第九章 信息技术对审计的影响
1.本章命题特点分析
2.本章学习要求
3.主要内容讲解
本章近年命题特点分析:
就本章的内容来看,更多的属于知识性的介绍,在专业测试阶段对考生也不会有太高的要求,近年命题中,仅有2010年涉及一个多选题,其他年份均未直接命题;在今年的考试中,可以简单关注客观题,同时注意将信息技术与企业各业务循环的内部控制相结合。
本章的具体要求:
1.理解信息技术审计范围的确定;
2.理解信息技术内部控制审计。
第一节 信息技术对审计过程的影响
一、信息技术和财务报告的关系
企业可以运用信息系统来创建、记录、处理和报告各项交易,以衡量和审查企业自身的财务业绩,并持续记录资产、负债及所有者权益。
信息系统形成的信息质量影响企业编制财务报表、管理企业活动和做出适当的管理决策。
注册会计师在进行财务报表审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量,而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的,所以,注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制等四个方面。
二、信息技术对审计过程的影响
信息技术在企业中的应用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,基本审计准则和财务报告审计目标在所有情况下都适用。
因为系统的设计和运行对审计风险的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。注册会计师必须更深入了解企业的信息技术应用范围和性质。信息技术对审计过程的影响主要体现为:对审计线索的影响;对审计技术手段的影响;对内部控制的影响;对审计内容的影响;对注册会计师的影响。
第二节 信息技术审计范围的确定
注册会计师应 按信息系统各自特点制定审计计划中包含的信息技术审计内容;如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的范围。
注册会计师在确定审计策略时,需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等五个方面,对信息技术审计范围进行适当考虑。
注意:
第一,信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比。
第二,在对被审计单位的业务流程、信息系统和相关风险进行充分了解之后,注册会计师应判断企业中是否包含信息技术关键风险,并且实质性程序是否无法完全控制该风险。如果符合上述情况的描述,那么注册会计师应将信息技术审计内容纳入财务审计计划之中。
第三,在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,注册会计师需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围。(参见教材表9-1)
【例题多选题】注册会计师在规划审计策略时,需要根据具体情况对信息技术审计范围加以考虑。通常需要考虑的因素有( )。
A.企业业务流程的复杂度
B.信息系统复杂度
C.系统生成的交易数量
D.信息技术环境规模和复杂度
『正确答案』ABCD
『答案解析』注册会计师在确定审计策略时,需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等五个方面,对信息技术审计范围进行适当考虑。
第三节 信息技术内部控制审计
一、与信息技术相关的控制
在信息技术环境下,传统的手工控制越来越多地被自动控制所替代,能为企业带来很多好处。
同时,对自动控制的依赖也可能给企业带来下列重大错报风险:
1.信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;
2.自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险;
3.数据丢失风险或数据无法访问风险,如系统瘫痪;
4.不适当的人工干预,或人为绕过自动控制。
因此,被审计单位采用信息系统处理业务,并不意味着手工控制被完全取代,信息系统对控制的影响,取决于企业对信息系统的依赖程度。
二、信息技术内部控制审计
(一)信息技术一般性控制审计
信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。
有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对上述三个领域实施控制测试。
注意:
如果注册会计师计划依赖自动应用控制、自动会计程序、或依赖系统生成信息的控制时,他们就需要对相关的信息技术一般控制进行验证。
(二)信息技术应用控制审计
信息技术应用控制一般要经过输入、处理及输出等环节,与手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。然而,自动系统控制造成的影响程度比信息技术一般控制要显著的多,并且需要进一步的手工调查。另外,所有的自动应用控制都会有一个手工控制与之相对应。
注意:
理论上,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。
1.完整性
(1)顺序标号,可以保证系统中每笔日记账都是唯一的,并且系统不会接受相同编号,或者在编号范围外的凭证。此时,需要系统提供一个没有编号凭证的报告,如果存在例外,需要相关人员进行调查跟进。
(2)编辑检查,以确保无重复交易录入,比如发票付款的时候,检查发票编号。
2.准确性
(1)编辑检查,包括限制检查、合理性检查、存在性检查和格式检查等。
(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。
3.授权
(1)交易流程中必须包含恰当的授权。
(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。
4.访问限制
(1)对于某些特殊的会计记录的访问,必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限,并且符合职责分离原则。如果存在例外,必须进行调查。
(2)访问控制必须满足适当的职责分离(比如,交易的审批和处理必须由不同的人员来完成)。
(3)对每个系统的访问控制都要单独考虑。密码必须要定期更换,并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告,管理层必须跟踪这些登录失败的具体原因。
三、信息技术应用控制与信息技术一般控制之间的关系
应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。
【例题单选题】下列有关信息技术内部控制审计的表述中,不正确的是( )。
A.自动化控制下,也会给企业带来一些财务报表的重大错报风险
B.对信息技术下内部控制的审计,注册会计师需要从信息技术的一般控制和应用控制两方面进行
C.信息技术的一般控制通常能对实现信息处理目标和财务报表认定做出直接贡献
D.信息技术应用控制一般要经过输入、处理及输出等环节,自动系统控制关注信息处理目标包括:完整性、准确性、经过授权和访问限制
『正确答案』C
『答案解析』信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报表认定做出直接贡献。
第四节 计算机辅助审计技术和电子表格的运用
一、计算机辅助审计技术
应关注
第一,计算机辅助审计技术可以使审计工作更富效率和效果;
第二,最广泛地应用计算机辅助审计技术的领域是实质性程序,特别是在与分析程序相关的方面。除此以外,计算机辅助审计技术还能被用于详细测试(包括目标测试)以及对审计抽样的辅助。计算机辅助审计技术也可用于测试控制的有效性。
二、电子表格
应关注
第一,注册会计师在进行系统审计时,需要谨慎地考虑电子表格中的控制,以及如信息系统一般控制一样的控制的设计与执行(在相关时)的有效性,从而确保这些内嵌控制持续的完整性。
第二,因为电子表格能够非常容易进行修改,并可能缺少控制活动,因此,电子表格往往面临重大固有风险和错误。所以,注册会计师应该了解相关的电子表格/数据库如何支持关键控制达到相关业务流程的信息处理目标。
相关推荐:
更多注会考试信息请关注读书人网(http://www.reader8.net)
注会考试频道(http://www.reader8.net/exam/cpa)