信息系統(tǒng)應(yīng)用控制審計(jì)（下）

本文繼續(xù)探討信息系統(tǒng)應(yīng)用控制審計(jì)的相關(guān)內(nèi)容，主要闡述注冊會計(jì)師對信息系統(tǒng)應(yīng)用控制的了解和識別，以及應(yīng)用控制測試的原則和方法。

一、信息系統(tǒng)應(yīng)用控制的了解和識別

應(yīng)用控制從本質(zhì)上來看，屬于企業(yè)內(nèi)部控制的一種特殊形態(tài)，即應(yīng)用控制是被賦予了系統(tǒng)參與完成屬性的一類內(nèi)部控制。因此，了解和識別應(yīng)用控制的基本方法和過程與其他內(nèi)部控制是一致的。應(yīng)用控制的了解和識別是伴隨著整個(gè)內(nèi)部控制的了解和識別的完成而完成的。

注冊會計(jì)師一般通過對業(yè)務(wù)流程/循環(huán)端到端的了解來了解和識別被審計(jì)單位的內(nèi)部控制（包括應(yīng)用控制）。因此，要了解和識別被審計(jì)單位有哪些具體的應(yīng)用控制，注冊會計(jì)師在詳細(xì)審計(jì)計(jì)劃階段需要完成的一項(xiàng)工作是進(jìn)行業(yè)務(wù)流程/循環(huán)端到端的了解。在了解過程中，逐步識別穿插其中的應(yīng)用控制。

業(yè)務(wù)流程/循環(huán)端到端的了解，顧名思義，就是從該業(yè)務(wù)流程/循環(huán)的起始點(diǎn)到結(jié)束的整個(gè)過程的了解。例如，對于銷售循環(huán)端到端的了解包括從銷售策略、銷售定價(jià)與折讓、銷售訂單、賒銷信用、發(fā)貨、開具賬單、記錄銷售、收款、銷售退回、壞賬處理的完整流程。

在財(cái)務(wù)報(bào)表審計(jì)中，進(jìn)行業(yè)務(wù)流程/循環(huán)的端到端的了解有兩個(gè)目的：

1.通過從始至終的流程了解，識別企業(yè)潛在錯報(bào)風(fēng)險(xiǎn)來源，從而幫助注冊會計(jì)師執(zhí)行更有針對性的審計(jì)策略和程序；

2.在業(yè)務(wù)流程的全程了解中，識別其中的內(nèi)部控制并初步評估內(nèi)部控制的設(shè)計(jì)是否有效。

在了解和識別過程中，注冊會計(jì)師通常會用到各種實(shí)現(xiàn)工具和記錄方式來輔助該階段工作的完成。恰當(dāng)?shù)膶?shí)現(xiàn)工具和記錄方式不僅有助于提高審計(jì)質(zhì)量，對于審計(jì)效率和效果的提升也是有著舉足輕重的作用。在此，我們僅列舉在此審計(jì)階段所使用的一些常用方式。

（一）流程描述文檔（Narrative）

在了解端到端的業(yè)務(wù)流程/循環(huán)過程中，注冊會計(jì)師可以通過流程描述文檔詳細(xì)記錄被審計(jì)單位的業(yè)務(wù)流轉(zhuǎn)過程，通過文檔梳理出流程的詳細(xì)過程和細(xì)節(jié)。通過業(yè)務(wù)流程描述文檔，注冊會計(jì)師可以清楚的梳理出被審計(jì)單位從始至終的完整流程，有助于發(fā)現(xiàn)和識別其中的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對。這種文檔沒有固定的格式要求，常見的流程描述文檔以Word文本方式進(jìn)行記錄。

（二）流程圖（Flow Chart）

流程圖是一種與流程描述文檔配套的圖形化記錄方式，注冊會計(jì)師可以使用流程圖的方式分解流程的層次結(jié)構(gòu)，如一級流程圖、二級流程圖和三級流程圖，記錄業(yè)務(wù)流程中的各個(gè)流程、控制活動及相關(guān)風(fēng)險(xiǎn)。一份完整的流程圖通常包括圖例說明、流程總覽、子流程幾個(gè)部分。對于子流程，通常會記錄流程中的流程所有者，流程內(nèi)容，實(shí)現(xiàn)方式，流程編號等。對于控制活動，與流程記錄的要素基本相同，最大的區(qū)別在于，控制活動與風(fēng)險(xiǎn)相應(yīng)而生，因此，控制活動與風(fēng)險(xiǎn)在圖中往往成對出現(xiàn)。常見的流程圖以Visio方式完成。

（三）風(fēng)險(xiǎn)控制矩陣（Risk &Control Matrix）

風(fēng)險(xiǎn)控制矩陣，顧名思義就是風(fēng)險(xiǎn)和控制組成的一個(gè)矩陣式表格。這一表格列式了一個(gè)流程/子流程中的風(fēng)險(xiǎn)點(diǎn)及應(yīng)對（控制）。這個(gè)表格往往和流程圖配套使用。

通常情況下，風(fēng)險(xiǎn)控制矩陣主要包括子流程、風(fēng)險(xiǎn)編號、風(fēng)險(xiǎn)描述、控制目標(biāo)、控制編號、控制描述、控制頻率、控制類型、財(cái)務(wù)報(bào)表對應(yīng)科目/交易、信息處理目標(biāo)、財(cái)務(wù)報(bào)表認(rèn)定等關(guān)鍵要素。通過這個(gè)矩陣，注冊會計(jì)師可以很清楚的看出各個(gè)業(yè)務(wù)流程中的內(nèi)部控制點(diǎn)及對應(yīng)的財(cái)務(wù)報(bào)表科目，并根據(jù)該控制點(diǎn)所應(yīng)對的風(fēng)險(xiǎn)、實(shí)現(xiàn)的信息處理目標(biāo)及與財(cái)務(wù)報(bào)表認(rèn)定之間的關(guān)系，評估被審計(jì)單位是否對相關(guān)風(fēng)險(xiǎn)點(diǎn)建立了足夠的內(nèi)控應(yīng)對機(jī)制，以確保該科目/交易的相關(guān)認(rèn)定目標(biāo)的實(shí)現(xiàn)。

矩陣中所列的控制點(diǎn)即為應(yīng)用控制的具體內(nèi)容。需要再次強(qiáng)調(diào)的是，應(yīng)用控制是屬于內(nèi)部控制體系的一部分。應(yīng)用控制是實(shí)現(xiàn)方式有系統(tǒng)參與的內(nèi)部控制。因此應(yīng)用控制具體控制點(diǎn)的了解和識別工作是伴隨著審計(jì)過程中的各個(gè)業(yè)務(wù)流程中內(nèi)部控制的了解和識別工作的完成而完成的。因此，如果在規(guī)劃階段經(jīng)評估結(jié)論是需要在該審計(jì)項(xiàng)目中引入信息技術(shù)專家，則在本階段業(yè)務(wù)流程端到端的了解及應(yīng)用控制的了解及識別過程中，需要信息技術(shù)專家的參與注冊會計(jì)師共同完成這項(xiàng)工作，以確保對于系統(tǒng)應(yīng)用控制的準(zhǔn)確了解及識別。

表1 收入與應(yīng)收賬款流程常見應(yīng)用控制示例

以上列舉的在了解和識別應(yīng)用控制的過程中使用的記錄方式是比較常見的一些輔助手段。經(jīng)過長期的審計(jì)實(shí)踐證明，這些記錄方式對審計(jì)效率和效果的提升有著顯著的作用。表1以收入與應(yīng)收賬款流程為例，舉例說明一些常見的應(yīng)用控制。

需要說明的是，以上列舉的控制活動不一定對所有企業(yè)都是適用的。對應(yīng)用控制的了解和識別結(jié)果是因企業(yè)而異的。注冊會計(jì)師需要把握了解和識別應(yīng)用控制的方法，并在審計(jì)過程中靈活運(yùn)用，才能完全回答“做什么”的問題。

二、應(yīng)用控制測試的原則和方法

應(yīng)用控制和手工控制具有共同點(diǎn)，他們都屬于內(nèi)部控制，因此兩者適用于通用的控制測試原則和方法。另一方面，應(yīng)用控制與手工控制相比，又具有其獨(dú)特性：應(yīng)用控制是依賴于信息系統(tǒng)實(shí)現(xiàn)的控制活動。在信息系統(tǒng)一般控制持續(xù)有效的前提下，應(yīng)用控制因?yàn)樯儆腥斯じ深A(yù)和判斷而具有持續(xù)有效性、穩(wěn)定性和連貫性。因此，這一特點(diǎn)又賦予了應(yīng)用控制測試原則和方法的獨(dú)特性。本文將著重闡述因應(yīng)用控制測試的獨(dú)特性而導(dǎo)致的應(yīng)用控制測試與一般人工控制測試不同的方面和關(guān)注點(diǎn)。

由于應(yīng)用控制的獨(dú)特性是建立在一般控制有效的基礎(chǔ)之上的，因此應(yīng)用控制的持續(xù)有效運(yùn)行與信息系統(tǒng)一般控制是否有效具有直接關(guān)系。信息系統(tǒng)一般控制、信息系統(tǒng)整體控制環(huán)境以及兩者的審計(jì)發(fā)現(xiàn)都會對應(yīng)用控制的測試方法產(chǎn)生影響。因此，在應(yīng)用控制審計(jì)執(zhí)行的方法介紹中，我們將考慮這些因素對測試方法的影響分別進(jìn)行闡述。

（一）自動控制和自動計(jì)算測試

對于自動控制和系統(tǒng)自動計(jì)算而言，注冊會計(jì)師需要通過一定的審計(jì)程序驗(yàn)證控制的有效性和計(jì)算的正確性。由于系統(tǒng)處理的內(nèi)在一致性，自動控制和自動計(jì)算一般都按照預(yù)期的方式持續(xù)有效運(yùn)行，除非相關(guān)程序在審計(jì)期間發(fā)生過變更或者系統(tǒng)一般控制無效。

如果需要確認(rèn)自動控制按預(yù)期的方式運(yùn)行，注冊會計(jì)師需要考慮執(zhí)行相關(guān)的控制測試以確保控制持續(xù)有效運(yùn)行，這樣的測試可能包括：

1. 程序變更都受制于恰當(dāng)?shù)某绦蜃兏刂疲?/p>

2. 授權(quán)的程序版本被用于交易的處理；

3. 其他的系統(tǒng)一般控制有效。

在系統(tǒng)一般控制有效的前提下，自動控制和自動計(jì)算的測試方法有很多，通常包括以下5種：

1. 執(zhí)行穿行測試。在相關(guān)交易流程的穿行測試過程中，通過足夠的詢問、觀察、檢查和/或重新執(zhí)行程序獲取審計(jì)證據(jù)。對于自動控制和自動計(jì)算而言，同手工控制一樣，執(zhí)行穿行測試的方法往往是結(jié)合詢問、檢查和重新執(zhí)行來驗(yàn)證控制的有效性和計(jì)算邏輯的正確性。需要注意的是，對于自動控制和自動計(jì)算而言，在執(zhí)行穿行測試的過程中，務(wù)必要保證各種重要場景的全覆蓋。因此，在進(jìn)行測試前，注冊會計(jì)師需要通過多方詢問、檢查等手段先對控制和計(jì)算的場景進(jìn)行了解，獲取全局觀之后選擇具有重要性的和審計(jì)相關(guān)的場景進(jìn)行驗(yàn)證。

2. 現(xiàn)場運(yùn)行測試樣本。在程序中運(yùn)行一個(gè)樣本，然后比對系統(tǒng)運(yùn)行結(jié)果與預(yù)期的一致性。這種測試方法有點(diǎn)類似于穿行測試。注冊會計(jì)師通過現(xiàn)場運(yùn)行一個(gè)虛擬的交易或者實(shí)時(shí)跟蹤一個(gè)真實(shí)交易，將系統(tǒng)運(yùn)行的結(jié)果與注冊會計(jì)師預(yù)期進(jìn)行比對。這種測試方法與第一種方法的最大區(qū)別在于，穿行測試一般選擇的是歷史樣本并追蹤其系統(tǒng)處理。而該測試方法一般是用于現(xiàn)場實(shí)時(shí)運(yùn)行相關(guān)的控制和自動計(jì)算。

3. 進(jìn)行模擬測試。對真實(shí)數(shù)據(jù)運(yùn)行注冊會計(jì)師獨(dú)立編寫的腳本或程序，將輸出與系統(tǒng)運(yùn)行結(jié)果進(jìn)行比對。這種方法比較常用在系統(tǒng)自動計(jì)算的驗(yàn)證上，也適用于后面將要闡述的報(bào)表準(zhǔn)確性及完整性驗(yàn)證。對于被審計(jì)單位來說，系統(tǒng)的某一套自動計(jì)算程序可能服務(wù)于多個(gè)業(yè)務(wù)和財(cái)務(wù)目的，因此，其計(jì)算邏輯通常比較復(fù)雜龐大。但是對于注冊會計(jì)師來說，我們關(guān)注的通常只是和審計(jì)相關(guān)的計(jì)算邏輯和結(jié)果，因此，在充分評估了業(yè)務(wù)邏輯的合理性之后，具備充分專業(yè)技能的注冊會計(jì)師可以獨(dú)立編寫腳本或程序，對真實(shí)源數(shù)據(jù)運(yùn)行該腳本和程序，然后比對該代碼運(yùn)行結(jié)果與被審計(jì)單位設(shè)定的系統(tǒng)邏輯運(yùn)行下的結(jié)果。

4. 評估系統(tǒng)程序邏輯。注冊會計(jì)師通過檢查應(yīng)用系統(tǒng)配置，訪談程序開發(fā)人員，查看源代碼等審計(jì)方法評估程序設(shè)置的合理性，從而達(dá)到驗(yàn)證自動控制和計(jì)算的目的。注冊會計(jì)師在使用這種方式進(jìn)行驗(yàn)證的時(shí)候，往往伴隨著確保系統(tǒng)配置或代碼的訪問權(quán)限的賦予是否合理。對于這些配置和代碼的修改在審計(jì)期間是處于受控的狀態(tài)。在此前提下，才能確保注冊會計(jì)師在審計(jì)現(xiàn)場看到的配置或代碼能適用于整個(gè)審計(jì)期間。

5. 執(zhí)行實(shí)質(zhì)性測試。通過實(shí)質(zhì)性程序?qū)⒆詣涌刂坪陀?jì)算的結(jié)果核對至源文件，或者將結(jié)果與獨(dú)立可靠來源的數(shù)據(jù)進(jìn)行核對。這種方法比較常用于自動計(jì)算和報(bào)表驗(yàn)證。例如，在測試賬齡表的準(zhǔn)確性時(shí)，注冊會計(jì)師可以將應(yīng)收賬齡表上的數(shù)據(jù)與函證結(jié)果進(jìn)行比對，或者是將報(bào)表數(shù)據(jù)追溯至銷售發(fā)票。

以上5種測試方法較多驗(yàn)證的是自動控制和自動計(jì)算的邏輯正確性，注冊會計(jì)師在測試自動控制和計(jì)算的運(yùn)行有效性時(shí)，還需要綜合考慮其他方面的風(fēng)險(xiǎn)因素，例如：

1.自動控制和計(jì)算應(yīng)用的源數(shù)據(jù)是否正確。注冊會計(jì)師需要確保系統(tǒng)自動控制和計(jì)算應(yīng)用于了正確可靠的數(shù)據(jù)來源，這個(gè)往往通過錄入控制來保證。

2.相關(guān)控制和計(jì)算的訪問權(quán)限，特別是修改是否進(jìn)行了足夠的限制。

以上是在有信息系統(tǒng)一般控制審計(jì)證據(jù)支撐下的審計(jì)方法。如果缺乏有效的信息系統(tǒng)一般控制或者信息系統(tǒng)一般控制有限，注冊會計(jì)師需要使用其他更有效果和效率的測試方法，例如：

1.獲取審計(jì)證據(jù)證明應(yīng)用控制自從上次測試以來沒有發(fā)生過變化；

2.使用計(jì)算機(jī)輔助審計(jì)技術(shù)重新運(yùn)行自動控制和計(jì)算或者在審計(jì)期間以較高的頻率比對程序代碼；

3.評估內(nèi)在風(fēng)險(xiǎn)因素和控制風(fēng)險(xiǎn)因素，如程序變更的次數(shù)和復(fù)雜度是否都較低；

4.在審計(jì)期間以更多的頻次使用前面提到的5種測試方法進(jìn)行相關(guān)控制和計(jì)算的驗(yàn)證工作。

（二）報(bào)表

系統(tǒng)報(bào)表是系統(tǒng)生成的符合一定業(yè)務(wù)邏輯的數(shù)據(jù)集合。通常被用于執(zhí)行相關(guān)的控制或者用于下一步實(shí)質(zhì)性程序。因此，如果這些報(bào)表和數(shù)據(jù)出現(xiàn)錯誤會導(dǎo)致后續(xù)的控制無效和實(shí)質(zhì)性測試結(jié)果的不準(zhǔn)確或者不完整。

注冊會計(jì)師執(zhí)行報(bào)表測試的性質(zhì)和程度取決于職業(yè)判斷。通常注冊會計(jì)師需要考慮的因素列舉如下：

1.需要從控制或?qū)嵸|(zhì)性程序獲得的審計(jì)證據(jù)水平；

2.相關(guān)FSLIs的重大錯報(bào)風(fēng)險(xiǎn)；

3.控制有效運(yùn)行或?qū)嵸|(zhì)性測試設(shè)計(jì)對報(bào)表/數(shù)據(jù)完整性和準(zhǔn)確性的依賴程度；

4.報(bào)表/數(shù)據(jù)的性質(zhì)、類型、來源及復(fù)雜度；

5.以前年度的審計(jì)經(jīng)驗(yàn)，如以前年度的控制缺陷，控制環(huán)境的變化等；

6.應(yīng)用系統(tǒng)的復(fù)雜度。

對于報(bào)表測試，注冊會計(jì)師的目標(biāo)是保證報(bào)表準(zhǔn)確、完整地歸集、處理和展示了系統(tǒng)中的數(shù)據(jù)。報(bào)表在系統(tǒng)中的生成過程大致可以分為數(shù)據(jù)歸集、邏輯加工、報(bào)表展示三個(gè)階段。從報(bào)表生成過程，要保證最終生成的報(bào)表正確與否，我們需要回答3個(gè)問題：

1.錄入系統(tǒng)的源數(shù)據(jù)是不是完整準(zhǔn)確（“源頭對嗎”）；

2.系統(tǒng)是不是完整準(zhǔn)確地處理了相關(guān)源數(shù)據(jù)（“過程對嗎”）；

3.系統(tǒng)生成的報(bào)表的可編輯性（“結(jié)果可改嗎”）。

（三）訪問控制

訪問控制需要確保兩個(gè)層面的內(nèi)容：一是權(quán)限設(shè)計(jì)的合理性；二是權(quán)限賦予的合理性。注冊會計(jì)師在進(jìn)行訪問控制測試和驗(yàn)證的過程中，也需要對這兩方面執(zhí)行相應(yīng)的審計(jì)工作。對于驗(yàn)證權(quán)限設(shè)計(jì)的合理性，注冊會計(jì)師主要關(guān)注的權(quán)限設(shè)計(jì)的粒度是否滿足了風(fēng)險(xiǎn)管理的需求并且名符其實(shí)；對于驗(yàn)證權(quán)限賦予的合理性，注冊會計(jì)師主要關(guān)注的是權(quán)限是否賦予給了合適的人員，是否有冗余權(quán)限的賦予，權(quán)限賦予的結(jié)果是否實(shí)現(xiàn)了敏感權(quán)限的職責(zé)分離。

對于訪問控制，注冊會計(jì)師通常需要執(zhí)行以下審計(jì)程序：

1.詢問權(quán)限設(shè)計(jì)和管理人員，了解被審計(jì)單位權(quán)限設(shè)計(jì)及賦予規(guī)則和方法。企業(yè)可能是直接將權(quán)限賦予給賬號，也可能設(shè)計(jì)了一定的角色，將權(quán)限賦予給角色，然后將角色賦予給賬號。注冊會計(jì)師在進(jìn)行訪問控制驗(yàn)證的過程中，首先清楚了解被審計(jì)單位的權(quán)限設(shè)計(jì)及賦予規(guī)則是十分必要的。

2.對于選定進(jìn)行測試的訪問權(quán)限，查看系統(tǒng)中的權(quán)限設(shè)計(jì)和配置，確認(rèn)系統(tǒng)中權(quán)限設(shè)計(jì)和配置是正確的。

3.進(jìn)行權(quán)限賦予的合理性驗(yàn)證。

如果在審計(jì)期間，沒有執(zhí)行信息系統(tǒng)一般控制，或者經(jīng)過審計(jì)驗(yàn)證，發(fā)現(xiàn)信息系統(tǒng)一般控制無效，則注冊會計(jì)師就無法通過一次訪問控制的測試工作獲取審計(jì)信心了。此時(shí)，注冊會計(jì)師需要評估相關(guān)的控制缺陷對訪問控制的影響，并選擇替代性應(yīng)對程序。

（四）系統(tǒng)接口

對于接口而言，我們要保證的是數(shù)據(jù)完整準(zhǔn)確的從源系統(tǒng)傳遞到了目標(biāo)系統(tǒng)以及接收數(shù)據(jù)的有效性，并且在傳輸中的任何問題能夠被及時(shí)的發(fā)現(xiàn)和跟進(jìn)。

接口控制可以是依賴于系統(tǒng)的手工控制完成，例如，數(shù)據(jù)的完整性驗(yàn)證可能是手工方式進(jìn)行核對；也可以是自動控制完成，例如，系統(tǒng)通過批處理任務(wù)定時(shí)將數(shù)據(jù)從源系統(tǒng)傳輸至目標(biāo)系統(tǒng)。

對于接口測試，注冊會計(jì)師通常需要驗(yàn)證以下幾個(gè)方面來獲取相關(guān)的審計(jì)信心：

1.訪問限制：僅受限的人員/賬號可以對接口程序進(jìn)行訪問和修改。常見的控制手段如，僅授權(quán)的系統(tǒng)開發(fā)人員可以對接口進(jìn)行變更，且變更上線權(quán)限僅授權(quán)給合適的人員。

2.完整性驗(yàn)證：系統(tǒng)如何確保數(shù)據(jù)完整地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。常見的控制手段如，系統(tǒng)自動計(jì)算傳輸數(shù)據(jù)的控制總數(shù)，并與源系統(tǒng)進(jìn)行比對，確保數(shù)據(jù)傳輸?shù)耐暾浴?/p>

3.準(zhǔn)確性驗(yàn)證：即系統(tǒng)如何確保數(shù)據(jù)準(zhǔn)確地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。常見的控制手段如，系統(tǒng)自動設(shè)置校驗(yàn)位，對于傳輸數(shù)據(jù)的準(zhǔn)確性進(jìn)行自動校驗(yàn)。

4.重復(fù)傳輸驗(yàn)證：系統(tǒng)如何避免數(shù)據(jù)的重復(fù)傳輸，這其實(shí)是完整性驗(yàn)證的一部分，因?yàn)槠湓诮涌诳刂浦休^為重要和常見，因此單列進(jìn)行驗(yàn)證。常見的控制手段如，傳輸數(shù)據(jù)中存在標(biāo)志位，對于已經(jīng)傳輸成功的數(shù)據(jù)設(shè)置標(biāo)志位，系統(tǒng)自動拒絕接受已經(jīng)成功傳輸?shù)臄?shù)據(jù)。

5.有效性驗(yàn)證：系統(tǒng)如何確保傳輸數(shù)據(jù)的有效性。常見控制手段如，目標(biāo)系統(tǒng)的編輯檢查，確保系統(tǒng)僅接受預(yù)先定義的源系統(tǒng)數(shù)據(jù)。

6.傳輸及時(shí)性：系統(tǒng)如何確保數(shù)據(jù)在正確的時(shí)間期間傳輸了數(shù)據(jù)。常見的控制手段如，系統(tǒng)存在自動檢查，對于不成功的數(shù)據(jù)傳輸，及時(shí)進(jìn)行補(bǔ)傳，直至成功為止。

7.變更控制：系統(tǒng)接口的變更是經(jīng)過了充分得授權(quán)、測試并滿足實(shí)際業(yè)務(wù)需求的。這部分的驗(yàn)證工作通常在信息系統(tǒng)一般控制的測試過程中涵蓋完成。

8.傳輸監(jiān)控及異常處理：即被審計(jì)單位如何確保數(shù)據(jù)在傳輸過程中的任何問題得到了及時(shí)發(fā)現(xiàn)和跟進(jìn)。

（五）對測試時(shí)間的考慮

一般而言，由于系統(tǒng)審計(jì)需要持續(xù)一段時(shí)間，并且考慮到各個(gè)被審計(jì)單位的實(shí)際情況，注冊會計(jì)師不太可能正好在審計(jì)期間的結(jié)束之日執(zhí)行并完成系統(tǒng)審計(jì)工作。通常情況下，審計(jì)測試的時(shí)間大致落在以下兩個(gè)區(qū)間：

1.審計(jì)期間結(jié)束日之前,

2.審計(jì)期間結(jié)束日之后。

因此，如何保證整個(gè)審計(jì)期間的應(yīng)用控制均按照企業(yè)設(shè)定的方式有效運(yùn)轉(zhuǎn)，注冊會計(jì)師必須要執(zhí)行相應(yīng)的審計(jì)程序：

1.在審計(jì)期間結(jié)束日之前完成測試工作：注冊會計(jì)師需要確保審計(jì)測試日至審計(jì)期間結(jié)束日之間的應(yīng)用控制運(yùn)行的有效性。通常的考慮因素包括：

（1）以上兩個(gè)日期之間信息系統(tǒng)一般控制的有效性；

（2）以上兩個(gè)日期之間該應(yīng)用控制是否發(fā)生過變動；

（3）如果發(fā)生過變動，需要驗(yàn)證變動后的應(yīng)用控制設(shè)計(jì)及執(zhí)行有效性。

2.審計(jì)期間結(jié)束日之后完成測試工作：注冊會計(jì)師需要確保審計(jì)期間結(jié)束日之后進(jìn)行測試的應(yīng)用控制能合理反映審計(jì)期間該應(yīng)用控制的設(shè)計(jì)及運(yùn)行情況。通常的考慮因素包括：

（1）以上兩個(gè)日期之間信息系統(tǒng)一般控制的有效性；

（2）以上兩個(gè)日期之間該應(yīng)用控制是否發(fā)生過變動；

（3）如果發(fā)生過變動，需要驗(yàn)證變動前的應(yīng)用控制設(shè)計(jì)及執(zhí)行有效性。

總之，注冊會計(jì)師在進(jìn)行應(yīng)用控制驗(yàn)證過程中，需要密切關(guān)注信息系統(tǒng)一般控制的有效性及其缺陷對應(yīng)用控制的影響，在充分評估一般控制驗(yàn)證結(jié)果的基礎(chǔ)上，設(shè)計(jì)足夠的審計(jì)程序和方法，以確保整個(gè)審計(jì)期間該應(yīng)用控制能夠?qū)崿F(xiàn)預(yù)先設(shè)定的控制目標(biāo)。