2017年CPA《审计》第一章第五节信息技术对审计的影响高频考点二:信息技术中的一般控制和应用控制测试
信息技术一般控制和应用控制的区分
以开车为例。一般控制就是要求车辆状况良好,包括定期维护保养、换机油、换轮胎、加油等;应用控制就是要求开车人遵守交通规则、不超速、不超载、不撞人。
(1)直观地说,一般控制是针对计算机运行的控制,这种控制的目的是保证计算机本身的正常运转,属于基础性控制。很明显,不论应用控制的内容是什么,如果计算机不能正常运行,难以实现正常的应用控制。
理论上讲,信息系统一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。一般控制的政策和程序与多个应用系统有关,有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性),支持应用控制作用的有效发挥。
一般控制具体包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。
常见的一般控制表现为:数据中心和网络运行控制,系统软件的购置、修改及维护控制,接触或访问权限控制,应用系统的购置、开发及维护控制。一般控制还包括程序改变的控制、限制接触程序和数据的控制、与新版应用软件包实施有关的控制等。
(2)直观地说,应用控制是针对具体业务的控制。即使计算机得以正常运行,如果在针对具体业务进行应用控制时输入的应用程序、数据等不正确,也难以达到控制目的。
理论上讲,信息技术应用控制是指主要在业务流程层面运行的人工或自动化程序,与用于生成、记录、处理、报告交易或其他财务数据的程序相关。
具体而言,应用控制关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制以及与应用控制相对应的手工控制。通常包括检查数据计算的准确性,审核账户和试算平衡表,设置对输入数据和数字序号的自动检査,以及对例外报告进行人工干预。
(1)信息技术一般控制
为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的,对所有的应用控制或控制模板具有普遍影响的控制措施。
(2)信息技术应用控制
(一)信息技术应用控制的含义
信息技术应用控制,是设计在计算机应用系统中的、有助于达到信息处理目标的控制。
(二)信息技术应用控制的环节和要素
1.环节
信息技术应用控制一般要经过输入、处理及输出等环节。
2.要素
和人工控制类似,系统自动控制关注的要素包括:
(1)完整性
(2)准确性
(3)存在和发生等
(3)公司层面信息技术控制
(一)公司层面信息技术控制
除信息技术一般控制和应用控制外,目前国内外企业的管理层也越来越重视公司层面的信息技术控制管理。
(二)常见公司层面的信息技术控制
1.信息技术规划的制定;
2.信息技术年度计划的制定;
3.信息技术内部审计机制的建立;
4.信息技术外包管理;
5.信息技术预算管理;
6.信息安全和风险管理;
7.信息技术应急预案的制定;
8.信息系统架构和信息技术复杂性。
(4)信息技术一般控制、应用控制与公司层面控制三者之间的关系
(一)总体关系(重点)
1.公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调;
2.信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
(二)公司层面信息技术控制代表了公司信息技术控制的整体环境(重点)
1.公司层面信息技术控制要素
公司层面信息技术控制情况代表了该公司信息技术控制的整体环境,包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等。
(三)注册会计师需要了解公司的信息技术整体控制环境(重点)
根据目前信息技术审计的业内**实践,注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。
(四)信息技术一般控制的缺陷影响信息技术应用控制
1.编辑检查功能的信息技术一般控制的缺陷
如果在带有关键的编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。
例如,程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,以至于系统接受不准确的录入数据。
2.安全和访问权限信息技术一般控制的缺陷
与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查原本应能使系统拒绝处理金额超过**容差范围的支付操作。
- 赞56
