最详细的CPA审计》复习笔记第05章03.docVIP

第五章　信息技术对审计的影响 第三节　信息技术中的一般控制和应用控制测试 【考点一】信息技术中的一般控制测试 1.信息技术一般控制的含义 信息技术一般控制，是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。 2.信息技术一般控制的环节 （1）程序开发 程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。 （2）程序变更 程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。 （3）程序和数据访问 程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。 （4）计算机运行 计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。 【考点二】信息技术中的应用控制测试 1.信息技术应用控制的含义 信息技术应用控制，是设计在计算机应用系统中的、有助于达到信息处理目标的控制。 2.信息技术应用控制的环节和要素 信息技术应用控制一般要经过输入、处理及输出等环节。 和人工控制类似，系统自动控制关注的要素包括：完整性、准确性、存在和发生等。 各要素的主要含义如下： （1）完整性 系统处理数据的完整性，例如：各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。 （2）准确性 系统运算逻辑的准确性，例如，金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。 （3）存在和发生 信息系统相关的逻辑校验控制。例如，限制检查、合理性检查、存在检查和格式检查等。 部分业务操作的授权管理，例如，入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。 【考点三】公司层面信息技术控制审计（2015年新增内容，教材P99） 除信息技术一般控制和应用控制外，目前国内外企业的管理层也越来越重视公司层面的信息技术控制管理。常见的公司层面的信息技术控制包括但不限于： 1.信息技术规划的制定； 2.信息技术年度计划的制定； 3.信息技术内部审计机制的建立； 4.信息技术外包管理； 5.信息技术预算管理； 6.信息安全和风险管理； 7.信息技术应急预案的制定； 8.信息系统框架和信息技术复杂性。 【考点四】信息技术一般控制、应用控制与公司层面控制三者之间的关系（新增内容，教材P99） （一）总体关系 1.公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调； 2.信息技术一般控制是基础，信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。 （二）公司层面信息技术控制是公司信息技术整体控制环境 1.公司层面信息技术控制要素 公司层面信息技术控制情况代表了该公司信息技术控制的整体环境，包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等。 2.公司层面信息技术控制影响信息技术一般控制和信息技术应用控制 公司层面信息技术控制要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。例如，如果某公司使用了较多的信息技术外部资源和服务，则可能会相应地提高外部用户管理和外联接口失效的风险，因此需要更多关注信息技术一般控制领域内的用户管理类控制，特别是外部用户管理机制，以及信息技术应用控制的外部系统接口管理机制等。 （三）注册会计师需要了解公司的信息技术整体控制环境 根据目前信息技术审计的业内最佳实践，注册会计师在执行信息技术一般控制和信息技术应用控制审计之前，会首先执行配套的公司层面信息技术控制审计，以了解公司的信息技术整体控制环境，并基于此是识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。 （四）信息技术一般控制的缺陷影响信息技术应用控制 1.编辑检查功能的信息技术一般控制的缺陷 如果在带有关键的编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如，程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的变成逻辑进行修改，以至于系统接受不准确的录入数据。 2.安全和访问权限信息技术一般控制的缺陷 与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性基础本来应能是系统拒绝处理金额超过最大容差范围的支付操作。 高顿财经CPA培训中心 need to use loan fun