信息系統應用控制審計（上）

行業信息化專題

在審計計劃階段，注冊會計師通過對擬依賴的信息系統應用控制和數據進行初步了解和識別，以輔助于審計范圍和審計計劃的確定。需要強調的是，信息系統應用控制范圍的確定是一個由淺入深的過程，在審計初步計劃階段，注冊會計師獲取的只是應用控制的初步范圍，詳細審計范圍的確定需要在詳細審計計劃階段和審計執行初期，通過資深注冊會計師對各業務流程進行端到端的了解過程才能逐步確定。因此，應用控制審計是一個循序漸進的過程，很難將審計計劃階段和執行階段完全割裂開來。隨著審計活動的深入，審計范圍及計劃往往伴隨著修正和更新，以確保審計效果的優化和效率的提升。

一、應用控制的類型

應用控制（Application Controls）指的是企業內部控制系統中與系統相關的業務層面控制。應用控制具備以下兩方面的特征：

（1）應用控制或多或少是在信息系統的參與下完成的；

（2）應用控制是存在于業務流程或交易層面和過程中的內部控制。

常見的信息系統應用控制包括以下幾種基本類型：（1）自動控制；（2）系統報表；（3）自動計算；（4） 訪問控制；（5）系統接口。

下面分別對這幾種應用控制類型進行詳細解釋及闡述。

（一）自動控制

系統自動控制是通過計算機應用系統后臺邏輯或參數設置強制執行的控制。系統自動控制由于是系統自動實現的，少有人為干預而具有高度的一致性和穩定性。一旦設定成功，在系統沒有發生變更并且運行維護正常的情況下，往往能持續地保證該功能和控制的正常有效運行。

例如，在采購過程中的三單匹配控制。系統自動進行采購、收貨和付款三單匹配操作，符合系統設定邏輯的匹配才能順利通過到下一步操作處理，否則系統提出警告生產例外數據報告或拒絕操作的下一步流轉。

（二）系統報表

系統報表是指通過程序設定由系統自動進行信息歸集、邏輯處理和展示的符合一定邏輯的數據集合。系統報表可以通過前臺應用界面或基于web的網頁進行展示，也有部分企業的報表是通過批處理程序從后臺運行得出的。這些報表通常被用于執行手工控制或進行下一步業務流程操作使用，從而直接或間接成為財務報表上數字的來源或支撐。

例如，典型的系統報表是例外報告。對于順序編號的文檔，系統將丟失的或者重復的文件編號，自動生成一份例外報告數據，用于后續手工跟進解決。這里的例外報告就是一份系統生成報表。

（三）自動計算

系統自動計算是指通過系統程序按照預先設定的邏輯由程序自動完成的計算、分類、預測等業務處理過程。

自動計算這一應用控制的有效設計和運行往往涉及到其他應用控制（如自動控制和訪問控制）設計及運行的有效性。注冊會計師在擬依賴相關計算的時候需要綜合考慮，防止某一環節的設計或運行不當導致自動計算的失效。

（四）訪問控制

信息系統訪問控制即保證系統由合適的人進行合適的操作，從而確保系統按照設定的方式運轉的應用控制。讓合適的人對系統做合適的事就是我們所說的訪問控制。也就是說，訪問控制約束的是人和系統的交互。人與系統交互是通過一定的賬號和權限來實現的，因此這個過程需要通過系統賬號和權限設定來實現。要實現這樣的預期，實際上涉及到兩個層面的問題：

一是系統中權限的設計問題。即系統的權限設計能幫助訪問者正確實現操作功能。權限設計一般需要滿足以下條件：（1）實現必要的權限要素/單元的定義和分割，符合最小權限要素/單元原則。（2）權限設計正確，符合業務預期。（3）對相互沖突的權限進行了職責分離。

二是權限賦予問題，即“讓正確的人做正確的事”。權限賦予的正確性包括下列含義：（1）將正確的權限賦予給了正確的崗位以確保權限與崗位職責相符。（2）權限賦予要符合“知所必需”的原則，防止賦予過多不必要的權限。（3）權限賦予實現了職責分離的要求，避免將沖突權限賦予給同一個賬號。

（五）系統接口

系統接口是系統之間的信息交互渠道。數據從源系統通過一定的通道（如應用系統層、數據庫層、操作系統層和網絡層等）流轉到目標系統，這個過程就是系統接口實現的功能。如果把系統比喻成城市的話，系統接口就相當于城市之間的道路、橋梁等交通基礎設施，幫助各個城市間的資源流轉和交互。

在信息技術高速發展的今天，一個企業只使用一個單一的信息系統，即所謂的信息孤島的情形已經比較少見，取而代之的是各種高內聚，低耦合的不同系統在企業運營的中高頻次進行著各種實時、半實時或定時的信息交互，對實現信息的增值和企業正常高效運作起到的至關重要的作用。如何保證系統接口傳遞的信息/數據的準確性和完整性，自然成為了企業管理者和注冊會計師要考慮的一個重要議題。

以上就是應用控制的5種基本類型。接下來，我們將進一步闡述應用控制能實現哪些信息處理目標，這些目標與財務報表認定之間存在何種關系的問題。

二、信息處理目標

信息處理目標（Information processing objectives）是一套與控制相關的管理層目標體系。這一套目標體系為業務層面控制活動設計有效性的評估提供了有用的框架。對于各個業務流程及相關的交易流而言，控制活動的設計和執行需要能確保經授權的交易被準確完整地記錄和處理，并且一旦記錄處理完成，能避免被非授權地修改，如此才能達到業務按管理層預期方式運行的效果。

表1 信息處理目標

表3 準確性常見控制技術舉例

表4 有效性常見控制技術舉例

由于信息處理目標是業務層面交易控制目標，因此，這套目標僅適用于業務層面的控制活動。在系統審計中，信息處理目標與應用控制相關。由于信息系統一般控制活動不是業務流程或交易層面的控制，因此，信息處理目標與信息系統一般控制不相關。

（一）信息處理具體目標

具體而言，信息處理目標可以概括為四個目標（如表1所示）。

對于四個信息處理目標（CAVR），企業有一些常見的控制技術來確保相關信息處理目標的實現。下面，分別進行舉例。

1. 完整性常見控制技術舉例（如表2所示）。需要說明的是，完整性相關的這些控制技術需要管理層及時復核并跟進異常情況，以確保控制執行的有效性。

2. 準確性常見控制技術舉例（如表3所示）。在很多完整性控制技術中，這些控制技術在提供完整性保證的同時，也提供了準確性。例如，批量匯總，自動匹配，逐一檢查等。

3. 有效性常見控制技術舉例（如表4所示）。

4. 訪問限制常見控制技術舉例（如表5所示）。

（二）信息處理目標的應用

當注冊會計師計劃依賴財務報表業務流程中的相關控制的時候，簡單的識別和測試與信息處理目標中的某一個特定目標相關的控制活動是不夠的，注冊會計師需要確保在這個業務流程或子流程中，四個信息處理目標都需要被達成。

如果在信息處理的某一個階段，某一信息處理目標沒有被實現，那么在后續的業務過程中產生的數據和信息可能是不可靠的。這些數據和信息可能反映的是沒有發生的、不完整的、或者是邏輯不準確的交易和事件，也可能反映的是不存在的資產或負債。

控制技術具體闡述管理層定期核對文件總數與獨立維護的控制總數以確保沒有發生未經授權的修改。控制總數可能是手工維護的一個清單，例如，手工記錄的總賬中的AR余額與AR系統中的應收金額的比對。例外報告（Exception Report）數據安全（Data Security）大部分的業務數據都儲存在一定的數據環境中（如數據文件，數據庫或云）。一般而言，數據安全作為系統一般控制的一部分進行測試，但是，注冊會計師需要注意將一般控制測試的內容與特定業務目的數據安全進行關聯，以確保特定數據的訪問安全。文件核對（File Reconciliations）例外報告在完整性，準確性中都有廣泛使用，這一控制技術在訪問限制中也可以被使用。例如，一份主數據修改的報告可以被用于管理層復核，以便于確認主數據的沒有被非授權的修改。

信息處理目標 財務報表認定完整性（Completeness） 完整性，截止，存在和發生，分類準確性（Accuracy） 準確性，計價和分攤有效性（Validity） 存在和發生，權利和義務訪問限制（Restrict Access） 除了權利和義務以外，可能大部分相關

注冊會計師需要考慮驗證交易的有效性；數據錄入和處理的完整性和準確性；在錄入、處理和記錄過程中的訪問限制。評估實現某一信息處理目標的控制活動缺失是否可能造成的財務報表重大錯報。

一旦注冊會計師認定控制活動的設計可以合理應對相關的風險且控制被執行，注冊會計師就可以選擇業務層面的相關控制以測試其運行有效性，并考慮這些控制能為哪些財務報表認定提供審計證據了。

（三）信息處理目標與財務報表認定的關系

信息處理目標對財務報表的認定實現是至關重要的。如果保證信息處理目標的控制活動是有效的，注冊會計師需要判斷這些控制活動能為哪些財務報表認定提供審計證據。

與控制活動與財務報表認定的關系類似，一個控制活動可能可以實現多個信息處理目標，一個信息處理目標也可能由多個控制活動來實現。

那么，信息處理目標與財務報表認定之間是什么關系呢？盡管信息處理目標看上去和財務報表認定很類似，但是他們之間不是一對一的關系，而且這兩套體系的使用目的是不同的。信息處理目標是用于評估控制活動設計的有效性，特別是業務流程中的應用控制。而財務報表認定是用于管理層對于財務報表公允表達的陳述。

表6列式了信息處理目標和財務報表認定之間的對應關系。

從表6不難發現，訪問限制對于財務報表認定具有最為廣泛的影響。因為很多的認定的達成都取決于該目標的實現。例如，滿足存貨的存在和發生認定會取決于內控設計中的存貨物理保護。再如，存貨的計價和分攤認定在存貨成本表沒有被合理限制訪問的時候將無法達成。

在審計工作底稿中，明確記錄信息處理目標并非是必須的。這些信息的記錄將有助于幫助注冊會計師對于業務層面控制設計有效性的判斷。因此，注冊會計師在業務流程和相關子流程的記錄中通常會包括該信息。