注册会计师 基础班 审计 第十一章　信息技术对审计的影响

《注册会计师 基础班 审计 第十一章　信息技术对审计的影响》由会员分享，可在线阅读，更多相关《注册会计师 基础班 审计 第十一章　信息技术对审计的影响（6页珍藏版）》请在金锄头文库上搜索。

1、2011年注册会计师考试辅导 审计 第十一章信息技术对审计的影响考情分析：本章内容从考试角度看难度不大，最近两年并未单独出题目，预计今年最多可能是以客观题目进行考察。学习建议：重点关注第二、三节，并结合第13章和14章的相关内容进行掌握。此外，对于老师强调的观点或结论进行记忆即可。第一节信息技术对审计过程的影响一、信息技术的概念（了解）从广义上讲，凡是能扩展人类信息功能的技术，都是信息技术。具体而言，信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。二、信息技术审计的演变由于会计信息技术化的大规模普及，大部分企业的会计处理已经实

2、现信息化。注册会计师开始意识到信息技术审计的重要性，但这时人们对信息技术审计的认识还停留在对财务数据的采集和分析阶段，注册会计师仍然可以绕过信息系统，对财务数据和报表进行核实，以获取审计证据。伴随着会计信息技术化的成熟，以ERP为代表的企业信息系统的高度集成逐渐开始兴起。这时的企业信息系统已不仅仅是一个孤立的系统，而是集财务、人事、供销、生产为一体的综合性系统，财务信息只是这个系统所处理信息的一部分，因此，注册会计师必须在规划和执行审计工作时对企业信息技术进行全面考虑。三、信息技术和财务报告的关系信息系统形成的信息质量影响企业编制财务报告、管理企业活动和做出适当的管理决策。因此有效的信息系统需

3、要实现下列功能并保留记录结果：1.识别和记录全部授权交易；2.及时、详细记录交易内容，并在财务报告中对全部交易进行适当分类；3.衡量交易价值，并在财务报告中适当体现相关价值；4.确定交易发生期间，并将交易记录在适当的会计期间；5.将相关交易信息在财务报告中作适当披露。注册会计师在进行财务报告审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则必须考虑相关信息和报告的质量，而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的。注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制等四个方面。四、信息技术对审计过程的影响信息技术在企业中的应

4、用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求，基本审计准则和财务报告审计目标在所有情况下都适用。（背下来）信息技术对审计过程的影响主要体现在以下几个方面：（一）对审计线索（audit trail）的影响传统的手工会计系统，审计线索包括凭证、日记账、分类账和报表。注册会计师通过顺查和逆查的方法来审查记录，检查和确定其是否正确地反映了被审计单位的经济业务，检查企业的会计核算是否合理、合规。在信息技术环境下，从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成，数据均保存在磁性介质上，从而会影响到审计线索，如数据存储介质、存取方式以及处理程序等（二）对审计技术手

5、段的影响（三）对内部控制的影响随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但根据内部控制的概念，完善的内部控制的目标并没有发生改变，即：（背下来）1.提高管理层决策制定的效果和业务流程的效率；2.提高会计信息的可靠性；3.促进企业遵守法律和规章。但必须关注的是，在高度电算化的信息环境中，业务活动和业务流程引发了新的风险，从而使具体控制活动的性质有所改变。（四）对审计内容的影响信息化环境下审计的内容包括对信息化系统的处理和相关控制功能的审查。（五）注册会计师的影响注册会计师必须对信息系统内的风险和控制都非常熟悉，然后对审计的策略、范围、方法和手段做出相应的调整，以获取充分、适当的

6、审计证据，支持发表的审计意见。第二节信息技术审计范围的确定如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的内容。信息技术审计的范围与企业在业务流程及信息系统相关方面的复杂度成正比，在具体评估复杂度时，可以从以下几个方面予以考虑：（一）评估企业流程的复杂度（比如销售流程、薪酬流程、采购流程等）注册会计师可以通过考虑以下因素，对企业流程复杂度做出适当判断：1.某流程涉及过多人员及部门，并且相关人员及部门之间的关系复杂且界限不清；2.某流程涉及大量操作及决策活动；3.某流程的数据处理过程涉及复杂的公式和大量数据录入操作；4.某流程需要对信息进行手工处理；5

7、.对系统生成的报告的依赖程度。（二）评估信息系统的复杂度对企业信息系统复杂度的评估也不是一个纯粹客观的过程，评估过程包含大量的职业判断，也受到所使用系统类型（如商业软件或自行研发系统）的影响。1.评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围，以及企业化程度（对出厂标准配置的变更、变更类型）。2.对于自行研发系统复杂度的评估，应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果，以及系统变更之后的系统运行情况及运行期间。（三）信息技术环境的规模和复杂度评估信息技术环境的规模和复杂度，主要应当考虑产生财务数据的信息系统数量、

8、信息部门的结构与规模、网络规模、用户数量、外包及访问方式（例如本地登陆或远程登陆）。信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。在对企业的流程、信息系统和相关风险进行充分了解之后，注册会计师应判断企业中是否包含信息技术关键风险，并且实质性程序是否无法完全控制该风险。如果实质性程序无法完全控制该风险，那么注册会计师应将针对信息技术的审计内容纳入财务审计计划之中。教师提示：联系第14章，必须进行控制测试的情形：如果实质性程序无法将重大错报风险降低至可接受的水平，则应当进行控制测试。如果注册会计师计划依赖自动系统控制，或依赖以自动系统生成信息为基础的手工控制或业务流程审阅结果，那么注册

9、会计师也同样需要对信息技术相关控制进行评估。在信息技术环境下，审计工作与对系统的依赖程度是直接关联的，注册会计师需要全面考虑其关联关系，从而可以准确定义相关的信息系统审计范围。表11-1信息系统审计关联范围表对信息系统的依赖程度对系统环境的了解与评估（是/否）验证手工控制（是/否）验证系统应用控制（是/否）了解、验证系统一般性控制（是/否）不依赖是否否否仅依赖手工控制，此类手工控制不依赖系统所生成的信息或报告是是否否仅依赖手工控制，此类手工控制依赖系统所生成的信息或报告，审计需要通过实质性测试来验证控制有效性是是否是同时依赖手工及自动控制是是是是第三节信息技术内部控制审计一、与信息技术相关的控

10、制对自动控制的依赖也可能会给企业带来下列财务报告重大错报风险：1.信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据；2.自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险。3.数据丢失风险或数据无法访问风险，如系统瘫痪；4.不适当的人工干预，或人为绕过自动控制。企业采用信息系统处理业务，并不意味着手工控制被完全取代，信息系统对控制的影响，取决于企业对信息系统的依赖程度。因此，与财务报告相关的控制活动一般由一系列手工和自动控制所组成。二、信息技术内部控制审计在信息技术环境中，手工控制的基本原理与方式在信息环境下并不会发生实质性

11、的改变，注册会计师仍需要按照标准执行相关的审计程序，而对于自动控制，就需要从信息技术一般性控制审计与信息技术应用控制审计两方面进行考虑： （一）信息技术一般性控制审计信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。有些情况下，信息技术一般控制也可能对实现信息处理目标和财务报告认定做出直接贡献。当手工控制依赖系统生成的信息时，信息技术一般控制同样重要。如果注册会计师计划依赖自动应用控制、自动会计程序、或依赖系统生成信息的控制时，他们就需要对相关的信

12、息技术一般控制进行验证。注册会计师应清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告，或生成手工日记账时使用系统生成的数据和报告的关系。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。1.程序开发程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。2.程序变更程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理

13、层的应用控制目标。3.程序和数据访问程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。4.计算机运行计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。（二）信息技术应用控制审计信息技术应用控制一般要经过输入、处理及输出等环节，和手工控制一样，自动系统控制同样关注信息处理目标的四个要素：完整性、准确性、经过授权和访问限制。然而，自动系统控制造成的影响程度比信息技术一般控制要显著的多，并且需要进一步的手工调查。另外，所有的自动应用控制都会有一个手工控制与之相对应。（比如，通

14、过批次汇总的方式验证数据传输的准确性和完整性时，如果出现例外，就需要有相应的手工控制进行跟踪调查）。理论上，在测试的时候，每个自动系统控制都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。1.完整性（1）顺序标号，可以保证系统每笔日记账都是唯一的，并且系统不会接受相同编号，或者在编号范围外的凭证。此时，需要系统提供一个没有编号凭证的报告，如果存在例外，需要相关人员进行调查跟进。（2）编辑检查，以确保无重复交易录入，比如发票付款的时候，检查发票编号。2.准确性（1）编辑检查。包括限制检查、合理性检查、存在性检查和格式检查等。（2）将客户，供应商，部分数据，发票和采购订单等信息与现有数据进行比较。3.授权（1）交易流程中必须包含恰当的授权。（2）将客户，供应商，部分数据，发票和采购订单等信息与现有数据进行比较。4.访问限制（1）对于某些特殊的会计记录的访问，必须经过数据所有者的正式授权。如果存在例外，必须进行调查。（2）访问控制必须满足适当的职责分离（比如交易的审批和处理必须由不同的人员来完成）。（3）对每个系统的访问控制都要单独考虑。密码必须要定期更换，并且在规定次数内不能重复；定期生成多次登录失败导致用户账号锁定的报告；管理层必须跟踪这些登录失败的具体原因。三、信息技术应用控制与信息技术一般控制之间的关系应用控制是设计在计算机