【问题】
什么是信息处理控制?与信息技术一般控制有何区别和联系?
【简要答案】
信息处理控制是指与被审计单位信息系统中信息技术应用程序进行的信息处理和人工进行的信息处理相关的控制,包括输入、处理及输出环节的控制,关注完整性、准确性、授权和访问限制。信息技术一般控制是对整个信息系统实施的普遍影响的控制,信息处理控制是嵌入具体应用系统中的控制,一般控制的有效性直接关系到信息处理控制的有效性是否能够信任。
【政策依据】
- – 《2026年CPA审计教材》第九章《信息处理控制》及”三类信息技术控制之间的关系”
【详细解读】
- 信息处理控制定义:与被审计单位信息系统中(1)信息技术应用程序进行的信息处理;(2)人工进行的信息处理相关的控制。
- 控制环节:经过输入、处理及输出等环节。与人工控制类似,系统自动化控制关注的要素包括:完整性、准确性、授权和访问限制。
- 各要素含义: – 完整性:系统处理数据的完整性,如数据传输的完整性、交易记录的完整性 – 准确性:系统运算逻辑的准确性,如利息计提逻辑、成本运算逻辑 – 授权和访问限制:逻辑校验控制(限制检查、合理性检查、存在检查和格式检查)和业务操作授权管理
- 常见信息处理控制审计关注点: – 系统自动生成报告(测试生成逻辑和异常报告跟进) – 系统配置和科目映射(测试配置的有效性) – 接口控制(测试数据传输的完整性和准确性) – 访问和权限(测试权限授予的合理性)
- 与信息技术一般控制的关系:信息技术一般控制是基础,其有效性直接关系到信息处理控制的有效性是否能够信任。如果在带有关键编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。
【例子说明】
【例】B公司的销售系统中设有自动控制,注册会计师需要对其进行测试,请问信息处理控制与信息技术一般控制有何区别和联系?
1. 场景设定:B公司使用SAP系统处理销售业务,系统在销售订单录入时自动执行多项校验。
2. 规则引用:信息处理控制关注输入、处理和输出环节的完整性、准确性、授权和访问限制。
3. 具体推导:B公司销售系统的自动化控制包括:输入环节——系统检查客户编码是否存在于主数据(存在检查),订单金额是否超过预设上限(合理性检查);处理环节——系统根据商品价格主数据自动计算销售金额(运算逻辑准确性),自动生成连续编号的销售发票(完整性);输出环节——系统生成销售日报表,异常交易自动标记(完整性)。但注册会计师发现系统管理员可以直接修改商品价格主数据(信息技术一般控制缺陷),这意味着信息处理控制中的价格校验控制可能被绕过。
4. 最终结论:由于信息技术一般控制存在缺陷(管理员可直接修改价格主数据),注册会计师不能仅依赖信息处理控制中的自动价格校验,需要额外实施实质性程序验证销售价格的准确性。