会计信息系统的内部控制与测试

摘要：本文首先概述了企业级会计信息系统内部控制的主要环节，随后提出了内部控制测试的两大类型：黑箱法和白箱法；最后重点论述了白箱法下的5种计算机辅助控制测试技术：测试数据、基本案例系统评估、追踪、综合测试框架和平行模拟。

关键字： AIS 内部控制 控制测试 IT审计

在国家“以信息化带动工业化”的指导方针下，企业借助于信息化手段，将业务流程优化重组的成果固化到ERP等企业管理信息系统中。对于中小型企业而言，财务流程的优化和传承是企业信息化建设的核心，因此中小型企业信息系统通常也称为企业级会计信息系统。

一、企业级会计信息系统的内部控制

企业通常使用COSO作为内部控制整体框架，而COBIT是业界常用的企业IT内控框架。企业级会计信息系统中的内部控制就是在COBIT4.1框架的指导下，以业务为中心、以流程为导向、以控制为基础、以指标测评为驱动来设计和实施的，并将企业级会计信息系统的内部控制分为一般控制与应用控制两大类。

一般控制适用于较宽范围的风险，这些风险系统地威胁到IT环境中所有应用程序的完整性。不同企业级会计信息系统的一般控制目标、过程和手段大致相同。

应用控制是为了针对特定系统的风险，如应收账款等。应用控制的测试涉及到具体的审计目标，如检查应付账款的完整性。应用控制又可进一步细分为三个主要的控制环节：输入控制、处理控制和输出控制。

常见的输入控制措施有原始凭证控制、数据编码控制、批控制、校验控制、输入错误更正控制和通用数据输入系统控制等。交易经过数据输入阶段后，进入处理阶段。

处理控制的目的是保留系统中单个记录和各批记录的完整性，同时确保留有足够的审计轨迹。处理阶段的控制包括三大类：运行间控制、操作员干预控制及审计轨迹控制。IT环境下，审计轨迹变得零散而且难以追踪。企业级会计信息系统通过交易日志、错误报告、交易列表等文件来保存审计轨迹。

输出控制用来确保系统输出的信息没有丢失、泄密、侵犯隐私权等。一般来说，批处理系统与实时系统相比，更容易受机密泄露的影响，因此对输出控制的要求也更高。

二、内部控制的测试类型

企业级会计信息系统内部控制中应用控制的测试类型分两种：黑箱法和白箱法。

黑箱法是绕过计算机的审计过程，而白箱法要求审计人员对会计信息系统软件的应用程序的处理和控制逻辑有一个详细了解。审计人员实行黑箱法测试时，不依赖有关计算机应用程序的内部逻辑的具体知识，而是通过分析控制流程图和询问客户公司的专业人员来了解应用程序的功能特征。在对应用程序的功能有了详细了解之后，审计人员才开始对应用程序进行测试——主要通过观察由应用程序处理的生产输入交易是否和预期输出结构相一致。黑箱法的优点是：不必将应用程序从实际服务中单独拿出来就可以直接进行测试。这种方法对测试相对简单的应用程序尤其适用。

白箱法要求审计人员对被测应用程序的内部处理逻辑有深刻的理解。审计人员能够利用已知的变量实行详细测试，获得结果，并与预期的正确结果进行客观的比较。白箱法可以较好地实现真实性、准确性、完整性、冗余性、访问控制、审计轨迹保留和取整错误控制的测试。

当会计信息在计算过程中使用的精确度大于报告中所使用的精确度时，取整错误就有可能发生。例如，根据储蓄账户的余额而计算的利息精确到小数点后5位，而财务报告中要求各表间项目余额精确到小数点后2位。如果舍弃最后的三位小数，根据账户余额计算的利息额一般都不等于根据单个账户余额计算的利息的加总额，此时就需运行取整程序。

取整程序非常容易成为萨拉米舞弊的目标。萨拉米舞弊是指针对大量的受害者，但对每一个受害者的危害却非常小的一类舞弊行为。有的操作系统的审计轨迹和审计软件可以发现异常文件操作，如大量的交易记录进入了同一账户。因此萨拉米舞弊者会伪装自己的行为——将交易记录先集中到若干个中间临时账户中，然后再过入到更少的几个账户中，最后才集中到罪犯的个人账户。通过使用不同等级的过渡账户，传递给某单个账户的交易次数减少了，从而不易被审计软件发现。

三、白箱法下的控制测试技术

实务界常用以下5种基于白箱法的计算机辅助控制测试技术，他们分别是测试数据、基本案例系统评估、追踪、综合测试框架和平行模拟。

（一）测试数据

控制数据是用来检验应用程序完整性的，通常的做法是用专门设计的输入数据，将每次系统处理的测试结果与事先的预期值相比较，以获得有关应用程序处理逻辑和控制有效性的客观评价。此时，审计人员应该获得一份当前版本的应用程序备份，还应该事先创建测试交易文件和测试主文件。测试交易可以从磁盘、磁带、光盘或其他输入终端进入系统。测试运行后的结果会以交易日志、交易列表和错误报告的形式出现。同时，审计人员还必须检查更新后的原始文件，以确保账户余额已经被正确更新。然后，审计人员将测试结果与审计人员的预测结果相比对，以确定应用程序是否正确的发挥作用。这种结果的比较可以人工进行，也可运行专门的软件工具。

（二）基本案例系统评估

测试数据技术有很多种，如果使用的整套测试数据是综合全面的，这种技术就叫做基本案例系统评估。基本案例系统评估测试使用一套包括各种可能交易类型的测试交易。这些测试在系统开发测试中不断重复地进行，直到获得一致而有效的结果，这种结果就是基本案例。当随后应用程序在维护过程中改变时，将现有的结果与基本案例的结果相比较，从而衡量程序改变的影响。

（三）追踪

追踪是指对应用程序的内部逻辑实施电子检查。追踪技术包括以下三个步骤：（1）被检测的应用程序必须运行一段特殊的计算机编码来激活追踪功能；（2）选择特定的交易或交易种类作为测试数据；（3）在程序的所有处理阶段搜索需要追踪测试数据交易，并且对测试过程中执行的所有的程序指令列一个清单。

（四）综合测试框架

综合测试框架是一种自动化技术，它能够使审计人员在应用程序的正常操作过程中测试程序的内部逻辑和控制。综合测试框架是应用程序在系统的开发过程中设计的一个或多个模块。另外，综合测试框架将虚拟交易与正常交易混合在一起形成输入流。有些公司还设立一个虚拟的公司，用来测试的交易数据记录在其中。

为了让综合测试框架能够区分测试交易和实际交易，最简单易行的方法是划分出一个专门的关键值范围。例如，在销售订单处理系统中，将订单编号的2000-2100号段划分给综合测试框架中的虚拟交易专用。通过这种方法可以成功地区分测试交易和实际交易，由应用程序产生的例行报告也不会被综合测试框架的测试数据破坏。测试结果独立产生并保存在指定的介质上，然后直接传递给审计人员进行比对。

与测试数据技术相比，综合测试框架技术有两大优点。第一，综合测试框架能够按照SAS 78的要求对内部控制进行持续监督。第二，使用综合测试框架能够经济地测试应用程序，不必干扰用户的正常操作和计算机服务人员。因此，综合测试框架改进了审计效率，提高了所收集审计证据的可靠性。综合测试框架的缺点是可能会破坏公司的数据文件和测试数据。解决这一问题有两种方法：（1）编制调整分录以消除综合测试框架对总分类账余额的影响；（2）使用特殊的软件来扫描数据文件，并删除用来测试的虚拟交易。

（五）平行模拟

平行模拟要求审计人员自己编写一段程序代码来模拟被测试程序的关键特征和处理过程。然后，审计人员使用这种模拟程序重新处理以前已经由被测程序处理过的各种交易。将模拟程序处理结果与原始程序的结果相比较，可以为程序处理和控制的质量提供合理保证。

模拟程序虽然可以用任何一种语言编写，然而，由于是一次性任务，使用4GL生成器程序更为合适。实施平行模拟测试的步骤如下：（1）详细了解被测试的应用程序，获得被测程序当前的各种完整的文档资料；（2）识别出应用程序中对审计至关重要的处理和控制，这些处理和控制形成模拟的对象；（3）使用4GL或通用审计软件GAS来建立模拟程序；（4）利用挑选的实际交易和主文件运行模拟程序，以产生一系列结果；（5）将测试结果和原始程序产生的实际结果进行对比、评估。

模拟程序通常没有原始程序那么复杂，因为模拟程序只包括与具体审计目标相关的程序处理、计算和控制逻辑。审计人员应该仔细分析测试结果和原始结果的差异。输出结果的差异可能有两个原因：（1）模拟程序固有的不精确性；（2）原始应用程序存在处理和控制的不足，这种不足被模拟程序的运行结果明显地表达出来。J

推荐访问： 信息系统 内部控制 会计 测试

---