什么是信息技術(shù)應(yīng)用控制測試？

在信息技術(shù)環(huán)境下，手工控制的基本原理與方式在信息環(huán)境下并不會發(fā)生實質(zhì)性的改變，注冊會計師仍需要按照標(biāo)準(zhǔn)執(zhí)行相關(guān)的審計程序，而對于自動控制，就需要從信息技術(shù)一般控制審計與信息技術(shù)應(yīng)用控制審計兩方面進行考慮。

信息技術(shù)應(yīng)用控制一般要經(jīng)過輸入、處理及輸出等環(huán)節(jié)，與手工控制一樣，自動系統(tǒng)控制同樣關(guān)注信息處理目標(biāo)的四個要素：完整性、準(zhǔn)確性、經(jīng)過授權(quán)和訪問限制。然而，自動系統(tǒng)控制造成的影響程度比信息技術(shù)一般控制要顯著得多，并且需要進一步的手工調(diào)查。另外，所有的自動應(yīng)用控制都會有一個手工控制與之相對應(yīng)。例如，通過批次匯總的方式驗證數(shù)據(jù)傳輸?shù)?b>準(zhǔn)確性和完整性時，如果出現(xiàn)例外，就需要有相應(yīng)的手工控制進行跟蹤調(diào)查。理論上，在測試的時候，每個自動系統(tǒng)控制都要與其對應(yīng)的手工控制一起進行測試，才能得到控制是否可信賴的結(jié)論。例如，一筆交易被否定或者被作標(biāo)記了，將會進行一個手工調(diào)查流程，并且被記錄下來。下面將針對不同的信息處理目標(biāo)來闡述應(yīng)用控制的應(yīng)用：

1.完整性。

（1）順序標(biāo)號，可以保證系統(tǒng)每筆日記賬都是唯一的，并且系統(tǒng)不會接受相同編號，或者在編號范圍外的憑證。此時，需要系統(tǒng)提供一個沒有編號憑證的報告，如果存在例外，需要相關(guān)人員進行調(diào)查跟進。

（2）編輯檢查，以確保無重復(fù)交易錄人，例如發(fā)票付款的時候，檢查發(fā)票編號。

2.準(zhǔn)確性。

（1）編輯檢查，包括限制檢查、合理性檢查、存在性檢查和格式檢查等。

（2）將客戶、供應(yīng)商、發(fā)票和采購訂單等信息與現(xiàn)有數(shù)據(jù)進行比較。

3.授權(quán)。

（1）交易流程中必須存在恰當(dāng)?shù)氖跈?quán)。

（2）將客戶、供應(yīng)商、發(fā)票和采購訂單等信息與現(xiàn)有數(shù)據(jù)進行比較。

4.訪問限制。

（1）對于某些特殊的會計記錄的訪問，必須經(jīng)過數(shù)據(jù)所有者的正式授權(quán)。管理層必須定期檢查系統(tǒng)的訪問權(quán)限來確保只有經(jīng)過授權(quán)的用戶才能夠擁有訪問權(quán)限，并且符合職責(zé)分離原則。如果存在例外，必須進行調(diào)查。

（2）訪問控制必須滿足適當(dāng)?shù)穆氊?zé)分離，例如，交易的審批和處理必須由不同的人員執(zhí)行。

（3）對每個系統(tǒng)的訪問控制都要單獨考慮。密碼必須要定期更換，并且在規(guī)定次數(shù)內(nèi)不能重復(fù)；定期生成多次登錄失敗導(dǎo)致用戶賬號鎖定的報告，管理層必須跟蹤這些登錄失敗的具體原因。