核心考点一:信息技术对企业财务报告和内部控制的影响
核心考点二:信息技术一般控制
核心考点三:信息处理控制
核心考点四:公司层面信息技术控制
核心考点五:信息技术一般控制、信息处理控制和公司层面控制的关系
核心考点六:信息技术对审计过程的影响
核心考点七:计算机辅助审计技术和电子表格的运用
核心考点八:不同信息技术环境下的问题
核心考点一:信息技术对企业财务报告和内部控制的影响
1、信息技术对企业内部控制的影响
信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。相关控制可能同时包括自动控制与手工控制,自动控制能有效处理大流量交易及数据,比较不容易被绕过,自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离。
2、运用信息技术产生的风险
| 风险点 | 情形 |
|---|---|
| 处理错误 | 可能会错误地处理数据,也可能会处理错误的数据 |
| 安全控制隐患 | 非授权访问、非授权交易、虚假交易、系统程序和系统内数据的不当改变、交易的不当记录,以及信息技术人员越权访问和处理等 |
| 数据丢失 | 数据丢失风险或数据无法访问风险,如系统瘫痪 |
| 人为干预 | 不适当的人工干预,或人为绕过自动控制 |
核心考点二:信息技术一般控制
1.信息技术一般控制(以下或简称“一般控制”)的定义和影响
(1)一般控制是指为保证信息系统安全,对整个信息系统及外部各种环境要素实施的、对所有应用或控制模块有普遍影响的控制。
(2)一般控制通常会对部分或全部财务报表认定做出间接贡献,某些情况下,也可能对实现信息处理目标和财务报表认定做出直接贡献。
2.一般控制的内容
| 内容 | 含义 |
|---|---|
| 程序开发 | 确保系统的开发、配置和实施能够实现管理层的信息处理控制目标 |
| 程序变更 | (1)确保对程序和相关基础组件的变更经过请求、授权、执行、测试和实施,以达到管理层信息处理控制目标; (2)包括代码类的常规变更、配置类的变更和紧急变更 |
| 程序和数据访问 | (1)确保分配的访问程序和数据的权限经过用户身份认证并经过授权; (2)包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全 |
| 计算机运行 | (1)确保业务系统根据管理层的控制目标完整准确地运行,确保运行问题被完整准确地识别并解决,以维护财务数据的完整性; (2)包括问题和故障管理、数据备份和恢复、灾难恢复等 |
核心考点三:信息处理控制
1.信息处理控制的定义和要素
(1)信息处理控制是指与被审计单位信息系统中下列两方面相关的控制:①信息技术应用程序进行的信息处理;②人工进行的信息处理。
(2)信息处理控制既包括人工进行的控制,也包括自动化控制。与人工控制类似,系统自动化控制关注的要素包括:①完整性;②准确性;③存在和发生等。
(3)信息处理控制一般要经过输入、处理及输出等环节。
2.信息处理控制的审计关注点
(1)系统自动生成报告;
(2)系统配置和科目映射;
(3)接口控制;
(4)访问和权限。
核心考点四:公司层面信息技术控制
公司层面信息技术控制代表了该公司信息技术控制的整体环境,包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等。常见的公司层面信息技术控制包括但不限于:
(1)信息技术规划的制定;
(2)信息技术年度计划的制定;
(3)信息技术内部审计机制的建立;
(4)信息技术外包管理;
(5)信息技术预算管理;
(6)信息安全和风险管理;
(7)信息技术应急预案的制定;
(8)信息系统架构和信息技术复杂性。
注:信息技术对企业内部控制影响:信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度,高度自动化系统的企业更加依赖信息技术;自动化控制能有效处理大量交易及数据,比较不容易被绕过;人工控制和自动化控制在防范被审计单位重大错报方面各具优势,例如自动化控制擅长处理大量的常规信息,而人工控制更擅长处理少量例外数据或特殊情况。
采用电子商务的方式进行交易,即买卖双方借助信息技术作连接,不谋面地进行各种商贸活动。在此模式下,交易信息在网上传输,容易被拦截、篡改或不当获取,被审计单位的会计信息系统可能与交易对方的系统相连接,产生了互相依赖的风险,即交易一方的风险部分取决于交易对手如何识别和管理其自身系统中的风险。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面;信息技术一般控制旨在保证信息系统的安全。
信息处理控制:财务系统定期生成分析报告;财务系统中设定各科目映射关系。
一般控制:计算机运行故障管理。
公司层面控制:信息系统的外包和预算管理。
注册会计师在进行财务报表审计时,如果依赖相关信息系统生成的财务信息和报告作为审计工作的依据,则需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。
信息处理控制是指与被审计单位信息系统中下列两方面相关的控制:
(1)信息技术应用程序进行的信息处理;
(2)人工进行的信息处理。
信息技术外包管理、信息安全和风险管理属于公司层面信息技术控制。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面,程序开发的管理方法即为评价一般控制的考虑因素,而非公司层面信息技术控制情况。
公司层面信息技术控制情况包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好。
