我国会计信息系统审计基本内容的探讨
从我国目前发布的相关规范来看,《企业内部控制评价指引》专门针对的是由企业董事会和管理层的工作,《内部审计具体准则第28号——信息系统审计》是用来指导内部审计师开展信息系统审计;而《企业内部控制审计指引》和《中国注册会计师审计准则》则是用http://WWw.LWlM.cOm来指导注册会计师进行内部控制审计。它们的要求各有侧重,但在实质性的内容上却殊途同归。下面我们分别进行介绍。
一、内部审计部门所开展的信息系统审计 《内部审计具体准则第28号——信息系统审计》指出,信息系统审计,是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。该准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。 信息技术风险评估师确定信息系统审计内容的前提。在进行信息系统审计时,审计人员应当识别组织所面临的与信息技术相关的内、外部风险,并采用适当的风险评估技术与方法,分析及评价其发生的可能性及影响程度,为确定审计目标、范围和方法提供依据。信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险包括组织层面的信息技术风险、一般性控制层面的信息技术风险及业务流程层面的信息技术风险等。相应的,信息系统审计包括对组织层面信息技术控制、信息技术一般性控制及业务流程层面相关应用控制的审计。 (一)组织层面信息技术控制和信息技术一般控制 审计人员在识别、评估组织层面、一般性控制层面的信息技术风险时需要关注以下几方面:业务关注度,即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术(包括硬件及软件环境)对业务和用户需求的支持度;信息资产的重要性;对信息技术的依赖程度;对信息技术部门人员的依赖程度;对外部信息技术服务的依赖程度;信息系统及其运行环境的安全性、可靠性;信息技术变更;法律规范环境;其他。 2.信息技术一般性控制。信息技术一般性控制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施,以确保信息系统持续稳定的运行,支持应用控制的有效性。对信息技术一般性控制的审计应考虑以下控制活动:(1)信息安全管理。审计人员应关注组织的信息安全管理政策,物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制,系统设置的职责分离控制等。(2)系统变更管理。审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批,变更测试,变更移植到生产环境的流程控制等。(3)系统开发和采购管理。审计人员应关注组织的应用系统及相关系统基础架构的开发和采购的授权审批,系统开发的方法论,开发环境、测试环境、生产环境严格分离情况,系统的测试、审核、移植到生产环境等环节。(4)系统运行管理。审计人员应关注组织的信息技术资产管理、系统容量管理、系统物理环境控制,系统和数据备份及恢复管理,问题 管理和系统的日常运行管理等。 (二)业务流程层面应用控制 业务流程层面的信息技术风险受行业背景、业务流程的复杂程度、上述组织层面及一般性控制层面的控制有效性等因素的影响而存在差异。一般而言,http://WWw.LWlM.cOm审计人员应了解业务流程并关注以下几方面信息技术风险:数据输入,数据处理,数据输出。 业务流程层面应用控制是指在业务流程层面为了合理保证应用系统准确、完整、及时完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术控制。对业务流程层面应用控制的审计应考虑以下与数据输入、数据处理以及数据输出环节相关的控制活动:授权与批准;系统配置控制;异常情况报告和差错报告;接口/转换控制;一致性核对;职责分离;系统访问权限;系统计算;其他。 信息系统审计除上述常规的审计内容外,审计人员还可以根据组织当前面临的特殊风险或需求,设计专项审计以满足审计战略,具体包括但不限于下列领域:信息系统开发实施项目的专项审计;信息系统安全专项审计;信息技术投资专项审计;业务连续性计划的专项审计;外包条件下的专项审计;法律法规、行业规范要求的内部控制的合规性的专项审计;其他专项审计。 二、注册会计师所开展的会计信息系统审计 我国目前指导注册会计师开展内部控制审计的规范包括《中国注册会计师审计准则》、《企业内部控制基本规范》、《企业内部控制应用指引》、《企业内部控制评价指引》、《企业内部控制审计指引》、《中国注册会计师鉴证业务基本准则》及相关执业准则。 (一)整合审计的要求 中国注册会计师审计准则第1211号《了解被审计单位及其环境并评估重大错报风险》对所需要进行测试的信息系统进行了界定,将这部分信息系统称为与财务报告相关的信息系统(也就是本文所说的会计信息系统),它包括用以生成、记录、处理和报告交易、事项和情况,对相关资产、负债和所有者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统所生成信息的质量,对管理层能否编制可靠的财务报告具有重大影响,它通常包括下列职能:(1)识别与记录所有的有效交易;(2)及时、详细地描述交易,以便在财务报告中对交易作出恰当分类;(3)恰当计量交易,以便在财务报告中对交易的金额作出准确记录;(4)恰当确定交易生成的会计期间;(5)在财务报表中恰当列报交易。