一、与信息技术相关的控制
对自动控制的依赖也可能会给企业带来下列财务报告重大错报风险:
1.信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;
2.自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险。
3.数据丢失风险或数据无法访问风险,如系统瘫痪;
4.不适当的人工干预,或人为绕过自动控制。
企业采用信息系统处理业务,并不意味着手工控制被完全取代,比如,订单的审批和事后审阅以及会计记录调整之类的手工控制。
二、信息技术内部控制审计
在信息技术环境中,手工控制的基本原理与方式在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序,而对于自动控制,就需要从信息技术一般性控制审计与信息技术应用控制审计两方面进行考虑:
(一)信息技术一般性控制审计
信息系统一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。
●如果注册会计师计划依赖自动应用控制、自动会计程序、或依赖系统生成信息的控制时,他们就需要对相关的信息技术一般控制进行验证。
由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对上述三个领域实施控制测试。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及系统运行等四个方面。
1.程序开发
程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括:
(1)对开发和实施活动的管理;
(2)项目启动、分析和设计;
(3)对程序开发实施过程的控制软件包的选择;
(4)测试和质量确保;
(5)数据迁移;
(6)程序实施;
(7)记录和培训;
(8)职责分离。
2.程序变更
程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标。程序变更一般包括以下要素:
(1)对维护活动的管理;
(2)对变更请求的规范、授权与跟踪;
(3)测试和质量确保;
(4)程序实施;
(5)记录和培训;
(6)职责分离。
3.程序和数据访问
程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。
4.计算机运行
计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。
(二)信息技术应用控制审计
信息技术应用控制一般要经过输入、处理及输出等环节,和手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。
然而,自动系统控制造成的影响程度比信息技术一般控制要显着的多,并且需要进一步的手工调查。另外,所有的自动应用控制都会有一个手工控制与之相对应。
理论上,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。(比如,一笔交易被否定或者被作标记了,将会进行一个手工调查流程,并且被记录下来)。下面将针对不同的信息处理目标来阐述应用控制的应用:
1.完整性
(1)顺序标号,可以保证系统每笔日记账都是唯一的,并且系统不会接受相同编号,或者在编号范围外的凭证。
(2)编辑检查以确保无重复交易录入,比如发票付款的时候,检查发票编号。
2.准确性
(1)编辑检查。包括限制检查、合理性检查、存在性检查和格式检查等。
(2)将客户,供应商,部分数据,发票和采购订单等信息与现有数据进行比较。
3.授权
(1)交易流程中必须包含恰当的授权。
(2)将客户,供应商,部分数据,发票和采购订单等信息与现有数据进行比较。
4.访问限制
(1)对于某些特殊的会计记录的访问,必须经过数据所有者的正式授权。如果存在例外,必须进行调查。
(2)访问控制必须满足适当的职责分离(比如交易的审批和处理必须由不同的人员来完成)。
(3)对每个系统的访问控制都要单独考虑。密码必须要定期更换,并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告;管理层必须跟踪这些登录失败的具体原因。
三、信息技术应用控制与信息技术一般控制之间的关系
如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。