核心考点五:信息技术一般控制、信息处理控制和公司层面控制的关系
1.关系
(1)公司层面信息技术控制会影响信息技术一般控制和信息处理控制的部署和落实;
(2)公司层面信息技术控制是信息技术的整体控制环境,决定了信息技术一般控制和信息处理控制的风险基调;
(3)信息技术一般控制是信息处理控制的基础,信息技术一般控制的有效性直接关系到信息处理控制的有效性。
2.注册会计师的工作要求
(1)无论被审计单位运用信息技术的程度如何,注册会计师均需了解与审计相关的信息技术一般控制和信息处理控制;
(2)如果计划依赖自动化信息处理控制、系统生成的信息等,则需要对信息技术一般控制进行测试。
公司层面信息技术控制决定了信息技术一般控制和信息处理控制的风险基调。
信息技术一般控制的有效与否会直接关系到信息处理控制的有效性是否能够信赖。
信息技术一般控制对所有的信息处理控制具有普遍影响。
核心考点六:信息技术对审计过程的影响
一、信息技术对审计的影响
| 结果 | 阐述 |
|---|---|
| “不影响” | 信息技术的应用不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求 |
| “影响” | (1)影响审计线索和审计技术手段; (2)影响对被审计单位的内部控制的考虑; (3)影响审计内容(例如,注册会计师需要考虑信息技术环境下相关数据的准确性); (4)影响注册会计师的知识和技能(例如,信息技术的广泛运用要求注册会计师具备相关信息技术方面的知识) |
二、信息技术审计范围的确定
在确定审计策略时,需要结合以下五个方面,对信息技术审计范围进行适当考虑:
(1)被审计单位业务流程复杂度;
(2)信息系统复杂度;
(3)系统生成的交易数量和业务对系统的依赖程度
(4)信息和复杂计算的数量;
(5)信息技术环境规模和复杂度。
三、评估业务流程及信息系统的复杂度
1.评估业务流程的复杂度
考虑因素包括流程的人员、操作和决策活动、数据处理量、处理方式及对系统生成的报告的依赖程度等。
2.评估信息系统的复杂度
(1)评估信息系统复杂度需要大量职业判断,同时受到所使用系统类型(如商业软件或自行研发系统)的影响;
(2)评估商业软件的复杂程度,应当考虑系统复杂程度、市场份额、参数设置范围,以及客制化程度;
(3)评估自行研发系统的复杂度,应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况及运行期间。
3.评估信息技术环境的规模和复杂度
(1)评估信息技术环境的规模和复杂度时,应当主要考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录);
(2)信息技术环境复杂并不一定意味着信息系统是复杂的,反之亦然。
评估信息系统的复杂度,需要考虑系统生成的交易数量;
评估信息系统的复杂度,需要考虑系统中进行的复杂计算的数量;
对信息系统复杂度的评估,受被审计单位所使用的系统类型的影响。
被审计单位对信息技术的运用不改变注册会计师制定审计目标,进行风险评估和了解内部控制的原则性要求。
在确定审计策略时,需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、和业务对系统的依赖程度、信息和复杂计算的数量、信息技术环境规模和复杂度五个方面,对信息技术审计范围进行适当考虑。
信息技术的运用要求注册会计师具备信息技术方面的知识。
无论被审计单位运用信息技术的程度如何,注册会计师均需要了解与审计相关的信息技术一般控制。
无论被审计单位运用信息技术的程度如何,注册会计师均需要了解与审计相关的信息处理控制。
信息技术审计的范围与被审计单位在业务流程相关方面的复杂度成正比。
核心考点七:计算机辅助审计技术和电子表格的运用
1.类型
(1)面向系统的计算机辅助审计技术,包括平行模拟法、测试数据法、嵌入审计模块法、程序编码审查、程序代码比较和跟踪、快照等方法;
(2)面向数据的计算机辅助审计技术,包括数据查询、账表分析、审计抽样、统计分析、数值分析等方法。
2.应用
计算机辅助审计技术的应用领域包括实质性程序(特别是分析程序)、控制测试以及辅助对舞弊的检查等。
最广泛地应用计算机辅助审计技术的领域是实质性程序,特别是在与分析程序相关的方面。计算机辅助审计技术也可用于测试控制的有效性,如选择少量的交易在系统中进行穿行测试,或是开发一套集成的测试工具,用于测试系统中的某些交易。
由于计算机辅助审计技术有助于详审海量数据,它也可用于辅助检查舞弊工作。
核心考点八:不同信息技术环境下的问题
一、不同信息技术环境下的问题
1.网络环境
在网络环境下,存在应用软件和数据文件分布不同位置而产生安全、兼容性等问题。
2.数据库管理系统
存在多重使用者能够访问和修改共享数据的风险。
3.电子商务系统
存在信息容易被拦截、篡改或不当获取的风险。此外,被审计单位的会计信息系统可能与交易对方的系统相连接,产生互相依赖的风险。
二、外包安排
| 项目 | 内容 |
|---|---|
| 含义 | 被审计单位可能将信息技术职能外包给专门的服务机构 |
| 总体程序 | 当外包安排构成被审计单位与财务报告相关的信息系统或业务流程的一部分: (1)了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制; (2)获取相关控制运行有效性的证据 |
| 控制测试 | (1)了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告; (2)测试被审计单位对服务机构活动的控制; (3)对服务机构实施控制测试 |
| 获取外部报告 | 如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告,注册会计师应考虑三点因素进行评价: (1)控制测试涵盖的期间以及与管理层评估时间点的关系; (2)测试涵盖的范围、测试的控制及其与企业控制的关联度; (3)控制测试结果以及服务机构注册会计师对控制运行有效性发表的意见 |
如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告,注册会计师应考虑3点因素进行评价:
(1)控制测试涵盖的期间以及与管理层评估时间点的关系;
(2)测试涵盖的范围、测试的控制及其与企业控制的关联度;
(3)控制测试结果以及服务机构注册会计师对控制运行有效性发表的意见。
