查看匯總:2013注冊(cè)會(huì)計(jì)師考試《審計(jì)》基礎(chǔ)講義匯總
第三節(jié) 信息技術(shù)內(nèi)部控制審計(jì)
一�、與信息技術(shù)相關(guān)的控制
在信息技術(shù)環(huán)境下,傳統(tǒng)的手工控制越來越多地被自動(dòng)控制所替代�,能為企業(yè)帶來很多好處。
同時(shí)��,對(duì)自動(dòng)控制的依賴也可能給企業(yè)帶來下列重大錯(cuò)報(bào)風(fēng)險(xiǎn):
1.信息系統(tǒng)或相關(guān)系統(tǒng)程序可能會(huì)對(duì)數(shù)據(jù)進(jìn)行錯(cuò)誤處理,也可能會(huì)去處理那些本身就錯(cuò)誤的數(shù)據(jù);
2.自動(dòng)信息系統(tǒng)����、數(shù)據(jù)庫(kù)及操作系統(tǒng)的相關(guān)安全控制如果無效,會(huì)增加對(duì)數(shù)據(jù)信息非授權(quán)訪問的風(fēng)險(xiǎn);
3.數(shù)據(jù)丟失風(fēng)險(xiǎn)或數(shù)據(jù)無法訪問風(fēng)險(xiǎn)���,如系統(tǒng)癱瘓;
4.不適當(dāng)?shù)娜斯じ深A(yù)����,或人為繞過自動(dòng)控制��。
因此�,被審計(jì)單位采用信息系統(tǒng)處理業(yè)務(wù),并不意味著手工控制被完全取代�,信息系統(tǒng)對(duì)控制的影響,取決于企業(yè)對(duì)信息系統(tǒng)的依賴程度���。
二�����、信息技術(shù)內(nèi)部控制審計(jì)
(一)信息技術(shù)一般性控制審計(jì)
信息技術(shù)一般控制通常會(huì)對(duì)實(shí)現(xiàn)部分或全部財(cái)務(wù)報(bào)表認(rèn)定做出間接貢獻(xiàn)���。
有效的信息技術(shù)一般控制確保了應(yīng)用系統(tǒng)控制和依賴計(jì)算機(jī)處理的自動(dòng)會(huì)計(jì)程序得以持續(xù)有效地運(yùn)行。
信息技術(shù)一般控制包括程序開發(fā)��、程序變更���、程序和數(shù)據(jù)訪問以及計(jì)算機(jī)運(yùn)行等四個(gè)方面����。由于程序變更控制���、計(jì)算機(jī)操作控制及程序數(shù)據(jù)訪問控制影響到系統(tǒng)驅(qū)動(dòng)組件的持續(xù)有效運(yùn)行����,注冊(cè)會(huì)計(jì)師需要對(duì)上述三個(gè)領(lǐng)域?qū)嵤┛刂茰y(cè)試�。
注意:
如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)應(yīng)用控制、自動(dòng)會(huì)計(jì)程序��、或依賴系統(tǒng)生成信息的控制時(shí)�����,他們就需要對(duì)相關(guān)的信息技術(shù)一般控制進(jìn)行驗(yàn)證��。
(二)信息技術(shù)應(yīng)用控制審計(jì)
信息技術(shù)應(yīng)用控制一般要經(jīng)過輸入�、處理及輸出等環(huán)節(jié)��,與手工控制一樣�,自動(dòng)系統(tǒng)控制同樣關(guān)注信息處理目標(biāo)的四個(gè)要素:完整性�、準(zhǔn)確性、經(jīng)過授權(quán)和訪問限制����。然而,自動(dòng)系統(tǒng)控制造成的影響程度比信息技術(shù)一般控制要顯著的多���,并且需要進(jìn)一步的手工調(diào)查����。另外�,所有的自動(dòng)應(yīng)用控制都會(huì)有一個(gè)手工控制與之相對(duì)應(yīng)。
注意:
理論上����,在測(cè)試的時(shí)候,每個(gè)自動(dòng)系統(tǒng)控制都要與其對(duì)應(yīng)的手工控制一起進(jìn)行測(cè)試�,才能得到控制是否可信賴的結(jié)論。
1.完整性
(1)順序標(biāo)號(hào)�����,可以保證系統(tǒng)中每筆日記賬都是唯一的,并且系統(tǒng)不會(huì)接受相同編號(hào)���,或者在編號(hào)范圍外的憑證。此時(shí)�,需要系統(tǒng)提供一個(gè)沒有編號(hào)憑證的報(bào)告,如果存在例外��,需要相關(guān)人員進(jìn)行調(diào)查跟進(jìn)����。
(2)編輯檢查,以確保無重復(fù)交易錄入���,比如發(fā)票付款的時(shí)候���,檢查發(fā)票編號(hào)。
2.準(zhǔn)確性
(1)編輯檢查����,包括限制檢查��、合理性檢查����、存在性檢查和格式檢查等。
(2)將客戶�����、供應(yīng)商�、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。
3.授權(quán)
(1)交易流程中必須包含恰當(dāng)?shù)氖跈?quán)�。
(2)將客戶、供應(yīng)商�����、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較���。
4.訪問限制
(1)對(duì)于某些特殊的會(huì)計(jì)記錄的訪問�����,必須經(jīng)過數(shù)據(jù)所有者的正式授權(quán)�����。管理層必須定期檢查系統(tǒng)的訪問權(quán)限來確保只有經(jīng)過授權(quán)的用戶才能夠擁有訪問權(quán)限����,并且符合職責(zé)分離原則。如果存在例外����,必須進(jìn)行調(diào)查。
(2)訪問控制必須滿足適當(dāng)?shù)穆氊?zé)分離(比如����,交易的審批和處理必須由不同的人員來完成)�。
(3)對(duì)每個(gè)系統(tǒng)的訪問控制都要單獨(dú)考慮。密碼必須要定期更換����,并且在規(guī)定次數(shù)內(nèi)不能重復(fù);定期生成多次登錄失敗導(dǎo)致用戶賬號(hào)鎖定的報(bào)告,管理層必須跟蹤這些登錄失敗的具體原因�����。
三����、信息技術(shù)應(yīng)用控制與信息技術(shù)一般控制之間的關(guān)系
應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的、有助于達(dá)到信息處理目標(biāo)的控制���。如果帶有關(guān)鍵的編輯檢查功能的應(yīng)用系統(tǒng)所依賴的計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷�,注冊(cè)會(huì)計(jì)師可能就不能信賴上述編輯檢查功能按設(shè)計(jì)發(fā)揮作用。
【例題·單選題】下列有關(guān)信息技術(shù)內(nèi)部控制審計(jì)的表述中�,不正確的是( )。
A.自動(dòng)化控制下�,也會(huì)給企業(yè)帶來一些財(cái)務(wù)報(bào)表的重大錯(cuò)報(bào)風(fēng)險(xiǎn)
B.對(duì)信息技術(shù)下內(nèi)部控制的審計(jì),注冊(cè)會(huì)計(jì)師需要從信息技術(shù)的一般控制和應(yīng)用控制兩方面進(jìn)行
C.信息技術(shù)的一般控制通常能對(duì)實(shí)現(xiàn)信息處理目標(biāo)和財(cái)務(wù)報(bào)表認(rèn)定做出直接貢獻(xiàn)
D.信息技術(shù)應(yīng)用控制一般要經(jīng)過輸入����、處理及輸出等環(huán)節(jié),自動(dòng)系統(tǒng)控制關(guān)注信息處理目標(biāo)包括:完整性���、準(zhǔn)確性����、經(jīng)過授權(quán)和訪問限制
『正確答案』C
『答案解析』信息技術(shù)一般控制通常會(huì)對(duì)實(shí)現(xiàn)部分或全部財(cái)務(wù)報(bào)表認(rèn)定做出間接貢獻(xiàn)�。有些情況下,信息技術(shù)一般控制也可能對(duì)實(shí)現(xiàn)信息處理目標(biāo)和財(cái)務(wù)報(bào)表認(rèn)定做出直接貢獻(xiàn)���。
相關(guān)推薦:
2013注冊(cè)會(huì)計(jì)師《經(jīng)濟(jì)法》基礎(chǔ)講義
2013注冊(cè)會(huì)計(jì)師《稅法》基礎(chǔ)講義
