考点一 信息技术对企业财务报告和内部控制的影响
考点提示
1.信息技术对企业内部财务报告的影响
(1)信息技术对财务核算的影响
①计算机输入和输出设备代替了手工记录;
②计算机显示屏和电子影像代替了纸质凭证;
③计算机文档代替了纸质日记账和分类账;
④网络通信和电子邮件代替了公司间的邮寄;
⑤管理需求固化到应用程序之中;
⑥灵活多样的报告代替了固定的定期报告;
⑦数据更加充分,信息实现共享;
⑧系统问题的存在比偶然性误差更为普遍。
(2)对注册会计师的要求
注册会计师在进行财务报表审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。
2.信息技术对企业内部控制的影响
(1)积极影响
概括地讲,自动控制能为企业带来以下好处:
①自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;
②自动控制比较不容易被绕过;
③自动信息系统、数据库及操作系统的安全控制可以实现有效的职责分离;
④自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取;
⑤自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。
(2)特定风险
信息技术在改进被审计单位内部控制的同时,也产生了特定的风险:
①信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;
②自动信息系统、数据库及操作系统的安全控制如果无效,会增加对数据信息非授权访问的风险;
③数据丢失风险或无法访问的风险,如系统瘫痪;
④不适当的人工干预,或人为绕过自动控制。
3.注册会计师在信息化环境下面临的挑战
信息技术在会计处理和财务报告中的运用,把注册会计师带入了一个全新的、充满挑战的信息化环境。在这个环境中,注册会计师面对的是功能复杂、高度集成的大型信息系统,以及系统生成、处理、记录和报告的海量电子数据,甚至还有完全不同于传统形式的舞弊手法。
如果作为审计工作对象的财务会计信息和报告是由企业财务报告相关信息系统作为载体所形成的,那么注册会计师在了解业务流程和内部控制、识别和评估审计风险、确定审计风险的应对以及审计范围、制定整体审计计划、执行审计程序以及收集审计证据等方面将面临来自信息化环境的众多挑战,主要体现在以下方面:
(1)对业务流程开展和内部控制运作的理解
传统环境下,业务流程的开展和内部控制的运作主要依赖人工处理。信息化环境下,相当部分的内部控制环节转移到信息系统中自动执行,或者人工与信息系统相结合而执行。因此,注册会计师需要重新建立对业务流程开展和内部控制运作的理解和认识。
(2)对信息系统相关审计风险的认识
信息系统在带来效率效果提升的同时,也产生了由于信息技术导致的风险。注册会计师在执行财务报表审计时,需要充分识别并评估与会计核算和财务报告编制相关的信息技术运用相伴而生的风险,如程序逻辑的错误、权限的不当授予等。对相关控制风险缺乏认识,可能导致审计工作针对性的欠缺,难以有效识别财务报表重大错报。
(3)审计范围的确定
注册会计师在确定审计范围时,往往受困于信息技术的复杂性和专业性。企业的应用系统架构如何?信息系统间的数据流向是怎样的?如果对这些根本性问题认识不清楚,往往会导致在确定审计范围时产生遗漏。
(4)审计内容的变化
由于在信息化环境下,会计核算与财务报告是由信息系统通过程序进行自动处理的,因此审计内容很有可能包括对信息系统中的相关自动控制的测试。
例如,在针对存货计价不准确的重大错报风险执行审计程序时,由于被审计单位存货的计价依赖于高度自动化处理,不存在或存在很少人工干预,针对该风险仅实施实质性程序可能不可行。获取的审计证据,即存货的库龄分析仅以电子形式存在,注册会计师必须测试存货的计价相关的内部控制的有效性,以及存货库龄计算的准确性。
(5)审计线索的隐性化
在信息化环境下,会计信息已经全面数字化,传统的审计线索可能已经不复存在;在信息加工处理方面,信息系统封装了信息处理的过程,其内部处理逻辑、运算的中间过程,往往对系统的用户而言是独立的,传统的审计线索全面隐性化。
(6)审计技术改进的必要性
面对海量的交易、数据和财务信息,传统的审计技术在抽样针对性和样本覆盖程度方面的局限性越来越突出。一方面,信息技术的运用改变了企业的运作模式和工作方式;另一方面,面对海量数据,传统的抽样方式难以覆盖大量的数据,对于不同来源的数据缺乏深刻的洞察力,覆盖性方面也难以提供更强的审计信心。
(7)有待优化的知识结构
注册会计师不仅仅要具备丰富的会计、审计、经济、管理、法律方面的知识和技能,还必须对信息技术有所掌握和了解,熟悉系统的架构、信息处理的基本逻辑、系统运行的原理,以及与信息技术运用相伴而生的风险因素。在信息化环境下,注册会计师必须熟悉信息技术的运用和信息系统的风险及控制,应对以上新的挑战,对审计的策略、范围、内容、方法和手段做出有针对性的调整,获取充分、适当的审计证据,从而发表恰当的审计意见。
(8)与专业团队的充分协同工作
注册会计师在优化自身的知识结构体系的过程中,引人相关技术专业人员参与审计工作成为一种有效的审计手段而普遍存在。比较常见的专业领域如信息技术、税务等。因此,在审计全过程中如何整合各方资源,进行有效的审计成为审计过程中一个重要的议题和考虑方面。需要强调的是,注册会计师在引入专业人员进行审计的项目中,从审计规划、审计执行到审计完成的各个阶段都应该积极引人专业人员参与,以确保相关的审计风险被合理识别和应对,保证审计过程的有效执行和审计效果的提升。
考点二 信息技术中的一般控制和应用控制测试
在信息技术环境下,人工控制的基本原理在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序,而对于自动控制,就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑。
1.信息技术一般控制与应用控制
(1)信息技术一般控制:信息系统一般控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献。
包括内容:包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面
要点:由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对上述三个领域实施控制测试
(2)信息技术应用控制:信息技术应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制
包括内容:信息技术应用控制一般要经过输入、处理及输出等环节
要点:和手工控制类似,系统自动控制关注的要素包括:完整性、准确性、存在和发生。应用控制审计关注要点包括:(1)系统自动生成报告;(2)系统配置和科目映射;(3)接口控制;(4)访问和权限
【注意】
1.如果计划依赖自动应用控制、系统生成的信息等,则需要对信息技术的一般控制进行验证。
2.所有的自动应用控制都会有一个手工控制与之相对应。例如,通过批次汇总的方式验证数据传输的准确性和完整性时,如果出现例外,就需要有相应的手工控制进行跟踪调查。
在测试时,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。
2.公司层面信息技术控制
常见的公司层面信息技术控制包括但不限于:
(1)信息技术规划的制定;
(2)信息技术年度计划的制定;
(3)信息技术内部审计机制的建立;
(4)信息技术外包管理;
(5)信息技术预算管理;
(6)信息安全和风险管理;
(7)信息技术应急预案的制定;
(8)信息系统架构和信息技术复杂性。
目前审计机构针对公司层面信息技术控制往往会执行单独的审计,以评估企业信息技术的整体控制环境,来决定信息技术一般控制和应用控制的审计重点、风险等级、审计测试方法等。
3.信息技术一般控制、应用控制与公司层面控制三者之间的关系
(1)公司层面信息技术控制影响公司信息技术一般控制和信息技术应用控制的部署和落实;
(2)注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点;
(3)如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。此外,与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查原本应能使系统拒绝处理金额超过最大容差范围的支付操作;
(4)公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调;信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
例题
1、下列有关信息技术一般控制的说法中,错误的是(A)。
A.信息技术一般控制只能对实现部分或全部财务报表认定做出间接贡献
B.信息技术一般控制对所有应用控制具有普遍影响
C.信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面
D.信息技术一般控制在保证信息系统的安全
2、下列有关信息技术内部控制审计的表述中,不正确的是(C)。
A.自动化控制下,也会给企业带来一些财务报表的重大错报风险
B.对信息技术下内部控制的审计,注册会计师需要从公司层面信息技术、信息技术的一般控制和应用控制三方面进行
C.信息技术的一般控制通常能对实现信息处理目标和财务报告认定做出直接贡献
D.信息技术应用控制一般要经过输入、处理及输出等环节,自动系统控制关注信息处理目标包括:完整性、准确性、存在和发生
3、下列各项中,属于信息技术应用控制的是(CD)。
A.程序开发和变更
B.操作系统安全
C.财务系统中设定各科目映射关系
D.业务和财务系统间的接口数据传输
4、下列有关信息系统一般控制、应用控制和公司层面信息技术控制的说法中,正确的有(C)。
A.信息技术一般控制是应用控制和公司层面信息技术控制的基础
B.评估的重大错报风险为低水平时,如果计划依赖自动应用控制,可以对其直接测试,而无需对信息技术的一般控制进行验证
C.注册会计师执行公司层面信息技术控制审计通常安排在执行信息技术一般控制和信息技术应用控制审计之前
D.需要关注的一般控制要素包括完整性、准确性、存在和发生
考点三 信息技术对审计过程的影响
考点提示
1.信息技术对审计的影响
信息技术对审计过程的影响主要体现在以下几个方面:
(1)对审计线索的影响
传统的审计线索包括凭证、日记账、分类账和报表。
信息技术环境下的审计线索是:数据存储介质、存取方式、处理程序等。
(2)对审计技术手段的影响
过去,审计都是手工进行的。
现在,注册会计师需要掌握相关信息技术,把信息技术当作一种有力的审计工具。
(3)对内部控制的影响
随着信息技术的发展,虽然内部控制的目标并没有发生改变,但在高度电算化的信息环境中,业务活动和业务流程引发了新的风险,从而使具体控制活动的性质有所改变。
(4)对审计内容的影响
信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查。
(5)对注册会计师的影响
信息技术在被审计单位的广泛应用要求注册会计师一定要具备相关信息技术方面的知识。
2.信息技术审计范围的确定
如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的内容。
注册会计师在规划审计策略时,需要结合被审计单位的五个方面:
(1)业务流程复杂度;
(2)信息系统复杂度;
(3)系统生成的交易数量和业务对于系统的依赖程度;
(4)信息和复杂计算的数量;
(5)信息技术环境规模和复杂度。
①评估信息技术环境的规模和复杂度时,应当主要考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录)。
②信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。
例题
1、下列有关信息技术对审计的影响的说法中,错误的是(C)。
A.被审计单位对信息技术的运用不改变注册会计师制定审计目标,进行风险评估和了解内部控制的原则性要求
B.被审计单位对信息技术的运用影响注册会计师需要获取的审计证据的性质
C.被审计单位对信息技术的运用不影响注册会计师需要获取的审计证据的数量
D.被审计单位对信息技术的运用影响审计内容
2、下列有关注册会计师评估被审计单位信息系统复杂度说法中,错误的是(B)。
A.评估信息系统的复杂度,需要考虑系统生成的交易数量
B.信息技术环境复杂,意味着信息系统也是复杂的
C.对信息系统复杂度的评估,受被审计单位所使用的系统类型的影响
D.评估信息系统的复杂度,需要考虑系统中进行的复杂计算数量
3、注册会计师在规划审计策略时,需要根据具体情况对信息技术审计范围加以考虑。通常需要考虑的因素有(ABCD)。
A.企业业务流程的复杂度
B.信息系统复杂度
C.系统生成的交易数量
D.信息技术环境规模和复杂度
3.信息技术一般控制对控制风险的影响
(1)信息技术一般控制对应用控制的有效性具有普遍性影响;
(2)无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报风险的可能性;
(3)如果一般控制有效,注册会计师可以更多地信赖应用控制;
(4)注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。
4.信息技术应用控制对控制风险和实质性程序的影响
一般控制影响广泛,注册会计师通常不将控制与具体审计目标相联系;如果针对某一审计目标,注册会计师能够识别出有效的应用控制,在通过测试确定其运行有效后,注册会计师能够减少实质性程序。
5.在不太复杂IT环境下的审计
注册会计师采用传统方式进行审计,即“绕过计算机进行审计”。在此情形下,注册会计师仍需要了解信息技术一般控制和应用控制,但不测试其运行有效性,即不依赖其降低评估的控制风险水平,更多的审计工作将依赖非信息技术类审计方法。
6.在较为复杂IT环境下的审计
在面临较为复杂的IT环境时,“绕过计算机审计”就不可行,注册会计师需要更多运用各项审计技术和审计工具开展具体的审计工作。
考点四 计算机辅助审计技术和电子表格的运用
1.类型
(1)面向系统的计算机辅助审计技术
包括平行模拟、测试数据、嵌入审计模块法、程序编码审查、程序代码比较和跟踪、快照等方法。
(2)面向数据的计算机辅助审计技术
包括数据查询、账表分析、审计抽样、统计分析、数值分析等方法。
2.优点
提高审计效率,节约审计时间和成本。
3.应用
(1)计算机辅助技术的应用
控制测试、实质性程序、舞弊检查领域均可应用。
(2)计算机辅助工具的应用。
数据库和专业工具的应用。例如,Excel电子表格。
4.Excel电子表格面临的固有风险
(1)输入错误:录入、引用和剪贴中出现错误
(2)逻辑错误:公式错误
(3)接口错误:系统间的传输错误
(4)其他错误
例题
关于计算机辅助审计对审计影响,以下陈述中,恰当的有(ABC)。
A.计算机辅助审计技术大大提高了审计工作的效率和效果
B.计算机辅助审计能满足审阅大量的交易数量
C.计算机辅助审计可以用于审计抽样
D.计算机辅助审计不便用于控制测试
14万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
