北京注册会计师协会专业技术委员会专家提示——整合审计下运用信息技术风险应对(京会协专〔2025〕1号)
发文信息
- 发文机关: 北京注册会计师协会
- 发布日期: 2025-06-26
- 生效日期: 2025-06-26
- 时效性: 现行有效
- 文号: 京会协专〔2025〕1号
- 原文链接: 北京注协
本提示仅供事务所及相关从业人员在执业时参考,不能替代相关法律法规、注册会计师执业准则以及注册会计师职业判断。提示中所涉及审计程序的时间、范围和程度等,事务所及相关从业人员在执业中需结合项目实际情况、风险导向原则以及注册会计师的职业判断确定,不能直接照搬照抄。
财政部于2023年12月发布了《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》(财会〔2023〕30号),提出了上市公司及拟上市企业内部控制评价报告和财务报告内部控制审计报告的强制披露的监管要求。该文件生效后,注册会计师提供的资本市场发行主体的审计业务中,整合审计将成为常态。另外,在2022年12月修订的《审计准则第1211号——重大错报风险的识别和评估》中,对注册会计师评估和应对被审计单位运用信息技术的风险提出了一些新的概念和要求。本专家提示通过对企业运用信息技术导致的风险和相关控制的分析,对信息系统测试的范围、时间安排和要点等做出梳理,供注册会计师在执行整合审计业务时参考。
一、信息技术对企业内部控制的影响及注册会计师面临的挑战
1.信息技术对企业内部控制的影响
伴随着信息技术不断发展,企业对信息技术的应用也日益深化。在会计信息化领域,如ERP在制造业企业中的应用,业务操作与会计核算以及财务报表编制不再相互割裂,企业内部采购、库存、生产、销售、人事、研发等业务环节与会计核算充分整合,业务端与财务端高度集成。企业利用信息系统处理财务信息、持续记录资产、负债及所有者权益,进而生成、编制财务报告。信息系统已替代传统手工账簿,成为记录企业财务信息、编制财务报告的主要平台。
信息技术在企业中的运用,特别是会计信息化,对企业的内控建设也有很大的影响。信息系统对企业内部控制的影响,主要取决于企业对信息系统的依赖程度。在会计信息化背景下,企业的业务流程与信息系统的使用紧密结合,依赖程度较高,对内部控制产生了直接的影响,主要体现在以下方面:
(1)在信息技术环境下,传统的人工控制越来越多地被信息系统自动化控制所替代。
(2)信息系统可以促进企业内部控制相关信息的搜集、处理和传递,提升内部控制信息的及时性、可获取性和有用性,从而促进内部控制有效运行。
(3)信息技术环境下,企业内部监控的范围、内涵发生了变化,需要充分考虑信息系统的使用情况;决定内部控制自我评价的方式、范围、程序和频率时,需要考虑信息技术使用带来的影响。
(4)信息系统的使用为企业内部控制带来了新的风险因素,并相应对会计核算和财务报告信息产生影响:
①非法的信息访问或未经授权的交易:对信息系统要特别考虑自动导入数据和特定类型的授权,这些自动化的处理过程可能导致未经授权的个人能够进行交易的处理。
②缺少适当的职责分离:很多在人工环境下需分别执行的控制程序可能因违反职责分离的原则在信息系统中由单个账号合并完成。
③依赖了有缺陷的应用系统或程序:信息系统一般情况下可减少在人工处理过程中出现错误的风险,但某些情况下,程序设计的错误(或其他硬件或软件的系统错误)可能导致系统性风险,如:由于系统流程错误导致交易被错误处理等,而这种在程序逻辑上出现的错误很难被及时发现。
④错误或舞弊的可能性:开发、维护和运行信息系统需要较高的精确程度,在此情况下,人为错误的危害性可能比人工环境下要大很多。同时,如果没有充分的预防及检测机制,在开发、维护和运行信息系统时出现的错误或舞弊也很难被发现。
⑤不适当的依赖计算机处理的结果:在执行人工控制程序或创建会计记录情况下,可能使用信息系统和其他计算机程序,并形成最终报告和其他输出数据。这些手工控制程序的有效性或会计记录的可靠性依赖于计算机程序的完整性和准确性,如果计算机程序出现问题,人工控制程序也会失效,会计记录也会失真。
⑥对交易的跟踪不充分或数据丢失:有些信息程序的设计使可用于跟踪完整交易路径的审计线索(对于审计目标来说是有用的)仅存在于一个短暂的时期或仅以计算机可识别的形式表现,甚至有些情况下,信息系统(例如ERP系统)在执行复杂数据处理时,根本无法保留完整的交易路径。
2.注册会计师在信息化环境下面临的挑战
虽然信息技术并未改变注册会计师制定的审计目标、了解企业内部控制和评估风险等方面的原则和逻辑,但信息系统在会计核算和财务报告中的运用,把注册会计师带入了一个全新的、充满挑战的信息化环境。在这个环境中,注册会计师面对的是功能复杂、高度集成的大型信息系统或系统集群,以及系统生成、处理、记录和报告的海量电子数据,还有完全不同于传统形式的记账方式。如果作为审计工作对象的财务会计信息和报告是由企业财务报告相关信息系统作为载体所形成的,那么注册会计师在了解业务流程和内部控制、识别和评估审计风险、确定审计风险的应对以及审计范围、制定审计计划、执行审计程序以及收集审计证据等方面将面临来自信息化环境的挑战,主要体现在:
(1)在业务流程开展和内部控制运作方面,因信息化技术的应用,具有不同于人工处理的方式和特点,注册会计师需要重新建立理解。传统环境下,业务流程的开展和内部控制的运作主要依赖手工处理。信息化环境下,相关部分的内部控制环节转移到信息系统中自动执行,或者人工与信息系统相结合执行。因此,在信息化环境下,注册会计师需要重新建立对业务流程开展和内部控制运作的理解。
(2)在对信息系统相关的审计风险的认识方面,信息系统的运用是一把双刃剑,在带来效率效果提升的同时,也产生了因信息技术应用导致的风险。注册会计师在执行财务报表及内控审计时,需要充分识别和评估与会计核算和财务报告编制相关的信息技术运用相关的风险(如前文“一、1”所述)。对相关控制风险缺乏认识,可能导致审计工作的针对性欠缺,难以有效识别财务报表重大错报风险。
(3)在审计范围的确定方面,在确定审计范围时,注册会计师往往受困于信息技术的复杂性和专业性。如果对企业的应用系统架构、财务报告生成平台、信息系统间的数据流等事项认识不清楚,往往会导致确定审计范围时产生遗漏。
(4)在审计内容方面,在信息化环境下,会计核算和财务报告编制可能是由信息系统通过程序自动处理的,也可能是由信息系统自动化控制和人工控制的交互(如信息技术应用程序和人工进行的信息处理之间的交互)完成的。因此审计内容有可能包括对信息系统中相关自动控制的测试。
(5)在风险因素的迹象方面,在信息化环境下,会计信息的数字化可能导致以传统方式表现的风险迹象和线索不复存在。信息系统封装了信息处理加工的过程,其内部处理逻辑、运算的中间过程,往往对系统用户是透明的,传统的审计线索全面隐性化。
(6)在审计证据效力方面,信息化环境重塑了审计证据的形态与获取路径,对审计证据的效力产生多维度影响:在多系统协同作业的背景下,数据交互频繁,来源分散;电子数据因其自身特性,极易被篡改,且篡改过程可以做到不留痕迹;越来越多的企业对其信息系统进行复杂的加密设置和严格的访问权限限制等。审计人员需要充分考量证据的来源和性质;但鉴于以上情况,利用传统审计手段,审计人员很难对在信息化环境下获取审计证据的充分性和适当性作出判断。
(7)在审计技术方面,面对海量的交易、数据和财务信息,传统的审计技术在抽样针对性和样本覆盖度方面的局限性越来越突出。一方面,信息技术的运用改变了企业的运作模式和工作方式,传统审计技术所针对的问题特征可能已经消失或者发生改变,注册会计师的经验可能无法简单移植,从而丧失审计应对的针对性;另一方面,面对海量数据,传统的抽样方式难以覆盖大量的数据,对于不同来源的数据缺乏洞察力,在覆盖性方面难以提供更强的审计支撑。
(8)在知识结构方面,信息技术的广泛应用,对注册会计师的知识结构提出了新的要求。不仅要具备丰富的会计、审计、经济、管理、法律方面的知识和技能,注册会计师还需要对信息技术有所了解和掌握,熟悉系统的架构、信息处理的基本逻辑、系统运行的原理,以及与信息技术运用相伴生的风险因素;熟悉企业对信息技术的运用和信息系统的风险及控制。这些都是对注册会计师要应对的知识结构的新挑战。
(9)在与专业团队的充分协同工作方面,复杂技术的日新月异,使财务报表审计和内控审计对专业知识的需求日益迫切。注册会计师在优化自身的知识结构体系过程中,引入具有信息技术专业技能的人员参与审计工作已成为一种有效的审计手段。
二、运用信息技术的相关控制
被审计单位运用信息技术的控制包括信息技术环境、信息技术一般控制、信息处理控制三个层面:
1.信息技术环境
信息技术环境是指被审计单位用于支持其经营战略和经营活动的信息技术应用程序、支持性信息技术基础设施、信息技术流程以及流程中的相关参与人员。
(1)信息技术应用程序,是指用于生成、处理、记录和报告交易或其他方面信息的程序,包括数据仓库和报告生成工具;
(2)信息技术基础设施,包括网络、操作系统、数据库及相关的硬件和软件;
(3)信息技术流程,是指被审计单位用于管理信息技术环境访问权限、程序更改、信息技术环境变化以及信息技术运行的流程。
信息技术环境是企业信息系统使用和管理的基调。信息技术环境为控制活动的运行提供环境和基础。注册会计师通常会发现,在信息系统审计过程中遇到的重大控制缺陷的根源一般都出在信息技术环境中的某一个环节上。
在财务报表审计和内控审计中,注册会计师需要了解信息技术环境及与财务报告有关的信息系统,从而了解企业如何使用信息技术及信息技术如何影响财务报表。注册会计师结合其他了解到的被审计单位及其环境情况,识别和评估重大错报风险,从而为信息系统的审计范围的确定提供基础。
信息系统的使用对财务报表认定有直接或间接的影响,则认为该系统与财务报表审计和内控审计相关。相反,如果企业使用的信息系统与财务报表认定不相关,则认为该系统通常与财务报表审计和内控审计不相关。
2.信息技术一般控制
根据《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》及其应用指南(以下统称为“1211号准则”),信息技术一般控制是指为支持被审计单位信息技术环境持续正常运行而实施的控制,包括为支持信息处理控制持续有效运行,以及确保信息系统中信息的完整性、准确性和有效性而实施的控制。
执行信息技术一般控制的了解和测试,旨在应对运用信息技术导致的风险。注册会计师利用其对已识别的信息技术应用程序和信息技术环境的其他方面以及运用信息技术导致的风险的了解,确定拟识别的信息技术一般控制。被审计单位可能会在整个信息技术环境或特定信息技术应用程序之间使用通用的信息技术流程,在这种情况下,注册会计师可能识别出常见的运用信息技术导致的风险和通用的信息技术一般控制。
信息技术一般控制通常在信息技术环境的每个方面中执行,包括:应用程序、数据库、操作系统、网络等。
在信息技术流程中可能存在的信息技术一般控制示例包括以下三类:
(1)在管理访问权限流程中,涉及:认证、授权、配置、取消配置、超级访问权限(管理员权限)、用户访问权限复核、安全配置控制、物理访问权限等;
(2)在管理程序或信息技术环境中的其他变更的流程中,涉及:管理变更的流程,与变更迁移相关的职责分离,系统开发、购置或推行,数据转换等;
(3)在管理信息技术运行的流程中,涉及:作业排期、作业监督、备份和恢复、入侵检测等。
以上的三类,又可划分为信息技术一般控制的四大领域,即:系统开发、系统变更、程序和数据的访问、系统日常运行维护。这些控制活动的实现方式可能是系统实现的自动控制,如通过SVN服务器实现变更程序的版本控制;也可能是人工方式实现的人工控制,如系统中对于账号权限申请的书面审批控制;还可能是基于系统数据而进行的人工控制,如相关人员对于系统账号权限的定期复核控制。
信息技术一般控制为信息系统按照管理预期正常运转的基本控制,为信息处理控制的持续有效性提供保障。
正是由于信息技术一般控制的基础性和内核性,信息技术一般控制在审计中具有以下的局限性:(1)信息技术一般控制一般不会直接预防或发现重大错报;(2)信息技术一般控制一般不会直接对特定财务报表项目认定提供直接证据;(3)有效的信息技术一般控制本身并不能得出信息处理控制可靠的结论。
3.信息处理控制
信息处理控制是指与被审计单位信息系统中下列两方面相关的控制:一是信息技术应用程序进行的信息处理;二是人工进行的信息处理。这些控制直接应对信息(如交易信息等)完整性、准确性和有效性方面的风险。信息处理控制为业务的持续有效运行和财务报表的编制提供直接或间接基础和支持。每个企业在各个业务流程的信息处理控制千差万别,需要在审计过程中,从每个财务报表科目余额或交易的重大财务错报风险出发,在业务流程中识别是否有相关的系统支持存在,即在了解与财务报告有关的信息系统中所提到的对被审计单位对信息技术的依赖领域,通常包括以下几类:系统自动控制、系统自动计算、系统生成的报表/信息、系统权限管理和职责分离、系统之间的自动化接口。其中,系统自动控制、系统自动计算和报表数据通常通过系统自动方式实现,为自动化控制;系统权限及职责分离和接口通常是自动化控制或自动化控制和人工控制的交互。
企业的内部控制体系是企业实现全面风险应对的全面控制体系。信息系统控制是企业的内部控制体系的有机组成部分,并伴随着企业信息化程度的提升而在内控体系中的地位日益重要,占比日益提升。
三、整合审计中信息系统测试的主要阶段
整合审计(即内控审计与财务报表审计整合进行)中对信息系统的审计,不是独立于财务报表审计及内控审计,而是整合审计工作的一部分,最终目的是支撑注册会计师对财务报表及内部控制发表审计意见。同时,它也不是从计划到完成一次性的单向工作,在审计执行过程中要根据实际情况做出判断、评估和应对,并不断修正审计程序或审计策略,最终达到对财务报表或内部控制的合理保证目的。
对信息系统测试的阶段划分,也是纳入到财务报表审计及内控审计相同的阶段划分中:
(1)作为了解被审计单位内部控制体系要素中的一个重要组成部分,在了解被审计单位与财务报表编制相关的信息与沟通时,注册会计师应充分关注和了解信息技术环境、信息技术一般控制对被审计单位信息处理控制的影响,识别和评估相关重大错报风险。
(2)制定审计策略并规划审计工作以应对风险。
(3)结合整体审计策略,厘定对信息系统的依赖程度,确定系统审计策略,包括了解和识别被审计单位的信息系统依赖领域,进一步确定系统审计的相关性,确定审计范围和内容。
(4)根据制定的审计策略和审计计划,对纳入审计范围的信息系统执行审计工作,包括信息技术一般控制的审计及信息处理控制的审计;信息技术一般控制的审计通常涉及对系统开发、系统变更、运行维护、程序及数据的访问四个领域的审计;信息处理控制的审计一般涉及系统自动化控制、系统生成的报表/信息、系统自动计算、系统权限管理和职责分离、系统之间的自动化接口等方面。
(5)针对审计执行的结果进行分析评估,规划进一步审计程序的应对方案;
(6)根据应对方案,调整实质性审计程序或整体审计策略并执行。
如果运用信息技术导致的风险与仅实施实质性程序不能提供充分、适当的审计证据的风险相关,注册会计师可能无法应对这些风险。在这种情况下,注册会计师需要考虑对审计意见的影响。
四、确定整合审计中对信息系统的审计范围
整合审计的审计范围是依据被审计对象的重大错报风险及控制而产生的。因此在整合审计中,注册会计师需要考虑被审计单位的财务报表重大错报风险相关联的信息系统风险及控制,对其控制体系进行评价和验证,从而确保相关的风险能被合理控制。
如前所述,企业的信息系统相关风险控制体系为三个层面:信息技术环境、信息技术一般控制体系、信息处理控制体系。根据1211号准则的要求,不管是否执行信息系统审计程序,注册会计师都需要对被审计单位的信息技术环境进行了解。也就是说,信息技术环境的了解是注册会计师必须完成的内容,而无关乎范围的选择。
信息处理控制层面,即前面所提到的信息系统依赖,具体包括:系统自动控制、系统自动计算、系统生成的报表/信息、系统权限管理和职责分离、系统之间的自动化接口。业务层面的信息系统依赖一般直接对重大业务流程和交易产生影响,从而直接或间接对财务报表产生影响,而信息技术一般控制对业务层面的信息系统依赖的有效性提供了保驾护航。
信息技术一般控制层面,具体包括系统开发、系统变更、运行维护、程序及数据的访问。
1.对业务层面信息系统审计范围的确定
对信息系统的审计是整合审计不可分割的重要组成部分,因此信息系统审计范围的确定也是从整合审计需要出发,信息系统的审计范围的确定是随着整体审计范围的确定而确定的。一般而言,确定业务层面信息系统的审计范围的步骤及方法大致分为以下几步:第一步,确定重要的财务报表科目、组成部分、重大披露;第二步,确定整合审计中的重要业务流程和交易;第三步,识别相关业务流程和交易的潜在错报风险来源;第四步,确定应对所识别风险的系统应用和数据,即重要业务流程和交易中的信息系统依赖,这些信息系统依赖即信息系统审计的审计基本范围。
需要说明的是,通过以上步骤识别出的信息系统依赖领域只是说明了这些信息系统相关的依赖与整合审计具有相关性。这些内容是否会纳入最后的信息系统审计工作,还需要根据整合审计的整体审计策略的选择和对相关信息系统的拟依赖程度进行规划才能确定。
举例来看,在整合审计中,假设销售收入被确定为重要的财务报表科目,销售流程被确定为重大流程纳入审计范围。在进行销售流程控制活动审计范围规划过程中,注册会计师需要对销售流程进行端到端的了解,识别整个流程中潜在错报的可能来源及应对风险的内部控制活动,进而根据整体审计策略,即销售收入的重大错报风险及审计应对措施(包括实施控制测试和实质性程序),确定需要纳入审计范围的信息系统,包括业务层面的自动控制活动、为了支持人工控制的系统生成报表和数据、自动计算、访问控制、系统自动接口。这些应用控制和数据与该被审计单位的信息系统审计具有强相关性。
基于实施上述步骤,注册会计师可以识别和初步确认信息系统审计的范围基础。以下是该步骤后整理出的财务报表错报风险与系统控制的对应关系表:
信息系统审计范围规划表一:信息系统依赖点清单
1.财务报表科目 | 2.业务流程和交易 | 3.潜在错报风险 | 4.信息处理控制及数据 | 5.涉及系统 |
---|---|---|---|---|
销售收入(示例) | 销售与收款(示例) | 收入计量不准确(示例) | 系统自动按订单金额计算在该期间应确认的广告收入金额(示例) | CRM系统(示例) |
XXX | XXX | XXX | XXX | XXX |
该表格仅列出部分关键要素,注册会计师可以根据实际情况丰富该表格的内容便于审计范围的规划。该表格是后续审计范围确定的初始来源,其中4列和5列将构成系统审计范围确定的基础:4列为业务层面的系统依赖领域,即应用控制及数据;5列为系统应用控制可能涉及的系统清单,该清单是后续确定纳入审计范围的信息系统的基础及来源。
上述分析对于注册会计师进行信息系统审计范围的确定至关重要,在审计项目的计划阶段,建议由资深审计人员对被审计单位进行初步了解后,进行详细评估并进行记录,并由项目负责人复核,以便于确定下一步审计范围。
通过该表格分析,注册会计师可以得出与本次整合审计相关的信息系统清单。
需要再次强调的是,信息系统审计范围需要与审计整体范围统筹全盘考虑,要避免孤立地确定信息系统审计范围。
2.信息技术一般控制审计范围的确定
以上所述与整合审计具有相关性的信息系统依赖是属于业务层面的系统依赖,即企业在各个业务流程中所涉及的信息处理控制及数据。为了支撑这些信息处理控制和数据,注册会计师通常需要对支持这些信息系统依赖的相关系统基础控制,即相关的信息技术一般控制进行审计工作,来保证建立其上的信息处理控制和数据可以持续有效地对财务报表进行支撑。
信息技术一般控制是为了应对信息技术导致的风险而产生的控制体系。控制体系包含了系统开发、系统变更、系统运维、程序及数据的访问四个领域。
在选定需要测试的信息技术一般控制时,注册会计师先要评估分析被审计单位的因使用信息技术导致的风险,将相关风险与信息技术一般控制进行一一对应,并选择与被审计单位特定信息技术风险相关的领域进行审计。
当然,在进行信息系统风险评估的过程中注册会计师应当保持职业谨慎性,对于判断为不相关风险而不进行测试的环节要作出充分评估和说明,并详细记录不相关的理由和判断依据,并不将该部分控制包括在审计范围中。
以下是整理出的系统清单与一般控制领域对应关系表:
信息系统审计范围规划表二:系统一般控制审计适用领域匹配表
1.涉及系统 | 2.适用领域 | |||
系统开发 | 系统变更 | 程序和数据访问 | 系统日常维护 | |
XX系统 | 适用/不适用 | 适用/不适用 | 适用/不适用 | 适用/不适用 |
上述规划表在表一的基础上产生,其中,该表的1列(涉及系统)即来自于表一的5列。
需要特别注意的是,信息技术一般控制是一个完整的体系,各个领域之间具有一定的相关性,各个领域相互作用才能对信息系统的有效运转提供体系化保证。因此,注册会计师在判断某一个领域或者某个领域的某一个控制环节与被审计单位不相关时,一定要保持职业怀疑态度和谨慎性,才能作出合理判断。同时,对于相关风险的判断需要与时俱进,在每次执行审计工作前,需要对风险进行重新评估和判断,以识别被审计单位环境和控制的变化而导致的风险变化,保证审计工作能够符合被审计单位当时的环境和背景要求。
3.整体审计策略中厘定对信息系统的依赖程度
利用上述信息系统审计范围确定的方法和步骤,注册会计师可以进一步判定与整合审计相关的信息系统审计在信息处理控制和信息技术一般控制的范围基础。但是,经过这个步骤之后,注册会计师得到的只是与整合相关的信息系统依赖领域,即审计范围基础。
在整合审计计划中,注册会计师是否需要对这些依赖领域执行审计工作,以及对哪些依赖领域执行审计工作还需要考虑整体审计策略中重要的一环,即确定的审计策略中对信息系统的依赖程度。
对于同一个被审计单位而言,审计策略中对控制的依赖程度不同,将直接决定信息系统依赖程度的不同,进而导致信息系统审计工作的范围、性质和方法的差异。
根据1211号准则的要求,不论总体审计策略是否选择依赖控制来获取审计信息,注册会计师都需要对企业内部控制,包括信息技术整体控制环境进行了解和评估。
如果注册会计师根据了解和评估的结果,判断控制无效而不依赖控制,或者注册会计师决定实施实质性程序更有效而不依赖控制。因此,在该审计策略下,注册会计师对信息系统的依赖程度是最低的。
需要注意的是,在整合审计中,注册会计师应当对所有影响重大账户及重大披露的重大交易类别及重大披露流程的设计及运行有效性(即依赖控制的策略)进行识别及测试。
在设计控制测试的范围时要注意该范围(不论是选择要测试的控制范围还是对这些控制所实施的测试程序的范围)均比注册会计师在单纯财务报表审计时进行的控制测试的范围要广。采取的评估及测试控制的程序应当能够获取更有力的证据以支持注册会计师对内部控制发表意见。
需要再次强调的是,在审计过程中,以上步骤确定的信息系统审计范围不是一成不变的。随着审计的进行和深入,这两个表格需要根据实际情况逐步细化和更新,以确保审计程序能够合理支撑审计计划和结论。另外,这两张表格不是孤立的两张表格,第一张表格是第二张表格的基础。随着第一张表格的更新,注册会计师要及时更新第二张表格,确保系统审计对整体审计的无缝对接和支撑。防止系统审计程序的浪费或审计不足。如果在审计过中引入了具有信息技术专业技能的人员参与,注册会计师需要确保在发生变动的情况下,及时与具有信息技术专业技能的人员进行沟通,确保系统审计的范围合理有效。
五、具有信息技术专业技能的人员参与审计工作
信息技术的广泛应用给注册会计师执行整合审计带来了很大的挑战。审计工作所涉及的信息技术领域超越了传统的审计范围,因此,在信息化环境下的审计过程中,在应对复杂程度高的信息系统审计时,就需要具有信息技术专业技能的人员参与审计。
具有信息技术专业技能的人员是具有信息技术某些特定领域的专业知识的人员,他们具备体系化的信息技术知识和技能,同时也掌握一定的审计的理论、知识、经验和方法,以及会计、经济、管理方面的知识和技能。
具有信息技术专业技能的人员作为审计团队的成员参与企业的审计过程。具有信息技术专业技能的人员与注册会计师、其他审计人员共同组成了审计团队,共同完成审计工作。
具有信息技术专业技能的人员的参与方式和参与程度,根据被审计单位信息技术环境的复杂程度的不同,可以有不同的分工与参与程度,即:
1.当与整合审计相关的被审计单位信息技术环境的复杂程度较低时,审计项目组的注册会计师可以独立完成对信息系统的审计程序,具有信息技术专业技能的人员可以在注册会计师有疑问时为注册会计师答疑解惑,最终由注册会计师独立完成相关审计程序。
2.当与整合审计相关的被审计单位信息技术环境的复杂程度适中时,审计项目组的注册会计师独立完成对信息系统的审计程序有困难,需要具有信息技术专业技能的人员对注册会计师进行指导,并帮助注册会计师完成信息系统相关的审计程序,最终由注册会计师和具有信息技术专业技能的人员一起完成相关审计程序,或者由注册会计师执行相关程序,并由具有信息技术专业技能的人员审阅。
3.当与整合审计相关的被审计单位信息技术环境的复杂程度较高时,审计项目组的注册会计师没有能力完成对信息系统的审计程序,由具有信息技术专业技能的人员执行并完成信息系统审计程序。
在上述情况下,具有信息技术专业技能的人员参与审计项目是对审计项目的全程参与,即具有信息技术专业技能的人员从审计计划、审计执行到审计完成的各个阶段都积极参与,以确保相关的审计风险被合理识别和应对,保证审计过程的有效执行和审计效果的提升。
在审计过程中,如果涉及复杂的高风险的系统,那么审计团队应该考虑是否需要引入具有信息技术专业技能的人员参与审计工作。对被审计单位的信息系统是否复杂、风险是否高的判断,建议由信息技术专业负责人和项目负责人共同确定。在连续审计的情况下,建议至少每年进行一次系统复杂度评估工作。
一般情况下,一个系统是否复杂取决于计算机系统处理的程度和类型。一个复杂的、高风险的系统包含以下特点:有复杂的自动化计算(如保费的计算、预提利息的计算、使用加权平均估值法对存货成本的计算、基于复杂模型的成本计提的计算、按多重定价/关税方案对账单进行的计算等)的系统;供应商不再提供维护或较少维护的陈旧技术;尚未广泛应用的新兴技术(如对区块链的使用);企业自主开发或修改较大的通用软件;企业资源规划(ERP)系统;系统之间具有广泛定制接口;处理大量交易的系统(如银行、零售业务和电子通信);为复杂经营实体(如跨国运营)处理信息;复杂的信息技术构架(如多地点、多系统)。
虽然具有信息技术专业技能的人员参与审计每个项目的性质和程度有所不同,但在制定审计计划时,项目负责人和信息技术专业负责人均需要在以下方面取得一致,包括:测试计划和针对信息技术环境、信息技术一般控制、信息处理控制进行评估时的资源分配。
需要特别说明的是,对于数据资产入表的审计工作,其过程通常也需具有信息技术专业技能的人员参与。相关工作一般从数据来源与控制权、质量与可用性、价值与成本、合规性与安全性等维度展开,借助自动化审计工具、区块链存证等技术手段,结合合规审查与财务逻辑形成证据链。
六、IT业务外包
1.IT业务外包就是企业将全部或部分的IT职能外包给第三方专业公司管理的一种业务模式。由于外包业务的发展和专业机构的日趋成熟,越来越多的企业将自身的IT相关职能部门外包给专业机构完成。目前存在的IT外包服务的范围很多,如软件的研发、运维、基础设置管理包括存储服务等。
2.注册会计师对外包业务的审计考虑
根据《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》,服务机构提供的很多服务构成被审计单位业务运营不可或缺的一部分,但并非所有这些服务都与审计相关。如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,则服务机构提供的服务与被审计单位财务报表审计相关。
如果被审计单位的外包业务与财务报表相关,则注册会计师需要对外包业务的性质和对被审计单位财务报表的重要性进行了解和评估。如果评估规划后确定外包业务相关的部分在系统审计范围之内,则注册会计师需要执行必要的审计程序,以获取被审计单位与审计相关的外包业务的控制活动的有效性的证据。
与被审计单位自身运营部分的审计考虑一致,对于外包业务,注册会计师也需要进行相关的审计规划和执行相关的审计程序:
一方面,在审计计划阶段,注册会计师需要了解被审计单位在经营中如何利用服务机构提供的服务,包括:
①服务机构提供的服务的性质,以及该服务对被审计单位的重要性,包括由此对被审计单位内部控制产生的影响;
②由服务机构处理的交易、受服务机构影响的账户或财务报告过程的性质和重要性;
③服务机构与被审计单位之间活动的相互影响程度;
④被审计单位与服务机构关系的性质,包括服务机构与被审计单位就提供服务订立的相关合同条款。
企业外包业务的性质和范围可能千差万别,目前比较常见的外包方式如:数据中心功能外包,如云存储和云服务;系统外包,如使用第三方公司统一开发和运维的平台电子商务系统;信息技术职能外包,如利用成熟软件开发商进行程序开发或变更服务等。
在审计计划阶段,注册会计师需要明确企业外包的性质和内容,不同的外包方式和内容所带来的相关审计风险也不尽相同。只有准确了解外包服务本身,才能为正确制定和执行审计程序提供基础。
另一方面,注册会计师需要评估被审计单位与审计相关的外包业务内部控制的设计及执行有效性以及数据的准确性。通常情况下,注册会计师可以通过如下途径和方法获取相关的审计证据:
①向管理层了解如何确保相关外包业务的有效性;
②获得被审计单位授权,对审计范围内的外包对象和内容执行审计程序;
③获取并审阅外包业务的内部审计报告或第三方鉴证报告。
第三方鉴证报告一般分为两种类型:第一类报告,对被审计服务机构的内部控制的设计有效性发表鉴证意见;第二类报告,对被审计服务机构的内部控制的设计及执行有效性发表鉴证意见。
所以通常情况下,注册会计师需要获取第二类的鉴证报告才有可能获得相关的足够的审计证据。对于获取的第三方鉴证报告,注册会计师需要执行以下工作以验证相关外包业务控制的有效性和数据的准确性:
①确认鉴证报告的类型是否符合要求;
②查看鉴证报告的测试范围,确认是否能满足审计范围的要求;
③查看鉴证报告的测试程序,确定执行的程序是否足够;
④查看审计报告的结果,评估影响。
总之,注册会计师在执行业务外包相关的审计工作时,需要充分了解外包服务的性质和该服务对审计单位财务报表影响的重要性,识别相关风险,根据企业实际情况作出准确灵活应对。
七、工作时间的安排信息
系统审计的执行时间,可以根据被审计单位实际情况、整体审计工作的时间安排选择进行审计的时间和频次。不管选择的时间和频次如何,总的要求是确保注册会计师通过执行合适的审计程序,对审计期间内信息系统持续有效对相关业务领域提供支持活动获取充分、适当的审计证据。信息系统审计期间应该与财务报表审计期间一致。
1.被审计单位系统情况的考虑
一般而言,在财务报表审计中,信息系统审计每年进行一次即可,但是也不排除多次进行信息系统审计的可能性。如果被审计单位的信息系统在审计期间内发生了重大变化,该变化导致在年底进行一次性的信息系统审计无法验证系统变化前的相关控制和数据,则此时需要在原有系统被完全取代前进行一次信息系统审计。例如,某公司在20x6年7月进行了信息系统开发,将原来的某采购系统更新为集成的SAP系统,且在并行期完成之后,原有的采购系统将被彻底废弃。在这种情况下,如果采购流程是审计范围内的重大流程,且注册会计师决定依赖该流程相关的系统自动控制数据,注册会计师就有必要在原有采购系统完全被取代前进行一次信息系统的审计工作,以确保审计年度开始至该财务系统结束使用期间的信息系统依赖运行的有效性。
根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》应用指南(2023年4月修订),如果拟信赖的控制自上次测试后未发生变化,且不属于旨在减轻特别风险的控制,注册会计师需要运用职业判断确定是否在本期审计中测试其运行的有效性,以及本次测试与上次测试的时间间隔,但每三年至少对控制测试一次。
2.与财务报表整体审计时间的契合
信息系统审计是财务审计的一个重要组成部分,信息系统审计所涵盖的期间应该和财务报表审计中财务报表的期间一致。因此信息系统审计的时间安排也需要与财务整体审计协调一致,以确保信息系统审计的规划与整体审计策略一致,保证信息系统审计的结果能被合理地评估和应对。
信息系统审计计划应该与财务报表审计整体计划同时制定,确保信息系统审计与财务报表整体审计策略完美契合,形成审计闭环。一方面避免过度审计,另一方面也要避免重点审计领域的审计空白区。对于信息系统现场审计工作而言,信息系统审计外勤执行时间往往和控制测试的外勤时间一致,并在期终审计现场工作时进行更新,其工作结果(包括阶段性结果)应该及时与整个审计团队进行沟通,给财务报表整体审计策略的调整和应对提供充分的时间。
总之,信息系统审计的时间安排一般需要考虑但不限于以下几个因素:被审计单位的信息系统的实际情况;财务报表整体审计时间安排;拟依赖的被审计信息技术相关控制的变动情况和整体控制环境的持续有效性。
通常情况下,由于信息系统审计需要一定的现场工作时间,因此审计的完成时间分财务年度结束之前和之后两个节点:对于财务审计年度结束之前完成的信息系统审计,注册会计师需要对信息系统审计完成时至财务年度结束日期间的信息系统审计领域是否持续有效进行验证,以确保整个审计期间的信息系统相关依赖领域的持续一贯有效性。对于财务审计年度结束之后开始或完成的信息系统审计,注册会计师需要执行必要的审计程序,以确保当前时点测试的信息处理控制能合理反应在审计期间的实际情况中,从而确保整个审计期间控制运行的有效性。