審計(jì)實(shí)務(wù)與案例（第5版）計(jì)算機(jī)信息技術(shù)與審計(jì)

審計(jì)學(xué)：實(shí)務(wù)與案例

計(jì)算機(jī)信息技術(shù)與審計(jì)

目標(biāo)1-1了解計(jì)算機(jī)信息技術(shù)與財(cái)務(wù)報(bào)表的關(guān)系學(xué)習(xí)目標(biāo)目標(biāo)1-2了解計(jì)算機(jī)信息技術(shù)對(duì)審計(jì)的影響目標(biāo)1-3熟悉計(jì)算機(jī)信息技術(shù)環(huán)境下財(cái)務(wù)報(bào)表審計(jì)目標(biāo)目標(biāo)1-4目標(biāo)1-5目標(biāo)1-6目標(biāo)1-7掌握計(jì)算機(jī)信息技術(shù)環(huán)境下財(cái)務(wù)報(bào)表審計(jì)范圍熟悉人工控制和自動(dòng)控制的各自運(yùn)用領(lǐng)域和優(yōu)勢(shì)掌握信息技術(shù)一般控制測(cè)試掌握信息技術(shù)應(yīng)用控制測(cè)試目標(biāo)1-8掌握信息系統(tǒng)對(duì)控制風(fēng)險(xiǎn)和實(shí)質(zhì)性程序的影響目標(biāo)1-9掌握利用計(jì)算機(jī)輔助審計(jì)技術(shù)和電子表格進(jìn)行審計(jì)財(cái)務(wù)信息化未來發(fā)展十大趨勢(shì)信息系統(tǒng)給企業(yè)編制和運(yùn)用財(cái)務(wù)報(bào)表帶來變化(1)計(jì)算機(jī)輸入和輸出設(shè)備代替了手工記錄;(2)計(jì)算機(jī)顯示屏和電子影像代替了紙質(zhì)憑證;(3)計(jì)算機(jī)文檔代替了紙質(zhì)日記賬和分類賬;(4)靈活多樣的報(bào)告代替了固定的定期報(bào)告;(5)以企業(yè)資源計(jì)劃(ERP)、制造資源計(jì)劃(MRP-Ⅱ)為代表的

企業(yè)信息系統(tǒng)的高度集成化,使得單獨(dú)的財(cái)務(wù)系統(tǒng)不復(fù)存在,財(cái)務(wù)報(bào)表數(shù)據(jù)更加充分,信息實(shí)現(xiàn)實(shí)時(shí)共享;(6)任何一個(gè)錯(cuò)報(bào)都可能被放大,且傳遞速度快。計(jì)算機(jī)信息技術(shù)對(duì)審計(jì)的影響

1.對(duì)審計(jì)線索的影響2.對(duì)審計(jì)技術(shù)手段的影響當(dāng)面臨不太復(fù)雜的IT環(huán)境時(shí),比如在信息技術(shù)不會(huì)對(duì)傳統(tǒng)的審計(jì)線索產(chǎn)生重大影響的情況下,注冊(cè)會(huì)計(jì)師可采取傳統(tǒng)方式進(jìn)行審計(jì),即“繞過計(jì)算機(jī)進(jìn)行審計(jì)”。當(dāng)面臨較為復(fù)雜的IT環(huán)境時(shí),則需要“穿過計(jì)算機(jī)進(jìn)行審計(jì)”。3.對(duì)內(nèi)部控制的影響4.對(duì)審計(jì)內(nèi)容的影響5.對(duì)審計(jì)效率的影響6.對(duì)審計(jì)風(fēng)險(xiǎn)的影響7.對(duì)注冊(cè)會(huì)計(jì)師的影響計(jì)算機(jī)信息技術(shù)環(huán)境下財(cái)務(wù)報(bào)表審計(jì)目標(biāo)

信息技術(shù)在企業(yè)中的應(yīng)用并不改變注冊(cè)會(huì)計(jì)師制定的財(cái)務(wù)報(bào)表審計(jì)目標(biāo)。執(zhí)行財(cái)務(wù)報(bào)表審計(jì)工作的總體目標(biāo)是:對(duì)財(cái)務(wù)報(bào)表整體是否不存在由于舞弊或錯(cuò)誤導(dǎo)致的重大錯(cuò)報(bào)獲取合理保證,對(duì)財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制基礎(chǔ)編制發(fā)表審計(jì)意見;按照審計(jì)準(zhǔn)則的規(guī)定,根據(jù)審計(jì)結(jié)果對(duì)財(cái)務(wù)報(bào)表出具審計(jì)報(bào)告,并與管理層和治理層溝通。

實(shí)務(wù)中,財(cái)務(wù)報(bào)表審計(jì)一般目標(biāo)分解為如下具體審計(jì)目標(biāo)。實(shí)例1-1(多選題)在信息技術(shù)環(huán)境下,傳統(tǒng)的人工控制日益被自動(dòng)控制所替代的原因有()。A.自動(dòng)控制可以處理大額、異?；蚺及l(fā)交易B.自動(dòng)控制能夠有效處理大流量交易及數(shù)據(jù)C.自動(dòng)控制能夠提高信息的及時(shí)性、準(zhǔn)確性D.自動(dòng)控制能夠提高管理層對(duì)企業(yè)業(yè)務(wù)活動(dòng)及相關(guān)政策的監(jiān)督水平計(jì)算機(jī)信息技術(shù)環(huán)境下財(cái)務(wù)報(bào)表審計(jì)范圍

信息技術(shù)環(huán)境下,出現(xiàn)了新的信息載體,如網(wǎng)絡(luò)、磁帶、磁盤等。注冊(cè)會(huì)計(jì)師還要對(duì)會(huì)計(jì)電算化信息系統(tǒng)本身進(jìn)行審計(jì),包括對(duì)會(huì)計(jì)信息系統(tǒng)的開發(fā)與設(shè)計(jì)、會(huì)計(jì)軟件的程序、會(huì)計(jì)信息系統(tǒng)的控制等進(jìn)行審計(jì)。不同的被審計(jì)單位,其流程和信息系統(tǒng)各具特點(diǎn),注冊(cè)會(huì)計(jì)師制定審計(jì)計(jì)劃時(shí)應(yīng)據(jù)此包含不同的信息技術(shù)審計(jì)內(nèi)容。在計(jì)劃依賴自動(dòng)控制或自動(dòng)信息系統(tǒng)生成的信息時(shí),注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)適當(dāng)擴(kuò)大信息技術(shù)審計(jì)的范圍。

信息技術(shù)審計(jì)的范圍與被審計(jì)單位在業(yè)務(wù)流程及信息系統(tǒng)方面的復(fù)雜度成正比,注冊(cè)會(huì)計(jì)師在制定審計(jì)策略時(shí),需要結(jié)合被審計(jì)單位業(yè)務(wù)流程復(fù)雜度,信息系統(tǒng)復(fù)雜度,系統(tǒng)生成的交易數(shù)量、信息和復(fù)雜計(jì)算的數(shù)量以及信息技術(shù)環(huán)境的規(guī)模和復(fù)雜度等四個(gè)方面,對(duì)信息技術(shù)審計(jì)范圍進(jìn)行適當(dāng)?shù)目紤]。信息系統(tǒng)測(cè)試范圍

對(duì)信息系統(tǒng)的依賴程度了解與評(píng)估系統(tǒng)環(huán)境(是/否)驗(yàn)證人工控制(是/否)驗(yàn)證信息系統(tǒng)應(yīng)用控制(是/否)了解、驗(yàn)證信息系統(tǒng)一般控制(是/否)不依賴是否否否僅依賴人工控制,此類人工控制不依賴信息系統(tǒng)所生成的信息或報(bào)告是是否否僅依賴人工控制,此類人工控制依賴信息系統(tǒng)所生成的信息或報(bào)告,審計(jì)需要通過實(shí)質(zhì)性程序來驗(yàn)證控制有效性是是否否同時(shí)依賴人工及自動(dòng)控制是是是是信息技術(shù)一般控制審計(jì)

注冊(cè)會(huì)計(jì)師應(yīng)清楚記錄信息技術(shù)一般控制與關(guān)鍵的自動(dòng)應(yīng)用控制及接口、關(guān)鍵的自動(dòng)會(huì)計(jì)程序、關(guān)鍵手工控制使用的系統(tǒng)生成數(shù)據(jù)和報(bào)告，或生成手工日記賬時(shí)使用系統(tǒng)生成的數(shù)據(jù)和報(bào)告的關(guān)系。由于程序變更控制、計(jì)算機(jī)操作控制及程序數(shù)據(jù)訪問控制影響到系統(tǒng)驅(qū)動(dòng)組件的持續(xù)有效運(yùn)行，注冊(cè)會(huì)計(jì)師需要對(duì)上述三個(gè)領(lǐng)域?qū)嵤┛刂茰y(cè)試。信息技術(shù)一般控制包括程序開發(fā)、程序變更、程序和數(shù)據(jù)訪問以及計(jì)算機(jī)運(yùn)行等四個(gè)方面。信息技術(shù)應(yīng)用控制測(cè)試

信息技術(shù)應(yīng)用控制一般要經(jīng)過輸入、處理及輸出等環(huán)節(jié),和人工控制一樣,自動(dòng)控制同樣關(guān)注信息處理目標(biāo)的四個(gè)要素:完整性、準(zhǔn)確性、授權(quán)和訪問限制,信息技術(shù)應(yīng)用控制測(cè)試的目標(biāo)及其程序。項(xiàng)目測(cè)試目標(biāo)測(cè)試程序舉例1完整性(1)檢查順序標(biāo)號(hào),以保證系統(tǒng)中每筆日記賬都是唯一的,并且系統(tǒng)不會(huì)接受相同編號(hào)或者編號(hào)范圍外的憑證。此時(shí),需要系統(tǒng)提供一個(gè)有編號(hào)憑證的報(bào)告,如果存在例外,需要相關(guān)人員調(diào)查跟進(jìn)。(2)編輯檢查,以確保無重復(fù)交易錄入,比如在發(fā)票付款時(shí)檢查發(fā)票編號(hào)。2準(zhǔn)確性(1)編輯檢查,包括限制檢查、合理性檢查、存在性檢查和格式檢查等。(2)將客戶、供應(yīng)商、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。3授權(quán)(1)測(cè)試交易流程是否包含恰當(dāng)?shù)氖跈?quán)。(2)將客戶、供應(yīng)商、發(fā)票和采購(gòu)訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。4訪問限制(1)測(cè)試某些特殊的會(huì)計(jì)記錄的訪問是否經(jīng)過數(shù)據(jù)所有者的正式授權(quán)。管理層必須定期檢查系統(tǒng)的訪問權(quán)限來確保只有經(jīng)過授權(quán)的用戶才能夠擁有訪問權(quán)限,并且符合職責(zé)分離原則。如果存在例外,應(yīng)當(dāng)進(jìn)一步調(diào)查。(2)測(cè)試訪問控制是否滿足適當(dāng)?shù)穆氊?zé)分離的要求。(3)檢查訪問密碼是否定期更換,并且在規(guī)定次數(shù)內(nèi)不能重復(fù);定期生成多次登錄失敗導(dǎo)致用戶賬號(hào)鎖定的報(bào)告,管理層必須跟蹤這些登錄失敗的具體原因。人工控制與自動(dòng)控制的對(duì)比項(xiàng)目人工控制自動(dòng)控制適用范圍(1)存在大額、異?；蚺及l(fā)的交易(2)存在難以界定、預(yù)計(jì)或預(yù)測(cè)的錯(cuò)誤的情況(3)應(yīng)對(duì)情況的變化,需要對(duì)現(xiàn)有的自動(dòng)控制進(jìn)行調(diào)整(4)監(jiān)督自動(dòng)化控制的有效性(1)需要處理大量的交易或數(shù)據(jù)時(shí)(2)需要提高信息的及時(shí)性、可獲得性及準(zhǔn)確性時(shí)(3)需要深入分析信息時(shí)(4)需要加強(qiáng)對(duì)被審計(jì)單位政策和程序執(zhí)行情況的監(jiān)督時(shí)(5)需要降低控制被規(guī)避的風(fēng)險(xiǎn)時(shí)(6)需要通過對(duì)操作系統(tǒng)、應(yīng)用程序系統(tǒng)和數(shù)據(jù)庫系統(tǒng)實(shí)施安全控制,提高不相容職務(wù)分離的有效性時(shí)風(fēng)險(xiǎn)(1)人工控制可能更容易被規(guī)避、忽視或凌駕(2)人工控制可能不具有一貫性(3)人工控制可能更容易產(chǎn)生簡(jiǎn)單錯(cuò)誤或失誤(1)系統(tǒng)或程序未能正確處理數(shù)據(jù),或處理了不正確的數(shù)據(jù),或兩種情況并存(2)在未得到授權(quán)的情況下訪問數(shù)據(jù),可能導(dǎo)致數(shù)據(jù)的毀損或?qū)?shù)據(jù)不恰當(dāng)?shù)男薷?包括記錄未經(jīng)授權(quán)或不存在的交易,或不正確地記錄了交易(3)多個(gè)用戶同時(shí)訪問同一數(shù)據(jù)庫可能會(huì)造成特定風(fēng)險(xiǎn)(4)技術(shù)人員可能獲得超越其職責(zé)的數(shù)據(jù)訪問權(quán)限,破壞系統(tǒng)應(yīng)有的職責(zé)分工(5)未經(jīng)授權(quán)改變主文檔的數(shù)據(jù)(6)未經(jīng)授權(quán)改變系統(tǒng)或程序(7)未能對(duì)系統(tǒng)或程序做出必要的修改(8)不恰當(dāng)?shù)娜藶楦深A(yù),或人為繞過自動(dòng)控制(9)數(shù)據(jù)丟失的風(fēng)險(xiǎn)或不能訪問所需要的數(shù)據(jù),如系統(tǒng)癱瘓

實(shí)例1-2(單選題)下列有關(guān)信息技術(shù)對(duì)審計(jì)過程的影響的提法中,不正確的是()。A.信息技術(shù)在企業(yè)中的應(yīng)用會(huì)改變注冊(cè)會(huì)計(jì)師制定的審計(jì)目標(biāo)B.系統(tǒng)的設(shè)計(jì)和運(yùn)行會(huì)對(duì)了解業(yè)務(wù)流程和控制產(chǎn)生直接影響C.系統(tǒng)的設(shè)計(jì)和運(yùn)行會(huì)對(duì)評(píng)價(jià)審計(jì)風(fēng)險(xiǎn)產(chǎn)生直接影響D.在高度電算化的信息環(huán)境中,業(yè)務(wù)活動(dòng)和業(yè)務(wù)流程引發(fā)了新的風(fēng)險(xiǎn),從而使具體控制活動(dòng)的性質(zhì)有所改變14實(shí)例1-3(單選題)下列各項(xiàng)中,有關(guān)數(shù)據(jù)分析的說法正確的是()。A.數(shù)據(jù)分析僅應(yīng)用于審計(jì)業(yè)務(wù)B.數(shù)據(jù)分析可以使非專業(yè)人員以圖形化的方式方便快速查看結(jié)果C.數(shù)據(jù)分析工具不能提高審計(jì)質(zhì)量D.數(shù)據(jù)分析工具可以用于分析性程序,但不能用于控制測(cè)試實(shí)例1-4(分析題)今明會(huì)計(jì)師事務(wù)所[本文的實(shí)例均源自實(shí)踐,但為了保密,公司名稱統(tǒng)一用華興公司、晉美公司、甲公司、A公司等代替,事務(wù)所名稱統(tǒng)一用今明會(huì)計(jì)師事務(wù)所、金華會(huì)計(jì)師事務(wù)所等代替。人名統(tǒng)一用李明、張偉等代替。盡管使用統(tǒng)一的代名詞,但每個(gè)實(shí)例都是獨(dú)立的。]為了提高審計(jì)效率和審計(jì)規(guī)范性,購(gòu)買了一套年度財(cái)務(wù)報(bào)表的審計(jì)軟件。項(xiàng)目經(jīng)理李明帶隊(duì)運(yùn)用審計(jì)軟件進(jìn)行年報(bào)審計(jì)一年后,提出了如下需要思考的問題:(1)注冊(cè)會(huì)計(jì)師原來在審計(jì)現(xiàn)場(chǎng)忙于抽取憑證和檢查會(huì)計(jì)賬簿,現(xiàn)在到審計(jì)現(xiàn)場(chǎng),首先協(xié)商解決的是采集哪些數(shù)據(jù)以及采集數(shù)據(jù)的接口問題,然后就是“倒數(shù)據(jù)”。由于企業(yè)會(huì)計(jì)軟件系統(tǒng)不同,會(huì)計(jì)數(shù)據(jù)格式五花八門,會(huì)計(jì)數(shù)據(jù)的采集及轉(zhuǎn)化成為利用審計(jì)軟件進(jìn)行審計(jì)的關(guān)鍵,但如何控制會(huì)計(jì)數(shù)據(jù)的采集及轉(zhuǎn)化的風(fēng)險(xiǎn)呢?(2)審計(jì)華興公司年度財(cái)務(wù)報(bào)表時(shí),華興公司的會(huì)計(jì)人員告訴李明他們安裝了一種對(duì)顧客應(yīng)收賬款和賬齡進(jìn)行分析的程序,用以分析應(yīng)收賬款賬齡及其可收回性,建議李明直接采集該計(jì)算機(jī)生成的應(yīng)收賬款賬齡資料。李明決定用該公司應(yīng)收賬款數(shù)據(jù)文件的電子副本采集數(shù)據(jù),利用事務(wù)所的審計(jì)軟件重新計(jì)算應(yīng)收賬款賬齡,結(jié)果發(fā)現(xiàn)測(cè)試結(jié)果與公司計(jì)算的賬齡存在重大差異,追查原因發(fā)現(xiàn)華興公司程序員的錯(cuò)誤導(dǎo)致了公司在計(jì)算賬齡軟件的設(shè)計(jì)上存在錯(cuò)誤。此后,李明對(duì)計(jì)算機(jī)生成的數(shù)據(jù)不敢信賴,每次都堅(jiān)持從被審計(jì)單位最原始的數(shù)據(jù)庫采集會(huì)計(jì)數(shù)據(jù)。在年報(bào)審計(jì)中,被審計(jì)單位計(jì)算機(jī)生成的數(shù)據(jù)如何才能讓人信賴呢