隨著信息系統(tǒng)在企業(yè)日常運(yùn)營各個(gè)環(huán)節(jié)的運(yùn)用,尤其是信息系統(tǒng)在對(duì)財(cái)務(wù)報(bào)表的支持上廣度的擴(kuò)大和深度的提升,信息系統(tǒng)審計(jì)在整個(gè)財(cái)務(wù)報(bào)表審計(jì)中的作用越來越重要和復(fù)雜。一般而言,在財(cái)務(wù)報(bào)表審計(jì)中對(duì)信息系統(tǒng)的審計(jì),大致可以分為以下幾個(gè)階段(如圖1所示):
1.作為了解被審計(jì)單位及其環(huán)境的一個(gè)重要組成部分,注冊(cè)會(huì)計(jì)師了解信息技術(shù)環(huán)境及與財(cái)務(wù)報(bào)告有關(guān)的信息系統(tǒng),并結(jié)合其他了解到的被審計(jì)單位及其環(huán)境情況,識(shí)別和評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn);
2.制定審計(jì)策略并計(jì)劃審計(jì)工作以應(yīng)對(duì)風(fēng)險(xiǎn);
3.根據(jù)制定的審計(jì)策略和審計(jì)計(jì)劃,對(duì)納入審計(jì)范圍的信息系統(tǒng)執(zhí)行審計(jì)工作;
4.針對(duì)審計(jì)執(zhí)行的結(jié)果進(jìn)行分析評(píng)估,規(guī)劃應(yīng)對(duì)方案;
5.根據(jù)應(yīng)對(duì)方案,調(diào)整審計(jì)程序或整體審計(jì)策略并應(yīng)對(duì)。
財(cái)務(wù)報(bào)表審計(jì)中對(duì)信息系統(tǒng)的審計(jì),不是獨(dú)立于財(cái)務(wù)報(bào)表審計(jì),而是財(cái)務(wù)報(bào)表審計(jì)的一部分,其最終的目的是支撐注冊(cè)會(huì)計(jì)師對(duì)財(cái)務(wù)報(bào)表發(fā)表審計(jì)意見。它不是從計(jì)劃到完成一次性的單向工作,在審計(jì)執(zhí)行過程中要根據(jù)實(shí)際情況做出判斷、評(píng)估和應(yīng)對(duì),并不斷修正審計(jì)程序或整體審計(jì)策略,最終達(dá)到對(duì)財(cái)務(wù)報(bào)表的合理保證的目的。因此,可以把信息系統(tǒng)審計(jì)過程描述為一個(gè)循環(huán)的生命周期閉環(huán):一個(gè)始于計(jì)劃,但不終止于計(jì)劃的不斷調(diào)整的過程。
在財(cái)務(wù)報(bào)表審計(jì)中,注冊(cè)會(huì)計(jì)師計(jì)劃信息系統(tǒng)審計(jì)的過程,是解決和回答如下幾個(gè)問題的過程:
1.本次財(cái)務(wù)報(bào)表審計(jì)中是否需要進(jìn)行信息系統(tǒng)審計(jì)?(信息系統(tǒng)審計(jì)的相關(guān)性)
2.哪些信息系統(tǒng)需要納入本次審計(jì)范圍?(信息系統(tǒng)審計(jì)的對(duì)象)
3.本次信息系統(tǒng)審計(jì)的內(nèi)容是什么?(信息系統(tǒng)審計(jì)的內(nèi)容)
4.如何合理分配審計(jì)資源和制定計(jì)劃,用更有效率和效果的方式完成審計(jì)?(信息系統(tǒng)審計(jì)的計(jì)劃)
以上這幾個(gè)問題不是一個(gè)個(gè)孤立開來的,它們之間是相互作用相互影響的,所以需要在審計(jì)計(jì)劃階段統(tǒng)籌規(guī)劃,通盤考慮,才能得出最后的答案。注冊(cè)會(huì)計(jì)師一般通過執(zhí)行如下幾個(gè)步驟來完成計(jì)劃工作:
圖1 財(cái)務(wù)報(bào)表審計(jì)中信息系統(tǒng)審計(jì)的生命周期
1.了解被審計(jì)單位信息技術(shù)環(huán)境,初步確定審計(jì)的相關(guān)性和信息系統(tǒng)環(huán)境的健康程度。
2.識(shí)別相關(guān)系統(tǒng)風(fēng)險(xiǎn)及應(yīng)對(duì),了解系統(tǒng)管控情況及可依賴程度。
3.了解和識(shí)別被審計(jì)單位的信息系統(tǒng)依賴領(lǐng)域,進(jìn)一步確定系統(tǒng)審計(jì)的相關(guān)性,確定審計(jì)范圍和內(nèi)容。
4.考慮前述步驟執(zhí)行的結(jié)果,結(jié)合整體審計(jì)策略,厘定對(duì)信息系統(tǒng)的依賴程度,確定系統(tǒng)審計(jì)策略。
5.根據(jù)審計(jì)策略,確定納入信息系統(tǒng)審計(jì)范圍的系統(tǒng)清單及審計(jì)內(nèi)容。
上述5個(gè)步驟是層層遞進(jìn)和深入的過程。步驟之間環(huán)環(huán)相扣,任何一個(gè)步驟都是審計(jì)計(jì)劃劃階段不可逾越的環(huán)節(jié)。在完成了以上5個(gè)步驟之后,審計(jì)計(jì)劃要解決的幾個(gè)問題就迎刃而解了。需要說明的是,信息系統(tǒng)審計(jì)范圍和規(guī)劃是一個(gè)逐步細(xì)化和修正的過程,不可能在審計(jì)計(jì)劃階段一蹴而就,需要注冊(cè)會(huì)計(jì)師根據(jù)實(shí)際項(xiàng)目情況不斷進(jìn)行審計(jì)范圍和內(nèi)容的細(xì)化和更新,以確保審計(jì)程序能夠?yàn)樨?cái)務(wù)報(bào)表審計(jì)提供有效支撐。
表1 信息技術(shù)整體控制環(huán)境關(guān)注點(diǎn)
在財(cái)務(wù)報(bào)表審計(jì)中,注冊(cè)會(huì)計(jì)師需要了解信息技術(shù)環(huán)境及與財(cái)務(wù)報(bào)告有關(guān)的信息系統(tǒng),從而了解企業(yè)如何運(yùn)用信息技術(shù)及信息技術(shù)如何影響財(cái)務(wù)報(bào)表。注冊(cè)會(huì)計(jì)師結(jié)合其他了解到的被審計(jì)單位及其環(huán)境的情況,識(shí)別和評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn),從而為信息系統(tǒng)審計(jì)范圍的確定提供基礎(chǔ)。在審計(jì)計(jì)劃階段,了解信息技術(shù)環(huán)境及與財(cái)務(wù)報(bào)告有關(guān)的信息系統(tǒng)是為了達(dá)到以下兩個(gè)目的:
1.了解信息技術(shù)與本次財(cái)務(wù)報(bào)告審計(jì)的總體相關(guān)性;
2.了解被審計(jì)單位的信息系統(tǒng)使用及管理情況是否處于一個(gè)健康的環(huán)境,為審計(jì)策略中厘定對(duì)信息系統(tǒng)的依賴程度提供決策依據(jù)。
(一)了解信息技術(shù)環(huán)境
對(duì)于企業(yè)如何運(yùn)用信息技術(shù),注冊(cè)會(huì)計(jì)師要從了解信息技術(shù)整體環(huán)境入手。信息系統(tǒng)整體環(huán)境從全局和宏觀的角度對(duì)企業(yè)運(yùn)用信息系統(tǒng)進(jìn)行規(guī)劃指導(dǎo)和管理,是企業(yè)信息系統(tǒng)運(yùn)用和管理的基調(diào)。信息系統(tǒng)整體環(huán)境及其控制,是為了保證信息系統(tǒng)的運(yùn)用處于一個(gè)健康的環(huán)境中,從而為控制活動(dòng)的運(yùn)行提供健康的環(huán)境和基礎(chǔ)。注冊(cè)會(huì)計(jì)師通常會(huì)發(fā)現(xiàn),在審計(jì)過程中遇到的重大控制缺陷的根源一般都出在整體控制環(huán)境中的某一個(gè)環(huán)節(jié)上。
對(duì)于信息技術(shù)整體控制環(huán)境的了解,注冊(cè)會(huì)計(jì)師一般需要從被審計(jì)單位表1所示幾個(gè)方面進(jìn)行關(guān)注。
通過關(guān)注以上要素和關(guān)注點(diǎn),注冊(cè)會(huì)計(jì)師可以了解被審計(jì)單位的基本的系統(tǒng)使用、管理情況,初步識(shí)別系統(tǒng)相關(guān)風(fēng)險(xiǎn),為后續(xù)審計(jì)范圍的確定提供基礎(chǔ)和鋪墊。
企業(yè)的IT整體環(huán)境的了解和評(píng)估是一個(gè)比較復(fù)雜的過程,通常需要涉及到敏銳的洞察力和較多的職業(yè)判斷,因此通常在該部分工作中需要比較資深的審計(jì)人員的參與才能完成。注冊(cè)會(huì)計(jì)師通常需要通過一系列的訪談、現(xiàn)場(chǎng)觀察和檢查,根據(jù)實(shí)際情況選擇和綜合運(yùn)用各種審計(jì)程序,才能完成相關(guān)的了解工作。
正是因?yàn)樾畔⑾到y(tǒng)整體環(huán)境影響的普遍性和指導(dǎo)性,注冊(cè)會(huì)計(jì)師在審計(jì)計(jì)劃階段就應(yīng)該完成對(duì)信息系統(tǒng)整體環(huán)境的初步評(píng)估工作,以輔助相關(guān)風(fēng)險(xiǎn)的識(shí)別,整體審計(jì)策略的確定及后續(xù)的信息系統(tǒng)審計(jì)工作的規(guī)劃指導(dǎo)。
(二)了解與財(cái)務(wù)報(bào)告有關(guān)的信息系統(tǒng)
什么樣的信息系統(tǒng)與財(cái)務(wù)報(bào)表相關(guān)?簡單來說,如果一項(xiàng)信息系統(tǒng)的使用對(duì)財(cái)務(wù)報(bào)表認(rèn)定有直接或間接的影響,則認(rèn)為該系統(tǒng)與財(cái)務(wù)報(bào)表審計(jì)相關(guān)。相反,如果企業(yè)使用的信息系統(tǒng)與財(cái)務(wù)報(bào)表認(rèn)定不相關(guān),則認(rèn)為該系統(tǒng)與財(cái)務(wù)報(bào)表審計(jì)不相關(guān)。
中國注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則要求注冊(cè)會(huì)計(jì)師從以下六個(gè)方面了解與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng):
1.在被審計(jì)單位經(jīng)營過程中,對(duì)財(cái)務(wù)報(bào)表具有重大影響的各類交易;
2.在信息技術(shù)和人工系統(tǒng)中,被審計(jì)單位的交易生成、記錄、處理、必要的更正、結(jié)轉(zhuǎn)至總賬以及在財(cái)務(wù)報(bào)表中報(bào)告的程序;
3.用以生成、記錄、處理和報(bào)告(包括糾正不正確的信息以及信息如何結(jié)轉(zhuǎn)至總賬)交易的會(huì)計(jì)記錄、支持性信息和財(cái)務(wù)報(bào)表中的特定賬戶;
4.被審計(jì)單位的信息系統(tǒng)如何獲取除交易以外的對(duì)財(cái)務(wù)報(bào)表重大的事項(xiàng)和情況;
5.用于編制被審計(jì)單位財(cái)務(wù)報(bào)表(包括作出的重大會(huì)計(jì)估計(jì)和披露)的財(cái)務(wù)報(bào)告過程;
6.與會(huì)計(jì)分錄相關(guān)的控制,這些分錄包括用以記錄非經(jīng)常性的、異常的交易或調(diào)整的非標(biāo)準(zhǔn)會(huì)計(jì)分錄。
審計(jì)準(zhǔn)則這六個(gè)方面的要求,從信息系統(tǒng)對(duì)企業(yè)財(cái)務(wù)報(bào)表的支撐上通常體現(xiàn)為以下被審計(jì)單位對(duì)信息技術(shù)的依賴領(lǐng)域(IT dependencies):
1.系統(tǒng)實(shí)現(xiàn)了哪些自動(dòng)化控制
2.系統(tǒng)生成的報(bào)表或信息
3.系統(tǒng)支持了哪些自動(dòng)計(jì)算
4.系統(tǒng)實(shí)現(xiàn)的權(quán)限管理和職責(zé)分離
5.系統(tǒng)之間的自動(dòng)化接口
以上這些構(gòu)成了被審計(jì)單位對(duì)信息技術(shù)在業(yè)務(wù)層面依賴的主要領(lǐng)域,即為信息系統(tǒng)的應(yīng)用控制(Application controls)和數(shù)據(jù)(信息)。從這些依賴關(guān)系中可以清晰地勾勒出與財(cái)務(wù)報(bào)表相關(guān)的信息系統(tǒng)。因此通過這些依賴的了解,注冊(cè)會(huì)計(jì)師可以評(píng)估信息技術(shù)與財(cái)務(wù)報(bào)表審計(jì)的具體相關(guān)性和相關(guān)程度。
需要說明的是,在了解信息技術(shù)環(huán)境階段,對(duì)于信息技術(shù)的依賴關(guān)系的了解只是一個(gè)宏觀層面上的認(rèn)識(shí),用于確定信息系統(tǒng)的審計(jì)相關(guān)性。對(duì)于具體細(xì)化的信息技術(shù)依賴,還需要注冊(cè)會(huì)計(jì)師在對(duì)被審計(jì)單位端到端的業(yè)務(wù)流程和交易了解中才能逐步細(xì)化識(shí)別并最終確定。