NK-HJ业务层面自动控制-应用控制-1-审计指引.docx

业务层面自动控制（应用控制）审计指引 一、《企业内部控制审计工作底稿编制指南》关于信息技术应用控制的描述 信息技术应用控制一般要经过输入、处理-及输出等环节，与手工控制一样，自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。然而，自动系统控制造成的影响程度比信息技术一般控制要显著得多，并且需要进一步的手工调查。此外，所有的自动应用控制都会有一个手工控制与之相对应。例如，通过批次汇总的方式验证数据传输的准确性和完整性时，如果出现例外，就需要有相应的手工控制进行跟踪调查。理论上，在测试的时候，每个自动系统控制都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。例如，一笔交易被否定或者被作标记了，将会进行一个予工调查流程，并且被记录下来。下面将针对不同的信息处理目标来阐述应用控制的作用。 1.完整性 (1)顺序标号，可以保证系统每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。此时，系统提供一个无编号凭证的报告，如果存在例外，需要相关人员进行调查跟进。 (2) 编辑检查，以确保元重复交易录人，例如发票付款时，检查发票编号。 2. 准确性 (1)编辑检查，包括限制检查、合理性检查、存在性检查和格式检查等。 (2) 将客户、供应商、发票和采购订单等信息与现有数据进行比较。 3. 授权 (1)交易流程中必须存在恰当的授权。 (2) 将客户、供应商、发票和采购订单等信息与现有数据进行比较。 4 访问限制 (1)对某些特殊的会计记录的访问，必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限，并且符合职责分离原则。如果存在例外，必须进行调查。 (2) 访问控制必须满足适当的职责分离(比如，交易的审批和处理必须由不同的人员执行)。 (3) 对每个系统的访问控制都要单独考虑。密码必须要定期更换，并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告，管理层必须跟踪这些登录失败的具体原因。　 二、我们对信息系统应用控制的梳理 通过我对《企业内部控制审计工作底稿编制指南》关于信息技术应用控制的解读，我认为编制本指南的编制对信息技术应用控制的理解比较混乱，我们依照《企业内部控制审计工作底稿编制指南》基本无法有效的执行信息系统应用控制的审计。 应用控制和具体的应用系统有关，是为确保数据处理完整、正确而实施的控制。 实际在内部控制体系中不存在一种单独的控制称之为信息技术应用控制，我们知道具体的业务循环控制的控制方式分为：人工控制、自动控制和人工依赖系统控制。其中自动控制和人工依赖系统控制就是所谓的信息技术应用控制。所以，我们在审计企业时，想要执行应用控制的审计必须从了解企业的具体业务流程入手，识别企业业务循环控制的方式，才能进一步测试应用控制。鉴于我们的审计人员对于应用控制不熟悉，我把对于应用控制的理解梳理如下。 应用控制的目标是保证数据的完整性、准确性、可用性，应用控制通过授权、访问控制、数据校验、检测、检查、监控等方法来实现控制目标。 一般我们把信息系统处理数据划分为三个阶段：数据的采集与输入、数据处理、数据输出。在三个阶段我们通过相应的控制方法实现最终的控制目标。 　　1、数据采集与输入 　　电子商务环境下的会计数据采集分为两种类型：手工采集和自动采集。 　　手工采集方式下的控制：第一，原始单据审核控制。原始单据的审核实际上是对数据合法性的认定，财务人员应根据审核无误的单证输入有关业务数据，既不能重复，也不能遗漏，更不能擅自修改。确保输入系统的数据均被批准是输入控制的首要任务。第二，输入正确性控制。数据输入到计算机中后，在送入计算机处理之前要对数据进行人工目测核对，看输入的数据和原始单据有什么差异；然后，利用嵌入到计算机中校验程序进行检验。第三，数据输入完整性控制。在数据输入时，对一批处理的业务单证，以某种特征为基础（如凭证张数、金额）计算总数，输入该批业务之后，由计算机程序自动计算该批总数，二者予以核对，判断该批业务是否全部输入到计算机。第四，错误纠正控制。对于输入到系统中的错误数据应提供改正和重新输入的机会，并且对改错与重新输入也要实施控制，要保留修改痕迹。 　　自动采集方式下的控制：第一，网上公证控制：利用网络的实时传递功能实现原始交易凭证的三方监控。比如，每一家企业都在互联网认证机构申请数字签名和私有密钥，当交易发生时，交易双方将单据或有关证明均传到认证机构，由认证机构核对确认，进行数字签名并予以加密，然后将已加密凭证和未加密凭证同时转发给双方，这样就完成了一笔交易双方认可并经互联网认证机构公证的交易。在这种交易中，交易一方因无法获得另一方的数字签名和私有密钥，很难伪造或篡改交易凭证。主管人员或审计人员一旦