财务报表审计中对信息系统控制风险的评价
[摘 要]随着信息技术的进步,企业的经营模式和业务都发生了巨大的变化,财务报表审计所面对的审计对象的生产环境发生了很大的变化,很多企业在报表的编制过程中采用了IT技术,都给财务报表审计带来了很大的冲击。本文对财务报表审计中对信息系统控制风险的评价的目的、步骤、内容等问题进行了探讨。
[关键词]财务报表审计,信息系统,控制风险评价
一、信息系统控制风险评价的目的
1•与财务报表审计目的的关系。
信息技术的运用是企业经营的一个技术层面,它的使用不会影响财务报表审计的目的,所以财务报表审计的目的仍然是对报表的合法性、公允性进行审计。但是在对财务报表的合法性和公允性的审计过程中,却必须考虑信息技术环境对财务报表的影响。因为,企业的财务报表是在会计应用系统输出的信息的基础上编制的,会计系统利用信息技术时,通常信息都是由各种业务应用系统生成的,这些信息在会计应用系统反映出来,财务报表信息的可信赖性很大程度上依赖于信息系统是否有效地发挥了作用,即企业的经营资源(人、财、物)的状态是否在企业的经营程序中及时、正确地反映了信息。因此,为了确保由这些操作系统编制的财务报表的可信赖性,必须对相关内部控制进行评价。
2•信息技术环境下的审计模式。
信息技术环境下的财务报表审计仍然要采用风险审计模式,在研究相关风险的基础上评价固有风险,在研究内部控制的基础上评价控制风险,从而确定实质性测试的重点。应该说,在信息技术环境下的财务报表审计中,对风险评价的意义要远远高于对传统企业审计中对风险评价的意义,因为在信息技术环境下企业的财务报表面临的风险要更多、更重要。如同审计人员实施传统财务报表审计时必须对控制风险进行评价,但不需要对内部控制的可信赖性和有效性发表意见一样,在信息技术环境下,审计人员作为财务报表审计的一环对信息系统相关内部控制进行评价,但不需要对信息系统的可信赖性和有效性发表意见。
3•与信息系统控制目标的关系。
信息系统内部控制是由经营者构建的,经营者设计了信息系统有效性的目标,也就是信息系统控制的目标。在财务报表审计中,这些信息系统控制目标可以作为判断企业信息系统是否提供可信赖信息标准,在信息系统相关控制风险的评价时可以使用这些目标。审计人员评价与信息系统相关的控制风险时使用的控制目标,有些与审计要点有直接关系,有些有间接关系。一般来讲,信息系统相关的控制目标有:遵循性目标,即会计准则、会计标准、相关法律及公司内部规定的符合一致;完整性目标,即信息无遗漏、无重复地被记录;可用性目标,即信息在必要的时候可以利用;机密性目标,即信息除正当的授权者外不能被利用等的保护;维护的持续性目标,即必要信息的持续使用的可能性;正当性目标,即信息经过正当的授权批准持续。审计人员要结合审计目标了解和评价与财务报表目的相关的内部控制,因此,审计人员必须在考虑对信息系统控制目标的实现程度的评价结果后,来考虑审计的问题。审计人员要根据企业所处的行业、组织、信息系统的状况判断审计要点和审计要点相关的信息系统控制目标。审计人员对信息系统相关控制风险的评价要采取交易循环方式进行。首先,审计人员理解企业主要交易循环的同时,理解交易循环和财务报表、及各经营程序和信息技术的关系;其次,企业利用信息技术处理财务信息时,审计人员要评价信息系统相关的控制风险。这时,审计人员要判断以什么信息系统相关控制风险作为评价对象。
二、对信息技术应用环境的了解
审计人员为了了解企业信息化的状况,首先要了解信息系统硬件构成、基本软件构成、网络构成的概况。同时审计人员要识别从交易发生到财务报表编制完成的会计处理过程中与信息系统的相关部分,进而了解操作系统的构成。这是了解企业对信息技术应用的基础,所以,审计人员要注意企业业务活动的内容和流程、已信息化部分和未信息部分的范围以及相互的连接点。审计人员要按企业的实情把握评价的对象。作为控制风险评价对象的信息系统可能是以下对象:
1•大型通用计算机。
在大型通用计算机系统中,财务系统可能和主干系统连动,财务系统也可能从主干系统分离。审计人员无论在上述哪种情况都不仅评价大型通用计算机处理结果的可信赖性,而是要对信息系统控制风险进行评价,对主干系统也要确认信息系统控制目标是否实现。此外,企业的信息系统是分阶段开发和实施的话,审计人员要注意信息系统间不配套的地方。
2•内部局域网。
以前大型计算机的数据输入要进行专门的操作才能实施,现在,利用公司内部局域网,各个业务执行者从个人PC的终端可以录入相关数据,如果数据录入的管理不充分的话,风险就很大。所以,公司内部局域网的风险管理不充分的话,没有得到授权者通过操作使企业的机密数据通过公司内部局域网流出公司外部,遭受破坏。风险意识不充分的企业,上级有时会依靠下级人员来进行授权录入,这样也会带来相应的风险。因此,要注意公司内部局域网的风险性。
3•客户服务系统。
企业使用客户服务系统时,和与网络进行点对点连接的系统的管理体制不同,所以,如果企业的管理没有相应的变革的话,如开发管理体制的脆弱性、开发方法的不明确、运用管理体制的不完善、管理方法的不确定、风险管理制度的不完善等,都会产生较高的风险。所以审计人员要留意企业对客户服务系统的技术的理解和管理体制。
4•电子商务。
对于电子商务交易,审计人员要了解企业依据什么样的经营模式来实施电子商务的,然后确定与风险对应的审计计划。电子商务交易是一种新的交易形态,审计人员要注意可能会遇到和传统商业习惯不同的法律问题和会计问题。
5•会计专业软件包
会计专业软件包即ERP软件,市场上的软件有各种各样,有些会计专业软件包中预先设计了控制程序,有些没有预先设计控制程序,要注意确认这些控制程序是否能确保这些会计数据的可信赖性。因此,审计人员要评价这些会计软件是否存在必要的控制程序。尽管有些会计专业软件设计有控制程序,审计人员要注意企业是否使用了这些控制。如果企业是由个人在使用的PC上的表计算和简单数据处理,审计人员要了解在个人PC上进行财务数据处理的管理,近年来, PC具有了大型计算机具有的功能和容量,因此,有人会使用表计算软件编制重要的财务信息。这时对程序的内容很难判断,审计人员要注意管理体制。
三、对信息系统控制风险评价的步骤和内容
审计人员实施的程序是财务报表审计中以控制风险的评价为目的的程序,而不是以信息系统自身的可信赖性和有效性的评价为目的的程序。审计人员对信息系统控制风险评价时,不仅要考虑企业规模的大小,还必须综合考虑企业对信息系统的利用程度和复杂性以及信息化业务的重要性。例如,企业只使用简单的会计软件时,信息技术的利用程度是简单有限的,可以认为业务上的重要性偏低,审计人员对信息系统控制风险的评价程序仅限于对会计软件进行概括了解。如果企业是以大规模的电子商务交易为主,信息技术的利用程度高且复杂,业务上的重要性就高,这时,审计人员要对信息系统的内部控制进行严密且详细的了解,评价信息系统的控制风险。在许多企业中,信息技术是经营程序中不可缺少的,因此,审计财务报表评价控制风险时,审计人员应将企业的经营程序中与财务报表相关的内部控制作为对象。并且和传统财务报表审计一样,对控制风险的了解和评价要采用业务循环法进行。
1•了解信息系统重要的内部控制。
COSO将内部控制分为五个构成元素,审计人员在了解了企业的信息系统内容和使用状况后,分别五个要素了解信息系统的内部控制。具体包括: (1)对控制环境的了解。
了解企业经营者的意识和企业的控制环境,特别是企业信息系统的新开发和大幅度修订后,经营者对信息技术的理解和认识等都对内部控制有重要的影响,经营者对信息技术的了解和认识不充分时,存在着较高的风险。
(2)对风险评价的了解。
随着经营环境的变化,企业采用或引入新的信息技术时,了解经营者是否进行了恰当的风险评价,注意法律等的变更和企业经营模式的变更动向。
(3)对控制活动的了解。
对企业的经营程序、交易循环及企业利用信息技术的相互关系进行了解的同时,了解控制活动的概况。按照主要交易循环了解和财务报表重要会计科目相关的经营程序和操作程序的关系及主要控制活动。
(4)对信息传递的了解。
了解企业信息系统的内容和使用状况,特别是和财务报表的目标相关的信息系统及会计操作系统及业务处理操作系统的关系。#p#分页标题#e#
(5)对监督活动的了解。
监督活动是由较高层人员在业务处理的现场各阶段实施的,审计人员首先要把握对高级信息系统的监督状况,其后按必要把握对低级业务的监督活动。
2•按审计要点对控制风险进行初步评价。
审计人员在上述对内部控制了解的基础上,按审计要点对控制风险进行初步评价,制定审计计划,确定审计人员对信息系统控制风险评价的程序,进一步确定业务处理控制的控制测试程序、全部控制的控制测试程序。
3•内部控制的完善性、有效性的控制测试程序的实施。
审计人员在实施对与审计要点相关的内部控制的了解的同时,实施对内部控制完善状况的控制评测试程序。之后,审计人员根据对和审计要点相关的内部控制的了解和对完善性的控制测试的基础上,实施对控制运用有效性的测试程序,才能取得评价内部控制的有效性的审计证据。测试时可以采取询问、观察、重新执行等方法。
4•信息系统相关控制风险的评价。
审计人员实施信息系统相关控制风险的评价,确认和内部控制相关的信息系统控制目标的实现程度。其次,审计人员了解内部控制的完善性和有效性不具备时对财务报告的影响,判断是否追加必要的控制评价程序。信息系统相关内部控制存在重大缺陷时,审计人员要向企业的经营者报告该缺陷,以求改善。
四、其他相关问题
1•信息系统相关控制风险评价时的重要性的判断。
审计人员对信息系统相关控制风险评价时,可能会使用重要性水平的概念,在确定重要性水平的数值时,不仅要考虑传统审计过程中确定重要性水平时要考虑的因素,还要考虑到信息技术风险对其他业务风险的影响。同时还要注意不仅要考虑金额的大小,而且要考虑质的特性、以及该风险对其他潜在风险的影响的大小。
2•信息系统相关控制风险评价时对专家工作的利用。
由于对信息系统相关控制风险评价时对审计人员的技术知识要求较高,所以在有些时候会涉及到利用信息技术专家的工作。审计人员利用信息技术专家的工作时,要评价信息技术专家的工作能力和独立性,确认专家工作取得的审计证据的充分性和恰当性,因此,要求审计人员对专家的工作内容和结论有充分理解能力。
3•审计人员要具有信息技术相关知识。
企业的信息技术环境对审计人员实施的审计有很大的影响。因此,要求审计人员具有和企业的经营程序和信息技术相关的知识,以及处理相关工作的能力。
