注册会计师

3.程序和数据访问

程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。

4.计算机运行

计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。

(二)信息技术应用控制审计

信息技术应用控制一般要经过输入、处理及输出等环节，和手工控制一样，自动系统控制同样关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。然而，自动系统控制造成的影响程度比信息技术一般控制要显著得多，并且需要进一步的手工调查。另外，所有的自动应用控制都会有一个手工控制与之相对应。例如，通过批次汇总的方式验证数据传输的准确性和完整性时，如果出现例外，就需要有相应的手工控制进行跟踪调查。理论上，在测试的时候，每个自动系统控制都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。例如，一笔交易被否定或者被作标记了，将会进行一个手工调查流程，并且被记录下来。下面将针对不同的信息处理目标来阐述应用控制的应用。

1.完整性

(1)顺序标号，可以保证系统每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。此时，需要系统提供一个没有编号凭证的报告，如果存在例外，需要相关人员进行调查跟进。

(2)编辑检查，以确保无重复交易录入，比如发票付款的时候，检查发票编号。

2.准确性

(1)编辑检查，包括限制检查、合理性检查、存在性检查和格式检查等。

(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。

3.授权

(1)交易流程中必须包含恰当的授权。

(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。

4.访问限制

(1)对于某些特殊的会计记录的访问，必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限，并且符合职责分离原则。如果存在例外，必须进行调查。

(2)访问控制必须满足适当的职责分离(比如，交易的审批和处理必须由不同的人员来完成)。

(3)对每个系统的访问控制都要单独考虑。密码必须要定期更换，并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告，管理层必须跟踪这些登录失败的具体原因。

三、信息技术应用控制与信息技术一般控制之间的关系

应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。例如，许多应用系统中包含很多编辑检查来帮助确保录入数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式)，存在性检查(如客户编码存在于客户主数据文档之中)，或合理性检查(如最大支付金额)。如果录入数据的某一要素未通过编辑检查，那么系统可能拒绝录入该数据或系统可能将该录人数据拖入系统生成的例外报告之中，留待后续跟进和处理。

如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如，程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改，以至于系统接受不准确的录入数据。此外，与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围的支付操作。

相关推荐：

2012年注册会计师考试科目审计精选讲义第十一章汇总

2012年注册会计师考试科目审计精选讲义第十章汇总

更多关注：注册会计师考试试题 注册会计师辅导资料  考试培训 报考指南

（责任编辑：xll）

共3页,当前第2页  第一页  前一页  下一页