應(yīng)用控制是針對(duì)具體的計(jì)算機(jī)化程序，例如薪資、應(yīng)收賬款和訂單系統(tǒng)的特別使用的控制。應(yīng)用控制應(yīng)根據(jù)每個(gè)信息系統(tǒng)的特點(diǎn)，分別設(shè)計(jì)。應(yīng)用控制包含自動(dòng)控制和人工的流程控制，以確保只有經(jīng)過授權(quán)的數(shù)據(jù)才能完全地、準(zhǔn)確無誤地通過應(yīng)用程序來處理。

應(yīng)用控制稽核包括人工稽核和計(jì)算機(jī)輔助稽核兩種。采用人工稽核時(shí)，用人工進(jìn)行測(cè)試，以證明應(yīng)用控制措施是依據(jù)計(jì)劃進(jìn)行的。通常抽查測(cè)試期內(nèi)有代表性的樣本，細(xì)查證據(jù)，以證明各種控制是正確執(zhí)行的。當(dāng)測(cè)試數(shù)據(jù)量很大時(shí)，宜采用計(jì)算機(jī)輔助稽核。計(jì)算機(jī)輔助稽核的方法可分為三類：

(1)用稽核軟件。稽核部門編制相應(yīng)的稽核軟件，并用于下述輔助稽查：審查數(shù)據(jù)文件、抽取特殊項(xiàng)目、匯總、分類、查看數(shù)據(jù)的完整性等。

(2)用測(cè)試數(shù)據(jù)。稽核人員可事先準(zhǔn)備一組測(cè)試數(shù)據(jù)，以檢查程序邏輯的正確性、系統(tǒng)應(yīng)用控制的可靠性。這種測(cè)試法又可分為動(dòng)態(tài)測(cè)試和靜態(tài)測(cè)試兩種。動(dòng)態(tài)測(cè)試時(shí)，稽核人員設(shè)立虛擬的行處、客戶和交易，將虛擬數(shù)據(jù)和銀行的真實(shí)數(shù)據(jù)一同處理，再將處理的結(jié)果同預(yù)期結(jié)果進(jìn)行比較，以確定程序邏輯的正確性。測(cè)試完畢后，必須把虛擬的測(cè)試數(shù)據(jù)剔除，使數(shù)據(jù)文件不再含任何測(cè)試數(shù)據(jù)。靜態(tài)測(cè)試時(shí)，稽核人員分別用測(cè)試數(shù)據(jù)和真實(shí)數(shù)據(jù)進(jìn)行測(cè)試，并將處理結(jié)果同預(yù)期的估計(jì)值進(jìn)行核對(duì)，若存在偏差，則需進(jìn)一步審查。

(3)安全審計(jì)跟蹤。安全審計(jì)跟蹤是一種重要的安全機(jī)制，是防止內(nèi)部犯罪和調(diào)查取證事故證據(jù)的基礎(chǔ)。通過對(duì)重要事件和有關(guān)安全的問題進(jìn)行記錄，有助于檢測(cè)和調(diào)查安全漏洞，當(dāng)系統(tǒng)發(fā)現(xiàn)錯(cuò)誤和受到攻擊時(shí)，系統(tǒng)能定位錯(cuò)誤并找出發(fā)生事故的原因。

應(yīng)用控制是面向某一局部的控制，例如，針對(duì)數(shù)據(jù)輸入階段、數(shù)據(jù)處理階段或信息輸出階段所作的控制。在一般的情況下，應(yīng)用控制應(yīng)當(dāng)盡可能嵌入應(yīng)用程序之中，以便通過程序化的操作對(duì)數(shù)據(jù)的真實(shí)可靠性進(jìn)行控制。

1．輸入控制

在應(yīng)用控制之中，輸入控制最為重要，這是因?yàn)?，如果?shù)據(jù)在輸入階段沒有加以嚴(yán)格把關(guān)，即便是數(shù)據(jù)處理或信息輸出控制十分嚴(yán)密，也可能導(dǎo)致“輸入是垃圾，輸出也是垃圾”的結(jié)果。對(duì)于會(huì)計(jì)憑證的輸入，軟件必須有預(yù)防原始憑證和記賬憑證等會(huì)計(jì)數(shù)據(jù)未經(jīng)審核而輸入計(jì)算機(jī)的措施。而在數(shù)據(jù)輸入過程中，軟件必須有保證對(duì)輸入數(shù)據(jù)進(jìn)行正確性檢測(cè)的控制。輸入控制主要方法包括：憑證格式和內(nèi)容的控制、有關(guān)責(zé)任人簽章的控制、修改控制以及憑證審核的控制等。

在目前記賬憑證多通過鍵盤輸入的情況下，設(shè)置對(duì)記賬憑證各數(shù)據(jù)項(xiàng)的檢測(cè)控制十分重要。對(duì)于會(huì)計(jì)科目的輸入控制，一般通過建立科目編碼與名稱對(duì)照文件，將輸入的會(huì)計(jì)科目編碼立即轉(zhuǎn)換為科目名稱并顯示在屏幕上，由輸入員對(duì)其加以核對(duì)。而為了防止非法對(duì)應(yīng)科目的輸入，則可建立非法對(duì)應(yīng)關(guān)系庫文件，令軟件對(duì)所輸入的會(huì)計(jì)分錄的借貸方自動(dòng)確定其對(duì)應(yīng)關(guān)系是否合法，如果合法則允許輸入機(jī)內(nèi)，否則就拒絕接受。對(duì)于輸入的借貸方金額，可采用試算平衡方法對(duì)其檢驗(yàn)，如果記賬憑證的借貸兩方的合計(jì)數(shù)相等，則允許輸入機(jī)內(nèi)，否則就拒絕接受。

盡管目前有部分原始憑證可通過條形碼等方式錄入并存儲(chǔ)于機(jī)內(nèi)，但其大部分仍然以紙介質(zhì)的方式存在，這不僅給會(huì)計(jì)檔案的保管帶來諸多的麻煩，更重要的是由于紙質(zhì)原始憑證游離于機(jī)外而使系統(tǒng)的記賬憑證與原始憑證之間的監(jiān)控難達(dá)高效。對(duì)此，運(yùn)用影像與掃描技術(shù)使原始憑證電子化，是一個(gè)切實(shí)可行的做法。原始憑證的影像實(shí)時(shí)處理的具體做法是，首先設(shè)置錄入平臺(tái)，根據(jù)業(yè)務(wù)量的大小，綜合采用中高速掃描儀、平板掃描儀、攝像等多種方式，將經(jīng)過審核的紙質(zhì)原始憑證存入機(jī)內(nèi)。當(dāng)前紙質(zhì)原始憑證不外兩種形式，一種是由打印機(jī)直接打印輸出，另一種是由手寫填列。對(duì)于第一種，可以通過掃描方式將憑證掃描并經(jīng)過機(jī)內(nèi)審核后存儲(chǔ)于機(jī)內(nèi)原始憑證庫文件之中。而對(duì)于后一種形式，也即手寫填列的憑證，由于手書筆跡難以正確地為計(jì)算機(jī)所識(shí)別，因而通過掃描方式進(jìn)行處理就可能事倍功半。為此，可采用攝像方式將每張?jiān)紤{證拍攝并存入專用的目錄文件之中。采用這種拍攝方式不利于記賬憑證的自動(dòng)生成，它畢竟只是一種權(quán)宜之計(jì)，如果這類手書的憑證不是太多，也可以直接由會(huì)計(jì)人員通過鍵盤方式將其輸入并在機(jī)內(nèi)審核之后存入原始憑證庫文件之中。

逐步放棄紙質(zhì)存放而盡可能將會(huì)計(jì)憑證存儲(chǔ)于機(jī)內(nèi)，是今后會(huì)計(jì)信息化的發(fā)展方向。基于這一設(shè)想，先原始憑證的掃描(或影像)處理，后記賬憑證的填制的順序不可顛倒。當(dāng)原始憑證經(jīng)過影像處理或掃描審核后，記賬憑證的輸入員可直接據(jù)以在機(jī)上填制記賬憑證，這一做法可以保證機(jī)內(nèi)原始憑證與記賬憑證的一致性。同時(shí)，也為今后會(huì)計(jì)憑證的無紙化操作打下基礎(chǔ)。隨著電子商務(wù)的快速發(fā)展，原始憑證的全部無紙化不難實(shí)現(xiàn)，進(jìn)而為智能軟件自動(dòng)對(duì)各種會(huì)計(jì)業(yè)務(wù)加以識(shí)別并據(jù)以生成記賬憑證創(chuàng)造條件。

2．計(jì)算機(jī)處理與數(shù)據(jù)文件控制

會(huì)計(jì)信息系統(tǒng)計(jì)算機(jī)處理與數(shù)據(jù)文件控制的基本目標(biāo)是保證對(duì)經(jīng)濟(jì)業(yè)務(wù)的數(shù)據(jù)處理過程的正確無誤，所有經(jīng)濟(jì)業(yè)務(wù)沒有被遺漏、添加、重復(fù)或不適當(dāng)?shù)馗鼡Q，同時(shí)，在數(shù)據(jù)處理過程中軟件能夠?qū)﹀e(cuò)誤及時(shí)予以識(shí)別和改正。

常見的控制方法有常數(shù)控制、對(duì)應(yīng)數(shù)字控制、范圍控制和總數(shù)與順序控制等方法。這些控制一般都嵌入在應(yīng)用程序之中，例如，在工資處理過程中設(shè)計(jì)對(duì)每個(gè)職工的基本工資與實(shí)發(fā)工資的金額位數(shù)的控制，如對(duì)一個(gè)月工資超過一萬元者在屏幕予以提示就是一種常數(shù)控制方法。又如在登賬處理過程中，為了檢驗(yàn)登錄前的賬簿數(shù)據(jù)是否被非法修改，可在每次登賬之后將隨機(jī)選取的賬戶發(fā)生額合計(jì)數(shù)存儲(chǔ)至某變量A之中，在下一次登賬之前對(duì)該賬簿文件中原來隨機(jī)選取的賬戶發(fā)生額重新予以合計(jì)，并將其與變量A中的值核對(duì)，如果相等則說明賬簿文件沒有被非法修改過，可以調(diào)用賬簿登錄模塊進(jìn)行登賬處理，否則，則不允許運(yùn)行賬簿登錄程序。

3．輸出控制

會(huì)計(jì)信息系統(tǒng)的輸出控制的基本目標(biāo)是保證處理結(jié)果的正確性，為此，只允許授權(quán)者對(duì)輸出模塊進(jìn)行操作，同時(shí)，對(duì)輸出結(jié)果應(yīng)當(dāng)及時(shí)地提供給被允許使用的信息用戶。

會(huì)計(jì)信息系統(tǒng)的輸出主要有會(huì)計(jì)憑證、賬簿和會(huì)計(jì)報(bào)表。輸出形式包括屏幕顯示和打印輸出。隨著網(wǎng)絡(luò)化的縱深發(fā)展，通過電子郵件等形式將輸出結(jié)果發(fā)送給指定信息用戶已是大勢(shì)所趨。面對(duì)這一形勢(shì)，如何保證處理結(jié)果在傳遞過程中不被截取與修改，也就成為近期內(nèi)會(huì)計(jì)信息化所要解決的一個(gè)重要問題。

對(duì)計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)的應(yīng)用控制進(jìn)行審計(jì)，目的在于評(píng)價(jià)應(yīng)用控制是否對(duì)該會(huì)計(jì)信息系統(tǒng)的具體應(yīng)用環(huán)節(jié)進(jìn)行了保護(hù)和控制。應(yīng)用控制的審計(jì)日標(biāo)在于：

第一，保證所有經(jīng)過審核批準(zhǔn)的交易均處理完畢，并且每一項(xiàng)交易只處理一次。

第二，保證交易資料的完整和正確。

第三，保證交易的處理正確無誤，符合要求。

第四，保證處理的結(jié)果可用于預(yù)定的用途，并能產(chǎn)生預(yù)期的效益。

第五，保證應(yīng)用程序能正常運(yùn)作，并持續(xù)維護(hù)其功能。

應(yīng)用控制是信息系統(tǒng)中一般控制以外的一類重要的內(nèi)部控制。它包括輸入控制、處理控制和輸出控制。它有相當(dāng)一部分是建立在系統(tǒng)應(yīng)用程序中的程序控制。為了方便，我們把應(yīng)用控制的審查分為手工控制的審查和程序控制的審查兩部分來討論。程序控制的審查常要通過計(jì)算機(jī)審查，即要采用計(jì)算機(jī)輔助審計(jì)技術(shù)，具體的審查方法將在以后的章節(jié)詳細(xì)介紹。這里只討論手工控制的審查。對(duì)手實(shí)現(xiàn)的應(yīng)用控制，一般也采用手工方法進(jìn)行審查。下面簡要地介紹主要控制的審查方法。

1.業(yè)務(wù)處理規(guī)程和輸入控制的審查

一個(gè)較完善的信息系統(tǒng)應(yīng)有明確的業(yè)務(wù)處理規(guī)程，審計(jì)人員不但要向有關(guān)人員了解這些規(guī)程，了解其執(zhí)行情況，而且應(yīng)實(shí)際跟蹤系統(tǒng)的業(yè)務(wù)流，觀察數(shù)據(jù)是如何準(zhǔn)備的，如何審批的，又如何輸入計(jì)算機(jī)的，有哪些控制能保證只有經(jīng)過審批的業(yè)務(wù)才能被系統(tǒng)接受處理，信息又是如何輸出使用的，操作員有無記錄操作日志等，以此取得證據(jù)，證實(shí)業(yè)務(wù)是否按業(yè)務(wù)處理規(guī)程進(jìn)行處理。此項(xiàng)審查可以部分參考內(nèi)審人員的工作。如果被審單位的內(nèi)審人員日常進(jìn)行這方面審查，審計(jì)人員可復(fù)查他們的作底稿，了解此控制的日常執(zhí)行情況。此外，審計(jì)人員應(yīng)檢查系統(tǒng)的操作日志。審計(jì)人員還可對(duì)被審會(huì)計(jì)期間內(nèi)已處理過的業(yè)務(wù)進(jìn)行抽查，檢查已處理的業(yè)務(wù)是否都經(jīng)過了審批(一般審批都是以簽字或蓋章為標(biāo)志的)，數(shù)據(jù)的準(zhǔn)備是否合規(guī)等。對(duì)于由計(jì)算機(jī)打印輸出的資料，由人工與輸入單據(jù)核對(duì)的系統(tǒng)，審計(jì)人員也可以適當(dāng)抽選一部分已處理過的業(yè)務(wù)進(jìn)行核對(duì)，以證實(shí)控制的有效性。

手工完成的輸入控制的另一重要環(huán)節(jié)是對(duì)輸入過程中因計(jì)算機(jī)發(fā)現(xiàn)錯(cuò)誤而拒絕接受的錯(cuò)誤業(yè)務(wù)的改正與重新提交的控制。審計(jì)人員應(yīng)向系統(tǒng)負(fù)責(zé)人及操作員了解對(duì)錯(cuò)誤業(yè)務(wù)的處理方法，了解是否有措施保證出錯(cuò)的業(yè)務(wù)改正后重新向系統(tǒng)提交，而不會(huì)被漏掉。另外，審計(jì)人員應(yīng)對(duì)被審會(huì)計(jì)期間出錯(cuò)的業(yè)務(wù)進(jìn)行抽查，跟蹤被抽查的m錯(cuò)業(yè)務(wù)的改正和重新提交過程，以證實(shí)此控制是否有效。

2.輸出控制的審查

輸出控制中也有相當(dāng)一部分是手工控制。要審查這些控制，審計(jì)人員不僅要向有關(guān)人員了解系統(tǒng)的輸出資料是如何處置的，有無健全的檢查、保管和分發(fā)制度，而且要實(shí)際觀察系統(tǒng)的輸m，跟蹤輸出的資料。審計(jì)人員要檢查是否有人負(fù)責(zé)審視輸出；資料，是否有人核對(duì)輸入輸出控制總數(shù)。審計(jì)人員可以對(duì)被審會(huì)計(jì)期間輸出的資料進(jìn)行抽查，復(fù)查控制總數(shù)的核對(duì)，把重要的輸出與輸入單據(jù)重新比較。審計(jì)人員還應(yīng)跟蹤輸出資料的分發(fā)與保管，檢查打印輸出資料的登記和簽收記錄，以證實(shí)系統(tǒng)的輸出是否能按時(shí)送到指定的人員手中，而未經(jīng)批準(zhǔn)的人不能接觸到它們。

總的來說，對(duì)手工實(shí)現(xiàn)的內(nèi)部控制，一般也采用手工，審查的方法，即采用調(diào)查、了解、實(shí)地觀察、抽樣復(fù)查等方法，以取得證據(jù)，證實(shí)控制的有效性。

(一)對(duì)應(yīng)用控制的了解和描述

應(yīng)用控制方法大多設(shè)計(jì)在相應(yīng)的應(yīng)用程序中，描述應(yīng)用控制的方法既可以用程序流程圖，也可以用問題式調(diào)查表，或者將兩者結(jié)合起來使用。

(二)對(duì)應(yīng)用控制的初步評(píng)價(jià)

評(píng)價(jià)應(yīng)用控制的標(biāo)準(zhǔn)是：內(nèi)部控制是否健全、所有的控制目標(biāo)是否已經(jīng)達(dá)到、各項(xiàng)控制制度是否符合內(nèi)部控制基本原則的要求。

另外，還要評(píng)價(jià)應(yīng)用控制的合理性。合理性既需要考慮有效性，也需要考慮成本一效益原則。只有當(dāng)系統(tǒng)的執(zhí)行者具有相當(dāng)好的素質(zhì)和豐富的經(jīng)驗(yàn)時(shí)，計(jì)算機(jī)會(huì)計(jì)信息系統(tǒng)才能很好地執(zhí)行各項(xiàng)應(yīng)用控制。

(三)應(yīng)用控制的測(cè)試

符合性測(cè)試著重要了解和評(píng)價(jià)會(huì)計(jì)信息系統(tǒng)所產(chǎn)生的會(huì)計(jì)數(shù)據(jù)的正確性，其具體方法是通過檢查原始憑證、重做業(yè)務(wù)過程或者仔細(xì)觀察應(yīng)用系統(tǒng)運(yùn)行狀況來確定內(nèi)部控制是否合理。在進(jìn)行測(cè)試時(shí)，一般采用抽樣方法，其抽樣數(shù)量視初步評(píng)價(jià)的結(jié)果而定：內(nèi)部控制越健全的應(yīng)用系統(tǒng)，抽樣的樣本數(shù)據(jù)就越小；反之，樣本量就大。