第五章  信息技术对审计的影响

「考点1」信息技术对企业财务报告和内部控制的影响（★）

（一）信息技术对企业财务报告的影响

注册会计师在进行财务报表审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则必须考虑相关信息和报告的质量，而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的。

所以，注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制。

（二）信息技术对企业内部控制的影响

在信息技术环境下，传统的人工控制越来越多地被自动控制所替代。当然，被审计单位采用信息系统处理业务，并不意味着人工控制被完全取代。信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。

随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但内部控制的目标并没有发生改变。

1.在信息技术环境下，自动控制能为企业带来的好处（5个方面）

（1）自动控制能够有效处理大量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法;

（2）自动控制比较不容易被绕过;

（3）自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;

（4）自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取;

（5）自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

2.信息技术在改进被审计单位内部控制的同时，也产生了特定的风险：

（1）信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据;

（2）自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏，系统程序、系统内的数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等;

（3）数据丢失风险或数据无法访问风险，如系统瘫痪;

（4）不适当的人工干预，或人为绕过自动控制。

（三）注册会计师在信息化环境下面临的挑战

注册会计师将面临来自信息化环境的众多挑战，主要体现在以下方面：

 

挑战	说明
①对业务流程开展和内部控制运作的理解	要重新建立对业务流程开展和内部控制运作的理解和认识
②对信息系统相关审计风险的认识	需要充分识别并评估与会计核算和财务报告编制相关的信息技术运用相伴而生的风险
③审计范围的确定	在确定审计范围时，往往受困于信息技术的复杂性和专业性
④审计内容的变化	审计内容很有可能包括对信息系统中的相关自动控制的测试 例如，在针对存货计价不准确的重大错报风险执行审计程序时，由于被审计单位存货的计价依赖于高度自动化处理，不存在或存在很少人工干预，针对该风险仅实施实质性程序可能不可行。获取的审计证据，即存货的库龄分析仅以电子形式存在，注册会计师必须测试存货的计价相关的内部控制的有效性，以及存货库龄计算的准确性
⑤审计线索的隐性化	传统的审计线索可能已经不复存在（没有留下运行轨迹，不适合抽样）
⑥审计技术改进的必要性	——
⑦有待优化的知识结构	——
⑧与专业团队的充分协同工作	——

「考点2」信息技术中的一般控制和应用控制测试（★★）

对于自动控制，就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑。

（一）信息技术一般控制

含义	是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施
作用	信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下，信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献
内容	包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面
测试的 必要性	当人工控制依赖系统生成的信息时，信息技术一般控制同样重要。如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制，他们就需要对相关的信息技术一般控制进行测试

（二）信息技术应用控制

含义及要素	信息技术应用控制一般要经过输入、处理及输出等环节。和人工控制类似，系统自动控制关注的要素包括∶完整性、准确性、存在和发生等
审计关注点	常见的系统自动控制以及信息技术应用控制审计关注点列示如下： ①系统自动生成报告 ②系统配置和科目映射 ③接口控制 ④访问和权限

（三）公司层面信息技术控制

常见的公司层面信息技术控制包括但不限于：

①信息技术规划的制定；

②信息技术年度计划的制定；

③信息技术内部审计机制的建立；

④信息技术外包管理；

⑤信息技术预算管理；

⑥信息安全和风险管理；

⑦信息技术应急预案的制定；

⑧信息系统架构和信息技术复杂性。

 

（四）信息技术一般控制、应用控制与公司层面控制三者之间的关系

公司层面信息技术控制会影响该公司信息技术一般控制和应用控制的部署和落实。

注册会计师在执行信息技术一般控制和信息技术应用控制审计之前，会首先执行配套的公司层面信息技术控制审计，以了解公司的信息技术整体控制环境，并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。

因此，公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调；信息技术一般控制是基础，信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。

「考点3」信息技术对审计过程的影响（★）

（一）信息技术对审计的影响

不影响	信息技术在企业中的应用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求，审计准则和财务报告审计目标在所有情况下都适用。
影响	但是，注册会计师必须更深入了解企业的信息技术应用范围和性质，因为系统的设计和运行对审计风险的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。归纳起来，信息技术对审计过程的影响主要体现在以下几个方面∶ ①对审计线索的影响 ②对审计技术手段的影响 ③对内部控制的影响:内部控制的目标并没有发生改变，但在高度电算化的信息环境中，业务活动和业务流程引发了新的风险，从而使具体控制活动的性质有所改变 ④对审计内容的影响 ⑤对注册会计师的影响

（二）信息技术审计范围的确定

注册会计师在制定审计策略时，需要结合被审计单位①业务流程复杂度；②信息系统复杂度；③系统生成的交易数量和业务对系统的依赖程度；④信息和复杂计算的数量；⑤信息技术环境规模和复杂度五个方面，对信息技术审计范围进行适当考虑。

信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比，在具体评估复杂度时，可以从以下几个方面予以考虑：

 

 

评估业务流程的复杂度（如销售流程、薪酬流程、采购流程等）	对业务流程复杂度的评估并不是一个纯粹客观的过程，而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素，对业务流程复杂度作出适当判断： ①某流程是否涉及过多人员及部门，并且相关人员及部门之间的关系复杂且界限不清 ②某流程是否涉及大量操作及决策活动 ③某流程的数据处理过程是否涉及复杂的公式和大量的数据录入操作 ④某流程是否需要对信息进行手工处理 ⑤对系统生成的报告的依赖程度
评估信息系统的复杂度	与评估业务流程的复杂度相似，对企业信息系统复杂度的评估也不是一个纯粹客观的过程，评估过程包含大量的职业判断，也受所使用系统类型的影响 具体来说，评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围，以及客制化程度。同时，还需要考虑系统生成的交易数量、信息和复杂计算的数量
信息技术环境的规模和复杂度	信息技术环境复杂并不意味着信息系统是复杂的，反之亦然 评估信息技术环境的规模和复杂度,主要应当考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录)

综上所述，在信息技术环境下，审计工作与对系统的依赖程度是直接关联的。无论被审计单位运用信息技术的程度如何，注册会计师均需了解与审计相关的信息技术一般控制和应用控制。

「考点4」信息技术一般控制对控制风险的影响（★）

信息技术一般控制对应用控制的有效性具有普遍性影响。

无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报的可能性，即使这些应用控制本身得到了有效设计。如果一般控制有效，注册会计师可以更多地信赖应用控制，测试这些控制的运行有效性，并将控制风险评估为低于“最高”水平。

考虑到公司层面信息技术控制是公司的整体控制环境，决定了信息技术的风险基准，因此，注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。

「考点5」信息技术应用控制对控制风险和实质性程序的影响（★）

在评估应用控制对控制风险和实质性程序的影响时，注册会计师需要将控制与具体的审计目标相联系，注册会计师首先针对每个具体的审计目标，了解和识别相关的控制与缺陷，在此基础上，对每个相关审计目标评估初步控制风险。但对于一般控制而言，由于其影响广泛，注册会计师通常不将控制与具体的审计目标相联系。

如果针对某一具体审计目标，注册会计师能够识别出有效的应用控制，在通过测试确定其运行有效后，注册会计师能够减少实质性程序。

「考点6」在不太复杂的IT环境下的审计（★）

面临不太复杂的IT审计，注册会计师可以采用传统方式进行审计，即“绕过计算机进行审计”。在此情况下，注册会计师仍需要了解信息技术一般控制和应用控制（一个都不能少），但不测试其运行有效性（不依赖就不测），即不依赖其降低评估的控制风险水平，更多的审计工作将依赖非信息技术审计方法。

「考点7」在较为复杂的IT环境下的审计（★）

当面临较复杂的IT审计时，“绕过计算机进行审计”是不可行的，需要“穿过计算机进行审计”。此时，注册会计师更可能需要更多运用计算机辅助审计技术、电子表格、数据分析等工具开展具体的审计工作。