审计每日推送2022.5.22【凯凯】
第五章 信息技术对审计的影响
「考点1」信息技术对企业财务报告和内部控制的影响(★)
(一)信息技术对企业财务报告的影响
注册会计师在进行财务报表审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量,而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的。
所以,注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制。
(二)信息技术对企业内部控制的影响
在信息技术环境下,传统的人工控制越来越多地被自动控制所替代。当然,被审计单位采用信息系统处理业务,并不意味着人工控制被完全取代。信息系统对控制的影响,取决于被审计单位对信息系统的依赖程度。
随着信息技术的发展,内部控制虽然在形式及内涵方面发生了变化,但内部控制的目标并没有发生改变。
1.在信息技术环境下,自动控制能为企业带来的好处(5个方面)
(1)自动控制能够有效处理大量交易及数据,因为自动信息系统可以提供与业务规则一致的系统处理方法;
(2)自动控制比较不容易被绕过;
(3)自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离;
(4)自动信息系统可以提高信息的及时性、准确性,并使信息变得更易获取;
(5)自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。
2.信息技术在改进被审计单位内部控制的同时,也产生了特定的风险:
(1)信息系统或相关系统程序可能会对数据进行错误处理,也可能会去处理那些本身就错误的数据;
(2)自动信息系统、数据库及操作系统的相关安全控制如果无效,会增加对数据信息非授权访问的风险,这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏,系统程序、系统内的数据遭到不适当的改变,系统对交易进行不适当的记录,以及信息技术人员获得超过其职责范围的过大系统权限等;
(3)数据丢失风险或数据无法访问风险,如系统瘫痪;
(4)不适当的人工干预,或人为绕过自动控制。
(三)注册会计师在信息化环境下面临的挑战
注册会计师将面临来自信息化环境的众多挑战,主要体现在以下方面:
|
挑战 |
说明 |
|
①对业务流程开展和内部控制运作的理解 |
要重新建立对业务流程开展和内部控制运作的理解和认识 |
|
②对信息系统相关审计风险的认识 |
需要充分识别并评估与会计核算和财务报告编制相关的信息技术运用相伴而生的风险 |
|
③审计范围的确定 |
在确定审计范围时,往往受困于信息技术的复杂性和专业性 |
|
④审计内容的变化 |
审计内容很有可能包括对信息系统中的相关自动控制的测试 例如,在针对存货计价不准确的重大错报风险执行审计程序时,由于被审计单位存货的计价依赖于高度自动化处理,不存在或存在很少人工干预,针对该风险仅实施实质性程序可能不可行。获取的审计证据,即存货的库龄分析仅以电子形式存在,注册会计师必须测试存货的计价相关的内部控制的有效性,以及存货库龄计算的准确性 |
|
⑤审计线索的隐性化 |
传统的审计线索可能已经不复存在(没有留下运行轨迹,不适合抽样) |
|
⑥审计技术改进的必要性 |
—— |
|
⑦有待优化的知识结构 |
—— |
|
⑧与专业团队的充分协作 |
—— |
「考点2」信息技术中的一般控制和应用控制测试(★★)
对于自动控制,就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑。
(一)信息技术一般控制
|
含义 |
是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施 |
|
作用 |
信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献 |
|
内容 |
包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面 |
|
测试的必要性 |
当人工控制依赖系统生成的信息时,信息技术一般控制同样重要。如果注册会计师计划依赖自动应用控制、自动会计程序或依赖系统生成信息的控制,他们就需要对相关的信息技术一般控制进行测试
|
(二)信息技术应用控制
|
含义及要素 |
信息技术应用控制一般要经过输入、处理及输出等环节。和人工控制类似,系统自动控制关注的要素包括∶完整性、准确性、存在和发生等 |
|
审计关注点 |
常见的系统自动控制以及信息技术应用控制审计关注点列示如下: ①系统自动生成报告 ②系统配置和科目映射 ③接口控制 ④访问和权限 |
(三)公司层面信息技术控制
常见的公司层面信息技术控制包括但不限于:
①信息技术规划的制定;
②信息技术年度计划的制定;
③信息技术内部审计机制的建立;
④信息技术外包管理;
⑤信息技术预算管理;
⑥信息安全和风险管理;
⑦信息技术应急预案的制定;
⑧信息系统架构和信息技术复杂性。
(四)信息技术一般控制、应用控制与公司层面控制三者之间的关系
公司层面信息技术控制会影响该公司信息技术一般控制和应用控制的部署和落实。
注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。
因此,公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调;信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
「考点3」信息技术对审计过程的影响(★)
(一)信息技术对审计的影响
|
不影响 |
信息技术在企业中的应用并不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求,审计准则和财务报告审计目标在所有情况下都适用。 |
|
影响 |
但是,注册会计师必须更深入了解企业的信息技术应用范围和性质,因为系统的设计和运行对审计风险的评价、业务流程和控制的了解、审计工作的执行以及需要收集的审计证据的性质都有直接的影响。归纳起来,信息技术对审计过程的影响主要体现在以下几个方面∶ ①对审计线索的影响 ②对审计技术手段的影响 ③对内部控制的影响:内部控制的目标并没有发生改变,但在高度电算化的信息环境中,业务活动和业务流程引发了新的风险,从而使具体控制活动的性质有所改变 ④对审计内容的影响 ⑤对注册会计师的影响 |
(二)信息技术审计范围的确定
注册会计师在制定审计策略时,需要结合被审计单位①业务流程复杂度;②信息系统复杂度;③系统生成的交易数量和业务对系统的依赖程度;④信息和复杂计算的数量;⑤信息技术环境规模和复杂度五个方面,对信息技术审计范围进行适当考虑。
信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比,在具体评估复杂度时,可以从以下几个方面予以考虑:
|
评估业务流程的复杂度(如销售流程、薪酬流程、采购流程等) |
对业务流程复杂度的评估并不是一个纯粹客观的过程,而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素,对业务流程复杂度作出适当判断: ①某流程是否涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清 ②某流程是否涉及大量操作及决策活动 ③某流程的数据处理过程是否涉及复杂的公式和大量的数据录入操作 ④某流程是否需要对信息进行手工处理 ⑤对系统生成的报告的依赖程度 |
|
评估信息系统的复杂度 |
与评估业务流程的复杂度相似,对企业信息系统复杂度的评估也不是一个纯粹客观的过程,评估过程包含大量的职业判断,也受所使用系统类型的影响 具体来说,评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围,以及客制化程度。同时,还需要考虑系统生成的交易数量、信息和复杂计算的数量 |
|
信息技术环境的规模和复杂程度 |
信息技术环境复杂并不意味着信息系统是复杂的,反之亦然 评估信息技术环境的规模和复杂程度,主要应当考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登录或远程登录) |
综上所述,在信息技术环境下,审计工作与对系统的依赖程度是直接关联的。无论被审计单位运用信息技术的程度如何,注册会计师均需了解与审计相关的信息技术一般控制和应用控制。
「考点4」信息技术一般控制对控制风险的影响(★)
信息技术一般控制对应用控制的有效性具有普遍性影响。
无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报的可能性,即使这些应用控制本身得到了有效设计。如果一般控制有效,注册会计师可以更多地信赖应用控制,测试这些控制的运行有效性,并将控制风险评估为低于“最高”水平。
考虑到公司层面信息技术控制是公司的整体控制环境,决定了信息技术的风险基准,因此,注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。
「考点5」信息技术应用控制对控制风险和实质性程序的影响(★)
在评估应用控制对控制风险和实质性程序的影响时,注册会计师需要将控制与具体的审计目标相联系,注册会计师首先针对每个具体的审计目标,了解和识别相关的控制与缺陷,在此基础上,对每个相关审计目标评估初步控制风险。但对于一般控制而言,由于其影响广泛,注册会计师通常不将控制与具体的审计目标相联系。
如果针对某一具体审计目标,注册会计师能够识别出有效的应用控制,在通过测试确定其运行有效后,注册会计师能够减少实质性程序。
「考点6」在不太复杂的IT环境下的审计(★)
面临不太复杂的IT审计,注册会计师可以采用传统方式进行审计,即“绕过计算机进行审计”。在此情况下,注册会计师仍需要了解信息技术一般控制和应用控制(一个都不能少),但不测试其运行有效性(不依赖就不测),即不依赖其降低评估的控制风险水平,更多的审计工作将依赖非信息技术审计方法。
「考点7」在较为复杂的IT环境下的审计(★)
当面临较复杂的IT审计时,“绕过计算机进行审计”是不可行的,需要“穿过计算机进行审计”。此时,注册会计师更可能需要更多运用计算机辅助审计技术、电子表格、数据分析等工具开展具体的审计工作。
第六章 审计工作底稿
「考点1」审计工作底稿概述(★★)
(一)审计工作底稿的含义
审计工作底稿是指注册会计师对制定的审计计划、实施的审计程序、获取的相关审计证据,以及得出的审计结论作出的记录。审计工作底稿是审计证据的载体,是注册会计师在审计过程中形成的审计工作记录和获取的资料。审计工作底稿形成于审计过程,同时也反映整个审计过程。
(二)审计工作底稿编制的目的
|
项目 |
内容 |
【记忆面包】 |
|
主要目的 |
①提供充分、适当的记录,作为出具审计报告的基础 |
对内出报告 |
|
②提供证据,证明注册会计师已经按照审计准则和相关法律法规的规定计划和执行了审计工作 |
对外证清白 |
|
|
其他目的 |
①有助于项目组计划和执行审计工作 |
均与项目组有关 |
|
②有助于负责督导的项目组成员按照审计准则的规定,履行指导、监督与复核审计工作的责任 |
||
|
③便于项目组说明其执行审计工作的情况 |
||
|
④保留对未来审计工作持续产生重大影响的事项的记录 |
为保存记录 |
|
|
⑤便于会计师事务所实施项目质量复核与检查 |
内部检查 |
|
|
⑥便于监管机构和注册会计师协会根据相关法律法规或其他相关要求,对会计师事务所实施执业质量检查 |
外部检查 |
【提示】
审计工作底稿编制的目的并非是为被审计单位或后任注册会计师服务
(三)审计工作底稿的编制要求
注册会计师编制的审计工作底稿,应当使得未曾接触该项审计工作的有经验的专业人士清楚地了解:
①按照审计准则和相关法律法规的规定实施的审计程序的性质、时间安排和范围;
②实施审计程序的结果和获取的审计证据;
③审计中遇到的重大事项和得出的结论,以及在得出结论时作出的重大职业判断。
【彬哥解读】有经验的专业人士,是指会计师事务所内部或外部的具有审计实务经验,并且对下列方面有合理了解的人士:
①审计过程(了解审计);
②审计准则和相关法律法规的规定(了解法规);
③被审计单位所处的经营环境(了解客户);
④与被审计单位所处行业相关的会计和审计问题(了解行业)。
【提示】该有经验的专业人士并非必须要求在会计师事务所执行业务。
(四)审计工作底稿存在形式
|
1.审计工作底稿可以以纸质、电子或其他介质形式存在。 |
为便于会计师事务所内部进行质量管理和外部执业质量检查或调查,以电子或其他介质形式存在的审计工作底稿,应与其他纸质形式的审计工作底稿一并归档,并应能通过打印等方式,转换成纸质形式的审计工作底稿。 【提示】是让底稿具有可打印性,不是一定要打印! |
|
在实务中,为便于复核,注册会计师可以将以电子或其他介质形式存在的审计工作底稿通过打印等方式,转换成纸质形式的审计工作底稿,并与其他纸质形式的审计工作底稿一并归档,同时,单独保存这些以电子或其他介质形式存在的审计工作底稿。 【提示】 ①是可以打印,不是必须打印。 ②不能将电子或其他介质的审计工作底稿删除。 |
|
|
2.无论审计工作底稿以哪种形式存在,会计师事务所都应当针对审计工作底稿设计和实施适当的控制,以实现下列目的 |
①使审计工作底稿清晰地显示其生成、修改及复核的时间和人员; ②在审计业务的所有阶段,尤其是在项目组成员共享信息或通过互联网将信息传递给其他人员时,保护信息的完整性和安全性; ③防止未经授权改动审计工作底稿; ④允许项目组和其他经授权的人员为适当履行职责而接触审计工作底稿。 【记忆面包】显示记录、保护信息、防止擅动、允许接触。 |
(五)审计工作底稿内容
|
包括的内容 |
不包括的内容 |
|
总体审计策略、具体审计计划、分析表、问题备忘录、重大事项概要、询证函回函和声明、核对表、有关重大事项的往来函件(包括电子邮件)、被审计单位文件记录的摘要或复印件。 此外,审计工作底稿还包括业务约定书、管理建议书、项目组内部或项目组与被审计单位举行的会议记录,与其他人士的沟通文件及错报汇总表等。 但是,审计工作底稿并不能替代被审计单位的会计记录。 |
①已被取代的审计工作底稿的草稿或财务报表的草稿 ②反映不全面或初步思考的记录 ③存在印刷错误或其他错误而作废的文本 ④重复的文件记录 【记忆面包】草稿、初稿、错稿、重复稿 |
「考点2」审计工作底稿的格式、要素和范围(★★)
(一)确定审计工作底稿的格式、要素和范围时考虑的因素
|
考虑因素 |
说明 |
|
①被审计单位的规模和复杂程度 |
大型(底稿多)/小型(底稿少) 复杂(底稿多)/简单(底稿少) |
|
②拟实施审计程序的性质 |
不同的程序底稿不同(如函证和监盘不同) |
|
③识别出的重大错报风险 |
风险高(底稿多)/风险低(底稿少) |
|
④已获取的审计证据的重要程度 |
证据的相关性和可靠性影响底稿的格式、内容和范围 |
|
⑤识别出的例外事项的性质和范围 |
如对不符事项的处理;构成错报和不构成错报的事项,处理方式不同 |
|
⑥当从已执行审计工作或获取审计证据的记录中不易确定结论或结论的基础时,记录结论或结论基础的必要性 |
涉及复杂事项,记录需要更加详细 |
|
⑦审计方法和使用的工具 |
计算机辅助审计技术/人工方式 |
【提示】不考虑审计的收费水平、审计工作底稿的归档期限。
(二)审计工作底稿的要素
1.审计工作底稿的标题
每张底稿应当包括:①被审计单位的名称;②审计项目的名称;③资产负债表日或底稿覆盖的会计期间。
2.审计过程的记录
|
具体项目或事项的识别特征
|
检查原始单据(订购单、验收单、付款单、销售发票、发运单、销售单) |
编号和日期 |
|
选取总体××万元以上的特定项目进行测试 |
××金额以上的项目(范围,如1米8以上的身高) |
|
|
实施系统选样 |
样本的来源、抽样的起点及抽样间隔 |
|
|
询问被审计单位中特定人员 |
被询问人的姓名及职位、询问的时间 |
|
|
观察 |
观察的对象或观察过程、相关被观察人员及其各自的责任、观察的地点和时间 |
|
|
重大事项及相关重大职业判断 |
重大事项通常包括: ①引起特别风险的事项 ②实施审计程序的结果,该结果表明财务信息可能存在重大错报,或需要修正以前对重大错报风险的评估和针对这些风险拟采取的应对措施 ③导致注会难以实施必要审计程序的情形 ④导致出具非无保留意见或者带强调事项段“与持续经营相关的重大不确定性”等段落的审计报告的事项 |
注册会计师应当记录与管理层、治理层和其他人员对重大事项的讨论,包括所讨论的重大事项的性质以及讨论的时间、地点和参加人员 重大事项概要包括审计过程中识别的重大事项及其如何得到解决,或对其他支持性审计工作底稿的交叉索引 |
|
针对重大事项如何处理不一致的情况 |
如果识别出的信息与针对某重大事项得出的最终结论不一致,注册会计师应当记录如何处理不一致的情况 但是,对如何解决这些不一致的记录要求并不意味着注册会计师需要保留不正确的或被取代的审计工作底稿 |
|
【提示】识别特征要具有唯一性
3.编制人员、复核人员及编制日期
通常,需要在每一张审计工作底稿上注明执行审计工作的人员和复核人员、完成该项审计工作的日期以及完成复核的日期。
在实务中,如果若干页的审计工作底稿记录同一性质的具体审计程序或事项,并且编制在同一个索引号中,此时可以仅在审计工作底稿的第一页上记录审计工作的执行人员和复核人员并注明日期。
「考点3」审计工作底稿的归档(★★★)
(一)审计工作底稿归档工作的性质
在审计报告日后将审计工作底稿归整为最终审计档案是一项事务性的工作,不涉及实施新的审计程序或得出新的结论。包括:
|
事务性工作 |
①删除或废弃被取代的审计工作底稿; |
|
②对审计工作底稿进行分类、整理和交叉索引; |
|
|
③对审计档案归整工作的完成核对表签字认可; |
|
|
④记录在审计报告日前获取的、与项目组相关成员进行讨论并达成一致意见的审计证据。 |
【提示】归档前是可以删除的,归档后坚决不能删除底稿!
(二)审计工作底稿归档的期限
审计工作底稿的归档期限为审计报告日后60天内,如果注册会计师未能完成审计业务,审计工作底稿的归档期限为审计业务中止后的60天内。
(三)审计工作底稿归档后的变动
|
原则 |
在完成最终审计档案的归整工作后,注册会计师不应在规定的保存期限届满前删除或废弃任何性质的审计工作底稿 【提示】特殊情况下可以增加或修改! |
|
需要变动审计工作底稿的情形 |
一般情况下,在审计报告归档之后不需要对审计工作底稿进行修改或增加,有必要修改现有审计工作底稿或增加新的审计工作底稿的情形主要有以下两种: ①注册会计师已实施了必要的审计程序,取得了充分、适当的审计证据并得出了恰当的审计结论,但审计工作底稿的记录不够充分 ②审计报告日后,发现例外情况要求注册会计师实施新的审计程序或追加审计程序,或导致注册会计师得出新的结论 |
|
变动审计工作底稿时的记录要求 |
在完成最终审计档案的归整工作后,如果发现有必要修改现有审计工作底稿或增加新的审计工作底稿,无论修改或增加的性质如何,注册会计师均应当记录下列事项: ①修改或增加审计工作底稿的理由 ②修改或增加审计工作底稿的时间和人员,以及复核的时间和人员 |
【关联贴纸】第二章 审计过程中对计划的更改
如果注册会计师在审计过程中对总体审计策略或具体审计计划作出重大修改,应当在审计工作底稿中记录作出的重大修改及其理由。
常见的审计计划的修改包括:重要性的修改、审计方案的修改等。
(四)审计工作底稿的保存期限
会计师事务所应当自审计报告日起,对审计工作底稿至少保存10年。如果注册会计师未能完成审计业务,会计师事务所应当自审计业务中止日起,对审计工作底稿至少保存10年。
【彬哥解读】若集团审计报告日和组成部分审计报告并非同一天,则以孰晚日(集团报告日)为准。
阅读列表
-
审计每日推送2022.5.9【凯凯】
2022/5/07 · 27人已阅
-
审计每日推送2022.5.7【凯凯】
2022/5/07 · 18人已阅
-
审计每日推送 第20章企业内部控制审计
2022/4/09 · 197人已阅
-
审计每日推送 第23章审计业务对独立性的要求
2022/4/05 · 185人已阅
-
审计每日推送 第22章 职业道德基本原则和概念框架
2022/4/04 · 236人已阅
-
审计每日推送 第21章 会计师事务所业务质量管理
2022/4/04 · 238人已阅
-
审计每日推送2022.04.04【彬哥】
2022/3/30 · 245人已阅
