淺析信息技術(shù)隊(duì)審計(jì)的影響

1、. . . . 第十一章 信息技術(shù)隊(duì)審計(jì)的影響第一節(jié) 信息技術(shù)隊(duì)審計(jì)過程的影響一、信息技術(shù)的概念從廣義上講，凡是能擴(kuò)展人類信息功能的技術(shù)，都是信息技術(shù)。具體而言，信息技術(shù)是指利用電子計(jì)算機(jī)和現(xiàn)代通信手段實(shí)現(xiàn)獲取信息、傳遞信息、存儲(chǔ)信息、處理信息、顯示信息、分配信息等的相關(guān)技術(shù)?，F(xiàn)代通信技術(shù)是指20世紀(jì)70年代以來，隨著微電子技術(shù)、計(jì)算機(jī)技術(shù)和通信技術(shù)的發(fā)展，圍繞信息的產(chǎn)生、收集、存儲(chǔ)、處理、檢索和傳遞，形成的一個(gè)全新的用以開發(fā)和利用信息資源的高技術(shù)群，包括微電子技術(shù)、新型元器件技術(shù)、通信技術(shù)、計(jì)算機(jī)技術(shù)、各類軟件與系統(tǒng)集成技術(shù)、光盤技術(shù)、傳感技術(shù)、機(jī)器人技術(shù)、高清晰度電視技術(shù)等等。其中微電子技

2、術(shù)、計(jì)算機(jī)技術(shù)、軟件技術(shù)、通信技術(shù)是現(xiàn)代信息技術(shù)的核心。二、信息技術(shù)審計(jì)的演變?cè)谟?jì)算機(jī)產(chǎn)生以前，企業(yè)部的信息處理最初是以手工處理的方式進(jìn)行的。一個(gè)企業(yè)的會(huì)計(jì)部門，通過不同崗位之間的分工協(xié)作，將日常經(jīng)營(yíng)活動(dòng)中產(chǎn)生的財(cái)務(wù)資料進(jìn)行加工處理，形成企業(yè)部和外部下需要的各種紙質(zhì)會(huì)計(jì)信息。這種情況下的審計(jì)方式毫無疑問是手工形式。隨著計(jì)算機(jī)的普與尤其是微型計(jì)算機(jī)的大眾化，一些企業(yè)開始使用計(jì)算機(jī)來處理部分會(huì)計(jì)資料。例如，企業(yè)部自行開發(fā)的工資管理程序、存貨管理程序等，逐步由機(jī)器替代了部分人工勞動(dòng)。但由于計(jì)算機(jī)處理的圍還比較小，注冊(cè)會(huì)計(jì)師可以忽略計(jì)算機(jī)的存在，直接對(duì)打印出來的紙質(zhì)文檔進(jìn)行審計(jì)。由于會(huì)計(jì)信息技術(shù)化的大

3、規(guī)模普與，大部分企業(yè)的會(huì)計(jì)處理已經(jīng)實(shí)現(xiàn)信息化。注冊(cè)會(huì)計(jì)師開始意識(shí)到信息技術(shù)審計(jì)的重要性，但這時(shí)人們對(duì)信息技術(shù)審計(jì)的認(rèn)識(shí)還停留在對(duì)財(cái)務(wù)數(shù)據(jù)的采集和分析階段，注冊(cè)會(huì)計(jì)師仍然可以繞過信息系統(tǒng)，對(duì)財(cái)務(wù)數(shù)據(jù)和報(bào)表進(jìn)行核實(shí)，以獲取審計(jì)證據(jù)。伴隨著會(huì)計(jì)信息技術(shù)化的成熟，以ERP為代表的企業(yè)信息系統(tǒng)的高度集成逐漸開始興起。這時(shí)的企業(yè)信息系統(tǒng)部?jī)H僅是一個(gè)孤立的系統(tǒng)，而是集財(cái)務(wù)、人事、供銷、生產(chǎn)為一體的綜合性系統(tǒng)，財(cái)務(wù)信息只是這個(gè)系統(tǒng)所處理信息的一部分，因此，注冊(cè)會(huì)計(jì)師必須在規(guī)劃和執(zhí)行審計(jì)工作時(shí)對(duì)企業(yè)信息技術(shù)進(jìn)行全面考慮。三、信息技術(shù)和財(cái)務(wù)報(bào)告的關(guān)系企業(yè)可以運(yùn)用信息系統(tǒng)來創(chuàng)建、記錄、處理和報(bào)告各項(xiàng)交易，以衡量和審

4、查自身的財(cái)務(wù)業(yè)績(jī)，并持續(xù)記錄資產(chǎn)、負(fù)債與所有者權(quán)益。具體來講，創(chuàng)建是指企業(yè)可以采取手工或自動(dòng)的方式來創(chuàng)建各項(xiàng)交易信息；記錄是指信息系統(tǒng)識(shí)別并保留交易與事項(xiàng)的相關(guān)信息；處理是指企業(yè)可以采取手工或自動(dòng)的方式對(duì)信息系統(tǒng)的數(shù)據(jù)信息進(jìn)行編輯、確認(rèn)、計(jì)算、衡量、估價(jià)、分析、匯總和調(diào)整；報(bào)告是指企業(yè)以電子或打印的方式，編制財(cái)務(wù)報(bào)告和其他信息，并運(yùn)用上述信息來衡量和審查企業(yè)的財(cái)務(wù)業(yè)績(jī)與其他方面的職能。信息系統(tǒng)的使用，會(huì)給企業(yè)的管理和會(huì)計(jì)核算程序帶來很多重要的變化，包括：1、計(jì)算機(jī)輸入和輸出設(shè)備代替手工記錄；2、計(jì)算機(jī)顯示屏和電子影像代替了紙質(zhì)憑證；3、計(jì)算機(jī)文檔代替了紙質(zhì)日記賬和分類賬；4、網(wǎng)絡(luò)通信和電子代替

5、了公司間的郵寄；5、管理要求固化到應(yīng)用程序之中；6、靈活多樣的報(bào)告代替了公司間的郵寄；7、數(shù)據(jù)更加充分，信息實(shí)現(xiàn)共享；8、系統(tǒng)問題的存在比偶然性誤差更為普遍。信息系統(tǒng)形成的信息質(zhì)量影像企業(yè)編制財(cái)務(wù)報(bào)告、管理企業(yè)活動(dòng)和做出適當(dāng)?shù)墓芾頉Q策。因此，有效的信息系統(tǒng)需要實(shí)現(xiàn)下列功能并保留記錄結(jié)果：1、識(shí)別和記錄全部授權(quán)交易；2、與時(shí)、詳細(xì)記錄交易容，并在財(cái)務(wù)報(bào)告中對(duì)全部交易進(jìn)行適當(dāng)分類；3、衡量交易價(jià)值，并在財(cái)務(wù)報(bào)告中適當(dāng)體現(xiàn)相關(guān)價(jià)值；4、確定交易發(fā)生期間，并將交易記錄在適當(dāng)?shù)臅?huì)計(jì)期間；5、將相關(guān)交易信息在財(cái)務(wù)報(bào)告中作適當(dāng)披露。因此，注冊(cè)會(huì)計(jì)師在進(jìn)行財(cái)務(wù)報(bào)告審計(jì)時(shí)，如果依賴相關(guān)信息系統(tǒng)所形成的財(cái)務(wù)信息和

6、報(bào)告作為審計(jì)工作的依據(jù)，則必須考慮相關(guān)信息和報(bào)告的質(zhì)量，而財(cái)務(wù)報(bào)告相關(guān)的信息質(zhì)量是通過交易的錄入到輸出整個(gè)過程中適當(dāng)?shù)目刂苼韺?shí)現(xiàn)的，所以注冊(cè)會(huì)計(jì)師需要在整個(gè)過程中考慮你信息的準(zhǔn)確性、完整性、授權(quán)體系與訪問限制等四個(gè)方面。四、信息技術(shù)隊(duì)審計(jì)過程的影響信息技術(shù)在企業(yè)中的引用并不改變注冊(cè)會(huì)計(jì)師制定審計(jì)目標(biāo)、進(jìn)行風(fēng)險(xiǎn)評(píng)估和了解部控制的原則性要求，基本審計(jì)準(zhǔn)則和財(cái)務(wù)報(bào)告審計(jì)目標(biāo)在所有情況下都適用。但是，注冊(cè)會(huì)計(jì)師必須更深入了解企業(yè)的信息技術(shù)應(yīng)用圍和性質(zhì)，因?yàn)橄到y(tǒng)的設(shè)計(jì)和運(yùn)行對(duì)審計(jì)風(fēng)險(xiǎn)的評(píng)價(jià)、業(yè)務(wù)流程和控制的了解、審計(jì)工作的執(zhí)行以與需要收集的審計(jì)證據(jù)的性質(zhì)都有直接的影響。歸納起來，信息技術(shù)隊(duì)審計(jì)過程的影響

7、主要體現(xiàn)在以下幾個(gè)方面：（一）對(duì)審計(jì)線索的影響審計(jì)線索對(duì)審計(jì)來說極其重要。傳統(tǒng)的手工會(huì)計(jì)系統(tǒng)，審計(jì)線索包括憑證、日記賬、分類賬和報(bào)表。注冊(cè)會(huì)計(jì)師通過順查和逆查的方法來審查記錄，檢查和確定其是否正確地放映了唄審計(jì)單位的積極業(yè)務(wù)，檢查企業(yè)的會(huì)計(jì)核算是否合理、合規(guī)。而在信息技術(shù)環(huán)境下，從業(yè)務(wù)數(shù)據(jù)的具體處理過程到報(bào)表的輸出都由計(jì)算機(jī)按照程序指令完成，數(shù)據(jù)均保存在磁性介質(zhì)上，從而會(huì)影響到審計(jì)線索，如數(shù)據(jù)存儲(chǔ)介質(zhì)、存取方式以與處理程序等。（二）對(duì)審計(jì)技術(shù)手段的影響現(xiàn)代審計(jì)技術(shù)中，注冊(cè)會(huì)計(jì)師都是手工進(jìn)行的，但隨著信息技術(shù)的廣泛應(yīng)用，若仍以手工方式進(jìn)行審計(jì)，顯然已經(jīng)難以滿足工作的需要，難以達(dá)到審計(jì)的目的。因此

8、，注冊(cè)會(huì)計(jì)師需要掌握相關(guān)的信息技術(shù)，把信息技術(shù)當(dāng)作一種有力的審計(jì)工具。（三）對(duì)部控制的影響現(xiàn)代審計(jì)技術(shù)中，注冊(cè)會(huì)計(jì)師會(huì)對(duì)被審計(jì)單位的部控制進(jìn)行審查與評(píng)價(jià)，以此作為制定審計(jì)方案和決定抽樣圍的依據(jù)。隨著信息技術(shù)的發(fā)展，部控制雖然在形式與涵方面發(fā)生了變化，但根據(jù)部控制的概念，完善的部控制的目標(biāo)沒有發(fā)生改變，即：1、提高管理層決策制定的效果和業(yè)務(wù)流程的效率；2、提高會(huì)計(jì)信息的可靠性；3、促進(jìn)企業(yè)遵守法律和規(guī)章。但必須關(guān)注的是，在高度電算化的信息環(huán)境中，業(yè)務(wù)活動(dòng)和業(yè)務(wù)流程引發(fā)了新的風(fēng)險(xiǎn)，從而使具體控制活動(dòng)的性質(zhì)有所改變。（四）對(duì)審計(jì)容的影響在信息化條件下，由于信息化的特點(diǎn)，審計(jì)容發(fā)生了相應(yīng)的變化，在信息

9、化的會(huì)計(jì)系統(tǒng)中，各項(xiàng)會(huì)計(jì)事項(xiàng)都是由計(jì)算機(jī)按照程序進(jìn)行自動(dòng)化處理的，信息系統(tǒng)的特點(diǎn)與固有風(fēng)險(xiǎn)決定了信息化環(huán)境下審計(jì)的容包括對(duì)信息化系統(tǒng)的處理和相關(guān)控制功能的審查。比如，在審計(jì)賬齡分析表時(shí)，在信息技術(shù)環(huán)境下，我們必須考慮其數(shù)據(jù)準(zhǔn)確性以支持相關(guān)審計(jì)結(jié)論，因而需要對(duì)其給予系統(tǒng)的數(shù)據(jù)來源與處理過程進(jìn)行考慮。（五）注冊(cè)會(huì)計(jì)師的影響信息技術(shù)在被審計(jì)單位的廣泛應(yīng)用要求注冊(cè)會(huì)計(jì)師一定要具備相關(guān)信息技術(shù)方面的知識(shí)。因此，注冊(cè)會(huì)計(jì)師要成為知識(shí)全面的復(fù)合型人才，他們不僅要有豐富的會(huì)計(jì)、審計(jì)、經(jīng)濟(jì)、法律、管理等方面的知識(shí)和技能，還需要熟悉信息系統(tǒng)的應(yīng)用技術(shù)、結(jié)構(gòu)和運(yùn)行原理，有必要對(duì)信息化環(huán)境下的部控制做出適當(dāng)?shù)脑u(píng)價(jià)。因

10、此，注冊(cè)會(huì)計(jì)師必須對(duì)系統(tǒng)的風(fēng)險(xiǎn)和控制都非常熟悉，然后對(duì)審計(jì)的策略、圍、方法和手段做出相應(yīng)的調(diào)整，以獲取充分、適當(dāng)?shù)膶徲?jì)證據(jù)，支持發(fā)表的審計(jì)意見。第二節(jié) 信息技術(shù)審計(jì)圍的確定被審計(jì)單位的流程和信息系統(tǒng)可能擁有各自不同的特點(diǎn)，因此注冊(cè)會(huì)計(jì)師應(yīng)按各自特點(diǎn)制定審計(jì)計(jì)劃中包含的信息技術(shù)審計(jì)容；另外，如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)控制或自動(dòng)信息系統(tǒng)生成的信息，那么他們就需要適當(dāng)擴(kuò)大信息技術(shù)審計(jì)的依據(jù)。因此，注冊(cè)會(huì)計(jì)師在確定審計(jì)策略時(shí)，需要結(jié)合被審計(jì)單位業(yè)務(wù)流程復(fù)雜度、信息系統(tǒng)復(fù)雜度、系統(tǒng)生成的交易數(shù)量、信息和復(fù)雜計(jì)算的數(shù)量、信息技術(shù)環(huán)境規(guī)模和復(fù)雜度等五個(gè)方面，對(duì)信息技術(shù)審計(jì)圍進(jìn)行適當(dāng)考慮。信息技術(shù)審計(jì)的圍與被

11、審計(jì)單位在業(yè)務(wù)流程與信息系統(tǒng)相關(guān)方面的復(fù)雜度成正比，在具體評(píng)估復(fù)雜度時(shí)，可以從以下幾個(gè)方面予以考慮：一、評(píng)估業(yè)務(wù)流程的復(fù)雜度（比如銷售流程、薪酬流程、采購流程等）對(duì)業(yè)務(wù)流程復(fù)雜度的評(píng)估并不是一個(gè)純粹客觀的過程，而是需要注冊(cè)會(huì)計(jì)師的執(zhí)業(yè)判斷。注冊(cè)會(huì)計(jì)師可以通過考慮以下因素，對(duì)業(yè)務(wù)流程復(fù)雜度做出適當(dāng)判斷：1、某流程涉與過多人員與部門，并且相關(guān)人員與部門之間的關(guān)系復(fù)雜且界限不清；2、某流程涉與大量操作機(jī)決策活動(dòng)；3、某流程的數(shù)據(jù)處理過程涉與復(fù)雜的公式和大量的數(shù)據(jù)錄入操作；4、某流程需要對(duì)信息進(jìn)行手工處理；5、對(duì)系統(tǒng)生成的報(bào)告的依賴程度。二、評(píng)估業(yè)務(wù)流程的復(fù)雜度與評(píng)估業(yè)務(wù)流程的復(fù)雜度相類似，對(duì)企業(yè)信息

12、系統(tǒng)復(fù)雜度的評(píng)估也不是一個(gè)純粹客觀的過程，評(píng)估過程包含大量的職業(yè)判斷，也受到所使用系統(tǒng)類型（如商業(yè)軟件或自行研發(fā)系統(tǒng)）的影響。具體來說，評(píng)估商業(yè)軟件的復(fù)雜程度應(yīng)當(dāng)考慮系統(tǒng)復(fù)雜程度、市場(chǎng)份額、系統(tǒng)實(shí)施和運(yùn)行所需的參數(shù)設(shè)置圍，以與企業(yè)化程度（對(duì)出廠標(biāo)準(zhǔn)配置的變更、變更類型，例如，是僅為報(bào)告形式的變更還是對(duì)數(shù)據(jù)處理方式的變更）。而對(duì)于自行研發(fā)系統(tǒng)復(fù)雜度的評(píng)估應(yīng)當(dāng)考慮系統(tǒng)復(fù)雜程度、距離上一次系統(tǒng)構(gòu)架重大變更的時(shí)間、系統(tǒng)變更對(duì)財(cái)務(wù)系統(tǒng)的影響結(jié)果，以與系統(tǒng)變更之后的系統(tǒng)運(yùn)行情況與運(yùn)行期間。同時(shí)，還需要考慮系統(tǒng)生成的交易數(shù)量、信息和復(fù)雜計(jì)算的數(shù)量，包括：1、被審計(jì)單位是否存在重大交易數(shù)據(jù)，以至于用戶無法識(shí)別

13、并更正數(shù)據(jù)處理錯(cuò)誤；2、數(shù)據(jù)是否通過網(wǎng)絡(luò)傳輸，如EDI；3、是否使用特殊系統(tǒng)，如電子商務(wù)系統(tǒng)。三、信息技術(shù)環(huán)境的規(guī)模和復(fù)雜度評(píng)估信息技術(shù)環(huán)境的規(guī)模和復(fù)雜度，主要應(yīng)當(dāng)考慮產(chǎn)生財(cái)務(wù)數(shù)據(jù)的信息系統(tǒng)數(shù)量、信息部門的結(jié)構(gòu)與規(guī)模、網(wǎng)絡(luò)規(guī)模、用戶數(shù)量、外包與訪問方式（例如本地登錄或遠(yuǎn)程登錄）。信息技術(shù)環(huán)境復(fù)雜并不一定意味著信息系統(tǒng)是復(fù)雜的，反之亦然。在具體審計(jì)過程中，注冊(cè)會(huì)計(jì)師除了考慮以上所提與的復(fù)雜度以外，還需要充分考慮系統(tǒng)在實(shí)際應(yīng)用中存在的問題，評(píng)價(jià)這些問題對(duì)審計(jì)圍的影響：1、管理層如何獲取與信息技術(shù)相關(guān)的問題？2、系統(tǒng)功能中是否發(fā)現(xiàn)嚴(yán)重問題或不準(zhǔn)確成分？如果是，是否存在可以繞過的程序（如自行修復(fù)程序等

14、）？3、是否發(fā)生過信息系統(tǒng)運(yùn)行出錯(cuò)、安全事件或?qū)潭〝?shù)據(jù)的修改等嚴(yán)重問題？如果是管理層如何應(yīng)對(duì)這些問題，以與管理層如何確保這些問題得到可靠解決？4、部審計(jì)或其他報(bào)告中是否提出過與信息系統(tǒng)、數(shù)據(jù)環(huán)境或應(yīng)用系統(tǒng)相關(guān)的問題？5、報(bào)告中提與的最普遍的系統(tǒng)問題是什么？在對(duì)被審計(jì)單位的業(yè)務(wù)流程、信息系統(tǒng)和相關(guān)風(fēng)險(xiǎn)進(jìn)行充分了解之后，注冊(cè)會(huì)計(jì)師應(yīng)判斷被審計(jì)單位中是否包含信息技術(shù)關(guān)鍵風(fēng)險(xiǎn)，并且實(shí)質(zhì)性程序是否無法完全控制該風(fēng)險(xiǎn)。如果符合上述情況的描述，那么注冊(cè)會(huì)計(jì)師應(yīng)將信息技術(shù)審計(jì)容納入財(cái)務(wù)審計(jì)計(jì)劃之中。此外，如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)系統(tǒng)控制，或依賴以自動(dòng)系統(tǒng)生成信息為基礎(chǔ)的手工控制或業(yè)務(wù)流程審閱結(jié)果，那么注冊(cè)

15、會(huì)計(jì)師也同樣需要對(duì)信息技術(shù)相關(guān)控制進(jìn)行評(píng)估。綜上所述，在信息技術(shù)環(huán)境下，審計(jì)工作于對(duì)系統(tǒng)的依賴是直接關(guān)聯(lián)的，注冊(cè)會(huì)計(jì)師需要全面考慮其關(guān)聯(lián)關(guān)系，從而可以準(zhǔn)確定義相關(guān)的信息系統(tǒng)審計(jì)圍，具體容見表11-1.表11-1 信息系統(tǒng)審計(jì)關(guān)聯(lián)圍表對(duì)信息系統(tǒng)的依賴程度對(duì)系統(tǒng)環(huán)境的了解與評(píng)估（是否）驗(yàn)證手工控制（是否）驗(yàn)證系統(tǒng)應(yīng)用控制（是否）了解，驗(yàn)證系統(tǒng)一般性控制（是否）不依賴是否否否僅依賴手工控制，此類手工控制不依賴系統(tǒng)所生成的信息或報(bào)告是是否否僅依賴手工控制，此類手工控制依賴系統(tǒng)所產(chǎn)生的信息或報(bào)告，審計(jì)需要通過實(shí)質(zhì)性程序來驗(yàn)證控制有效性是是否否同時(shí)依賴手工與自動(dòng)控制是是是是第三節(jié) 信息技術(shù)部控制審計(jì)一、與

16、信息技術(shù)相關(guān)的控制在信息技術(shù)環(huán)境下，傳統(tǒng)的手工控制越來越多地被自動(dòng)控制所替代，概括地講，自動(dòng)控制能為企業(yè)帶來以下好處：1、自動(dòng)控制能夠有效處理大流量交易數(shù)據(jù)，因?yàn)樽詣?dòng)信息系統(tǒng)可以提供與業(yè)務(wù)規(guī)則一致的系統(tǒng)處理方法；2、自動(dòng)控制比較不容易被繞過；3、自動(dòng)信息系統(tǒng)、數(shù)據(jù)庫與操作系統(tǒng)的相關(guān)安全控制可以實(shí)現(xiàn)有效的職責(zé)分離；4、自動(dòng)信息系統(tǒng)可以提高信息的與時(shí)性、準(zhǔn)確性，并使信息變得更易獲得；5、自動(dòng)信息系統(tǒng)可以提高管理層對(duì)企業(yè)業(yè)務(wù)活動(dòng)與相關(guān)政策的監(jiān)督水平。同時(shí)，對(duì)自動(dòng)控制的依賴也可能給企業(yè)帶來下列財(cái)務(wù)報(bào)告重大錯(cuò)報(bào)風(fēng)險(xiǎn)：1、信息系統(tǒng)或相關(guān)系統(tǒng)程序可能會(huì)對(duì)數(shù)據(jù)進(jìn)行錯(cuò)誤處理，也可能會(huì)去處理那些本身就錯(cuò)誤的數(shù)據(jù)；

17、2、自動(dòng)信息系統(tǒng)、數(shù)據(jù)庫與操作系統(tǒng)的相關(guān)安全控制如果無效。會(huì)增加對(duì)數(shù)據(jù)信息非授權(quán)訪問的風(fēng)險(xiǎn)，這種風(fēng)險(xiǎn)可能導(dǎo)致系統(tǒng)數(shù)據(jù)和系統(tǒng)對(duì)非授權(quán)交易與不存在的交易的記錄遭到破壞，系統(tǒng)、系統(tǒng)程序、數(shù)據(jù)遭到不適當(dāng)?shù)母淖?，系統(tǒng)對(duì)交易進(jìn)行不適當(dāng)?shù)挠涗?，以與信息技術(shù)人員獲得超過其職責(zé)圍過大系統(tǒng)權(quán)限等；3、數(shù)據(jù)丟失風(fēng)險(xiǎn)或數(shù)據(jù)無法訪問風(fēng)險(xiǎn)，如系統(tǒng)癱瘓；4、不適當(dāng)?shù)娜斯じ深A(yù)，或認(rèn)為繞過自動(dòng)控制。因此，被審計(jì)單位采用信息系統(tǒng)處理業(yè)務(wù)，并不意味著手工控制被完全取代，信息系統(tǒng)對(duì)控制的影響，取決于被審計(jì)單位對(duì)信息系統(tǒng)的依賴程度。例如，在基于信息技術(shù)的自動(dòng)的信息系統(tǒng)中，喜用進(jìn)行自動(dòng)操作來實(shí)現(xiàn)對(duì)交易信息的創(chuàng)建、記錄、處理和報(bào)告，并將相

18、關(guān)信息保存為電子形式（如電子的采購訂單、采購發(fā)票、發(fā)運(yùn)憑證和相關(guān)會(huì)計(jì)記錄）。但相關(guān)控制活動(dòng)也可能同時(shí)包括手工的部分，比如訂單的審批和事后審閱以與會(huì)計(jì)記錄調(diào)整之類的手工控制。因此，與財(cái)務(wù)報(bào)告相關(guān)的控制活動(dòng)一般由一系列手工控制和自動(dòng)控制所組成。由于被審計(jì)單位信息技術(shù)的特點(diǎn)與復(fù)雜程度不同，被審計(jì)單位的手工與自動(dòng)控制的組合方式往往會(huì)有所區(qū)別二、信息技術(shù)部控制審計(jì)在信息技術(shù)環(huán)境下，手工控制的基本原則與方式在信息環(huán)境下并不會(huì)發(fā)生實(shí)質(zhì)性的改變，注冊(cè)會(huì)計(jì)師仍需要按照標(biāo)準(zhǔn)執(zhí)行相關(guān)的審計(jì)程序，而對(duì)于自動(dòng)控制，就需要從信息技術(shù)一般性控制審計(jì)與信息技術(shù)應(yīng)用控制審計(jì)兩方面進(jìn)行考慮：（一）信息技術(shù)一般性控制審計(jì)信息系統(tǒng)一

19、般性控制是指為了保證信息系統(tǒng)的安全，對(duì)整個(gè)信息系統(tǒng)以與外部各種環(huán)境要素實(shí)施的、對(duì)所有的應(yīng)用或控制模塊具有普遍影響的控制措施，信息技術(shù)一般控制通常會(huì)對(duì)實(shí)現(xiàn)部分或全部財(cái)務(wù)報(bào)告認(rèn)定做出直接貢獻(xiàn)。在這些情況下，信息技術(shù)一般控制也可能對(duì)實(shí)現(xiàn)信息處理目標(biāo)和財(cái)務(wù)報(bào)告認(rèn)定做出直接貢獻(xiàn)。這是因?yàn)橛行У男畔⒓夹g(shù)一般控制確保了應(yīng)用系統(tǒng)控制和依賴計(jì)算機(jī)處理的自動(dòng)會(huì)計(jì)程序得以持續(xù)有效地運(yùn)行。當(dāng)手工控制依賴系統(tǒng)生成的信息時(shí)，信息技術(shù)一般控制同樣重要。如果注冊(cè)會(huì)計(jì)師計(jì)劃依賴自動(dòng)應(yīng)用控制、自動(dòng)會(huì)計(jì)程序或依賴系統(tǒng)生成信息的控制時(shí)，他們就需要對(duì)相關(guān)的信息技術(shù)一般控制進(jìn)行驗(yàn)證。注冊(cè)會(huì)計(jì)師應(yīng)清楚記錄信息技術(shù)一般控制與關(guān)鍵的自動(dòng)應(yīng)用控

20、制與接口、關(guān)鍵的自動(dòng)會(huì)計(jì)程序、關(guān)鍵手工控制使用的系統(tǒng)生成數(shù)據(jù)和報(bào)告，或生成手工日記賬時(shí)使用系統(tǒng)生成的數(shù)據(jù)和報(bào)告的關(guān)系。由于程序變更控制、計(jì)算機(jī)操作控制與程序數(shù)據(jù)訪問控制影響到系統(tǒng)驅(qū)動(dòng)組件的持續(xù)有效運(yùn)行，注冊(cè)會(huì)計(jì)師需要對(duì)上述三個(gè)領(lǐng)域?qū)嵤┛刂茰y(cè)試。信息技術(shù)一般控制包括程序開發(fā)、程序變更、程序和數(shù)據(jù)訪問表以與計(jì)算機(jī)運(yùn)行等四個(gè)方面。1、程序開發(fā)程序開發(fā)領(lǐng)域的目標(biāo)是確保系統(tǒng)的開發(fā)、配置和實(shí)施能夠?qū)崿F(xiàn)管理層的應(yīng)用控制目標(biāo)。程序開發(fā)控制的一般要素包括：（1）對(duì)開發(fā)和實(shí)施活動(dòng)的管理；（2）項(xiàng)目啟動(dòng)、分析和設(shè)計(jì)；（3）對(duì)程序開發(fā)實(shí)施過程的控制軟件包的選擇；（4）測(cè)試和質(zhì)量確保；（5）數(shù)據(jù)遷移；（6）程序?qū)嵤?；?/p>

21、7）記錄和培訓(xùn)；（8）職責(zé)分離。程序變更領(lǐng)域的目標(biāo)是確保對(duì)程序和相關(guān)基礎(chǔ)組件的變更時(shí)經(jīng)過請(qǐng)求、授權(quán)、執(zhí)行、測(cè)試和實(shí)施的，以達(dá)到管理層的應(yīng)用控制目標(biāo)。程序變更一般包括以下要素：（1）對(duì)維護(hù)活動(dòng)的管理；（2）對(duì)變更請(qǐng)求的規(guī)、授權(quán)和跟蹤；（3）測(cè)試和質(zhì)量確保；（4）程序?qū)嵤?；?）記錄和培訓(xùn)；（6）職責(zé)分離。3、程序和數(shù)據(jù)訪問程序和數(shù)據(jù)訪問這一領(lǐng)域的目標(biāo)是確保分配的訪問程序和數(shù)據(jù)的權(quán)限是經(jīng)過用戶身份認(rèn)證并經(jīng)過授權(quán)的。程序和數(shù)據(jù)訪問的子組件一般包括安全活動(dòng)管理、安全管理、數(shù)據(jù)安全、操作系統(tǒng)安全、網(wǎng)絡(luò)安全和物理安全。4、計(jì)算機(jī)運(yùn)行計(jì)算機(jī)運(yùn)行這一領(lǐng)域的目標(biāo)是確保生產(chǎn)系統(tǒng)根據(jù)管理層的控制目標(biāo)完整準(zhǔn)確地運(yùn)行，

22、確保運(yùn)行問題被完整準(zhǔn)確地識(shí)別并解決，以維護(hù)財(cái)務(wù)數(shù)據(jù)的完整性。計(jì)算機(jī)運(yùn)行的子組件一般包括計(jì)算機(jī)運(yùn)行活動(dòng)的總體管理、批調(diào)度和批處理、實(shí)時(shí)處理、備份和問題管理以與災(zāi)難恢復(fù)。（二）信息技術(shù)應(yīng)用控制審計(jì)信息技術(shù)應(yīng)用控制一般要經(jīng)過輸入、處理與輸出等環(huán)節(jié)，和手工控制一樣，自動(dòng)系統(tǒng)控制同樣關(guān)注信息處理目標(biāo)的四個(gè)要素：完整性、準(zhǔn)確性、經(jīng)過授權(quán)和訪問限制。然而，自動(dòng)系統(tǒng)控制造成的影響程度比信息技術(shù)一般控制要顯著得多，并且需要進(jìn)一步的手工調(diào)查。另外，所有的自動(dòng)應(yīng)用控制都會(huì)有一個(gè)手工控制與之相對(duì)應(yīng)。例如，通過批次匯總的方式驗(yàn)證數(shù)據(jù)傳輸?shù)臏?zhǔn)確性和完整性時(shí)，如果出現(xiàn)例外，就需要有相應(yīng)的手工控制進(jìn)行跟蹤調(diào)查。理論上，在測(cè)試

23、的時(shí)候，每個(gè)自動(dòng)系統(tǒng)控制都要與其對(duì)應(yīng)的手工控制一起進(jìn)行測(cè)試，才能得到控制是否可信賴的結(jié)論。例如，一筆交易被否定或被作標(biāo)記了，將會(huì)進(jìn)行一個(gè)手工調(diào)查流程，并且被記錄下來。下面將針對(duì)不同的信息處理目標(biāo)來闡述應(yīng)用控制的應(yīng)用：1、完整性（1）順序標(biāo)號(hào)，可以保證系統(tǒng)每筆日記賬都是唯一的，并且系統(tǒng)不活接受一樣編號(hào)，或者在編號(hào)圍外的憑證。此時(shí)，需要系統(tǒng)提供一個(gè)沒有編號(hào)憑證的報(bào)告，如果存在例外，需要相關(guān)人員進(jìn)行調(diào)查跟進(jìn)。（2）編輯檢查，以確保無重復(fù)交易錄入，比如發(fā)票付款的時(shí)候，檢查發(fā)票編號(hào)。2、準(zhǔn)確性（1）編輯檢查，包括限制檢查、合理性檢查、存在性檢查和格式檢查等。（2）將客戶、供應(yīng)商、發(fā)票和采購訂單等信息與現(xiàn)

24、有數(shù)據(jù)進(jìn)行比較。3、授權(quán)（1）交易流程中必須包含恰當(dāng)?shù)氖跈?quán)。（2）將客戶、供應(yīng)商、發(fā)票和采購訂單等信息與現(xiàn)有數(shù)據(jù)進(jìn)行比較。4、訪問限制（1）對(duì)于某些特殊的會(huì)計(jì)記錄的訪問，必須經(jīng)過數(shù)據(jù)所有者的正式授權(quán)。管理層必須定期檢查系統(tǒng)的訪問權(quán)限來確保只有經(jīng)過授權(quán)的用戶才能夠擁有訪問權(quán)限，并且符合職責(zé)分離原則。如果存在例外，必須進(jìn)行調(diào)查。（2）訪問控制必須滿足適當(dāng)?shù)穆氊?zé)分離（比如，交易的審批和處理必須由不同的人員來完成）。（3）對(duì)每個(gè)系統(tǒng)的訪問控制都要單獨(dú)考慮。密碼必須要定期更換，并且在規(guī)定次數(shù)不能重復(fù)；定期生成多次登錄失敗導(dǎo)致用戶賬號(hào)鎖定的報(bào)告，管理層必須跟蹤這些登錄失敗的具體原因。三、信息技術(shù)應(yīng)用控制與

25、信息與時(shí)一般控制之間的關(guān)系引用控制是設(shè)計(jì)在計(jì)算機(jī)應(yīng)用系統(tǒng)中的、有助于達(dá)到信息處理目標(biāo)的控制。例如，許多應(yīng)用系統(tǒng)中包含很多編輯檢查來幫助確保錄入數(shù)據(jù)的準(zhǔn)確性。編輯檢查可能包括格式檢查（如日期格式或數(shù)字格式），存在性檢查（如客戶編碼存在于客戶主數(shù)據(jù)文檔之中），或合理性檢查（如最大支付金額）。如果錄入數(shù)據(jù)的某一要素未通過編輯檢查，那么系統(tǒng)可能拒絕錄入該數(shù)據(jù)或系統(tǒng)可能將該錄入數(shù)據(jù)拖入系統(tǒng)生成的例外報(bào)告之中，留待后續(xù)跟進(jìn)和處理。如果帶有關(guān)鍵的編輯檢查功能的應(yīng)用系統(tǒng)所依賴的計(jì)算機(jī)環(huán)境發(fā)現(xiàn)了信息技術(shù)一般控制的缺陷，注冊(cè)會(huì)計(jì)師可能不能信賴上述編輯檢查功能按設(shè)計(jì)發(fā)揮作用。例如，程序變更控制缺陷可能導(dǎo)致未授權(quán)人員

26、對(duì)檢查錄入數(shù)據(jù)字段格式的編程邏輯進(jìn)行修改，以至于系統(tǒng)接受不準(zhǔn)確的錄入數(shù)據(jù)。此外，與安全和訪問權(quán)限相關(guān)的控制缺陷可能導(dǎo)致數(shù)據(jù)錄入不恰當(dāng)?shù)乩@過合理性檢查，而該合理性檢查在其他方面將使系統(tǒng)無法處理金額超過最大容量圍的支付操作。第四節(jié) 計(jì)算機(jī)輔助審計(jì)技術(shù)和表格的運(yùn)用一、計(jì)算機(jī)輔助審計(jì)技術(shù)（一）計(jì)算機(jī)輔助審計(jì)基礎(chǔ)（Computer auxiliary auditing technique，CAATS），是指利用計(jì)算機(jī)和相關(guān)軟件，使審計(jì)測(cè)試工作實(shí)現(xiàn)自動(dòng)化的技術(shù)。計(jì)算機(jī)輔助審計(jì)技術(shù)可以在以下方面使審計(jì)工作更富效率和效果：1、將現(xiàn)有手工執(zhí)行的審計(jì)測(cè)試自動(dòng)化。比如，對(duì)報(bào)告數(shù)據(jù)的準(zhǔn)確性進(jìn)行測(cè)試；2、在手工方式不可

27、行的情況下執(zhí)行測(cè)試或分析。比如，審閱大量的和非正常的銷售交易，盡管這項(xiàng)工作有可能通過手工執(zhí)行來實(shí)現(xiàn)，但對(duì)于多數(shù)大型公司而言，從時(shí)間時(shí)間角度出發(fā)，需要審閱的交易數(shù)量是無法通過手工方式來進(jìn)行的。計(jì)算機(jī)輔助審計(jì)技術(shù)不僅能夠提高審閱大量交易的效率，而且計(jì)算機(jī)不會(huì)受到過度工作的影響（而注冊(cè)會(huì)計(jì)師在審閱了大量的一頁接一頁的交易后很容易產(chǎn)生疲勞），從這個(gè)意義上講，計(jì)算機(jī)輔助審計(jì)技術(shù)還可以是審閱工作更具效果。相比較用手工的方式進(jìn)行同樣的測(cè)試，即使是第一年使用計(jì)算機(jī)輔助審計(jì)技術(shù)進(jìn)行審計(jì)，也會(huì)節(jié)省大量的審計(jì)工作量，而后續(xù)年度節(jié)約的審計(jì)時(shí)間成本則會(huì)更多。（二）計(jì)算機(jī)輔助審計(jì)技術(shù)應(yīng)用最廣泛地應(yīng)用計(jì)算機(jī)輔助審計(jì)技術(shù)的領(lǐng)

28、域是實(shí)質(zhì)性程序，特別是在與分析性程序相關(guān)的方面。除此之外，計(jì)算機(jī)輔助審計(jì)技術(shù)還能被用于詳細(xì)測(cè)試（包括目標(biāo)測(cè)試）以與對(duì)審計(jì)抽樣的輔助。計(jì)算機(jī)輔助審計(jì)技術(shù)使得對(duì)系統(tǒng)中的每一筆交易進(jìn)行測(cè)試成為可能，用于在交易樣本量很大的情況下替代手工測(cè)試。與其他控制測(cè)試一樣，計(jì)算機(jī)輔助審計(jì)基礎(chǔ)也可用于測(cè)試控制的有效性，選擇少量的交易，并在系統(tǒng)中進(jìn)行穿行測(cè)試，或是開發(fā)一套集成的測(cè)試工具，用于測(cè)試系統(tǒng)中的某些交易。在控制測(cè)試中使用計(jì)算機(jī)輔助審計(jì)技術(shù)的優(yōu)勢(shì)是，可以對(duì)每一筆交易進(jìn)行測(cè)試（包括主體文件和交易文件），從而確定是否存在控制失效的情況。由于計(jì)算機(jī)輔助審計(jì)技術(shù)有助于詳審海量數(shù)據(jù)，它也可用于輔助隊(duì)舞弊的檢查工作（如審閱非正常的日記賬）。二、電子表格即使在信息化程度極高的環(huán)境下，由于系統(tǒng)限制等原因，財(cái)務(wù)信息和報(bào)告的生成往往還需要借助電子表格來完成，所謂電子表格是指利用計(jì)算機(jī)作為表格處理工具，以實(shí)現(xiàn)制表工具、計(jì)算工具以與表格結(jié)果保存的綜合電子化