信息技术对财务报表审计的影响

第一节　信息技术对财务报表审计的影响

一、电算化信息系统环境下企业内部控制的特点

(一)控制环境

在电算化信息系统环境下，企业通常需要配备计算机专业人员或设立信息技术部、数据中心等类似的部门来负责硬件、软件的购置和维护、局域网的维护与管理等工作。原先多人分工完成的工作被信息技术重组后只需一个人就可以完成，一些人工控制被信息系统的自动控制所取代。例如，赊销的初步审核、付款前订单、出库单与发票的核对等业务都可以由计算机自动完成。

(二)风险评估过程

在电算化信息系统环境下，由于企业所有数据均存放在电脑内，这些数据可能面临被非授权人员复制、删除、修改的风险，计算机病毒感染、黑客入侵、操作人员违规、自然灾害等原因也可能造成计算机系统的故障甚至崩溃。企业需要充分考虑到电算化信息系统所面临的特有风险，并采取必要的风险防范措施。

(三)信息系统与沟通

信息技术(如互联网、局域网)的应用有助于企业内部各部门、企业与供应商或客户、投资者等方面进行及时的交流与沟通，提高工作效率。而且，在电算化信息系统环境下，记账凭证、账簿、财务报表的生成方式和储存方式都发生了很大的变化，会计账簿和报表的数据可以用会计软件自动生成。其储存的介质也由纸质的形式改为电子存储。

(四)控制活动

在电算化信息系统环境下，很多业务活动由计算机自动完成(例如，登记明细账、总账、编制报表)，同一程序可以由多人同时使用或访问，数据集中存储在计算机中以及网络的使用等因素导致客观存在程序和数据被篡改或未经授权的访问等风险，有必要建立与之相适应的控制活动。

与信息处理有关的控制活动，包括信息技术一般控制和应用控制。

1.信息技术一般控制

信息技术一般控制是指与多个应用系统有关的政策和程序，有助于保证信息系统持续恰当地运行(包括信息的完整性和数据的安全性)，支持应用控制作用的有效发挥，通常包括:

(1)数据中心和网络运行控制。这方面的控制主要侧重安全性，通过进行地址过滤、设立防火墙、安装杀毒软件等措施防止病毒的入侵对系统的不利影响。

(2)系统软件的购置。系统软件的购置需考虑企业的实际需求、各类系统软件的安全性和功能等多方面的因素。

(3)修改及维护控制。现有系统的修改申请应由系统使用部门提出并经公司管理层的适当授权，日常维护也应由经授权的人员负责。

(4)接触或访问权限控制。例如，严格控制系统软件的开发员、程序员等接触已投入运行的系统，防止其擅自修改程序;同时严格控制系统的各部门用户或计算机操作人员接触系统的设计文档或源程序代码;机房上锁或设置门卫，防止无关人员入内;计算机终端设置口令，防止未经授权的人员使用;采取编号、专柜存储等措施严格管理系统程序和数据的存储介质(光盘、磁盘等)，防止丢失;设置不同层次职员对系统数据的访问权限;对重要的数据应设置口令或加密保护;通过控制日志的方式对所有接触信息系统的企图及操作进行监督记录(见表8-1)。

表8-1　　　　电算化信息系统环境下的职责分离举例

(5)应用系统的购置、开发及维护控制。例如:新购入(或开发)的应用系统在投入使用前应由技术部门对程序的源编码和处理功能进行严格审查，检查是否有多余的、非正当用途的程序段;自行开发的应用系统应具有完整、详细的文档资料，符合企业的实际业务和会计核算需求，并经过一段时间的并行测试;系统维护过程中也需保留完整的文档。

2.信息技术应用控制

信息技术应用控制是指主要在业务流程层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括:

(1)设置对输入数据和数字序号的自动检查。例如，事先设定输入数据的类型(例如，文本型、数值型、日期/时间型等)、合理区间或长度(月份的取值范围为1—12，身份证号码一般是12位或15位)、会计账户名称、校验位⁽¹⁾等，如果输入的数据或序号不符合事先设定的要求，系统会自动提示。

(2)审核账户和试算平衡表。例如:出现异常的账户(如:借记“应收账款”，贷记“管理费用”)或者试算平衡表借贷不平衡时系统会自动提示。

(3)检查数据计算的准确性。信息系统的程序设计通常可以保证数据计算的准确性。

①账套是指一组相互关联的数据，每一个企业(或者每一个独立核算的部门)的数据在系统内都体现为一个账套。

②角色是指在企业管理中拥有某一类职能的组织，例如:财务总监、账套主管、人事部门经理、采购部门经理、会计、出纳。一个角色可以拥有多个用户，一个用户也可以分属于多个不同的角色。

③权限包括功能权限(如对账、存货核算、资金管理、人事管理)、数据权限(如某操作员只能录入发票)和金额权限(如某操作员只能录入金额不超过1万元的发票)。

(4)对例外报告进行人工干预。如果存在忽略某项控制的例外情况，系统应进行相应的记录，并由具有相应权限的人员确定这种例外情况是否合理。例如:系统设定的销售折扣区间为0—5%，分公司的某一笔销售业务给予客户的折扣为7%，销售部门经理就需了解这笔销售业务的折扣是否经过适当的授权。

(五)对控制的监督

信息技术的应用有助于管理层及时了解和监督企业整体内部控制的运行。通过信息共享平台，管理层可以实时了解公司的销售、商品库存、资金结存等信息，并针对其中存在的信息及时采用应对措施。

二、信息技术的应用对企业内部控制的影响

企业经营管理过程中计算机以及相关的管理软件、财务软件的应用越来越多，随着被审计单位的信息化程度的提高，有些企业已经进入“无账本”环境。信息技术的应用使企业的内部控制的影响包括下列两个方面。

(一)信息技术对内部控制的正面影响

信息技术通常在下列方面提高被审计单位内部控制的效率和效果:

(1)在处理大量的交易或数据时，一贯运用事先确定的业务规则，并进行复杂运算;

(2)提高信息的及时性、可获得性及准确性;

(3)有助于对信息的深入分析;

(4)加强对被审计单位政策和程序执行情况的监督;

(5)降低控制被规避的风险;

(6)通过对操作系统、应用程序系统和数据库系统实施安全控制，提高不相容职务分离的有效性。

(二)信息技术对内部控制的负面影响

信息技术可能对内部控制产生的特定风险主要包括:

(1)系统或程序未能正确处理数据，或处理了不正确的数据，或两种情况同时并存;

(2)在未得到授权情况下访问数据，可能导致数据的毁损或对数据不恰当的修改，包括记录未经授权或不存在的交易，或不正确地记录了交易;

(3)信息技术人员可能获得超越其履行职责以外的数据访问权限，破坏了系统应有的职责分工;

(4)未经授权改变主文档的数据;

(5)未经授权改变系统或程序;

(6)未能对系统或程序作出必要的修改;

(7)不恰当的人为干预;

(8)数据丢失的风险或不能访问所需要的数据。

三、信息技术的应用对财务报表审计的影响

与采用手工方式进行业务处理和会计核算的企业相比，企业经营管理过程中对信息技术的广泛应用对财务报表审计产生了下列影响:

(一)审计内容

与手工进行账务处理的情况相比，注册会计师在审计采用电算化会计核算的企业过程中，需要关注企业所使用的计算机系统对相关业务的核算和报告是否能够按照有关准则、制度以及企业自身的特点进行正确、及时的记录。具体而言，在审计过程中，注册会计师需要关注被审计单位信息系统的安全性、发生计算机舞弊的可能性、电算化条件下企业的日常业务处理流程和会计核算流程、有关软件的功能是否能够适应企业的经营管理需求、操作人员是否能够正确运用相关软件进行业务处理和会计核算等方面。

(二)审计轨迹(或审计线索)

在手工进行账务处理的条件下，注册会计师的审计轨迹通常是按照原始凭证→记账凭证→明细账(或日记账)→总账→财务报表的顺序(或者相反的顺序)进行各个业务循环的审计。企业应用电算化管理软件和财务软件之后，记账凭证由有关人员手工输入电脑，明细账(或日记账)、总账、财务报表均由系统自动完成。这样的处理流程减少了人工进行账务处理可能出现的计算差错，同时也对审计人员的计算机水平提出了较高的要求。

(三)审计方法

在电算化信息系统环境下，注册会计师有必要考虑采用手工审计与计算机辅助审计相结合的方法来完成相关的财务报表审计工作(计算机辅助审计将在第三节详细阐述)。

电算化信息系统的审计有四个基本方法，即绕过计算机审计、通过计算机审计、利用计算机审计和在线实时审计。

1.绕过计算机审计(auditing around the computer)

所谓绕过计算机审计，就是把电算化信息系统作为“黑箱”，要求被审计单位将计算机中的所有凭证、账簿、报表均打印输出，然后针对输入、输出的会计资料进行审计。绕过计算机审计的方法存在的明显缺陷是没有考虑计算机信息系统本身的安全性、有效性以及计算机舞弊的可能性，片面地假定相关的输入、输出数据是准确、完整的业务数据(如销售订单信息、发票信息、发货单信息等)和财务数据，并在此基础上进行审计，有可能得出错误的审计结论。

2.通过计算机审计(auditing through the computer)

在被审计单位数据文件实时更新、信息系统日益复杂等情况下，注册会计师需要进入计算机系统进行审计，对应用程序的相关控制、系统运行的有效性、数据文件的完整性和准确性等做出评价，并适当测试部分输入、输出数据。通过计算机审计的方法要求注册会计师具备适当的计算机专业知识，能够对被审计单位计算机硬件配置、系统程序、应用程序的合理性、数据文件的完整性和准确性做出判断，对于会计或类似专业出身的注册会计师来说，完成上述工作存在一定的难度，另外，通过被审计单位的计算机系统执行上述工作，会影响被审计单位的日常工作的开展，这也是通过计算机审计的一个弊端。一些注册会计师会考虑将被审计单位的各类程序和数据文件导入注册会计师自备的电脑中，从而克服了上述弊端。

3.利用计算机审计(auditing with the computer)

随着审计人员计算机水平的提高，他们开始更多地运用计算机进行审计工作，例如:审计计划、审计工作底稿、审计报告的编制、分析程序的执行等。在执行审计业务时，注册会计师会借助审计软件(通用审计软件或专用审计软件)完成部分审计程序的执行，从而提高了审计效率。

4.在线实时审计(continuous online auditing)

会计核算软件和网络的广泛应用，使得企业有能力提供实时的财务信息，与之相对应，注册会计师也可以针对这些实时的信息开展审计工作。在线实时审计又称为网络审计。采用这种审计方式时，注册会计师的电脑与被审计单位的会计核算系统建立连接，注册会计师可以随时察看被审计单位会计核算和业务的即时信息，这样，注册会计师对被审计单位会计核算和业务信息的了解就不再局限于预审和终审两个时间段，他们可以在更多的时点了解被审计单位的相关信息，并有针对性地执行一些审计程序，从而在一定程度上提高了审计结论的正确性。

专栏8-1美国权益基金公司(Equity Funding Corporation of America)舞弊案例

一、案例介绍

Gordon McCormick和Stanley Goldblum创建了美国权益基金公司(Equity Funding Corporation of America)，其主要业务为销售保险和权益基金。经过一段时间的合作之后，Goldblum取得了公司的控制权，成为公司总裁、CEO。1964年，该公司在纽约证券交易所上市。Goldblum热衷于并购其他的公司以扩大Equity Funding公司的规模，为了取得并购所需的资金，Goldblum需要确保公司的股价平稳上升，以便用公司股票换取其他公司的控制权，而保证股价的上扬需要业绩的支撑。于是，从1965年开始，Goldblum授意公司的财务主管虚增应收款和收入账户。公司管理人员Michael Riordan还授意下属职员虚构保单虚增收入，并将这些保单出售给其他再保险公司获取资金。通常，在出售一份保单给再保险公司时，再保险公司会支付给出售保单的公司该保单当年保险费的180%，而之后各年份投保人支付的保费，出售保单的公司保留10%，并将其余90%转交再保险公司。由于Equity Funding公司出售的保单都是虚构的，后续年份的保费只能由Equity Funding公司负担。公司通过伪造更多新的保单出售给再保险公司或者宣告某一虚构的投保人去世要求再保险公司理赔等方式来筹措资金。1973年初，由于公司一位离任职员的揭发导致公司的舞弊伎俩被发现。事后的调查表明，公司的高层管理人员和一些员工共同参与伪造了64000多张保单，占公司全部保单的三分之二，涉及金额约20亿美元，同时公司还虚构了2500万美元的债券投资，并且高估了1000万美元的资产。

二、审计师存在的质量缺陷

Equity Funding公司是为其提供审计服务的会计师事务所的最大客户，两个审计师分别接受过公司提供的股票或贷款。在审计过程中，审计师会检查保单的有关记录，并与保费支付信息、保险准备金计提情况等进行核对，有时会发现没有相应的保单。出现这种情况时，Equity Funding公司会连夜要求部分职员加班伪造这些保单;有时，审计师的公文包遗忘在办公室，公司管理人员会打开公文包，察看审计师的审计计划，并对审计师后续审计工作的抽查对象作出相应安排;在审计师准备函证部分投保人时，EquityFunding公司的管理人员也给予大力协助，导致很多询证函都寄到了公司的分支机构经理和保险代理人手中，他们都对询证函内容作出了肯定的回复。

需要特别指出的是，Equity Funding公司的保单记录、会计信息均存储在计算机中，而负责该公司审计的审计师并不会使用审计软件对计算机中的信息进行必要的审核，他们主要根据公司职员提供的、打印输出的计算机信息进行审计，这是造成审计失败的重要原因。

主要资料来源:David R Hancox，“Could the equity funding scandal happen again?”，The Internal Auditor，Oct1997。