第五章 信息技术对审计的影响.docx

第五章 信息技术对审计的影响.docx

《第五章 信息技术对审计的影响.docx》由会员分享，可在线阅读，更多相关《第五章 信息技术对审计的影响.docx（15页珍藏版）》请在冰豆网上搜索。

第五章信息技术对审计的影响

第25讲-信息技术对审计的影响

（1）

第一编·第五章·信息技术对审计的影响

重要提示，奔走相告

考虑到章节的逻辑连贯性和学习难度，在第三章《审计证据》学习结束后，请各位同学先学习第五章《信息技术对审计的影响》。

• 考情和方法

• 考点和典题

• 脉络和复习

考情和方法

平均考分

1分/卷

考题预测

单选题

实务强度

实务性很低

复习方法

● 这一章节的很多内容与审计和财会的专业知识无关，更倾向于“程序猿”的知识，具有理解难度。

但就考试而言，通常仅限于要求考生识别和了解信息系统的基本概念、一般控制和应用控制，考试难度不大，复习时关注随堂提示的要点即可。

● “数据分析”是新兴话题，需要在2018年的备考中适度关注。

考点和典题

本章核心考点：

▪  信息技术中的一般控制和应用控制测试（※※）

▪  一般控制、应用控制和公司层面控制的关系（※）

▪  数据分析（※）

▪  外包安排（※）

第一节　信息技术对企业财务报告和内部控制的影响

一、信息技术对企业财务报告的影响

1、信息技术对财务核算的影响[听故事即可]

（1）计算机输入和输出设备代替了手工记录；

（2）计算机显示屏和电子影像代替了纸质凭证；

（3）计算机文档代替了纸质日记账和分类账；

（4）网络通信和电子邮件代替了公司间的邮寄；[关注]

（5）管理需求固化到应用程序之中；

（6）灵活多样的报告代替了固定的定期报告；

（7）数据更加充分，信息实现共享；

（8）系统问题的存在比偶然性误差更为普遍。

[关注]

2、对注册会计师的要求

注册会计师在进行财务报表审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。

二、信息技术对企业内部控制的影响

1、自动控制与手工控制

相关控制可能同时包括自动控制与手工控制，自动控制能有效处理大流量交易及数据，比较不容易被绕过，自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离。

2、对内部控制的影响

信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。

三、信息技术产生的风险

风险点

情形

处理错误

可能会错误地处理数据，也可能会处理错误的数据；

安全控制隐患

如相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致非授权交易、虚假交易、系统程序和系统内的数据的不当改变、交易的不当的记录，以及信息技术人员越权访问和处理等；

数据丢失

数据丢失风险或数据无法访问风险，如系统瘫痪；

人为干预

不适当的人工干预，或人为绕过自动控制。

真题和模拟题精讲

单项选择题【模拟题】

注册会计师对平章集团与信息系统相关风险的评估中，错误的是（　　）。

A.管理层对信息系统中的权限设置进行人为干预

B.系统故障导致的数据丢失

C.安全控制失效导致记录被篡改

D.处理大流量交易及数据时效率低于人工控制

[答案]D

[点评]自动控制能有效处理大流量交易及数据，选项D表述错误。

四、注册会计师在信息化环境下面临的挑战【2018年新增】

1、对业务流程开展和内部控制运作的理解

2、对信息系统相关审计风险的认识

3、审计范围的确定

4、审计内容的变化

5、审计线索的隐性化

6、审计技术改进的必要性

7、有待优化的知识结构

8、与专业团队的充分协同工作

【小金敲黑板】

由于在信息化环境下，会计核算与财务报告是由信息系统通过程序进行自动处理的，因此审计内容很有可能包括对信息系统中的相关自动控制的测试。

例如，在针对存货计价不准确的重大错报风险执行审计程序时，由于被审计单位存货的计价依赖于高度自动化处理，不存在或存在很少人工干预，针对该风险仅实施实质性程序可能不可行。

获取的审计证据，即存货的库龄分析仅以电子形式存在，注册会计师必须测试存货的计价相关的内部控制的有效性，以及存货库龄计算的准确性。

第二节　信息技术中的一般控制和应用控制测试

一、信息技术一般控制审计

1、一般控制的定义

（1）为保证信息系统安全，对整个信息系统及外部各种环境要素实施的、对所有应用或控制模块有普遍影响的控制；

（2）通常会影响部分或全部财务报表认定。

2、一般控制的内容【多选题考点】

一般控制包括4个方面。

内容

含义

（1）程序开发

确保系统的开发、配置和实施能够实现管理层的应用控制目标。

（2）程序变更

a）确保对程序和相关基础组件的变更经过请求、授权、执行、测试和实施，以达到管理层应用控制目标；

b）包括代码类的常规变更、配置类的变更和紧急变更。

（3）程序和数据访问

a）确保分配的访问程序和数据的权限经过用户身份认证并经过授权；

b）包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。

（4）计算机运行

a）确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性；

b）包括问题和故障管理、数据备份和恢复、灾难恢复等。

3、对注册会计师的要求【单选题/综合题考点】

如果计划依赖自动应用控制、系统生成的信息等，则需要对信息技术的一般控制进行验证。

二、信息技术应用控制

1、应用控制的定义

应用控制一般要经过输入、处理及输出等环节。

2、应用控制的内容

关注要点

（1）系统自动生成报告

（2）系统配置和科目映射

（3）接口控制

（4）访问和权限

3、对注册会计师的要求

需要关注的要素包括完整性、准确性、存在和发生等。

三、公司层面信息技术控制

常见的公司层面信息技术控制包括但不限于：

（1）信息技术规划的制定；

（2）信息技术年度计划的制定；

（3）信息技术内部审计机制的建立；

（4）信息技术外包管理；

（5）信息技术预算管理；

（6）信息安全和风险管理；

（7）信息技术应急预案的制定；

（8）信息系统架构和信息技术复杂性。

四、一般控制、应用控制和公司层面控制的关系

1、关系【单选题考点】

（1）公司层面信息技术控制是信息技术的整体控制环境，决定了信息技术一般控制和应用控制的风险基调；

（2）一般控制是应用控制的基础，一般控制的有效性直接关系到应用控制的有效性。

2、对注册会计师的要求

注册会计师需要了解与审计相关的信息技术一般控制和应用控制。

真题和模拟题精讲

单项选择题【模拟题】

注册会计师郭劲男认为以下不属于信息系统一般控制的是（　　）。

A.程序开发和变更

B.操作系统安全

C.数据备份和灾难恢复

D.业务和财务系统间的接口数据传输

[答案]D

[点评]选项D属于接口控制，是信息技术应用控制审计的关注要点。

多项选择题【模拟题】

注册会计师白敬亭认为以下属于信息系统应用控制的有（　　）。

A.计算机运行故障管理

B.财务系统定期生成分析报告

C.财务系统中设定各科目映射关系

D.信息系统的外包和预算管理

[答案]BC

[点评]选项A属于信息系统一般控制，选项D属于公司层面控制。

多项选择题【模拟题】

下列有关信息系统一般控制、应用控制和公司层面信息技术控制的说法中，正确的有（　　）。

A.信息技术一般控制是应用控制和公司层面信息技术控制的基础

B.注册会计师执行公司层面信息技术控制审计通常安排在执行信息技术一般控制和信息技术应用控制审计之前

C.评估的重大错报风险为低水平时，如果计划依赖自动应用控制，可以对其直接测试，而无需对信息技术的一般控制进行验证

D.需要关注的应用控制要素包括完整性、准确性、存在和发生

[答案]BD

[点评]公司层面信息技术控制是信息技术的整体控制环境，决定了信息技术一般控制和应用控制的风险基调，选项A错误；如果计划依赖自动应用控制、系统生成的信息等，则需要对信息技术的一般控制进行验证，选项C错误。

脉络和复习

第26讲-信息技术对审计的影响

（2）

第一编·第五章·信息技术对审计的影响

考点和典题

第三节　信息技术对审计过程的影响

一、信息技术审计范围的确定

1、考虑因素

在确定审计策略时，需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、和业务对系统的依赖程度、信息和复杂计算的数量、信息技术环境规模和复杂度五个方面，对信息技术审计范围进行适当考虑。

2、评估业务流程的复杂度

考虑因素包括流程的人员、活动、数据量、处理方式及依赖程度等。

3、评估信息系统的复杂度

评估信息系统复杂度需要大量职业判断，同时受到所使用系统类型（如商业软件或自行研发系统）的影响。

考虑因素

商业软件

系统复杂程度、市场份额、参数设置范围、客制化程度

自行研发

系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果、系统变更之后的系统运行情况及运行期间

4、信息技术环境的规模和复杂度

（1）评估信息技术环境的规模和复杂度时，应当主要考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式（例如本地登录或远程登录）。

（2）信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。

真题和模拟题精讲

单项选择题【2016年真题】

下列有关注册会计师评估被审计单位信息系统的复杂度的说法中，错误的是（　　）。

A.信息技术环境复杂，意味着信息系统也是复杂的

B.评估信息系统的复杂度，需要考虑系统生成的交易数量

C.评估信息系统的复杂度，需要考虑系统中进行的复杂计算的数量

D.对信息系统复杂度的评估，受被审计单位所使用的系统类型的影响

[答案]A

[点评]信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然，选项A错误。

二、IT环境下的审计

1、IT控制与具体审计目标的联系

内容

一般控制

一般控制影响广泛，注册会计师通常不将控制与具体审计目标相联系；

应用控制

针对具体审计目标，注册会计师识别出应用控制，测试其运行有效后，注册会计师能够减少实质性程序。

2、在不同IT环境下的审计

方式

对注册会计师的要求

不太复杂

可采取传统方式审计，即“绕过计算机进行审计”

仍需了解信息技术一般控制和应用控制，但不测试其运行的有效性。

较为复杂

“穿过计算机进行审计”

运用计算机辅助审计技术和电子表格等开展工作

第四节　计算机辅助审计技术和电子表格的运用

一、计算机辅助审计技术

1、类型

分类

内容

面向系统的计算机辅助审计技术

包括平行模拟、测试数据、嵌入审计模块法、程序编码审查、程序代码比较和跟踪、快照等方法

面向数据的计算机辅助审计技术

包括数据查询、账表分析、审计抽样、统计分析、数值分析等方法

2、优点

提高审计效率，节约审计时间和成本。

3、应用

二、电子表格（Excel）

相关风险

内容

输入错误

录入、引用和剪贴中出现错误

逻辑错误

公式错误

接口错误

系统间的传输错误

其他错误

其他

第五节　数据分析

一、数据分析的概念

内容

方式

质量

数据分析是通过数据结构中的字段来提取数据，而不是通过数据记录的格式，分析质量的提高程度取决于以正确方式提取、分析和连接的基础数据。

运用环节

数据分析工具可用于风险分析、交易和控制测试、分析性程序。

作用

a）数据分析能让注册会计师处理完整的数据集（总体中的全部交易），让非专业人士以图形化的方式查看结果；

b）数据分析工具可以提高审计质量，审计质量不在于工具本身，而是在于分析和相应判断的质量。

这种价值不在于数据转换，而是在于从分析产生的交谈和询问中提取的审计证据。

二、数据分析的影响

1、数据分析面临的挑战

内容

数据接口

注册会计师需要为客户的系统开发接口和映射编码，以便能够从系统中提取数据

数据转换

注册会计师需要决策对数据进行的转换和改变，以便实现数据的可用性

数据容量

数据分析的规模和范围可能超出标准服务器的容量

数据保留

注册会计师需要考虑保留数据的方式，以满足审计准则的文件记录要求

2、数据分析对审计准则的影响【补充内容，有助于了解数据分析对审计行业和准则的影响】

内容

观点

（1）使用数据分析技术使得注册会计师可以执行超大规模工作，审计准则需要彻底的变革以反映新技术的发展

（2）审计准则只需要适当修改以反映一些效力强大的审计新技术

真题和模拟题精讲

多项选择题【模拟题】

下列有关数据分析的说法中，不正确的有（　　）。

A.数据分析主要通过数据记录的格式进行数据提取

B.审计准则需要彻底的变革以反映数据分析技术的发展

C.注册会计师可以对提取的数据进行转换，但不应对数据做出改变

D.数据分析的价值在于可以提高审计质量，这种价值来自于数据分析工具本身及对数据进行的转换

[答案]ABCD

[点评]数据分析是教材2017年新增的考点，同学们应当借助本题对基本观点做出辨析。

第六节　不同信息技术环境下的问题

一、总述

环境

风险点

网络环境

应用软件和数据文件分布不同而产生安全、兼容性等问题

数据库

管理系统

多重使用者能够访问和修改共享数据的风险

电子商务

系统

容易被拦截、篡改或不当获取；与交易对方互相依赖

二、外包安排

1、审计程序【多选题考点】

含义

被审计单位可能将信息技术职能外包给专门的服务机构

总体程序

当外包安排构成被审计单位与财务报告相关的信息系统或业务流程的一部分：

（1）了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制；

（2）获取相关控制运行有效性的证据。

控制测试

（1）了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告；

（2）测试被审计单位对服务机构活动的控制；

（3）对服务机构实施控制测试。

2、获取外部报告【多选题考点】

如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告，注册会计师应考虑三点因素进行评价：

（1）控制测试涵盖的期间以及与管理层评估时间点的关系；

（2）测试涵盖的范围、测试的控制及其与企业控制的关联度；

（3）控制测试结果以及服务机构注册会计师对控制运行有效性发表的意见。

真题和模拟题精讲

多项选择题【模拟题】

平章集团将信息技术职能外包给专门服务机构，注册会计师获取相关控制运行有效性的证据时，可以执行的程序有（　　）。

A.对服务机构实施控制测试

B.向服务机构寄发询证函

C.获取服务机构注册会计师对服务机构出具的财务报表审计报告

D.测试被审计单位对服务机构活动的控制

[答案]AD

[点评]寄发询证函不适用于控制测试，选项B错误。

获取服务机构注册会计师对服务机构出具的财务报表审计报告，不涉及为内部控制的有效性提出意见，不属于注册会计师获取与外部服务机构相关的控制运行有效性的审计程序，选项C错误。

单项选择题【模拟题】

平章集团将信息技术职能外包给专门服务机构，注册会计师评价服务机构注册会计师对服务机构内部控制有效性出具的报告时，通常无需考虑的因素是（　　）。

A.控制测试涵盖的期间

B.测试的控制与企业的关联度

C.服务机构注册会计师对服务机构内部控制有效性出具的意见

D.服务机构注册会计师的收费水平

[答案]D

[点评]如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告，注册会计师应考虑3点因素进行评价：

（1）控制测试涵盖的期间以及与管理层评估时间点的关系；

（2）测试涵盖的范围、测试的控制及其与企业控制的关联度；（3）控制测试结果以及服务机构注册会计师对控制运行有效性发表的意见。

脉络和复习

本章复习计划

第一轮：

▪  复习开篇提示的重要考点。

▪  收听“强化专题班”有关本章节的经典答疑。

第二轮：

▪  复习信息技术的一般控制和应用控制，熟悉数据分析的概念，识记外包安排的相关程序。