信息系统应用控制审计(上)
2018-07-19
行业信息化专题
在审计计划阶段,注册会计师通过对拟依赖的信息系统应用控制和数据进行初步了解和识别,以辅助于审计范围和审计计划的确定。需要强调的是,信息系统应用控制范围的确定是一个由浅入深的过程,在审计初步计划阶段,注册会计师获取的只是应用控制的初步范围,详细审计范围的确定需要在详细审计计划阶段和审计执行初期,通过资深注册会计师对各业务流程进行端到端的了解过程才能逐步确定。因此,应用控制审计是一个循序渐进的过程,很难将审计计划阶段和执行阶段完全割裂开来。随着审计活动的深入,审计范围及计划往往伴随着修正和更新,以确保审计效果的优化和效率的提升。
一、应用控制的类型
应用控制(Application Controls)指的是企业内部控制系统中与系统相关的业务层面控制。应用控制具备以下两方面的特征:
(1)应用控制或多或少是在信息系统的参与下完成的;
(2)应用控制是存在于业务流程或交易层面和过程中的内部控制。
常见的信息系统应用控制包括以下几种基本类型:(1)自动控制;(2)系统报表;(3)自动计算;(4) 访问控制;(5)系统接口。
下面分别对这几种应用控制类型进行详细解释及阐述。
(一)自动控制
系统自动控制是通过计算机应用系统后台逻辑或参数设置强制执行的控制。系统自动控制由于是系统自动实现的,少有人为干预而具有高度的一致性和稳定性。一旦设定成功,在系统没有发生变更并且运行维护正常的情况下,往往能持续地保证该功能和控制的正常有效运行。
例如,在采购过程中的三单匹配控制。系统自动进行采购、收货和付款三单匹配操作,符合系统设定逻辑的匹配才能顺利通过到下一步操作处理,否则系统提出警告生产例外数据报告或拒绝操作的下一步流转。
(二)系统报表
系统报表是指通过程序设定由系统自动进行信息归集、逻辑处理和展示的符合一定逻辑的数据集合。系统报表可以通过前台应用界面或基于web的网页进行展示,也有部分企业的报表是通过批处理程序从后台运行得出的。这些报表通常被用于执行手工控制或进行下一步业务流程操作使用,从而直接或间接成为财务报表上数字的来源或支撑。
例如,典型的系统报表是例外报告。对于顺序编号的文档,系统将丢失的或者重复的文件编号,自动生成一份例外报告数据,用于后续手工跟进解决。这里的例外报告就是一份系统生成报表。
(三)自动计算
系统自动计算是指通过系统程序按照预先设定的逻辑由程序自动完成的计算、分类、预测等业务处理过程。
自动计算这一应用控制的有效设计和运行往往涉及到其他应用控制(如自动控制和访问控制)设计及运行的有效性。注册会计师在拟依赖相关计算的时候需要综合考虑,防止某一环节的设计或运行不当导致自动计算的失效。
(四)访问控制
信息系统访问控制即保证系统由合适的人进行合适的操作,从而确保系统按照设定的方式运转的应用控制。让合适的人对系统做合适的事就是我们所说的访问控制。也就是说,访问控制约束的是人和系统的交互。人与系统交互是通过一定的账号和权限来实现的,因此这个过程需要通过系统账号和权限设定来实现。要实现这样的预期,实际上涉及到两个层面的问题:
一是系统中权限的设计问题。即系统的权限设计能帮助访问者正确实现操作功能。权限设计一般需要满足以下条件:(1)实现必要的权限要素/单元的定义和分割,符合最小权限要素/单元原则。(2)权限设计正确,符合业务预期。(3)对相互冲突的权限进行了职责分离。
二是权限赋予问题,即“让正确的人做正确的事”。权限赋予的正确性包括下列含义:(1)将正确的权限赋予给了正确的岗位以确保权限与岗位职责相符。(2)权限赋予要符合“知所必需”的原则,防止赋予过多不必要的权限。(3)权限赋予实现了职责分离的要求,避免将冲突权限赋予给同一个账号。
(五)系统接口
系统接口是系统之间的信息交互渠道。数据从源系统通过一定的通道(如应用系统层、数据库层、操作系统层和网络层等)流转到目标系统,这个过程就是系统接口实现的功能。如果把系统比喻成城市的话,系统接口就相当于城市之间的道路、桥梁等交通基础设施,帮助各个城市间的资源流转和交互。
在信息技术高速发展的今天,一个企业只使用一个单一的信息系统,即所谓的信息孤岛的情形已经比较少见,取而代之的是各种高内聚,低耦合的不同系统在企业运营的中高频次进行着各种实时、半实时或定时的信息交互,对实现信息的增值和企业正常高效运作起到的至关重要的作用。如何保证系统接口传递的信息/数据的准确性和完整性,自然成为了企业管理者和注册会计师要考虑的一个重要议题。
以上就是应用控制的5种基本类型。接下来,我们将进一步阐述应用控制能实现哪些信息处理目标,这些目标与财务报表认定之间存在何种关系的问题。
二、信息处理目标
信息处理目标(Information processing objectives)是一套与控制相关的管理层目标体系。这一套目标体系为业务层面控制活动设计有效性的评估提供了有用的框架。对于各个业务流程及相关的交易流而言,控制活动的设计和执行需要能确保经授权的交易被准确完整地记录和处理,并且一旦记录处理完成,能避免被非授权地修改,如此才能达到业务按管理层预期方式运行的效果。
表1 信息处理目标
表3 准确性常见控制技术举例
表4 有效性常见控制技术举例
由于信息处理目标是业务层面交易控制目标,因此,这套目标仅适用于业务层面的控制活动。在系统审计中,信息处理目标与应用控制相关。由于信息系统一般控制活动不是业务流程或交易层面的控制,因此,信息处理目标与信息系统一般控制不相关。
(一)信息处理具体目标
具体而言,信息处理目标可以概括为四个目标(如表1所示)。
对于四个信息处理目标(CAVR),企业有一些常见的控制技术来确保相关信息处理目标的实现。下面,分别进行举例。
1. 完整性常见控制技术举例(如表2所示)。需要说明的是,完整性相关的这些控制技术需要管理层及时复核并跟进异常情况,以确保控制执行的有效性。
2. 准确性常见控制技术举例(如表3所示)。在很多完整性控制技术中,这些控制技术在提供完整性保证的同时,也提供了准确性。例如,批量汇总,自动匹配,逐一检查等。
3. 有效性常见控制技术举例(如表4所示)。
4. 访问限制常见控制技术举例(如表5所示)。
(二)信息处理目标的应用
当注册会计师计划依赖财务报表业务流程中的相关控制的时候,简单的识别和测试与信息处理目标中的某一个特定目标相关的控制活动是不够的,注册会计师需要确保在这个业务流程或子流程中,四个信息处理目标都需要被达成。
如果在信息处理的某一个阶段,某一信息处理目标没有被实现,那么在后续的业务过程中产生的数据和信息可能是不可靠的。这些数据和信息可能反映的是没有发生的、不完整的、或者是逻辑不准确的交易和事件,也可能反映的是不存在的资产或负债。
控制技术具体阐述管理层定期核对文件总数与独立维护的控制总数以确保没有发生未经授权的修改。控制总数可能是手工维护的一个清单,例如,手工记录的总账中的AR余额与AR系统中的应收金额的比对。例外报告(Exception Report)数据安全(Data Security)大部分的业务数据都储存在一定的数据环境中(如数据文件,数据库或云)。一般而言,数据安全作为系统一般控制的一部分进行测试,但是,注册会计师需要注意将一般控制测试的内容与特定业务目的数据安全进行关联,以确保特定数据的访问安全。文件核对(File Reconciliations)例外报告在完整性,准确性中都有广泛使用,这一控制技术在访问限制中也可以被使用。例如,一份主数据修改的报告可以被用于管理层复核,以便于确认主数据的没有被非授权的修改。
信息处理目标 财务报表认定完整性(Completeness) 完整性,截止,存在和发生,分类准确性(Accuracy) 准确性,计价和分摊有效性(Validity) 存在和发生,权利和义务访问限制(Restrict Access) 除了权利和义务以外,可能大部分相关
注册会计师需要考虑验证交易的有效性;数据录入和处理的完整性和准确性;在录入、处理和记录过程中的访问限制。评估实现某一信息处理目标的控制活动缺失是否可能造成的财务报表重大错报。
一旦注册会计师认定控制活动的设计可以合理应对相关的风险且控制被执行,注册会计师就可以选择业务层面的相关控制以测试其运行有效性,并考虑这些控制能为哪些财务报表认定提供审计证据了。
(三)信息处理目标与财务报表认定的关系
信息处理目标对财务报表的认定实现是至关重要的。如果保证信息处理目标的控制活动是有效的,注册会计师需要判断这些控制活动能为哪些财务报表认定提供审计证据。
与控制活动与财务报表认定的关系类似,一个控制活动可能可以实现多个信息处理目标,一个信息处理目标也可能由多个控制活动来实现。
那么,信息处理目标与财务报表认定之间是什么关系呢?尽管信息处理目标看上去和财务报表认定很类似,但是他们之间不是一对一的关系,而且这两套体系的使用目的是不同的。信息处理目标是用于评估控制活动设计的有效性,特别是业务流程中的应用控制。而财务报表认定是用于管理层对于财务报表公允表达的陈述。
表6列式了信息处理目标和财务报表认定之间的对应关系。
从表6不难发现,访问限制对于财务报表认定具有最为广泛的影响。因为很多的认定的达成都取决于该目标的实现。例如,满足存货的存在和发生认定会取决于内控设计中的存货物理保护。再如,存货的计价和分摊认定在存货成本表没有被合理限制访问的时候将无法达成。
在审计工作底稿中,明确记录信息处理目标并非是必须的。这些信息的记录将有助于帮助注册会计师对于业务层面控制设计有效性的判断。因此,注册会计师在业务流程和相关子流程的记录中通常会包括该信息。