信息系統一般控制審計（上）

編者按

在信息化環境下，企業運用信息技術編制財務報表，設計和執行內部控制。注冊會計師在對企業的財務報表進行審計時，必須考慮信息技術的影響。同時，信息化也對注冊會計師的審計技術和方法帶來革命性變化。為了幫助注冊會計師應對信息化帶來的挑戰，中國注冊會計師協會資助普華永道中天會計師事務所研究編寫了《信息系統環境下的財務報表審計》一書，即將出版。本刊約請作者加以摘編，分期連載，以饗讀者。

注冊會計師在完成信息系統審計工作計劃之后，就要進入信息系統審計的執行工作。我們將對信息系統審計的執行工作從信息系統一般控制、應用控制和數據三個領域分別闡述。

信息系統一般控制是整個信息系統審計的基礎和內核，對被審計單位的應用控制和數據保駕護航，對整個財務報表產生普遍性的影響。如果信息系統一般控制沒有得到有效設計或運行，依賴于其上的自動控制和手工控制就如建立在沙灘上的城堡，無法對財務報表提供有效的支撐。因此，如果信息系統一般控制和應用控制均在審計范圍內，我們一般應該先安排執行信息系統一般控制的審計工作。在大致確保一般控制整體有效的前提下，再進行相關的應用控制審計的執行工作。如果一般控制整體無效或部分無效，我們需要評估無效的控制點對依賴其上的應用控制的影響，確認是否仍然可以依賴該應用控制點，以及在此背景下該應用控制點的審計策略和方法是否需要有所調整。

表1 信息系統建設生命周期各階段的主要審計風險

表2 風險與控制目標、COBIT5模型及常見控制措施的對應關系

簡言之，應用控制是否有效并可以被依賴、以及如何測試將在很大程度上取決于一般控制的有效性。因此，信息系統一般控制審計在整個審計過程中具有舉足輕重的作用。

一、系統建設

（一）系統建設活動中與審計相關的特定風險

注冊會計師在執行財務報表審計時，需要考慮被審計單位的信息系統建設活動可能對審計工作產生的影響。例如，信息系統建設活動是否與財務報表相關？相關程度如何？如果新建的信息系統與財務報表不相關（如工程輔助設計系統），注冊會計師并不需要將其納入審計范圍。反之，注冊會計師需要進一步考慮系統建設活動中與財務報表審計相關的特定風險，如表1所示。

（二）系統建設活動的重點關注領域

注冊會計師應當根據對被審計單位信息技術環境的了解、財務報表對信息技術的依賴程度，以及可能使財務報表產生重大錯報的信息技術相關風險評估情況，確定對財務報表認定有直接或間接影響的信息系統。如果被審計單位的系統建設活動涉及以下幾類信息系統，注冊會計師通常需要 予以關注：

表3 確定系統建設審計領域控制測試時的考慮

表4 系統建設審計領域常見審計發現及其影響

1. 財務系統：通常涵蓋總賬、固定資產、應收賬款、應付賬款等模塊，是被審計單位日常會計核算的基礎應用系統。其功能定位決定了這類信息系統對財務報表認定具有直接影響。因此，如果被審計單位在審計期間進行了財務系統的開發活動，注冊會計師通常應當將財務系統納入信息系統審計范圍，并對與該系統開發相關的風險和控制的設計與執行給予充分的考慮和評估。

2. 報表平臺：通常包括三類，一類是專門執行合并報表編制的平臺，能夠根據配置自動執行合并抵消，并出具合并層面的財務報表，如Oracle Hyperion產品；第二類是從業務系統抽取數據生成報表，供財務人員做賬時查詢；第三類是支持企業對外報送信息的系統，如根據稅務法律法規，專門生成符合報稅格式和規范的財務報表。如果注冊會計師確定這類信息系統對財務報表認定具有直接影響，通常應當將其納入信息系統審計范圍。

3. 業務系統：通常是支撐被審計單位生產經營活動開展的事務處理與管控系統，具體表現形式多樣。如制造業企業的ERP系統，零售企業的POS系統、進銷存系統、客戶關系管理系統，商業銀行的貸款系統，電商的訂單處理系統等。值得注意的是，在現代企業中，業務端與財務端在信息技術的推動下逐漸融合，如SAP、Oracle等ERP產品，財務相關的功能往往作為ERP系統的一個模塊而存在；或者系統之間存在著自動化的接口，財務系統通過接口與業務系統同步數據并進行賬務處理；或者業務系統能夠生成相關的報表，供財務人員查詢并做會計核算和賬務處理。在這樣的信息技術運用環境中，業務系統應當被認為對財務報表認定具有直接影響，通常應當將其納入信息系統審計范圍。

表5 統變更流程各階段主要任務

表6 系統變更各階段的主要審計風險

表7 風險與控制目標、COBIT5模型及常見控制措施的對應關系

4. 工作流系統：通常能夠根據用戶角色和權限，以及工作流的配置和定義，自動觸發并處理各類工作請求。常見的形式是辦公自動化系統。注冊會計師需要謹慎對待此類系統，并評估工作流處理的對象對于財務報表認定是否具有直接或間接影響。例如，主營業務的采購或銷售合同條款的錄入與審批在辦公自動化系統中執行，審批通過后，合同條款自動經由數據接口同步進入ERP系統作為采購或銷售事務結算的依據，在這種情形下，辦公自動化系統處理的對象對于財務報表認定具有直接的影響。還有一類工作流系統，處理信息系統相關的工作請求，如系統變更、后臺數據更正等。雖然與被審計單位開展的生產經營活動并不直接相關，但卻是信息系統一般控制的基礎管控平臺，注冊會計師通常應當予以充分考慮。

（三）系統建設審計領域相關控制的一般要素

注冊會計師需要確定財務報表審計對信息系統的依賴程度，并在此基礎上對納入審計范圍的信息系統的系統建設領域相關控制進行了解、評估和驗證，系統建設審計領域相關控制的一般要素包括：

1. 對開發和實施活動的控制和管理；

2. 項目啟動；

3. 系統分析與設計；

4. 編碼開發與配置；

5. 測試與質量保證；

6. 數據清洗、轉換與遷移；

7. 程序實施；

8. 記錄和培訓；

9. 職責分離。

系統建設各階段面臨的財務報表審計相關特定風險與控制目標、COBIT5模型及常見控制措施的對應關系如表2所示。

表8 確定系統開發審計領域內部控制測試時的考慮

（四）系統建設審計領域控制測試的執行

根據《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》，注冊會計師應當根據被審計單位的特定信息技術環境，對財務報表重大錯報風險進行識別，了解并評價與財務報表審計相關的內部控制。就系統建設審計領域的內部控制而言，識別和了解與企業財務報告相關的內部控制，并確定控制測試的性質、時間安排和范圍,通常需要關注內容見表3。

必須指出的是，以上考慮并非在任何情況下均適用，也并不能完全涵蓋所有情況。注冊會計師需要結合被審計單位的信息技術環境和特定風險做出職業判斷。

在執行系統建設領域的審計工作時，注冊會計師需要充分考慮其審計發現對企業財務報表審計是否存在直接影響，并據此評估對審計程序的性質、時間安排和范圍的影響。系統開發審計領域常見的審計發現及其影響列示見表4。

二、系統變更

信息系統建設完成后，系統進入運行維護期。在這個時期，對于信息系統進行維護目的修復、更新或者增強，即可視為系統變更。從變更的方式上來看，系統變更又可以分為兩類，即代碼級變更和配置級變更。前者是通過直接更改程序代碼而后重新編譯軟件的方式對系統進行修復、更新或者增強；而后者則是通過更改配置項目的方式實現系統變更。

（一）系統變更的階段和主要任務

系統變更的最根本特點是針對已經存在的信息系統而進行的。系統變更也可以劃分為若干個相對獨立的階段，每個階段的名稱及其主要任務如表5所示。

（二）系統變更活動對財務報表編制和審計的影響

注冊會計師需要考慮被審計單位的信息系統變更可能對審計工作產生的影響。最根本的問題是，被審計單位的信息系統變更是否與財務報表相關？具體相關程度如何？是否會對信息系統應用控制產生影響？如果發生變更的信息系統與財務報表不相關，注冊會計師并不需要將其納入審計范圍。如果有充分證據證明，自上一次測試后，與財務報告相關的信息系統沒有發生變化，則注冊會計師也可以考慮相應減少或省去對系統變更控制的測試。反之，注冊會計師需要進一步考慮系統變更活動中與財務報表審計相關的特定風險，如表6所示。

（三）系統變更審計領域的相關控制

系統變更審計領域相關控制是圍繞系統變更活動的一系列程序或機制，它們能夠確保對系統程序和相關技術基礎組件的變更是經過請求、授權、執行、測試和實施的，以達到管理層的應用控制目標。系統變更審計領域的相關控制要保證系統變更是在經過充分測試并獲得管理層的適當授權后，才由適當的人員實施到企業的生產環境中。

表9 系統變更審計領域常見審計發現及其影響

系統變更審計領域相關控制的一般要素包括：

1. 對系統變更活動的整體管理；

2. 對變更請求的規范、授權與跟蹤；

3. 編碼開發；

4. 測試和質量保證；

5. 程序實施；

6. 記錄和培訓；

7. 職責分離。

系統變更各階段面臨的財務報表審計相關特定風險，與控制目標、COBIT5模型及常見控制措施的對應關系如表7所示。

（四）系統變更審計領域的測試

根據《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》，在風險導向審計模式下，注冊會計師應當根據被審計單位的特定信息技術環境，對財務報表重大錯報風險進行識別，了解并評價與財務報表審計相關的內部控制。

就系統變更審計領域的內部控制而言，識別和了解與企業財務報告相關的內部控制，并確定控制測試的性質、時間安排和范圍通常需要關注的內容如表8所示。

必須指出的是，以上考慮要點并非在任何情況下均適用，也并不能完全涵蓋所有的情況。注冊會計師需要結合被審計單位的信息技術環境和特定風險做出職業判斷。

在執行系統變更審計領域的審計工作時，注冊會計師需要充分考慮其審計發現對企業財務報表審計是否存在直接的影響，并據此評估對財務審計程序的性質、時間安排和范圍的影響。我們將系統變更審計領域常見的審計發現及其影響列示如表9。