行业信息化专题信息系统一般控制审计(下)
2018-06-14
编者按
在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。
本文拟从系统运行和维护、系统访问权限两个角度,探讨信息系统一般控制审计。
一、系统运维
(一)系统运维活动中与审计相关的特定风险
注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师需要进一步考虑系统运维活动中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表1所示)。
(二)系统运维审计领域相关控制
系统运维审计领域相关控制是围绕系统运维活动的一系列程序或机制,它们能够确保信息系统是根据管理层的应用控制目标运行的,确保运行中发生的问题得到及时的识别和解决,从而保证事务处理的准确性和完整性。系统运维审计领域的相关控制要保证系统的事务处理作业的运行与数据的备份是在受控的环境中执行的,任何运行中产生的异常也会得到及时处理。
系统运维审计领域相关控制的一般要素包括:
1. 对系统运维活动的整体管理;
2. 事务处理活动管理;
3. 问题管理;
4. 机房/数据中心运维管理。
系统运维各阶段面临的财务报表审计相关特定风险,与控制目标、COBIT5模型及常见控制机制的对应关系如下(如表2所示)。
(三)系统运维审计领域控制测试的执行
根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,在风险导向审计模式下,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。
就系统运维审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围通常需要关注以下内容(如表3所示)。
必须指出的是,以上考虑要点并非在任何情况下均适用,也并不能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。
在执行系统运维审计领域的审计工作时,注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响,并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将系统运维审计领域常见的
审计发现及其影响列示如下(如表4所示)。
表2 风险与控制目标、 COBIT5模型及常见控制机制的对应关系
表3 确定系统运维审计领域内部控制测试时的考虑
表6 风险与控制目标、COBIT5模型及常见控制机制的对应关系
表7 确定访问权限审计领域内部控制测试时的考虑
二、访问权限
(一)访问权限领域中与审计相关的特定风险
注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师需要进一步考虑访问权限管控中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表5所示)。
(二)访问权限审计领域相关控制
访问权限审计领域相关控制是围绕系统访问权限的一系列程序或机制,它们能够确保对应用程序和数据的访问权限是基于对用户真实身份的正确认定而赋予的,从而保证事务处理的准确性和完整性。访问权限审计领域的相关控制要保证,对于程序和数据的访问是处于有序受控的环境之中。
访问权限审计领域相关控制的一般要素包括:
1. 对访问权限活动的整体管理;
2. 应用层面访问权限管理;
3. 数据层面访问权限管理;
4. 操作系统层面访问权限管理;
5.计算机网络层面访问权限管理;
表8 访问权限审计领域常见审计发现及其影响
6. 物理层面访问权限管理。
访问权限各阶段面临的财务报表审计相关特定风险,与控制目标、COBIT5模型及常见控制机制的对应关系如下(如表6所示)。
(三)访问权限审计领域控制测试的执行
根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,在风险导向审计模式下,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。
就访问权限审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围通常需要关注以下内容(如表7所示)。
必须指出的是,以上考虑要点并非在任何情况下均适用,也并不能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。
在执行权限审计领域的审计工作时,注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响,并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将权限审计领域常见的审计发现及其影响列示如下(如表8所示)。
简 讯
中国注册会计师行业团委会在京召开
2018年5月4日下午,中国注册会计师行业团委召开会议,学习贯彻习近平新时代中国特色社会主义思想和党的十九大精神、习近平总书记在北京大学师生座谈会上的重要讲话精神,传达学习团中央有关精神,部署推进2018年行业团建工作。中国注册会计师行业党委副书记梁立群同志出席会议并讲话,中国注册会计师行业团委书记冯毅同志主持会议。
会议指出,行业团的工作要以习近平新时代中国特色社会主义思想为指导,认真学习贯彻党的十九大精神,牢牢把握行业团建工作的阶段性特征和时代要求,把握行业团委的功能定位,把握行业团员青年的特点,紧紧围绕政治性、先进性、群众性要求,创新方式方法,始终把思想政治建设摆在首位,引导团员青年忠于祖国、忠于人民,立鸿鹄志、做奋斗者,求真学问、练真本领,知行合一、做实干家;始终坚持围绕和服务中心工作,围绕促进青年成长成才来开展工作,培养中国特色社会主义事业的建设者和接班人;始终注重机制建设,积极打造行业团建项目品牌和活动开展的长效机制,建立健全与青年切身利益和成长相关的激励机制,健全行业团建工作抓手,夯实行业团建工作“省级抓、抓省级”的工作机制。
会议审议通过了中国注册会计师行业团委会议制度和议事规则、委员分工安排、2018年青年文明号开放周活动安排,对下一步工作进行研究部署。
