信息處理控制，是指與被審計單位信息系統中下列兩方面相關的控制：（1）信息技術應用程序進行的信息處理；（2）人工進行的信息處理。

信息處理控制的內容

信息處理控制既包括人工進行的控制，也包括自動化控制。信息外理控制一般要經過輸入、外理及輸出等環節。與人工控制類似，系統自動化控制關注的要素包括：完整性、準確性、存在和發生等。各要素的主要含義如下:

1.完整性。系統處理數據的完整性，例如各系統之間數據傳輸的完整性銷售訂單的系統自動順序編號、總賬數據的完整性等。

2.準確性。系統運算邏輯的準確性，例如金融機構利息計提邏輯的準確性、生產企業的物料成本運算邏輯的準確性、應收賬款賬齡的準確性等。

3.存在和發生。信息系統相關的邏輯校驗控制，例如限制檢查、合理性檢查、存在檢查和格式檢查等。部分業務操作的授權管理，例如入賬審批管理的權限設定和授予、物料成本邏輯規則修改權限的設定和授予等。

針對系統自動化控制的信息處理控制審計需要在理解業務流程的基礎之上進行識別和定義，常見的系統自動化控制以及信息處理控制審計關注點列示如下：

1.系統自成報告。企業的業務或財務系統會定期或按需生成各類報告，例如賬齡報告、貸款逾期報告、業務和財務數據核對差異報告等。信息處理控制審計包括對這些報告生成邏輯（包括完整性和準確性）的測試、異常報告跟進控制的審計等。

2.系統配置和科目映射。信息系統中包含了大量的自動化校驗控制和映射關係，包括數據完整性校驗、錄入合法性編輯檢查、邊界閾值設定、財務科目映射關係等。信息處理控制審計會對這些系統配置和映射關係的存在性和有效性進行測試。

3.接口控制。接口控制包括各業務系統之間、業務和財務系統之間、企業內部系統和合作夥伴/交易對手/監管機構之間的接口數據傳輸。信息處理控制審計會對這些接口數據傳輸的完整性和準確性進行測試。

4.訪問和權限。企業內部各業務部門、財務部門、信息技術部門等均會根據各自的職責需要來對信息系統進行訪問，各部門、各團隊甚至各崗位訪問的權限均可能存在差異，因此在系統控制層面需要對這些權限進行明確的定義和部署，以保證適當的人員配備適當的訪問權限。信息處理控制審計會對這些訪問權限授予情況的合理性進行測試。

信息技術一般控制、信息處理控制與公司層面控制之間的關係

公司層面信息技術控制情況代表了該公司信息技術控制的整體環境，包括該公司對於信息技術的重視程度和依賴程度、信息技術複雜性、對於外部信息技術資源的使用和管理情況、信息技術風險偏好等，這些要素會影響該公司信息技術一般控制和信息處理控制的部署和落實。例如，如果某公司使用了較多的信息技術外部資源和服務，則可能會相應地提高外部用戶管理和外聯接口失效的風險，因此需要更多關注信息技術一般控制領域內的用戶管理類控制，特別是外部用戶管理機制，以及信息處理控制的外部系統接口管理機制等。

根據目前信息技術審計的業內實踐，註冊會計師在執行信息技術一般控制和信息處理控制審計之前，會首先執行配套的公司層面信息技術控制審計，以了解公司的信息技術整體控制環境，並基於此識別出信息技術一般控制和信息處理控制的主要風險點以及審計重點。

信息處理控制是設計在計算機應用系統中、有助於達到信息處理目標的控制。例如，許多應用系統中包含很多編輯檢查來確保錄入數據的準確性。編輯檢查可能包括格式檢查（如日期格式或數字格式）存在檢查（如客戶編碼存在於客戶主數據文檔之中）或合理性檢查（如最大支付金額）。如果錄入數據的某一要素未通過編輯檢查，那麼系統可能拒絕錄入該數據或系統可能將該錄入數據拖入系統生成的例外報告之中，留待後續跟進和處理。

如果在帶有關鍵的編輯檢查功能的應用系統所依賴的計算機環境中發現了信息技術一般控制的缺陷，註冊會計師可能就不能信賴上述編輯檢查功能按設計發揮作用。例如，程序變更控制缺陷可能導致未授權人員對檢查錄入數據字段格式的編程邏輯進行修改。以至干係統接受不準確的錄入數據。此外，與安全和訪問權限相關的控制缺陷可能導致數據錄入不恰當地繞過合理性檢查，而該合理性檢查原本應能使系統拒絕處理金額超過最大容差範圍的支付操作。

因此，公司層面信息技術控制是公司信息技術整體控制環境，決定了信息技術一般控制和信息處理控制的風險基調；信息技術一般控制是基礎，信息技術一般控制的有效與否會直接關係到信息處理控制的有效性是否能夠信任。