属于运营审计的范畴。主要表现在: 应用系统数据的输入控制确保只有合法的、经授权的信息被输入系统,主要体现业务处理的职责,数据程序处理则是业务处理规则和流程在系统中的实现,数据输出控制保证数据以安全、一致和要求的格式呈现给用户,体现了安全技术要求和业务本身的规则和约束两个方面。在执行此部分的审计时,可以把其它运营审计的结果作为该部分审计的输入,即如果某项业务流程以IT流程来实现,则其他审计人员主要关注业务操作和流程本身是否符合内控和财务规范,业务操作的结果输出是否完整、正确,而IT审计则相应的判断业务操作和流程在系统中是否进行了正确的匹配。 5.3.2应用处理逻辑访问控制与其它审计的关系与一般性控制中的逻辑访问控制类似,应用处理逻辑访问控制,也属于运营审计范畴, 不同的是一般性控制中的逻辑访问控制与IT系统管理等业务运营的责任和权限相关,而应用控制中的逻辑访问控制关注的是采购、销售、生产、财务等业务运营的责任和权限相关。在审计执行方式上相类似。 5.3.3应用系统的全生命周期的过程管理审计与其它审计的关系应用系统的全生命周期的过程管理包括应用系统的需求、设计、开发和变更、实施、支持等全过程管理和相应的过程文档的管理和控制等。此部分的审计与安全控制审计类似, 更关注信息技术本身。总之,应用控制审计与其他审计可以简单的归纳为:应用控制审计关注业务控制、操作和流程规则在系统中的匹配和处理是否正确,而其他审计则关注业务控制、操作和流程规则以及业务的结果输出本身是否符合财务和内控措施。同时IT审计需要关注IT安全及信息技术的应用控制等。因此,如果IT审计过程中,发现某项业务控制、操作和流程本身存在缺失,则应该将之汇报给其他审计人员;反之,如果其他审计人员发现某项由系统参与处理的业务操作和流程本身没有问题,但输出结果错误,则应该将之汇报给IT审计,由IT审计人员来判断应用控制方面的缺失。
全文预览
