第14講信息技術審計第一模塊審計基本原理一一第五部分信息技術審計第14講信息技術審計本講涉及的知識點分為：知識點一信息技術對內部控制的影響知識點二信息技術中的一般控制、應用控制以及公司層面信息技術審計知識點三信息技術對審計過程的影響知識點四計算機輔助審計技術和電子表格的運用知識點五不同信息技術環境下的問題知識點六數據分析考情分析本講屬于不重要的內容。近幾年只在2016年考查過一道單選題。數據分析為2017年新增內容，大家稍作關注，其余內容可在聽課理解基礎上戰略性放棄。知識點一信息技術對內部控制的影響1.信息技術和財務報告的關系?信息技術對財務核算的影響（1）計算機輸入和輸出設備代替了手工記錄；（2）計算機顯示屏和電子影像代替了紙質憑證；（3）計算機文檔代替了紙質日記賬和分類賬；（4）網絡通信和電子郵件代替了公司間的郵寄；（5）管理需求固化到應用程序之中；（6）靈活多樣的報告代替了固定的定期報告；（7）數據更加充分，信息實現共享；（8）系統問題的存在比偶然性誤差更為普遍。?對注冊會計師的要求注冊會計師在進行財務報表審計時，如果依賴相關信息系統所形成的財務信息和報告作為審計工作的依據，則需要在整個過程中考慮信息的準確性、完整性、授權體系及訪問限制四個方面..信息技術對內部控制的影響?積極影響概括地講，自動控制能為企業帶來以下好處：（1）自動控制能夠有效處理大流量交易及數據，因為自動信息系統可以提供與業務規則一致的系統處理方法；（2）自動控制比較不容易被繞過；（3）自動信息系統、數據庫及操作系統的安全控制可以實現有效的職責分離；（4）自動信息系統可以提高信息的及時性'準確性,并使信息變得更易獲取.（5）自動信息系統可以提高管理層對企業業務活動及相關政策的監督水平。.信息技術產生的風險信息技術在改進被審計單位內部控制的同時，也產生了特定的風險：（1）信息系統或相關系統程序可能會對數據進行錯誤處理，也可能會去處理那些本身就錯誤的數據；（2）自動信息系統、數據庫及操作系統的安全控制如果無效，會增加對數據信息非授權訪問的風險；（3）數據丟失風險或無法訪問的風險，如系統癱瘓；（4）不適當的人工干預，或人為繞過自動控制。.注冊會計師在信息化環境下面臨的挑戰2018年新增，8個方面）信息技術在會計處理和財務報告中的運用，把注冊會計師帶入了一個全新的、充滿挑戰的信息化環境。在這個環境中，注冊會計師面對的是功能復雜、高度集成的大型信息系統，以及系統生成、處理、記錄和報告的海量電子數據，甚至還有完全不同于傳統形式的舞弊手法。如果作為審計工作對象的財務會計信息和報告是由企業財務報告相關信息系統作為載體所形成的，那么注冊會計師在了解業務流程和內部控制、識別和評估審計風險、確定審計風險的應對以及審計范圍、制定整體審計計劃、執行審計程序以及收集審計證據等方面將面臨來自信息化環境的眾多挑戰，主要體現在以下方面：（1）對業務流程開展和內部控制運作的理解一傳統環境下，業務流程的開展和內部控制的運作主要依賴人工處理。信息化環境下，相當部分的內部控制環節轉移到信息系統中自動執行，或者人工與信息系統相結合而執行。因此，注冊會計師第一模塊審計基本原理一第五部分信息技術審計第1頁第14講信息技術審計需要重新建立對亞務流程開展和內部控制運作的理解和認識。（2）對信息系統相關由計風險的認識一信息系統在帶來效率效果提升的同時,也產生了由于信息牯術導致的風險。注冊會計師在執行財務報表審計時，需要充分識別并評估與會計核算和財務報告編制相關的信息技術運用相伴而生的風險，如程序邏輯的錯誤、權限的不當授予等。對相關捽制風險缺乏認識，可能導致審計工作針對性的欠缺，難以有效識別財務報表重大錯報。（3）審計范圍的確定。注冊會計師在確定審計范圍時，件往受困于信息技術的復雜性和專業性。企業的應用系統架構如何？信息系統間的數據流向是怎樣的？如果對這些根本性問題認識不清楚，往往會導致在確定審計范圍時產生遺漏。O審計刈的變化。由于在信息化環境下，會計核算與財務報告是由信息系統通過程序進行自動處理的，因此審計內容很有可能包括對信息系統中的相關自動控制的測試。例如，在針對存貨計價不準確的重大錯報風險執行審計程序時，由于被審計單位存貨的計價依賴于高度自動化處理，不存在或存在很少人工干預，針對該風險僅實施實質性程序可能不可行。獲取的審計證據,即存貨的庫齡分析僅以電子形式存在,注冊會計師必須涮試存貨的計價相關的內部控制的有效性，以及存貨成齡計算的準確性。O審計線索的隱性化。在信息化環境下，會計信息已經全面數字化，傳統的審計線索可能已經不復存在；在信息加工處理方面，信息系統封裝了信息處理的過程，其內部處理邏輯、運算的中間過程，往往對系統的用戶而言是獨立的，傳統的審計線索全面隱性化。（6）審計技術改進的必要性。面對海量的交易、數據和財務信息，傳統的審計技術在抽樣針對性和樣本覆蓋程度方面的局限性越來越突出。一方面，信息技術的運用改變了企業的運作模式和工作方式，傳統審計技術針對的問題特征可能已經消失，或者發生了改變，注冊會計師的經驗可能無法簡單移植，從而喪失了針對性；另一方面，面對海量數據，傳統的抽樣方式難以覆蓋大量的數據，對于不同來源的數據缺乏深刻的洞察力，覆蓋性方面也難以提供更強的審計信心。（7）有待優化的知識結構。信息技術的廣泛運用,對注冊會計師的知識結構提出了新的要求。他們不僅僅要具備豐富的會計、審計、經濟、管理、法律方面的知識和技能，還,必須對信息技術有所掌福和了解，熟悉系統的架構、信息處理的基本邏輯、系統運行的原理，以及與信息技術運用相伴而生的風險因素。在信息化環境下，注冊會計師必須熟悉信息技術的運用和信息系統的風險及控制，應對以上新的挑戰，對審計的策略、范圍、內容、方法和手段做出有針對性的調整，獲取充分、適當的審計證據，從而發表恰當的審計意見。（8）與專業團隊的充分協同工作。新興復雜技術的日新月異，使財務報表審計對專業知識的需求日益迫切。注冊會計師在優化自身的知識結構體系的過程中，引入相關技術專業人員參與審計工作成為一種有效的審計手段而普遍存在。比較常見的專業領域如信息技術、稅務等。因此，在審計全過程中如何整合各方資源，進行有效的審計成為審計過程中一個重要的議題和考慮方面。需要強調的是，注冊會計師在引人專業人員進行審計的項目中，從審計規劃、審計執行到審計完成的各個階段都應該積極引入專業人員參與,以確保相關的審計風險被合理識別和應對，保證審計過程的有效執行和審計效果的提升。知識點二信息技術中的一般控制、應用控制以及公司層面信息技術審計sj0502在信息技術環境中，人工控制的基本原理與方式在信息環境下并不會發生實質性的改變，注冊會計師仍需要按照標準執行相關的審計程序，而對于自動控制，就需要從信息技術一般控制審計、信息技術應用控制審計以及公司層面信息技術控制審計三方面進行考慮。1.信息技術一般性控制與應用控制信息技術一般控制信息技術應用控制概念信息系統一般控制是指為了保證信息系統的安全，對整個信息系統以及外部各種環境要素實施的、對所有的應用或控制模塊具有普遍影響的控制措施信息技術應用控制是設計在計算機應用系統中的、有助于達到信息處理目標的控制包括內容包括程序開發、程序變更、程序和數據訪問以及計算信息技術應用控制一般要經過輸入、處理及輸出等環節機運行等四個方面要點由于程序變更控制、計算機操作控制及程序數據訪問和手工控制類似，系統自動控制關注的要素包括：完整性、準確性、存在和發生。應用控制審計關注要點包括：O系統自動生成報告，（2）系統配置和科目映射，（3）接控制影響到系統驅動組件的持續有效運行，注冊會計師需要對上述三個領域實施控制測試□控制，（4）訪問和權限【注意】.如果計劃依賴自動應用控制、系統生成的信息等，則需要對信息技術的一般控制進行驗證。.所有的自動應用控制都會有一個手工控制與之相對應。例如，通過批次匯總的方式驗證數據傳輸的準確性和完整性時，第一模塊審計基本原理一第五部分信息技術審計第2頁第14講信息技術審計如果出現例外，就需要有相應的手工控制進行跟蹤調查。在測試時，每個自動系統控制都要與其對應的手工控制一起進行測試，才能得到控制是否可信賴的結論。此圖展示一般控制和應用控制2.公司層面信息技術控制常見的公司層面信息技術控制包括但不限于：（1）信息技術規劃的制定；（2）信息技術年度計劃的制定；（3）信息技術內部審計機制的建立；（4）信息技術外包管理；（5）信息技術預算管理；（6）信息安全和風險管理；（7）信息技術應急預案的制定；（8）信息系統架構和信息技術復雜性。目前審計機構針對公司層面信息技術控制往往會執行單獨的審計，以評估企業信息技術的整體控制環境，來決定信息技術一般控制和應用控制的審計重點、風險等級、審計測試方法等。3.信息技術一般控制、應用控制與公司層面控制三者之間的關系（1）公司層面信息技術控制影響公司信息技術一般控制和信息技術應用控制的部署和落實；（2）注冊會計師在執行信息技術一般控制和信息技術應用控制審計之前，會首先執行配套的公司層面信息技術控制審計，以了解公司的信息技術整體控制環境，并基于此識別出信息技術一般控制和信息技術應用控制的主要風險點以及審計重占；八'、，（3）如果帶有關鍵的編輯檢查功能的應用系統所依賴的計算機環境發現了信息技術一般控制的缺陷，注冊會計師可能就不能信賴上述編輯檢查功能按設計發揮作用。此外，與安全和訪問權限相關的控制缺陷可能導致數據錄入不恰當地繞過合理性檢查，而該合理性檢查原本應能使系統拒絕處理金額超過最大容差范圍的支付操作；（4）公司層面信息技術控制是公司信息技術整體控制環境，決定了信息技術一般控制和信息技術應用控制的風險基調；信息技術一般控制是基礎，信息技術一般控制的有效與否會直接關系到信息技術應用控制的有效性是否能夠信任。【例題1?單選題】下列有關信息技術內部控制審計的表述中，不正確的是（）。A.自動化控制下，也會給企業帶來一些財務報表的重大錯報風險B.對信息技術下內部控制的審計，注冊會計師需要從公司層面信息技術、信息技術的一般控制和應用控制三方面進行C.信息技術的一般控制通常能對實現信息處理目標和財務報告認定做出直接貢獻D.信息技術應用控制一般要經過輸入、處理及輸出等環節，自動系統控制關注信息處理目標包括：完整性、準確性、存在和發生『正確答案』C信息技術的一般控制通常能對實現信息處理目標和財務報告認定做出間接貢獻，比較宏觀【例題2?多選題】下列各項中，屬于信息技術應用控制的是（）。A.程序開發和變更B.操作系統安全C.財務系統中設定各科目映射關系D.業務和財務系統間的接口數據傳輸『正確答案』CD【例題3?單選題】下列有關信息系統一般控制、應用控制和公司層面信息技術控制的說法中，正確的有（）。A.信息技術一般控制是應用控制和公司層面信息技術控制的基礎第一模塊審計基本原理一第五部分信息技術審計第3頁第14講信息技術審計B.評估的重大錯報風險為低水平時，如果計劃依賴自動應用控制，可以對其直接測試，而無需對信息技術的一般控制進行驗證C.注冊會計師執行公司層面信息技術控制審計通常安排在執行信息技術一般控制和信息技術應用控制審計之前D.需要關注的一般控制要素包括完整性、準確性、存在和發生『正確答案』C『答案解析』公司層面信息技術控制是信息技術的整體控制環境，決定了信息技術一般控制和應用控制的風險基調，選項A錯誤；如果計劃依賴自動應用控制、系統生成的信息等，則需要對信息技術的一般控制進行驗證，選項B錯誤；需要關注的應用控制要素包括完整性、準確性、存在和發生，選項D錯誤?！纠}?簡答題】(2015)審計甲公司2014年度財務報表。資料三：項目合伙人A注冊會計師在審計工作底稿中記錄了審計計劃，部分內容摘錄如下：2014年，甲公司使用新的存貨管理系統，A注冊會計師擬信賴與存貨相關的自動化應用控制，確定信息系統審計的范圍為：了解和評估系統環境和信息技術一般控制，測試自動化應用控制。要求：指出所列審計計劃是否恰當，如不恰當，簡要說明理由?！敬鸢浮坎磺‘敗M信賴的存貨管理系統，注冊會計師僅了解了系統的一般控制，沒有了解系統的應用控制；僅測試了系統的自動化應用控制，沒有測試系統的一般控制。知識點三信息技術對審計過程的影響1.信息技術對審計的影響信息技術對審計過程的影響主要體現在以下幾個方面：(1)對審計線索的影響傳統的審計線索包括憑證、日記賬、分類賬和報表。信息技術環境下的審計線索是：數據存儲介質、存取方式、處理程序等。(2)對審計技術手段的影響過去，審計都是手工進行的?，F在，注冊會計師需要掌握相關信息技術，把信息技術當作一種有力的審計工具。(3)對內部控制的影響隨著信息技術的發展，雖然內部控制的目標(財務報表的可靠性、對法律法規的遵守、經營效率和效果沒有發生改變，但在高度電算化的信息環境中，業務活動和業務流程引發了新的風險，從而使具體控制活動的性質有所改變。(4)對審計內容的影響信息化環境下審計的內容包括對信息化系統的處理和相關控制功能的審查。(5)對注冊會計師的影響信息技術在被審計單位的廣泛應用要求注冊會計師一定要具備相關信息技術方面的知識。2.信息技術審計范圍的確定如果注冊會計師計劃依賴自動控制或自動信息系統生成的信息，那么他們就需要適當擴大信息技術審計的內容。注冊會計師在規劃審計策略時，需要結合被審計單位的下列情況：(1)業務流程復雜度；考慮因素包括流程的人員、活動、數據量、處理方式及依賴程度等。(2)信息系統復雜度；評估信息系統復雜度需要大量職業判斷，同時受到所使用系統類型(如商業軟件或自行研發系統)的影響。(3)系統生成的交易數量和業務對于系統的依賴程度；(4)信息和復雜計算的數量；(5)信息技術環境規模和復雜度。①評估信息技術環境的規模和復雜度時，應當主要考慮產生財務數據的信息系統數量、信息系統接口以及數據傳輸方式、信息部門的結構與規模、網絡規模、用戶數量、外包及訪問方式(例如本地登錄或遠程登錄)。②信息技術環境復雜并不一定意味著信息系統是復雜的，反之亦然?！纠}4?單選題】(2016年)下列有關注冊會計師評估被審計單位信息系統復雜度說法中，錯誤的是()。A.評估信息系統的復雜度，需要考慮系統生成的交易數量B.信息技術環境復雜，意味著信息系統也是復雜的C.對信息系統復雜度的評估，受被審計單位所使用的系統類型的影響D.評估信息系統的復雜度，需要考慮系統中進行的復雜計算數量第一模塊審計基本原理一第五部分信息技術審計第4頁第14講信息技術審計『正確答案』B『答案解析』信息技術環境復雜并不一定意味著信息系統是復雜的，兩者沒有必然聯系【例題5?多選題】注冊會計師在規劃審計策略時，需要根據具體情況對信息技術審計范圍加以考慮。通常需要考慮的因素有（）。A.企業業務流程的復雜度B.信息系統復雜度C.系統生成的交易數量D.信息技術環境規模和復雜度『正確答案』ABCD.信息技術一般控制對控制風險的影響（1）信息技術一般控制對應用控制的有效性具有普遍性影響；（2）無效的一般控制增加了應用控制不能防止或發現并糾正認定層次重大錯報風險的可能性；（3）如果一般控制有效，注冊會計師可以更多地信賴應用控制；（4）注冊會計師通常優先評估公司層面信息技術控制和信息技術一般控制的有效性。.信息技術應用控制對控制風險和實質性程序的影響一般控制影響廣泛，注冊會計師通常不將控制與具體審計目標相聯系；如果針對某一審計目標，注冊會計師能夠識別出有效的應用控制，在通過測試確定其運行有效后，注冊會計師能夠減少實質性程序。.在不太復雜IT環境下的審計注冊會計師采用傳統方式進行審計，即“繞過計算機進行審計”。在此情形下，注冊會計師仍需要了解信息技術一般控制和應用控制，但不測試其運行有效性，即不依賴其降低評估的控制風險水平，更多的審計工作將依賴非信息技術類審計方法。.在較為復雜IT環境下的審計在面臨較為復雜的IT環境時，“繞過計算機審計”就不可行，注冊會計師需要更多運用各項審計技術和審計工具開展具體的審計工作。知識點四計算機輔助審計技術和電子表格的運用.類型（1）面向系統的計算機輔助審計技術包括平行模擬、測試數據、嵌入審計模塊法、程序編碼審查、程序代碼比較和跟蹤、快照等方法。（2）面向數據的計算機輔助審計技術包括數據查詢、賬表分析、審計抽樣、統計分析、數值分析等方法。.優點提高審計效率，節約審計時間和成本。.應用（1）計算機輔助技術的應用控制測試、實質性程序、舞弊檢查領域均可應用。（2）計算機輔助工具的應用。數據庫和專業工具的應用。例如，Excel電子表格。4.Excel電子表格面臨的固有風險（1）輸入錯誤：錄入、引用和剪貼中出現錯誤（2）邏輯錯誤：公式錯誤（3）接口錯誤：系統間的傳輸錯誤（4）其他錯誤。【例題6?多選題】關于計算機輔助審計對審計影響，以下陳述中，恰當的有（）。A.計算機輔助審計技術大大提高了審計工作的效率和效果B.計算機輔助審計能滿足審閱大量的交易數量C.計算機輔助審計可以用于審計抽樣D.計算機輔助審計不便用于控制測試『正確答案』ABC第一模塊審計基本原理一第五部分信息技術審計第5頁第14講信息技術審計『答案解析』計算機輔助審計技術也可用于測試控制的有效性，選擇少量的交易，并在系統中進行穿行測試，從而確定是否存在控制失效的情況。知識點五不同信息技術環境下的問題.網絡環境分布于不同位置的服務器的安全、數據和信息的分布及同步、管理監督以及兼容性問題。.數據庫管理系統存在多重使用者能夠訪問和修改共享數據的風險。因此，需要實施嚴格的數據庫管理和接觸控制，以及數據安全備份制度。.電子商務系統交易信息在網上傳輸，容易被攔截、篡改或不當獲取，需要采取相應的安全控制。此外，被審計單位的會計信息系統可能與交易對方的系統相連接，產生了互相依賴的風險，即交易一方的風險部分取決于交易對手如何識別和管理其自身系統中的風險。.外包安排（1）含義信息技術外包指被審計單位將信息技術職能外包給專門的服務機構。（2）總體程序當外包安排構成被審計單位與財務報告相關的信息系統或業務流程的一部分：①了解服務機構中與內部控制相關的控制以及針對服務機構活動所實施的控制；②獲取相關控制運行有效性的證據。（3）控制測試①了解服務機構注冊會計師對服務機構內部控制有效性出具的報告或與控制測試