信息技术对审计过程的影响

一、 信息技术审计范围的确定

被审计单位的流程和信息系统可能拥有各自不同的特点，因此注册会计师应按各自的特点制定审计计划中包含的信息技术审计内容； 另外，如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的范围。

基于此，注册会计师在确定审计策略时，需要结合被审计单位业务流程复杂度、 信息系统复杂度、 系统生成的交易数量和业务对于系统的依赖程度、 信息和复杂计算的数量、 信息技术环境规模和复杂度五个方面，对信息技术审计范围进行适当考虑。信息技术审计的范围与被审计单位在业务流程及信息系统相关方面的复杂度成正比，在具体评估其复杂度时，可以从以下几个方面予以考虑。

(一) 评估业务流程的复杂度 (比如销售流程、 薪酬流程、 采购流程等)

对业务流程复杂度的评估并不是一个纯粹客观的过程，而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素，对业务流程复杂度作出适当判断:

1. 某流程涉及过多的人员及部门，并且相关人员及部门之间的关系复杂且界限不清；

2. 某流程涉及大量操作及决策活动；

3. 某流程的数据处理过程涉及复杂的公式和大量的数据录入操作；

4. 某流程需要对信息进行手工处理；

5. 对系统生成的报告的依赖程度。

(二) 评估信息系统的复杂度

与评估业务流程的复杂度相类似，对企业信息系统复杂度的评估也不是一个纯粹客观的过程，评估过程包含大量的职业判断，也受到所使用系统类型 (如商业软件或自行研发系统) 的影响。

具体来说，评估商业软件的复杂程度应当考虑系统的复杂程度、 市场份额、 系统实施和运行所需的参数设置范围以及定制化程度 (对出厂标准配置的变更、 变更类型，例如，是仅为报告形式的变更还是对数据处理方式的变更)。

而对于自行研发系统复杂度的评估，应当考虑系统的复杂程度、 距离上一次系统架构重大变更的时间、 系统变更对财务系统的影响结果以及系统变更之后的系统运行情况及运行期间。

同时，还需要考虑系统生成的交易数量、 信息和复杂计算的数量，包括以下几点:

(1) 被审计单位是否存在大量交易数据，以至于用户无法识别并更正数据处理错误；

(2) 数据是否通过网络传输，如EDI；

(3) 是否使用特殊系统，如电子商务系统。

(三) 信息技术环境的规模和复杂度

评估信息技术环境的规模和复杂度，主要应当考虑产生财务数据的信息系统数量、 信息系统接口以及数据传输方式、 信息部门的结构与规模、 网络规模、 用户数量、 外包及访问方式 (例如本地登录或远程登录)。信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。

在具体审计过程中，注册会计师除了考虑以上所提及的复杂度外，还需要充分考虑系统在实际应用中存在的问题，评价这些问题对审计范围的影响:

(1) 管理层如何获知与信息技术相关的问题?

(2) 系统功能中是否发现严重问题或不准确成分? 如果是，是否存在可以绕过的程序(如自行修复程序等)?

(3) 是否发生过信息系统运行出错、 安全事件或对固定数据的修改等严重问题? 如果是，管理层如何应对这些问题，以及管理层如何确保这些问题得到可靠解决?

(4) 内部审计或其他报告中是否提出过与信息系统、 数据环境或应用系统相关的问题?

(5) 报告中提及的最普遍的系统问题是什么?

(6) 是否存在由于业务操作不规范而需要经常在系统内数据库中直接进行数据信息更改的情况?

(7) 信息系统用户的能力、 操作和安全意识如何?

在对被审计单位的业务流程、 信息系统和相关风险进行充分了解之后，注册会计师应判断被审计单位是否包含信息技术关键风险，并且实质性程序是否无法完全控制该风险。如果符合上述情况的描述，那么注册会计师应将信息技术审计内容纳入财务审计计划之中。此外，如果注册会计师计划依赖系统自动控制，或依赖以自动系统生成信息为基础的人工控制或业务流程审阅结果，那么注册会计师也同样需要对信息技术相关控制进行评估。

综上所述，在信息技术环境下，审计工作与对系统的依赖程度是直接关联的，注册会计师需要全面考虑其关联关系，从而可以准确定义相关的信息系统审计范围。

了解内部控制有助于注册会计师识别潜在错报的类型和影响重大错报风险的因素，以及设计进一步审计程序的性质、 时间安排和范围。无论被审计单位运用信息技术的程度如何，注册会计师均需了解与审计相关的信息技术一般控制和应用控制。

二、 一般控制审计对控制风险的影响

信息技术一般控制审计对应用控制审计的有效性具有普遍性影响。无效的一般控制审计增加了应用控制审计不能防止或发现并纠正认定层次重大错报的可能性，即使这些应用控制审计本身得到了有效设计。如果一般控制审计有效，注册会计师可以更多地信赖应用控制审计，测试这些控制的运行有效性，并将控制风险评估为低于 “最高” 水平。考虑到公司层面信息技术控制审计是公司的整体控制环境，决定了信息技术的风险基准，因此，注册会计师通常优先评估公司层面信息技术控制审计和信息技术一般控制审计的有效性。

三、 IT控制对控制风险和实质性程序的影响

在评估IT控制对控制风险和实质性程序的影响时，注册会计师需要将控制与具体的审计目标相联系，其一般原理将在本教材第二编 “审计测试流程” 中进一步阐述，在第三编“各类交易和账户余额的审计” 中将演示这些原理在审计实务中如何具体运用。注册会计师首先针对每个具体的审计目标，了解和识别相关的控制与缺陷，在此基础上，对每个相关审计目标评估初步控制风险。但对于一般控制审计而言，由于其影响广泛，注册会计师通常不将控制与具体的审计目标相联系。

如果针对某一具体审计目标，注册会计师能够识别出有效的应用控制审计，在通过测试确定其运行有效后，注册会计师能够减少实质性程序。