信息系统一般控制审计（上）

编者按

在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书，即将出版。本刊约请作者加以摘编，分期连载，以飨读者。

注册会计师在完成信息系统审计工作计划之后，就要进入信息系统审计的执行工作。我们将对信息系统审计的执行工作从信息系统一般控制、应用控制和数据三个领域分别阐述。

信息系统一般控制是整个信息系统审计的基础和内核，对被审计单位的应用控制和数据保驾护航，对整个财务报表产生普遍性的影响。如果信息系统一般控制没有得到有效设计或运行，依赖于其上的自动控制和手工控制就如建立在沙滩上的城堡，无法对财务报表提供有效的支撑。因此，如果信息系统一般控制和应用控制均在审计范围内，我们一般应该先安排执行信息系统一般控制的审计工作。在大致确保一般控制整体有效的前提下，再进行相关的应用控制审计的执行工作。如果一般控制整体无效或部分无效，我们需要评估无效的控制点对依赖其上的应用控制的影响，确认是否仍然可以依赖该应用控制点，以及在此背景下该应用控制点的审计策略和方法是否需要有所调整。

表1 信息系统建设生命周期各阶段的主要审计风险

表2 风险与控制目标、COBIT5模型及常见控制措施的对应关系

简言之，应用控制是否有效并可以被依赖、以及如何测试将在很大程度上取决于一般控制的有效性。因此，信息系统一般控制审计在整个审计过程中具有举足轻重的作用。

一、系统建设

（一）系统建设活动中与审计相关的特定风险

注册会计师在执行财务报表审计时，需要考虑被审计单位的信息系统建设活动可能对审计工作产生的影响。例如，信息系统建设活动是否与财务报表相关？相关程度如何？如果新建的信息系统与财务报表不相关（如工程辅助设计系统），注册会计师并不需要将其纳入审计范围。反之，注册会计师需要进一步考虑系统建设活动中与财务报表审计相关的特定风险，如表1所示。

（二）系统建设活动的重点关注领域

注册会计师应当根据对被审计单位信息技术环境的了解、财务报表对信息技术的依赖程度，以及可能使财务报表产生重大错报的信息技术相关风险评估情况，确定对财务报表认定有直接或间接影响的信息系统。如果被审计单位的系统建设活动涉及以下几类信息系统，注册会计师通常需要 予以关注：

表3 确定系统建设审计领域控制测试时的考虑

表4 系统建设审计领域常见审计发现及其影响

1. 财务系统：通常涵盖总账、固定资产、应收账款、应付账款等模块，是被审计单位日常会计核算的基础应用系统。其功能定位决定了这类信息系统对财务报表认定具有直接影响。因此，如果被审计单位在审计期间进行了财务系统的开发活动，注册会计师通常应当将财务系统纳入信息系统审计范围，并对与该系统开发相关的风险和控制的设计与执行给予充分的考虑和评估。

2. 报表平台：通常包括三类，一类是专门执行合并报表编制的平台，能够根据配置自动执行合并抵消，并出具合并层面的财务报表，如Oracle Hyperion产品；第二类是从业务系统抽取数据生成报表，供财务人员做账时查询；第三类是支持企业对外报送信息的系统，如根据税务法律法规，专门生成符合报税格式和规范的财务报表。如果注册会计师确定这类信息系统对财务报表认定具有直接影响，通常应当将其纳入信息系统审计范围。

3. 业务系统：通常是支撑被审计单位生产经营活动开展的事务处理与管控系统，具体表现形式多样。如制造业企业的ERP系统，零售企业的POS系统、进销存系统、客户关系管理系统，商业银行的贷款系统，电商的订单处理系统等。值得注意的是，在现代企业中，业务端与财务端在信息技术的推动下逐渐融合，如SAP、Oracle等ERP产品，财务相关的功能往往作为ERP系统的一个模块而存在；或者系统之间存在着自动化的接口，财务系统通过接口与业务系统同步数据并进行账务处理；或者业务系统能够生成相关的报表，供财务人员查询并做会计核算和账务处理。在这样的信息技术运用环境中，业务系统应当被认为对财务报表认定具有直接影响，通常应当将其纳入信息系统审计范围。

表5 统变更流程各阶段主要任务

表6 系统变更各阶段的主要审计风险

表7 风险与控制目标、COBIT5模型及常见控制措施的对应关系

4. 工作流系统：通常能够根据用户角色和权限，以及工作流的配置和定义，自动触发并处理各类工作请求。常见的形式是办公自动化系统。注册会计师需要谨慎对待此类系统，并评估工作流处理的对象对于财务报表认定是否具有直接或间接影响。例如，主营业务的采购或销售合同条款的录入与审批在办公自动化系统中执行，审批通过后，合同条款自动经由数据接口同步进入ERP系统作为采购或销售事务结算的依据，在这种情形下，办公自动化系统处理的对象对于财务报表认定具有直接的影响。还有一类工作流系统，处理信息系统相关的工作请求，如系统变更、后台数据更正等。虽然与被审计单位开展的生产经营活动并不直接相关，但却是信息系统一般控制的基础管控平台，注册会计师通常应当予以充分考虑。

（三）系统建设审计领域相关控制的一般要素

注册会计师需要确定财务报表审计对信息系统的依赖程度，并在此基础上对纳入审计范围的信息系统的系统建设领域相关控制进行了解、评估和验证，系统建设审计领域相关控制的一般要素包括：

1. 对开发和实施活动的控制和管理；

2. 项目启动；

3. 系统分析与设计；

4. 编码开发与配置；

5. 测试与质量保证；

6. 数据清洗、转换与迁移；

7. 程序实施；

8. 记录和培训；

9. 职责分离。

系统建设各阶段面临的财务报表审计相关特定风险与控制目标、COBIT5模型及常见控制措施的对应关系如表2所示。

表8 确定系统开发审计领域内部控制测试时的考虑

（四）系统建设审计领域控制测试的执行

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》，注册会计师应当根据被审计单位的特定信息技术环境，对财务报表重大错报风险进行识别，了解并评价与财务报表审计相关的内部控制。就系统建设审计领域的内部控制而言，识别和了解与企业财务报告相关的内部控制，并确定控制测试的性质、时间安排和范围,通常需要关注内容见表3。

必须指出的是，以上考虑并非在任何情况下均适用，也并不能完全涵盖所有情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。

在执行系统建设领域的审计工作时，注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接影响，并据此评估对审计程序的性质、时间安排和范围的影响。系统开发审计领域常见的审计发现及其影响列示见表4。

二、系统变更

信息系统建设完成后，系统进入运行维护期。在这个时期，对于信息系统进行维护目的修复、更新或者增强，即可视为系统变更。从变更的方式上来看，系统变更又可以分为两类，即代码级变更和配置级变更。前者是通过直接更改程序代码而后重新编译软件的方式对系统进行修复、更新或者增强；而后者则是通过更改配置项目的方式实现系统变更。

（一）系统变更的阶段和主要任务

系统变更的最根本特点是针对已经存在的信息系统而进行的。系统变更也可以划分为若干个相对独立的阶段，每个阶段的名称及其主要任务如表5所示。

（二）系统变更活动对财务报表编制和审计的影响

注册会计师需要考虑被审计单位的信息系统变更可能对审计工作产生的影响。最根本的问题是，被审计单位的信息系统变更是否与财务报表相关？具体相关程度如何？是否会对信息系统应用控制产生影响？如果发生变更的信息系统与财务报表不相关，注册会计师并不需要将其纳入审计范围。如果有充分证据证明，自上一次测试后，与财务报告相关的信息系统没有发生变化，则注册会计师也可以考虑相应减少或省去对系统变更控制的测试。反之，注册会计师需要进一步考虑系统变更活动中与财务报表审计相关的特定风险，如表6所示。

（三）系统变更审计领域的相关控制

系统变更审计领域相关控制是围绕系统变更活动的一系列程序或机制，它们能够确保对系统程序和相关技术基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。系统变更审计领域的相关控制要保证系统变更是在经过充分测试并获得管理层的适当授权后，才由适当的人员实施到企业的生产环境中。

表9 系统变更审计领域常见审计发现及其影响

系统变更审计领域相关控制的一般要素包括：

1. 对系统变更活动的整体管理；

2. 对变更请求的规范、授权与跟踪；

3. 编码开发；

4. 测试和质量保证；

5. 程序实施；

6. 记录和培训；

7. 职责分离。

系统变更各阶段面临的财务报表审计相关特定风险，与控制目标、COBIT5模型及常见控制措施的对应关系如表7所示。

（四）系统变更审计领域的测试

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》，在风险导向审计模式下，注册会计师应当根据被审计单位的特定信息技术环境，对财务报表重大错报风险进行识别，了解并评价与财务报表审计相关的内部控制。

就系统变更审计领域的内部控制而言，识别和了解与企业财务报告相关的内部控制，并确定控制测试的性质、时间安排和范围通常需要关注的内容如表8所示。

必须指出的是，以上考虑要点并非在任何情况下均适用，也并不能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。

在执行系统变更审计领域的审计工作时，注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响，并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将系统变更审计领域常见的审计发现及其影响列示如表9。