第五章 信息技术对审计的影响(一)
第五章 信息技术对审计的影响
本章考情分析
1. 本章属于非重点章节。预计考题会以客观题的形式出现,考核信息技术对内部控制的影响、信息技术一般控制、应用控制与公司层面控制三者之间的关系、T控制对控制风险和实质性程序的影响、数据分析等方面的内容,也可能在综合题中涉及运用信息技术进行审计的方法,要注意与风险评估程序相结合的考查。本章出题点不多,可考程度不高,预计考1分左右。
2. 2017年教材主要变化:将原“第二节 评估信息技术的风险”整合到“ ”中;新增“第六节数据分析”。
第一节 信息技术对内部控制的影响
一、信息技术对内部控制的积极影响(了解)
(一)人工控制、信息系统对控制的影响
1.在信息技术环境下,传统的人工控制越来越多地被自动控制所替代。
2.被审计单位采用信息系统处理业务,并不意味着人工控制被完全取代。
3.信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。
4.在基于信息技术的信息系统中,系统进行自动操作来实现对交易信息的创建、记录、处理和报告,并将相关信息保存为电子形式。但相关控制活动也可能同时包括手工的部分。
5.由于被审计单位信息技术的特点及复杂程度不同,被审计单位的手工及自动控制的组合方式往往会有所区别。
(二)在信息技术环境下,自动控制能为企业带来的好处
1.自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;
2.自动控制比较不容易被绕过;
3.自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;
4.自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取;
5.自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。
二、信息技术与内部控制目标
(一)信息技术没有改变内部控制的目标
随着信息技术的发展,内部控制虽然在形式及内涵方面发生了变化,但内部控制的目标并没有发生改变。
(二)内部控制的目标(针对注册会计师了解被审计单位内部控制)
1.提高管理层决策制定的效果和业务流程的效率(经营目标);
2.提高会计信息的可靠性(报告目标);
3.促进企业遵守法律和规章(合规目标)。
三、信息技术对内部控制产生的特定风险
1.信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本就错误的数据;
2.自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏,系统程序、系统内的数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等;
3.数据丢失风险或数据无法访问风险,如系统瘫痪;
4.不适当的人工干预,或人为绕过自动控制。
【例1-多项选择题】A注册会计师负责审计甲公司20×8年度财务报表。在了解内部控制时,A注册会计师遇到下列事项,请代为作出正确的专业判断。下列情形中,A注册会计师认为通常适合采用信息技术控制的有( )。
A.存在大量、重复发生的交易
B.存在大额、异常的交易
C.存在难以定义、防范的错误
D.存在事先确定并一贯运用的业务规则
网校答案:AD
网校解析:自动控制能够有效处理大流量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法,所以选项AD均正确。
第二节 信息技术中的一般控制和应用控制测试
一、信息技术一般控制(重点)
信息技术一般控制,是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。
1.程序开发。程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。
2.程序变更
程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的,以达到管理层的应用控制目标。
3.程序和数据访问
程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。
4.计算机运行
计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性。
二、信息技术应用控制(重点)
信息技术应用控制一般要经过输入、处理及输出等环节,和手工控制一样,自动系统控制同样关注信息处理目标的四个要素:完整性、准确性、经过授权和访问限制。
1.完整性
(1)顺序标号,可以保证系统每笔日记账都是唯一的,并且系统不会接受相同编号,或者在编号范围外的凭证。此时,需要系统提供一个没有编号凭证的报告,如果存在例外,需要相关人员进行调查跟进
(2)编辑检查,以确保无重复交易录入,比如发票付款的时候,检查发票编号。
2.准确性
3.存在和发生:如限制检查、合理性检查(如最大支付金额)、存在性检查(如客户编码存在于客户主数据文档之中)和格式检查(如日期格式或数字格式)等;授权管理等。
三、公司层面信息技术控制(了解)
(一)公司层面信息技术控制
除信息技术一般控制和应用控制外,目前国内外企业的管理层也越来越重视公司层面的信息技术控制管理。
(二)常见公司层面的信息技术控制
1.信息技术规划的制定;
2.信息技术年度计划的制定;
3.信息技术内部审计机制的建立;
4.信息技术外包管理;
5.信息技术预算管理;
6.信息安全和风险管理;
7.信息技术应急预案的制定;
8.信息系统架构和信息技术复杂性。
第五章 信息技术对审计的影响(二)
第二节 信息技术中的一般控制和应用控制测试
四、信息技术一般控制、应用控制与公司层面控制三者之间的关系(重点)
(一)总体关系(重点)
1.公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调;
2.信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
(二)公司层面信息技术控制代表了公司信息技术控制的整体环境(重点)
1.公司层面信息技术控制要素
公司层面信息技术控制情况代表了该公司信息技术控制的整体环境,包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等。
2.公司层面信息技术控制影响信息技术一般控制和信息技术应用控制
(三)注册会计师需要了解公司的信息技术整体控制环境(重点)
根据目前信息技术审计的业内最佳实践,注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。
(四)信息技术一般控制的缺陷影响信息技术应用控制
1.编辑检查功能的信息技术一般控制的缺陷
如果在带有关键的编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。例如,程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的编程逻辑进行修改,以至于系统接受不准确的录人数据
2.安全和访问权限信息技术一般控制的缺陷
与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查原本应能使系统拒绝处理金额超过最大容差范围的支付操作。
第三节 信息技术对审计过程的影响
一、信息技术审计范围的确定
(一)总体要求
1.如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的范围。
2.注册会计师在确定审计策略时,需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量和业务对于系统的依赖程度、信息和复杂计算的数量、信息技术环境规模和复杂度五个方面,对信息技术审计范围进行适当考虑。
3.信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比。
(二)评估业务流程的复杂度
注册会计师可以通过考虑以下因素,对业务流程复杂度作出适当判断:
1.某流程涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清;
2.某流程涉及大量操作及决策活动;
3.某流程的数据处理过程涉及复杂的公式和大量的数据录入操作;
4.某流程需要对信息进行手工处理;
5.对系统生成的报告的依赖程度。
(三)评估信息系统的复杂度
对于自行研发系统复杂度的评估,应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况及运行期间。同时,还需要考虑系统生成的交易数量、信息和复杂计算的数量,包括:
1.被审计单位是否存在大量交易数据,以至于用户无法识别并更正数据处理错误;
2.数据是否通过网络传输;
3.是否使用特殊系统,如电子商务系统。
(四)了解与审计相关的信息技术一般控制和应用控制要求(重点)
1.了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素,以及设计进一步审计程序的性质、时间安排和范围。
2.无论被审计单位运用信息技术的程度如何,注册会计师均需了解与审计相关的信息技术一般控制和应用控制。
【例2-单选题】下列有关注册会计师评估被审计单位信息系统的复杂度的说法中,错误的是( )。
A.信息技术环境复杂,意味着信息系统也是复杂的
B.评估信息系统的复杂度,需要考虑系统生成的交易数量
C.评估信息系统的复杂度,需要考虑系统中进行的复杂计算的数量
D.对信息系统复杂度的评估,受被审计单位所使用的系统类型的影响
网校答案:A
网校解析:信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然,选项A错误。
二、一般控制对控制风险的影响(重点)
(一)信息技术一般控制对应用控制的有效性具有普遍性影响
无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报的可能性,即使这些应用控制本身得到了有效设计。
(二)如果一般控制有效,注册会计师可以更多地信赖应用控制,测试这些控制的运行有效性,并将控制风险评估为低于“最高”水平。
(三)考虑到公司层面信息技术控制是公司的整体控制环境,决定了信息技术的风险基准,因此,注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。
三、IT控制对控制风险和实质性程序的影响(重点)
(一)在评估IT控制对控制风险和实质性程序的影响时,注册会计师需要将控制与具体的审计目标相联系。
【链接1】除非存在某些可以使控制得到一贯运行的自动化控制,否则注册会计师对控制的了解并不足以测试控制运行的有效性(7.4)。
【链接2】如果认为仅通过实质性程序获取的审计证据无法将认定层次的重大错报风险降至可接受的低水平,注册会计师应当考虑依赖的相关控制的有效性,并对其进行了解、评估和测试(7.5)。
(二)注册会计师首先针对每个具体的审计目标,了解和识别相关的控制与缺陷。在此基础上,对每个相关审计目标评估初步控制风险。但对于一般控制而言,由于其影响广泛,注册会计师通常不将控制与具体的审计目标相联系。
(三)如果针对某一具体审计目标,注册会计师能够识别出有效的应用控制,在通过测试确定其运行有效后,注册会计师能够减少实质性程序。
第四节 计算机辅助审计技术和电子表格的运用
一、计算机辅助审计技术
(一)计算机辅助审计技术的定义
1.计算机辅助审计技术的定义
计算机辅助审计技术,是指利用计算机和相关软件,使审计测试工作实现自动化的技术。
通常将计算机辅助审计技术分为两类,一类是用来验证程序或系统的,即面向系统的计算机辅助审计技术,另一类是用于分析电子数据的,即面向数据的计算机辅助审计技术。
2.面向系统的计算机辅助审计技术
(1)平行模拟法
(2)测试数据法
(3)嵌入审计模块法
(4)程序编码审查
(5)程序代码比较和跟踪
(6)快照
3.面向数据的计算机辅助审计技术
面向数据的计算机辅助审计技术:数据查询、账表分析、审计抽样、统计分析、数值分析等方法。
4.计算机辅助审计技术可以使审计工作更富有效率和效果
【例3-多选题】下列有关计算机辅助审计对审计工作的影响的说法中,恰当的有( )。
A.计算机辅助审计技术大大提高了审计工作的效率和效果
B.计算机辅助审计能满足大量的审阅交易数量
C.计算机辅助审计可以用于审计抽样
D.计算机辅助审计不便用于控制测试
网校答案:ABC
网校解析:选项D不恰当,计算机辅助审计技术也可用于测试控制的有效性,选择少量的交易,并在系统中进行穿行测试,从而确定是否存在控制失效的情况。
二、电子表格
所谓电子表格是指利用计算机作为表格处理工具,以实现制表工具、计算工具以及表格结果保存的综合电子化的软件。目前普遍使用的电子表格通常包括Excel等软件。
因为电子表格能够非常容易进行修改,并可能缺少控制活动,因此,电子表格往往面临重大固有风险和错误,比如:
1.输入错误:由错误数据录入、错误引用或其他简单的剪贴功能造成的错误;
2.逻辑错误:创建错误的公式从而生成了错误的结果;
3.接口错误:与其他系统传输数据时产生的错误;
4.其他错误:单元格范围定义不当、单元格参考错误或电子表格链接不当。
第六节 数据分析
一、数据分析的概念
二、数据分析的作用
(一)通过数据结构中的字段来提取数据
1.数据分析是通过基础数据结构中的字段来提取数据,而不是通过数据记录的格式。
2.数据分析质量的提高程度取决于必须以正确方式提取、分析和连接的基础数据。
(二)为判断提供支撑并提供见解
1.数据分析工具可用于风险分析、交易和控制测试、分析性程序,用于为判断提供支撑并提供见解。
2.更高级的常规分析工具可用于风险分析以便发现问题,而更详细的分析可用来明确重点,提供审计证据和洞察力:
(三)常规分析工具可以提供审计证据
一些常规分析工具可以提供审计证据,为会计估计的计算方法是否适当的判断提供支持。例如,如果企业有冲销超过一定账龄的应收款项的政策,如果常规分析工具显示,大量的贷项通知单与开具账单错误有关,那么当冲销贷项通知单时,对运用该方法的分析结果可能导致该方法看起来不是那么恰当。
(四)数据分析工具可以提高审计质量
三、数据分析面临的挑战
本章小结:本章需记忆内容较多,考试不重要。
责编:jiaojiao95
报考指南
网校课程指南
热点资讯
- 模拟试题
- 历年真题
- 焚题库