行業信息化專題信息系統一般控制審計（下）

編者按

在信息化環境下，企業運用信息技術編制財務報表，設計和執行內部控制。注冊會計師在對企業的財務報表進行審計時，必須考慮信息技術的影響。同時，信息化也對注冊會計師的審計技術和方法帶來革命性變化。為了幫助注冊會計師應對信息化帶來的挑戰，中國注冊會計師協會資助普華永道中天會計師事務所研究編寫了《信息系統環境下的財務報表審計》一書，即將出版。本刊約請作者加以摘編，分期連載，以饗讀者。

本文擬從系統運行和維護、系統訪問權限兩個角度，探討信息系統一般控制審計。

一、系統運維

（一）系統運維活動中與審計相關的特定風險

注冊會計師在執行企業財務報表審計時，需要考慮被審計單位的信息系統變更活動可能對財務報表審計工作產生的影響。注冊會計師需要進一步考慮系統運維活動中與財務報表審計相關的特定風險，主要體現在以下幾個方面（如表1所示）。

（二）系統運維審計領域相關控制

系統運維審計領域相關控制是圍繞系統運維活動的一系列程序或機制，它們能夠確保信息系統是根據管理層的應用控制目標運行的，確保運行中發生的問題得到及時的識別和解決，從而保證事務處理的準確性和完整性。系統運維審計領域的相關控制要保證系統的事務處理作業的運行與數據的備份是在受控的環境中執行的，任何運行中產生的異常也會得到及時處理。

系統運維審計領域相關控制的一般要素包括：

1. 對系統運維活動的整體管理；

2. 事務處理活動管理；

3. 問題管理；

4. 機房/數據中心運維管理。

系統運維各階段面臨的財務報表審計相關特定風險，與控制目標、COBIT5模型及常見控制機制的對應關系如下（如表2所示）。

（三）系統運維審計領域控制測試的執行

根據《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》，在風險導向審計模式下，注冊會計師應當根據被審計單位的特定信息技術環境，對財務報表重大錯報風險進行識別，了解并評價與財務報表審計相關的內部控制。

就系統運維審計領域的內部控制而言，識別和了解與企業財務報告相關的內部控制，并確定控制測試的性質、時間安排和范圍通常需要關注以下內容（如表3所示）。

必須指出的是，以上考慮要點并非在任何情況下均適用，也并不能完全涵蓋所有的情況。注冊會計師需要結合被審計單位的信息技術環境和特定風險做出職業判斷。

在執行系統運維審計領域的審計工作時，注冊會計師需要充分考慮其審計發現對企業財務報表審計是否存在直接的影響，并據此評估對財務審計程序的性質、時間安排和范圍的影響。我們將系統運維審計領域常見的

審計發現及其影響列示如下（如表4所示）。

表2 風險與控制目標、 COBIT5模型及常見控制機制的對應關系

表3 確定系統運維審計領域內部控制測試時的考慮

表6 風險與控制目標、COBIT5模型及常見控制機制的對應關系

表7 確定訪問權限審計領域內部控制測試時的考慮

二、訪問權限

（一）訪問權限領域中與審計相關的特定風險

注冊會計師在執行企業財務報表審計時，需要考慮被審計單位的信息系統變更活動可能對財務報表審計工作產生的影響。注冊會計師需要進一步考慮訪問權限管控中與財務報表審計相關的特定風險，主要體現在以下幾個方面（如表5所示）。

（二）訪問權限審計領域相關控制

訪問權限審計領域相關控制是圍繞系統訪問權限的一系列程序或機制，它們能夠確保對應用程序和數據的訪問權限是基于對用戶真實身份的正確認定而賦予的，從而保證事務處理的準確性和完整性。訪問權限審計領域的相關控制要保證，對于程序和數據的訪問是處于有序受控的環境之中。

訪問權限審計領域相關控制的一般要素包括：

1. 對訪問權限活動的整體管理；

2. 應用層面訪問權限管理；

3. 數據層面訪問權限管理；

4. 操作系統層面訪問權限管理；

5.計算機網絡層面訪問權限管理；

表8 訪問權限審計領域常見審計發現及其影響

6. 物理層面訪問權限管理。

訪問權限各階段面臨的財務報表審計相關特定風險，與控制目標、COBIT5模型及常見控制機制的對應關系如下（如表6所示）。

（三）訪問權限審計領域控制測試的執行

根據《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》，在風險導向審計模式下，注冊會計師應當根據被審計單位的特定信息技術環境，對財務報表重大錯報風險進行識別，了解并評價與財務報表審計相關的內部控制。

就訪問權限審計領域的內部控制而言，識別和了解與企業財務報告相關的內部控制，并確定控制測試的性質、時間安排和范圍通常需要關注以下內容（如表7所示）。

必須指出的是，以上考慮要點并非在任何情況下均適用，也并不能完全涵蓋所有的情況。注冊會計師需要結合被審計單位的信息技術環境和特定風險做出職業判斷。

在執行權限審計領域的審計工作時，注冊會計師需要充分考慮其審計發現對企業財務報表審計是否存在直接的影響，并據此評估對財務審計程序的性質、時間安排和范圍的影響。我們將權限審計領域常見的審計發現及其影響列示如下（如表8所示）。

簡 訊

中國注冊會計師行業團委會在京召開

2018年5月4日下午，中國注冊會計師行業團委召開會議，學習貫徹習近平新時代中國特色社會主義思想和黨的十九大精神、習近平總書記在北京大學師生座談會上的重要講話精神，傳達學習團中央有關精神，部署推進2018年行業團建工作。中國注冊會計師行業黨委副書記梁立群同志出席會議并講話，中國注冊會計師行業團委書記馮毅同志主持會議。

會議指出，行業團的工作要以習近平新時代中國特色社會主義思想為指導，認真學習貫徹黨的十九大精神，牢牢把握行業團建工作的階段性特征和時代要求，把握行業團委的功能定位，把握行業團員青年的特點，緊緊圍繞政治性、先進性、群眾性要求，創新方式方法，始終把思想政治建設擺在首位，引導團員青年忠于祖國、忠于人民，立鴻鵠志、做奮斗者，求真學問、練真本領，知行合一、做實干家；始終堅持圍繞和服務中心工作，圍繞促進青年成長成才來開展工作，培養中國特色社會主義事業的建設者和接班人；始終注重機制建設，積極打造行業團建項目品牌和活動開展的長效機制，建立健全與青年切身利益和成長相關的激勵機制，健全行業團建工作抓手，夯實行業團建工作“省級抓、抓省級”的工作機制。

會議審議通過了中國注冊會計師行業團委會議制度和議事規則、委員分工安排、2018年青年文明號開放周活動安排，對下一步工作進行研究部署。