《《审计》第十一章.doc》由会员分享,可在线阅读,更多相关《《审计》第十一章.doc(19页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、第十一章 信息技术对审计的影响第一节 信息技术对审计过程的影响 一、信息技术的概念 从广义上讲,凡是能扩展人类信息功能的技术,都是信息技术。具体而言,信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。 现代信息技术是指20世纪70年代以来,随着微电子技术、计算机技术和通信技术的发展,围绕信息的产生、收集、存储、处理、检索和传递,形成的一个全新的、用以开发和利用信息资源的高技术群,包括微电子技术、新型元器件技术、通信技术、计算机技术、各类软件及系统集成技术、光盘技术、传感技术、机器人技术、高清晰度电视技术等,其中微电子技术、计算机
2、技术、软件技术、通信技术是现代信息技术的核心。 二、信息技术审计的演变 在计算机产生以前,企业内部的信息处理最初是以手工处理的方式进行的。一个企业的会计部门,通过不同岗位之间的分工协作,将日常经营活动中产生的财务资料进行加工处理,形成企业内部和外部需要的各种纸质会计信息。这种情况下的审计方式毫无疑问是手工的形式。 随着计算机的普及尤其是微型计算机的大众化,一些企业开始用计算机来处理部分会计资料。例如,企业内部自行开发的工资管理程序、存货管理程序等,逐步用机器替代了部分人工劳动。但由于计算机处理的范围还比较小,注册会计师可以忽略计算机的存在,直接对打印出来的纸质文档进行审计。 由于会计信息技术化
3、的大规模普及,大部分企业的会计处理已经实现信息化。注册会计师开始意识到信息技术审计的重要性,但这时人们对信息技术审计的认识还停留在对财务数据的采集和分析阶段,注册会计师仍然可以绕过信息系统,对财务数据和报表进行核实,以获取审计证据。 伴随着会计信息技术化的成熟,以ERP为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统已不仅仅是一个孤立的系统,而是集财务、人事、供销、生产为一体的综合性系统,财务信息只是这个系统所处理信息的一部分,因此,注册会计师必须在规划和执行审计工作时对企业信息技术进行全面考虑。 三、信息技术和财务报告的关系 企业可以运用信息系统来创建、记录、处理和报告各项交易
4、,以衡量和审查自身的财务业绩,并持续记录资产、负债及所有者权益。具体来讲,创建是指企业可以采取手工或自动的方式来创建各项交易信息;记录是指信息系统识别并保留交易及事项的相关信息;处理是指企业可以采取手工或自动的方式对信息系统的数据信息进行编辑、确认、计算、衡量、估价、分析、汇总和调整;报告是指企业以电子或打印的方式,编制财务报告和其他信息,并运用上述信息来衡量和审查企业的财务业绩及其他方面的职能。 信息系统的使用,会给企业的管理和会计核算程序带来很多重要的变化,包括: 1计算机输入和输出设备代替了手工记录; 2计算机显示屏和电子影像代替了纸质凭证; 3计算机文档代替了纸质日记账和分类账; 4网
5、络通信和电子邮件代替了公司间的邮寄; 5管理需求固化到应用程序之中; 6灵活多样的报告代替了固定的定期报告; 7数据更加充分,信息实现共享; 8系统问题的存在比偶然性误差更为普遍。 信息系统形成的信息质量影响企业编制财务报告、管理企业活动和做出适当的管理决策。因此,有效的信息系统需要实现下列功能并保留记录结果: 1识别和记录全部授权交易; 2及时、详细记录交易内容,并在财务报告中对全部交易进行适当分类; 3衡量交易价值,并在财务报告中适当体现相关价值; 4确定交易发生期间,并将交易记录在适当的会计期间; 5将相关交易信息在财务报告中作适当披露。 因此,注册会计师在进行财务报告审计时,如果依赖相
6、关信息系统所形成的财务信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量,而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的,所以,注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制等四个方面。 四、信息技术对审计过程的影响 信息技术在企业中的应用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,基本审计准则和财务报告审计目标在所有情况下都适用。 但是,注册会计师必须更深入了解企业的信息技术应用范围和性质,因为系统的设计和运行对审计风险的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影
7、响。归纳起来,信息技术对审计过程的影响主要体现在以下几个方面: (一)对审计线索( audit trail)的影响 审计线索对审计来说极其重要。传统的手工会计系统,审计线索包括凭证、日记账、分类账和报表。注册会计师通过顺查和逆查的方法来审查记录,检查和确定其是否正确地反映了被审计单位的经济业务,检查企业的会计核算是否合理、合规。而在信息技术环境下,从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成,数据均保存在磁性介质上,从而会影响到审计线索,如数据存储介质、存取方式以及处理程序等。 (二)对审计技术手段的影响 过去,注册会计师的审计都是手工进行的,但随着信息技术的广泛应用,若仍以
8、手工方式进行审计,显然已经难以满足工作的需要,难以达到审计的目的。因此,注册会计师需要掌握相关信息技术,把信息技术当作一种有力的审计工具。 (三)对内部控制的影响 现代审计技术中,注册会计师会对被审计单位的内部控制进行审查与评价,以此作为制定审计方案和决定抽样范围的依据。随着信息技术的发展,内部控制虽然在形式及内涵方面发生了变化,但根据内部控制的概念,完善的内部控制的目标并没有发生改变,即: 1提高管理层决策制定的效果和业务流程的效率; 2提高会计信息的可靠性; 3促进企业遵守法律和规章。 但必须关注的是,在高度电算化的信息环境中,业务活动和业务流程引发了新的风险,从而使具体控制活动的性质有所
9、改变。 (四)对审计内容的影响 在信息化条件下,由于信息化的特点,审计内容发生了相应的变化,在信息化的会计系统中,各项会计事项都是由计算机按照程序进行自动处理的,信息系统的特点及固有风险决定了信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查。比如,在审计账龄分析表时,在信息技术环境下,注册会计师必须考虑其数据准确性以支持相关审计结论,因而需要对其基于系统的数据来源及处理过程进行考虑。 (五)注册会计师的影响 信息技术在被审计单位的广泛应用要求注册会计师一定要具备相关信息技术方面的知识。因此,注册会计师要成为知识全面的复合型人才,不仅要有丰富的会计、审计、经济、法律、管理等方面的
10、知识和技能还需要熟悉信息系统的应用技术、结构和运行原理,有必要对信息化环境下的内部控制做出适当的评价。因此,注册会计师必须对系统内的风险和控制都非常熟悉,然后对审计的策略、范围、方法和手段做出相应的调整,以获取充分、适当的审计证据,支持发表的审计意见。第二节 信息技术审计范围的确定 被审计单位的流程和信息系统可能拥有各自不同的特点,因此注册会计师应按各自特点制定审计计划中包含的信息技术审计内容;另外,如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么就需要适当扩大信息技术审计的范围。 因此,注册会计师在确定审计策略时,需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数
11、量、信息和复杂计算的数量、信息技术环境规模和复杂度等五个方面,对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比,在具体评估复杂度时,可以从以下几个方面予以考虑: 一、评估业务流程的复杂度(比如销售流程、薪酬流程、采购流程等) 对业务流程复杂度的评估并不是一个纯粹客观的过程,而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素,对业务流程复杂度做出适当判断: 1某流程涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清; 2某流程涉及大量操作及决策活动; 3某流程的数据处理过程涉及复杂的公式和大量的数据录入操作; 4某流程
12、需要对信息进行手工处理; 5对系统生成的报告的依赖程度。二、评估信息系统的复杂度 与评估业务流程的复杂度相类似,对企业信息系统复杂度的评估也不是一个纯粹客观的过程,评估过程包含大量的职业判断,也受到所使用系统类型(如商业软件或自行研发系统)的影响。 具体来说,评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围,以及企业化程度(对出厂标准配置的变更、变更类型,例如,是仅为报告形式的变更还是对数据处理方式的变更)。 而对于自行研发系统复杂度的评估,应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况
13、及运行期间。同时,还需要考虑系统生成的交易数量、信息和复杂计算的数量,包括: 1被审计单位是否存在大量交易数据,以至于用户无法识别并更正数据处理错误; 2数据是否通过网络传输,如EDI; 3是否使用特殊系统,如电子商务系统。 三、信息技术环境的规模和复杂度 评估信息技术环境的规模和复杂度,主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录)。信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。 在具体审计过程中,注册会计师除了考虑以上所提及的复杂度外,还需要充分考虑系统在实际应用中存在的问题,评价这些问题对审计范围的影
14、响: 1管理层如何获取与信息技术相关的问题? 2系统功能中是否发现严重问题或不准确成分?如果是,是否存在可以绕过的程序(如自行修复程序等)? 3是否发生过信息系统运行出错、安全事件或对固定数据的修改等严重问题?如果是,管理层如何应对这些问题,以及管理层如何确保这些问题得到可靠解决? 4内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题? 5报告中提及的最普遍的系统问题是什么? 在对被审计单位的业务流程、信息系统和相关风险进行充分了解之后,注册会计师应判断被审计单位中是否包含信息技术关键风险,并且实质性程序是否无法完全控制该风险。如果符合上述情况的描述,那么注册会计师应将信息
15、技术审计内容纳入财务审计计划之中。此外,如果注册会计师计划依赖自动系统控制,或依赖以自动系统生成信息为基础的手工控制或业务流程审阅结果:那么注册会计师也同样需要对信息技术相关控制进行评估。 综上所述,在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,注册会计师需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围,具体内容见表111。表111 信息系统审计关联范围表对信息系统的依赖程度对系统环境的了解与评估(是/否)验证手工控制(是/否)验证系统应用控制(是/否)了解、验证系统一般性控制(是/否)不依赖是否否否仅依赖手工控制,此类手工控制不依赖系统所生成的信息或报告是是否否续表
16、对信息系统的依赖程度对系统环境的了解与评估(是/否)验证手工控制(是/否)验证系统应用控制(是/否)了解、验证系统一般性控制(是/否)仅依赖手工控制,此类手工控制依赖系统所生成的信息或报告,审计需要通过实质性程序来验证控制有效性是是否否同时依赖手工及自动控制是是是是第三节 信息技术内部控制审计 一、与信息技术相关的控制 在信息技术环境下,传统的手工控制越来越多地被自动控制所替代,概括地讲,自动控制能为企业带来以下好处: 1自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法; 2,自动控制比较不容易被绕过; 3自动信息系统、数据库及操作系统的相关安全控制可
17、以实现有效的职责分离; 4自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取; 5自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。 同时,对自动控制的依赖也可能给企业带来下列财务报告重大错报风险: 1信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据; 2自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统内数据和系统对非授权交易及不存在交易的记录遭到破坏,系统、系统程序、数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等; 3数据
18、丢失风险或数据无法访问风险,如系统瘫痪; 4不适当的人工干预,或人为绕过自动控制。 因此,被审计单位采用信息系统处理业务,并不意味着手工控制被完全取代,信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。例如,在基于信息技术的自动的信息系统中,系统进行自动操作来实现对交易信息的创建、记录、处理和报告,并将相关信息保存为电子形式(如电子的采购订单、采购发票、发运凭证和相关会计记录)。但相关控制活动也可能同时包括手工的部分,比如,订单的审批和事后审阅以及会计记录调整之类的手工控制。 因此,与财务报告相关的控制活动一般由一系列手工控制和自动控制所组成。由于被审计单位信息技术的特点及复杂程度不
19、同,被审计单位的手工及自动控制的组合方式往往会有所区别。 二、信息技术内部控制审计 在信息技术环境下,手工控制的基本原理与方式在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序,而对于自动控制,就需要从信息技术一般性控制审计与信息技术应用控制审计两方面进行考虑。 (一)信息技术一般性控制审计信息系统一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施,信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。在有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报告认定做出直接贡献。
20、这是因为有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。当手工控制依赖系统生成的信息时信息技术一般控制同样重要。如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制时,他们就需要对相关的信息技术一般控制进行验证。 注册会计师应清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告,或生成手工日记账时使用系统生成的数据和报告的关系。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对上述三个领域实施控制测试。信息技术一般控制包括程序开
21、发、程序变更、程序和数据访问及计算机运行等四个方面。1.程序开发程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括:(1)对程序和实施活动的管理;(2)项目启动、分析和设计;(3)对程序开发实施过程的控制软件的选择;(4)测试和质量确保;(5)数据迁移;(6)程序实施;(7)记录和培训;(8)职责分离。 2程序变更 程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标。程序变更一般包括以下要素: (1)对维护活动的管理; (2)对变更请求的规范、授权与跟踪; (3)测试和质量确保;
22、 (4)程序实施; (5)记录和培训; (6)职责分离。 3程序和数据访问 程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。 4计算机运行 计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。 (二)信息技术应用控制审计 信息技术应用控制一般要经过输入、处理及输出等环节
23、,和手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。然而,自动系统控制造成的影响程度比信息技术一般控制要显著得多,并且需要进一步的手工调查。另外,所有的自动应用控制都会有一个手工控制与之相对应。例如,通过批次汇总的方式验证数据传输的准确性和完整性时,如果出现例外,就需要有相应的手工控制进行跟踪调查。理论上,在测试的时候,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。例如,一笔交易被否定或者被作标记了,将会进行一个手工调查流程,并且被记录下来。下面将针对不同的信息处理目标来阐述应用控制的应用。 1完整性 (1)顺序
24、标号,可以保证系统每笔日记账都是唯一的,并且系统不会接受相同编号,或者在编号范围外的凭证。此时,需要系统提供一个没有编号凭证的报告,如果存在例外,需要相关人员进行调查跟进。 (2)编辑检查,以确保无重复交易录入,比如发票付款的时候,检查发票编号。 2准确性 (1)编辑检查,包括限制检查、合理性检查、存在性检查和格式检查等。(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。 3授权 (1)交易流程中必须包含恰当的授权。 (2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。 4访问限制 (1)对于某些特殊的会计记录的访问,必须经过数据所有者的正式授权。管理层必须定期检查系统的
25、访问权限来确保只有经过授权的用户才能够拥有访问权限,并且符合职责分离原则。如果存在例外,必须进行调查。 (2)访问控制必须满足适当的职责分离(比如,交易的审批和处理必须由不同的人员来完成)。 (3)对每个系统的访问控制都要单独考虑。密码必须要定期更换,并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告,管理层必须跟踪这些登录失败的具体原因。 三、信息技术应用控制与信息技术一般控制之间的关系 应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。例如,许多应用系统中包含很多编辑检查来帮助确保录入数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式),存在性检
26、查(如客户编码存在于客户主数据文档之中),或合理性检查(如最大支付金额)。如果录入数据的某一要素未通过编辑检查,那么系统可能拒绝录入该数据或系统可能将该录人数据拖入系统生成的例外报告之中,留待后续跟进和处理。 如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如,程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,以至于系统接受不准确的录入数据。此外,与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查在其他方面将使系统无法处理金额超过最大容差范围
27、的支付操作。第四节 计算机辅助审计技术和电子表格的运用 一、计算机辅助审计技术 (一)计算机辅助审计技术的定义 计算机辅助审计技术( Computer Assisted Audit Techniques,CAATS),是指利用计算机和相关软件,使审计测试工作实现自动化的技术。计算机辅助审计技术可以在以下方面使审计工作更富效率和效果:1将现有手工执行的审计测试自动化。比如,对报告数据的准确性进行测试: 2在手工方式不可行的情况下执行测试或分析。比如,审阅大量的和非正常的销售交易,尽管这项工作有可能通过手工执行来实现,但对于多数大型公司而言,从时间角度出发,需要审阅的交易数量是无法通过手工方式来进
28、行的。 计算机辅助审计技术不仅能够提高审阅大量交易的效率,而且计算机不会受到过度工作的影响(而注册会计师在审阅了大量的一页接一页的交易后很容易产生疲劳),从这个意义上讲,计算机辅助审计技术还可以使审阅工作更具效果。相比较用手工的方式进行同样的测试,即便是第一年使用计算机辅助审计技术进行审计,也会节省大量的审计工作量,而后续年度节约的审计时间和成本则会更多。 (二)计算机辅助审计技术应用 最广泛地应用计算机辅助审计技术的领域是实质性程序,特别是在与分析程序相关的方面。除此以外,计算机辅助审计技术还能被用于详细测试(包括目标测试)以及对审计抽样的辅助。计算机辅助审计技术使得对系统中的每一笔交易进行
29、测试成为可能,用于在交易样本量很大的情况下替代手工测试。 与其他控制测试相同,计算机辅助审计技术也可用于测试控制的有效性,选择少量的交易,并在系统中进行穿行测试,或是开发一套集成的测试工具,用于测试系统中的某些交易。在控制测试中使用计算机辅助审计技术的优势是,可以对每一笔交易进行测试(包括主文件和交易文件),从而确定是否存在控制失效的情况。 由于计算机辅助审计技术有助于详审海量数据,它也可用于辅助对舞弊的检查工作(如审阅非正常的日记账)。 二、电子表格 即使在信息化程度极高的环境下,由于系统限制等原因,财务信息和报告的生成往往还需要借助电子表格来完成,所谓电子表格是指利用计算机作为表格处理工具
30、,以实现制表工具、计算工具以及表格结果保存的综合电子化的软件。目前普遍使用的电子表格通常包括Excel等软件,通过电子表格可以进行数据记录、计算与分析,并能对输入的数据进行各种复杂统计运算后显示为可视性极佳的表格,因此,注册会计师在进行系统审计时,需要谨慎地考虑电子表格中的控制,以及如信息系统一般控制一样的控制的设计与执行(在相关时)的有效性,从而确保这些内嵌控制持续的完整性。 (一)电子表格的特性 电子表格的特性(即开放的访问、手工输入数据和容易出错)以及编制并使用电子表格的环境的特性(比如,用户开发不正式、保存在局域网或本地磁盘而不是其他受控的信息系统环境中),增加了电子表格所生成的数据存
31、在错误的风险,从而影响审计工作的进行。(二)确定重要的财务电子表格和其他最终用户计算工具的范围 重要的财务电子表格和其他最终用户计算工具(比如,按需报告工具或在数据仓库中运行查询)用来在重要的流程中(即自动控制或步骤)生成财务数据,或用来生成用于关键手工控制的财务或其他数据。作为起始点,注册会计师应该了解评估范围内重要的流程和账户,并识别用来支持这些流程或账户的相关的电子表格或工具。 (三)电子表格控制的考虑 因为电子表格能够非常容易进行修改,并可能缺少控制活动,因此,电子表格往往面临重大固有风险和错误,比如: 1输入错误:由错误数据录入、错误引用或其他简单的剪贴功能造成的错误; 2逻辑错误:
32、创建错误的公式从而生成了错误的结果; 3接口错误:与其他系统传输数据时产生的错误; 4其他错误:单元格范围定义不当、单元格参考错误或电子表格链接不当。 注册会计师应该了解相关的电子表格数据库如何支持关键控制达到相关业务流程的信息处理目标。电子表格控制可能包括以下一项或多项内容: 1对电子表格的、如信息系统一般控制一样的控制; 2内嵌在电子表格中的控制(类似于一个自动应用控制); 3针对电子表格数据输入和输出的手工控制。 信息技术的广泛应用对于审计所包含的内容产生了重大影响。随着信息技术的发展,未来的审计一定会越来越依赖先进技术,服务的内容也将从传统审计扩展为包括财务信息、内部控制等在内的综合信息。而这一切都将给注册会计师行业从业人员带来挑战,会计人员需要具备专业知识,但审计工作所涉及的信息技术领域有可能超越传统的财务审计范围,那么就需要信息技术专业人员的参与。