本章属于非重点章节。本章内容主要以客观题形式考查基本概念,有时在风险评估和风险应对的简答题和综合题中也会涉及到信息技术审计的范围等内容。
第一节 信息技术对企业财务报告和内部控制的影响
1.1 信息技术对企业财务报告的影响
1. 信息技术对财务核算的影响
(1)计算机输入和输出设备代替了手工记录;
(2)计算机显示屏和电子影像代替了纸质凭证;
(3)计算机文档代替了纸质日记账和分类账;
(4)网络通信和电子邮件代替了公司间的邮寄;
(5)管理需求固化到应用程序之中;
(6)灵活多样的报告代替了固定的定期报告;
(7)数据更加充分,信息实现共享;
(8)系统问题的存在比偶然性误差更为普遍。
2. 对注册会计师的要求
注册会计师在进行财务报表审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。
1.2 信息技术对企业内部控制的影响
1. 自动控制与手工控制
相关控制可能同时包括自动控制与手工控制。好处有:自动控制能有效处理大流量交易及数据,比较不容易被绕过,自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离。
2. 对内部控制的影响
信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。
1.3 信息技术产生的风险
1. 可能会错误地处理数据,也可能会处理错误的数据;
2. 如相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致非授权交易、虚假交易、系统程序和系统内的数据的不当改变、交易的不当的记录,以及信息技术人员越权访问和处理等;
3. 数据丢失风险或数据无法访问风险,如系统瘫痪;
4. 不适当的人工干预,或人为绕过自动控制。
1.4 注册会计师在信息化环境下面临的挑战
1. 对业务流程开展和内部控制运作的理解
2. 对信息系统相关审计风险的认识
3. 审计范围的确定
4. 审计内容的变化
5. 审计线索的隐性化
6. 审计技术改进的必要性
7. 有待优化的知识结构
8. 与专业团队的充分协同工作
第二节 信息技术中的一般控制和应用控制测试
信息技术应用控制→信息技术一般控制→公司层面信息技术控制
2.1 信息技术一般控制
(一)一般控制的定义
1. 为保证信息系统安全,对整个信息系统及外部各种环境要素实施的、对所有应用或控制模块有普遍影响的控制;
2. 通常会影响部分或全部财务报表认定。
(二)一般控制的内容(4 个方面,多选题)
1. 程序开发:确保系统的开发、配置和实施能够实现管理层的应用控制目标
2. 程序变更
(1)确保对程序和相关基础组件的变更经过请求、授权、执行、测试和实施,以达到管理层应用控制目标
(2)包括代码类的常规变更、配置类的变更和紧急变更
3. 程序和数据访问
(1)确保分配的访问程序和数据的权限经过用户身份认证并经过授权
(2)包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全
4. 计算机运行
(1)确保业务系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性
(2)包括问题和故障管理、数据备份和恢复、灾难恢复等
(三)对注册会计师的要求
如果计划依赖自动应用控制、系统生成的信息等,则需要对信息技术的一般控制进行验证。
2.2 信息技术应用控制
(一)应用控制的定义
应用控制一般要经过输入、处理及输出等环节。
(二)应用控制的内容
1. 系统自动生成报告
2. 系统配置和科目映射
3. 接口控制
4. 访问和权限
(三)对注册会计师的要求
需要关注的要素包括完整性、准确性、存在和发生等。
2.3 公司层面信息技术控制
常见的公司层面信息技术控制包括但不限于:
1. 信息技术规划的制定;
2. 信息技术年度计划的制定;
3. 信息技术内部审计机制的建立;
4. 信息技术外包管理;
5. 信息技术预算管理;
6. 信息安全和风险管理;
7. 信息技术应急预案的制定;
8. 信息系统架构和信息技术复杂性。
2.4 一般控制、应用控制和公司层面控制的关系
(一)三者的关系
1. 公司层面信息技术控制是信息技术的整体控制环境,决定了信息技术一般控制和应用控制的风险基调;
2. 一般控制是应用控制的基础,一般控制的有效性直接关系到应用控制的有效性。
(二)对注册会计师的要求
注册会计师需要了解与审计相关的信息技术一般控制和应用控制。
2.4 一般控制、应用控制和公司层面控制的关系
【2018 年 单选题】
下列有关信息技术一般控制的说法中,错误的是( )。
A. 信息技术一般控制只能对实现部分或全部财务报表认定做出间接贡献
B. 信息技术一般控制对所有应用控制具有普遍影响
C. 信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面
D. 信息技术一般控制旨在保证信息系统的安全
【答案】A
第三节 信息技术对审计过程的影响
3.1 信息技术审计范围的确定
(一)影响信息技术审计范围的因素
1. 业务流程的复杂度;
2. 信息系统的复杂度
3. 系统生成的交易数量和业务对于系统的依赖程度;
4. 信息和复杂计算的数量;
5. 信息技术环境的规模和复杂度。
信息技术的审计范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比,在具体审计时应对以上影响因素进行评估。
(二)评估业务流程的复杂度
考虑因素包括流程的人员、活动、数据量、处理方式及依赖程度等。
(三)评估信息系统的复杂度
评估信息系统复杂度需要大量职业判断,同时受到所使用系统类型(如商业软件或自行研发系统)的影响。
(四)信息技术环境的规模和复杂度
1. 评估信息技术环境的规模和复杂度时,应当主要考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录)。
2. 信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。
【2016 年 单选题】
下列有关注册会计师评估被审计单位信息系统的复杂度的说法中,错误的是( )。
A. 信息技术环境复杂,意味着信息系统也是复杂的
B. 评估信息系统的复杂度,需要考虑系统生成的交易数量
C. 评估信息系统的复杂度,需要考虑系统中进行的复杂计算的数量
D. 对信息系统复杂度的评估,受被审计单位所使用的系统类型的影响
【答案】A
(五)审计工作对信息系统的依赖----了解是必须的
了解控制:无论被审计单位运用信息技术的程度如何,注册会计师均需了解与审计相关的信息技术一般控制和应用控制。
控制测试:如果注册会计师计划依赖自动应用控制,或依赖系统生成信息的控制,就需要对相关的信息技术一般控制进行验证。
当人工控制依赖系统生成的信息时,信息技术的一般控制同样重要。
3.2 信息技术一般控制对控制风险的影响
注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。
信息技术一般控制对应用控制的有效性具有普遍性影响。无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报的可能性,即使这些应用控制本身得到了有效设计。
如果一般控制有效,注册会计师可以更多地信赖应用控制,测试这些控制的运行有效性,并将控制风险评估为低于“最高”水平。
3.3 信息技术应用控制对控制风险和实质性程序的影响
在评估信息技术应用控制对控制风险和实质性程序的影响时,注册会计师需要将控制与具体的审计目标相联系。
1. 对于一般控制,注册会计师通常不将控制与具体的审计目标相联系。
2. 如果针对某一具体审计目标,注册会计师能够识别出有效的应用控制,在通过测试
确定其运行有效后,注册会计师能够减少实质性程序。
3.4 在不太复杂 IT 环境下的审计——绕过计算机进行审计
当面临不太复杂的 IT 环境时,注册会计师虽然仍需要了解信息技术一般控制和应用控制,但不测试其运行有效性,即不依赖其降低评估的控制风险水平,更多的审计工作将依赖非信息技术类审计方法。
3.5 在较为复杂 IT 环境下的审计——穿过计算机进行审计
当面临较为复杂的 IT 环境时,“绕过计算机进行审计”就不可行,而需要“穿过计算机进行审计”。
穿过计算机进行审计,需要注册会计师更多运用各项审计技术和审计工具开展具体的审计工作。
第四节 计算机辅助审计技术和电子表格的运用
4.1 计算机辅助审计技术
(一)概念
计算机辅助审计技术,是指利用计算机和相关软件,使审计测试工作实现自动化的技术。
(二)分类
分类
内容
面向系统的计算机辅助审计技术
包括平行模拟、测试数据、嵌入审计模块法、程序编码审查、程序代码比较和跟踪、快照等方法
面向数据的计算机辅助审计技术
包括数据查询、账表分析、审计抽样、统计分析、数值分析等方法
(三)计算机辅助审计技术的优点
计算机辅助审计技术可使审计工作更富效率和效果。
1. 将现有手工执行的审计测试自动化。例如,对报告数据的准确性和完整性进行测试。
2. 在手工方式不可行的情况下执行测试或分析。
计算机辅助审计技术使得对系统中的每一笔交易进行测试成为可能。
(四)计算机辅助审计技术的应用
计算机辅助审计技术也可用于测试控制的有效性,选择少量的交易,并在系统中进行穿行测试,或用于测试系统中的某些交易。
由于计算机辅助审计技术有助于详审海量数据,它也可用于辅助对舞弊的检查工作(如审阅非正常的日记账)。
4.2 电子表格(Excel)
1. 注册会计师在进行系统审计时,需要谨慎地考虑电子表格中的控制,以及如信息系统一般控制一样的控制的设计与执行(在相关时)的有效性,从而确保这些内嵌控制持续的完整性。
2. 因为电子表格能够非常容易进行修改,并可能缺少控制活动,因此,电子表格往往面临重大固有风险和错误,所以,注册会计师应该了解相关的电子表格/数据库如何支持关键控制达到相关业务流程的信息处理目标。
第五节 数据分析
5.1 数据分析的概念
一、数据分析的概念
数据分析是注册会计师获取审计证据的一种手段,是指注册会计师在计划和执行审计工作时,通过对内部或外部数据进行分析、建模或可视化处理,以发现其中隐藏的模式、偏差或不一致,从而揭示出对审计有用的信息的方法。
数据分析能够提高审计的效率和效果:
1. 数据分析有助于快速、低成本的方式实现对被审计单位整套完整数据(而非运用抽样技术得出的样本数据)进行检查;
2. 有助于注册会计师从全局的角度更好地把握被审计单位交易和事项的经济实质,从而有肋于提高审计质量。
5.2 数据分析的作用与运用
数据分析是通过基础数据结构中的字段来提取数据,而不是通过数据记录的格式。
数据分析工具可用于风险分析、交易和控制测试、分析性程序,用于为判断提供支撑并提供见解。
常规分析工具可以提供审计证据,为会计估计的计算方法是否适当的判断提供支持。
5.2 数据分析的作用与运用
更高级的常规分析工具可用于风险分析以便发现问题,而更详细的分析可用来明确重点,提供审计证据和洞察力。
数据分析工具可以提高审计质量。审计质量不在于工具本身,而是在于分析和相应判断的质量。这种价值不在于数据转换,而是在于从分析产生的交谈和询问中提取的审计证据。
5.3 数据分析面临的挑战
数据接口:注册会计师需要为客户的系统开发接口和映射编码,以便能够从系统中提取数据
数据转换:注册会计师需要决策对数据进行的转换和改变,以便实现数据的可用性
数据容量:数据分析的规模和范围可能超出标准服务器的容量
数据保留:注册会计师需要考虑保留数据的方式,以满足审计准则的文件记录要求
数据分析对审计准则的影响
1. 使用数据分析技术使得注册会计师可以执行超大规模工作,审计准则需要彻底的变革以反映新技术的发展;
2. 审计准则只需要适当修改以反映一些效力强大的审计新技术。
第六节 不同信息技术环境下的问题
6.1 网络环境
在网络环境下,用于处理交易的应用软件和数据文件可能分布于不同位置但互相连接的计算机设备上,由此产生了与内部控制相关的问题,包括对分布于不同位置的服务器的安全、数据和信息的分布及同步、管理监督以及兼容性问题。
6.2 数据库管理系统
数据库管理系统也带来了与内部控制相关的问题,包括多重使用者能够访问和修改共享数据的风险。因此,需要实施严格的数据库管理和接触控制,以及数据安全备份制度。
6.3 电子商务系统
在网上交易和在线电子支付这种方式下,交易信息在网上传输,容易被拦截、篡改或不当获取,需要采取相应的安全控制。此外,被审计单位的会计信息系统可能与交易对方的系统相连接,产生了互相依赖的风险,即交易一方的风险部分取决于交易对手如何识别和管理其自身系统中的风险。
6.4 外包安排
被审计单位可能将全部或部分的信息技术职能外包给专门的应用软件服务提供商或云计算服务商等计算机服务机构。
如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师应当参照《中国注册会计师审计准则第 1241号对被审计单位使用服务机构的考虑》的规定办理。
(一)注册会计师应当实施与服务机构活动相关的下列程序:
1. 了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制;
2. 获取相关控制运行有效性的证据。
(二)注册会计师可通过以下程序获取相关控制运行有效性的证据,包括:
1. 了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告;
2. 测试被审计单位对服务机构活动的控制;
3. 对服务机构实施控制测试。
(三)如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告,注册会计师应考虑三点因素进行评价:
1. 控制测试涵盖的期间以及与管理层评估时间点的关系;
2. 测试涵盖的范围、测试的控制及其与企业控制的关联度;
3. 控制测试结果以及服务机构注册会计师对控制运行有效性发表的意见。
【多选题】
某集团将信息技术职能外包给专门服务机构,注册会计师获取相关控制运行有效性的证
据时,可以执行的程序有( )。
A. 测试被审计单位对服务机构活动的控制
B. 向服务机构寄发关于内部控制的询证函
C. 获取服务机构注册会计师对服务机构出具的财务报表审计报告
D. 对服务机构实施控制测试
【答案】AD
