一、信息技术审计范围的确定
如果注册会计师计划依赖自动应用控制或依赖自动信息系统生成的信息,那么久需要扩大信息技术的审计范围。在确定审计策略时,注册会计师需要结合被审计单位的者五个方面考虑:被审计单位业务流程复杂程度、信息系统复杂程度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度。
二、信息技术一般控制对控制风险的影响
注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。
信息技术一般控制对应用控制的有效性具有普遍性影响。注册会计师通常不将一般控制与具体的审计目标相联系。
无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报的可能性,即使这些应用控制本身得到了有效的设计。
如果一般控制有效,注册会计师可以更多地信赖应用控制,测试这些控制运行有效性,并将控制风险评估为低于最高水平。
三、信息技术应用控制对控制风险和实质性程序的影响
在评估应用控制对控制风险和实质性程序的影响时,注册会计师需要将控制与具体的审计目标相联系。如果针对某一具体审计目标,注册会计师能够识别出有效的应用控制,在通过测试确定其运行有效后,注册会计师能够减少实质性程序。
四、在不太复杂IT环境下的审计
当面临不太复杂的IT环境时,注册会计师可以财务传统方式进行审计,即绕过计算机进行审计。
在此情况下,注册会计师虽然仍需要了解信息技术一般控制和应用控制,但不测试其运行有效性,即不依赖其降低评估的控制风险水平,更多的审计工作将依赖非信息技术类审计方法。
五、在较为复杂IT环境下的审计
当面临较为复杂的IT环境时,绕过计算机进行审计就不可行,而需要穿过计算机进行审计。这时,注册会计师可能需要更多运用各项审计技术和审计工具开展具体的审计工作。
