(二)信息技術(shù)應(yīng)用控制審計(jì)

  信息技術(shù)應(yīng)用控制一般要經(jīng)過(guò)輸入、處理及輸出等環(huán)節(jié),和手工控制一樣,自動(dòng)系統(tǒng)控制同樣關(guān)注信息處理目標(biāo)的四個(gè)要素:完整性、準(zhǔn)確性、經(jīng)過(guò)授權(quán)和訪問(wèn)限制。

  1.完整性

  (1)順序標(biāo)號(hào),可以保證系統(tǒng)每筆日記賬都是*10的,并且系統(tǒng)不會(huì)接受相同編號(hào),或者在編號(hào)范圍外的憑證。此時(shí),需要系統(tǒng)提供一個(gè)沒(méi)有編碼憑證的報(bào)告,如果存在例外,需要相關(guān)人員進(jìn)行調(diào)查跟進(jìn)。

  (2)編輯檢查,以確保無(wú)重復(fù)交易錄入,比如發(fā)票付款的時(shí)候,檢查發(fā)票編號(hào)。
 

  2.準(zhǔn)確性

  (1)編輯檢查,包括限制檢查、合理性檢查、存在性檢查和格式檢查等。

  (2)將客戶、供應(yīng)商、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。
 

  3.授權(quán)

  (1)交易流程中必須包含恰當(dāng)?shù)氖跈?quán)。

  (2)將客戶、供應(yīng)商、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。
 

  4.訪問(wèn)限制

  (1)對(duì)于某些特殊的會(huì)計(jì)記錄的訪問(wèn),必須經(jīng)過(guò)數(shù)據(jù)所有者的正式授權(quán)。管理層必須定期檢查系統(tǒng)的訪問(wèn)權(quán)限來(lái)確保只有經(jīng)過(guò)授權(quán)的用戶才能夠擁有訪問(wèn)權(quán)限,并且符合職責(zé)分離原則。如果存在例外,必須進(jìn)行調(diào)查。

  (2)訪問(wèn)控制必須滿足適當(dāng)?shù)穆氊?zé)分離(比如,交易的審批和處理必須由不同的人員來(lái)完成)。

  (3)對(duì)每個(gè)系統(tǒng)的訪問(wèn)控制都要單獨(dú)考慮。密碼必須要定期更換,并且在規(guī)定次數(shù)內(nèi)不能重復(fù);定期生成多次登錄失敗導(dǎo)致用戶賬號(hào)鎖定的報(bào)告,管理層必須跟蹤這些登錄失敗的具體原因。
 

  三、信息技術(shù)應(yīng)用控制與信息技術(shù)一般控制之間的關(guān)系

  應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的、有助予達(dá)到信息處理目標(biāo)的控制。例如輸入合法性限制。

  如果帶有關(guān)鍵的編輯檢查功能的應(yīng)用系統(tǒng)所依賴的計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷,注冊(cè)會(huì)計(jì)師可能就不能信賴上述編輯梭查功能按設(shè)計(jì)發(fā)揮作用。例如,程序變更控制缺陷可能導(dǎo)致未授權(quán)人員對(duì)檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改,以至于系統(tǒng)接受不準(zhǔn)確的錄人數(shù)據(jù)。