注册会计师考试审计章节重要考点总结第九章第三节

　　一、与信息技术相关的控制

　　在信息技术环境下，传统的手工控制越来越多地被自动控制所替代，概括地讲，自动控制能为企业带来以下好处：

　　1.自动控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则―致的系统处理方法;

　　2.自动控制比较不容易被绕过：

　　3.自动信息系统、数据库及操作系统的相关安全控制可以实现 有效的职责分离;

　　4.自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取;

　　5.自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

　　同时，对自动控制的依赖也可能给企业带来下列由于种种原因报告重大错报风险：

　　1.信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据;

　　2.自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统内数据和系统对非授权交易及不存在交易的记录遭到破坏，系系统程序、数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等;

　　3.数据丢失风险或数据无法访问见，如系统瘫痪;

　　4.不适当的人工干预，或人为绕过自动控制。

　　因此，被审计单位采用信息系统处理业务，并不意味着手工控制被完全取代，信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。例如，在基于信息技术的自动的信息系统中，系统进行自动操作来实现对交易信息的创建、记录、处理和报告，并将相关信息保存为电子形式(如电子的采购订单、采购发票、发运凭证和相关会计记录)。但相关控制活动也可能同时包括手工的部分，比如，订单的审批和事后审阅以及会计记录调整之类的手工控制。

　　因此，与财务报告相关的控制活动一般由一系列手工控制和自动控制所组成。由于被审计单位信息技术的特点及复杂程度不同，被审计单位的手工及自动控制的组合方式往往会有所区別。

　　二、信息技术内部控制审计

　　在信息技术环境下，手工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册会计师仍需要按照标准执行相关的审计程序，而对于自动控制，就需要从信息技术一般性控制审计与信息技术应用控制审计两方面进行考虑：

　　(一)信息技术一般性控制审计

　　信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。在有些情况下，信息技术一般控制也可能对实现信息处理目标和财务报表认定做出直接贡献。这是因为有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。当手工控制依赖系统生成的信息时，信息技术一般控制同样重要。如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制，他们就需要对相关的信息技术一般控制进行验证。

　　注册会计师应清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告，或生成手工日记账时使用系统生成的数据和报告的关系。

　　由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。

　　信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。

　　1.程序开发。程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括：

　　(1)对开发和实施活动的管理;

　　(2)项目启动、分析和设计：

　　(3)对程序开发实施过程的控制软件包的选择;

　　(4)测试和质量确保;

　　(5)数据迁移;

　　(6)程序实施;

　　(7)记录和培训;

　　(8)职责分离。

　　2.程序变更。程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。程序变更一般包括以下要素：

　　(1)对维护活动的管理;

　　(2)对变更请求的规范、授权与跟踪;

　　(3)测试和质量确保;

　　(4)程序实施;

　　(5)记录和培训;

　　(6)职责分离。

　　3.程序和数据访问。程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。

　　4.计算机运行。计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

　　(二)信息技术应用控制审计