2016年注册会计师审计考试第五章知识点

第五章 信息技术对审计的影响
知识点:信息技术和财务报告的关系
审计人员在进行财务报告审计时,如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据,则必须考虑相关信息和报告的质量。注册会计师需要在整个过程中考虑信息的“准确性、完整性、授权体系及访问限制”等四个方面。
知识点:信息技术内部控制审计
1.信息技术一般性控制审计
信息系统一般性控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。
信息技术一般控制包括程序开发、程序变更、程序和数据访问以及系统运行等四个方面。
2.信息技术应用控制审计
应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制。信息技术应用控制一般要经过输入、处理及输出等环节。
3.公司层面信息技术控制审计
公司层面信息技术控制包括但不限于:信息技术规划的制定;信息技术年度计划的制定;信息技术内部审计机制的建立;信息技术外包管理;信息技术预算管理;信息安全和风险管理;信息技术应急预案的制定;信息系统架构和信息技术复杂性等。
对公司层面信息技术控制往往会执行单独的审计,以评估企业信息技术的整体控制环境,来决定信息技术一般控制和应用控制的审计重点、风险等级、审计测试方法等。
4.信息技术一般控制、应用控制与公司层面控制三者之间的关系
公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调,会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。
信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
如果注册会计师发现了应用系统所依赖的信息技术一般控制存在缺陷,注册会计师可能就不能信赖应用系统按设计发挥作用。
注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。
知识点:信息技术审计范围的确定
注册会计师在确定审计策略时,需要结合“被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度”等方面,对信息技术审计范围进行适当考虑。
(1)信息技术审计的范围与企业在业务流程、信息系统相关方面的复杂度成“正比”。
(2)在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,注册会计师需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围,具体内容参见下表:
对信息系统的依赖程度
对系统环境的了解与评估
验证人工控制

 

了解、验证系统一般性控制
验证自动化应用控制

不依赖

仅依赖人工控制,此类人工控制不依赖系统所生成的信息或报告

仅依赖人工控制,此类人工控制依赖系统所生成的信息或报告,审计需要通过实质性程序来验证控制有效性

同时依赖人工及自动控制