评价信息技术一般控制的缺陷

张 玉    编译

一般原则   

评价信息技术一般控制（ITGC）中的缺陷与应用控制的效果有关。

●    信息技术一般控制的缺陷不会直接产生错报；

●    错报可能来自无效的应用控制。

信息技术一般控制缺陷有三种情况可能引起实质性漏洞：

●    某一应用控制缺陷同某一 ITGC 缺陷有关，或由 ITGC 缺陷引起，可归入一种实质性漏洞；

●    某一 ITGC 缺陷的普遍性或重要性产生了公司控制环境中存在实质性漏洞的结论；

●    根据第2号审计准则第140条，归入为重要缺陷的某一ITGC 缺陷在一段合理的期间后仍未进行纠正。

在评价某一ITGC 缺陷对应用控制持续有效运行的影响时，不必考虑某一有效应用控制在随后年度因这个有缺陷的ITGC 而变为无效的可能性。

在下图中显示的决策树可以用于评价下列来自以下方面的信息技术一般控制缺陷的分类：

●    ITGC 设计有效性评价；

●    ITGC 执行有效性测试；

●    作为应用控制测试结果识别的 ITGC 设计或执行缺陷。

信息技术一般控制与应用控制之间的关系

了解与财务报告期间内部控制有关的应用程序、相关的应用控制和 ITGC 之间的关系，对于适当地评价 ITGC 缺陷是必不可少的。ITGC 可以影响应用控制的持续有效运行。例如,有效的安全管理职能会对访问进行限制，可支持应用控制持续、有效地运行。再举一个例子,有效的程序变更控制可支持编程应用控制的持续、有效运行,比如三通匹配。ITGC 还可以充当应用层面的控制。例如, ITGC可直接实现限制访问的控制目标，因此可以阻止未经授权启动的交易。

同样, ITGC 缺陷可能会对应用控制的持续、有效运行产生不利影响。在缺乏应用控制的情况下, ITGC 缺陷还可以表现为针对一个或多个相关认定的控制缺陷。

评价 ITGC 缺陷

所有的ITGC 缺陷图应该运用下图来评价。此外,如果某一 ITGC 缺陷还可以表现为应用层面缺陷，因此它和某个认定直接有关。在任何情况下,某一 ITGC 缺陷都要和应用控制结合在一起考虑，以确定这个 ITGC 缺陷和各和各应用控制缺陷的合并效果是否是某一缺陷、重要缺陷或实质性漏洞。 

图：  评价信息技术一般控制的缺陷

单独的方格应该连同相应的指导原则一起阅读。

方格1: 控制可以有效减缓导致某一控制缺陷发生的缺陷，该缺陷只能归入某一缺陷，缺乏任何定性的因素,包括在第2号审计准则第9、第137、第139和第140条规定的那些因素。这类控制所包括的补充性控制或冗余控制可以实现这个相同的控制目标。某个应用控制缺陷的结果识别出来的ITGC 缺陷，表明其他的ITGC 不能实现有缺陷的 ITGC 相同的控制目标。

方格2: 如果在应用层面上没有识别出任何缺陷, 这个 ITGC 缺陷只能归入某一缺陷。(参见方格5)

方格3和4: 如果应用层面的某一控制缺陷和 ITGC 缺陷有关或由它引起，这个 ITGC 缺陷要结合潜在的应用控制中的缺陷一起评价，也就是说:

● 某一应用控制的实质性漏洞和ITGC 缺陷有关，或由它引起，表明这个ITGC 缺陷也是一个实质性漏洞；

●某一应用控制的重要缺陷和ITGC 缺陷有关，或由它引起，表明这个ITGC 缺陷也是一重要缺陷；

●某一应用控制缺陷（只有这一种缺陷）和ITGC 缺陷有关，或由它引起，表明这个ITGC 缺陷是仅有一种缺陷。

方格5: 虽然上述指导原则同方格1-4有关，ITGC缺陷的分类应该考虑以下因素但不限于以下因素:

● 该缺陷的性质和重要性，例如，该缺陷是否与项目开发过程中的单一领域有关，整个过程是否有缺陷吗?

● 对于应用程序和数据而言，该缺陷的普遍性包括：

——受 ITGC缺陷影响以及重要账目和潜在的业务流程有关的控制的程度；

——与 ITGC 缺陷有关的应用控制的数目；

——同 ITGC缺陷有关的或由它引起的应用层面的控制缺陷的数目。

● 公司的系统环境的复杂性和该缺陷对应用控制不利影响的可能性；

● 对应用程序和数据而言，控制的相对接近性；

● 某一 ITGC 缺陷是否和针对有关账目或披露事项的应用程序和数据有关，它们易遭受损失或产生舞弊；

● 在ITGC 的运行效果中，已知的或察觉的例外情况的原因或频率；例如，（1）某项控制具有可观察的、不可忽略偏差率；(2)和ITGC的预期有效运行不一致的可观察的例外情况；(3)故意不去应用某个控制；

● 受ITGC缺陷影响的和应用程序有关的，由错报的历史证明风险增大的指标，包括当年的错报。

在确定某一缺陷分类时,应考虑第2号审计准则第137条的规定:

在评价财务报告的内部控制缺陷的重要性时,审计师还应该确定, 满足精明职员在处理其自身事务中细节水平和保证程度，它们可以合理保证交易得到必要的记录，使财物报表的编制和一般公认会计原则保持一致。如果审计师确定，该缺陷将阻止精明员工在处理其自身事务中得出可以得到合理保证的结论时，那么审计师应该将该缺陷至少视为是一种重要的缺陷。以这种方式已经确定的某一缺陷可以代表一种重要的缺陷，审计师必须进一步评价该缺陷是否是单个的，或是与其它缺陷合并在一起的，该缺陷是一阁实质性漏洞。

注意：第2号审计准则第9条和第10条分别提出了重要缺陷和实质性漏洞的定义。

其他的考虑事项: ITGC支持自动化应用控制适当、一致的运行。因此,应考虑受这个有缺陷ITGC影响的或取决于人工控制的相关应用控制测试的性质、时间安排和程度。

资料来源：《如何遵循SOX404 条款——评估内部控制的效果》

（美）迈克尔·拉莫斯著 李海风主译，张玉审校

中国时代经济出版社 2007年8月