信息技术中的一般控制和应用控制测试

一、 信息技术一般控制审计

(一) 信息技术一般控制的含义

信息技术一般控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、 对所有的应用或控制模块具有普遍影响的控制措施。信息技术一般控制审计通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下，信息技术一般控制审计也可能对实现信息处理目标和财务报表认定作出直接贡献。这是因为有效的信息技术一般控制审计确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。当人工控制依赖系统生成的信息时，信息技术一般控制审计同样重要。如果注册会计师计划依赖自动应用控制、 自动会计程序或依赖系统生成信息的控制，他们就需要对相关的信息技术一般控制审计进行验证。

注册会计师应清楚记录信息技术一般控制审计与关键的自动应用控制及接口、 关键的自动会计程序、 关键的人工控制所依赖的系统生成数据和报告，或生成手工日记账时使用系统生成的数据和报告的关系。

(二) 信息技术一般控制的内容

信息技术一般控制审计包括程序开发、 程序变更、 程序和数据访问以及计算机运行四个方面。

1. 程序开发

程序开发领域的目标是确保系统的开发、 配置和实施能够实现管理层的应用控制目标。

2. 程序变更

程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、 授权、 执行、 测试和实施的，以达到管理层的应用控制目标。程序变更范围除包含代码类的常规变更，同时也需要关注配置类的变更以及紧急变更。

3. 程序和数据访问

程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、 安全管理、 数据安全、操作系统安全、 网络安全和物理安全。

4. 计算机运行

计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。

二、 信息技术应用控制审计

信息技术应用控制一般要经过输入、 处理及输出等环节。和人工控制类似，系统自动控制关注的要素包括完整性、 准确性、 存在和发生等。

(一) 信息技术应用控制各要素的主要含义

1. 完整性

系统处理数据的完整性，例如各系统之间数据传输的完整性、 销售订单的系统自动顺序编号、 总账数据的完整性等。

2. 准确性

系统运算逻辑的准确性，例如金融机构利息计提逻辑的准确性、 生产企业的物料成本运算逻辑的准确性、 应收账款账龄的准确性等。

3. 存在和发生

信息系统相关的逻辑校验控制，例如限制检查、 合理性检查、 存在检查和格式检查等。部分业务操作的授权管理，例如入账审批管理的权限设定和授予、 物料成本逻辑规则修改权限的设定和授予等。

针对系统自动控制的信息技术应用控制审计需要在理解业务流程的基础之上进行识别和定义。

(二) 常见的系统自动控制以及信息技术应用控制审计的关注点

1. 系统自动生成报告

企业的业务或财务系统会定期或按需生成各类报告，例如账龄报告、 贷款逾期报告、 业务和财务数据核对差异报告等。信息技术应用控制审计包括对于这些报告的生成逻辑 (包括完整性和准确性) 的验证、 异常报告跟进控制的审阅等。

2. 系统配置和科目映射

信息系统中包含了大量的自动校验控制和映射关系，包括数据完整性校验、 录入合法性编辑检查、 边界阈值设定、 财务科目映射关系等。信息技术应用控制审计会对这些系统配置和映射关系的存在性和有效性进行验证。

3. 接口控制

接口控制包括各业务系统之间、 业务和财务系统之间、 企业内部系统和合作伙伴/交易对手/监管机构之间的接口数据传输。信息技术应用控制审计会对这些接口数据传输的完整性和准确性进行验证。

4. 访问和权限

企业内部各业务部门、 财务部门、 信息技术部门等均会根据各自的职责需要对信息系统进行访问，各部门、 各团队甚至各岗位访问的权限均可能存在差异，因此在系统控制层面需要对这些权限进行明确的定义和部署，以保证适当的人员配备适当的访问权限。信息技术应用控制审计会对这些访问权限授予情况的合理性进行验证。

三、 公司层面信息技术控制审计

除信息技术一般控制审计和应用控制审计外，目前国内外企业的管理层也越来越重视公司层面的信息技术控制审计管理。常见的公司层面信息技术控制审计包括但不限于以下几点:

(1) 信息技术规划的制定；

(2) 信息技术年度计划的制定；

(3) 信息技术内部审计机制的建立；

(4) 信息技术外包管理；

(5) 信息技术预算管理。

目前审计机构针对公司层面信息技术控制审计往往会执行单独的审计，以评估企业信息技术的整体控制环境，来决定信息技术一般控制审计和应用控制审计的重点、 风险等级、 审计测试方法。

四、 信息技术一般控制审计、 应用控制审计与公司层面控制审计三者之间的关系

公司层面信息技术控制审计情况代表了该公司的信息技术控制的整体环境，包括该公司对于信息技术的重视程度和依赖程度、 信息技术复杂性、 对于外部信息技术资源的使用和管理情况、 信息技术风险偏好等，这些要素会影响该公司的信息技术一般控制审计和信息技术应用控制审计的部署和落实。例如，如果某公司使用了较多的信息技术外部资源和服务，则可能会相应地提高外部用户管理和外连接口失效的风险，因此需要更多关注信息技术一般控制审计领域内的用户管理类控制，特别是外部用户管理机制，以及信息技术应用控制审计的外部系统接口管理机制等。

根据目前信息技术审计的业内最佳实践，注册会计师在执行信息技术一般控制审计和信息技术应用控制审计之前，会首先执行配套的公司层面信息技术控制审计，以了解公司的信息技术整体控制环境，并基于此识别出信息技术一般控制审计和信息技术应用控制审计的主要风险点以及审计重点。

应用控制是设计在计算机应用系统中的、 有助于达到信息处理目标的控制。例如，许多应用系统中包含很多编辑，以检查确保录入数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式)、 存在检查 (如客户编码存在于客户主数据文档之中) 或合理性检查 (如最大支付金额)。如果录入数据的某一要素未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录入数据拖入系统生成的例外报告之中，留待后续跟进和处理。如果在带有关键的编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制审计的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如，程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，以至于系统接受不准确的录入数据。此外，与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查原本应能使系统拒绝处理金额超过最大容差范围的支付。因此，公司层面信息技术控制审计是公司信息技术的整体控制环境，决定了信息技术一般控制审计和信息技术应用控制审计的风险基调； 信息技术一般控制审计是基础，信息技术一般控制审计的有效与否会直接关系到信息技术应用控制审计的有效性是否能够信任。