计算机信息系统控制审计

计算机信息系统控制审计

学习目的

通过学习，我们要掌握以下三个问题：

◆一、在信息技术环境下，审计有什么改变？

◆二、信息技术环境下控制测试的范围。

◆三、信息技术一般控制与运用控制的关系，及其如何影响实质性测试？

案例1.1信息系统环境下控制测试

•华兴集团公司是今明会计师事务所的常年审计客户，上年度各项内部控制设计合理并运行有效。注册会计师正在对华兴集团公司本年度的内部控制进行了解，并评估重大错报风险。华兴集团公司有20余家子公司。2018年初，为了满足集团公司对财务信息实时性、准确性、真实性的要求，推行企业信息化管理。通过与ERP系统开发公司的协商，购进新开发的ERP系统并投入使用。由于采用ERP系统，财务核算人员由原来的163减至61人。

案例1.1信息系统环境下控制测试

•注册会计师了解采购与付款循环时，注意到供货单位的发票信息由会计部输入，并由计算机将其与其他信息（订购单等）相核对。在收到货物时，由验收部门将验收入库信息输入计算机系统，计算机会自动生成一份入库单，由仓库审核后自动更新存货记录。计算机能够自动将订购单、验收单、入库单和供货单位的发票上的信息（如供货单位、型号、规格、单价等）相核对并经审批后开出未付凭单。付款部门根据未付凭单打印出支票，计算机自动将该未付凭单标记，防止重复付款。通过询问采购人员，发现有一供货商将同一笔交易发来两张不同编号的发票，在月末存货监盘时发现重复记录购货，追回了多付的货款。后来公司加强了该系统的手工校验程序。

案例1.1分析与思考

•1.信息系统下控制测试的范围如何变化？为什么？

•2.分析信息系统控制存在什么缺陷？这些缺陷影响哪些认定？如何应对？

信息技术对审计过程的影响

•对审计线索的影响;

•对审计技术手段的影响;

•对内部控制的影响;

•对审计内容的影响;

•对注册会计师的影响。

上信息系统后，审计的不变

•不变：

•注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求，基本审计准则和财务报告审计目标在所有情况下都适用。•内部控制的目标

•人工控制的基本原理与方式

信息系统下控制测试

•1.人工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册会计师仍需要按照标准执行相关的审计程序

•2.对于自动控制，就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑

公司层面信息技术控制

•公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调。包括：

•对于信息技术的重视程度和依赖程度

•信息技术复杂性

•对于外部信息技术资源的使用和管理情况

•信息技术风险偏好

•这些要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。

信息系统一般性控制

•信息系统一般性控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，信息技术一般控制通常会对实现部分或全部财务报告认定做出间接贡献。

•信息技术一般控制是基础，信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。

信息技术应用控制

•信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括：

•检查数据计算准确性，

•审核账户和试算平衡表，

•设置对输入数据和数字序号的自动检查，

•对例外报告进行人工干预。

•应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。

如何确定系统控制测试的范围？

•信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。•与财务报告相关的控制活动一般由一系列手工控制和自动控制所组

成。自动控制程度愈高，信息系统对控制的影响愈大。

•无论被审计单位运用信息技术的程度如何，注册会计师均需了解与审计相关的信息技术一般控制和应用控制。

•在理论上，测试每个自动系统控制时都要与其对应的手工控制一起进行测试，才能得到控制是否可信赖的结论。

信息系统审计关联范围表

对信息系统的依赖程度对系统环境的了

解与评估（是/

否）

验证手工控

制（是/否）

验证系统应用

控制（是/否）

了解、验证系统一

般性控制（是/否）

（1）不依赖信息系统是否否否

（2）仅依赖手工控制，此类

手工控制不依赖系统所生成

的信息或报告

是是否否

（3）仅依赖手工控制，此类

手工控制依赖系统所生成的

信息或报告，审计需要通过

实质性程序来验证控制有效

性

是是否否(4) 同时依赖手工及自动控制是是是是

信息技术审计范围影响因素

•注册会计师应当按信息系统各自特点制定审计计划中包含的信息技术审计内容•如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的内容。

•影响信息技术审计范围影响因素：

•企业业务流程复杂度

•信息系统复杂度

•系统生成的交易数量

•信息和复杂计算的数量

•信息技术环境规模和复杂度

•如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的范围。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比。