不同信息技术环境下的问题
注意:
如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告,注册会计师应评价该报告是否提供了充分、适当的证据,以支持注册会计师的意见。
论坛等级: 终极会员
|
|
|
不同信息技术环境下的问题 注意: 如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告,注册会计师应评价该报告是否提供了充分、适当的证据,以支持注册会计师的意见。 |
|
|
|
论坛等级: 终极会员
|
|
|
不同信息技术环境下的信息管理★ 一、网络环境 二、数据库管理系统 三、电子商务系统 四、外包安排 |
|
|
|
论坛等级: 终极会员
|
|
|
数据分析★ 一、数据分析的概念 二、数据分析的作用及其应用 三、数据分析面临的挑战 |
|
|
|
论坛等级: 终极会员
|
|
|
电子表格★ 应关注: 第一,注册会计师在进行系统审计时,需要谨慎地考虑电子表格中的控制,及类似于信息系统一般控制的控制的设计与执行(在相关时)有效性,从而确保这些内嵌控制持续的完整性。 第二,因为电子表格非常容易被修改,并可能缺少控制活动,因此,电子表格往往面临重大的固有风险和错误。所以,注册会计师应当了解相关的电子表格/数据库如何支持关键控制达到相关业务流程的信息处理目标。 |
|
|
|
论坛等级: 终极会员
|
|
|
计算机辅助审计技术★ 应关注: 第一,计算机辅助审计技术可以使审计工作更富效率和效果; 第二,最广泛地应用计算机辅助审计技术的领域是实质性程序,特别是在与分析程序相关的方面。计算机辅助审计技术也可用于测试控制的有效性。 |
|
|
|
论坛等级: 终极会员
|
|
|
在较为复杂信息技术环境下的审计★ 当面临较为复杂的信息技术环境时,“绕过计算机进行审计”就不可行,而需要“穿过计算机进行审计”。注册会计师更可能需要更多运用各项审计技术和审计工具开展具体的审计工作。 |
|
|
|
论坛等级: 终极会员
|
|
|
在不太复杂信息技术环境下的审计★ 当面临不太复杂的信息技术环境时,注册会计师可采取传统方式进行审计,即“绕过计算机进行审计”。 在此情形下,注册会计师虽然仍需要了解信息技术一般控制和应用控制,但是不测试其运行有效性,即不依赖其降低评估的控制风险水平,更多的审计工作将依赖非信息技术类审计方法。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术应用控制对控制风险和实质性程序的影响★★ 评估应用控制对控制风险和实质性程序的影响时,注册会计师需要将控制与具体的审计目标相联系。 对于一般控制而言,由于其影响广泛,注册会计师通常不将控制与具体的审计目标相联系。 如果针对某一具体审计目标,注册会计师能够识别出有效的应用控制,在通过测试确定其运行有效后,注册会计师能够减少实质性程序。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术一般控制对控制风险的影响★★ 信息技术一般控制对应用控制的有效性具有普遍性影响。无效的一般控制增加了应用控制不能防止或者发现并纠正认定层次重大错报的可能性。 如果一般控制有效,注册会计师可以更多信赖应用控制,测试这些控制的运行有效性,并将控制风险评估为低于“最高”水平。 注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术审计范围的确定★★ 注册会计师应按各自特点制定审计计划中包含的信息技术审计内容;如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的范围。 注册会计师在确定审计策略时,需结合被审计单位业务流程复杂程度、信息系统复杂程度、系统生成的交易数量和业务对系统的依赖程度、信息和复杂计算的数量、信息技术环境规模和复杂程度五方面,对信息技术审计范围进行适当考虑。 注意: 第一,在对被审计单位的业务流程、信息系统和相关风险进行充分了解后,注册会计师应当判断企业中是否包含信息技术关键风险,并且实质性程序是否无法完全控制该风险。如果符合上述情况,注册会计师应将信息技术审计内容纳入财务审计计划之中。 第二,在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,注册会计师需全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围。 第三,了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素,以及设计进一步审计程序的性质、时间安排和范围。无论被审计单位运用信息技术的程度如何,注册会计师均需要了解与审计相关的信息技术一般控制和应用控制。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术对审计的影响★★ 信息技术在企业中的应用并不会改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,审计准则和财务报表审计目标在所有情况下都适用。 注册会计师必须更深入地了解企业的信息技术应用范围和性质,因为系统的设计和运行对审计风险的评估、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。 信息技术对审计过程的影响主要体现在以下几个方面: (一)对审计线索的影响 (二)对审计技术手段的影响 (三)对内部控制的影响 (四)对审计内容的影响 (五)对注册会计师的影响 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术对审计的影响★★ 信息技术在企业中的应用并不会改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,审计准则和财务报表审计目标在所有情况下都适用。 注册会计师必须更深入地了解企业的信息技术应用范围和性质,因为系统的设计和运行对审计风险的评估、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。 信息技术对审计过程的影响主要体现在以下几个方面: (一)对审计线索的影响 (二)对审计技术手段的影响 (三)对内部控制的影响 (四)对审计内容的影响 (五)对注册会计师的影响 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术一般控制、应用控制与公司层面控制三者间的关系★★ 公司层面信息技术控制情况代表了该公司的信息技术控制的整体环境,包括该公司对信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等,这些要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。 注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。 应用控制是设计在计算机应用系统中、有助于达到信息处理目标的控制。 注意: 第一,如果录入数据的某一要素未通过编辑检查,那么系统可能拒绝录入该数据或者系统可能将该录入数据拖入系统生成的例外报告之中,留待后续跟进和处理。 第二,如果在带有关键编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。 因此,公司层面信息技术控制是公司信息技术的整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调;信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。 |
|
|
|
论坛等级: 终极会员
|
|
|
公司层面信息技术控制★★ 目前审计机构针对公司层面信息技术控制往往会执行单独的审计,以评估企业信息技术整体控制环境,来决定信息技术一般控制和应用控制的审计重点、风险等级、审计测试方法等。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术应用控制★★ 信息技术应用控制一般要经过输入、处理以及输出等环节。与人工控制类似,系统自动控制关注的要素包括:完整性、准确性、存在和发生等。 (一)含义 1.完整性:系统处理数据的完整性,如各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。 2.准确性:系统运算逻辑的准确性,如金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。 3.存在和发生:信息系统相关的逻辑校验控制,如限制检查、合理性检查、存在检查和格式检查等。部分业务操作的授权管理,如入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。 (二)应用控制审计关注点 1.系统自动生成报告 企业的业务或财务系统会定期或者按需生成各类报告,例如账龄报告、贷款逾期报告、业务和财务数据核对差异报告等。信息技术应用控制审计包括对于这些报告的生成逻辑(包括完整性和准确性)的测试、异常报告跟进控制的审计等。 2.系统配置和科目映射 信息系统中包含大量的自动校验控制和映射关系,包括数据完整性校验、录入合法性编辑检查、边界阈值设定、财务科目映射关系等。信息技术应用控制审计会对这些系统配置和映射关系的存在性和有效性进行测试。 3.接口控制 接口控制包括各业务系统之间、业务和财务系统之间、企业内部系统和合作伙伴/交易对手/监管机构之间的接口数据传输。信息技术应用控制审计对这些接口数据传输的完整性和准确性进行测试。 4.访问和权限 企业内部各业务部门、财务部门、信息技术部门等均会根据各自的职责需要来对信息系统进行访问,各部门、各团队甚至各岗位访问的权限均可能存在差异,因此在系统控制层面需对这些权限进行明确的定义和部署,以保证适当的人员配备适当的访问权限。信息技术应用控制审计会对这些访问权限授予情况的合理性进行测试。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术一般控制★★ 信息技术一般控制通常会对实现部分或者全部财务报表认定作出间接贡献。 有效的信息技术一般控制确保了应用系统控制和依赖计算机处理的自动会计程序得以持续有效地运行。 信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四方面。 注意: 第一,当人工控制依赖系统生成的信息时,信息技术一般控制同样重要。 第二,如果注册会计师计划依赖自动应用控制、自动会计程序或者依赖系统生成信息的控制,他们就需要对相关的信息技术一般控制进行测试。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术中一般控制和应用控制测试 在信息技术环境下,人工控制的基本原理并不会发生实质性的改变,注册会计师仍需按照准则执行相关的审计程序,而对于自动控制,就需要从信息技术一般控制审计、信息技术应用控制审计及公司层面信息技术控制审计三方面进行考虑。 |
|
|
|
论坛等级: 终极会员
|
|
|
注册会计师在信息化环境下面临的挑战★ 1.对业务流程开展和内部控制运作的理解; 2.对信息系统相关的审计风险的认识; 3.审计范围的确定; 4.审计内容的变化; 5.审计线索的隐性化; 6.审计技术改进的必要性; 7.有待优化的知识结构; 8.与专业团队的充分协同工作。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术产生的风险★ 随着信息技术的发展,内部控制虽然在形式及内涵的方面发生了变化,但内部控制的目标并没有发生改变。 信息技术在改进被审计单位内部控制的同时,也产生了特定的风险: 1.信息系统或相关的系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据; 2.自动信息系统、数据库以及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏,系统程序、系统内的数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等; 3.数据丢失风险或数据无法访问风险,例如系统瘫痪; 4.不适当的人工干预,或者人为绕过自动控制。 |
|
|
|
论坛等级: 终极会员
|
|
|
信息技术对企业内部控制的影响★★ 在信息技术环境下,传统的人工控制越来越多地被自动控制所替代,但并不意味着人工控制被完全取代。信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。 自动控制能为企业带来以下好处: 1.自动控制能够有效处理大量交易以及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法; 2.自动控制比较不容易被绕过; 3.自动信息系统、数据库以及操作系统的相关安全控制可以实现有效的职责分离; 4.自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取; 5.自动信息系统可以提高管理层对企业业务活动以及相关政策的监督水平。 |
|
|
|
