会计信息系统的控制审计

四、会计信息系统的控制审计

这是会计信息系统审计的一项专项内容，也是会计信息系统审计的一项核心内容。它主要是审计会计信息系统控制措施的完善性和有效性。按照上述审计的一般过程，对会计信息系统的控制审计需要经过以下若干步骤：

1．了解会计信息系统的控制情况

了解被审单位会计信息系统的控制情况时，同样要先初步了解信息系统及其应用环境情况，它包括系统所使用的结构、软硬件设备和应用系统情况。然后在此基础上再全面了解会计信息系统的控制情况，它包括其一般控制情况和应用控制情况。所使用的方法主要有：审阅前任审计的工作底稿；与被审单位的高层管理人员、信息系统应用人员及其他有关人员进行面谈；对计算机设施及操作过程进行实地观察；审阅与系统有关的重要文档。

2．记录会计信息系统的控制情况

审计人员要将了解到的会计信息系统控制情况通过调查表、文字表述和流程图等方式记录在工作底稿上。其中，调查表是将那些与信息系统安全、数据完整、系统的有效性和效率密切相关的事项列为调查对象，交由被审计单位有关人员进行填写或由审计人员根据调查结果自行填写；文字表述是对信息系统控制的健全程度和执行情况通过文字进行描述，通常要将系统的一般控制和应用控制分别来编写记录在工作底稿上，应用控制要按不同的应用系统来编写；流程图是借助专用的符号将应用系统的业务处理过程描述出来，同时要重点标出那些控制环节。

3．对会计信息系统的控制情况进行测试

测试的目的是确定会计信息系统控制的设计和执行是否有效。它包括对控制设计的测试和对控制执行的测试两个方面。控制设计测试的目的是确认现行系统控制设计是否合理和恰当，即测试系统控制的完善性。审计人员可将现行系统控制的描述情况与理想的控制模式进行比较分析，以识别出关键的控制，以及控制的强点和弱点。对控制的弱点，应研究补救的控制措施；控制执行测试的目的是确认现行系统的各项控制措施是否已得到了有效执行，即测试系统控制的有效性。由于会计信息系统控制的执行既包括人工实施的内容，又包括由计算机程序实施的内容，因此在选用测试技术时，除考虑使用传统的符合性测试方法外，还必须要考虑借助计算机辅助审计技术才能对会计信息系统的控制进行全面的测试。审计人员在实际工作中可根据不同的情况和控制形式，选择其中最恰当的一种或多种进行。

4．对会计信息系统控制的进行评价

在对系统的控制进行测试后，接下来审计人员要对其控制情况进行适当评价。要根据控制测试的执行结果进行合理判断，确定出系统一般控制和应用控制在哪些方面还存在着不足或缺陷，识别出控制的薄弱环节，在此基础上提出完善控制措施的有关建议。

在对系统的控制进行评价时，不能孤立地对应用控制进行审查，应将与之相关的一般控制联系起来进行。因为应用控制往往要依赖于一般控制，如嵌入到应用程序中的应用控制是否有效，要视与之相关的一般控制是否有效而定。如对程序的修改缺乏控制，那么审计人员在测试嵌入到应用程序中的应用控制时，难以取得被测程序与本期处理业务的程序完全相同的证据。因此对会计信息系统的审查与评价，通常从一般控制开始。在审计过程中，如果审计人员认定某项一般控制的主要控制目标未能实现，应将控制弱点记录在审计工作底稿上，并评价其对应用控制可能产生的影响。

为清晰地理解和表达对会计信息系统控制的审计过程，下面我们以对应用控制审核为例进行说明，如表7-1所示。

表7-1　对应用控制的审计过程

（续表）

（续表）