第二节 信息技术审计范围的确定
注册会计师应按信息系统各自特点制定审计计划中包含的信息技术审计内容;如果注册会计师计划依赖自动控制或自动信息系统生成的信息,那么他们就需要适当扩大信息技术审计的内容。
注册会计师在规划审计策略时,需要结合企业业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等方面,对信息技术审计范围进行适当考虑。
| 确定范围 考虑的方面 |
考虑的因素 |
| 企业业务流程复杂度 |
1.某流程涉及过多人员及部门,并且相关人员及部门之间的关系复杂且界限不清; 2.某流程涉及大量操作及决策活动; 3.某流程的数据处理过程涉及复杂的公式和大量数据录入操作; 4.某流程需要对信息进行手工处理; 5.对系统生成的报告的依赖程度。 |
| 信息系统复杂度 |
1.评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围,以及企业化程度(对出厂标准配置的变更、变更类型。 2.评估自行研发系统的复杂度,应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果,以及系统变更之后的系统运行情况及运行期间。 |
| 系统生成的交易数量 |
1.企业是否存在大量交易数据,以至于用户无法识别并更正数据处理错误; 2.数据是否通过网络传输,如EDI; 3.是否使用特殊系统,如电子商务系统。 |
| 信息和复杂计算的数量 | |
| 信息技术环境规模和复杂度 |
应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式(例如本地登陆或远程登陆)。 |
注意:
第一,信息技术审计的范围与企业在业务流程及信息系统相关方面的复杂度成正向关系。
第二,在对企业的流程、信息系统和相关风险进行充分了解之后,注册会计师应判断企业中是否包含信息技术关键风险,并且实质性程序是否无法完全控制该风险。如果符合上述情况的描述,那么注册会计师应将信息技术审计内容纳入财务审计计划之中。
第三,在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,注册会计师需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围。
信息系统审计关联范围表
| 对信息系统的依赖程度 | 对系统环境的了解与评估(是/否) | 验证手工控制(是/否) | 验证系统应用控制(是/否) | 了解、验证系统一般性控制(是/否) |
| 不依赖 | 是 |
否 |
否 |
否 |
| 仅依赖手工控制,此类手工控制不依赖系统所生成的信息或报告 | 是 |
是 |
否 |
否 |
| 仅依赖手工控制,此类手工控制依赖系统所生成的信息或报告,审计需要通过实质性程序来验证控制有效性 | 是 |
是 |
否 |
否 |
| 同时依赖手工及自动控制 | 是 |
是 |
是 |
是 |
【例题1·多选题】注册会计师在规划审计策略时,需要根据具体情况对信息技术审计范围加以考虑。通常需要考虑的因素有( )。
A.企业业务流程的复杂度
B.信息系统复杂度
C.系统生成的交易数量
D.信息技术环境规模和复杂度
【正确答案】ABCD
【答案解析】注册会计师在规划审计策略时,需要结合企业业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等四个方面,对信息技术审计范围进行适当考虑。
