注册会计师信息技术对审计的影响

第九章信息技术对审计的影响第一部分本章考情分析1.本章属于非重点章节，今年教材本章无变化。预计考题会以客观题的形式出现，考核信息技术审计范围和信息技术内部控制审计等方面的内容，也可能在综合题中涉及运用信息技术进行审计的方法，另外要注意与风险评估程序相结合的考查。预计2012年考试中考试分值涉及1～2分。第九章信息技术对审计的影响第九章信息技术对审计的影响2.本章基本内容框架信息技术对审计的影响信息技术对审计过程的影响信息技术的概念信息技术审计的演变信息技术和财务报告的关系信息技术对审计过程的影响信息技术审计范围的确定信息技术对内部控制审计与信息技术相关的控制信息技术内部控制的审计信息技术应用控制与信息技术一般控制之间的关系计算机辅助审计技术和电子表格的运用第二部分本章精讲第一节信息技术对审计过程的影响一、信息技术的概念从广义上讲，凡是能扩展人类信息功能的技术，都是信息技术。具体而言，信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。第九章信息技术对审计的影响二、信息技术审计的演变（了解）信息技术在被审计单位利用的情况主要依赖的审计方式1．计算机产生之前企业内部信息是手工处理手工审计方式2．计算机普及初，企业采用小范围的计算机处理审计人员忽略计算机存在，直接打印纸质文档审计3．企业会计处理开始实现信息化财务数据采集和分析，审计人员可以绕过信息系统审计4．企业会计信息技术化全面成熟，ERP全面兴起审计人员已经在规划和执行审计工作时对企业信息技术进行全面考虑第一节信息技术对审计过程的影响三、信息技术和财务报告的关系1.企业可以运用信息系统来创建、记录、处理和报告各项交易，以衡量和审查自身的财务业绩，并持续记录资产、负债及所有者权益。第一节信息技术对审计过程的影响2.信息系统的使用，会给企业的管理和会计核算程序带来很多重要的变化，包括：计算机输入和输出设备代替了手工记录；计算机显示屏和电子影像代替了纸质凭证；计算机文档代替了纸质日记账和分类账；网络通信和电子邮件代替了公司间的邮寄；管理需求固化到应用程序之中；灵活多样的报告代替了固定的定期报告；数据更加充分，信息实现共享；系统问题的存在比偶然性误差更为普遍。第一节信息技术对审计过程的影响3.信息系统形成的信息质量影响企业编制财务报告、管理企业活动和做出适当的管理决策。因此，有效的信息系统需要实现下列功能并保留记录结果：识别和记录全部授权交易；及时、详细记录交易内容，并在财务报告中对全部交易进行适当分类；衡量交易价值，并在财务报告中适当体现相关价值；确定交易发生期间，并将交易记录在适当的会计期间；将相关交易信息在财务报告中作适当披露。4.注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制等四个方面。第一节信息技术对审计过程的影响四、信息技术对审计过程的影响信息技术对审计过程的影响主要体现在以下几个方面：（一）对审计线索（audittrail）的影响（二）对审计技术手段的影响第一节信息技术对审计过程的影响（三）对内部控制的影响现代审计技术中，注册会计师会对被审计单位的内部控制进行审查与评价，以此作为制定审计方案和决定抽样范围的依据。随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但根据内部控制的概念，完善的内部控制的目标并没有发生改变，即：第一节信息技术对审计过程的影响1．提高管理层决策制定的效果和业务流程的效率；2．提高会计信息的可靠性；3．促进企业遵守法律和规章。但必须关注的是，在高度电算化的信息环境中，业务活动和业务流程引发了新的风险，从而使具体控制活动的性质有所改变。（四）对审计内容的影响（五）注册会计师的影响第一节信息技术对审计过程的影响注册会计师在确定审计策略时，需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等五个方面，对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比，在具体评估复杂度时，可以从以下几个方面予以考虑：第二节信息技术审计范围的确定一、评估业务流程的复杂度(比如销售流程、薪酬流程、采购流程等)注册会计师通过考虑因素，对业务流程复杂度做出适当判断：1．某流程涉及过多人员及部门，并且相关人员及部门之间的关系复杂且界限不清；2．某流程涉及大量操作及决策活动；3．某流程的数据处理过程涉及复杂的公式和大量的数据录入操作；4．某流程需要对信息进行手工处理；5．对系统生成的报告的依赖程度。第二节信息技术审计范围的确定二、评估信息系统的复杂度需要考虑系统生成的交易数量、信息和复杂计算的数量，包括：1．被审计单位是否存在大量交易数据，以至于用户无法识别并更正数据处理错误；2．数据是否通过网络传输，如EDI；3．是否使用特殊系统，如电子商务系统。第二节信息技术审计范围的确定三、信息技术环境的规模和复杂度评估信息技术环境的规模和复杂度，主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式（例如本地登录或远程登录）。信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。第二节信息技术审计范围的确定对信息系统的依赖程度对系统环境的了解与评估验证手工控制验证系统应用控制了解、验证系统一般性控制不依赖是否否否仅依赖手工控制，此类手工控制不依赖系统所生成的信息或报告是是否否仅依赖手工控制，此类手工控制依赖系统所生成的信息或报告，审计需要通过实质性测试来验证控制有效性是是否否同时依赖手工及自动控制是是是是第二节信息技术审计范围的确定一、与信息技术相关的控制在信息技术环境下，传统的手工控制越来越多地被自动控制所替代，概括地讲，自动控制能为企业带来以下好处：1．自动控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法；2．自动控制比较不容易被绕过；3．自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离；4．自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取；第三节信息技术内部控制审计5．自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。同时，对自动控制的依赖也可能给企业带来下列财务报告重大错报风险：①信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据；②自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统内数据和系统对非授权交易及不存在交易的记录遭到破坏，系统、系统程序、数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等；第三节信息技术内部控制审计③数据丢失风险或数据无法访问风险，如系统瘫痪；④不适当的人工干预，或人为绕过自动控制。因此，被审计单位采用信息系统处理业务，并不意味着手工控制被完全取代，信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。因此，与财务报告相关的控制活动一般由一系列手工控制和自动控制所组成。由于被审计单位信息技术的特点及复杂程度不同，被审计单位的手工及自动控制的组合方式往往会有所区别。第三节信息技术内部控制审计【例1.多项选择题】(2010年)A注册会计师负责审计甲公司20×8年度财务报表。在了解内部控制时，A注册会计师遇到下列事项，请代为作出正确的专业判断。下列情形中，A注册会计师认为通常适合采用信息技术控制的有（）。A．存在大量、重复发生的交易B．存在大额、异常的交易C．存在难以定义、防范的错误D．存在事先确定并一贯运用的业务规则第三节信息技术内部控制审计【答案】AD【解析】自动控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法，所以选项AD均正确。第三节信息技术内部控制审计二、信息技术内部控制审计在信息技术环境下，手工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册拿计师仍需要按照标准执行相关的审计程序，而对于自动控制，就需要从信息技术一般性控制审计与信息技术应用控制审计两方面进行考虑。第三节信息技术内部控制审计（一）信息技术一般性控制审计信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。在有些情况下，信息技术一般控制也可能对实现信息目标和财务报告认定做出直接贡献。这是因为有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。当手工控制依赖系统生成的信息时，信息技术一般控制同样重要。如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制时，他们就需要对相关的信息技术一般控制进行验证。第三节信息技术内部控制审计信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。1．程序开发。程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。程序开发控制的一般要素包括：第三节信息技术内部控制审计（1）对开发和实施活动的管理；（2）项目启动、分析和设计；（3）对程序开发实施过程的控制软件包的选择；（4）测试和质量确保；（5）数据迁移；（6）程序实施；（7）记录和培训；（8）职责分离。第三节信息技术内部控制审计2．程序变更程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。程序变更一般包括以下要素：（1）对维护活动的管理；（2）对变更请求的规范、授权与跟踪；（3）测试和质量确保；（4）程序实施；（5）记录和培训；（6）职责分离。第三节信息技术内部控制审计3．程序和数据访问程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。第三节信息技术内部控制审计4．计算机运行计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。第三节信息技术内部控制审计（二）信息技术应用控制审计信息技术应用控制一般要经过输入、处理及输出等环节，和手工控制一样，自动系统控制同样关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。第三节信息技术内部控制审计1．完整性（1）顺序标号，可以保证系统每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。此时，需要系统提供一个没有编号凭证的报告，如果存在例外，需要相关人员进行调查跟进。（2）编辑检查，以确保无重复交易录入，比如发票付款的时候，检查发票编号。第三节信息技术内部控制审计2．准确性（1）编辑检查，包括限制检查、合理性检查、存在性检查和格式检查等。（2）将客户、供应商、发票和采购订单等信息与现有数据进行比较。3．授权（1）交易流程中必须包含恰当的授权。（2）将客户、供应商、发票和采购订单等信息与现有数据进行比较。第三节信息技术内部控制审计4．访问限制（1）对于某些特殊的会计记录的访问，必须经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限，并且符合职责分离原则。如果存在例外，必须进行调查。第三节信息技术内部控制审计（2）访问控制必须满足适当的职责分离（比如，交易的审批和处理必须由不同的人员来完成）。（3）对每个系统的访问控制都要单独考虑。密码必须要定期更换，并且在规定次数内不能重复；定期生成多次登录失败导致用户账号锁定的报告，管理层必须跟踪这些登录失败的具体原因。第三节信息技术内部控制审计三、信息技术应用控制与信息技术一般