《浅析信息技术队审计的影响》由会员分享,可在线阅读,更多相关《浅析信息技术队审计的影响(11页珍藏版)》请在金锄头文库上搜索。
1、第十一章 信息技术队审计的影响第一节 信息技术队审计过程的影响一、信息技术的概念从广义上讲,凡是能扩展人类信息功能的技术,都是信息技术。具体而言,信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。现代通信技术是指20世纪70年代以来,随着微电子技术、计算机技术和通信技术的发展,围绕信息的产生、收集、存储、处理、检索和传递,形成的一个全新的用以开发和利用信息资源的高技术群,包括微电子技术、新型元器件技术、通信技术、计算机技术、各类软件及系统集成技术、光盘技术、传感技术、机器人技术、高清晰度电视技术等等。其中微电子技术、计算机技术、
2、软件技术、通信技术是现代信息技术的核心。二、信息技术审计的演变在计算机产生以前,企业内部的信息处理最初是以手工处理的方式进行的。一个企业的会计部门,通过不同岗位之间的分工协作,将日常经营活动中产生的财务资料进行加工处理,形成企业内部和外部下需要的各种纸质会计信息。这种情况下的审计方式毫无疑问是手工形式。随着计算机的普及尤其是微型计算机的大众化,一些企业开始使用计算机来处理部分会计资料。例如,企业内部自行开发的工资管理程序、存货管理程序等,逐步由机器替代了部分人工劳动。但由于计算机处理的范围还比较小,注册会计师可以忽略计算机的存在,直接对打印出来的纸质文档进行审计。由于会计信息技术化的大规模普及
3、,大部分企业的会计处理已经实现信息化。注册会计师开始意识到信息技术审计的重要性,但这时人们对信息技术审计的认识还停留在对财务数据的采集和分析阶段,注册会计师仍然可以绕过信息系统,对财务数据和报表进行核实,以获取审计证据。伴随着会计信息技术化的成熟,以ERP为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统部仅仅是一个孤立的系统,而是集财务、人事、供销、生产为一体的综合性系统,财务信息只是这个系统所处理信息的一部分,因此,注册会计师必须在规划和执行审计工作时对企业信息技术进行全面考虑。三、信息技术和财务报告的关系企业可以运用信息系统来创建、记录、处理和报告各项交易,以衡量和审查自身的
4、财务业绩,并持续记录资产、负债及所有者权益。具体来讲,创建是指企业可以采取手工或自动的方式来创建各项交易信息;记录是指信息系统识别并保留交易及事项的相关信息;处理是指企业可以采取手工或自动的方式对信息系统的数据信息进行编辑、确认、计算、衡量、估价、分析、汇总和调整;报告是指企业以电子或打印的方式,编制财务报告和其他信息,并运用上述信息来衡量和审查企业的财务业绩及其他方面的职能。信息系统的使用,会给企业的管理和会计核算程序带来很多重要的变化,包括:1、计算机输入和输出设备代替手工记录;2、计算机显示屏和电子影像代替了纸质凭证;3、计算机文档代替了纸质日记账和分类账;4、网络通信和电子邮件代替了公
5、司间的邮寄;5、管理要求固化到应用程序之中;6、灵活多样的报告代替了公司间的邮寄;7、数据更加充分,信息实现共享;8、系统问题的存在比偶然性误差更为普遍。信息系统形成的信息质量影像企业编制财务报告、管理企业活动和做出适当的管理决策。因此,有效的信息系统需要实现下列功能并保留记录结果:1、识别和记录全部授权交易;2、及时、详细记录交易内容,并在财务报告中对全部交易进行适当分类;3、衡量交易价值,并在财务报告中适当体现相关价值;4、确定交易发生期间,并将交易记录在适当的会计期间;5、将相关交易信息在财务报告中作适当披露。因此,注册会计师在进行财务报告审计时,如果依赖相关信息系统所形成的财务信息和报
6、告作为审计工作的依据,则必须考虑相关信息和报告的质量,而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的,所以注册会计师需要在整个过程中考虑你信息的准确性、完整性、授权体系及访问限制等四个方面。四、信息技术队审计过程的影响信息技术在企业中的引用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,基本审计准则和财务报告审计目标在所有情况下都适用。但是,注册会计师必须更深入了解企业的信息技术应用范围和性质,因为系统的设计和运行对审计风险的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。归纳起来,信息技术队审计过程的影
7、响主要体现在以下几个方面:(一)对审计线索的影响审计线索对审计来说极其重要。传统的手工会计系统,审计线索包括凭证、日记账、分类账和报表。注册会计师通过顺查和逆查的方法来审查记录,检查和确定其是否正确地放映了呗审计单位的积极业务,检查企业的会计核算是否合理、合规。而在信息技术环境下,从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成,数据均保存在磁性介质上,从而会影响到审计线索,如数据存储介质、存取方式以及处理程序等。(二)对审计技术手段的影响现代审计技术中,注册会计师都是手工进行的,但随着信息技术的广泛应用,若仍以手工方式进行审计,显然已经难以满足工作的需要,难以达到审计的目的。因
8、此,注册会计师需要掌握相关的信息技术,把信息技术当作一种有力的审计工具。(三)对内部控制的影响现代审计技术中,注册会计师会对被审计单位的内部控制进行审查与评价,以此作为制定审计方案和决定抽样范围的依据。随着信息技术的发展,内部控制虽然在形式及内涵方面发生了变化,但根据内部控制的概念,完善的内部控制的目标没有发生改变,即:1、提高管理层决策制定的效果和业务流程的效率;2、提高会计信息的可靠性;3、促进企业遵守法律和规章。但必须关注的是,在高度电算化的信息环境中,业务活动和业务流程引发了新的风险,从而使具体控制活动的性质有所改变。(四)对审计内容的影响在信息化条件下,由于信息化的特点,审计内容发生
9、了相应的变化,在信息化的会计系统中,各项会计事项都是由计算机按照程序进行自动化处理的,信息系统的特点及固有风险决定了信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查。比如,在审计账龄分析表时,在信息技术环境下,我们必须考虑其数据准确性以支持相关审计结论,因而需要对其给予系统的数据来源及处理过程进行考虑。(五)注册会计师的影响信息技术在被审计单位的广泛应用要求注册会计师一定要具备相关信息技术方面的知识。因此,注册会计师要成为知识全面的复合型人才,他们不仅要有丰富的会计、审计、经济、法律、管理等方面的知识和技能,还需要熟悉信息系统的应用技术、结构和运行原理,有必要对信息化环境下的内
10、部控制做出适当的评价。因此,注册会计师必须对系统内的风险和控制都非常熟悉,然后对审计的策略、范围、方法和手段做出相应的调整,以获取充分、适当的审计证据,支持发表的审计意见。第二节 信息技术审计范围的确定被审计单位的流程和信息系统可能拥有各自不同的特点,因此注册会计师应按各自特点制定审计计划中包含的信息技术审计内容;另外,如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的依据。因此,注册会计师在确定审计策略时,需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等五个方面,对信息技术审计范围
11、进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比,在具体评估复杂度时,可以从以下几个方面予以考虑:一、评估业务流程的复杂度(比如销售流程、薪酬流程、采购流程等)对业务流程复杂度的评估并不是一个纯粹客观的过程,而是需要注册会计师的执业判断。注册会计师可以通过考虑以下因素,对业务流程复杂度做出适当判断:1、某流程涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清;2、某流程涉及大量操作机决策活动;3、某流程的数据处理过程涉及复杂的公式和大量的数据录入操作;4、某流程需要对信息进行手工处理;5、对系统生成的报告的依赖程度。二、评估业务流程的复杂度与评
12、估业务流程的复杂度相类似,对企业信息系统复杂度的评估也不是一个纯粹客观的过程,评估过程包含大量的职业判断,也受到所使用系统类型(如商业软件或自行研发系统)的影响。具体来说,评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围,以及企业化程度(对出厂标准配置的变更、变更类型,例如,是仅为报告形式的变更还是对数据处理方式的变更)。而对于自行研发系统复杂度的评估应当考虑系统复杂程度、距离上一次系统构架重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况及运行期间。同时,还需要考虑系统生成的交易数量、信息和复杂计算的数量,包括:1、被审计单位是
13、否存在重大交易数据,以至于用户无法识别并更正数据处理错误;2、数据是否通过网络传输,如EDI;3、是否使用特殊系统,如电子商务系统。三、信息技术环境的规模和复杂度评估信息技术环境的规模和复杂度,主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录)。信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。在具体审计过程中,注册会计师除了考虑以上所提及的复杂度以外,还需要充分考虑系统在实际应用中存在的问题,评价这些问题对审计范围的影响:1、管理层如何获取与信息技术相关的问题?2、系统功能中是否发现严重问题或不准确成分?如果是,
14、是否存在可以绕过的程序(如自行修复程序等)?3、是否发生过信息系统运行出错、安全事件或对固定数据的修改等严重问题?如果是管理层如何应对这些问题,以及管理层如何确保这些问题得到可靠解决?4、内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题?5、报告中提及的最普遍的系统问题是什么?在对被审计单位的业务流程、信息系统和相关风险进行充分了解之后,注册会计师应判断被审计单位中是否包含信息技术关键风险,并且实质性程序是否无法完全控制该风险。如果符合上述情况的描述,那么注册会计师应将信息技术审计内容纳入财务审计计划之中。此外,如果注册会计师计划依赖自动系统控制,或依赖以自动系统生成信息
15、为基础的手工控制或业务流程审阅结果,那么注册会计师也同样需要对信息技术相关控制进行评估。综上所述,在信息技术环境下,审计工作于对系统的依赖是直接关联的,注册会计师需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围,具体内容见表11-1.表11-1 信息系统审计关联范围表对信息系统的依赖程度对系统环境的了解与评估(是否)验证手工控制(是否)验证系统应用控制(是否)了解,验证系统一般性控制(是否)不依赖是否否否仅依赖手工控制,此类手工控制不依赖系统所生成的信息或报告是是否否仅依赖手工控制,此类手工控制依赖系统所产生的信息或报告,审计需要通过实质性程序来验证控制有效性是是否否同时依赖手工及自动控制是是是是第三节 信息技术内部控制审计一、与信息技术相关的控制在信息技术环境下,传统的手工控制越来越多地被自动控制所替代,概括地讲,自动控制能为企业带来以下好处:1、自动控制能够有效处理大流量交易数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;2、自动控制比较不容易被绕过;3、自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;4、自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获得;5、自动信息系统可以提高管理层对企业业务活动及相关政策的监督水
