短信预约提醒成功
第三节 信息技术内部控制审计
一、与信息技术相关的控制
在信息技术环境下,传统的手工控制越来越多地被自动控制所替代、概括地讲,自动控制能为企业带来以下好处:
1.自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;
2.自动控制比较不容易被绕过;
3.自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;
4.自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取:
5.自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。
同时,对自动控制的依赖也可能给企业带来下列财务报告重大错报风险:
1.信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;
2.自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统内数据和系统对非授权交易及不存在交易的记录遭到破坏,系统、系统程序、数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等;
3.数据丢失风险或数据无法访问风险,如系统瘫痪;
4.不适当的人工干预,或人为绕过自动控制。
因此,与财务报告相关的控制活动一般由一系列手工控制和自动控制所组成。
二、信息技术内部控制审计
在信息技术环境下,手工控制的基本原理与方式在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序,而对于自动控制,就需要从信息技术一般性控制审计与信息技术应用控制审计两方面进行考虑:
(一)信息技术一般性控制审计
系统一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施,信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。
如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制时,他们就需要对相关的信息技术一般控制进行验证。
注册会计师应清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告,或生成手工日记账时使用系统生成的数据和报告的关系。
由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续运行,注册会计师需要对上述三个领域实施控制测试。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。
1.程序开发:
程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括:
(1) 对开发和实施活动的管理;
(2) 项目启动、分析和设计;
(3) 对程序开发实施过程的控制软件包的选择;
(4) 测试和质量确保;
(5) 数据迁移;
(6) 程序实施;
(7) 记录和培训;