2020年注册会计师《审计》冲刺讲义(49):信息技术对企业财务报告和内部控制的影响
在信息技术环境下,人工控制的基本原理在信息环境下并不会发生实质性的改变,注册会计师仍需要按照标准执行相关的审计程序,而对于自动控制,就需要从信息技术一般控制审计、信息技术应用控制审计以及公司层面信息技术控制审计三方面进行考虑。
1.信息技术一般控制与应用控制
信息技术一般控制 | 信息技术应用控制 | |
概念 | 信息系统一般控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献。 | 信息技术应用控制是设计在计算机应用系统中的、有助于达到信息处理目标的控制 |
包括内容 | 包括程序开发、程序变更、程序和数据访问以及计算机运行等四个方面 | 信息技术应用控制一般要经过输入、处理及输出等环节 |
要点 | 由于程序变更控制、计算机操作控制及程序数据访问控制影响到系统驱动组件的持续有效运行,注册会计师需要对上述三个领域实施控制测试 | 和手工控制类似,系统自动控制关注的要素包括:完整性、准确性、存在和发生。应用控制审计关注要点包括:(1)系统自动生成报告;(2)系统配置和科目映射;(3)接口控制;(4)访问和权限 |
【注意】
1.如果计划依赖自动应用控制、系统生成的信息等,则需要对信息技术的一般控制进行验证。
2.所有的自动应用控制都会有一个手工控制与之相对应。例如,通过批次汇总的方式验证数据传输的准确性和完整性时,如果出现例外,就需要有相应的手工控制进行跟踪调查。
在测试时,每个自动系统控制都要与其对应的手工控制一起进行测试,才能得到控制是否可信赖的结论。
2.公司层面信息技术控制
常见的公司层面信息技术控制包括但不限于:
(1)信息技术规划的制定;
(2)信息技术年度计划的制定;
(3)信息技术内部审计机制的建立;
(4)信息技术外包管理;
(5)信息技术预算管理;
(6)信息安全和风险管理;
(7)信息技术应急预案的制定;
(8)信息系统架构和信息技术复杂性。
目前审计机构针对公司层面信息技术控制往往会执行单独的审计,以评估企业信息技术的整体控制环境,来决定信息技术一般控制和应用控制的审计重点、风险等级、审计测试方法等。
3.信息技术一般控制、应用控制与公司层面控制三者之间的关系
(1)公司层面信息技术控制影响公司信息技术一般控制和信息技术应用控制的部署和落实;
(2)注册会计师在执行信息技术一般控制和信息技术应用控制审计之前,会首先执行配套的公司层面信息技术控制审计,以了解公司的信息技术整体控制环境,并基于此识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点;
(3)如果带有关键的编辑检查功能的应用系统所依赖的计算机环境发现了信息技术一般控制的缺陷,注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。此外,与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查,而该合理性检查原本应能使系统拒绝处理金额超过最大容差范围的支付操作;
(4)公司层面信息技术控制是公司信息技术整体控制环境,决定了信息技术一般控制和信息技术应用控制的风险基调;信息技术一般控制是基础,信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。
【例题·单选题】(2018年)下列有关信息技术一般控制的说法中,错误的是( )。
A.信息技术一般控制只能对实现部分或全部财务报表认定做出间接贡献
B.信息技术一般控制对所有应用控制具有普遍影响
C.信息技术一般控制包括程序开发、程序变更、程序和数据访问以及计算机运行四个方面
D.信息技术一般控制在保证信息系统的安全
『正确答案』A
『答案解析』选项A,信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献。
【例题·单选题】下列有关信息技术内部控制审计的表述中,不正确的是( )。
A.自动化控制下,也会给企业带来一些财务报表的重大错报风险
B.对信息技术下内部控制的审计,注册会计师需要从公司层面信息技术、信息技术的一般控制和应用控制三方面进行
C.信息技术的一般控制通常能对实现信息处理目标和财务报告认定做出直接贡献
D.信息技术应用控制一般要经过输入、处理及输出等环节,自动系统控制关注信息处理目标包括:完整性、准确性、存在和发生
『正确答案』C
『答案解析』信息系统一般控制是指为了保证信息系统的安全,对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。信息技术一般控制通常会对实现部分或全部财务报表认定作出间接贡献。在有些情况下,信息技术一般控制也可能对实现信息处理目标和财务报表认定作出直接贡献
【例题·多选题】下列各项中,属于信息技术应用控制的是( )。
A.程序开发和变更
B.操作系统安全
C.财务系统中设定各科目映射关系
D.业务和财务系统间的接口数据传输
『正确答案』CD
『答案解析』应用控制审计关注要点包括:(1)系统自动生成报告;(2)系统配置和科目映射;(3)接口控制;(4)访问和权限
【例题·单选题】下列有关信息系统一般控制、应用控制和公司层面信息技术控制的说法中,正确的有( )。
A.信息技术一般控制是应用控制和公司层面信息技术控制的基础
B.评估的重大错报风险为低水平时,如果计划依赖自动应用控制,可以对其直接测试,而无需对信息技术的一般控制进行验证
C.注册会计师执行公司层面信息技术控制审计通常安排在执行信息技术一般控制和信息技术应用控制审计之前
D.需要关注的一般控制要素包括完整性、准确性、存在和发生
『正确答案』C
『答案解析』公司层面信息技术控制是信息技术的整体控制环境,决定了信息技术一般控制和应用控制的风险基调,选项A错误;如果计划依赖自动应用控制、系统生成的信息等,则需要对信息技术的一般控制进行验证,选项B错误;需要关注的应用控制要素包括完整性、准确性、存在和发生,选项D错误。
