审计学第5章PPT资料.ppt

1、511信息技术对内部控制的影响信息技术对内部控制的影响1信息技术的概念信息技术的概念审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版信息技术是指利用电子计算机和现代通信手段实现获取信息、传信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。递信息、存储信息、处理信息、显示信息、分配信息等的相关技术。现代信息技术是指现代信息技术是指2020世纪世纪7070年代以来，随着微电子技术、计算机年代以来，随着微电子技术、计算机技术和通信技术的发展，围绕信息的产生、收集、存储、处理、检索技术和通信技术的发展，围绕信息的产生

2、、收集、存储、处理、检索和传递，形成的一个全新的、用以开发和利用信息资源的高技术群，和传递，形成的一个全新的、用以开发和利用信息资源的高技术群，包括微电子技术、新型元器件技术、通信技术、计算机技术、各类软包括微电子技术、新型元器件技术、通信技术、计算机技术、各类软件及系统集成技术、光盘技术、传感技术、机器人技术、高清晰度电件及系统集成技术、光盘技术、传感技术、机器人技术、高清晰度电视技术等，其中微电子技术、计算机技术、软件技术、通信技术是现视技术等，其中微电子技术、计算机技术、软件技术、通信技术是现代信息技术的核心。代信息技术的核心。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出

3、版社出版2信息技术与财务报表的关系信息技术与财务报表的关系企业可以运用信息系统来创建、记录、处理和报告各项交易，以衡量和审查自身的财务业绩，并持续记录资产、负债及所有者权益。具体来讲，创建是指企业可以采取手工或自动的方式来创建各项交易信息；记录是指信息系统识别并保留交易及事项的相关信息；处理是指企业可以采取手工或自动的方式对信息系统的数据信息进行编辑、确认、计算、衡量、估价、分析、汇总和调整；报告是指企业以电子或打印的方式，编制财务报表和其他信息，并运用上述信息来衡量和审查企业的财务业绩及其他方面的职能。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版3信息技术对内部控制的

4、积极影响信息技术对内部控制的积极影响在信息技术环境下，传统的人工控制越来越多地被自动控制所替代。当然，被审计单位采用信息系统处理业务，并不意味着人工控制被完全取代。信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。在基于信息技术的信息系统中，系统进行自动操作来实现对交易信息的创建、记录、处理和报告，并将相关信息保存为电子形式，但相关控制活动也可能同时包括手工的部分。由于被审计单位信息技术的特点及复杂程度不同，被审计单位的手工及自动控制的组合方式往往会有所区別。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版在信息技术环境下，自动控制能为企业带来以下在信息技术环境下

5、，自动控制能为企业带来以下5个方面的个方面的好处。好处。自动控制能够有效处理大流量交易及数据，因为自动信自动控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法；息系统可以提供与业务规则一致的系统处理方法；自动控制比较不容易被绕过；自动信息系统、数据库及操作系统的相关安全控制可以自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离；实现有效的职责分离；自动信息系统可以提高信息的及时性、准确性，并使信自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取；息变得更易获取；自动信息系统可以提高管理层对企业业务活动及相关政自动信息系统可以提高管

6、理层对企业业务活动及相关政策的监督水平。策的监督水平。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版4评估信息技术的风险评估信息技术的风险随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但内部控制的目标并没有发生改变。内部控制的目标包括：提髙管理层决策制定的效果和业务流程的效率；提高会计信息的可靠性；促进企业遵守法律和规章。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版5 51 12 2 信息技术中的一般控制和应用测试控制信息技术中的一般控制和应用测试控制在信息技术环境下，人工控制的基本原理与方式在信息环境下并不会发生实质性的改变，注册会

7、计师仍需要按照标准执行相关的审计程序，而对于自动控制，就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版1信息技术一般控制审计信息技术一般控制审计信息技术一般控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。信息技术一般控制通常会对实现部分或全部财务报表认定做出间接贡献。在有些情况下，信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社

8、出版信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面。（1）程序开发程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。（2）程序变更程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版（3）程序和数据访问）程序和数据访问程序和数据访问这一领域的目标是确保分配的访问程序和数据的权程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。程序和数据访问的子组件一般包限是经过用户身

9、份认证并经过授权的。程序和数据访问的子组件一般包括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物括安全活动管理、安全管理、数据安全、操作系统安全、网络安全和物理安全。理安全。（4）计算机运行）计算机运行计算机运行这一领域的目标是确保生产系统根据管理层的控制目标计算机运行这一领域的目标是确保生产系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管数据的完整性。计算机运行的子组件一般包括计算机运行活动的总体管理、批调度和批处理、

10、实时处理、备份和问题管理以及灾难恢复。理、批调度和批处理、实时处理、备份和问题管理以及灾难恢复。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版2 2信息技术应用控制审计信息技术应用控制审计信息技术应用控制一般要经过输入、处理及输出等环节。和人工控制类似，系统自动控制关注的要素包括：（1）完整性系统处理数据的完整性，例如：各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。（2）准确性系统运算逻辑的准确性，例如，金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。（3）存在和发生信息系统相关的逻辑校验控制。例如，

11、限制检查、合理性检查、存在检查和格式检查等。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版3公司层面信息技术控制审计公司层面信息技术控制审计除信息技术一般控制和应用控制外，目前国内外企业的管理层也越来越重视公司层面的信息技术控制管理。常见的公司层面信息技术控制包括但不限于：信息技术规划的制定；信息技术年度计划的制定；信息技术内部审计机制的建立；信息技术外包管理；信息技术预算管理；信息安全和风险管理；信息技术应急预案的制定；信息系统架构和信息技术复杂性。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版4信息技术一般控制、应用控制与公司层面控制三者之信息技

12、术一般控制、应用控制与公司层面控制三者之间的关系间的关系公司层面信息技术控制情况代表了该公司的信息技术控制的整体环境，包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等，这些要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版513信息技术对审计过程的影响信息技术对审计过程的影响1信息技术审计范围的确定信息技术审计范围的确定被审计单位的流程和信息系统可能拥有各自不同的特点，因此注册会计师应按各自特点制定审计计划中包含的信息技术审计内容；另外，如果注

13、册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的范围。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版为此，注册会计师在确定审计策略时，需要结合被审计为此，注册会计师在确定审计策略时，需要结合被审计单位业务流程复杂度、信息系统复杂度、系统生成的交易数单位业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等量、信息和复杂计算的数量、信息技术环境规模和复杂度等方面，对信息技术审计范围进行适当考虑。信息技术审计的方面，对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程、信息

14、系统相关方面的复杂度范围与被审计单位在业务流程、信息系统相关方面的复杂度成正比。在具体评估复杂度时，可以从以下三个方面予以考成正比。在具体评估复杂度时，可以从以下三个方面予以考虑。虑。评估业务流程的复杂度（如销售流程、薪酬流程、采购流评估业务流程的复杂度（如销售流程、薪酬流程、采购流程等）；程等）；评估信息系统的复杂度；信息技术技术环境的规模和复杂度。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版2 2一般控制对控制风险的影响一般控制对控制风险的影响信息技术一般控制对应用控制有效性具有普遍性影响。无效的一般控制增加了应用控制不能防止或发现并纠正认定层次重大错报的可能性，即使这些应用控制本身得到了有效设计。如果一般控制有效，注册会计师可以更多地信赖应用控制，测试这些控制的运行有效性，并将控制风险评估为低于“最高”水平。考虑到公司层面信息技术控制是公司的整体控制环境，决定了信息技术的风险基准，因此，注册会计师通常优先评估公司层面信息技术控制和信息技术一般控制的有效性。审计学审计学陈少勇编著陈少勇编著电子工业出版社出版电子工业出版社出版3IT控制对控制风险和实质性程序的影响控制对控制风险和实质性程序的影响在评估IT控制对控制风险和实质性程序的影响