務(wù)報(bào)表審計(jì)是否存在直接的影響，并據(jù)此評(píng)估對(duì)財(cái)務(wù)審計(jì)程序的性質(zhì)、時(shí)間安排和范圍的影響。我們將系統(tǒng)變更審計(jì)領(lǐng)域常見(jiàn)的審計(jì)發(fā)現(xiàn)及其影響列示如表9。