第十一章信息技術(shù)對(duì)審計(jì)的影響

1、第十一章 信息技術(shù)對(duì)審計(jì)的影響第一節(jié) 信息技術(shù)對(duì)審計(jì)過(guò)程的影響 一、信息技術(shù)的概念 從廣義上講，凡是能擴(kuò)展人類信息功能的技術(shù)，都是信息技術(shù)。具體而言，信息技術(shù)是指利用電子計(jì)算機(jī)和現(xiàn)代通信手段實(shí)現(xiàn)獲取信息、傳遞信息、存儲(chǔ)信息、處理信息、顯示信息、分配信息等的相關(guān)技術(shù)。 現(xiàn)代信息技術(shù)是指20世紀(jì)70年代以來(lái)，隨著微電子技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，圍繞信息的產(chǎn)生、收集、存儲(chǔ)、處理、檢索和傳遞，形成的一個(gè)全新的、用以開(kāi)發(fā)和利用信息資源的高技術(shù)群，包括微電子技術(shù)、新型元器件技術(shù)、通信技術(shù)、計(jì)算機(jī)技術(shù)、各類軟件及系統(tǒng)集成技術(shù)、光盤技術(shù)、傳感技術(shù)、機(jī)器人技術(shù)、高清晰度電視技術(shù)等，其中微電子技術(shù)、計(jì)算機(jī)

2、技術(shù)、軟件技術(shù)、通信技術(shù)是現(xiàn)代信息技術(shù)的核心。 二、信息技術(shù)審計(jì)的演變 在計(jì)算機(jī)產(chǎn)生以前，企業(yè)內(nèi)部的信息處理最初是以手工處理的方式進(jìn)行的。一個(gè)企業(yè)的會(huì)計(jì)部門，通過(guò)不同崗位之間的分工協(xié)作，將日常經(jīng)營(yíng)活動(dòng)中產(chǎn)生的財(cái)務(wù)資料進(jìn)行加工處理，形成企業(yè)內(nèi)部和外部需要的各種紙質(zhì)會(huì)計(jì)信息。這種情況下的審計(jì)方式毫無(wú)疑問(wèn)是手工的形式。 隨著計(jì)算機(jī)的普及尤其是微型計(jì)算機(jī)的大眾化，一些企業(yè)開(kāi)始用計(jì)算機(jī)來(lái)處理部分會(huì)計(jì)資料。例如，企業(yè)內(nèi)部自行開(kāi)發(fā)的工資管理程序、存貨管理程序等，逐步用機(jī)器替代了部分人工勞動(dòng)。但由于計(jì)算機(jī)處理的范圍還比較小，注冊(cè)會(huì)計(jì)師可以忽略計(jì)算機(jī)的存在，直接對(duì)打印出來(lái)的紙質(zhì)文檔進(jìn)行審計(jì)。 由于會(huì)計(jì)信息技術(shù)化

3、的大規(guī)模普及，大部分企業(yè)的會(huì)計(jì)處理已經(jīng)實(shí)現(xiàn)信息化。注冊(cè)會(huì)計(jì)師開(kāi)始意識(shí)到信息技術(shù)審計(jì)的重要性，但這時(shí)人們對(duì)信息技術(shù)審計(jì)的認(rèn)識(shí)還停留在對(duì)財(cái)務(wù)數(shù)據(jù)的采集和分析階段，注冊(cè)會(huì)計(jì)師仍然可以繞過(guò)信息系統(tǒng)，對(duì)財(cái)務(wù)數(shù)據(jù)和報(bào)表進(jìn)行核實(shí)，以獲取審計(jì)證據(jù)。 伴隨著會(huì)計(jì)信息技術(shù)化的成熟，以ERP為代表的企業(yè)信息系統(tǒng)的高度集成逐漸開(kāi)始興起。這時(shí)的企業(yè)信息系統(tǒng)已不僅僅是一個(gè)孤立的系統(tǒng)，而是集財(cái)務(wù)、人事、供銷、生產(chǎn)為一體的綜合性系統(tǒng)，財(cái)務(wù)信息只是這個(gè)系統(tǒng)所處理信息的一部分，因此，注冊(cè)會(huì)計(jì)師必須在規(guī)劃和執(zhí)行審計(jì)工作時(shí)對(duì)企業(yè)信息技術(shù)進(jìn)行全面考慮。 三、信息技術(shù)和財(cái)務(wù)報(bào)告的關(guān)系 企業(yè)可以運(yùn)用信息系統(tǒng)來(lái)創(chuàng)建、記錄、處理和報(bào)告各項(xiàng)交易

4、，以衡量和審查自身的財(cái)務(wù)業(yè)績(jī)，并持續(xù)記錄資產(chǎn)、負(fù)債及所有者權(quán)益。具體來(lái)講，創(chuàng)建是指企業(yè)可以采取手工或自動(dòng)的方式來(lái)創(chuàng)建各項(xiàng)交易信息；記錄是指信息系統(tǒng)識(shí)別并保留交易及事項(xiàng)的相關(guān)信息；處理是指企業(yè)可以采取手工或自動(dòng)的方式對(duì)信息系統(tǒng)的數(shù)據(jù)信息進(jìn)行編輯、確認(rèn)、計(jì)算、衡量、估價(jià)、分析、匯總和調(diào)整；報(bào)告是指企業(yè)以電子或打印的方式，編制財(cái)務(wù)報(bào)告和其他信息，并運(yùn)用上述信息來(lái)衡量和審查企業(yè)的財(cái)務(wù)業(yè)績(jī)及其他方面的職能。 信息系統(tǒng)的使用，會(huì)給企業(yè)的管理和會(huì)計(jì)核算程序帶來(lái)很多重要的變化，包括： 1計(jì)算機(jī)輸入和輸出設(shè)備代替了手工記錄； 2計(jì)算機(jī)顯示屏和電子影像代替了紙質(zhì)憑證； 3計(jì)算機(jī)文檔代替了紙質(zhì)日記賬和分類賬； 4網(wǎng)

5、絡(luò)通信和電子郵件代替了公司間的郵寄； 5管理需求固化到應(yīng)用程序之中； 6靈活多樣的報(bào)告代替了固定的定期報(bào)告； 7數(shù)據(jù)更加充分，信息實(shí)現(xiàn)共享； 8系統(tǒng)問(wèn)題的存在比偶然性誤差更為普遍。 信息系統(tǒng)形成的信息質(zhì)量影響企業(yè)編制財(cái)務(wù)報(bào)告、管理企業(yè)活動(dòng)和做出適當(dāng)?shù)墓芾頉Q策。因此，有效的信息系統(tǒng)需要實(shí)現(xiàn)下列功能并保留記錄結(jié)果： 1識(shí)別和記錄全部授權(quán)交易； 2及時(shí)、詳細(xì)記錄交易內(nèi)容，并在財(cái)務(wù)報(bào)告中對(duì)全部交易進(jìn)行適當(dāng)分類； 3衡量交易價(jià)值，并在財(cái)務(wù)報(bào)告中適當(dāng)體現(xiàn)相關(guān)價(jià)值； 4確定交易發(fā)生期間，并將交易記錄在適當(dāng)?shù)臅?huì)計(jì)期間； 5將相關(guān)交易信息在財(cái)務(wù)報(bào)告中作適當(dāng)披露。 因此，注冊(cè)會(huì)計(jì)師在進(jìn)行財(cái)務(wù)報(bào)告審計(jì)時(shí)，如果依賴相

6、關(guān)信息系統(tǒng)所形成的財(cái)務(wù)信息和報(bào)告作為審計(jì)工作的依據(jù)，則必須考慮相關(guān)信息和報(bào)告的質(zhì)量，而財(cái)務(wù)報(bào)告相關(guān)的信息質(zhì)量是通過(guò)交易的錄入到輸出整個(gè)過(guò)程中適當(dāng)?shù)目刂苼?lái)實(shí)現(xiàn)的，所以，注冊(cè)會(huì)計(jì)師需要在整個(gè)過(guò)程中考慮信息的準(zhǔn)確性、完整性、授權(quán)體系及訪問(wèn)限制等四個(gè)方面。 四、信息技術(shù)對(duì)審計(jì)過(guò)程的影響 信息技術(shù)在企業(yè)中的應(yīng)用并不改變注冊(cè)會(huì)計(jì)師制定審計(jì)目標(biāo)、進(jìn)行風(fēng)險(xiǎn)評(píng)估和了解內(nèi)部控制的原則性要求，基本審計(jì)準(zhǔn)則和財(cái)務(wù)報(bào)告審計(jì)目標(biāo)在所有情況下都適用。 但是，注冊(cè)會(huì)計(jì)師必須更深入了解企業(yè)的信息技術(shù)應(yīng)用范圍和性質(zhì)，因?yàn)橄到y(tǒng)的設(shè)計(jì)和運(yùn)行對(duì)審計(jì)風(fēng)險(xiǎn)的評(píng)價(jià)、業(yè)務(wù)流程和控制的了解、審計(jì)工作的執(zhí)行以及需要收集的審計(jì)證據(jù)的性質(zhì)都有直接的影

7、響。歸納起來(lái)，信息技術(shù)對(duì)審計(jì)過(guò)程的影響主要體現(xiàn)在以下幾個(gè)方面： （一）對(duì)審計(jì)線索( audit trail)的影響 審計(jì)線索對(duì)審計(jì)來(lái)說(shuō)極其重要。傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)，審計(jì)線索包括憑證、日記賬、分類賬和報(bào)表。注冊(cè)會(huì)計(jì)師通過(guò)順查和逆查的方法來(lái)審查記錄，檢查和確定其是否正確地反映了被審計(jì)單位的經(jīng)濟(jì)業(yè)務(wù)，檢查企業(yè)的會(huì)計(jì)核算是否合理、合規(guī)。而在信息技術(shù)環(huán)境下，從業(yè)務(wù)數(shù)據(jù)的具體處理過(guò)程到報(bào)表的輸出都由計(jì)算機(jī)按照程序指令完成，數(shù)據(jù)均保存在磁性介質(zhì)上，從而會(huì)影響到審計(jì)線索，如數(shù)據(jù)存儲(chǔ)介質(zhì)、存取方式以及處理程序等。 （二）對(duì)審計(jì)技術(shù)手段的影響 過(guò)去，注冊(cè)會(huì)計(jì)師的審計(jì)都是手工進(jìn)行的，但隨著信息技術(shù)的廣泛應(yīng)用，若仍以

8、手工方式進(jìn)行審計(jì)，顯然已經(jīng)難以滿足工作的需要，難以達(dá)到審計(jì)的目的。因此，注冊(cè)會(huì)計(jì)師需要掌握相關(guān)信息技術(shù)，把信息技術(shù)當(dāng)作一種有力的審計(jì)工具。 （三）對(duì)內(nèi)部控制的影響 現(xiàn)代審計(jì)技術(shù)中，注冊(cè)會(huì)計(jì)師會(huì)對(duì)被審計(jì)單位的內(nèi)部控制進(jìn)行審查與評(píng)價(jià)，以此作為制定審計(jì)方案和決定抽樣范圍的依據(jù)。隨著信息技術(shù)的發(fā)展，內(nèi)部控制雖然在形式及內(nèi)涵方面發(fā)生了變化，但根據(jù)內(nèi)部控制的概念，完善的內(nèi)部控制的目標(biāo)并沒(méi)有發(fā)生改變，即： 1提高管理層決策制定的效果和業(yè)務(wù)流程的效率； 2提高會(huì)計(jì)信息的可靠性； 3促進(jìn)企業(yè)遵守法律和規(guī)章。 但必須關(guān)注的是，在高度電算化的信息環(huán)境中，業(yè)務(wù)活動(dòng)和業(yè)務(wù)流程引發(fā)了新的風(fēng)險(xiǎn)，從而使具體控制活動(dòng)的性質(zhì)有所

9、改變。 （四）對(duì)審計(jì)內(nèi)容的影響 在信息化條件下，由于信息化的特點(diǎn)，審計(jì)內(nèi)容發(fā)生了相應(yīng)的變化，在信息化的會(huì)計(jì)系統(tǒng)中，各項(xiàng)會(huì)計(jì)事項(xiàng)都是由計(jì)算機(jī)按照程序進(jìn)行自動(dòng)處理的，信息系統(tǒng)的特點(diǎn)及固有風(fēng)險(xiǎn)決定了信息化環(huán)境下審計(jì)的內(nèi)容包括對(duì)信息化系統(tǒng)的處理和相關(guān)控制功能的審查。比如，在審計(jì)賬齡分析表時(shí)，在信息技術(shù)環(huán)境下，注冊(cè)會(huì)計(jì)師必須考慮其數(shù)據(jù)準(zhǔn)確性以支持相關(guān)審計(jì)結(jié)論，因而需要對(duì)其基于系統(tǒng)的數(shù)據(jù)來(lái)源及處理過(guò)程進(jìn)行考慮。 （五）注冊(cè)會(huì)計(jì)師的影響 信息技術(shù)在被審計(jì)單位的廣泛應(yīng)用要求注冊(cè)會(huì)計(jì)師一定要具備相關(guān)信息技術(shù)方面的知識(shí)。因此，注冊(cè)會(huì)計(jì)師要成為知識(shí)全面的復(fù)合型人才，不僅要有豐富的會(huì)計(jì)、審計(jì)、經(jīng)濟(jì)、法律、管理等方面的

10、知識(shí)和技能還需要熟悉信息系統(tǒng)的應(yīng)用技術(shù)、結(jié)構(gòu)和運(yùn)行原理，有必要對(duì)信息化環(huán)境下的內(nèi)部控制做出適當(dāng)?shù)脑u(píng)價(jià)。因此，注冊(cè)會(huì)計(jì)師必須對(duì)系統(tǒng)內(nèi)的風(fēng)險(xiǎn)和控制都非常熟悉，然后對(duì)審計(jì)的策略、范圍、方法和手段做出相應(yīng)的調(diào)整，以獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)，支持發(fā)表的審計(jì)意見(jiàn)。第二節(jié) 信息技術(shù)審計(jì)范圍的確定 被審計(jì)單位的流程和信息系統(tǒng)可能擁有各自不同的特點(diǎn)，因此注冊(cè)會(huì)計(jì)師應(yīng)按各自特點(diǎn)制定審計(jì)計(jì)劃中包含的信息技術(shù)審計(jì)內(nèi)容；另外，如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)控制或自動(dòng)信息系統(tǒng)生成的信息，那么就需要適當(dāng)擴(kuò)大信息技術(shù)審計(jì)的范圍。 因此，注冊(cè)會(huì)計(jì)師在確定審計(jì)策略時(shí)，需要結(jié)合被審計(jì)單位業(yè)務(wù)流程復(fù)雜度、信息系統(tǒng)復(fù)雜度、系統(tǒng)生成的交易數(shù)

11、量、信息和復(fù)雜計(jì)算的數(shù)量、信息技術(shù)環(huán)境規(guī)模和復(fù)雜度等五個(gè)方面，對(duì)信息技術(shù)審計(jì)范圍進(jìn)行適當(dāng)考慮。信息技術(shù)審計(jì)的范圍與被審計(jì)單位在業(yè)務(wù)流程及信息系統(tǒng)相關(guān)方面的復(fù)雜度成正比，在具體評(píng)估復(fù)雜度時(shí)，可以從以下幾個(gè)方面予以考慮： 一、評(píng)估業(yè)務(wù)流程的復(fù)雜度（比如銷售流程、薪酬流程、采購(gòu)流程等） 對(duì)業(yè)務(wù)流程復(fù)雜度的評(píng)估并不是一個(gè)純粹客觀的過(guò)程，而是需要注冊(cè)會(huì)計(jì)師的職業(yè)判斷。注冊(cè)會(huì)計(jì)師可以通過(guò)考慮以下因素，對(duì)業(yè)務(wù)流程復(fù)雜度做出適當(dāng)判斷： 1某流程涉及過(guò)多人員及部門，并且相關(guān)人員及部門之間的關(guān)系復(fù)雜且界限不清； 2某流程涉及大量操作及決策活動(dòng)； 3某流程的數(shù)據(jù)處理過(guò)程涉及復(fù)雜的公式和大量的數(shù)據(jù)錄入操作； 4某流程

12、需要對(duì)信息進(jìn)行手工處理； 5對(duì)系統(tǒng)生成的報(bào)告的依賴程度。二、評(píng)估信息系統(tǒng)的復(fù)雜度 與評(píng)估業(yè)務(wù)流程的復(fù)雜度相類似，對(duì)企業(yè)信息系統(tǒng)復(fù)雜度的評(píng)估也不是一個(gè)純粹客觀的過(guò)程，評(píng)估過(guò)程包含大量的職業(yè)判斷，也受到所使用系統(tǒng)類型（如商業(yè)軟件或自行研發(fā)系統(tǒng)）的影響。 具體來(lái)說(shuō)，評(píng)估商業(yè)軟件的復(fù)雜程度應(yīng)當(dāng)考慮系統(tǒng)復(fù)雜程度、市場(chǎng)份額、系統(tǒng)實(shí)施和運(yùn)行所需的參數(shù)設(shè)置范圍，以及企業(yè)化程度（對(duì)出廠標(biāo)準(zhǔn)配置的變更、變更類型，例如，是僅為報(bào)告形式的變更還是對(duì)數(shù)據(jù)處理方式的變更）。 而對(duì)于自行研發(fā)系統(tǒng)復(fù)雜度的評(píng)估，應(yīng)當(dāng)考慮系統(tǒng)復(fù)雜程度、距離上一次系統(tǒng)架構(gòu)重大變更的時(shí)間、系統(tǒng)變更對(duì)財(cái)務(wù)系統(tǒng)的影響結(jié)果，以及系統(tǒng)變更之后的系統(tǒng)運(yùn)行情況

13、及運(yùn)行期間。同時(shí)，還需要考慮系統(tǒng)生成的交易數(shù)量、信息和復(fù)雜計(jì)算的數(shù)量，包括： 1被審計(jì)單位是否存在大量交易數(shù)據(jù)，以至于用戶無(wú)法識(shí)別并更正數(shù)據(jù)處理錯(cuò)誤； 2數(shù)據(jù)是否通過(guò)網(wǎng)絡(luò)傳輸，如EDI； 3是否使用特殊系統(tǒng)，如電子商務(wù)系統(tǒng)。 三、信息技術(shù)環(huán)境的規(guī)模和復(fù)雜度 評(píng)估信息技術(shù)環(huán)境的規(guī)模和復(fù)雜度，主要應(yīng)當(dāng)考慮產(chǎn)生財(cái)務(wù)數(shù)據(jù)的信息系統(tǒng)數(shù)量、信息部門的結(jié)構(gòu)與規(guī)模、網(wǎng)絡(luò)規(guī)模、用戶數(shù)量、外包及訪問(wèn)方式（例如本地登錄或遠(yuǎn)程登錄）。信息技術(shù)環(huán)境復(fù)雜并不一定意味著信息系統(tǒng)是復(fù)雜的，反之亦然。 在具體審計(jì)過(guò)程中，注冊(cè)會(huì)計(jì)師除了考慮以上所提及的復(fù)雜度外，還需要充分考慮系統(tǒng)在實(shí)際應(yīng)用中存在的問(wèn)題，評(píng)價(jià)這些問(wèn)題對(duì)審計(jì)范圍的影

14、響： 1管理層如何獲取與信息技術(shù)相關(guān)的問(wèn)題？ 2系統(tǒng)功能中是否發(fā)現(xiàn)嚴(yán)重問(wèn)題或不準(zhǔn)確成分？如果是，是否存在可以繞過(guò)的程序（如自行修復(fù)程序等）? 3是否發(fā)生過(guò)信息系統(tǒng)運(yùn)行出錯(cuò)、安全事件或?qū)潭〝?shù)據(jù)的修改等嚴(yán)重問(wèn)題？如果是，管理層如何應(yīng)對(duì)這些問(wèn)題，以及管理層如何確保這些問(wèn)題得到可靠解決？ 4內(nèi)部審計(jì)或其他報(bào)告中是否提出過(guò)與信息系統(tǒng)、數(shù)據(jù)環(huán)境或應(yīng)用系統(tǒng)相關(guān)的問(wèn)題？ 5報(bào)告中提及的最普遍的系統(tǒng)問(wèn)題是什么？ 在對(duì)被審計(jì)單位的業(yè)務(wù)流程、信息系統(tǒng)和相關(guān)風(fēng)險(xiǎn)進(jìn)行充分了解之后，注冊(cè)會(huì)計(jì)師應(yīng)判斷被審計(jì)單位中是否包含信息技術(shù)關(guān)鍵風(fēng)險(xiǎn)，并且實(shí)質(zhì)性程序是否無(wú)法完全控制該風(fēng)險(xiǎn)。如果符合上述情況的描述，那么注冊(cè)會(huì)計(jì)師應(yīng)將信息

15、技術(shù)審計(jì)內(nèi)容納入財(cái)務(wù)審計(jì)計(jì)劃之中。此外，如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)系統(tǒng)控制，或依賴以自動(dòng)系統(tǒng)生成信息為基礎(chǔ)的手工控制或業(yè)務(wù)流程審閱結(jié)果：那么注冊(cè)會(huì)計(jì)師也同樣需要對(duì)信息技術(shù)相關(guān)控制進(jìn)行評(píng)估。 綜上所述，在信息技術(shù)環(huán)境下，審計(jì)工作與對(duì)系統(tǒng)的依賴程度是直接關(guān)聯(lián)的，注冊(cè)會(huì)計(jì)師需要全面考慮其關(guān)聯(lián)關(guān)系，從而可以準(zhǔn)確定義相關(guān)的信息系統(tǒng)審計(jì)范圍，具體內(nèi)容見(jiàn)表111。表111 信息系統(tǒng)審計(jì)關(guān)聯(lián)范圍表對(duì)信息系統(tǒng)的依賴程度對(duì)系統(tǒng)環(huán)境的了解與評(píng)估（是/否）驗(yàn)證手工控制（是/否）驗(yàn)證系統(tǒng)應(yīng)用控制（是/否）了解、驗(yàn)證系統(tǒng)一般性控制（是/否）不依賴是否否否僅依賴手工控制，此類手工控制不依賴系統(tǒng)所生成的信息或報(bào)告是是否否續(xù)表

16、對(duì)信息系統(tǒng)的依賴程度對(duì)系統(tǒng)環(huán)境的了解與評(píng)估（是/否）驗(yàn)證手工控制（是/否）驗(yàn)證系統(tǒng)應(yīng)用控制（是/否）了解、驗(yàn)證系統(tǒng)一般性控制（是/否）僅依賴手工控制，此類手工控制依賴系統(tǒng)所生成的信息或報(bào)告，審計(jì)需要通過(guò)實(shí)質(zhì)性程序來(lái)驗(yàn)證控制有效性是是否否同時(shí)依賴手工及自動(dòng)控制是是是是第三節(jié) 信息技術(shù)內(nèi)部控制審計(jì) 一、與信息技術(shù)相關(guān)的控制 在信息技術(shù)環(huán)境下，傳統(tǒng)的手工控制越來(lái)越多地被自動(dòng)控制所替代，概括地講，自動(dòng)控制能為企業(yè)帶來(lái)以下好處： 1自動(dòng)控制能夠有效處理大流量交易及數(shù)據(jù)，因?yàn)樽詣?dòng)信息系統(tǒng)可以提供與業(yè)務(wù)規(guī)則一致的系統(tǒng)處理方法； 2，自動(dòng)控制比較不容易被繞過(guò)； 3自動(dòng)信息系統(tǒng)、數(shù)據(jù)庫(kù)及操作系統(tǒng)的相關(guān)安全控制可

17、以實(shí)現(xiàn)有效的職責(zé)分離； 4自動(dòng)信息系統(tǒng)可以提高信息的及時(shí)性、準(zhǔn)確性，并使信息變得更易獲??； 5自動(dòng)信息系統(tǒng)可以提高管理層對(duì)企業(yè)業(yè)務(wù)活動(dòng)及相關(guān)政策的監(jiān)督水平。 同時(shí)，對(duì)自動(dòng)控制的依賴也可能給企業(yè)帶來(lái)下列財(cái)務(wù)報(bào)告重大錯(cuò)報(bào)風(fēng)險(xiǎn)： 1信息系統(tǒng)或相關(guān)系統(tǒng)程序可能會(huì)對(duì)數(shù)據(jù)進(jìn)行錯(cuò)誤處理，也可能會(huì)去處理那些本身就錯(cuò)誤的數(shù)據(jù)； 2自動(dòng)信息系統(tǒng)、數(shù)據(jù)庫(kù)及操作系統(tǒng)的相關(guān)安全控制如果無(wú)效，會(huì)增加對(duì)數(shù)據(jù)信息非授權(quán)訪問(wèn)的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)可能導(dǎo)致系統(tǒng)內(nèi)數(shù)據(jù)和系統(tǒng)對(duì)非授權(quán)交易及不存在交易的記錄遭到破壞，系統(tǒng)、系統(tǒng)程序、數(shù)據(jù)遭到不適當(dāng)?shù)母淖?，系統(tǒng)對(duì)交易進(jìn)行不適當(dāng)?shù)挠涗洠约靶畔⒓夹g(shù)人員獲得超過(guò)其職責(zé)范圍的過(guò)大系統(tǒng)權(quán)限等； 3數(shù)據(jù)

18、丟失風(fēng)險(xiǎn)或數(shù)據(jù)無(wú)法訪問(wèn)風(fēng)險(xiǎn)，如系統(tǒng)癱瘓； 4不適當(dāng)?shù)娜斯じ深A(yù)，或人為繞過(guò)自動(dòng)控制。 因此，被審計(jì)單位采用信息系統(tǒng)處理業(yè)務(wù)，并不意味著手工控制被完全取代，信息系統(tǒng)對(duì)控制的影響，取決于被審計(jì)單位對(duì)信息系統(tǒng)的依賴程度。例如，在基于信息技術(shù)的自動(dòng)的信息系統(tǒng)中，系統(tǒng)進(jìn)行自動(dòng)操作來(lái)實(shí)現(xiàn)對(duì)交易信息的創(chuàng)建、記錄、處理和報(bào)告，并將相關(guān)信息保存為電子形式（如電子的采購(gòu)訂單、采購(gòu)發(fā)票、發(fā)運(yùn)憑證和相關(guān)會(huì)計(jì)記錄）。但相關(guān)控制活動(dòng)也可能同時(shí)包括手工的部分，比如，訂單的審批和事后審閱以及會(huì)計(jì)記錄調(diào)整之類的手工控制。 因此，與財(cái)務(wù)報(bào)告相關(guān)的控制活動(dòng)一般由一系列手工控制和自動(dòng)控制所組成。由于被審計(jì)單位信息技術(shù)的特點(diǎn)及復(fù)雜程度不

19、同，被審計(jì)單位的手工及自動(dòng)控制的組合方式往往會(huì)有所區(qū)別。 二、信息技術(shù)內(nèi)部控制審計(jì) 在信息技術(shù)環(huán)境下，手工控制的基本原理與方式在信息環(huán)境下并不會(huì)發(fā)生實(shí)質(zhì)性的改變，注冊(cè)會(huì)計(jì)師仍需要按照標(biāo)準(zhǔn)執(zhí)行相關(guān)的審計(jì)程序，而對(duì)于自動(dòng)控制，就需要從信息技術(shù)一般性控制審計(jì)與信息技術(shù)應(yīng)用控制審計(jì)兩方面進(jìn)行考慮。 （一）信息技術(shù)一般性控制審計(jì)信息系統(tǒng)一般性控制是指為了保證信息系統(tǒng)的安全，對(duì)整個(gè)信息系統(tǒng)以及外部各種環(huán)境要素實(shí)施的、對(duì)所有的應(yīng)用或控制模塊具有普遍影響的控制措施，信息技術(shù)一般控制通常會(huì)對(duì)實(shí)現(xiàn)部分或全部財(cái)務(wù)報(bào)告認(rèn)定做出間接貢獻(xiàn)。在有些情況下，信息技術(shù)一般控制也可能對(duì)實(shí)現(xiàn)信息處理目標(biāo)和財(cái)務(wù)報(bào)告認(rèn)定做出直接貢獻(xiàn)。

20、這是因?yàn)橛行У男畔⒓夹g(shù)一般控制確保了應(yīng)用系統(tǒng)控制和依賴計(jì)算機(jī)處理的自動(dòng)會(huì)計(jì)程序得以持續(xù)有效地運(yùn)行。當(dāng)手工控制依賴系統(tǒng)生成的信息時(shí)信息技術(shù)一般控制同樣重要。如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)應(yīng)用控制、自動(dòng)會(huì)計(jì)程序或依賴系統(tǒng)生成信息的控制時(shí)，他們就需要對(duì)相關(guān)的信息技術(shù)一般控制進(jìn)行驗(yàn)證。 注冊(cè)會(huì)計(jì)師應(yīng)清楚記錄信息技術(shù)一般控制與關(guān)鍵的自動(dòng)應(yīng)用控制及接口、關(guān)鍵的自動(dòng)會(huì)計(jì)程序、關(guān)鍵手工控制使用的系統(tǒng)生成數(shù)據(jù)和報(bào)告，或生成手工日記賬時(shí)使用系統(tǒng)生成的數(shù)據(jù)和報(bào)告的關(guān)系。由于程序變更控制、計(jì)算機(jī)操作控制及程序數(shù)據(jù)訪問(wèn)控制影響到系統(tǒng)驅(qū)動(dòng)組件的持續(xù)有效運(yùn)行，注冊(cè)會(huì)計(jì)師需要對(duì)上述三個(gè)領(lǐng)域?qū)嵤┛刂茰y(cè)試。信息技術(shù)一般控制包括程序開(kāi)

21、發(fā)、程序變更、程序和數(shù)據(jù)訪問(wèn)及計(jì)算機(jī)運(yùn)行等四個(gè)方面。1.程序開(kāi)發(fā)程序開(kāi)發(fā)領(lǐng)域的目標(biāo)是確保系統(tǒng)的開(kāi)發(fā)、配置和實(shí)施能夠?qū)崿F(xiàn)管理層的應(yīng)用控制目標(biāo)。程序開(kāi)發(fā)控制的一般要素包括：（1）對(duì)程序和實(shí)施活動(dòng)的管理；（2）項(xiàng)目啟動(dòng)、分析和設(shè)計(jì)；（3）對(duì)程序開(kāi)發(fā)實(shí)施過(guò)程的控制軟件的選擇；（4）測(cè)試和質(zhì)量確保；（5）數(shù)據(jù)遷移；（6）程序?qū)嵤?；?）記錄和培訓(xùn)；（8）職責(zé)分離。 2程序變更 程序變更領(lǐng)域的目標(biāo)是確保對(duì)程序和相關(guān)基礎(chǔ)組件的變更是經(jīng)過(guò)請(qǐng)求、授權(quán)、執(zhí)行、測(cè)試和實(shí)施的，以達(dá)到管理層的應(yīng)用控制目標(biāo)。程序變更一般包括以下要素： (1)對(duì)維護(hù)活動(dòng)的管理； (2)對(duì)變更請(qǐng)求的規(guī)范、授權(quán)與跟蹤； (3)測(cè)試和質(zhì)量確保；

22、 (4)程序?qū)嵤?(5)記錄和培訓(xùn)； (6)職責(zé)分離。 3程序和數(shù)據(jù)訪問(wèn) 程序和數(shù)據(jù)訪問(wèn)這一領(lǐng)域的目標(biāo)是確保分配的訪問(wèn)程序和數(shù)據(jù)的權(quán)限是經(jīng)過(guò)用戶身份認(rèn)證并經(jīng)過(guò)授權(quán)的。程序和數(shù)據(jù)訪問(wèn)的子組件一般包括安全活動(dòng)管理、安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全和物理安全。 4計(jì)算機(jī)運(yùn)行 計(jì)算機(jī)運(yùn)行這一領(lǐng)域的目標(biāo)是確保生產(chǎn)系統(tǒng)根據(jù)管理層的控制目標(biāo)完整準(zhǔn)確地運(yùn)行，確保運(yùn)行問(wèn)題被完整準(zhǔn)確地識(shí)別并解決，以維護(hù)財(cái)務(wù)數(shù)據(jù)的完整性。計(jì)算機(jī)運(yùn)行的子組件一般包括計(jì)算機(jī)運(yùn)行活動(dòng)的總體管理、批調(diào)度和批處理、實(shí)時(shí)處理、備份和問(wèn)題管理以及災(zāi)難恢復(fù)。 （二）信息技術(shù)應(yīng)用控制審計(jì) 信息技術(shù)應(yīng)用控制一般要經(jīng)過(guò)輸入、處理及輸出等環(huán)節(jié)

23、，和手工控制一樣，自動(dòng)系統(tǒng)控制同樣關(guān)注信息處理目標(biāo)的四個(gè)要素：完整性、準(zhǔn)確性、經(jīng)過(guò)授權(quán)和訪問(wèn)限制。然而，自動(dòng)系統(tǒng)控制造成的影響程度比信息技術(shù)一般控制要顯著得多，并且需要進(jìn)一步的手工調(diào)查。另外，所有的自動(dòng)應(yīng)用控制都會(huì)有一個(gè)手工控制與之相對(duì)應(yīng)。例如，通過(guò)批次匯總的方式驗(yàn)證數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和完整性時(shí)，如果出現(xiàn)例外，就需要有相應(yīng)的手工控制進(jìn)行跟蹤調(diào)查。理論上，在測(cè)試的時(shí)候，每個(gè)自動(dòng)系統(tǒng)控制都要與其對(duì)應(yīng)的手工控制一起進(jìn)行測(cè)試，才能得到控制是否可信賴的結(jié)論。例如，一筆交易被否定或者被作標(biāo)記了，將會(huì)進(jìn)行一個(gè)手工調(diào)查流程，并且被記錄下來(lái)。下面將針對(duì)不同的信息處理目標(biāo)來(lái)闡述應(yīng)用控制的應(yīng)用。 1完整性 (1)順序

24、標(biāo)號(hào)，可以保證系統(tǒng)每筆日記賬都是唯一的，并且系統(tǒng)不會(huì)接受相同編號(hào)，或者在編號(hào)范圍外的憑證。此時(shí)，需要系統(tǒng)提供一個(gè)沒(méi)有編號(hào)憑證的報(bào)告，如果存在例外，需要相關(guān)人員進(jìn)行調(diào)查跟進(jìn)。 (2)編輯檢查，以確保無(wú)重復(fù)交易錄入，比如發(fā)票付款的時(shí)候，檢查發(fā)票編號(hào)。 2準(zhǔn)確性 (1)編輯檢查，包括限制檢查、合理性檢查、存在性檢查和格式檢查等。(2)將客戶、供應(yīng)商、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。 3授權(quán) (1)交易流程中必須包含恰當(dāng)?shù)氖跈?quán)。 (2)將客戶、供應(yīng)商、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。 4訪問(wèn)限制 (1)對(duì)于某些特殊的會(huì)計(jì)記錄的訪問(wèn)，必須經(jīng)過(guò)數(shù)據(jù)所有者的正式授權(quán)。管理層必須定期檢查系統(tǒng)的

25、訪問(wèn)權(quán)限來(lái)確保只有經(jīng)過(guò)授權(quán)的用戶才能夠擁有訪問(wèn)權(quán)限，并且符合職責(zé)分離原則。如果存在例外，必須進(jìn)行調(diào)查。 (2)訪問(wèn)控制必須滿足適當(dāng)?shù)穆氊?zé)分離（比如，交易的審批和處理必須由不同的人員來(lái)完成）。 (3)對(duì)每個(gè)系統(tǒng)的訪問(wèn)控制都要單獨(dú)考慮。密碼必須要定期更換，并且在規(guī)定次數(shù)內(nèi)不能重復(fù)；定期生成多次登錄失敗導(dǎo)致用戶賬號(hào)鎖定的報(bào)告，管理層必須跟蹤這些登錄失敗的具體原因。 三、信息技術(shù)應(yīng)用控制與信息技術(shù)一般控制之間的關(guān)系 應(yīng)用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的、有助于達(dá)到信息處理目標(biāo)的控制。例如，許多應(yīng)用系統(tǒng)中包含很多編輯檢查來(lái)幫助確保錄入數(shù)據(jù)的準(zhǔn)確性。編輯檢查可能包括格式檢查（如日期格式或數(shù)字格式），存在性檢

26、查（如客戶編碼存在于客戶主數(shù)據(jù)文檔之中），或合理性檢查（如最大支付金額）。如果錄入數(shù)據(jù)的某一要素未通過(guò)編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄人數(shù)據(jù)拖入系統(tǒng)生成的例外報(bào)告之中，留待后續(xù)跟進(jìn)和處理。 如果帶有關(guān)鍵的編輯檢查功能的應(yīng)用系統(tǒng)所依賴的計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷，注冊(cè)會(huì)計(jì)師可能就不能信賴上述編輯檢查功能按設(shè)計(jì)發(fā)揮作用。例如，程序變更控制缺陷可能導(dǎo)致未授權(quán)人員對(duì)檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改，以至于系統(tǒng)接受不準(zhǔn)確的錄入數(shù)據(jù)。此外，與安全和訪問(wèn)權(quán)限相關(guān)的控制缺陷可能導(dǎo)致數(shù)據(jù)錄入不恰當(dāng)?shù)乩@過(guò)合理性檢查，而該合理性檢查在其他方面將使系統(tǒng)無(wú)法處理金額超過(guò)最大容差范圍

27、的支付操作。第四節(jié) 計(jì)算機(jī)輔助審計(jì)技術(shù)和電子表格的運(yùn)用 一、計(jì)算機(jī)輔助審計(jì)技術(shù) （一）計(jì)算機(jī)輔助審計(jì)技術(shù)的定義 計(jì)算機(jī)輔助審計(jì)技術(shù)( Computer Assisted Audit Techniques，CAATS)，是指利用計(jì)算機(jī)和相關(guān)軟件，使審計(jì)測(cè)試工作實(shí)現(xiàn)自動(dòng)化的技術(shù)。計(jì)算機(jī)輔助審計(jì)技術(shù)可以在以下方面使審計(jì)工作更富效率和效果：1將現(xiàn)有手工執(zhí)行的審計(jì)測(cè)試自動(dòng)化。比如，對(duì)報(bào)告數(shù)據(jù)的準(zhǔn)確性進(jìn)行測(cè)試： 2在手工方式不可行的情況下執(zhí)行測(cè)試或分析。比如，審閱大量的和非正常的銷售交易，盡管這項(xiàng)工作有可能通過(guò)手工執(zhí)行來(lái)實(shí)現(xiàn)，但對(duì)于多數(shù)大型公司而言，從時(shí)間角度出發(fā)，需要審閱的交易數(shù)量是無(wú)法通過(guò)手工方式來(lái)進(jìn)

28、行的。 計(jì)算機(jī)輔助審計(jì)技術(shù)不僅能夠提高審閱大量交易的效率，而且計(jì)算機(jī)不會(huì)受到過(guò)度工作的影響（而注冊(cè)會(huì)計(jì)師在審閱了大量的一頁(yè)接一頁(yè)的交易后很容易產(chǎn)生疲勞），從這個(gè)意義上講，計(jì)算機(jī)輔助審計(jì)技術(shù)還可以使審閱工作更具效果。相比較用手工的方式進(jìn)行同樣的測(cè)試，即便是第一年使用計(jì)算機(jī)輔助審計(jì)技術(shù)進(jìn)行審計(jì)，也會(huì)節(jié)省大量的審計(jì)工作量，而后續(xù)年度節(jié)約的審計(jì)時(shí)間和成本則會(huì)更多。 （二）計(jì)算機(jī)輔助審計(jì)技術(shù)應(yīng)用 最廣泛地應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)的領(lǐng)域是實(shí)質(zhì)性程序，特別是在與分析程序相關(guān)的方面。除此以外，計(jì)算機(jī)輔助審計(jì)技術(shù)還能被用于詳細(xì)測(cè)試（包括目標(biāo)測(cè)試）以及對(duì)審計(jì)抽樣的輔助。計(jì)算機(jī)輔助審計(jì)技術(shù)使得對(duì)系統(tǒng)中的每一筆交易進(jìn)行

29、測(cè)試成為可能，用于在交易樣本量很大的情況下替代手工測(cè)試。 與其他控制測(cè)試相同，計(jì)算機(jī)輔助審計(jì)技術(shù)也可用于測(cè)試控制的有效性，選擇少量的交易，并在系統(tǒng)中進(jìn)行穿行測(cè)試，或是開(kāi)發(fā)一套集成的測(cè)試工具，用于測(cè)試系統(tǒng)中的某些交易。在控制測(cè)試中使用計(jì)算機(jī)輔助審計(jì)技術(shù)的優(yōu)勢(shì)是，可以對(duì)每一筆交易進(jìn)行測(cè)試（包括主文件和交易文件），從而確定是否存在控制失效的情況。 由于計(jì)算機(jī)輔助審計(jì)技術(shù)有助于詳審海量數(shù)據(jù)，它也可用于輔助對(duì)舞弊的檢查工作（如審閱非正常的日記賬）。 二、電子表格 即使在信息化程度極高的環(huán)境下，由于系統(tǒng)限制等原因，財(cái)務(wù)信息和報(bào)告的生成往往還需要借助電子表格來(lái)完成，所謂電子表格是指利用計(jì)算機(jī)作為表格處理工具，以實(shí)現(xiàn)制表工具、計(jì)算工具以及表格