信息系統(tǒng)應(yīng)用控制審計（下）

2018-09-11 09:49

中國注冊會計師 2018年8期

本文繼續(xù)探討信息系統(tǒng)應(yīng)用控制審計的相關(guān)內(nèi)容，主要闡述注冊會計師對信息系統(tǒng)應(yīng)用控制的了解和識別，以及應(yīng)用控制測試的原則和方法。

一、信息系統(tǒng)應(yīng)用控制的了解和識別

應(yīng)用控制從本質(zhì)上來看，屬于企業(yè)內(nèi)部控制的一種特殊形態(tài)，即應(yīng)用控制是被賦予了系統(tǒng)參與完成屬性的一類內(nèi)部控制。因此，了解和識別應(yīng)用控制的基本方法和過程與其他內(nèi)部控制是一致的。應(yīng)用控制的了解和識別是伴隨著整個內(nèi)部控制的了解和識別的完成而完成的。

注冊會計師一般通過對業(yè)務(wù)流程/循環(huán)端到端的了解來了解和識別被審計單位的內(nèi)部控制（包括應(yīng)用控制）。因此，要了解和識別被審計單位有哪些具體的應(yīng)用控制，注冊會計師在詳細(xì)審計計劃階段需要完成的一項工作是進(jìn)行業(yè)務(wù)流程/循環(huán)端到端的了解。在了解過程中，逐步識別穿插其中的應(yīng)用控制。

業(yè)務(wù)流程/循環(huán)端到端的了解，顧名思義，就是從該業(yè)務(wù)流程/循環(huán)的起始點到結(jié)束的整個過程的了解。例如，對于銷售循環(huán)端到端的了解包括從銷售策略、銷售定價與折讓、銷售訂單、賒銷信用、發(fā)貨、開具賬單、記錄銷售、收款、銷售退回、壞賬處理的完整流程。

在財務(wù)報表審計中，進(jìn)行業(yè)務(wù)流程/循環(huán)的端到端的了解有兩個目的：

1.通過從始至終的流程了解，識別企業(yè)潛在錯報風(fēng)險來源，從而幫助注冊會計師執(zhí)行更有針對性的審計策略和程序；

2.在業(yè)務(wù)流程的全程了解中，識別其中的內(nèi)部控制并初步評估內(nèi)部控制的設(shè)計是否有效。

在了解和識別過程中，注冊會計師通常會用到各種實現(xiàn)工具和記錄方式來輔助該階段工作的完成。恰當(dāng)?shù)膶崿F(xiàn)工具和記錄方式不僅有助于提高審計質(zhì)量，對于審計效率和效果的提升也是有著舉足輕重的作用。在此，我們僅列舉在此審計階段所使用的一些常用方式。

（一）流程描述文檔（Narrative）

在了解端到端的業(yè)務(wù)流程/循環(huán)過程中，注冊會計師可以通過流程描述文檔詳細(xì)記錄被審計單位的業(yè)務(wù)流轉(zhuǎn)過程，通過文檔梳理出流程的詳細(xì)過程和細(xì)節(jié)。通過業(yè)務(wù)流程描述文檔，注冊會計師可以清楚的梳理出被審計單位從始至終的完整流程，有助于發(fā)現(xiàn)和識別其中的風(fēng)險點及應(yīng)對。這種文檔沒有固定的格式要求，常見的流程描述文檔以Word文本方式進(jìn)行記錄。

（二）流程圖（Flow Chart）

流程圖是一種與流程描述文檔配套的圖形化記錄方式，注冊會計師可以使用流程圖的方式分解流程的層次結(jié)構(gòu)，如一級流程圖、二級流程圖和三級流程圖，記錄業(yè)務(wù)流程中的各個流程、控制活動及相關(guān)風(fēng)險。一份完整的流程圖通常包括圖例說明、流程總覽、子流程幾個部分。對于子流程，通常會記錄流程中的流程所有者，流程內(nèi)容，實現(xiàn)方式，流程編號等。對于控制活動，與流程記錄的要素基本相同，最大的區(qū)別在于，控制活動與風(fēng)險相應(yīng)而生，因此，控制活動與風(fēng)險在圖中往往成對出現(xiàn)。常見的流程圖以Visio方式完成。

（三）風(fēng)險控制矩陣（Risk &Control Matrix）

風(fēng)險控制矩陣，顧名思義就是風(fēng)險和控制組成的一個矩陣式表格。這一表格列式了一個流程/子流程中的風(fēng)險點及應(yīng)對（控制）。這個表格往往和流程圖配套使用。

通常情況下，風(fēng)險控制矩陣主要包括子流程、風(fēng)險編號、風(fēng)險描述、控制目標(biāo)、控制編號、控制描述、控制頻率、控制類型、財務(wù)報表對應(yīng)科目/交易、信息處理目標(biāo)、財務(wù)報表認(rèn)定等關(guān)鍵要素。通過這個矩陣，注冊會計師可以很清楚的看出各個業(yè)務(wù)流程中的內(nèi)部控制點及對應(yīng)的財務(wù)報表科目，并根據(jù)該控制點所應(yīng)對的風(fēng)險、實現(xiàn)的信息處理目標(biāo)及與財務(wù)報表認(rèn)定之間的關(guān)系，評估被審計單位是否對相關(guān)風(fēng)險點建立了足夠的內(nèi)控應(yīng)對機(jī)制，以確保該科目/交易的相關(guān)認(rèn)定目標(biāo)的實現(xiàn)。

矩陣中所列的控制點即為應(yīng)用控制的具體內(nèi)容。需要再次強(qiáng)調(diào)的是，應(yīng)用控制是屬于內(nèi)部控制體系的一部分。應(yīng)用控制是實現(xiàn)方式有系統(tǒng)參與的內(nèi)部控制。因此應(yīng)用控制具體控制點的了解和識別工作是伴隨著審計過程中的各個業(yè)務(wù)流程中內(nèi)部控制的了解和識別工作的完成而完成的。因此，如果在規(guī)劃階段經(jīng)評估結(jié)論是需要在該審計項目中引入信息技術(shù)專家，則在本階段業(yè)務(wù)流程端到端的了解及應(yīng)用控制的了解及識別過程中，需要信息技術(shù)專家的參與注冊會計師共同完成這項工作，以確保對于系統(tǒng)應(yīng)用控制的準(zhǔn)確了解及識別。

表1 收入與應(yīng)收賬款流程常見應(yīng)用控制示例

以上列舉的在了解和識別應(yīng)用控制的過程中使用的記錄方式是比較常見的一些輔助手段。經(jīng)過長期的審計實踐證明，這些記錄方式對審計效率和效果的提升有著顯著的作用。表1以收入與應(yīng)收賬款流程為例，舉例說明一些常見的應(yīng)用控制。

需要說明的是，以上列舉的控制活動不一定對所有企業(yè)都是適用的。對應(yīng)用控制的了解和識別結(jié)果是因企業(yè)而異的。注冊會計師需要把握了解和識別應(yīng)用控制的方法，并在審計過程中靈活運用，才能完全回答“做什么”的問題。

二、應(yīng)用控制測試的原則和方法

應(yīng)用控制和手工控制具有共同點，他們都屬于內(nèi)部控制，因此兩者適用于通用的控制測試原則和方法。另一方面，應(yīng)用控制與手工控制相比，又具有其獨特性：應(yīng)用控制是依賴于信息系統(tǒng)實現(xiàn)的控制活動。在信息系統(tǒng)一般控制持續(xù)有效的前提下，應(yīng)用控制因為少有人工干預(yù)和判斷而具有持續(xù)有效性、穩(wěn)定性和連貫性。因此，這一特點又賦予了應(yīng)用控制測試原則和方法的獨特性。本文將著重闡述因應(yīng)用控制測試的獨特性而導(dǎo)致的應(yīng)用控制測試與一般人工控制測試不同的方面和關(guān)注點。

由于應(yīng)用控制的獨特性是建立在一般控制有效的基礎(chǔ)之上的，因此應(yīng)用控制的持續(xù)有效運行與信息系統(tǒng)一般控制是否有效具有直接關(guān)系。信息系統(tǒng)一般控制、信息系統(tǒng)整體控制環(huán)境以及兩者的審計發(fā)現(xiàn)都會對應(yīng)用控制的測試方法產(chǎn)生影響。因此，在應(yīng)用控制審計執(zhí)行的方法介紹中，我們將考慮這些因素對測試方法的影響分別進(jìn)行闡述。

（一）自動控制和自動計算測試

對于自動控制和系統(tǒng)自動計算而言，注冊會計師需要通過一定的審計程序驗證控制的有效性和計算的正確性。由于系統(tǒng)處理的內(nèi)在一致性，自動控制和自動計算一般都按照預(yù)期的方式持續(xù)有效運行，除非相關(guān)程序在審計期間發(fā)生過變更或者系統(tǒng)一般控制無效。

如果需要確認(rèn)自動控制按預(yù)期的方式運行，注冊會計師需要考慮執(zhí)行相關(guān)的控制測試以確保控制持續(xù)有效運行，這樣的測試可能包括：

1. 程序變更都受制于恰當(dāng)?shù)某绦蜃兏刂疲?/p>

2. 授權(quán)的程序版本被用于交易的處理；

3. 其他的系統(tǒng)一般控制有效。

在系統(tǒng)一般控制有效的前提下，自動控制和自動計算的測試方法有很多，通常包括以下5種：

1. 執(zhí)行穿行測試。在相關(guān)交易流程的穿行測試過程中，通過足夠的詢問、觀察、檢查和/或重新執(zhí)行程序獲取審計證據(jù)。對于自動控制和自動計算而言，同手工控制一樣，執(zhí)行穿行測試的方法往往是結(jié)合詢問、檢查和重新執(zhí)行來驗證控制的有效性和計算邏輯的正確性。需要注意的是，對于自動控制和自動計算而言，在執(zhí)行穿行測試的過程中，務(wù)必要保證各種重要場景的全覆蓋。因此，在進(jìn)行測試前，注冊會計師需要通過多方詢問、檢查等手段先對控制和計算的場景進(jìn)行了解，獲取全局觀之后選擇具有重要性的和審計相關(guān)的場景進(jìn)行驗證。

2. 現(xiàn)場運行測試樣本。在程序中運行一個樣本，然后比對系統(tǒng)運行結(jié)果與預(yù)期的一致性。這種測試方法有點類似于穿行測試。注冊會計師通過現(xiàn)場運行一個虛擬的交易或者實時跟蹤一個真實交易，將系統(tǒng)運行的結(jié)果與注冊會計師預(yù)期進(jìn)行比對。這種測試方法與第一種方法的最大區(qū)別在于，穿行測試一般選擇的是歷史樣本并追蹤其系統(tǒng)處理。而該測試方法一般是用于現(xiàn)場實時運行相關(guān)的控制和自動計算。

3. 進(jìn)行模擬測試。對真實數(shù)據(jù)運行注冊會計師獨立編寫的腳本或程序，將輸出與系統(tǒng)運行結(jié)果進(jìn)行比對。這種方法比較常用在系統(tǒng)自動計算的驗證上，也適用于后面將要闡述的報表準(zhǔn)確性及完整性驗證。對于被審計單位來說，系統(tǒng)的某一套自動計算程序可能服務(wù)于多個業(yè)務(wù)和財務(wù)目的，因此，其計算邏輯通常比較復(fù)雜龐大。但是對于注冊會計師來說，我們關(guān)注的通常只是和審計相關(guān)的計算邏輯和結(jié)果，因此，在充分評估了業(yè)務(wù)邏輯的合理性之后，具備充分專業(yè)技能的注冊會計師可以獨立編寫腳本或程序，對真實源數(shù)據(jù)運行該腳本和程序，然后比對該代碼運行結(jié)果與被審計單位設(shè)定的系統(tǒng)邏輯運行下的結(jié)果。

4. 評估系統(tǒng)程序邏輯。注冊會計師通過檢查應(yīng)用系統(tǒng)配置，訪談程序開發(fā)人員，查看源代碼等審計方法評估程序設(shè)置的合理性，從而達(dá)到驗證自動控制和計算的目的。注冊會計師在使用這種方式進(jìn)行驗證的時候，往往伴隨著確保系統(tǒng)配置或代碼的訪問權(quán)限的賦予是否合理。對于這些配置和代碼的修改在審計期間是處于受控的狀態(tài)。在此前提下，才能確保注冊會計師在審計現(xiàn)場看到的配置或代碼能適用于整個審計期間。

5. 執(zhí)行實質(zhì)性測試。通過實質(zhì)性程序?qū)⒆詣涌刂坪陀嬎愕慕Y(jié)果核對至源文件，或者將結(jié)果與獨立可靠來源的數(shù)據(jù)進(jìn)行核對。這種方法比較常用于自動計算和報表驗證。例如，在測試賬齡表的準(zhǔn)確性時，注冊會計師可以將應(yīng)收賬齡表上的數(shù)據(jù)與函證結(jié)果進(jìn)行比對，或者是將報表數(shù)據(jù)追溯至銷售發(fā)票。

以上5種測試方法較多驗證的是自動控制和自動計算的邏輯正確性，注冊會計師在測試自動控制和計算的運行有效性時，還需要綜合考慮其他方面的風(fēng)險因素，例如：

1.自動控制和計算應(yīng)用的源數(shù)據(jù)是否正確。注冊會計師需要確保系統(tǒng)自動控制和計算應(yīng)用于了正確可靠的數(shù)據(jù)來源，這個往往通過錄入控制來保證。

2.相關(guān)控制和計算的訪問權(quán)限，特別是修改是否進(jìn)行了足夠的限制。

以上是在有信息系統(tǒng)一般控制審計證據(jù)支撐下的審計方法。如果缺乏有效的信息系統(tǒng)一般控制或者信息系統(tǒng)一般控制有限，注冊會計師需要使用其他更有效果和效率的測試方法，例如：

1.獲取審計證據(jù)證明應(yīng)用控制自從上次測試以來沒有發(fā)生過變化；

2.使用計算機(jī)輔助審計技術(shù)重新運行自動控制和計算或者在審計期間以較高的頻率比對程序代碼；

3.評估內(nèi)在風(fēng)險因素和控制風(fēng)險因素，如程序變更的次數(shù)和復(fù)雜度是否都較低；

4.在審計期間以更多的頻次使用前面提到的5種測試方法進(jìn)行相關(guān)控制和計算的驗證工作。

（二）報表

系統(tǒng)報表是系統(tǒng)生成的符合一定業(yè)務(wù)邏輯的數(shù)據(jù)集合。通常被用于執(zhí)行相關(guān)的控制或者用于下一步實質(zhì)性程序。因此，如果這些報表和數(shù)據(jù)出現(xiàn)錯誤會導(dǎo)致后續(xù)的控制無效和實質(zhì)性測試結(jié)果的不準(zhǔn)確或者不完整。

注冊會計師執(zhí)行報表測試的性質(zhì)和程度取決于職業(yè)判斷。通常注冊會計師需要考慮的因素列舉如下：

1.需要從控制或?qū)嵸|(zhì)性程序獲得的審計證據(jù)水平；

2.相關(guān)FSLIs的重大錯報風(fēng)險；

3.控制有效運行或?qū)嵸|(zhì)性測試設(shè)計對報表/數(shù)據(jù)完整性和準(zhǔn)確性的依賴程度；

4.報表/數(shù)據(jù)的性質(zhì)、類型、來源及復(fù)雜度；

5.以前年度的審計經(jīng)驗，如以前年度的控制缺陷，控制環(huán)境的變化等；

6.應(yīng)用系統(tǒng)的復(fù)雜度。

對于報表測試，注冊會計師的目標(biāo)是保證報表準(zhǔn)確、完整地歸集、處理和展示了系統(tǒng)中的數(shù)據(jù)。報表在系統(tǒng)中的生成過程大致可以分為數(shù)據(jù)歸集、邏輯加工、報表展示三個階段。從報表生成過程，要保證最終生成的報表正確與否，我們需要回答3個問題：

1.錄入系統(tǒng)的源數(shù)據(jù)是不是完整準(zhǔn)確（“源頭對嗎”）；

2.系統(tǒng)是不是完整準(zhǔn)確地處理了相關(guān)源數(shù)據(jù)（“過程對嗎”）；

3.系統(tǒng)生成的報表的可編輯性（“結(jié)果可改嗎”）。

（三）訪問控制

訪問控制需要確保兩個層面的內(nèi)容：一是權(quán)限設(shè)計的合理性；二是權(quán)限賦予的合理性。注冊會計師在進(jìn)行訪問控制測試和驗證的過程中，也需要對這兩方面執(zhí)行相應(yīng)的審計工作。對于驗證權(quán)限設(shè)計的合理性，注冊會計師主要關(guān)注的權(quán)限設(shè)計的粒度是否滿足了風(fēng)險管理的需求并且名符其實；對于驗證權(quán)限賦予的合理性，注冊會計師主要關(guān)注的是權(quán)限是否賦予給了合適的人員，是否有冗余權(quán)限的賦予，權(quán)限賦予的結(jié)果是否實現(xiàn)了敏感權(quán)限的職責(zé)分離。

對于訪問控制，注冊會計師通常需要執(zhí)行以下審計程序：

1.詢問權(quán)限設(shè)計和管理人員，了解被審計單位權(quán)限設(shè)計及賦予規(guī)則和方法。企業(yè)可能是直接將權(quán)限賦予給賬號，也可能設(shè)計了一定的角色，將權(quán)限賦予給角色，然后將角色賦予給賬號。注冊會計師在進(jìn)行訪問控制驗證的過程中，首先清楚了解被審計單位的權(quán)限設(shè)計及賦予規(guī)則是十分必要的。

2.對于選定進(jìn)行測試的訪問權(quán)限，查看系統(tǒng)中的權(quán)限設(shè)計和配置，確認(rèn)系統(tǒng)中權(quán)限設(shè)計和配置是正確的。

3.進(jìn)行權(quán)限賦予的合理性驗證。

如果在審計期間，沒有執(zhí)行信息系統(tǒng)一般控制，或者經(jīng)過審計驗證，發(fā)現(xiàn)信息系統(tǒng)一般控制無效，則注冊會計師就無法通過一次訪問控制的測試工作獲取審計信心了。此時，注冊會計師需要評估相關(guān)的控制缺陷對訪問控制的影響，并選擇替代性應(yīng)對程序。

（四）系統(tǒng)接口

對于接口而言，我們要保證的是數(shù)據(jù)完整準(zhǔn)確的從源系統(tǒng)傳遞到了目標(biāo)系統(tǒng)以及接收數(shù)據(jù)的有效性，并且在傳輸中的任何問題能夠被及時的發(fā)現(xiàn)和跟進(jìn)。

接口控制可以是依賴于系統(tǒng)的手工控制完成，例如，數(shù)據(jù)的完整性驗證可能是手工方式進(jìn)行核對；也可以是自動控制完成，例如，系統(tǒng)通過批處理任務(wù)定時將數(shù)據(jù)從源系統(tǒng)傳輸至目標(biāo)系統(tǒng)。

對于接口測試，注冊會計師通常需要驗證以下幾個方面來獲取相關(guān)的審計信心：

1.訪問限制：僅受限的人員/賬號可以對接口程序進(jìn)行訪問和修改。常見的控制手段如，僅授權(quán)的系統(tǒng)開發(fā)人員可以對接口進(jìn)行變更，且變更上線權(quán)限僅授權(quán)給合適的人員。

2.完整性驗證：系統(tǒng)如何確保數(shù)據(jù)完整地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。常見的控制手段如，系統(tǒng)自動計算傳輸數(shù)據(jù)的控制總數(shù)，并與源系統(tǒng)進(jìn)行比對，確保數(shù)據(jù)傳輸?shù)耐暾浴?/p>

3.準(zhǔn)確性驗證：即系統(tǒng)如何確保數(shù)據(jù)準(zhǔn)確地從源系統(tǒng)傳輸?shù)搅四繕?biāo)系統(tǒng)。常見的控制手段如，系統(tǒng)自動設(shè)置校驗位，對于傳輸數(shù)據(jù)的準(zhǔn)確性進(jìn)行自動校驗。

4.重復(fù)傳輸驗證：系統(tǒng)如何避免數(shù)據(jù)的重復(fù)傳輸，這其實是完整性驗證的一部分，因為其在接口控制中較為重要和常見，因此單列進(jìn)行驗證。常見的控制手段如，傳輸數(shù)據(jù)中存在標(biāo)志位，對于已經(jīng)傳輸成功的數(shù)據(jù)設(shè)置標(biāo)志位，系統(tǒng)自動拒絕接受已經(jīng)成功傳輸?shù)臄?shù)據(jù)。

5.有效性驗證：系統(tǒng)如何確保傳輸數(shù)據(jù)的有效性。常見控制手段如，目標(biāo)系統(tǒng)的編輯檢查，確保系統(tǒng)僅接受預(yù)先定義的源系統(tǒng)數(shù)據(jù)。

6.傳輸及時性：系統(tǒng)如何確保數(shù)據(jù)在正確的時間期間傳輸了數(shù)據(jù)。常見的控制手段如，系統(tǒng)存在自動檢查，對于不成功的數(shù)據(jù)傳輸，及時進(jìn)行補(bǔ)傳，直至成功為止。

7.變更控制：系統(tǒng)接口的變更是經(jīng)過了充分得授權(quán)、測試并滿足實際業(yè)務(wù)需求的。這部分的驗證工作通常在信息系統(tǒng)一般控制的測試過程中涵蓋完成。

8.傳輸監(jiān)控及異常處理：即被審計單位如何確保數(shù)據(jù)在傳輸過程中的任何問題得到了及時發(fā)現(xiàn)和跟進(jìn)。

（五）對測試時間的考慮

一般而言，由于系統(tǒng)審計需要持續(xù)一段時間，并且考慮到各個被審計單位的實際情況，注冊會計師不太可能正好在審計期間的結(jié)束之日執(zhí)行并完成系統(tǒng)審計工作。通常情況下，審計測試的時間大致落在以下兩個區(qū)間：

1.審計期間結(jié)束日之前,

2.審計期間結(jié)束日之后。

因此，如何保證整個審計期間的應(yīng)用控制均按照企業(yè)設(shè)定的方式有效運轉(zhuǎn)，注冊會計師必須要執(zhí)行相應(yīng)的審計程序：

1.在審計期間結(jié)束日之前完成測試工作：注冊會計師需要確保審計測試日至審計期間結(jié)束日之間的應(yīng)用控制運行的有效性。通常的考慮因素包括：

（1）以上兩個日期之間信息系統(tǒng)一般控制的有效性；

（2）以上兩個日期之間該應(yīng)用控制是否發(fā)生過變動；

（3）如果發(fā)生過變動，需要驗證變動后的應(yīng)用控制設(shè)計及執(zhí)行有效性。

2.審計期間結(jié)束日之后完成測試工作：注冊會計師需要確保審計期間結(jié)束日之后進(jìn)行測試的應(yīng)用控制能合理反映審計期間該應(yīng)用控制的設(shè)計及運行情況。通常的考慮因素包括：