信息系統應用控制審計（下）

本文繼續探討信息系統應用控制審計的相關內容，主要闡述注冊會計師對信息系統應用控制的了解和識別，以及應用控制測試的原則和方法。

一、信息系統應用控制的了解和識別

應用控制從本質上來看，屬于企業內部控制的一種特殊形態，即應用控制是被賦予了系統參與完成屬性的一類內部控制。因此，了解和識別應用控制的基本方法和過程與其他內部控制是一致的。應用控制的了解和識別是伴隨著整個內部控制的了解和識別的完成而完成的。

注冊會計師一般通過對業務流程/循環端到端的了解來了解和識別被審計單位的內部控制（包括應用控制）。因此，要了解和識別被審計單位有哪些具體的應用控制，注冊會計師在詳細審計計劃階段需要完成的一項工作是進行業務流程/循環端到端的了解。在了解過程中，逐步識別穿插其中的應用控制。

業務流程/循環端到端的了解，顧名思義，就是從該業務流程/循環的起始點到結束的整個過程的了解。例如，對于銷售循環端到端的了解包括從銷售策略、銷售定價與折讓、銷售訂單、賒銷信用、發貨、開具賬單、記錄銷售、收款、銷售退回、壞賬處理的完整流程。

在財務報表審計中，進行業務流程/循環的端到端的了解有兩個目的：

1.通過從始至終的流程了解，識別企業潛在錯報風險來源，從而幫助注冊會計師執行更有針對性的審計策略和程序；

2.在業務流程的全程了解中，識別其中的內部控制并初步評估內部控制的設計是否有效。

在了解和識別過程中，注冊會計師通常會用到各種實現工具和記錄方式來輔助該階段工作的完成。恰當的實現工具和記錄方式不僅有助于提高審計質量，對于審計效率和效果的提升也是有著舉足輕重的作用。在此，我們僅列舉在此審計階段所使用的一些常用方式。

（一）流程描述文檔（Narrative）

在了解端到端的業務流程/循環過程中，注冊會計師可以通過流程描述文檔詳細記錄被審計單位的業務流轉過程，通過文檔梳理出流程的詳細過程和細節。通過業務流程描述文檔，注冊會計師可以清楚的梳理出被審計單位從始至終的完整流程，有助于發現和識別其中的風險點及應對。這種文檔沒有固定的格式要求，常見的流程描述文檔以Word文本方式進行記錄。

（二）流程圖（Flow Chart）

流程圖是一種與流程描述文檔配套的圖形化記錄方式，注冊會計師可以使用流程圖的方式分解流程的層次結構，如一級流程圖、二級流程圖和三級流程圖，記錄業務流程中的各個流程、控制活動及相關風險。一份完整的流程圖通常包括圖例說明、流程總覽、子流程幾個部分。對于子流程，通常會記錄流程中的流程所有者，流程內容，實現方式，流程編號等。對于控制活動，與流程記錄的要素基本相同，最大的區別在于，控制活動與風險相應而生，因此，控制活動與風險在圖中往往成對出現。常見的流程圖以Visio方式完成。

（三）風險控制矩陣（Risk &Control Matrix）

風險控制矩陣，顧名思義就是風險和控制組成的一個矩陣式表格。這一表格列式了一個流程/子流程中的風險點及應對（控制）。這個表格往往和流程圖配套使用。

通常情況下，風險控制矩陣主要包括子流程、風險編號、風險描述、控制目標、控制編號、控制描述、控制頻率、控制類型、財務報表對應科目/交易、信息處理目標、財務報表認定等關鍵要素。通過這個矩陣，注冊會計師可以很清楚的看出各個業務流程中的內部控制點及對應的財務報表科目，并根據該控制點所應對的風險、實現的信息處理目標及與財務報表認定之間的關系，評估被審計單位是否對相關風險點建立了足夠的內控應對機制，以確保該科目/交易的相關認定目標的實現。

矩陣中所列的控制點即為應用控制的具體內容。需要再次強調的是，應用控制是屬于內部控制體系的一部分。應用控制是實現方式有系統參與的內部控制。因此應用控制具體控制點的了解和識別工作是伴隨著審計過程中的各個業務流程中內部控制的了解和識別工作的完成而完成的。因此，如果在規劃階段經評估結論是需要在該審計項目中引入信息技術專家，則在本階段業務流程端到端的了解及應用控制的了解及識別過程中，需要信息技術專家的參與注冊會計師共同完成這項工作，以確保對于系統應用控制的準確了解及識別。

表1 收入與應收賬款流程常見應用控制示例

以上列舉的在了解和識別應用控制的過程中使用的記錄方式是比較常見的一些輔助手段。經過長期的審計實踐證明，這些記錄方式對審計效率和效果的提升有著顯著的作用。表1以收入與應收賬款流程為例，舉例說明一些常見的應用控制。

需要說明的是，以上列舉的控制活動不一定對所有企業都是適用的。對應用控制的了解和識別結果是因企業而異的。注冊會計師需要把握了解和識別應用控制的方法，并在審計過程中靈活運用，才能完全回答“做什么”的問題。

二、應用控制測試的原則和方法

應用控制和手工控制具有共同點，他們都屬于內部控制，因此兩者適用于通用的控制測試原則和方法。另一方面，應用控制與手工控制相比，又具有其獨特性：應用控制是依賴于信息系統實現的控制活動。在信息系統一般控制持續有效的前提下，應用控制因為少有人工干預和判斷而具有持續有效性、穩定性和連貫性。因此，這一特點又賦予了應用控制測試原則和方法的獨特性。本文將著重闡述因應用控制測試的獨特性而導致的應用控制測試與一般人工控制測試不同的方面和關注點。

由于應用控制的獨特性是建立在一般控制有效的基礎之上的，因此應用控制的持續有效運行與信息系統一般控制是否有效具有直接關系。信息系統一般控制、信息系統整體控制環境以及兩者的審計發現都會對應用控制的測試方法產生影響。因此，在應用控制審計執行的方法介紹中，我們將考慮這些因素對測試方法的影響分別進行闡述。

（一）自動控制和自動計算測試

對于自動控制和系統自動計算而言，注冊會計師需要通過一定的審計程序驗證控制的有效性和計算的正確性。由于系統處理的內在一致性，自動控制和自動計算一般都按照預期的方式持續有效運行，除非相關程序在審計期間發生過變更或者系統一般控制無效。

如果需要確認自動控制按預期的方式運行，注冊會計師需要考慮執行相關的控制測試以確保控制持續有效運行，這樣的測試可能包括：

1. 程序變更都受制于恰當的程序變更控制；

2. 授權的程序版本被用于交易的處理；

3. 其他的系統一般控制有效。

在系統一般控制有效的前提下，自動控制和自動計算的測試方法有很多，通常包括以下5種：

1. 執行穿行測試。在相關交易流程的穿行測試過程中，通過足夠的詢問、觀察、檢查和/或重新執行程序獲取審計證據。對于自動控制和自動計算而言，同手工控制一樣，執行穿行測試的方法往往是結合詢問、檢查和重新執行來驗證控制的有效性和計算邏輯的正確性。需要注意的是，對于自動控制和自動計算而言，在執行穿行測試的過程中，務必要保證各種重要場景的全覆蓋。因此，在進行測試前，注冊會計師需要通過多方詢問、檢查等手段先對控制和計算的場景進行了解，獲取全局觀之后選擇具有重要性的和審計相關的場景進行驗證。

2. 現場運行測試樣本。在程序中運行一個樣本，然后比對系統運行結果與預期的一致性。這種測試方法有點類似于穿行測試。注冊會計師通過現場運行一個虛擬的交易或者實時跟蹤一個真實交易，將系統運行的結果與注冊會計師預期進行比對。這種測試方法與第一種方法的最大區別在于，穿行測試一般選擇的是歷史樣本并追蹤其系統處理。而該測試方法一般是用于現場實時運行相關的控制和自動計算。

3. 進行模擬測試。對真實數據運行注冊會計師獨立編寫的腳本或程序，將輸出與系統運行結果進行比對。這種方法比較常用在系統自動計算的驗證上，也適用于后面將要闡述的報表準確性及完整性驗證。對于被審計單位來說，系統的某一套自動計算程序可能服務于多個業務和財務目的，因此，其計算邏輯通常比較復雜龐大。但是對于注冊會計師來說，我們關注的通常只是和審計相關的計算邏輯和結果，因此，在充分評估了業務邏輯的合理性之后，具備充分專業技能的注冊會計師可以獨立編寫腳本或程序，對真實源數據運行該腳本和程序，然后比對該代碼運行結果與被審計單位設定的系統邏輯運行下的結果。

4. 評估系統程序邏輯。注冊會計師通過檢查應用系統配置，訪談程序開發人員，查看源代碼等審計方法評估程序設置的合理性，從而達到驗證自動控制和計算的目的。注冊會計師在使用這種方式進行驗證的時候，往往伴隨著確保系統配置或代碼的訪問權限的賦予是否合理。對于這些配置和代碼的修改在審計期間是處于受控的狀態。在此前提下，才能確保注冊會計師在審計現場看到的配置或代碼能適用于整個審計期間。

5. 執行實質性測試。通過實質性程序將自動控制和計算的結果核對至源文件，或者將結果與獨立可靠來源的數據進行核對。這種方法比較常用于自動計算和報表驗證。例如，在測試賬齡表的準確性時，注冊會計師可以將應收賬齡表上的數據與函證結果進行比對，或者是將報表數據追溯至銷售發票。

以上5種測試方法較多驗證的是自動控制和自動計算的邏輯正確性，注冊會計師在測試自動控制和計算的運行有效性時，還需要綜合考慮其他方面的風險因素，例如：

1.自動控制和計算應用的源數據是否正確。注冊會計師需要確保系統自動控制和計算應用于了正確可靠的數據來源，這個往往通過錄入控制來保證。

2.相關控制和計算的訪問權限，特別是修改是否進行了足夠的限制。

以上是在有信息系統一般控制審計證據支撐下的審計方法。如果缺乏有效的信息系統一般控制或者信息系統一般控制有限，注冊會計師需要使用其他更有效果和效率的測試方法，例如：

1.獲取審計證據證明應用控制自從上次測試以來沒有發生過變化；

2.使用計算機輔助審計技術重新運行自動控制和計算或者在審計期間以較高的頻率比對程序代碼；

3.評估內在風險因素和控制風險因素，如程序變更的次數和復雜度是否都較低；

4.在審計期間以更多的頻次使用前面提到的5種測試方法進行相關控制和計算的驗證工作。

（二）報表

系統報表是系統生成的符合一定業務邏輯的數據集合。通常被用于執行相關的控制或者用于下一步實質性程序。因此，如果這些報表和數據出現錯誤會導致后續的控制無效和實質性測試結果的不準確或者不完整。

注冊會計師執行報表測試的性質和程度取決于職業判斷。通常注冊會計師需要考慮的因素列舉如下：

1.需要從控制或實質性程序獲得的審計證據水平；

2.相關FSLIs的重大錯報風險；

3.控制有效運行或實質性測試設計對報表/數據完整性和準確性的依賴程度；

4.報表/數據的性質、類型、來源及復雜度；

5.以前年度的審計經驗，如以前年度的控制缺陷，控制環境的變化等；

6.應用系統的復雜度。

對于報表測試，注冊會計師的目標是保證報表準確、完整地歸集、處理和展示了系統中的數據。報表在系統中的生成過程大致可以分為數據歸集、邏輯加工、報表展示三個階段。從報表生成過程，要保證最終生成的報表正確與否，我們需要回答3個問題：

1.錄入系統的源數據是不是完整準確（“源頭對嗎”）；

2.系統是不是完整準確地處理了相關源數據（“過程對嗎”）；

3.系統生成的報表的可編輯性（“結果可改嗎”）。

（三）訪問控制

訪問控制需要確保兩個層面的內容：一是權限設計的合理性；二是權限賦予的合理性。注冊會計師在進行訪問控制測試和驗證的過程中，也需要對這兩方面執行相應的審計工作。對于驗證權限設計的合理性，注冊會計師主要關注的權限設計的粒度是否滿足了風險管理的需求并且名符其實；對于驗證權限賦予的合理性，注冊會計師主要關注的是權限是否賦予給了合適的人員，是否有冗余權限的賦予，權限賦予的結果是否實現了敏感權限的職責分離。

對于訪問控制，注冊會計師通常需要執行以下審計程序：

1.詢問權限設計和管理人員，了解被審計單位權限設計及賦予規則和方法。企業可能是直接將權限賦予給賬號，也可能設計了一定的角色，將權限賦予給角色，然后將角色賦予給賬號。注冊會計師在進行訪問控制驗證的過程中，首先清楚了解被審計單位的權限設計及賦予規則是十分必要的。

2.對于選定進行測試的訪問權限，查看系統中的權限設計和配置，確認系統中權限設計和配置是正確的。

3.進行權限賦予的合理性驗證。

如果在審計期間，沒有執行信息系統一般控制，或者經過審計驗證，發現信息系統一般控制無效，則注冊會計師就無法通過一次訪問控制的測試工作獲取審計信心了。此時，注冊會計師需要評估相關的控制缺陷對訪問控制的影響，并選擇替代性應對程序。

（四）系統接口

對于接口而言，我們要保證的是數據完整準確的從源系統傳遞到了目標系統以及接收數據的有效性，并且在傳輸中的任何問題能夠被及時的發現和跟進。

接口控制可以是依賴于系統的手工控制完成，例如，數據的完整性驗證可能是手工方式進行核對；也可以是自動控制完成，例如，系統通過批處理任務定時將數據從源系統傳輸至目標系統。

對于接口測試，注冊會計師通常需要驗證以下幾個方面來獲取相關的審計信心：

1.訪問限制：僅受限的人員/賬號可以對接口程序進行訪問和修改。常見的控制手段如，僅授權的系統開發人員可以對接口進行變更，且變更上線權限僅授權給合適的人員。

2.完整性驗證：系統如何確保數據完整地從源系統傳輸到了目標系統。常見的控制手段如，系統自動計算傳輸數據的控制總數，并與源系統進行比對，確保數據傳輸的完整性。

3.準確性驗證：即系統如何確保數據準確地從源系統傳輸到了目標系統。常見的控制手段如，系統自動設置校驗位，對于傳輸數據的準確性進行自動校驗。

4.重復傳輸驗證：系統如何避免數據的重復傳輸，這其實是完整性驗證的一部分，因為其在接口控制中較為重要和常見，因此單列進行驗證。常見的控制手段如，傳輸數據中存在標志位，對于已經傳輸成功的數據設置標志位，系統自動拒絕接受已經成功傳輸的數據。

5.有效性驗證：系統如何確保傳輸數據的有效性。常見控制手段如，目標系統的編輯檢查，確保系統僅接受預先定義的源系統數據。

6.傳輸及時性：系統如何確保數據在正確的時間期間傳輸了數據。常見的控制手段如，系統存在自動檢查，對于不成功的數據傳輸，及時進行補傳，直至成功為止。

7.變更控制：系統接口的變更是經過了充分得授權、測試并滿足實際業務需求的。這部分的驗證工作通常在信息系統一般控制的測試過程中涵蓋完成。

8.傳輸監控及異常處理：即被審計單位如何確保數據在傳輸過程中的任何問題得到了及時發現和跟進。

（五）對測試時間的考慮

一般而言，由于系統審計需要持續一段時間，并且考慮到各個被審計單位的實際情況，注冊會計師不太可能正好在審計期間的結束之日執行并完成系統審計工作。通常情況下，審計測試的時間大致落在以下兩個區間：

1.審計期間結束日之前,

2.審計期間結束日之后。

因此，如何保證整個審計期間的應用控制均按照企業設定的方式有效運轉，注冊會計師必須要執行相應的審計程序：

1.在審計期間結束日之前完成測試工作：注冊會計師需要確保審計測試日至審計期間結束日之間的應用控制運行的有效性。通常的考慮因素包括：

（1）以上兩個日期之間信息系統一般控制的有效性；

（2）以上兩個日期之間該應用控制是否發生過變動；

（3）如果發生過變動，需要驗證變動后的應用控制設計及執行有效性。

2.審計期間結束日之后完成測試工作：注冊會計師需要確保審計期間結束日之后進行測試的應用控制能合理反映審計期間該應用控制的設計及運行情況。通常的考慮因素包括：

（1）以上兩個日期之間信息系統一般控制的有效性；

（2）以上兩個日期之間該應用控制是否發生過變動；

（3）如果發生過變動，需要驗證變動前的應用控制設計及執行有效性。

總之，注冊會計師在進行應用控制驗證過程中，需要密切關注信息系統一般控制的有效性及其缺陷對應用控制的影響，在充分評估一般控制驗證結果的基礎上，設計足夠的審計程序和方法，以確保整個審計期間該應用控制能夠實現預先設定的控制目標。