信息系统的一般控制和应用控制分析

信息技术一般控制和应用控制信息技术一般控制和应用控制是信息系统安全管理中的两个重要方面。

它们旨在确保信息系统的可靠性、安全性和合规性。

本文将分别介绍信息技术一般控制和应用控制的概念、作用以及实施方法。

一、信息技术一般控制信息技术一般控制是指对信息系统整体进行管理和控制的措施。

它旨在确保信息系统的稳定运行、数据完整性和可靠性。

信息技术一般控制通常包括以下几个方面：1. 访问控制：通过身份验证、权限管理等手段，限制用户对系统和数据的访问，防止未经授权的访问和滥用。

2. 变更管理：对系统和数据的变更进行管理和控制，确保变更的合理性、可追溯性和风险可控性。

3. 安全管理：建立完善的安全策略和流程，包括信息安全政策、安全培训、安全事件响应等，确保信息系统的安全性。

4. 运维管理：对信息系统的日常运维进行管理和控制，包括硬件设备管理、软件配置管理、备份和恢复等，确保系统的可靠性和可用性。

5. 系统开发管理：对系统开发过程进行管理和控制，包括需求分析、设计、编码、测试等，确保系统的质量和安全性。

二、应用控制应用控制是指针对具体应用系统的管理和控制措施。

它主要关注应用系统的业务流程、数据处理和交互操作等方面，确保应用系统的合规性和有效性。

应用控制通常包括以下几个方面：1. 输入控制：对系统输入的数据进行验证和检查，确保数据的准确性和完整性。

2. 处理控制：对系统的数据处理过程进行控制和监测，确保数据的安全和正确性。

3. 输出控制：对系统输出的数据进行验证和检查，确保数据的准确性和完整性。

4. 审计跟踪：记录系统的操作活动和事件，包括用户登录、数据修改等，便于审计和追溯。

5. 授权管理：对系统的功能和数据进行授权管理，限制用户的操作权限，确保系统的合规性和安全性。

三、实施方法信息技术一般控制和应用控制的实施方法可以参考以下步骤：1. 评估风险：对信息系统进行风险评估，确定需要实施的控制措施和优先级。

2. 设计控制：根据风险评估结果，设计相应的控制措施，包括访问控制、变更管理、安全管理等。

第十九章 《企业内部控制应用指引第18号——信息系统》讲解《企业内部控制应用指引第18号——信息系统》中所指信息系统，是指企业利用计算机和通信技术，对内部控制进行集成、转化和提升所形成的信息化管理平台。

信息系统内部控制的目标是促进企业有效实施内部控制，提高企业现代化管理水平，减少人为操纵因素；同时，增强信息系统的安全性、可靠性和合理性以及相关信息的保密性、完整性和可用性，为建立有效的信息与沟通机制提供支持保障。

信息系统内部控制的主要对象是信息系统，由计算机硬件、软件、人员、信息流和运行规程等要素组成。

信息系统内部控制包括一般控制和应用控制。

一般控制，是指对企业信息系统开发、运行和维护的控制；应用控制，是指利用信息系统对业务处理实施的控制（见图19-1）。

现代企业的运营越来越依赖于信息系统。

比如航空公司的网上订票系统、银行的资金实时结算系统、携程旅行网的客户服务系统等，没有信息系统的支撑，业务开展就会举步维艰、难以为继，企业经营就很可能陷入瘫痪状态。

还有一些新兴产业和新兴企业，其商业模式完全依赖信息系统，比如各种网络公司（新浪、网易、百度）、各种电子商务公司（比如阿里巴巴、卓越公司），没有信息系统，这些企业可能会失去生存之基。

鉴于信息系统在实施内部控制和现代化管理中具有十分独特而重要的作用，加之信息系统本身的复杂性和高风险特征，《企业内部控制应用指引第18号——信息系统》规定，企业负责人对信息系统建设工作负责。

换言之，信息系统建设是“一把手”工程。

只有企业负责人站在战略和全局的高度亲自组织领导信息系统建设工作，才能统一思想、提高认识、加强协调配合，从而推动信息系统建设在整合资源的前提下高效、协调推进。

企业应当重视信息系统在内部控制中的作用，根据内部控制要求，结合组织架构、业务范围、地域分布、技术能力等因素，制定信息系统建设总体规划，加大投入力度，有序组织信息系统开发、运行与维护，优化管理流程，防范经营风险，全面提升企业现代化管理水平。

会计信息系统的一般控制与应用控制会计信息系统是企业中非常重要的一部分，它负责收集、处理和报告企业的财务信息。

为了保证会计信息系统的安全、可靠和有效，需要进行一系列的控制措施，包括一般控制和应用控制。

一、一般控制一般控制是指应用于整个会计信息系统的控制措施，它们对整个系统起着基础性的作用。

一般控制主要包括以下几个方面：1. 访问控制：通过用户身份验证、权限管理和访问日志记录等措施，限制只有授权的用户才能访问会计信息系统。

这样可以确保只有合法的用户才能对系统进行操作，防止未经授权的人员篡改或窃取财务信息。

2. 变更控制：对于会计信息系统中的重要配置、程序或数据的变更，需要进行严格的控制和审批。

变更前需要进行充分的测试，变更后需要进行验证，以确保变更不会对系统的安全性和稳定性产生负面影响。

3. 物理安全：会计信息系统的服务器和存储设备需要放置在安全可靠的机房中，只有授权人员才能进入。

此外，还需要定期备份数据，并将备份数据存放在安全的地方，以防止数据丢失或损坏。

4. 灾备和容灾：为了应对各种灾害和意外情况，需要建立完善的灾备和容灾机制。

包括定期备份数据、建立备份数据中心、制定灾难恢复计划等，以确保在系统遭受损坏或停运时，能够及时恢复正常运行。

二、应用控制应用控制是指应用于会计信息系统中具体应用程序和业务流程的控制措施。

应用控制主要包括以下几个方面：1. 输入控制：确保通过输入数据的准确性和完整性。

包括数据验证、合理性检查、输入限制等，以防止误输入或恶意输入数据，影响系统的准确性和可靠性。

2. 处理控制：确保系统能够正确处理和计算各种业务事项。

包括事务处理的完整性、一致性和及时性控制，以及对异常情况的处理和纠正措施。

3. 输出控制：确保会计信息系统能够生成准确、完整和可信的财务报表和管理报告。

包括报表的格式控制、数据的合理性检查和报表的审核等，以确保报表的准确性和可信度。

4. 审计跟踪：对会计信息系统中的操作和事件进行跟踪和记录，以便审计人员对系统的操作进行审计。

浅析计算机会计信息系统内部控制摘要：由于会计信息处理方式和方法的计算机自动化，使得会计业务处理程序和工作组织发生了根本性质上的变化，并由此引发会计信息系统内部控制体系也出现了一些新的特点和变化。

本文从计算机会计信息系统内部控制特点出发，针对其内部控制体系的新特点新变化，就如何建立、加强和完善计算机会计信息系统的内部控制提出了建议。

关键词：计算机会计；内部控制；信息系统中图分类号：f23 文献标识码：a 文章编号：1001-828x（2013）02-0-01一、计算机会计信息系统内部控制的主要内容：（一）一般控制一般控制又称管理控制，是指对计算机会计信息系统的组织、开发、应用环境等控制。

其目的是建立对计算机信息系统活动整体控制的框架，并对达到内部控制的整体目标提供合理的依赖程序。

计算机会计信息系统一般控制主要包括系统的组织与管理控制、操作控制、系统安全控制、系统开发控制和系统维护控制等相互配合的系统运行环境方面的控制。

（二）应用控制应用控制是系统会计应用方面的具体控制，即为适应会计处理的特殊要求而建立及实施的控制。

应用控制在一般控制的基础上进行了一定的深化，可以在一般控制基础上，直接深入具体的业务进行处理，从而确保全部的经济业务都经过授权和记录，并进行完整、准确和及时的处理。

应用控制主要包括输入控制、数据采集控制、数据输入控制。

二、计算机会计信息系统内部控制特征（一）内部控制的措施和方式发生了变化首先，手工操作下的一些内部控制措施在计算机会计信息系统下已经没有存在的必要。

如编制科目、凭证汇总表、核对总账、明细账等。

原因在除非计算机病毒侵袭和非法操作，自动汇总一般不会出现差错。

同时由于计算机会计信息系统下的内部控制的形式已由原来的制度控制变为制度和程序软件控制，也导致传统手工会计环境下的内部控制的人员牵制制度的重要程度下降。

其次，计算机操作人员在录入数据后系统会自动生成核算结果并形成操作记录，替换了大量原来核算过程中必须进行的核对工作环节。

信息系统一般控制审计一、应用系统开发、测试与上线审计A.应用系统开发审计（一）业务概述组织的信息系统开发根据方式不同，通常包括自主开发、外委开发、或者二者兼有的开发方式。

组织在进行信息系统开发时，应当根据自身技术力量、资金状况、发展目标等实际情况，选择适合自身的开发方式和合作伙伴。

应用系统开发工作包括需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线、数据迁移和产品维护等内容。

（二）审计目标和内容审计目标：通过规范开发程序，提高信息系统开发的可控性、安全性、可靠性和经济性，揭示信息系统开发环节存在的风险及问题，提出完善信息系统开发控制的审计意见和建议，实现组织目标。

审计内容：开发组织机构设置、资源配置情况。

开发过程中与业务部门的沟通情况。

系统开发全过程的需求分析、架构设计、软件实现、系统测试、用户测试、系统试运行、系统验收、系统上线和数据迁移、产品维护等内容的质量、安全管理情况。

（三）常见问题和风险组织自主开发方式下的应用系统主要存在以下常见问题及风险：1.组织未成立专门的开发建设项目组，可能导致信息系统开发建设责任制未落实的风险。

2.信息系统开发工作缺乏必要支持。

组织内部无专业技术人员或是缺乏必要的财务支持，导致开发失败的风险。

3.信息系统开发过程没有业务部门人员参与，未定期与业务部门共同审核信息系统的开发建设情况，未及时发现系统不能满足业务的需要，可能导致与业务需求不相符的风险。

4.组织未制定合理的项目生命周期管理方案和符合质量管理标准的质量控制体系，不能有效控制开发质量；开发过程中未进行必要的安全控制，未对源代码进行有效管理和严格审查可能导致的风险。

5.项目需求说明书阐述业务范围及内容不清晰，未能结合需求制定出最优化的技术设计方案的风险。

开发环境、测试环境和生产环境未分离，网络未有效隔离，设备未独立于生产系统，开发人员直接接触生产系统，直接使用未经批准并脱敏的生产数据，导致泄密或造成生产系统受损的风险。

财务人（或审计）必须掌握的11个财务舞弊领域及应对措施一、货币资金相关舞弊风险应对措施（一）针对虚构货币资金相关舞弊风险。

一是严格实施银行函证程序，保持对函证全过程的控制，恰当评价回函可靠性，深入调查不符事项或函证程序中发现的异常情况；二是关注货币资金的真实性和巨额货币资金余额以及大额定期存单的合理性；三是了解企业开立银行账户的数量及分布，是否与企业实际经营需要相匹配且具有合理性，检查银行账户的完整性和银行对账单的真实性；四是分析利息收入和财务费用的合理性，关注存款规模与利息收入是否匹配，是否存在“存贷双高”现象；五是关注是否存在大额境外资金，是否存在缺少具体业务支持或与交易金额不相匹配的大额资金或汇票往来等异常情况。

（二）针对大股东侵占货币资金相关舞弊风险。

一是识别企业银行对账单中与实际控制人、控股股东或高级管理人员的大额资金往来交易，关注是否存在异常的大额资金流动，关注资金往来是否以真实、合理的交易为基础，关注利用无商业实质的购销业务进行资金占用的情况；二是分析企业的交易信息，识别交易异常的疑似关联方，检查企业银行对账单中与疑似关联方的大额资金往来交易，关注资金或商业汇票往来是否以真实、合理的交易为基础；三是关注期后货币资金重要账户的划转情况以及资金受限情况；四是通过公开信息等可获取的信息渠道了解实际控制人、控股股东财务状况，关注其是否存在资金紧张或长期占用企业资金等情况，检查大股东有无高比例股权质押的情况。

（三）针对虚构现金交易相关舞弊风险。

一是结合企业所在行业的特征恰当评价现金交易的合理性，检查相关内部控制是否健全、运行是否有效，是否保留了充分的资料和证据；二是计算月现金销售收款、现金采购付款的占比，关注现金收、付款比例是否与企业业务性质相匹配，识别现金收、付款比例是否存在异常波动，并追查波动原因；三是了解现金交易对方的情况，关注使用现金结算的合理性和交易的真实性；四是检查大额现金收支，追踪来源和去向，核对至交易的原始单据，关注收付款方、收付款金额与合同、订单、出入库单相关信息是否一致；五是检查交易对象的相关外部证据，验证其交易真实性；六是检查是否存在洗钱等违法违规行为。

信息系统审计内容一、信息系统审计内容概述信息系统审计对象，包括操作系统、主机、网络、数据库、应用软件、数据、管理制度等。

信息系统审计内容主要包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的检查和评价。

二、对组织层面信息技术控制的审计组织层面信息技术控制审计的内容包括：（一）控制环境内部审计人员应当关注组织的信息技术战略规划与业务布局的契合度、信息技术治理制度体系建设、信息技术部门的组织架构、信息技术治理的相关职权与责任分配、信息技术的人力资源管理、对用户的教育和培训等方面。

（二）风险评估内部审计人员应当关注组织在风险评估总体架构中关于信息技术风险管理流程，信息资产的分类及信息资产所有者的职责，以及对信息系统的风险识别方法、风险评价标准、风险应对措施。

（三）控制活动内部审计人员应当关注信息系统管理的方法和程序，主要包括职责分工控制、授权控制、审核批准控制、系统保护控制、应急处置控制、绩效考评控制等。

（四）信息与沟通内部审计人员应当关注组织决策层的信息沟通模式，信息系统对财务、业务流程的支持度，信息技术政策、信息安全制度传达与沟通等方面。

（五）内部监督内部审计人员应当关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制自我评估机制等方面。

三、对信息系统一般性控制的审计信息系统一般性控制是确保组织信息系统正常运行的制度和工作程序，目标是保护数据与应用程序的安全，并确保异常中断情况下计算机信息系统能持续运行。

信息系统一般性控制包括硬件控制、软件控制、访问控制、职责分离等关键控制。

审计人员应当采用适当的方法、合理的技术手段对信息系统建设的合规合法、信息系统的安全管理、访问控制、基础架构、数据保护以及灾难恢复等方面开展审计。

信息系统一般性控制审计应当重点考虑下列控制活动：（一）系统开发和采购审计内部审计人员应当关注组织的应用系统及相关系统基础架构的开发和采购的授权审批，系统开发所制定的系统目标以及预期功能是否合理，是否能够满足组织目标；系统开发的方法，开发环境、测试环境、生产环境的分离情况，系统的测试、审核、验收、移植到生产环境等环节的具体活动。

《内部审计学》（第三版）课后习题参考答案时现等2017年4月第一章内部审计概述本章练习题1. D2. D3.D4.B5.D6.C7. D8. D9.A本章思考题1.建议从审计主体、审计客体、审计内容、审计标准、审计目标等方面进行分析。

2.建议从准则结构、准则内容、准则实施状况等进行比较。

内部审计发展的动因及影响内部审计发展的主要因素从外部环境、内部环境、管理层支持、内部审计自身等方面进行分析。

3.分别分析国际内部审计师协会和我国内部审计协会的定义。

4.内部审计的独立性主要是指组织上的独立，外部审计独立性包括组织上的独立性、业务上的独立性和经费上的独立性（形式上的独立与实质的独立）。

5.本题无标准答案，可以从企业价值分析入手，从价值链模型审计增值模型。

第二章内部审计程序本章练习题1.B2.C3.D4.B5.D6.B7.A8.B9.C 10.B 11.B 12.D 13.A 14.B 15.C 16.C 17.D第三章内部审计机构与内部审计人员本章练习题1．A 2.D 3. A 4. D 5.B 6. C 7. D 8.A 9.C 10.A 11.A 12.D本章思考题1．为完善风险管理、内部控制服务，促进组织科学有效的战略管理，监控组织的高管层。

2.监督指导内部审计、聘请外部审计、向董事会报告内部审计情况。

3．知识、技能和经验。

4.可以从内部审计的职能、权限、业务范围、职业道德、胜任能力、机构设置等方面设计。

第四章经营活动审计本章练习题一、单选题1.D2.C3.A4.C5.D6.B7.B8.A9.D 10.B 11.A 12.B 13.A 14.D 15.A二、多选题1.ABCD2. ABCD3. ABCD4. ABC5. ABD本章思考题1．筹资管理活动、投资管理活动、经营管理活动中的财务收支情况、企业分配引起的财务活动。

2．人力资源规划、员工招聘、用人机制、人力资源开发和培训、员工的绩效管理。

注册会计师《审计》考点：信息技术的一般控制为了帮助大家更好的备考，小编已经为大家整理好了注册会计师《审计》考点，快学习起来吧。

注册会计师的备考工作已经提上日程了，九牛一毫莫自夸，骄傲自满必翻车。

历览古今多少事，成由谦逊败由奢，希望大家都能谦虚备考!最后取得好成绩，一鸣惊人。

信息技术的一般控制1、信息技术一般控制信息技术的一般控制是为了保证信息系统的安全运行。

信息技术的一般控制对整个信息系统及外部的各种环境要素的实施和对所有应用控制模块都有普遍的影响。

信息技术的一般控制通常是可以影响到部分或全部财务报表的认定。

注册会计师《审计》考点，2、信息技术一般控制的内容(1)在开发程序时，应确保开发的系统程序的配置和实施能够实现管理层的应用控制目标。

(2)当程序需要常规变更代码、变更配置和紧急变更等对程序和相关基础组件的变更时，应经过请求、授权、执行、测试和实施，使变更后的程序达到管理层的应用控制目标。

(3)通过安全活动管理、安全管理、数据安全、操作系统安全、络安全和物理管理等管理，来确保分配的访问程序和数据权限是经过授权，并进行了用户身份的认证的。

(4)在计算机运行时，对计算机的问题和故障进行管理，对数据进行备份或恢复，在灾难性损害时进行恢复等，使业务系统能够根据管理层的控制目标完整准确的运行，使运行时存在的问题能够被完整准确的识别并更正，使财务数据具备完整性。

3、对注册会计师的要求当注册会计师计划依赖自动应用控制、系统生成的信息时，则需要对信息技术的一般控制进行检测。

小编已经为大家整理好了注册会计师《审计》考点，不要忽略任何一个基础知识，这些都是你成功路上坚实的阶梯，今天的知识点大家要好好学习。

在一个目标支持下，不停地努力，即使慢也一定会获得成功。

备考也是一样，希望大家不停努力。

信息系统审计内容及重点、步骤和方法一、审计内容（一）信息系统一般控制情况1.信息系统总体控制情况;2.信息安全技术控制情况;3.信息安全管理控制情况。

（二）信息系统应用控制情况1.信息系统业务流程控制情况；2.数据输入、处理和输出控制情况；3.信息共享和业务协同情况。

二、审计重点及审计步骤和方法（一）一般控制审计1.总体控制审计审计思路：通过检查被审计单位信息系统总体控制的战略规划、组织架构、制度机制、岗位职责、内部监督等，分析信息系统在内部环境、风险评估、控制活动、信息与沟通、内部监督方面的有效性及其风险，形成信息系统总体控制的审计评价和结论。

审计方法：召开座谈会、发放调查问卷、查阅文件等。

审计步骤：（1）战略规划评价。

检查被审计单位是否建立了信息系统战略发展规划，是否明确了战略目标、整体规划、实现指标和相应的实施机制。

（2）组织架构评价。

检查被审计单位是否建立了与信息系统战略发展规划相匹配的决策与管理层领导机构、项目实施层工作机构，以及行业内各层级的信息化工作机构，是否建立了各类机构的权力责任和制约机制。

（3）制度体系评价。

检查被审计单位是否建立了与信息系统战略规划和组织架构相匹配的项目管理制度、项目建设制度、质量检查制度等。

4）岗位职责评价。

检查被审计单位信息系统规划、建设、运维等方面的岗位设置、人员配置、岗位职责。

（5）内部监督评价。

检查被审计单位是否建立健全了信息系统建设和运维全过程的内部监督机构和监督机制，是否形成了对信息系统的风险评估、控制活动和信息交互等方面的有效控制和监督。

2.信息安全技术控制审计审计思路：通过检查被审计单位信息系统的信息安全技术及其控制的整体方案，检查安全计算环境、区域边界、通讯网络等方面的安全策略和技术设计，检查信息系统的安全技术配置和防护措施，发现并揭示信息系统安全技术控制的缺失，分析并评价风险程度，形成信息安全技术控制的审计结论。

审计方法：实地观察法、审阅法、系统测试法和利用入侵检测、漏洞扫描等工具的安全工具检测法，以及利用网络分析检测、系统配置检测、日志分析检测等工具的测评工具检测法。

会计信息系统的物理结构会计是以货币为主要的计量单位，以凭证为主要的依据，借助于专门的技术方法，对一定单位的资金运动进行全面、综合、连续、系统的核算与监督，向有关方面提供会计信息、参与经营管理、旨在提高经济效益的一种经济管理活动。

接下来小编就告诉你什么是会计信息系统的应用体系结构。

财务业务一体化的会计信息系统的功能结构可以分成三个基本部分，他们分别是：财务、购销存和管理分析，每部分由若干子系统所组成。

1、财务部分。

财务部分主要由总账(账务处理)、工资管理、固定资产管理、应付管理、应收管理、成本核算、会计报表、资金管理等子系统组成。

2、购销存部分。

购销存部分以库存核算和管理为核心，包括库存核算、库存管理、采购计划、采购管理和销售管理等子系统。

3、管理分析部分。

管理分析部分一般包括：财务分析、利润分析、流动资金管理、销售预测、财务计划、领导查询和决策支持等子系统。

会计信息系统的应用体系结构2会计信息系统一般由什么构成1.会计信息系统的构成是财务信息系统、管理信息系统、计算机硬件、软件、电算化管理制度、和财会及计算机人。

2.会计信息系统的特点：数据来源广泛，数据量大。

数据的结构和数据处理的流程较复杂。

数据的真实性，可靠性要求高。

数据处理的环节多，很多处理步骤具有周期性。

数据的加工处理有严格的制度规定并要求留有明确的审计线索。

信息输出种类多，数量大，格式上有严格的要求。

数据处理过程的安全，保密性有严格的要求。

3会计信息系统的逻辑结构是什么会计信息系统的逻辑结构分为物理结构和职能结构，思维方式和我们先看到样子之后想到用处是类似的。

会计信息系统的物理结构分为计算机系统(计算机硬件系统、软件系统)、会计信息资源和系统用户。

会计信息系统的职能结构是从会计信息系统的功能出发，根据业务处理的特点和要求，对功能在系统中所处的位置进行划分和界定的一种静态的功能结构。

包括财务处理系统、报表编制系统、工资核算系统，固定资产管理系统、采购管理系统、库存管理系统、销售核算系统、应收应付款管理系统、成本核算系统和财务分析系统。

信息系统一般控制与应用控制
信息系统一般控制和应用控制是信息系统控制的两大类别，两者都是用于预防和发现信息系统所发生的错误、舞弊及故障，使之正常运行的特殊控制。

一般控制是指对整个计算机信息系统及环境要素实施的对系统
所有的应用或功能模块具有普遍影响的控制措施。

这些控制主要是有关电子数据处理的政策和制度，包括人员或组织控制、逻辑访问控制、设备控制和业务连续性措施等方面。

一般控制是应用控制的基础和保障，有助于保证信息系统持续恰当的运行，支持应用控制作用的有效发挥。

应用控制是为适应各种数据处理的特殊控制要求，保证数据处理完整、准确地完成而建立的内部控制。

应用控制涉及各种类型的业务，每种业务及其数据处理都有其特殊流程的要求，因此具体的应用控制的设计需结合具体的业务。

应用控制通常包括检查数据计算的准确性，审核账户和试算平衡表，设置对输入数据和数字序号的自动检测等相关内容。

此外，应用控制还可以进一步划分成输入控制、处理控制（也称过程控制）和输出控制。

在评估应用控制之前，应当先行评估一般控制的有效性。

因为一般控制适用于所有的控制，而应用控制则与特定的控制领域相联系。

同时，应用控制可以弥补一般控制的某些不足，两者相辅相成，共同构成信息系统控制的重要部分。

了解信息技术导致的风险以及被审计单位的风险应对体系佚名【期刊名称】《中国注册会计师》【年(卷),期】2018(000)003【总页数】3页(P20-22)【正文语种】中文如果说注册会计师了解被审计单位的信息技术环境以及与财务报告相关的信息系统，目的是为了对被审计单位的信息技术使用情况进行摸底，进而获得与被审计单位信息技术使用与财务报表相关性有关的信息。

那么，了解信息技术导致的风险及应对就是为了评估被审计单位的信息技术是否处于一个可控的状态，相关的应对（控制）体系是否已经建立健全，以帮助企业应对相关信息技术风险，为审计策略的选择和审计范围的确定提供依据。

了解被审计单位的信息技术整体环境是对企业信息系统整体管理体系中的相关风险点的识别及应对机制，这一部分是注册会计师了解信息技术导致的风险及被审计单位应对的重要组成部分，对其他具体的信息技术风险及应对有着宏观引导作用，是其他具体的信息技术风险存在和应对的背景和大环境。

本文着重讲解企业使用信息技术导致的具体风险及应对体系。

一、了解被审计单位信息技术导致的风险一般而言，企业通常遇到的与财务报告编制相关的典型信息技术导致的风险包括但不限于以下方面：1. 程序或数据的访问没有受到合理限制；2. 自动控制或程序没有合理设计或有效运行；3. 报表没有被合理设计或有效运行；4. 对数据的非授权访问；5. 数据丢失或损坏；6.交易处理过程中的错误没有被更正或识别。

以上是一些常见的信息技术导致的风险举例，普遍适用于各个行业的企业。

需要说明的是，以上列出的这6类风险点是我们在信息技术导致的风险中比较常见的风险，这里并未穷尽所有信息技术导致的风险。

注册会计师需要在审计项目中针对各个项目分别进行风险评估和识别工作，以确保审计工作的效率和效果。

注册会计师在进行被审计单位信息技术整体环境的了解过程中，就要有意识的开始进行风险点相关性的识别工作，了解哪些风险类别是和被审计单位相关的风险，哪些是不相关的风险。

2022年军队文职考试《审计》模考卷（含答案）一、选择题（每题1分，共5分）1. 审计的基本目标是（）A. 评价财务报表的真实性B. 评价内部控制的有效性C. 评价经营活动的效率D. 评价财务报表的合法性答案：D2. 下列哪种审计报告类型表示审计范围受到限制？（）A. 无保留意见B. 保留意见C. 否定意见D. 无法表示意见答案：B3. 审计抽样中，下列哪种抽样方法不属于属性抽样？（）A. 单阶段抽样B. 多阶段抽样C. 连续抽样D. 分层抽样答案：D4. 审计证据的可靠性取决于（）。

A. 证据的来源B. 证据的数量C. 证据的及时性D. 证据的相关性答案：A5. 下列哪个不属于审计程序？（）A. 计划审计工作B. 实施风险评估程序C. 实施实质性程序D. 编制审计报告答案：D二、判断题（每题1分，共5分）1. 审计准则适用于所有类型的审计业务。

（答案：×）2. 审计抽样可以提高审计效率，降低审计风险。

（答案：√）3. 审计报告应当由注册会计师签名并盖章。

（答案：√）4. 审计证据必须是书面形式的。

（答案：×）5. 审计计划包括总体审计策略和具体审计计划。

（答案：√）三、填空题（每题1分，共5分）1. 审计的目的是对财务报表的________和________发表意见。

答案：真实性、合法性2. 审计证据的充分性和适当性是评价审计工作________的基础。

答案：质量3. 审计抽样中的属性抽样主要用于评价________的有效性。

答案：内部控制4. 审计报告的日期不应早于注册会计师获取充分、适当的________那一天。

答案：审计证据5. 审计过程中，注册会计师应当保持________的态度。

答案：客观、公正四、简答题（每题2分，共10分）1. 简述审计风险的主要组成部分。

答案：审计风险的主要组成部分包括：财务报表重大错报风险和检查风险。

2. 审计抽样中，影响样本规模的因素有哪些？答案：影响样本规模的因素有：可接受的审计风险、可容忍误差、预计总体误差、总体变异性、样本规模效应。