來源：《中國(guó)注冊(cè)會(huì)計(jì)師》2018年第3期

 轉(zhuǎn)載自：中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)網(wǎng)站

發(fā)布時(shí)間：2018-4-2

 

【原編者按】在信息化環(huán)境下，企業(yè)運(yùn)用信息技術(shù)編制財(cái)務(wù)報(bào)表，設(shè)計(jì)和執(zhí)行內(nèi)部控制。注冊(cè)會(huì)計(jì)師在對(duì)企業(yè)的財(cái)務(wù)報(bào)表進(jìn)行審計(jì)時(shí)，必須考慮信息技術(shù)的影響。同時(shí)，信息化也對(duì)注冊(cè)會(huì)計(jì)師的審計(jì)技術(shù)和方法帶來革命性變化。為了幫助注冊(cè)會(huì)計(jì)師應(yīng)對(duì)信息化帶來的挑戰(zhàn)，中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)資助普華永道中天會(huì)計(jì)師事務(wù)所研究編寫了《信息系統(tǒng)環(huán)境下的財(cái)務(wù)報(bào)表審計(jì)》一書，即將出版。本刊約請(qǐng)作者加以摘編，分期連載，以饗讀者。

如果說注冊(cè)會(huì)計(jì)師了解被審計(jì)單位的信息技術(shù)環(huán)境以及與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)，目的是為了對(duì)被審計(jì)單位的信息技術(shù)使用情況進(jìn)行摸底，進(jìn)而獲得與被審計(jì)單位信息技術(shù)使用與財(cái)務(wù)報(bào)表相關(guān)性有關(guān)的信息。那么，了解信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)及應(yīng)對(duì)就是為了評(píng)估被審計(jì)單位的信息技術(shù)是否處于一個(gè)可控的狀態(tài)，相關(guān)的應(yīng)對(duì)（控制）體系是否已經(jīng)建立健全，以幫助企業(yè)應(yīng)對(duì)相關(guān)信息技術(shù)風(fēng)險(xiǎn)，為審計(jì)策略的選擇和審計(jì)范圍的確定提供依據(jù)。

了解被審計(jì)單位的信息技術(shù)整體環(huán)境是對(duì)企業(yè)信息系統(tǒng)整體管理體系中的相關(guān)風(fēng)險(xiǎn)點(diǎn)的識(shí)別及應(yīng)對(duì)機(jī)制，這一部分是注冊(cè)會(huì)計(jì)師了解信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)及被審計(jì)單位應(yīng)對(duì)的重要組成部分，對(duì)其他具體的信息技術(shù)風(fēng)險(xiǎn)及應(yīng)對(duì)有著宏觀引導(dǎo)作用，是其他具體的信息技術(shù)風(fēng)險(xiǎn)存在和應(yīng)對(duì)的背景和大環(huán)境。本文著重講解企業(yè)使用信息技術(shù)導(dǎo)致的具體風(fēng)險(xiǎn)及應(yīng)對(duì)體系。

 

一、了解被審計(jì)單位信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)

一般而言，企業(yè)通常遇到的與財(cái)務(wù)報(bào)告編制相關(guān)的典型信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)包括但不限于以下方面：

1. 程序或數(shù)據(jù)的訪問沒有受到合理限制；

2. 自動(dòng)控制或程序沒有合理設(shè)計(jì)或有效運(yùn)行；

3. 報(bào)表沒有被合理設(shè)計(jì)或有效運(yùn)行；

4. 對(duì)數(shù)據(jù)的非授權(quán)訪問；

5. 數(shù)據(jù)丟失或損壞；

6. 交易處理過程中的錯(cuò)誤沒有被更正或識(shí)別。

 

以上是一些常見的信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)舉例，普遍適用于各個(gè)行業(yè)的企業(yè)。需要說明的是，以上列出的這 6 類風(fēng)險(xiǎn)點(diǎn)是我們?cè)谛畔⒓夹g(shù)導(dǎo)致的風(fēng)險(xiǎn)中比較常見的風(fēng)險(xiǎn)，這里并未窮盡所有信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)。注冊(cè)會(huì)計(jì)師需要在審計(jì)項(xiàng)目中針對(duì)各個(gè)項(xiàng)目分別進(jìn)行風(fēng)險(xiǎn)評(píng)估和識(shí)別工作，以確保審計(jì)工作的效率和效果。

注冊(cè)會(huì)計(jì)師在進(jìn)行被審計(jì)單位信息技術(shù)整體環(huán)境的了解過程中，就要有意識(shí)的開始進(jìn)行風(fēng)險(xiǎn)點(diǎn)相關(guān)性的識(shí)別工作，了解哪些風(fēng)險(xiǎn)類別是和被審計(jì)單位相關(guān)的風(fēng)險(xiǎn)，哪些是不相關(guān)的風(fēng)險(xiǎn)。然后才能針對(duì)識(shí)別的相關(guān)風(fēng)險(xiǎn)評(píng)估應(yīng)對(duì)體系，有效的開展審計(jì)工作，避免過度審計(jì)或?qū)徲?jì)不足。

 

二、關(guān)于被審計(jì)單位信息系統(tǒng)相關(guān)風(fēng)險(xiǎn)的應(yīng)對(duì)體系

 

為了應(yīng)對(duì)上述識(shí)別出的信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)，被審計(jì)單位通常會(huì)從組織架構(gòu)、人員、技術(shù)、流程和程序等方面來進(jìn)行應(yīng)對(duì)，即設(shè)計(jì)一套控制體系來應(yīng)對(duì)相應(yīng)的風(fēng)險(xiǎn)。雖然具體的控制活動(dòng)根據(jù)被審計(jì)單位實(shí)際情況可能千差萬別，但是控制的目的都是為了應(yīng)對(duì)相關(guān)的信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)。通常情況下，以被審計(jì)單位信息技術(shù)整體控制環(huán)境為大背景，被審計(jì)單位在信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)應(yīng)對(duì)方面的具體控制體系包括信息系統(tǒng)一般控制和應(yīng)用控制。

 

（一）信息系統(tǒng)一般控制

如果把某一信息系統(tǒng)比喻為一個(gè)機(jī)器人，這個(gè)機(jī)器人根據(jù)其設(shè)定的程序進(jìn)行的日?；顒?dòng)即我們所見的業(yè)務(wù)層面操作/控制（IT Dependencies），這些活動(dòng)直接或間接的對(duì)機(jī)器人是否能實(shí)現(xiàn)預(yù)定的操作目標(biāo)產(chǎn)生影響。那么，如何保證這個(gè)機(jī)器人能夠按我們所設(shè)定的程序進(jìn)行日?；顒?dòng)？這就必須要使得機(jī)器人的制造、更新、維護(hù)、訪問控制這 4 個(gè)環(huán)節(jié)/方面得到有效的保證。

首先，機(jī)器人是按照預(yù)設(shè)需求制造的，比如我們要制造一個(gè)具有清潔功能的機(jī)器人，只有把控生產(chǎn)制造環(huán)節(jié)，才能保證制造出預(yù)設(shè)功能，而不是其他功能的機(jī)器人；同時(shí)，由于需求在不斷地發(fā)生變化，要保證機(jī)器人能夠不斷滿足我們的需求變化，我們需要對(duì)機(jī)器人進(jìn)行升級(jí)或者是修復(fù)，從而使其功能與時(shí)俱進(jìn)；另外，在機(jī)器人日常運(yùn)作過程中，我們需要對(duì)它是否按正確的方式進(jìn)行了工作，如果出現(xiàn)了問題怎么處理等進(jìn)行日常的維護(hù)，保證其持續(xù)有效地按我們要求的方式活動(dòng)等，這就是我們?nèi)粘＞S護(hù)所要關(guān)注和保證的事情；最后，也是最重要的，對(duì)這個(gè)機(jī)器人，誰可以操作和改造它，就涉及到一個(gè)訪問控制的問題，如果隨隨便便任何人都可以進(jìn)入其的核心程序?qū)ζ溥M(jìn)行改造，很可能這個(gè)產(chǎn)品可能就功能紊亂了，所以把握訪問控制是至關(guān)重要的。這幾個(gè)方面就確保了一個(gè)按我們所需方式制造、維護(hù)、升級(jí)和使用的產(chǎn)品。

與之類似，信息系統(tǒng)一般控制就是合理保證系統(tǒng)持續(xù)有效地按照我們要求的方式進(jìn)行運(yùn)作的一套控制體系。機(jī)器人運(yùn)轉(zhuǎn)原理的制造、更新、維護(hù)和訪問控制對(duì)應(yīng)到的就是我們信息系統(tǒng)一般控制的系統(tǒng)建設(shè)、系統(tǒng)變更、系統(tǒng)日常運(yùn)行維護(hù)、程序和數(shù)據(jù)的訪問四大領(lǐng)域的話題。這四大領(lǐng)域是信息系統(tǒng)最基礎(chǔ)也是最核心最為重要的環(huán)節(jié)，雖然對(duì)于業(yè)務(wù)部門和財(cái)務(wù)部門來說，可能對(duì)這四大領(lǐng)域沒有太多感性的認(rèn)識(shí)，但是，正是這四大領(lǐng)域的存在，才為系統(tǒng)在業(yè)務(wù)層面支持業(yè)務(wù)流程奠定了堅(jiān)實(shí)的基礎(chǔ)。如果說業(yè)務(wù)流程層面的自動(dòng)化流程和控制是信息系統(tǒng)的外延，那么基礎(chǔ)層面的信息系統(tǒng)一般控制是信息系統(tǒng)的內(nèi)核。

 

根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1211 號(hào)——通過了解被審計(jì)單位及其環(huán)境識(shí)別和評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》及其應(yīng)用指南，信息技術(shù)一般控制是與多個(gè)程序相關(guān)且支持應(yīng)用控制有效運(yùn)行的政策或程序，應(yīng)用于主機(jī)、小型機(jī)和終端用戶環(huán)境。保證信息完整性和數(shù)據(jù)安全性的信息技術(shù)一般控制通常包括：

1. 數(shù)據(jù)中心和網(wǎng)絡(luò)運(yùn)行控制；

2. 系統(tǒng)軟件的購(gòu)置、修改及維護(hù)控制；

3. 程序修改控制；

4. 接觸或訪問權(quán)限控制；

5. 應(yīng)用系統(tǒng)的購(gòu)置、開發(fā)及維護(hù)控制。

 

上述五項(xiàng)信息技術(shù)一般控制分別對(duì)應(yīng)我們所闡述的信息系統(tǒng)一般控制的四大領(lǐng)域，即：

1. 系統(tǒng)日常運(yùn)行維護(hù)；

2. 系統(tǒng)變更；

3. 程序和數(shù)據(jù)的訪問；

4. 系統(tǒng)建設(shè)。

在信息系統(tǒng)審計(jì)規(guī)劃階段，注冊(cè)會(huì)計(jì)師僅需要對(duì)被審計(jì)單位在以上領(lǐng)域的控制活動(dòng)進(jìn)行了解，獲知被審計(jì)單位是否存在相關(guān)控制活動(dòng)，以此為基礎(chǔ)制定審計(jì)策略，詳細(xì)的信息系統(tǒng)一般控制審計(jì)執(zhí)行（如果注冊(cè)會(huì)計(jì)師決定測(cè)試相關(guān)控制），將在審計(jì)執(zhí)行階段完成。

信息系統(tǒng)一般控制為信息系統(tǒng)按照管理預(yù)期正常運(yùn)轉(zhuǎn)的基本控制，為運(yùn)行其上的應(yīng)用控制的持續(xù)有效性提供保障。正是由于信息系統(tǒng)一般控制的基礎(chǔ)性和內(nèi)核性，信息系統(tǒng)一般控制在審計(jì)中具有以下局限性：

1. 信息系統(tǒng)一般控制通常不能直接預(yù)防或發(fā)現(xiàn)重大錯(cuò)報(bào)；

2. 信息系統(tǒng)一般控制通常不能直接對(duì)特定財(cái)務(wù)報(bào)表項(xiàng)目認(rèn)定提供直接證據(jù)；

3. 有效的信息系統(tǒng)一般控制本身并不能得出應(yīng)用控制的可靠性。

 

（二）信息系統(tǒng)應(yīng)用控制

信息系統(tǒng)應(yīng)用控制為業(yè)務(wù)的持續(xù)有效運(yùn)行和財(cái)務(wù)報(bào)表的編制提供直接或間接基礎(chǔ)和支持。每個(gè)企業(yè)在各個(gè)業(yè)務(wù)流程的應(yīng)用控制千差萬別，需要在財(cái)務(wù)報(bào)表審計(jì)過程中，從每個(gè)財(cái)務(wù)報(bào)表科目余額或交易的重大財(cái)務(wù)錯(cuò)報(bào)風(fēng)險(xiǎn)出發(fā)，在業(yè)務(wù)流程中識(shí)別是否有相關(guān)的系統(tǒng)支持存在。即在了解與財(cái)務(wù)報(bào)告有關(guān)的信息系統(tǒng)中所提到的對(duì)被審計(jì)單位對(duì)信息技術(shù)的依賴領(lǐng)域（IT dependencies）：

1. 系統(tǒng)自動(dòng)化控制；

2. 系統(tǒng)生成的報(bào)表/信息；

3. 系統(tǒng)自動(dòng)計(jì)算；

4. 系統(tǒng)權(quán)限管理和職責(zé)分離;

5. 系統(tǒng)之間的自動(dòng)化接口。

我們可以通過一張圖來說明財(cái)務(wù)報(bào)表與信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)體系的關(guān)系。以便于我們更清楚的理解各個(gè)部分之間的依賴和支持關(guān)系。

 

 

簡(jiǎn)言之，財(cái)務(wù)報(bào)表、應(yīng)用控制和信息系統(tǒng)一般控制之間的關(guān)系可以描述為：財(cái)務(wù)報(bào)表形成于各個(gè)業(yè)務(wù)流程和交易過程；而自動(dòng)控制、依賴于系統(tǒng)的人工控制、及不依賴系統(tǒng)的人工控制這些業(yè)務(wù)層面的控制活動(dòng)保證了流程和交易的按我們預(yù)期的方式運(yùn)行；為了保證業(yè)務(wù)層面的系統(tǒng)相關(guān)控制活動(dòng)（自動(dòng)控制和依賴于系統(tǒng)的人工控制）的持續(xù)有效的運(yùn)行，信息系統(tǒng)一般控制從建設(shè)、變更、運(yùn)維和訪問四個(gè)領(lǐng)域提供了堅(jiān)強(qiáng)有力的保證。

需要說明的是，在審計(jì)計(jì)劃階段，注冊(cè)會(huì)計(jì)師對(duì)于信息系統(tǒng)整體控制環(huán)境、一般控制和應(yīng)用控制的了解是對(duì)被審計(jì)單位及其環(huán)境的了解，目的是為了評(píng)估被審計(jì)單位是否存在系統(tǒng)運(yùn)行的健康可控的大環(huán)境、是否存在支持財(cái)務(wù)報(bào)表的應(yīng)用控制、是否存在支持信息系統(tǒng)應(yīng)用控制的信息系統(tǒng)一般控制，從而幫助注冊(cè)會(huì)計(jì)師制定審計(jì)策略。即，注冊(cè)會(huì)計(jì)師在審計(jì)規(guī)劃階段需要了解清楚被審計(jì)單位信息系統(tǒng)相關(guān)風(fēng)險(xiǎn)及其應(yīng)對(duì)體系。

從前面的講解中，我們將企業(yè)的信息系統(tǒng)風(fēng)險(xiǎn)及應(yīng)對(duì)體系的關(guān)系表示如下：

 

 

其中，信息系統(tǒng)整體控制環(huán)境是控制體系存在的大背景，決定了管理的基調(diào)和健康程度；應(yīng)用控制體系是風(fēng)險(xiǎn)應(yīng)對(duì)體系中直接對(duì)業(yè)務(wù)流程進(jìn)行有效支撐的保證；信息系統(tǒng)一般控制是風(fēng)險(xiǎn)應(yīng)對(duì)體系的基礎(chǔ)和內(nèi)核，為應(yīng)用控制體系的穩(wěn)健持續(xù)有效運(yùn)行提供保證。三層應(yīng)對(duì)體系共同構(gòu)成了企業(yè)信息技術(shù)風(fēng)險(xiǎn)應(yīng)對(duì)的控制體系，三者缺一不可。

在審計(jì)規(guī)劃階段，對(duì)于被審計(jì)單位信息系統(tǒng)整體控制環(huán)境、一般控制和應(yīng)用控制的了解，注冊(cè)會(huì)計(jì)師通常通過訪談和查看等方式獲得相關(guān)信息。除非有特殊必要，一般不在審計(jì)計(jì)劃初始階段對(duì)其進(jìn)行的詳細(xì)測(cè)試工作。對(duì)于信息系統(tǒng)一般控制和應(yīng)用控制的進(jìn)一步測(cè)試工作，將在審計(jì)執(zhí)行階段進(jìn)行介紹。  

 

（三）關(guān)于信息系統(tǒng)風(fēng)險(xiǎn)的一些常見問題解答

問題一：企業(yè)對(duì)使用信息系統(tǒng)所帶來風(fēng)險(xiǎn)的應(yīng)對(duì)體系與企業(yè)內(nèi)部控制體系之間是什么關(guān)系？

答：企業(yè)對(duì)使用信息系統(tǒng)所帶來的風(fēng)險(xiǎn)的應(yīng)對(duì)體系分為三個(gè)層面：

一個(gè)是信息技術(shù)整體（控制）環(huán)境，是信息技術(shù)使用和管理的大環(huán)境及基調(diào)；一個(gè)是業(yè)務(wù)層面，即我們通常所說的應(yīng)用控制體系；一個(gè)是基礎(chǔ)層面，即我們通常所說的信息系統(tǒng)一般控制體系。企業(yè)的內(nèi)部控制體系是企業(yè)實(shí)現(xiàn)全面風(fēng)險(xiǎn)應(yīng)對(duì)的全面控制體系。前者是后者的有機(jī)組成部分，并伴隨著企業(yè)信息化程度的提升而在內(nèi)控體系中的地位日益重要，占比日益提升。

 

問題二：信息系統(tǒng)一般控制和應(yīng)用控制的實(shí)現(xiàn)方式都是自動(dòng)的嗎？

答：不一定。

內(nèi)部控制的實(shí)現(xiàn)方式分為兩大類：系統(tǒng)自動(dòng)實(shí)現(xiàn)的自動(dòng)控制（automatic controls）和人工方式實(shí)現(xiàn)的人工控制（manual control）。其中，人工控制又分為純粹的不依賴系統(tǒng)數(shù)據(jù)或信息的人工控制和依賴于系統(tǒng)數(shù)據(jù)或信息的人工控制（IT-dependent manual control）。

信息系統(tǒng)一般控制是對(duì)信息系統(tǒng)的建設(shè)、變更、訪問及運(yùn)行維護(hù)相關(guān)風(fēng)險(xiǎn)的應(yīng)對(duì)控制體系。這些控制活動(dòng)的實(shí)現(xiàn)方式可能是系統(tǒng)自動(dòng)實(shí)現(xiàn)的自動(dòng)控制，例如通過 SVN 服務(wù)器實(shí)現(xiàn)變更程序的版本控制；也可能是人工方式實(shí)現(xiàn)的人工控制，例如系統(tǒng)中對(duì)于賬號(hào)權(quán)限申請(qǐng)的書面審批控制；也可能是基于系統(tǒng)數(shù)據(jù)而進(jìn)行的人工控制，例如，相關(guān)人員對(duì)于系統(tǒng)賬號(hào)權(quán)限的定期復(fù)核控制。

應(yīng)用控制是對(duì)業(yè)務(wù)流程支撐的過程中，依托系統(tǒng)相關(guān)的信息或數(shù)據(jù)所實(shí)現(xiàn)的相關(guān)控制。具體包括系統(tǒng)自動(dòng)控制、自動(dòng)計(jì)算、報(bào)表和系統(tǒng)數(shù)據(jù)、系統(tǒng)權(quán)限及職責(zé)分離和接口。其中，自動(dòng)控制、自動(dòng)計(jì)算和報(bào)表數(shù)據(jù)通常通過系統(tǒng)自動(dòng)方式實(shí)現(xiàn)，為自動(dòng)控制；系統(tǒng)權(quán)限及職責(zé)分離和接口通常是通過自動(dòng)或者是依賴于系統(tǒng)人工的方式實(shí)現(xiàn)。

因此，信息系統(tǒng)一般控制和應(yīng)用控制不一定全部是自動(dòng)控制，一般情況下是各種控制實(shí)現(xiàn)方式的組合。

（文章鏈接：http://www.cicpa.org.cn/pdfflash/201803.html，轉(zhuǎn)載請(qǐng)注明。）