[2015年注会-审计]第五章(3) 信息技术内部控制审计

Rosa_H (月玉雅)
【A+研究所】荣誉会员☆网校制霸
渐入佳境
17 1 0
发表于:2015-01-22 09:56 [只看楼主] [划词开启]

1、  与信息技术相关的控制

1)  好处:

A、 自动控制能够有效处理大流量及数据;

B、 自动控制比较不容易被绕过;

C、 自动控制系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;

D、 自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取;

E、  自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

2)  对自动控制的依赖也可能给企业带来重大错报风险:

A、 信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;

B、 自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险;

C、 数据丢失风险或数据无法访问风险,入系统瘫痪;

D、 不适当的人工干预,或人为绕过自动控制。

被审计单位采用信息系统处理业务,并不意味着人工控制被完全取代、信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。

与财务报告相关的控制活动一般由一系列人工控制和自动控制所组成。

2、  信息技术内部控制审计

1)  信息技术一般性控制审计:指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施,信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。

注册会计师应清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键人工控制使用的系统生成数据和报告,或生成手工日记账时使用系统生成的数据和报告的关系。

由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对上述三个领域实施控制测试。

一般包括以下四个方面:

(1)       程序开发。该领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。其一般要素包括:

A、 对开发和实施活动的管理;

B、 项目启动、分析和设计;

C、 对程序开发实施过程的控制软件包的选择;

D、 测试和质量确保;

E、  数据迁移;

F、  程序实施;

G、 记录和培训;

H、 职责分离。

(2)       程序变更。该领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,已达到管理层的应用控制目标。其一般包括以下要素:

A、 对维护活动的管理;

B、 对变更请求的规范、授权与跟踪;

C、 测试和质量确保;

D、 程序实施;

E、  记录和培训;

F、  职责分离。

(3)       程序和数据访问。该领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。其子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。

(4)       计算机运行。该领域的目标是确保生产系统根据管理层的控制目标完整准确的运行,确保运行问题被完整准确的识别并解决,以维护财务数据的完整性。其子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

2)  信息技术应用控制审计:一般要经过输入、处理及输出等环节,和人工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。其影响程度比信息技术一般控制要显著得多,且需要进一步的手工调查。即所有的自动应用控制都会有一个人工控制与之相对应。

(1)       完整性。

A、 顺序标号,可以保证系统中每笔日记账都是唯一的,且系统不会接受相同编号,或者在编号范围外的凭证。此时,需要系统提供一个没有编号凭证的报告,如果存在例外,需要相关人员进行调查跟进。

B、 编辑检查,以确保无重复交易录入。

(2)       准确性。

A、 编辑检查,包括限制检查、合理性检查、存在检查和格式检查等。

B、 将客户、供应商、发票和采购订单等信息与现有数据进行比较。

(3)       授权。

A、 交易流程中必须包括恰当的授权。

B、 将客户、供应商、发票和采购订单等信息与现有数据进行比较。

(4)       访问限制。

A、 对于某些特殊的会计记录的访问,必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限,并复核职责分离原则。如存在例外,必须进行调查。

B、 访问控制必须满足适当的职责分离。

C、 对每个系统的访问控制都要单独考虑。密码必须要定期更换,且在规定次数内不能重复;定期生成多次登陆失败导致用户账号锁定的报告,管理层必须跟踪这些登录失败的具体原因。

3、  信息技术应用控制与信息及时一般控制之间的关系。

A、 应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。

B、 编辑检查可能包括格式检查、存在检查或合理性检查。如果录入数据的某一要素未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录入数据拖入系统生成的例外报告之中,留待后续跟进和处理。

C、 如果带有关键编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。

D、 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当的绕过合理性检查,而该合理性检查在其他方面将是系统无法处理金额超过最大容差范围的支付操作。

分类: 备战区
全部回复 (1)

  • 0

    点赞

  • 收藏

  • 扫一扫分享朋友圈

    二维码

  • 分享

课程推荐

需要先加入社团哦

编辑标签

最多可添加10个标签,不同标签用英文逗号分开

保存

编辑官方标签

最多可添加10个官方标签,不同标签用英文逗号分开

保存
知道了

复制到我的社团