2018年注册会计师考试《审计》复习要点(29)

 　　第五章 信息技术对审计的影响

　　【必背考点1】信息技术对内部控制的影响

　　(一)信息技术的概念

　　信息技术是指利用电子计算机和现代通信手段实现获取信息、传递信息、存储信息、处理信息、显示信息、分配信息等相关技术。

　　(二)信息技术与财务报告的关系

　　信息技术形成的信息质量影响企业编制财务报表、管理企业活动和做出适当的管理决策。

　　如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则必须考虑相关信息和报告的质量。

　　注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制。

　　(三)信息技术对内部控制的积极影响

　　信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。

　　自动控制并不能完全取代人工控制。

　　自动控制优先：

　　1) 有效处理大流量交易及数据

　　2) 不容易被绕过

　　3) 自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离

　　4) 提高信息的及时性、准确性、并使信息变得更易获取

　　5) 提高管理层对企业业务活动及相关政策的监督水平

　　详细分析：之所以大力推广信息技术，是因为其有很多优势，故考生应着重掌握信息技术对内部控制的积极影响。

　　【必背考点2】评估信息技术的风险

　　内部控制形式与内涵发生了变化，内部控制目标没有变化。

　　(一)内部控制目标

　　1) 提高管理层决策决定的效果和业务流程效率

　　2) 提高会计信息的可靠性

　　3) 促进企业遵守法律和规章

　　(二)特定风险

　　1) 可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据

　　2) 如果相关安全控制无效，会增加对数据信息非授权访问的风险

　　3) 数据丢失风险和数据无法访问风险

　　4) 不是当的人工干预，或认为绕过自动控制风险

　　详细分析：风险无处不在，信息技术产生的风险，主要因信息技术本身的股有限制造成的。

　　【必背考点3】信息技术中的一般控制与应用控制测试

　　(一)信息技术的一般控制审计

　　1、概念：信息系统一般控制是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施，信息技术一般控制通常会对实现部门或全部财务报表认定做出间接控制。

　　2、内容

　　(1)程序开发控制

　　目标：确保系统的开发、配置和实施能够实现管理层的应用控制目标。

　　要素：

　　①程序开发的管理方法论②项目启动、分析和设计③测试和质量确保④数据迁移⑤程序试试和应急计划⑥流程更新和用户培训⑦开发过程中的需求变更管理⑧开发过程中的职责分离

　　(2)程序变更控制

　　目标：确保对程序和相关基础组件的变更时经过请求、授权、执行、测试和实施的，已达到管理层的应用控制目标。

　　要素

　　①对变更维护活动的管理②对变更请求的规范、授权与跟踪③测试和质量确保④程序实施⑤流程变更和用户培训⑥变更过程中的职责分离

　　(3)程序和数据访问控制

　　目标：确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的

　　要素：

　　①应用用户授权管理②高权限用户管理③职责分工和权限管理④认证和密码控制⑤用户监控⑥物理访问和环境控制⑦网络访问控制

　　(4)计算机运用控制

　　目标：确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。

　　要素：

　　①系统作业管理②问题和鼓掌管理③数据备份和恢复④备份介质的异地存放⑤灾难恢复

　　(二)信息技术的应用控制

　　1、概念：信息技术应用控制是指主要在业务流层次运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，通常包括检查数据计算准确性，审核账户和失算平衡表，设置对输入数据和数字序号的自动检查，以及对例外报告进行人工干预。

　　2、内容:应用控制室设计在计算机应用系统中的、有助于达到信息处理目标的控制

　　3、审计要点

　　关注要素：完整性、准确性、存在和发生

　　审计关注点：

　　1) 系统自动生成报告2) 系统配置和科目映射3) 接口控制4) 访问和权限

　　(三)公司层面信息技术控制审计

　　1、内容：公司层面技术信息包括但不限于

　　1) 信息技术规划的制定

　　2) 信息技术年度计划的制定

　　3) 信息技术内部审计机制的建议

　　4) 信息技术外包管理

　　5) 信息技术预算管理

　　6) 信息技术和风险管理

　　7) 信息技术应急预案的制定

　　8) 信息系统架构和信息技术复杂性

　　2、审计要点

　　对公司层面信息技术控制往往会执行单独的审计，以评估企业信息技术的整体控制环境来决定信息技术一般控制和应用控制的审计重点、风险等级、审计测试方式等。

　　(四)信息技术一般控制、应用控制与公司层面控制三者之间的关系

　　公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调，会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实

　　信息技术一般控制室技术，信息技术一般控制的有效与否直接关系到信息技术应用控制的有效性是否能够信任。

　　如果注册会计师发现了应用系统能所依赖的信息技术一般控制存在缺陷，注册会计师可能就不能信赖应用系统按设计发挥作用。