CPA教材审计2024-第五章信息技术对审计的影响
第五章信息技术对审计的影响
在计算机技术得到广泛普及之前,企业内部的信息处理通常是以人工方式进行的。企业的会计部门,通过不同岗位之间的分工协作,将日常经营活动中产生的财务资料进行加工处理,形成企业内部和外部需要的各种纸质会计信息。在这种情况下,审计毫无疑问采取人工方式。
随着计算机的普及,尤其是微型计算机的大众化,一些企业开始用计算机来处理部分会计资料。例如,工资管理程序、存货管理程序等,逐步用机器替代了部分人工劳动。但由于计算机处理的范围还比较小,[CPA]往往可以忽略计算机的应用,直接对打印出来的纸质文档进行审计。
随着信息技术的大规模普及,大部分企业的会计处理已经实现信息化。[CPA]开始意识到利用信息技术进行审计的[重要性],但这时人们对信息技术审计的认识还停留在对财务数据的采集和分析阶段,[CPA]仍然可以绕过信息系统,对财务数据和[财务报表]进行核实,以获取审计证据。
伴随着信息技术的成熟,以ERP为代表的企业信息系统高度集成逐渐开始兴起。这时的企业信息系统已不是一个孤立的系统,而是集财务、人事、供销、生产为一体的综合性系统,财务信息只是这个系统所处理信息的一部分。因此,[CPA]必须在计划和执行审计工作时对企业的信息技术进行全面考虑。
第一节信息技术对企业财务报告和[内部控制]的影响
一、信息技术的概念
从广义上讲,凡是能扩展人类信息功能的技术,都是信息技术。具体而言,信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息展示信息、分配信息等的相关技术。
现代信息技术是指20世纪70年代以来,随着微电子技术、计算机技术和通信技术的发展,围绕信息的产生、收集、存储、处理、检索和传递,形成的一个全新的、用以开发和利用信息资源的高技术群,包括微电子技术、新型元器件技术、通信技术、计算机技术、各类软件及系统集成技术、光盘技术、传感技术、机器人技术、高清晰度电视技术等,其中微电子技术、计算机技术、软件技术、通信技术是现代信息技术的核心。
二、信息技术对企业财务报告的影响
企业可以运用信息系统来创建、记录、处理和报告各项交易,以衡量和审查自身的财务业绩,并持续记录资产、负债及所有者权益。具体来讲,创建是指企业可以采取人工或自动化的方式来创建各项交易信息;记录是指信息系统识别并保存交易及事项的相关信息;处理是指企业可以采取人工或自动化的方式对信息系统的数据信息进行编辑、确认、计算、衡量、估价、分析、汇总和调整;报告是指企业以电子或打印的方式,编制[财务报表]和[其他信息],并运用上述信息来衡量和审查企业的财务业绩及其他方面的职能。
信息系统的使用,会给企业的管理和会计核算带来很多重要的变化,包括:
1.计算机输入和输出代替了人工记录。
2.计算机显示屏和电子影像代替了纸质凭证。
3.计算机文档代替了纸质日记账和分类账。
4.网络通信和电子邮件代替了公司间的邮寄,
5.管理需求固化到应用程序之中。
6.灵活多样的报告代替了固定格式的报告。
7.数据更加充分,信息更容易实现共享。
8.系统性问题比偶然性误差更为普遍。
信息系统形成的信息的质量影响企业编制[财务报表]、管理企业活动和作出恰当的管理决策。因此,有效的信息系统需要实现下列功能并保留记录结果:
1.识别和记录全部经授权的交易。
2.及时、详细记录交易内容,并在财务报告中对全部交易进行恰当分类
3.衡量交易价值,并在财务报告中恰当体现相关价值。
4.确定交易发生的期间,并将交易记录在恰当的会计期间。
5.将有关交易信息在财务报告中作恰当披露。
因此,[CPA]在进行[财务报表]审计时,如果拟依赖相关信息系统生成的信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量,而相关信息和报告的质量是通过交易的录入到输出整个过程中适当的控制来实现的,所以,[CPA]需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。
三、信息技术对企业[内部控制]的影响
在信息技术环境下,传统的人工控制越来越多地被[自动化控制]所替代。当然,被审计单位采用信息系统处理业务,并不意味着人工控制被完全取代。信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。例如,在基于信息技术的信息系统中系统进行自动化操作来实现对交易信息的创建、记录、处理和报告,并将相关信息保存为电子形式(如电子的采购订单、采购发票、发运凭证和相关会计记录)。但相关控制也可能同时包含人工部分,如订单的审批和事后审阅以及会计记录调整之类的人工控制。由于被审计单位信息技术的特点及复杂程度不同,人工及[自动化控制]的组合方式往往会有所区别。
概括地讲,[自动化控制]能为企业带来以下好处:
1.[自动化控制]能够有效处理大量交易和数据,因为自动化信息系统可以提供与业务规则一致的系统处理方法。
2.[自动化控制]比较不容易被绕过。
3.自动化信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离
4.自动化信息系统可以提高信息的及时性、准确性,并使信息变得更易获取。
5.自动化信息系统可以提高[管理层]对企业业务活动及相关政策的监督水平。
四、运用信息技术导致的风险
随着信息技术的运用,[内部控制]虽然在形式和内涵方面发生了变化,但其目标并没有发生改变,即:
1.提高[管理层]决策制定的效果和业务流程的效率。
2.提高会计信息的[可靠性]。
3.促进企业遵守法律法规。
信息技术在改进被审计单位[内部控制]的同时,也产生了特定的风险:
1.信息系统或相关程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据。
2.自动化信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏,系统程序、系统内的数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的系统权限等。
3.数据丢失风险或数据无法访问风险,如系统瘫痪等
4.不适当的人工干预,或人为绕过[自动化控制]。
五、[CPA]在信息化环境下面临的挑战
信息技术在会计处理和财务报告中的运用,把[CPA]带入了一个全新的、充满挑战的信息化环境。在这个环境中,[CPA]面对的是功能复杂、高度集成的大型信息系统,以及系统生成、处理、记录和报告的海量电子数据,甚至还有完全不同于传统形式的舞弊手法。如果作为审计工作对象的财务会计信息和报告是由企业财务报告相关信息系统所形成的,那么[CPA]在了解业务流程和[内部控制]、识别和评估[重大错报风险]、确定风险应对措施和审计范围、制定整体审计计划、执行审计程序以及收集审计证据等方面将面临来自信息化环境的诸多挑战,主要体现在以下方面:
1.对业务流程开展和[内部控制]运作的理解。传统环境下,业务流程的开展和[内部控制]的运作主要依赖人工处理。信息化环境下,相当部分的[内部控制]环节转移到信息系统中自动执行,或者人工与信息系统相结合而执行。因此,[CPA]需要重新建立对业务流程开展和[内部控制]运作的理解和认识。
2.对信息系统相关[审计风险]的认识。信息系统在带来效率效果提升的同时,也产生了由于信息技术导致的风险。[CPA]在执行[财务报表]审计时,需要充分识别和评估会计核算和财务报告编制相关的信息技术导致的风险,如程序逻辑的错误、权限的不当授予等。对相关[控制风险]缺乏认识,可能导致审计工作缺乏针对性,从而难以有效识别[财务报表]中的[重大错报]。
3.审计范围的确定。[CPA]在确定审计范围时,往往受困于信息技术的复杂性和专业性。企业的应用系统架构如何?信息系统间的数据流向是怎样的?如果对这些根本性问题认识不清楚,往往会导致在确定审计范围时产生遗漏。
4.审计内容的变化。在信息化环境下,会计核算与财务报告是由信息系统通过程序进行自动化处理的,因此,审计内容很有可能包括对信息系统中相关[自动化控制]的测试。例如,在针对存货计价不准确的[重大错报风险]实施审计程序时,由于被审计单位存货的计价依赖于高度自动化处理,不存在或很少人工干预,针对该风险仅实施[实质性程序]可能不可行。获取的部分审计证据,如存货的库龄分析仅以电子形式存在,[CPA]必须测试与存货计价相关的[内部控制]的[有效性],以及存货库龄计算的准确性。
5.审计线索的隐性化。在信息化环境下,会计信息已经全面数字化,传统的审计线索可能已经不复存在;在信息加工处理方面,信息系统封装了信息处理的过程,其内部处理逻辑、运算的中间过程,往往对系统的用户而言是无法获取的,传统的审计线索全面隐性化。
6.改进审计技术的必要性。面对海量的交易、数据和财务信息,传统的审计技术在抽样针对性和样本覆盖程度方面的局限性越来越突出。一方面,信息技术的运用改变了企业的运作模式和工作方式,传统审计技术针对的问题特征可能已经消失,或者发生了改变,[CPA]的经验可能无法简单移植,从而丧失了针对性;另一方面,面对海量数据,传统的抽样方式难以覆盖大量的数据,对于不同来源的数据缺乏深刻的洞察力,覆盖性方面也难以做到全面和系统。
7.知识结构有待优化。信息技术的广泛运用,对[CPA]的知识结构提出了新的要求。他们不仅要具备丰富的会计、审计、经济、管理、法律方面的知识和技能,还必须对信息技术有所掌握和了解,熟悉系统的架构、信息处理的基本逻辑、系统运行的原理,以及与信息技术运用相伴而生的风险因素。在信息化环境下,[CPA]必须熟悉信息技术的运用和信息系统的风险及控制,应对以上新的挑战,对审计的策略、范围内容、方法和手段作出有针对性的调整,才能获取充分、适当的审计证据,发表恰当的审计意见。
8.与专业团队的充分协作。复杂的新兴技术日新月异,使[财务报表]审计对专业知识的需求日益迫切。[CPA]在优化自身知识结构体系的过程中,引人相关技术专业人员参与审计工作已成为一种有效的审计手段,比较常见的专业领域如信息技术、网络技术等。因此,在审计全过程中有效地整合各方资源,对于有效地实施审计工作非常重要。需要强调的是,[CPA]在引人专业人员进行审计的项目中,从审计计划、审计执行到审计完成的各个阶段都应积极引人专业人员参与,以确保相关的[重大错报风险]被合理识别和应对,保证审计过程的有效执行和审计效果的提升。
第二节[信息技术一般控制]、[信息处理控制]和[公司层面[信息技术控制]]
在信息技术环境下,人工控制的基本原理并不会发生实质性改变,[CPA]仍需按照传统方法实施相关的审计程序,而对于[自动化控制],就需要从[信息技术一般控制][信息处理控制]以及[公司层面[信息技术控制]]三方面考虑。
一、[信息技术一般控制]
[信息技术一般控制]是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。[信息技术一般控制]既包括人工进行的控制,也包括[自动化控制]。[信息技术一般控制]通常会对实现部分或全部[财务报表]认定作出间接贡献。在某些情况下,[信息技术一般控制]也可能对实现信息处理目标和[财务报表]认定作出直接贡献。这是因为,有效的[信息技术一般控制]确保了应用系统控制和依赖计算机处理的自动化会计程序得以持续有效运行。当人工控制依赖系统生成的信息时,[信息技术一般控制]同样重要。如果[CPA]计划依赖自动化[信息处理控制]、自动化会计程序或依赖系统生成信息的控制,就需要对相关的[信息技术一般控制]进行测试。
[CPA]应当清楚记录[信息技术一般控制]与关键的自动化[信息处理控制]及接口、关键的自动化会计程序、关键人工控制所依赖的系统生成数据和报告,或生成人工日记账时使用系统生成的数据和报告的关系。
[信息技术一般控制]包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面。
1.程序开发。程序开发领域的目标是确保系统的开发、配置和实施能够实现[管理层]的[信息处理控制]目标。程序开发控制一般包括但不限于以下要素:
(1)程序开发的管理方法;
(2)项目启动、分析和设计;
(3)测试和质量确保;
(4)数据迁移;
(5)程序实施和应急计划;
(6)流程更新和用户培训;
(7)开发过程中的需求变更管理;
(8)开发过程中的职责分离。
2.程序变更。程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求授权、执行、测试和实施的,以达到[管理层]的[信息处理控制]目标。程序变更范围除包含代码类的常规变更外,也需要关注配置类的变更以及紧急变更。程序变更控制一般包括但不限于以下要素:
(1)对变更维护活动的管理;
(2)对变更请求的规范、授权与跟踪;
(3)测试和质量确保;
(4)程序实施;
(5)流程更新和用户培训;
(6)变更过程中的职责分离。
3.程序和数据访问。程序和数据访问领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。程序和数据访问控制一般包括但不限于以下要素:
(1)应用用户授权管理;
(2)高权限用户管理;
(3)职责分工和权限管理;
(4)认证和密码控制;
(5)用户监控;
(6)物理访问和环境控制;
(7)网络访问控制。
4.计算机运行。计算机运行领域的目标是确保业务系统根据[管理层]的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。计算机运行控制一般包括但不限于以下要素:
(1)系统作业管理;
(2)问题和故障管理;
(3)数据备份和恢复;
(4)备份介质的异地存放;
(5)灾难恢复。
二、[信息处理控制]
[信息处理控制],是指与被审计单位信息系统中下列两方面相关的控制:(1)信息技术应用程序进行的信息处理;(2)人工进行的信息处理。[信息处理控制]既包括人工进行的控制,也包括[自动化控制]。[信息处理控制]一般要经过输入、处理及输出等环节。与人工控制类似,系统[自动化控制]关注的要素包括:完整性、准确性、存在和发生等。各要素的主要含义如下:
1.完整性。系统处理数据的完整性,例如各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。
2.准确性。系统运算逻辑的准确性,例如金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。
3.存在和发生。信息系统相关的逻辑校验控制,例如限制检查、合理性检查、存在检查和格式检查等。部分业务操作的授权管理,例如入账审批管理的权限设定和授予物料成本逻辑规则修改权限的设定和授予等。
针对系统[自动化控制]的[信息处理控制]审计需要在理解业务流程的基础上进行,常见的系统[自动化控制]以及[信息处理控制]审计关注点列示如下:
1.系统自动生成报告。企业的业务或财务系统会定期或按需生成各类报告,如账龄报告、贷款逾期报告、业务和财务数据核对差异报告等。[信息处理控制]审计包括对这些报告生成逻辑(包括完整性和准确性)的测试、异常报告跟进控制的审计等。
2.系统配置和科目映射。信息系统中包含了大量的自动化校验控制和映射关系,包括数据完整性校验、录入合法性编辑检查、边界阈值设定、财务科目映射关系等。[信息处理控制]审计会对这些系统配置和映射关系的存在性和[有效性]进行测试。
3.接口控制。接口控制包括各业务系统之间,业务和财务系统之间,企业内部系统和合作伙伴、交易对手、监管机构之间的接口数据传输。[信息处理控制]审计会对这些接口数据传输的完整性和准确性进行测试。
4.访问和权限。企业内部各业务部门、财务部门、信息技术部门等均会根据各自的职责需要对信息系统进行访问,各部门、各团队甚至各岗位访问的权限均可能存在差异因此在系统控制层面需要对这些权限进行明确的定义和部署,以保证适当的人员配备适当的访问权限。[信息处理控制]审计会对这些访问权限授予情况的合理性进行测试。
三、[公司层面[信息技术控制]]
除[信息技术一般控制]和[信息处理控制]外,企业的[管理层]也越来越重视[公司层面[信息技术控制]]管理。常见的[公司层面[信息技术控制]]包括但不限于:
1.信息技术规划的制定;
2.信息技术年度计划的制定;
3.信息技术内部审计机制的建立;
4.信息技术外包管理;
5.信息技术预算管理;
6.信息安全和风险管理;
7.信息技术应急预案的制定;
8.信息系统架构建设和信息技术复杂性的考虑。
目前,[CPA]通常针对[公司层面[信息技术控制]]单独执行审计,以评估企业信息技术的整体控制环境,确定[信息技术一般控制]和[信息处理控制]的审计重点、风险等级审计测试方法等。
四、[信息技术一般控制]、[信息处理控制]与[公司层面[信息技术控制]]之间的关系
[公司层面[信息技术控制]]情况代表了该公司[信息技术控制]的整体环境,包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等,这些要素会影响该公司[信息技术一般控制]和[信息处理控制]的部署和落实。例如,如果某公司使用了较多的信息技术外部资源和服务,则可能会相应地提高外部用户管理和外联接口失效的风险,因此需要更多关注[信息技术一般控制]领域内的用户管理类控制,特别是外部用户管理机制,以及[信息处理控制]的外部系统接口管理机制等。
根据目前信息技术审计的业内实践,[CPA]在执行[信息技术一般控制]和[信息处理控制]审计之前,会首先执行配套的[公司层面[信息技术控制]]审计,以了解公司的信息技术整体控制环境,并基于此识别出[信息技术一般控制]和[信息处理控制]的主要风险点及审计重点。
[信息处理控制]是设计在计算机应用系统中、有助于达到信息处理目标的控制。例如,许多应用系统中包含很多编辑检查来确保录人数据的准确性。编辑检查可能包括格式检查(如日期格式或数字格式)、存在检查(如客户编码存在于客户主数据文档之中)或合理性检查(如最大支付金额)。如果录入数据的某一要素未通过编辑检查,那么系统可能拒绝录入该数据,或系统可能将该录人数据拖入系统生成的例外报告之中留待后续跟进和处理。
如果在带有关键的编辑检查功能的应用系统所依赖的计算机环境中发现了[信息技术一般控制]的缺陷,[CPA]可能就不能信赖上述编辑检查功能按设计发挥作用。例如程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改以至于系统接受不准确的录人数据。此外,与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查原本应能使系统拒绝处理金额超过最大容差范围的支付操作。
因此,[公司层面[信息技术控制]]是公司信息技术整体控制环境,决定了[信息技术一般控制]和[信息处理控制]的风险基调;[信息技术一般控制]是基础,[信息技术一般控制]的有效与否会直接关系到[信息处理控制]的[有效性]是否能够信任。
第三节信息技术对审计过程的影响
一、信息技术对审计的影响
信息技术在企业中的应用并不改变[CPA]制定审计目标、实施风险评估和了解[内部控制]的原则性要求,审计准则和[财务报表]审计目标在所有情况下都适用。但是,[CPA]必须更深入了解企业的信息技术应用范围和性质,因为系统的设计和运行对[审计风险]的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。归纳起来,信息技术对审计过程的影响主要体现在以下几个方面:
(一)对审计线索的影响
审计线索对审计来说极其重要。对于传统的人工会计系统,审计线索包括凭证、日记账、分类账和报表。[CPA]通过顺查和逆查的方法来审查记录,检查和确定其是否正确地反映了被审计单位的经济业务,检查企业的会计核算是否合理、合规。而在信息技术环境下,从业务数据的具体处理过程到报表的输出都由计算机按照程序指令完成,数据均保存在存储介质上,从而会影响到审计线索,如数据存储介质、存取方式以及处理程序等。
(二)对审计技术手段的影响
过去,[CPA]的审计都是人工进行的,但随着信息技术的广泛应用,若仍以人工方式进行审计,显然已经难以满足工作的需要,难以达到审计的目的。因此,[CPA]需要掌握相关信息技术,把信息技术当作一种有用的审计工具。
(三)对[内部控制]的影响
现代审计技术中,[CPA]会对被审计单位的[内部控制]进行了解与评价,以此作为制定审计方案和决定抽样范围的依据。
(四)对审计内容的影响
在信息化环境下,由于信息化的特点,审计内容发生了相应的变化。在信息化的会计系统中,各项会计事项都是由计算机按照程序进行自动化处理的,信息系统的特点及[固有风险]决定了信息化环境下审计的内容,包括对信息化系统的处理和相关控制功能的审查。例如,在审计账龄分析表时,在信息技术环境下,[CPA]必须考虑其数据准确性和完整性以支持相关审计结论,因而需要对其基于系统的数据来源及处理过程进行考虑。
(五)对[CPA]的影响
信息技术在被审计单位的广泛应用要求[CPA]具备相关信息技术方面的知识。因此,[CPA]要成为知识全面的复合型人才,不仅要有丰富的会计、审计、经济法律、管理等方面的知识和技能,还需要熟悉信息系统的应用技术、结构和运行原理有能力对信息化环境下的[内部控制]作出适当的评价。
因此,[CPA]必须对系统内的风险和控制都非常熟悉,能够对传统的审计策略范围、方法和手段作出相应的调整,以获取充分、适当的审计证据,支持发表的审计意见。
二、信息技术审计范围的确定
被审计单位的流程和信息系统可能拥有各自不同的特点,因此[CPA]应按其特点制定审计计划中包含的信息技术审计内容。另外,如果[CPA]计划依赖[自动化控制]或自动化信息系统生成的信息,就需要适当扩大信息技术审计的范围。
因此,[CPA]在确定审计策略时,需要结合被审计单位业务流程复杂程度、信息系统复杂程度、系统生成的交易数量和业务对系统的依赖程度、信息和复杂计算的数量、信息技术环境规模和复杂程度五个方面,对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂程度成正相关关系[CPA]在具体评估复杂程度时,可以从以下几个方面予以考虑。
(一)评估业务流程(如销售流程、薪酬流程、采购流程等)的复杂程度
对业务流程复杂程度的评估并不纯粹是一个客观的过程,而是需要[CPA]运用[职业判断]。[CPA]可以通过考虑以下因素,对业务流程复杂程度作出适当判断:
1.某流程是否涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清。
2.某流程是否涉及大量操作及决策活动。
3.某流程的数据处理过程是否涉及复杂的公式和大量的数据录入操作。
4.某流程是否需要对信息进行人工处理。
5.对系统生成的报告的依赖程度。
(二)评估信息系统的复杂程度
与评估业务流程的复杂程度相似,对企业信息系统复杂程度的评估也不纯粹是一个客观的过程,包含大量的[职业判断],也受到所使用系统类型(如商业软件或自行研发系统)的影响。
具体来说,评估商业软件的复杂程度应当考虑系统复杂程度、系统实施和运行所需的参数设置范围,以及客制化程度(对出厂标准配置的变更、变更类型,例如,是仅为报告形式的变更还是数据处理方式的变更)。
而对于自行研发系统复杂程度的评估,应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况及运行期间。
同时,还需要考虑系统生成的交易数量、信息和复杂计算的数量,包括:
1.被审计单位是否存在大量交易数据,以至于用户无法识别并更正数据处理错误。
2.数据是否通过网络传输,如EDI。
3.是否使用特殊系统,如电子商务系统。
(三)信息技术环境的规模和复杂程度
评估信息技术环境的规模和复杂程度,主要应当考虑产生财务数据的信息系统数量信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录)。信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。
在具体审计过程中,[CPA]除了考虑以上所提及的复杂程度外,还需要充分考虑系统在实际应用中存在的问题,评价这些问题对审计范围的影响:
1.[管理层]如何获知与信息技术相关的问题?
2.系统功能中是否发现严重问题或不准确成分?如果是,是否存在可以绕过的程序(如自行修复程序等)?
3.是否发生过信息系统运行出错、安全事件或对固定数据的修改等严重问题?如果是,[管理层]如何应对这些问题,以及[管理层]如何确保这些问题得到可靠解决?
4.内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题?
5.报告中提及的最普遍的系统问题是什么?
6.是否存在由于业务操作不规范而需要经常在系统内数据库中直接进行数据信息更改的情况?
7.信息系统用户的能力、操作和安全意识如何?
在对被审计单位的业务流程、信息系统和相关风险进行充分了解之后,[CPA]应当判断被审计单位是否包含信息技术关键风险,并且[实质性程序]是否无法完全应对该风险。如果符合上述情况,[CPA]应将信息技术审计纳入审计计划。此外如果[CPA]计划依赖系统[自动化控制],或依赖以自动化系统生成的信息为基础的人工控制或业务流程审阅结果,[CPA]也同样需要对信息技术相关控制进行评估。
综上所述,在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,[CPA]需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围。
了解[内部控制]有助于[CPA]识别潜在[错报]的类型和影响[重大错报风险]的因素以及设计[进一步审计程序]的[性质、时间安排和范围]。无论被审计单位运用信息技术的程度如何,[CPA]均需了解与审计相关的信息技术-一般控制和[信息处理控制]。
三、[信息技术一般控制]对[控制风险]的影响
[信息技术一般控制]对[信息处理控制]的[有效性]具有普遍性影响。无效的一般控制增加了[信息处理控制]不能防止或发现并纠正[认定层次][重大错报]的可能性,即使这些[信息处理控制]本身得到了有效设计。如果一般控制有效,[CPA]可以更多地信赖[信息处理控制],测试这些控制的运行[有效性],并将[控制风险]评估为低于“最高”水平。考虑到[公司层面[信息技术控制]]是公司的整体控制环境,决定了信息技术的风险基准,因此,[CPA]通常优先评估[公司层面[信息技术控制]]和[信息技术一般控制]的[有效性]。
四、[信息处理控制]对[控制风险]和[实质性程序]的影响
在评估[信息处理控制]对[控制风险]和[实质性程序]的影响时,[CPA]需要将控制与具体的审计目标相联系,其一般原理将在本教材第二编“审计测试流程”中进一步阐述在第三编“各类交易和账户余额的审计”中将演示这些原理在审计实务中如何具体运用。[CPA]首先针对每个具体的审计目标,了解和识别相关的控制与缺陷,在此基础上对每个相关审计目标评估初步[控制风险]。但对于一般控制而言,由于其影响广泛,[CPA]通常不将控制与具体的审计目标相联系。
如果针对某一具体审计目标,[CPA]能够识别出有效的[信息处理控制],在通过测试确定其运行有效后,[CPA]可以适当减少[实质性程序]。
五、不太复杂信息技术环境下的审计
当面临不太复杂的信息技术环境时,例如在信息技术并不对传统审计线索产生重大影响的情况下,[CPA]可采取传统方式进行审计,即“绕过计算机进行审计”在此情形下,[CPA]虽然仍需了解[信息技术一般控制]和[信息处理控制],但不需要测试其运行[有效性],即不依赖其降低评估的[控制风险]水平,更多的审计工作将依赖非信息技术类审计方法。
六、较为复杂信息技术环境下的审计
当面临较为复杂的信息技术环境时,“绕过计算机进行审计”就不可行,而需要“穿过计算机进行审计”。这时,[CPA]需要更多运用下述的各项审计技术和审计工具开展具体的审计工作。
第四节计算机辅助审计技术和电子表格的运用
一、计算机辅助审计技术
(一)计算机辅助审计技术的概念
计算机辅助审计技术(ComputerAssistedAuditTechniques,CAATS),是指利用计算机和相关软件,使审计测试工作实现自动化的技术。通常将计算机辅助审计技术分为两类,一类是用来测试程序和系统的,即面向系统的计算机辅助审计技术;另一类是用于分析电子数据的,即面向数据的计算机辅助审计技术。
1.面向系统的计算机辅助审计技术,包括平行模拟法(ParallelSimulation)、测试数据法(TestData)、嵌人审计模块法(EmbeddedAuditModule)、程序编码审查、程序代码比较和跟踪、快照等方法。
平行模拟法,是指[CPA]使用自身的应用软件,并且运用与被审计单位同样的数据文件,执行被审计单位应用软件同样的操作,以确定被审计单位[自动化控制]的[有效性]或账户余额的准确性。
测试数据法,是指[CPA]使用被审计单位的计算机系统和应用软件处理[CPA]自身准备的测试数据,以确定被审计单位的[自动化控制]是否正确地处理测试数据。
嵌入审计模块法,是指[CPA]在被审计单位的应用软件系统中嵌入审计模块以识别特定类型的交易。
程序编码审查,是指[CPA]使用专业的编码审查工具,进行开发编码的独立审查,以期发现冗余代码、错误代码、恶意代码等。
程序代码比较和跟踪,是指[CPA]使用专业的代码比较工具,进行开发代码的比对,包括客制化开发版本和标准版之间的代码比对、不同版本程序之间代码的比对跟踪等。
快照,是指[CPA]使用专业的工具,将系统运行过程中的某一状态进行快照记录,以进行包括系统性能、功能、状态等的横向比较。
2.面向数据的计算机辅助审计技术,包括数据查询、账表分析、审计抽样、统计分数值分析等方法。
计算机辅助审计技术可以在以下方面提高审计工作的效率和效果:
1.将现有人工执行的审计测试自动化。例如,对[财务报表]数据的准确性和完整性进行测试。
2.在人工方式不可行的情况下执行测试或分析。例如,审计大量的和非正常的销售交易,尽管这项工作有可能通过人工执行来实现,但对于多数大型被审计单位而言,从耗费的时间角度出发,需要审计的交易数量是无法通过人工方式进行的。
计算机辅助审计技术不仅能够提高审计大量交易的效率,而且计算机不会受到劳累过度的影响(而[CPA]在审计大量交易后很容易产生疲劳),从这个意义上讲,计算机辅助审计技术还可以使审计工作更具效果。与用人工方式进行同样的测试相比较,即便是第一年使用计算机辅助审计技术进行审计,也会节省大量的审计工作量,而后续年度节约的审计时间和成本则会更多。
(二)计算机辅助审计技术的应用
最广泛地应用计算机辅助审计技术的领域是[实质性程序],特别是[[实质性[分析程序]]]计算机辅助审计技术使得对系统中的每一笔交易进行测试成为可能,可用于在交易样本量很大的情况下替代人工测试。
与其他[控制测试]相同,计算机辅助审计技术也可用于测试控制运行的[有效性],选择少量的交易,并在系统中进行[穿行测试],或是开发一套集成的测试工具,用于测试系统中的某些交易。在[控制测试]中使用计算机辅助审计技术的优势是,可以对每一笔交易进行测试(包括主文件和交易文件),从而确定是否存在控制失效的情况。
由于计算机辅助审计技术有助于详细审计海量数据,它也可用于辅助检查舞弊工作(如审计非正常的日记账)。
(三)计算机辅助审计工具
计算机辅助审计技术是一种审计方式,因此也需要使用一定的工具来加以实现。常见的工具包括:
1.通用类:Excel、Access等。Excel自带了大量的核算或分析的库函数或工具,但是它处理的数据量较为有限,Access可以灵活导入数据,并可使用简单的SOL语言进行分析,处理数据的范围和数量大于Excel。
2.数据库类:SOLServer、0racle等。专用的数据库工具,可以快速高效地分析大量数据,但是对分析人员的技术水平要求较高,至少必须非常精通SOL语言。
3.专业工具类:ACL、IDEA等。专业的分析工具,一般只有审计和[内部控制]专业人士以及财务管理人员才会使用这些工具。
二、电子表格
即使在信息化程度极高的环境下,由于系统限制等原因,财务信息和财务报告的生成往往还需要借助电子表格来完成。所谓电子表格是指利用计算机作为表格处理工具以实现制表工具、计算工具以及表格结果保存的综合电子化软件。目前普遍使用的电子表格通常包括Excel等软件,通过电子表格可以进行数据记录、计算与分析,并能对输人的数据进行各种复杂统计运算后显示为可视性极佳的表格。因此,[CPA]在进行系统审计时,需要谨慎地考虑电子表格中的控制,以及类似于信息系统一般控制的设计与执行(在相关时)[有效性],从而确保这些内嵌控制的持续完整性。
(一)电子表格的特性
电子表格的特性(即开放的访问、人工输入数据和容易出错)以及编制并使用电子表格的环境的特性(例如,用户开发不正式、开发文档不完整、保存在局域网或本地磁盘而不是其他受控的信息系统环境中),增加了电子表格所生成的数据存在错误的风险,从而影响审计工作的进行。
(二)确定重要的财务电子表格和其他最终用户计算工具的范围
重要的财务电子表格和其他最终用户计算工具(例如,按需报告工具或在数据仓库中运行查询)用来在重要的流程中(即[自动化控制]或步骤)生成财务数据,或用来生成用于关键人工控制的财务或其他数据。作为起始点,[CPA]应当了解评估范围内重要的流程和账户,并识别用来支持这些流程或账户的相关电子表格或工具。
(三)电子表格控制的考虑
因为电子表格非常容易被修改,并可能缺少控制活动,因此,电子表格往往面临重大的[固有风险]和错误,例如:
1.输入错误:由错误数据录入、错误引用或其他简单的剪贴功能造成的错误。
2.逻辑错误:创建错误的公式从而生成了错误的结果。
3.接口错误:与其他系统传输数据时产生的错误。
4.其他错误:单元格范围定义不当、单元格参考错误或电子表格链接不当。
[CPA]应当了解相关的电子表格或数据库如何支持关键控制达到相关业务流程的信息处理目标。电子表格控制可能包括以下内容:
1.对电子表格执行的、类似于信息系统一般控制的控制;
2.内嵌在电子表格中的控制(类似于一个自动化[信息处理控制]);
3.针对电子表格数据输入和输出的人工控制。
第五节数据分析
一、数据分析的概念
对审计而言,数据分析是[CPA]获取审计证据的一种手段,是指[CPA]在计划和执行审计工作时,通过对内部或外部数据进行分析、建模或可视化处理,以发现其中隐含的模式、偏差或不一致,从而揭示出对审计有用的信息的方法。
数据分析对[CPA]来说,需要在硬件、软件、技能和质量管理等方面进行大量投人。数据分析不仅可以应用于审计,也可以广泛应用于其他鉴证业务。
二、数据分析的作用
1.数据分析能够帮助[CPA]以快速、低成本的方式实现对被审计单位整套完整数据(而非运用抽样技术抽出的样本数据)进行检查,不仅能够在很大程度上提高审计的效率和效果,也有助于[CPA]从全局的角度更好地把握被审计单位交易和事项的经济实质,从而有助于提高审计质量。
2.运用数据分析技术可以提高[CPA]识别舞弊的能力,降低[审计风险],提升审计质量。[CPA]通过对业务数据、财务和非财务数据等进行多维度分析,可以精准有效地识别出异常情况,从而为审计提供方向和思路。例如,[CPA]通过收集和分析不同来源的数据,如银行网银数据、税务数据等,与被审计单位提供的数据相互印证可能能够发现异常情况,提示下一步审计的方向和重点领域。
3.利用数据分析技术,进行持续的审计和监控,能够帮助[CPA]及时识别出偏差,有助于[CPA]与被审计单位保持持续沟通,及早地对偏差进行调查。
4.数据分析可以帮助[CPA]向[治理层] (包括审计委员会)提供更加深入和更有针对性的观点和建议。例如,数据分析可以提供含有丰富内容的可视化图表和更细颗粒度的信息,从而提升审计的附加价值。
三、数据分析的基本步骤
数据分析可应用于审计的不同阶段,如风险评估、了解和测试[内部控制]、[实质性程序]等。数据分析可总结为计划数据分析、获取和整理数据、评价所用数据的相关性和[可靠性]、具体执行数据分析、评价和应对数据分析结果五个步骤。具体如图5-1所示。
图5-1数据分析的基本步骤
微信截图_20240511150452.png
1.计划数据分析。这一步骤包括确定数据分析所针对的[财务报表]账户、披露和相关认定,数据分析的总体目标和具体目标,应用数据分析的总体,以及选择数据、程序及具体步骤等。
数据分析的总体目标取决于审计的具体阶段。例如,用于风险评估的数据分析,目标是为了识别和评估[重大错报风险];用于了解和测试控制的数据分析,目标是为了评价控制的设计或运行的[有效性];用于[实质性程序]的数据分析,目标是为了获取实质性证据识别和评价[错报]以及未更正[错报]等。
2.获取和整理数据。用于分析的数据可能储存于被审计单位不同的信息系统,这些系统可能是被审计单位从第三方采购的标准系统,例如SAP,也可能是自行开发的IT应用系统,或是二者的结合,例如在标准的外购系统中增加自定义模块。此外,用于分析的数据也可能来自被审计单位外部,如互联网上公开发布的一些相关信息。
在许多情况下,对数据进行有意义的分析之前,需要先整理数据。整理数据主要是为了识别数据中的错误,以及校验所采集数据的准确性和完整性,包括数据一致性校验处理无效值和缺失值等方面的工作。校验数据的准确性和完整性,通常是[CPA]进行实际数据分析工作的起点。例如,验证被审计单位某一期间会计分录的完整性时,可以将会计分录个数与原始数据进行核对,将会计分录各科目的合计数与[管理层]科目余额表进行核对。
3.评价所用数据的相关性和[可靠性]。对于数据分析而言,[CPA]应当考虑数据是否相关且可靠以实现其目标。
相关性,是指用作审计证据的信息与审计程序的目的和所考虑的相关认定之间的逻辑关系。对于同一套数据,在不同审计目标下,对相关性的考虑可能不同。例如,当[CPA]评估与会计分录相关的[舞弊风险]存在于报告期末,而决定仅测试报告期末的会计分录时,那么报告期末的会计分录数据就是相关的。
[CPA]在评价数据的[可靠性]时,应考虑数据的准确性和完整性,并考虑数据的来源和性质、获取数据的环境、与数据生成和维护相关的控制等。
4.具体执行数据分析。在具体执行数据分析时,[CPA]最初可能识别出大量异常项目,其中,某些项目可能表明存在之前未识别出的风险、高于初始评估水平的风险控制缺陷或[错报],从而需要作出审计应对;但也可能有一些项目并不表明存在上述情况不需要作出审计应对。此时,[CPA]可以考虑实施下列程序:
(1)重新更准确地定义可能表明需要审计应对的事项的数据特征,重新进行数据分析;
(2)将所识别出的异常项目分为若干子集,针对每一个子集设计并执行有针对性的审计程序。
5.评价和应对数据分析结果。该步骤旨在得出执行数据分析的目的是否已实现的结论。
四、数据分析面临的主要挑战
1.审计对象信息或审计证据的数字化程度。当前,许多企业都采用了会计软件,会计核算和报表生成可以通过软件完成。但实务中,会计凭证后附的合同、发票、出库单等文件以及其他交易或事项的文件,如订单、运输单据、生产流程的生产计划、领料单、检验单等业务文件仍大量的以纸质形式存在。同时,不同企业的信息系统架构、业务系统和数据结构差别较大,业务系统和财务系统自动对接的程度相差较大。[CPA]所获取的大量外部审计证据仍以纸质形式存在,如通过纸质方式获取的询证函回函等。以上情况使得数据分析在应用上受到一定限制。
2.电子数据的可获得性。不同企业的财务数据接口可能不一致,有些企业的财务系统不能按照国家标准要求的数据接口输出数据,财务系统和业务系统之间的接口不匹配导致不同系统之间不能互联互通,出现了信息“孤岛化”的情况,限制了电子数据的可获得性。
3.数据标准的统一。随着数字化的不断推广与深化,被审计单位财务数据和业务数据的数据量与数据种类都呈指数级增长。随之产生的问题在于,不同企业之间,乃至同一企业的不同业务之间,可能缺乏统一的数据标准,不同企业的数据在单位、编码、格式等方面存在明显差异,结构化数据与非结构化数据混杂交错,导致[CPA]在数据分析前需要在数据的访问、整理、清理、转换等过程中耗费大量的时间与精力,从而降低了数据分析的效率和效果。中国[CPA]协会正在制定[CPA]审计数据标准。
4.被审计单位的[信息技术一般控制]和应用控制存在缺陷。由于数据分析需要利用可靠的数据,如果被审计单位的[信息技术一般控制]和应用控制存在缺陷,并目缺乏补偿性控制或其他可应对缺陷的因素,则提取的数据可能不准确、不完整,对其进行数据分析可能无法提供可靠的数据分析结果,从而限制了数据分析的实务应用。
第六节不同信息技术环境下的信息管理
一、网络环境
很多企业可能使用局域网或互联网将各种类型的计算机、工作站、打印机、服务器等互相连接起来。在网络环境下,用于处理交易的应用软件和数据文件可能分布于不同位置但互相连接的计算机设备上,由此产生了与[内部控制]相关的问题,包括对分布于不同位置的服务器的安全、数据和信息的分布及同步、管理监督以及兼容性问题。
二、数据库管理系统
数据库管理系统(DatabaseManagementSystem,DBMS)是一种操纵和管理数据库的大型软件,用于建立、使用和维护数据库,它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。使用数据库管理系统能够实现不同应用软件之间的数据共享减少数据冗余,改进对数据的控制,提高数据的决策支撑作用。
很多被审计单位使用企业资源计划(EnterpriseResourcePlanning,ERP)系统实现整个单位数据库系统的整合。企业资源计划是针对物资资源管理(物流)、人力资源管理(人流)、财务资源管理(财流)、信息资源管理(信息流)集成一体化的企业管理软件。企业资源计划系统能够实现会计部门与业务部门的数据共享。当然,数据库管理系统也带来了与[内部控制]相关的问题,包括多重使用者能够访问和修改共享数据的风险。因此需要实施严格的数据库管理和接触控制,以及数据安全备份制度。
三、电子商务系统
越来越多的被审计单位采用电子商务方式进行交易。电子商务是指在互联网开放的网络环境下,以信息技术为手段,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关综合服务活动的一种新型商业运营模式。在这种方式下,交易信息在网上传输容易被拦截、篡改或不当获取,需要采取相应的安全控制。此外,被审计单位的会计信息系统可能与交易对方的系统相连接,产生了互相依赖的风险,即交易一方的风险部分取决于交易对手如何识别和管理其自身系统中的风险。
四、外包安排
被审计单位可能将全部或部分的信息技术职能外包给专门的应用软件服务提供商或云计算服务商等计算机服务机构。根据美国国家标准与技术研究院(NIST)的定义云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,[CPA]应当参照《中国[CPA]审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。
[CPA]应当实施与服务机构活动相关的下列程序:
1.了解服务机构中与[内部控制]相关的控制以及针对服务机构活动所实施的控制。
2.获取相关控制运行[有效性]的证据。
[CPA]可通过以下程序获取相关控制运行[有效性]的证据,包括:
1.了解服务机构[CPA]对服务机构[内部控制][有效性]出具的报告或与[控制测试]相关的商定程序报告。
2.测试被审计单位对服务机构活动的控制。
3.对服务机构实施[控制测试]。
如果可以获取服务机构[CPA]对服务机构[内部控制][有效性]出具的报告,[CPA]应当评价该报告是否提供了充分、适当的证据,以支持[CPA]的意见。
在评价时,[CPA]可能考虑下列因素:
1.对控制的测试涵盖的期间及其与[管理层]评估时间点的关系。
2.对控制的测试涵盖的范围、测试的控制及其与企业控制的关联度。
3.对控制的测试结果,以及服务机构[CPA]对控制运行[有效性]发表的意见
End
|
微信扫码,自愿捐赠。天涯同道,共谱新篇。
微信捐赠不显示捐赠者个人信息,如需要,请注明联系方式。 |
