信息系統(tǒng)應(yīng)用控制審計（上）

行業(yè)信息化專題

在審計計劃階段，注冊會計師通過對擬依賴的信息系統(tǒng)應(yīng)用控制和數(shù)據(jù)進行初步了解和識別，以輔助于審計范圍和審計計劃的確定。需要強調(diào)的是，信息系統(tǒng)應(yīng)用控制范圍的確定是一個由淺入深的過程，在審計初步計劃階段，注冊會計師獲取的只是應(yīng)用控制的初步范圍，詳細審計范圍的確定需要在詳細審計計劃階段和審計執(zhí)行初期，通過資深注冊會計師對各業(yè)務(wù)流程進行端到端的了解過程才能逐步確定。因此，應(yīng)用控制審計是一個循序漸進的過程，很難將審計計劃階段和執(zhí)行階段完全割裂開來。隨著審計活動的深入，審計范圍及計劃往往伴隨著修正和更新，以確保審計效果的優(yōu)化和效率的提升。

一、應(yīng)用控制的類型

應(yīng)用控制（Application Controls）指的是企業(yè)內(nèi)部控制系統(tǒng)中與系統(tǒng)相關(guān)的業(yè)務(wù)層面控制。應(yīng)用控制具備以下兩方面的特征：

（1）應(yīng)用控制或多或少是在信息系統(tǒng)的參與下完成的；

（2）應(yīng)用控制是存在于業(yè)務(wù)流程或交易層面和過程中的內(nèi)部控制。

常見的信息系統(tǒng)應(yīng)用控制包括以下幾種基本類型：（1）自動控制；（2）系統(tǒng)報表；（3）自動計算；（4） 訪問控制；（5）系統(tǒng)接口。

下面分別對這幾種應(yīng)用控制類型進行詳細解釋及闡述。

（一）自動控制

系統(tǒng)自動控制是通過計算機應(yīng)用系統(tǒng)后臺邏輯或參數(shù)設(shè)置強制執(zhí)行的控制。系統(tǒng)自動控制由于是系統(tǒng)自動實現(xiàn)的，少有人為干預(yù)而具有高度的一致性和穩(wěn)定性。一旦設(shè)定成功，在系統(tǒng)沒有發(fā)生變更并且運行維護正常的情況下，往往能持續(xù)地保證該功能和控制的正常有效運行。

例如，在采購過程中的三單匹配控制。系統(tǒng)自動進行采購、收貨和付款三單匹配操作，符合系統(tǒng)設(shè)定邏輯的匹配才能順利通過到下一步操作處理，否則系統(tǒng)提出警告生產(chǎn)例外數(shù)據(jù)報告或拒絕操作的下一步流轉(zhuǎn)。

（二）系統(tǒng)報表

系統(tǒng)報表是指通過程序設(shè)定由系統(tǒng)自動進行信息歸集、邏輯處理和展示的符合一定邏輯的數(shù)據(jù)集合。系統(tǒng)報表可以通過前臺應(yīng)用界面或基于web的網(wǎng)頁進行展示，也有部分企業(yè)的報表是通過批處理程序從后臺運行得出的。這些報表通常被用于執(zhí)行手工控制或進行下一步業(yè)務(wù)流程操作使用，從而直接或間接成為財務(wù)報表上數(shù)字的來源或支撐。

例如，典型的系統(tǒng)報表是例外報告。對于順序編號的文檔，系統(tǒng)將丟失的或者重復的文件編號，自動生成一份例外報告數(shù)據(jù)，用于后續(xù)手工跟進解決。這里的例外報告就是一份系統(tǒng)生成報表。

（三）自動計算

系統(tǒng)自動計算是指通過系統(tǒng)程序按照預(yù)先設(shè)定的邏輯由程序自動完成的計算、分類、預(yù)測等業(yè)務(wù)處理過程。

自動計算這一應(yīng)用控制的有效設(shè)計和運行往往涉及到其他應(yīng)用控制（如自動控制和訪問控制）設(shè)計及運行的有效性。注冊會計師在擬依賴相關(guān)計算的時候需要綜合考慮，防止某一環(huán)節(jié)的設(shè)計或運行不當導致自動計算的失效。

（四）訪問控制

信息系統(tǒng)訪問控制即保證系統(tǒng)由合適的人進行合適的操作，從而確保系統(tǒng)按照設(shè)定的方式運轉(zhuǎn)的應(yīng)用控制。讓合適的人對系統(tǒng)做合適的事就是我們所說的訪問控制。也就是說，訪問控制約束的是人和系統(tǒng)的交互。人與系統(tǒng)交互是通過一定的賬號和權(quán)限來實現(xiàn)的，因此這個過程需要通過系統(tǒng)賬號和權(quán)限設(shè)定來實現(xiàn)。要實現(xiàn)這樣的預(yù)期，實際上涉及到兩個層面的問題：

一是系統(tǒng)中權(quán)限的設(shè)計問題。即系統(tǒng)的權(quán)限設(shè)計能幫助訪問者正確實現(xiàn)操作功能。權(quán)限設(shè)計一般需要滿足以下條件：（1）實現(xiàn)必要的權(quán)限要素/單元的定義和分割，符合最小權(quán)限要素/單元原則。（2）權(quán)限設(shè)計正確，符合業(yè)務(wù)預(yù)期。（3）對相互沖突的權(quán)限進行了職責分離。

二是權(quán)限賦予問題，即“讓正確的人做正確的事”。權(quán)限賦予的正確性包括下列含義：（1）將正確的權(quán)限賦予給了正確的崗位以確保權(quán)限與崗位職責相符。（2）權(quán)限賦予要符合“知所必需”的原則，防止賦予過多不必要的權(quán)限。（3）權(quán)限賦予實現(xiàn)了職責分離的要求，避免將沖突權(quán)限賦予給同一個賬號。

（五）系統(tǒng)接口

系統(tǒng)接口是系統(tǒng)之間的信息交互渠道。數(shù)據(jù)從源系統(tǒng)通過一定的通道（如應(yīng)用系統(tǒng)層、數(shù)據(jù)庫層、操作系統(tǒng)層和網(wǎng)絡(luò)層等）流轉(zhuǎn)到目標系統(tǒng)，這個過程就是系統(tǒng)接口實現(xiàn)的功能。如果把系統(tǒng)比喻成城市的話，系統(tǒng)接口就相當于城市之間的道路、橋梁等交通基礎(chǔ)設(shè)施，幫助各個城市間的資源流轉(zhuǎn)和交互。

在信息技術(shù)高速發(fā)展的今天，一個企業(yè)只使用一個單一的信息系統(tǒng)，即所謂的信息孤島的情形已經(jīng)比較少見，取而代之的是各種高內(nèi)聚，低耦合的不同系統(tǒng)在企業(yè)運營的中高頻次進行著各種實時、半實時或定時的信息交互，對實現(xiàn)信息的增值和企業(yè)正常高效運作起到的至關(guān)重要的作用。如何保證系統(tǒng)接口傳遞的信息/數(shù)據(jù)的準確性和完整性，自然成為了企業(yè)管理者和注冊會計師要考慮的一個重要議題。

以上就是應(yīng)用控制的5種基本類型。接下來，我們將進一步闡述應(yīng)用控制能實現(xiàn)哪些信息處理目標，這些目標與財務(wù)報表認定之間存在何種關(guān)系的問題。

二、信息處理目標

信息處理目標（Information processing objectives）是一套與控制相關(guān)的管理層目標體系。這一套目標體系為業(yè)務(wù)層面控制活動設(shè)計有效性的評估提供了有用的框架。對于各個業(yè)務(wù)流程及相關(guān)的交易流而言，控制活動的設(shè)計和執(zhí)行需要能確保經(jīng)授權(quán)的交易被準確完整地記錄和處理，并且一旦記錄處理完成，能避免被非授權(quán)地修改，如此才能達到業(yè)務(wù)按管理層預(yù)期方式運行的效果。

表1 信息處理目標

表3 準確性常見控制技術(shù)舉例

表4 有效性常見控制技術(shù)舉例

由于信息處理目標是業(yè)務(wù)層面交易控制目標，因此，這套目標僅適用于業(yè)務(wù)層面的控制活動。在系統(tǒng)審計中，信息處理目標與應(yīng)用控制相關(guān)。由于信息系統(tǒng)一般控制活動不是業(yè)務(wù)流程或交易層面的控制，因此，信息處理目標與信息系統(tǒng)一般控制不相關(guān)。

（一）信息處理具體目標

具體而言，信息處理目標可以概括為四個目標（如表1所示）。

對于四個信息處理目標（CAVR），企業(yè)有一些常見的控制技術(shù)來確保相關(guān)信息處理目標的實現(xiàn)。下面，分別進行舉例。

1. 完整性常見控制技術(shù)舉例（如表2所示）。需要說明的是，完整性相關(guān)的這些控制技術(shù)需要管理層及時復核并跟進異常情況，以確保控制執(zhí)行的有效性。

2. 準確性常見控制技術(shù)舉例（如表3所示）。在很多完整性控制技術(shù)中，這些控制技術(shù)在提供完整性保證的同時，也提供了準確性。例如，批量匯總，自動匹配，逐一檢查等。

3. 有效性常見控制技術(shù)舉例（如表4所示）。

4. 訪問限制常見控制技術(shù)舉例（如表5所示）。

（二）信息處理目標的應(yīng)用

當注冊會計師計劃依賴財務(wù)報表業(yè)務(wù)流程中的相關(guān)控制的時候，簡單的識別和測試與信息處理目標中的某一個特定目標相關(guān)的控制活動是不夠的，注冊會計師需要確保在這個業(yè)務(wù)流程或子流程中，四個信息處理目標都需要被達成。

如果在信息處理的某一個階段，某一信息處理目標沒有被實現(xiàn)，那么在后續(xù)的業(yè)務(wù)過程中產(chǎn)生的數(shù)據(jù)和信息可能是不可靠的。這些數(shù)據(jù)和信息可能反映的是沒有發(fā)生的、不完整的、或者是邏輯不準確的交易和事件，也可能反映的是不存在的資產(chǎn)或負債。

控制技術(shù)具體闡述管理層定期核對文件總數(shù)與獨立維護的控制總數(shù)以確保沒有發(fā)生未經(jīng)授權(quán)的修改?？刂瓶倲?shù)可能是手工維護的一個清單，例如，手工記錄的總賬中的AR余額與AR系統(tǒng)中的應(yīng)收金額的比對。例外報告（Exception Report）數(shù)據(jù)安全（Data Security）大部分的業(yè)務(wù)數(shù)據(jù)都儲存在一定的數(shù)據(jù)環(huán)境中（如數(shù)據(jù)文件，數(shù)據(jù)庫或云）。一般而言，數(shù)據(jù)安全作為系統(tǒng)一般控制的一部分進行測試，但是，注冊會計師需要注意將一般控制測試的內(nèi)容與特定業(yè)務(wù)目的數(shù)據(jù)安全進行關(guān)聯(lián)，以確保特定數(shù)據(jù)的訪問安全。文件核對（File Reconciliations）例外報告在完整性，準確性中都有廣泛使用，這一控制技術(shù)在訪問限制中也可以被使用。例如，一份主數(shù)據(jù)修改的報告可以被用于管理層復核，以便于確認主數(shù)據(jù)的沒有被非授權(quán)的修改。

信息處理目標 財務(wù)報表認定完整性（Completeness） 完整性，截止，存在和發(fā)生，分類準確性（Accuracy） 準確性，計價和分攤有效性（Validity） 存在和發(fā)生，權(quán)利和義務(wù)訪問限制（Restrict Access） 除了權(quán)利和義務(wù)以外，可能大部分相關(guān)

注冊會計師需要考慮驗證交易的有效性；數(shù)據(jù)錄入和處理的完整性和準確性；在錄入、處理和記錄過程中的訪問限制。評估實現(xiàn)某一信息處理目標的控制活動缺失是否可能造成的財務(wù)報表重大錯報。

一旦注冊會計師認定控制活動的設(shè)計可以合理應(yīng)對相關(guān)的風險且控制被執(zhí)行，注冊會計師就可以選擇業(yè)務(wù)層面的相關(guān)控制以測試其運行有效性，并考慮這些控制能為哪些財務(wù)報表認定提供審計證據(jù)了。

（三）信息處理目標與財務(wù)報表認定的關(guān)系

信息處理目標對財務(wù)報表的認定實現(xiàn)是至關(guān)重要的。如果保證信息處理目標的控制活動是有效的，注冊會計師需要判斷這些控制活動能為哪些財務(wù)報表認定提供審計證據(jù)。

與控制活動與財務(wù)報表認定的關(guān)系類似，一個控制活動可能可以實現(xiàn)多個信息處理目標，一個信息處理目標也可能由多個控制活動來實現(xiàn)。

那么，信息處理目標與財務(wù)報表認定之間是什么關(guān)系呢？盡管信息處理目標看上去和財務(wù)報表認定很類似，但是他們之間不是一對一的關(guān)系，而且這兩套體系的使用目的是不同的。信息處理目標是用于評估控制活動設(shè)計的有效性，特別是業(yè)務(wù)流程中的應(yīng)用控制。而財務(wù)報表認定是用于管理層對于財務(wù)報表公允表達的陳述。

表6列式了信息處理目標和財務(wù)報表認定之間的對應(yīng)關(guān)系。

從表6不難發(fā)現(xiàn)，訪問限制對于財務(wù)報表認定具有最為廣泛的影響。因為很多的認定的達成都取決于該目標的實現(xiàn)。例如，滿足存貨的存在和發(fā)生認定會取決于內(nèi)控設(shè)計中的存貨物理保護。再如，存貨的計價和分攤認定在存貨成本表沒有被合理限制訪問的時候?qū)o法達成。

在審計工作底稿中，明確記錄信息處理目標并非是必須的。這些信息的記錄將有助于幫助注冊會計師對于業(yè)務(wù)層面控制設(shè)計有效性的判斷。因此，注冊會計師在業(yè)務(wù)流程和相關(guān)子流程的記錄中通常會包括該信息。