一、信息系统审计的生命周期

随着信息系统在企业日常运营各个环节的运用，尤其是信息系统在对财务报表的支持上广度的扩大和深度的提升，信息系统审计在整个财务报表审计中的作用越来越重要和复杂。一般而言，在财务报表审计中对信息系统的审计，大致可以分为以下几个阶段（如图1所示）：

1.作为了解被审计单位及其环境的一个重要组成部分，注册会计师了解信息技术环境及与财务报告有关的信息系统，并结合其他了解到的被审计单位及其环境情况，识别和评估重大错报风险；

2.制定审计策略并计划审计工作以应对风险；

3.根据制定的审计策略和审计计划，对纳入审计范围的信息系统执行审计工作；

4.针对审计执行的结果进行分析评估，规划应对方案；

5.根据应对方案，调整审计程序或整体审计策略并应对。

财务报表审计中对信息系统的审计，不是独立于财务报表审计，而是财务报表审计的一部分，其最终的目的是支撑注册会计师对财务报表发表审计意见。它不是从计划到完成一次性的单向工作，在审计执行过程中要根据实际情况做出判断、评估和应对，并不断修正审计程序或整体审计策略，最终达到对财务报表的合理保证的目的。因此，可以把信息系统审计过程描述为一个循环的生命周期闭环：一个始于计划，但不终止于计划的不断调整的过程。

在财务报表审计中，注册会计师计划信息系统审计的过程，是解决和回答如下几个问题的过程：

1.本次财务报表审计中是否需要进行信息系统审计？（信息系统审计的相关性）

2.哪些信息系统需要纳入本次审计范围？（信息系统审计的对象）

3.本次信息系统审计的内容是什么？（信息系统审计的内容）

4.如何合理分配审计资源和制定计划，用更有效率和效果的方式完成审计？（信息系统审计的计划）

以上这几个问题不是一个个孤立开来的，它们之间是相互作用相互影响的，所以需要在审计计划阶段统筹规划，通盘考虑，才能得出最后的答案。注册会计师一般通过执行如下几个步骤来完成计划工作：

图1 财务报表审计中信息系统审计的生命周期

1.了解被审计单位信息技术环境，初步确定审计的相关性和信息系统环境的健康程度。

2.识别相关系统风险及应对，了解系统管控情况及可依赖程度。

3.了解和识别被审计单位的信息系统依赖领域，进一步确定系统审计的相关性，确定审计范围和内容。

4.考虑前述步骤执行的结果，结合整体审计策略，厘定对信息系统的依赖程度，确定系统审计策略。

5.根据审计策略，确定纳入信息系统审计范围的系统清单及审计内容。

上述5个步骤是层层递进和深入的过程。步骤之间环环相扣，任何一个步骤都是审计计划划阶段不可逾越的环节。在完成了以上5个步骤之后，审计计划要解决的几个问题就迎刃而解了。需要说明的是，信息系统审计范围和规划是一个逐步细化和修正的过程，不可能在审计计划阶段一蹴而就，需要注册会计师根据实际项目情况不断进行审计范围和内容的细化和更新，以确保审计程序能够为财务报表审计提供有效支撑。

表1 信息技术整体控制环境关注点

二、了解信息技术环境及与财务报告相关的信息系统

在财务报表审计中，注册会计师需要了解信息技术环境及与财务报告有关的信息系统，从而了解企业如何运用信息技术及信息技术如何影响财务报表。注册会计师结合其他了解到的被审计单位及其环境的情况，识别和评估重大错报风险，从而为信息系统审计范围的确定提供基础。在审计计划阶段，了解信息技术环境及与财务报告有关的信息系统是为了达到以下两个目的：

1.了解信息技术与本次财务报告审计的总体相关性；

2.了解被审计单位的信息系统使用及管理情况是否处于一个健康的环境，为审计策略中厘定对信息系统的依赖程度提供决策依据。

（一）了解信息技术环境

对于企业如何运用信息技术，注册会计师要从了解信息技术整体环境入手。信息系统整体环境从全局和宏观的角度对企业运用信息系统进行规划指导和管理，是企业信息系统运用和管理的基调。信息系统整体环境及其控制，是为了保证信息系统的运用处于一个健康的环境中，从而为控制活动的运行提供健康的环境和基础。注册会计师通常会发现，在审计过程中遇到的重大控制缺陷的根源一般都出在整体控制环境中的某一个环节上。

对于信息技术整体控制环境的了解，注册会计师一般需要从被审计单位表1所示几个方面进行关注。

通过关注以上要素和关注点，注册会计师可以了解被审计单位的基本的系统使用、管理情况，初步识别系统相关风险，为后续审计范围的确定提供基础和铺垫。

企业的IT整体环境的了解和评估是一个比较复杂的过程，通常需要涉及到敏锐的洞察力和较多的职业判断，因此通常在该部分工作中需要比较资深的审计人员的参与才能完成。注册会计师通常需要通过一系列的访谈、现场观察和检查，根据实际情况选择和综合运用各种审计程序，才能完成相关的了解工作。

正是因为信息系统整体环境影响的普遍性和指导性，注册会计师在审计计划阶段就应该完成对信息系统整体环境的初步评估工作，以辅助相关风险的识别，整体审计策略的确定及后续的信息系统审计工作的规划指导。

（二）了解与财务报告有关的信息系统

什么样的信息系统与财务报表相关？简单来说，如果一项信息系统的使用对财务报表认定有直接或间接的影响，则认为该系统与财务报表审计相关。相反，如果企业使用的信息系统与财务报表认定不相关，则认为该系统与财务报表审计不相关。

中国注册会计师审计准则要求注册会计师从以下六个方面了解与财务报告相关的信息系统：

1.在被审计单位经营过程中，对财务报表具有重大影响的各类交易；

2.在信息技术和人工系统中，被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；

3.用以生成、记录、处理和报告（包括纠正不正确的信息以及信息如何结转至总账）交易的会计记录、支持性信息和财务报表中的特定账户；

4.被审计单位的信息系统如何获取除交易以外的对财务报表重大的事项和情况；

5.用于编制被审计单位财务报表（包括作出的重大会计估计和披露）的财务报告过程；

6.与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。

审计准则这六个方面的要求，从信息系统对企业财务报表的支撑上通常体现为以下被审计单位对信息技术的依赖领域（IT dependencies）：

1.系统实现了哪些自动化控制

2.系统生成的报表或信息

3.系统支持了哪些自动计算

4.系统实现的权限管理和职责分离

5.系统之间的自动化接口

以上这些构成了被审计单位对信息技术在业务层面依赖的主要领域，即为信息系统的应用控制（Application controls）和数据（信息）。从这些依赖关系中可以清晰地勾勒出与财务报表相关的信息系统。因此通过这些依赖的了解，注册会计师可以评估信息技术与财务报表审计的具体相关性和相关程度。

需要说明的是，在了解信息技术环境阶段，对于信息技术的依赖关系的了解只是一个宏观层面上的认识，用于确定信息系统的审计相关性。对于具体细化的信息技术依赖，还需要注册会计师在对被审计单位端到端的业务流程和交易了解中才能逐步细化识别并最终确定。