企业内部控制审计工作底稿编制指南（2011）-信息系统控制的测试

注册会计师在确定审计策略时，需要结合被审计单位

等五个方面，对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比，在具体评估复杂度时，可以从以下几个方面予以考虑。

一、评估业务流程的复杂度（比如销售流程、薪酬流程、采购流程等）

对业务流程复杂度的评估并不是一个纯粹客观的过程，而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素，对业务流程复杂度作出适当判断：

二、评估信息系统的复杂度

与评估业务流程的复杂度相类似，对企业信息系统复杂度的评估也不是一个纯粹客观的过程，评估过程包含大量的职业判断，也受到所使用系统类型（如商业软件或自行研发系统）的影响。

具体来说，评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围，以及企业化程度（对出厂标准配置的变更、变更类型，例如，是仅为报告形式的变更还是对数据处理方式的变更）。

而对于自行研发系统复杂度的评估，应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果，以及系统变更之后的系统运行情况及运行期间。同时，还需要考虑系统生成的交易数量、信息和复杂计算的数量，包括：

（1）被审计单位是否存在大量交易数据，以至于用户无法识别并更正数据处理错误；

（2）数据是否通过网络传输，如EDI；

（3）是否使用特殊系统，如电子商务系统。

三、信息技术环境的规模和复杂度

评估信息技术环境的规模和复杂度，主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式（如本地登录或远程登录）。信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。

在具体审计过程中，注册会计师除了考虑以上所提及的复杂度外，还需要充分考虑系统在实际应用中存在的问题，评价这些问题对审计范围的影响：

（1）管理层如何了解并应对与IT相关的问题；

（2）系统功能中是否发现严重问题或不准确成分，如果是，是否存在可以绕过的程序（如自行修复程序等）；

（3）是否发生过信息系统运行出错、安全事件或对固定数据的修改等严重问题，如果是，管理层如何应对这些问题，以及管理层如何确保这些问题得到可靠解决；

（4）内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题；

（5）报告中提及的最普遍的系统问题是什么。

本章附录6-1提供了重大业务流程和信息系统匹配表。

第二节 与信息技术相关的控制

在信息技术环境下，传统的手工控制越来越多地被自动化控制所替代，概括地讲，自动控制能为企业带来以下好处：

（1）自动化控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法；自动化控制比较不容易被绕过；

（3）自动信息系统、数据库及操作系统的相关安全控制功能可以实现有效的职责分离；

（4）自动信息系统可以提高信息的及时性、准确性，并使信息更易被获取；

（5）自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

同时，对自动化控制的依赖也可能给企业带来下列财务报表重大错报风险：

（1）信息系统或相关系统程序可能会对数据进行错误处理，也可能会处理本身存在错误的数据；

（2）自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统内数据遭到破坏和系统对非授权交易或不存在的交易作出记录，系统、系统程序、数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等；

（3）数据丢失风险或数据无法访问风险，如系统瘫痪；

（4）不适当的人工干预，或人为绕过自动化控制。

因此，被审计单位采用信息系统处理业务，并不意味着手工控制被完全取代。信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。例如，在基于信息技术的自动信息系统中，系统进行自动操作来实现对交易信息的创建、记录、处理和报告，并将相关信息保存为电子形式（如电子的采购订单、发运凭证和相关会计记录）。但相关控制活动也可能同时包括手工的部分，比如，订单的审批和事后审阅以及会计记录调整之类的手工控制。

因此，与财务报告相关的控制活动一般由一系列手工控制和自动化控制所组成。由于被审计单位信息技术的特点及复杂程度不同，被审计单位的手工及自动化控制的组合方式往往会有所区别。

第三节 信息技术内部控制测试

在信息技术环境下，手工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册会计师仍需要按照标准执行相关的审计程序，而对于自动化控制，就需要从信息技术一般控制测试与信息技术应用控制测试两方面进行考虑。

一、信息技术一般控制测试

信息系统一般控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，通常会对实现部分或全部财务报告认定作出间接贡献。在有些情况下，信息技术一般控制也可能对实现财务报告认定作出直接贡献。这是因为有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。当手工控制依赖系统生成的信息时，信息技术一般控制同样重要。

注册会计师应当清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告，或生成手工日记账时使用系统生成的数据和报告的关系。

由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对这三类控制实施控制测试。

信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。

1．程序开发

程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括：

（1）对开发和实施活动的管理；

（2）项目启动、分析和设计；

（3）对程序开发实施过程的控制软件包的选择；

（4）测试和质量保证；

（5）数据迁移；

（6）程序实施；

（7）记录和培训；

（8）职责分离。

2．程序变更

程序变更领域的目标是确保对程序和相关基础组件的变更是经过申请、授权、执行、测试和实施的，以达到管理层的应用控制目标。程序变更一般包括以下要素：

（1）对维护活动的管理；

（2）对变更请求的规范、授权与跟踪；

（3）测试和质量保证；

（4）程序实施；

（5）记录和培训；

（6）职责分离。

3．程序和数据访问

程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和实物安全。

4．计算机运行

计算机运行这一领域的目标是确保系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

本章附录6-2提供了对信息系统一般控制的了解和测试工作底稿的示例。

二、信息技术应用控制测试

信息技术应用控制一般要经过输入、处理及输出等环节，与手工控制一样，自动系统控制同样关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。然而，自动系统控制造成的影响程度比信息技术一般控制要显著得多，并且需要进一步的手工调查。此外，所有的自动应用控制都会有一个手工控制与之相对应。例如，通过批次汇总的方式验证数据传输的准确性和完整性时，如果出现例外，就需要有相应的手工控制进行跟踪调查。理论上，在测试的时候，每个自动系统控制都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。例如，一笔交易被否定或者被作标记了，将会进行一个手工调查流程，并且被记录下来。下面将针对不同的信息处理目标来阐述应用控制的作用。

1．完整性

（1）顺序标号，可以保证系统每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。此时，系统提供一个无编号凭证的报告，如果存在例外，需要相关人员进行调查跟进。

（2）编辑检查，以确保无重复交易录入，例如发票付款时，检查发票编号。

2．准确性

（1）编辑检查，包括限制检查、合理性检查、存在性检查和格式检查等。

（2）将客户、供应商、发票和采购订单等信息与现有数据进行比较。

3．授权

（1）交易流程中必须存在恰当的授权。

（2）将客户、供应商、发票和采购订单等信息与现有数据进行比较。

4．访问跟制

（1）对某些特殊的会计记录的访问，必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限，并且符合职责分离原则。如果存在例外，必须进行调查。

（2）访问控制必须满足适当的职责分离（比如，交易的审批和处理必须由不同的人员执行）。

（3）对每个系统的访问控制都要单独考虑。密码必须要定期更换，并且在规定次数内不能重复；定期生成多次登录失败导致用户账号锁定的报告，管理层必须跟踪这些登录失败的具体原因。

本章附录6-3提供了对销售与收款循环中信息系统相关控制的了解和测试工作底稿的示例。

本章附录6-4提供了对信息系统职责分离相关控制的了解和测试工作底稿的示例。

第四节 信息技术应用控制与信息技术一般控制之间的关系

应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。例如，许多应用系统中包含很多编辑检查来帮助确保录入数据的准确性。编辑检查可能包括格式检查（如日期格式或数字格式），存在性检查（如客户编码存在于客户主数据文档之中），或合理性检查（如最大支付金额）。如果录入数据的某一要素未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录人数据拖人系统生成的例外报告中，留待后续跟进和处理。

如果带有关键的编辑检查功能的应用系统所依赖的计算机环境存在信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如，程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，以至于系统接受不准确的录人数据。此外，与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查的目地是使系统无法处理金额超过最大容差范围的支付操作。

附录6-1：重大业务流程和信息系统匹配表

根据对重要业务流程的了解，记录在重大流程中涉及交易生成、记录、处理和报告的信息系统，这些信息系统即为与重大流程相关的信息系统：

注1：系统可以是商业软件系统，或是企业自己开发、定制的系统，也可以包括其他终端用户所使用的重要工具，如利用]Excel等电子表格编制的模型、填报工具等。

注2：系统的复杂程度取决于多个方面，包括：（1）系统所支持的企业业务流程的复杂度；（2）信息系统自身技术的复杂度；（3）系统处理交易、数据及计算的复杂度；（4）信息技术环境规模的复杂度等方面。

附录6-2：对信息系统一般控制的了解和测试工作底稿的示例

以下以一家A股上市的大型企业为例，针对项目组在执行信息系统一般控制测试时可以考虑的要素和方面进行说明，并未列示项目组所有应当考虑的控制，所列示的控制也不一定适用于所有审计项目的具体情况。项目组在实务工作中需要根据企业的具体情况识别控制，并根据对风险的评估选取适当的样本规模进行测试（本例中样本规模的选取方法仅作参考）。

一、与信息技术控制环境相关的控制

二、与程序开发相关的控制

三、与程序变更相关的控制

四、与程序和数据访问相关的控制

五、与计算机操作有关的控制

附录6-3：对销售与收款循环中信息系统相关控制的了解和测试工作底稿的示例

以下以一家大型企业为例，针对注册会计师在实施销售与收款循环中信息系统相关控制测试时可以考虑的要素和方面进行说明，但并非列示注册会计师所有应当考虑的控制，所列示的控制也不一定适用于所有审计项目的具体情况。注册会计师在实务工作中需要根据企业的具体情况识别控制，并根据对风险的评估选取适当的样本规模进行测试（本例中样本规模的选取方法仅作参考）。

一、与销售循环相关的控制

二、与订单签订有关的控制

三、与开具发票及收入确认相关的控制

附录6-4：对信息系统职责分离相关控制的了解和测试工作底稿的示例

以下以一家大型企业为例，针对注册会计师在实施信息系统应用控制——职责分离相关控制测试时可以考虑的要素和方面（即可能存在冲突的角色）进行说明。由于每家企业所实施的系统及其功能都有所区别，因此，以下举例不能列示所有注册会计师应当考虑的控制，而以下所列示的控制也不一定适用于每一项审计的具体情况。注册会计师在实务工作中需要根据企业的具体情况识别控制，并根据对风险的评估选取适当的样本规模进行测试。

其中，“x”表示不相容的职责

一、与职责分离相关的权限矩阵

ERP系统职责分离矩阵（略）

二、职责分离控制测试