審計實務與案例（第5版）計算機信息技術與審計

審計學：實務與案例

計算機信息技術與審計

目標1-1了解計算機信息技術與財務報表的關系學習目標目標1-2了解計算機信息技術對審計的影響目標1-3熟悉計算機信息技術環(huán)境下財務報表審計目標目標1-4目標1-5目標1-6目標1-7掌握計算機信息技術環(huán)境下財務報表審計范圍熟悉人工控制和自動控制的各自運用領域和優(yōu)勢掌握信息技術一般控制測試掌握信息技術應用控制測試目標1-8掌握信息系統(tǒng)對控制風險和實質性程序的影響目標1-9掌握利用計算機輔助審計技術和電子表格進行審計財務信息化未來發(fā)展十大趨勢信息系統(tǒng)給企業(yè)編制和運用財務報表帶來變化(1)計算機輸入和輸出設備代替了手工記錄;(2)計算機顯示屏和電子影像代替了紙質憑證;(3)計算機文檔代替了紙質日記賬和分類賬;(4)靈活多樣的報告代替了固定的定期報告;(5)以企業(yè)資源計劃(ERP)、制造資源計劃(MRP-Ⅱ)為代表的

企業(yè)信息系統(tǒng)的高度集成化,使得單獨的財務系統(tǒng)不復存在,財務報表數(shù)據(jù)更加充分,信息實現(xiàn)實時共享;(6)任何一個錯報都可能被放大,且傳遞速度快。計算機信息技術對審計的影響

1.對審計線索的影響2.對審計技術手段的影響當面臨不太復雜的IT環(huán)境時,比如在信息技術不會對傳統(tǒng)的審計線索產生重大影響的情況下,注冊會計師可采取傳統(tǒng)方式進行審計,即“繞過計算機進行審計”。當面臨較為復雜的IT環(huán)境時,則需要“穿過計算機進行審計”。3.對內部控制的影響4.對審計內容的影響5.對審計效率的影響6.對審計風險的影響7.對注冊會計師的影響計算機信息技術環(huán)境下財務報表審計目標

信息技術在企業(yè)中的應用并不改變注冊會計師制定的財務報表審計目標。執(zhí)行財務報表審計工作的總體目標是:對財務報表整體是否不存在由于舞弊或錯誤導致的重大錯報獲取合理保證,對財務報表是否在所有重大方面按照適用的財務報告編制基礎編制發(fā)表審計意見;按照審計準則的規(guī)定,根據(jù)審計結果對財務報表出具審計報告,并與管理層和治理層溝通。

實務中,財務報表審計一般目標分解為如下具體審計目標。實例1-1(多選題)在信息技術環(huán)境下,傳統(tǒng)的人工控制日益被自動控制所替代的原因有()。A.自動控制可以處理大額、異?；蚺及l(fā)交易B.自動控制能夠有效處理大流量交易及數(shù)據(jù)C.自動控制能夠提高信息的及時性、準確性D.自動控制能夠提高管理層對企業(yè)業(yè)務活動及相關政策的監(jiān)督水平計算機信息技術環(huán)境下財務報表審計范圍

信息技術環(huán)境下,出現(xiàn)了新的信息載體,如網絡、磁帶、磁盤等。注冊會計師還要對會計電算化信息系統(tǒng)本身進行審計,包括對會計信息系統(tǒng)的開發(fā)與設計、會計軟件的程序、會計信息系統(tǒng)的控制等進行審計。不同的被審計單位,其流程和信息系統(tǒng)各具特點,注冊會計師制定審計計劃時應據(jù)此包含不同的信息技術審計內容。在計劃依賴自動控制或自動信息系統(tǒng)生成的信息時,注冊會計師應當適當擴大信息技術審計的范圍。

信息技術審計的范圍與被審計單位在業(yè)務流程及信息系統(tǒng)方面的復雜度成正比,注冊會計師在制定審計策略時,需要結合被審計單位業(yè)務流程復雜度,信息系統(tǒng)復雜度,系統(tǒng)生成的交易數(shù)量、信息和復雜計算的數(shù)量以及信息技術環(huán)境的規(guī)模和復雜度等四個方面,對信息技術審計范圍進行適當?shù)目紤]。信息系統(tǒng)測試范圍

對信息系統(tǒng)的依賴程度了解與評估系統(tǒng)環(huán)境(是/否)驗證人工控制(是/否)驗證信息系統(tǒng)應用控制(是/否)了解、驗證信息系統(tǒng)一般控制(是/否)不依賴是否否否僅依賴人工控制,此類人工控制不依賴信息系統(tǒng)所生成的信息或報告是是否否僅依賴人工控制,此類人工控制依賴信息系統(tǒng)所生成的信息或報告,審計需要通過實質性程序來驗證控制有效性是是否否同時依賴人工及自動控制是是是是信息技術一般控制審計

注冊會計師應清楚記錄信息技術一般控制與關鍵的自動應用控制及接口、關鍵的自動會計程序、關鍵手工控制使用的系統(tǒng)生成數(shù)據(jù)和報告，或生成手工日記賬時使用系統(tǒng)生成的數(shù)據(jù)和報告的關系。由于程序變更控制、計算機操作控制及程序數(shù)據(jù)訪問控制影響到系統(tǒng)驅動組件的持續(xù)有效運行，注冊會計師需要對上述三個領域實施控制測試。信息技術一般控制包括程序開發(fā)、程序變更、程序和數(shù)據(jù)訪問以及計算機運行等四個方面。信息技術應用控制測試

信息技術應用控制一般要經過輸入、處理及輸出等環(huán)節(jié),和人工控制一樣,自動控制同樣關注信息處理目標的四個要素:完整性、準確性、授權和訪問限制,信息技術應用控制測試的目標及其程序。項目測試目標測試程序舉例1完整性(1)檢查順序標號,以保證系統(tǒng)中每筆日記賬都是唯一的,并且系統(tǒng)不會接受相同編號或者編號范圍外的憑證。此時,需要系統(tǒng)提供一個有編號憑證的報告,如果存在例外,需要相關人員調查跟進。(2)編輯檢查,以確保無重復交易錄入,比如在發(fā)票付款時檢查發(fā)票編號。2準確性(1)編輯檢查,包括限制檢查、合理性檢查、存在性檢查和格式檢查等。(2)將客戶、供應商、發(fā)票和采購訂單等信息與現(xiàn)有數(shù)據(jù)進行比較。3授權(1)測試交易流程是否包含恰當?shù)氖跈唷?2)將客戶、供應商、發(fā)票和采購訂單等信息與現(xiàn)有數(shù)據(jù)進行比較。4訪問限制(1)測試某些特殊的會計記錄的訪問是否經過數(shù)據(jù)所有者的正式授權。管理層必須定期檢查系統(tǒng)的訪問權限來確保只有經過授權的用戶才能夠擁有訪問權限,并且符合職責分離原則。如果存在例外,應當進一步調查。(2)測試訪問控制是否滿足適當?shù)穆氊煼蛛x的要求。(3)檢查訪問密碼是否定期更換,并且在規(guī)定次數(shù)內不能重復;定期生成多次登錄失敗導致用戶賬號鎖定的報告,管理層必須跟蹤這些登錄失敗的具體原因。人工控制與自動控制的對比項目人工控制自動控制適用范圍(1)存在大額、異常或偶發(fā)的交易(2)存在難以界定、預計或預測的錯誤的情況(3)應對情況的變化,需要對現(xiàn)有的自動控制進行調整(4)監(jiān)督自動化控制的有效性(1)需要處理大量的交易或數(shù)據(jù)時(2)需要提高信息的及時性、可獲得性及準確性時(3)需要深入分析信息時(4)需要加強對被審計單位政策和程序執(zhí)行情況的監(jiān)督時(5)需要降低控制被規(guī)避的風險時(6)需要通過對操作系統(tǒng)、應用程序系統(tǒng)和數(shù)據(jù)庫系統(tǒng)實施安全控制,提高不相容職務分離的有效性時風險(1)人工控制可能更容易被規(guī)避、忽視或凌駕(2)人工控制可能不具有一貫性(3)人工控制可能更容易產生簡單錯誤或失誤(1)系統(tǒng)或程序未能正確處理數(shù)據(jù),或處理了不正確的數(shù)據(jù),或兩種情況并存(2)在未得到授權的情況下訪問數(shù)據(jù),可能導致數(shù)據(jù)的毀損或對數(shù)據(jù)不恰當?shù)男薷?包括記錄未經授權或不存在的交易,或不正確地記錄了交易(3)多個用戶同時訪問同一數(shù)據(jù)庫可能會造成特定風險(4)技術人員可能獲得超越其職責的數(shù)據(jù)訪問權限,破壞系統(tǒng)應有的職責分工(5)未經授權改變主文檔的數(shù)據(jù)(6)未經授權改變系統(tǒng)或程序(7)未能對系統(tǒng)或程序做出必要的修改(8)不恰當?shù)娜藶楦深A,或人為繞過自動控制(9)數(shù)據(jù)丟失的風險或不能訪問所需要的數(shù)據(jù),如系統(tǒng)癱瘓

實例1-2(單選題)下列有關信息技術對審計過程的影響的提法中,不正確的是()。A.信息技術在企業(yè)中的應用會改變注冊會計師制定的審計目標B.系統(tǒng)的設計和運行會對了解業(yè)務流程和控制產生直接影響C.系統(tǒng)的設計和運行會對評價審計風險產生直接影響D.在高度電算化的信息環(huán)境中,業(yè)務活動和業(yè)務流程引發(fā)了新的風險,從而使具體控制活動的性質有所改變14實例1-3(單選題)下列各項中,有關數(shù)據(jù)分析的說法正確的是()。A.數(shù)據(jù)分析僅應用于審計業(yè)務B.數(shù)據(jù)分析可以使非專業(yè)人員以圖形化的方式方便快速查看結果C.數(shù)據(jù)分析工具不能提高審計質量D.數(shù)據(jù)分析工具可以用于分析性程序,但不能用于控制測試實例1-4(分析題)今明會計師事務所[本文的實例均源自實踐,但為了保密,公司名稱統(tǒng)一用華興公司、晉美公司、甲公司、A公司等代替,事務所名稱統(tǒng)一用今明會計師事務所、金華會計師事務所等代替。人名統(tǒng)一用李明、張偉等代替。盡管使用統(tǒng)一的代名詞,但每個實例都是獨立的。]為了提高審計效率和審計規(guī)范性,購買了一套年度財務報表的審計軟件。項目經理李明帶隊運用審計軟件進行年報審計一年后,提出了如下需要思考的問題:(1)注冊會計師原來在審計現(xiàn)場忙于抽取憑證和檢查會計賬簿,現(xiàn)在到審計現(xiàn)場,首先協(xié)商解決的是采集哪些數(shù)據(jù)以及采集數(shù)據(jù)的接口問題,然后就是“倒數(shù)據(jù)”。由于企業(yè)會計軟件系統(tǒng)不同,會計數(shù)據(jù)格式五花八門,會計數(shù)據(jù)的采集及轉化成為利用審計軟件進行審計的關鍵,但如何控制會計數(shù)據(jù)的采集及轉化的風險呢?(2)審計華興公司年度財務報表時,華興公司的會計人員告訴李明他們安裝了一種對顧客應收賬款和賬齡進行分析的程序,用以分析應收賬款賬齡及其可收回性,建議李明直接采集該計算機生成的應收賬款賬齡資料。李明決定用該公司應收賬款數(shù)據(jù)文件的電子副本采集數(shù)據(jù),利用事務所的審計軟件重新計算應收賬款賬齡,結果發(fā)現(xiàn)測試結果與公司計算的賬齡存在重大差異,追查原因發(fā)現(xiàn)華興公司程序員的錯誤導致了公司在計算賬齡軟件的設計上存在錯誤。此后,李明對計算機生成的數(shù)據(jù)不敢信賴,每次都堅持從被審計單位最原始的數(shù)據(jù)庫采集會計數(shù)據(jù)。在年報審計中,被審計單位計算機生成的數(shù)據(jù)如何才能讓人信賴呢