审计实务与案例（第5版）计算机信息技术与审计

审计学：实务与案例

计算机信息技术与审计

目标1-1了解计算机信息技术与财务报表的关系学习目标目标1-2了解计算机信息技术对审计的影响目标1-3熟悉计算机信息技术环境下财务报表审计目标目标1-4目标1-5目标1-6目标1-7掌握计算机信息技术环境下财务报表审计范围熟悉人工控制和自动控制的各自运用领域和优势掌握信息技术一般控制测试掌握信息技术应用控制测试目标1-8掌握信息系统对控制风险和实质性程序的影响目标1-9掌握利用计算机辅助审计技术和电子表格进行审计财务信息化未来发展十大趋势信息系统给企业编制和运用财务报表带来变化(1)计算机输入和输出设备代替了手工记录;(2)计算机显示屏和电子影像代替了纸质凭证;(3)计算机文档代替了纸质日记账和分类账;(4)灵活多样的报告代替了固定的定期报告;(5)以企业资源计划(ERP)、制造资源计划(MRP-Ⅱ)为代表的

企业信息系统的高度集成化,使得单独的财务系统不复存在,财务报表数据更加充分,信息实现实时共享;(6)任何一个错报都可能被放大,且传递速度快。计算机信息技术对审计的影响

1.对审计线索的影响2.对审计技术手段的影响当面临不太复杂的IT环境时,比如在信息技术不会对传统的审计线索产生重大影响的情况下,注册会计师可采取传统方式进行审计,即“绕过计算机进行审计”。当面临较为复杂的IT环境时,则需要“穿过计算机进行审计”。3.对内部控制的影响4.对审计内容的影响5.对审计效率的影响6.对审计风险的影响7.对注册会计师的影响计算机信息技术环境下财务报表审计目标

信息技术在企业中的应用并不改变注册会计师制定的财务报表审计目标。执行财务报表审计工作的总体目标是:对财务报表整体是否不存在由于舞弊或错误导致的重大错报获取合理保证,对财务报表是否在所有重大方面按照适用的财务报告编制基础编制发表审计意见;按照审计准则的规定,根据审计结果对财务报表出具审计报告,并与管理层和治理层沟通。

实务中,财务报表审计一般目标分解为如下具体审计目标。实例1-1(多选题)在信息技术环境下,传统的人工控制日益被自动控制所替代的原因有()。A.自动控制可以处理大额、异常或偶发交易B.自动控制能够有效处理大流量交易及数据C.自动控制能够提高信息的及时性、准确性D.自动控制能够提高管理层对企业业务活动及相关政策的监督水平计算机信息技术环境下财务报表审计范围

信息技术环境下,出现了新的信息载体,如网络、磁带、磁盘等。注册会计师还要对会计电算化信息系统本身进行审计,包括对会计信息系统的开发与设计、会计软件的程序、会计信息系统的控制等进行审计。不同的被审计单位,其流程和信息系统各具特点,注册会计师制定审计计划时应据此包含不同的信息技术审计内容。在计划依赖自动控制或自动信息系统生成的信息时,注册会计师应当适当扩大信息技术审计的范围。

信息技术审计的范围与被审计单位在业务流程及信息系统方面的复杂度成正比,注册会计师在制定审计策略时,需要结合被审计单位业务流程复杂度,信息系统复杂度,系统生成的交易数量、信息和复杂计算的数量以及信息技术环境的规模和复杂度等四个方面,对信息技术审计范围进行适当的考虑。信息系统测试范围

对信息系统的依赖程度了解与评估系统环境(是/否)验证人工控制(是/否)验证信息系统应用控制(是/否)了解、验证信息系统一般控制(是/否)不依赖是否否否仅依赖人工控制,此类人工控制不依赖信息系统所生成的信息或报告是是否否仅依赖人工控制,此类人工控制依赖信息系统所生成的信息或报告,审计需要通过实质性程序来验证控制有效性是是否否同时依赖人工及自动控制是是是是信息技术一般控制审计

注册会计师应清楚记录信息技术一般控制与关键的自动应用控制及接口、关键的自动会计程序、关键手工控制使用的系统生成数据和报告，或生成手工日记账时使用系统生成的数据和报告的关系。由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行，注册会计师需要对上述三个领域实施控制测试。信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。信息技术应用控制测试

信息技术应用控制一般要经过输入、处理及输出等环节,和人工控制一样,自动控制同样关注信息处理目标的四个要素:完整性、准确性、授权和访问限制,信息技术应用控制测试的目标及其程序。项目测试目标测试程序举例1完整性(1)检查顺序标号,以保证系统中每笔日记账都是唯一的,并且系统不会接受相同编号或者编号范围外的凭证。此时,需要系统提供一个有编号凭证的报告,如果存在例外,需要相关人员调查跟进。(2)编辑检查,以确保无重复交易录入,比如在发票付款时检查发票编号。2准确性(1)编辑检查,包括限制检查、合理性检查、存在性检查和格式检查等。(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。3授权(1)测试交易流程是否包含恰当的授权。(2)将客户、供应商、发票和采购订单等信息与现有数据进行比较。4访问限制(1)测试某些特殊的会计记录的访问是否经过数据所有者的正式授权。管理层必须定期检查系统的访问权限来确保只有经过授权的用户才能够拥有访问权限,并且符合职责分离原则。如果存在例外,应当进一步调查。(2)测试访问控制是否满足适当的职责分离的要求。(3)检查访问密码是否定期更换,并且在规定次数内不能重复;定期生成多次登录失败导致用户账号锁定的报告,管理层必须跟踪这些登录失败的具体原因。人工控制与自动控制的对比项目人工控制自动控制适用范围(1)存在大额、异常或偶发的交易(2)存在难以界定、预计或预测的错误的情况(3)应对情况的变化,需要对现有的自动控制进行调整(4)监督自动化控制的有效性(1)需要处理大量的交易或数据时(2)需要提高信息的及时性、可获得性及准确性时(3)需要深入分析信息时(4)需要加强对被审计单位政策和程序执行情况的监督时(5)需要降低控制被规避的风险时(6)需要通过对操作系统、应用程序系统和数据库系统实施安全控制,提高不相容职务分离的有效性时风险(1)人工控制可能更容易被规避、忽视或凌驾(2)人工控制可能不具有一贯性(3)人工控制可能更容易产生简单错误或失误(1)系统或程序未能正确处理数据,或处理了不正确的数据,或两种情况并存(2)在未得到授权的情况下访问数据,可能导致数据的毁损或对数据不恰当的修改,包括记录未经授权或不存在的交易,或不正确地记录了交易(3)多个用户同时访问同一数据库可能会造成特定风险(4)技术人员可能获得超越其职责的数据访问权限,破坏系统应有的职责分工(5)未经授权改变主文档的数据(6)未经授权改变系统或程序(7)未能对系统或程序做出必要的修改(8)不恰当的人为干预,或人为绕过自动控制(9)数据丢失的风险或不能访问所需要的数据,如系统瘫痪

实例1-2(单选题)下列有关信息技术对审计过程的影响的提法中,不正确的是()。A.信息技术在企业中的应用会改变注册会计师制定的审计目标B.系统的设计和运行会对了解业务流程和控制产生直接影响C.系统的设计和运行会对评价审计风险产生直接影响D.在高度电算化的信息环境中,业务活动和业务流程引发了新的风险,从而使具体控制活动的性质有所改变14实例1-3(单选题)下列各项中,有关数据分析的说法正确的是()。A.数据分析仅应用于审计业务B.数据分析可以使非专业人员以图形化的方式方便快速查看结果C.数据分析工具不能提高审计质量D.数据分析工具可以用于分析性程序,但不能用于控制测试实例1-4(分析题)今明会计师事务所[本文的实例均源自实践,但为了保密,公司名称统一用华兴公司、晋美公司、甲公司、A公司等代替,事务所名称统一用今明会计师事务所、金华会计师事务所等代替。人名统一用李明、张伟等代替。尽管使用统一的代名词,但每个实例都是独立的。]为了提高审计效率和审计规范性,购买了一套年度财务报表的审计软件。项目经理李明带队运用审计软件进行年报审计一年后,提出了如下需要思考的问题:(1)注册会计师原来在审计现场忙于抽取凭证和检查会计账簿,现在到审计现场,首先协商解决的是采集哪些数据以及采集数据的接口问题,然后就是“倒数据”。由于企业会计软件系统不同,会计数据格式五花八门,会计数据的采集及转化成为利用审计软件进行审计的关键,但如何控制会计数据的采集及转化的风险呢?(2)审计华兴公司年度财务报表时,华兴公司的会计人员告诉李明他们安装了一种对顾客应收账款和账龄进行分析的程序,用以分析应收账款账龄及其可收回性,建议李明直接采集该计算机生成的应收账款账龄资料。李明决定用该公司应收账款数据文件的电子副本采集数据,利用事务所的审计软件重新计算应收账款账龄,结果发现测试结果与公司计算的账龄存在重大差异,追查原因发现华兴公司程序员的错误导致了公司在计算账龄软件的设计上存在错误。此后,李明对计算机生成的数据不敢信赖,每次都坚持从被审计单位最原始的数据库采集会计数据。在年报审计中,被审计单位计算机生成的数据如何才能让人信赖呢