第五章 信息技術(shù)對審計的影響
【必背考點1】信息技術(shù)對內(nèi)部控制的影響
(一)信息技術(shù)的概念
信息技術(shù)是指利用電子計算機和現(xiàn)代通信手段實現(xiàn)獲取信息、傳遞信息�����、存儲信息�����、處理信息�、顯示信息、分配信息等相關(guān)技術(shù)����。
(二)信息技術(shù)與財務(wù)報告的關(guān)系
信息技術(shù)形成的信息質(zhì)量影響企業(yè)編制財務(wù)報表、管理企業(yè)活動和做出適當?shù)墓芾頉Q策���。
如果依賴相關(guān)信息系統(tǒng)所形成的財務(wù)信息和報告作為審計工作的依據(jù),則必須考慮相關(guān)信息和報告的質(zhì)量����。
注冊會計師需要在整個過程中考慮信息的準確性�、完整性��、授權(quán)體系及訪問限制�。
(三)信息技術(shù)對內(nèi)部控制的積極影響
信息系統(tǒng)對控制的影響,取決于被審計單位對信息系統(tǒng)的依賴程度�。
自動控制并不能完全取代人工控制。
自動控制優(yōu)先:
1) 有效處理大流量交易及數(shù)據(jù)
2) 不容易被繞過
3) 自動信息系統(tǒng)�����、數(shù)據(jù)庫及操作系統(tǒng)的相關(guān)安全控制可以實現(xiàn)有效的職責分離
4) 提高信息的及時性���、準確性���、并使信息變得更易獲取
5) 提高管理層對企業(yè)業(yè)務(wù)活動及相關(guān)政策的監(jiān)督水平
詳細分析:之所以大力推廣信息技術(shù),是因為其有很多優(yōu)勢�,故考生應(yīng)著重掌握信息技術(shù)對內(nèi)部控制的積極影響。
【必背考點2】評估信息技術(shù)的風險
內(nèi)部控制形式與內(nèi)涵發(fā)生了變化���,內(nèi)部控制目標沒有變化�。
(一)內(nèi)部控制目標
1) 提高管理層決策決定的效果和業(yè)務(wù)流程效率
2) 提高會計信息的可靠性
3) 促進企業(yè)遵守法律和規(guī)章
(二)特定風險
1) 可能會對數(shù)據(jù)進行錯誤處理���,也可能會去處理那些本身就錯誤的數(shù)據(jù)
2) 如果相關(guān)安全控制無效�����,會增加對數(shù)據(jù)信息非授權(quán)訪問的風險
3) 數(shù)據(jù)丟失風險和數(shù)據(jù)無法訪問風險
4) 不是當?shù)娜斯じ深A(yù)����,或認為繞過自動控制風險
詳細分析:風險無處不在,信息技術(shù)產(chǎn)生的風險�,主要因信息技術(shù)本身的股有限制造成的。
【必背考點3】信息技術(shù)中的一般控制與應(yīng)用控制測試
(一)信息技術(shù)的一般控制審計
1����、概念:信息系統(tǒng)一般控制是指為了保證信息系統(tǒng)的安全,對整個信息系統(tǒng)以及外部各種環(huán)境要素實施的�����、對所有的應(yīng)用或控制模塊具有普遍影響的控制措施�,信息技術(shù)一般控制通常會對實現(xiàn)部門或全部財務(wù)報表認定做出間接控制。
2��、內(nèi)容
(1)程序開發(fā)控制
目標:確保系統(tǒng)的開發(fā)����、配置和實施能夠?qū)崿F(xiàn)管理層的應(yīng)用控制目標。
要素:
��、俪绦蜷_發(fā)的管理方法論②項目啟動����、分析和設(shè)計③測試和質(zhì)量確保④數(shù)據(jù)遷移⑤程序試試和應(yīng)急計劃⑥流程更新和用戶培訓⑦開發(fā)過程中的需求變更管理⑧開發(fā)過程中的職責分離
(2)程序變更控制
目標:確保對程序和相關(guān)基礎(chǔ)組件的變更時經(jīng)過請求、授權(quán)���、執(zhí)行��、測試和實施的����,已達到管理層的應(yīng)用控制目標��。
要素
�����、賹ψ兏S護活動的管理②對變更請求的規(guī)范����、授權(quán)與跟蹤③測試和質(zhì)量確保④程序?qū)嵤萘鞒套兏陀脩襞嘤枹拮兏^程中的職責分離
(3)程序和數(shù)據(jù)訪問控制
目標:確保分配的訪問程序和數(shù)據(jù)的權(quán)限是經(jīng)過用戶身份認證并經(jīng)過授權(quán)的
要素:
①應(yīng)用用戶授權(quán)管理②高權(quán)限用戶管理③職責分工和權(quán)限管理④認證和密碼控制⑤用戶監(jiān)控⑥物理訪問和環(huán)境控制⑦網(wǎng)絡(luò)訪問控制
(4)計算機運用控制
目標:確保業(yè)務(wù)系統(tǒng)根據(jù)管理層的控制目標完整準確地運行�,確保運行問題被完整準確地識別并解決,以維護財務(wù)數(shù)據(jù)的完整性��。
要素:
①系統(tǒng)作業(yè)管理②問題和鼓掌管理③數(shù)據(jù)備份和恢復(fù)④備份介質(zhì)的異地存放⑤災(zāi)難恢復(fù)
(二)信息技術(shù)的應(yīng)用控制
1�、概念:信息技術(shù)應(yīng)用控制是指主要在業(yè)務(wù)流層次運行的人工或自動化程序,與用于生成�����、記錄���、處理�、報告交易或其他財務(wù)數(shù)據(jù)的程序相關(guān)���,通常包括檢查數(shù)據(jù)計算準確性�,審核賬戶和失算平衡表�,設(shè)置對輸入數(shù)據(jù)和數(shù)字序號的自動檢查,以及對例外報告進行人工干預(yù)�。
2、內(nèi)容:應(yīng)用控制室設(shè)計在計算機應(yīng)用系統(tǒng)中的��、有助于達到信息處理目標的控制
3�����、審計要點
關(guān)注要素:完整性、準確性�����、存在和發(fā)生
審計關(guān)注點:
1) 系統(tǒng)自動生成報告2) 系統(tǒng)配置和科目映射3) 接口控制4) 訪問和權(quán)限
(三)公司層面信息技術(shù)控制審計
1���、內(nèi)容:公司層面技術(shù)信息包括但不限于
1) 信息技術(shù)規(guī)劃的制定
2) 信息技術(shù)年度計劃的制定
3) 信息技術(shù)內(nèi)部審計機制的建議
4) 信息技術(shù)外包管理
5) 信息技術(shù)預(yù)算管理
6) 信息技術(shù)和風險管理
7) 信息技術(shù)應(yīng)急預(yù)案的制定
8) 信息系統(tǒng)架構(gòu)和信息技術(shù)復(fù)雜性
2、審計要點
對公司層面信息技術(shù)控制往往會執(zhí)行單獨的審計�����,以評估企業(yè)信息技術(shù)的整體控制環(huán)境來決定信息技術(shù)一般控制和應(yīng)用控制的審計重點�、風險等級、審計測試方式等����。
(四)信息技術(shù)一般控制、應(yīng)用控制與公司層面控制三者之間的關(guān)系
公司層面信息技術(shù)控制是公司信息技術(shù)整體控制環(huán)境���,決定了信息技術(shù)一般控制和信息技術(shù)應(yīng)用控制的風險基調(diào)����,會影響該公司的信息技術(shù)一般控制和信息技術(shù)應(yīng)用控制的部署和落實
信息技術(shù)一般控制室技術(shù)���,信息技術(shù)一般控制的有效與否直接關(guān)系到信息技術(shù)應(yīng)用控制的有效性是否能夠信任��。
如果注冊會計師發(fā)現(xiàn)了應(yīng)用系統(tǒng)能所依賴的信息技術(shù)一般控制存在缺陷����,注冊會計師可能就不能信賴應(yīng)用系統(tǒng)按設(shè)計發(fā)揮作用。
