2.4.3 信息技术对内部控制评价的影响

在信息技术环境下，传统的手工控制越来越多地被自动控制替代。同时，对自动控制的依赖也可能给企业带来财务报告的下列重大错报风险：信息系统或相关系统程序可能会对数据进行错误处理，也可能会处理那些本身就错误的数据；自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险；数据丢失风险或数据无法访问风险，如系统瘫痪；不适当的人工干预，或人为绕过自动控制。

在信息技术环境下，手工控制的基本原理与方式并不会发生实质性的改变，审计人员仍需要按照标准执行相关的审计程序，而对于自动控制，审计人员应从信息技术一般性控制与信息技术应用控制两方面考虑对内部控制评价的影响。

1.信息技术一般性控制对内部控制评价的影响

信息技术一般性控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面，审计人员应对这四个方面的内部控制进行评价。

（1）程序开发。程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括：对开发和实施活动的管理，项目启动、分析和设计，对程序开发实施过程的控制软件包的选择，测试和质量确保，数据迁移，程序实施，记录和培训，职责分离。

（2）程序变更。程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。程序变更控制一般包括以下要素：对维护活动的管理，对变更请求的规范、授权与跟踪，测试和质量确保，程序实施，记录和培训，职责分离。

（3）程序和数据访问。程序和数据访问领域的控制程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。

（4）计算机运行。计算机运行领域的目标是确保生产系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行的子组件一般包括对计算机运行活动的总体管理、审批调度和审批处理、实时处理、备份和问题管理以及灾难恢复。

2.信息技术应用控制对内部控制评价的影响

信息技术应用控制一般要经过输入、处理及输出等环节。和手工控制一样，自动系统应用控制同样关注信息处理目标的四个要素，即完整性、准确性、授权以及访问权限。

（1）完整性控制，包括顺序编号，可以保证系统每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。完整性控制还包括编辑检查，以确保无重复交易录入，比如发票付款的时候，检查发票编号。

（2）准确性控制，包括编辑检查，即限制检查、合理性检查、存在性检查和格式检查等，将客户、供应商、发票和采购订单等信息与现有数据进行比较。

（3）授权控制，包括交易流程中必须包含恰当的授权，将客户、供应商、发票和采购订单等信息与现有数据进行比较。

（4）访问权限控制，包括以下几方面：一是对某些特殊的会计记录的访问，必须经过数据所有者的正式授权，管理层必须定期检查系统的访问权限，以确保只有经过授权的用户才能够访问，并且符合职责分离原则。二是访问权限控制必须满足适当的职责分离，如交易的审批和处理必须由不同的人员来完成。三是对每个系统的访问权限控制都要单独考虑，密码必须定期更换，并且在规定期间内不能重复；定期生成多次登录失败导致用户账号锁定的报告，管理层必须调查登录失败的具体原因。