了解被审计单位的信息技术环境及与财务报告相关的信息技术.docx

了解被审计单位的信息技术环境及与财务报告相关的信息技术佚 名【期刊名称】《中国注册会计师》【年(卷),期】2023(000)002【总页数】3 页(P20-22)【正文语种】中 文一、信息系统审计的生命周期随着信息系统在企业日常运营各个环节的运用，尤其是信息系统在对财务报表的支持上广度的扩大和深度的提升，信息系统审计在整个财务报表审计中的作用越来越重要和简单一般而言，在财务报表审计中对信息系统的审计，大致可以分为以下几个阶段〔如图 1 所示〕：1. 作为了解被审计单位及其环境的一个重要组成局部，注册会计师了解信息技术环境及与财务报告有关的信息系统，并结合其他了解到的被审计单位及其环境状况， 识别和评估重大错报风险；2. 制定审计策略并打算审计工作以应对风险；3. 依据制定的审计策略和审计打算，对纳入审计范围的信息系统执行审计工作；4. 针对审计执行的结果进展分析评估，规划应对方案；5. 依据应对方案，调整审计程序或整体审计策略并应对财务报表审计中对信息系统的审计，不是独立于财务报表审计，而是财务报表审计的一局部，其最终的目的是支撑注册会计师对财务报表发表审计意见它不是从计划到完成一次性的单向工作，在审计执行过程中要依据实际状况做出推断、评估和应对，并不断修正审计程序或整体审计策略，最终到达对财务报表的合理保证的目的。

因此，可以把信息系统审计过程描述为一个循环的生命周期闭环：一个始于打算，但不终止于打算的不断调整的过程在财务报表审计中，注册会计师打算信息系统审计的过程，是解决和答复如下几个问题的过程：1. 本次财务报表审计中是否需要进展信息系统审计？〔信息系统审计的相关性〕2. 哪些信息系统需要纳入本次审计范围？〔信息系统审计的对象〕3. 本次信息系统审计的内容是什么？〔信息系统审计的内容〕4. 如何合理安排审计资源和制定打算，用更有效率和效果的方式完成审计？〔信息系统审计的打算〕以上这几个问题不是一个个孤立开来的，它们之间是相互作用相互影响的，所以需要在审计打算阶段统筹规划，通盘考虑，才能得出最终的答案注册会计师一般通过执行如下几个步骤来完成打算工作：图 1 财务报表审计中信息系统审计的生命周期1. 了解被审计单位信息技术环境，初步确定审计的相关性和信息系统环境的安康程度2. 识别相关系统风险及应对，了解系统管控状况及可依靠程度3. 了解和识别被审计单位的信息系统依靠领域，进一步确定系统审计的相关性，确定审计范围和内容4. 考虑前述步骤执行的结果，结合整体审计策略，厘定对信息系统的依靠程度，确定系统审计策略。

5. 依据审计策略，确定纳入信息系统审计范围的系统清单及审计内容上述 5 个步骤是层层递进和深入的过程步骤之间环环相扣，任何一个步骤都是审计打算划阶段不行逾越的环节在完成了以上 5 个步骤之后，审计打算要解决的几个问题就迎刃而解了需要说明的是，信息系统审计范围和规划是一个逐步细化和修正的过程，不行能在审计打算阶段一蹴而就，需要注册会计师依据实际工程状况不断进展审计范围和内容的细化和更，以确保审计程序能够为财务报表审计供给有效支撑表 1 信息技术整体掌握环境关注点关注要素 关注点 与 COBIT5 模型的映射关系 IT 治理企业的 IT 资产和职能是集中管控还是分散管控？企业是否设置了清楚的组织架构？IT 部门由谁负责治理？向谁〔如董事会、审计委员会等〕负责及汇报工作？ 企业有哪些 IT 政策和程序确保 IT 的有效运转？EDM01 EDM05 APO01 组织构造以及职权与责任的安排治理层设置了哪些 IT 职能、岗位来满足业务部门对 IT 的需求？治理层如何对 IT 职责进展分工？治理层实施了哪些 IT 职责分别的要求？关键职责的分别是否充分？治理层是否对业务和财务数据的归属进展了明确和正式的界定？业务数据的批量或零星变更是否制定了正式的审批流程？EDM05 APO01 人力资源政策、实务与胜任力量治理层如何确保 IT 职员具备合理的从业力量以满足业务部门对 IT 的需求？治理层如何确保 IT 职员参与了必要的培训以确保其学问和技能满足业务部门对 IT 不断更的需求？治理层是否配备足够的 IT 人员以适应业务进展和有关方面的需求？被审计单位是否在聘请、培训、考核、晋升、薪酬、调动和辞退员工方面是否都有适当的政策和程序？是否有书面的员工岗位职责手册， 或者在没有书面文件的状况下，对于工作职责和期望是否作了适当的沟通和沟通？ 人力资源政策与程序是否清楚，并且定期公布和更？是否对分散在各地区和海外的经营人员建立和沟通人力资源政策与程序？EDM04 APO07 IT 规划与业务需求治理层是否制定了中长期 IT 战略打算和短期打算以满足业务需求？治理层如何确保 IT 战略打算和短期打算与公司业务战略和需求相全都？EDM02 APO02 IT 风险治理治理层以什么方式对 IT 风险进展评估？〔包括通过外部监管机构实施的风险评估与审计〕治理层如何准时识别和响应因如下变化带来的风险：人力资源变化、业务流程变化、信息系统更、信息技术的进展、业务环境的变化等。

治理层通过实施哪些事前或事后掌握来确保 IT 风险降低到业务能承受的水平？对剩余风险如何处理？〔譬如通过保险转嫁剩余风险等〕EDM03 APO12 重大变化审计期间内发生过哪些 IT 相关的重大变更和建设，包括软件、硬件、根底设施、关键岗位的人员等在后续的期间〔如 12 个月内〕有哪些打算中的 IT 相关的重大变更和建设，包括软件、硬件、根底设施、关键岗位的人员等APO04 APO05 APO06 BAI 信息系统如何识别与财务报告相关的信息系统？是否存在治理层凌驾于信息系统相关掌握之上的迹象？治理层通过何种方式订正交易或会计处理中的错误？APO03 沟通渠道治理层如何确保 IT 职员能准时、便利地猎取 IT 掌握的规章制度？ 治理层建立了什么渠道供 IT 职员反映 IT 运营和治理中的问题与状况？治理层如何确保 IT 部门与财务部门在财务报告相关的掌握活动上进展畅通的沟通与协作？下级职员如何举报上级凌驾于掌握之上的行为、欺诈行为及其他有违诚信和道德价值观念的可疑行为？EDM05 APO08 缺陷治理 治理层如何确保重大的 IT 问题、运行故障、掌握缺陷、安全大事能准时上报并得到有效响应？MEA01 DSS 持续监视机制治理层如何对 IT 掌握的有效性进展持续的监控？治理层是否设置了特地的 IT 安全职能对 IT 安全进展监控？ MEA 定期监视机制是否设置了内部审计部门？内部审计打算是否涵盖了 IT 风险？对 IT 掌握是否进展定期的内部或外部稽核？审计期间内，相关稽核报告是否觉察了 IT 掌握缺陷？治理层如何确保对第三方外包业务的有效掌握？高级治理层、董事会、审计委员会如何对 IT 相关的掌握进展监管？ 治理层如何确保 IT 符合外部合规要求？MEA二、了解信息技术环境及与财务报告相关的信息系统在财务报表审计中，注册会计师需要了解信息技术环境及与财务报告有关的信息系统，从而了解企业如何运用信息技术及信息技术如何影响财务报表。

注册会计师结合其他了解到的被审计单位及其环境的状况，识别和评估重大错报风险，从而为信息系统审计范围确实定供给根底在审计打算阶段，了解信息技术环境及与财务报告有关的信息系统是为了到达以下两个目的：1. 了解信息技术与本次财务报告审计的总体相关性；2. 了解被审计单位的信息系统使用及治理状况是否处于一个安康的环境，为审计策略中厘定对信息系统的依靠程度供给决策依据〔一〕了解信息技术环境对于企业如何运用信息技术，注册会计师要从了解信息技术整体环境入手信息系统整体环境从全局和宏观的角度对企业运用信息系统进展规划指导和治理，是企业信息系统运用和治理的基调信息系统整体环境及其掌握，是为了保证信息系统的运用处于一个安康的环境中，从而为掌握活动的运行供给安康的环境和根底注册会计师通常会觉察，在审计过程中遇到的重大掌握缺陷的根源一般都出在整体掌握环境中的某一个环节上对于信息技术整体掌握环境的了解，注册会计师一般需要从被审计单位表 1 所示几个方面进展关注通过关注以上要素和关注点，注册会计师可以了解被审计单位的根本的系统使用、治理状况，初步识别系统相关风险，为后续审计范围确实定供给根底和铺垫企业的 IT 整体环境的了解和评估是一个比较简单的过程，通常需要涉及到敏锐的洞察力和较多的职业推断，因此通常在该局部工作中需要比较资深的审计人员的参与才能完成。

注册会计师通常需要通过一系列的访谈、现场观看和检查，依据实际状况选择和综合运用各种审计程序，才能完成相关的了解工作正是由于信息系统整体环境影响的普遍性和指导性，注册会计师在审计打算阶段就应当完成对信息系统整体环境的初步评估工作，以关心相关风险的识别，整体审计策略确实定及后续的信息系统审计工作的规划指导〔二〕了解与财务报告有关的信息系统什么样的信息系统与财务报表相关？简洁来说，假设一项信息系统的使用对财务报表认定有直接或间接的影响，则认为该系统与财务报表审计相关相反，假设企业使用的信息系统与财务报表认定不相关，则认为该系统与财务报表审计不相关 中国注册会计师审计准则要求注册会计师从以下六个方面了解与财务报告相关的信息系统：1. 在被审计单位经营过程中，对财务报表具有重大影响的各类交易；2. 在信息技术和人工系统中，被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；3. 用以生成、记录、处理和报告〔包括订正不正确的信息以及信息如何结转至总账〕 交易的会计记录、支持性信息和财务报表中的特定账户；4. 被审计单位的信息系统如何猎取除交易以外的对财务报表重大的事项和状况；5. 用于编制被审计单位财务报表〔包括作出的重大会计估量和披露〕的财务报告过程；6. 与会计分录相关的掌握，这些分录包括用以记录格外常性的、特别的交易或调整的非标准会计分录。

审计准则这六个方面的要求，从信息系统对企业财务报表的支撑上通常表达为以下被审计单位对信息技术的依靠领域〔IT dependencies〕：1. 系统实现了哪些自动化掌握2. 系统生成的报表或信息3. 系统支持了哪些自动计算4. 系统实现的权限治理和职责分别5. 系统之间的自动化接口以上这些构成了被审计单位对信息技术在业务层面依靠的主要领域，即为信息系统的应用掌握〔Application controls〕和数据〔信息〕从这些依靠关系中可以清楚地勾画出与财务报表相关的信息系统因此通过这些依靠的了解，注册会计师可以评估信息技术与财务报表审计的具体相关性和相关程度需要说明的是，在了解信息技术环境阶段，对于信息技术的依靠关系的了解只是一个宏观层面上的生疏，用于确定信息系统的审计相关性对于具体细化的信息技术依靠，还需要注册会计师在对被审计单位端到端的业务流程和交易了解中才能逐步细化识别并最终确定。