舊版網站|English|利安達國際

新聞中心

工作研究

了解信息技術導致的風險以及被審計單位的應對

來源:《中國注冊會計師》2018年第3期

 轉載自:中國注冊會計師協會網站

發布時間:2018-4-2

 

【原編者按】在信息化環境下,企業運用信息技術編制財務報表,設計和執行內部控制。注冊會計師在對企業的財務報表進行審計時,必須考慮信息技術的影響。同時,信息化也對注冊會計師的審計技術和方法帶來革命性變化。爲了幫助注冊會計師應對信息化帶來的挑戰,中國注冊會計師協會資助普華永道中天會計師事務所研究編寫了《信息系統環境下的財務報表審計》一書,即將出版。本刊約請作者加以摘編,分期連載,以飨讀者。

如果說注冊會計師了解被審計單位的信息技術環境以及與財務報告相關的信息系統,目的是爲了對被審計單位的信息技術使用情況進行摸底,進而獲得與被審計單位信息技術使用與財務報表相關性有關的信息。那麽,了解信息技術導致的風險及應對就是爲了評估被審計單位的信息技術是否處于一個可控的狀態,相關的應對(控制)體系是否已經建立健全,以幫助企業應對相關信息技術風險,爲審計策略的選擇和審計範圍的確定提供依據。

了解被審計單位的信息技術整體環境是對企業信息系統整體管理體系中的相關風險點的識別及應對機制,這一部分是注冊會計師了解信息技術導致的風險及被審計單位應對的重要組成部分,對其他具體的信息技術風險及應對有著宏觀引導作用,是其他具體的信息技術風險存在和應對的背景和大環境。本文著重講解企業使用信息技術導致的具體風險及應對體系。

 

一、了解被審計單位信息技術導致的風險

一般而言,企業通常遇到的與財務報告編制相關的典型信息技術導致的風險包括但不限于以下方面:

1. 程序或數據的訪問沒有受到合理限制;

2. 自動控制或程序沒有合理設計或有效運行;

3. 報表沒有被合理設計或有效運行;

4. 對數據的非授權訪問;

5. 數據丟失或損壞;

6. 交易處理過程中的錯誤沒有被更正或識別。

 

以上是一些常見的信息技術導致的風險舉例,普遍適用于各個行業的企業。需要說明的是,以上列出的這 6 類風險點是我們在信息技術導致的風險中比較常見的風險,這裏並未窮盡所有信息技術導致的風險。注冊會計師需要在審計項目中針對各個項目分別進行風險評估和識別工作,以確保審計工作的效率和效果。

注冊會計師在進行被審計單位信息技術整體環境的了解過程中,就要有意識的開始進行風險點相關性的識別工作,了解哪些風險類別是和被審計單位相關的風險,哪些是不相關的風險。然後才能針對識別的相關風險評估應對體系,有效的開展審計工作,避免過度審計或審計不足。

 

二、關于被審計單位信息系統相關風險的應對體系

 

爲了應對上述識別出的信息技術導致的風險,被審計單位通常會從組織架構、人員、技術、流程和程序等方面來進行應對,即設計一套控制體系來應對相應的風險。雖然具體的控制活動根據被審計單位實際情況可能千差萬別,但是控制的目的都是爲了應對相關的信息技術導致的風險。通常情況下,以被審計單位信息技術整體控制環境爲大背景,被審計單位在信息技術導致的風險應對方面的具體控制體系包括信息系統一般控制和應用控制。

 

(一)信息系統一般控制

如果把某一信息系統比喻爲一個機器人,這個機器人根據其設定的程序進行的日常活動即我們所見的業務層面操作/控制(IT Dependencies),這些活動直接或間接的對機器人是否能實現預定的操作目標産生影響。那麽,如何保證這個機器人能夠按我們所設定的程序進行日常活動?這就必須要使得機器人的制造、更新、維護、訪問控制這 4 個環節/方面得到有效的保證。

首先,機器人是按照預設需求制造的,比如我們要制造一個具有清潔功能的機器人,只有把控生産制造環節,才能保證制造出預設功能,而不是其他功能的機器人;同時,由于需求在不斷地發生變化,要保證機器人能夠不斷滿足我們的需求變化,我們需要對機器人進行升級或者是修複,從而使其功能與時俱進;另外,在機器人日常運作過程中,我們需要對它是否按正確的方式進行了工作,如果出現了問題怎麽處理等進行日常的維護,保證其持續有效地按我們要求的方式活動等,這就是我們日常維護所要關注和保證的事情;最後,也是最重要的,對這個機器人,誰可以操作和改造它,就涉及到一個訪問控制的問題,如果隨隨便便任何人都可以進入其的核心程序對其進行改造,很可能這個産品可能就功能紊亂了,所以把握訪問控制是至關重要的。這幾個方面就確保了一個按我們所需方式制造、維護、升級和使用的産品。

與之類似,信息系統一般控制就是合理保證系統持續有效地按照我們要求的方式進行運作的一套控制體系。機器人運轉原理的制造、更新、維護和訪問控制對應到的就是我們信息系統一般控制的系統建設、系統變更、系統日常運行維護、程序和數據的訪問四大領域的話題。這四大領域是信息系統最基礎也是最核心最爲重要的環節,雖然對于業務部門和財務部門來說,可能對這四大領域沒有太多感性的認識,但是,正是這四大領域的存在,才爲系統在業務層面支持業務流程奠定了堅實的基礎。如果說業務流程層面的自動化流程和控制是信息系統的外延,那麽基礎層面的信息系統一般控制是信息系統的內核。

 

根據《中國注冊會計師審計准則第 1211 號——通過了解被審計單位及其環境識別和評估重大錯報風險》及其應用指南,信息技術一般控制是與多個程序相關且支持應用控制有效運行的政策或程序,應用于主機、小型機和終端用戶環境。保證信息完整性和數據安全性的信息技術一般控制通常包括:

1. 數據中心和網絡運行控制;

2. 系統軟件的購置、修改及維護控制;

3. 程序修改控制;

4. 接觸或訪問權限控制;

5. 應用系統的購置、開發及維護控制。

 

上述五項信息技術一般控制分別對應我們所闡述的信息系統一般控制的四大領域,即:

1. 系統日常運行維護;

2. 系統變更;

3. 程序和數據的訪問;

4. 系統建設。

在信息系統審計規劃階段,注冊會計師僅需要對被審計單位在以上領域的控制活動進行了解,獲知被審計單位是否存在相關控制活動,以此爲基礎制定審計策略,詳細的信息系統一般控制審計執行(如果注冊會計師決定測試相關控制),將在審計執行階段完成。

信息系統一般控制爲信息系統按照管理預期正常運轉的基本控制,爲運行其上的應用控制的持續有效性提供保障。正是由于信息系統一般控制的基礎性和內核性,信息系統一般控制在審計中具有以下局限性:

1. 信息系統一般控制通常不能直接預防或發現重大錯報;

2. 信息系統一般控制通常不能直接對特定財務報表項目認定提供直接證據;

3. 有效的信息系統一般控制本身並不能得出應用控制的可靠性。

 

(二)信息系統應用控制

信息系統應用控制爲業務的持續有效運行和財務報表的編制提供直接或間接基礎和支持。每個企業在各個業務流程的應用控制千差萬別,需要在財務報表審計過程中,從每個財務報表科目余額或交易的重大財務錯報風險出發,在業務流程中識別是否有相關的系統支持存在。即在了解與財務報告有關的信息系統中所提到的對被審計單位對信息技術的依賴領域(IT dependencies):

1. 系統自動化控制;

2. 系統生成的報表/信息;

3. 系統自動計算;

4. 系統權限管理和職責分離;

5. 系統之間的自動化接口。

我們可以通過一張圖來說明財務報表與信息系統風險應對體系的關系。以便于我們更清楚的理解各個部分之間的依賴和支持關系。

 

 

簡言之,財務報表、應用控制和信息系統一般控制之間的關系可以描述爲:財務報表形成于各個業務流程和交易過程;而自動控制、依賴于系統的人工控制、及不依賴系統的人工控制這些業務層面的控制活動保證了流程和交易的按我們預期的方式運行;爲了保證業務層面的系統相關控制活動(自動控制和依賴于系統的人工控制)的持續有效的運行,信息系統一般控制從建設、變更、運維和訪問四個領域提供了堅強有力的保證。

需要說明的是,在審計計劃階段,注冊會計師對于信息系統整體控制環境、一般控制和應用控制的了解是對被審計單位及其環境的了解,目的是爲了評估被審計單位是否存在系統運行的健康可控的大環境、是否存在支持財務報表的應用控制、是否存在支持信息系統應用控制的信息系統一般控制,從而幫助注冊會計師制定審計策略。即,注冊會計師在審計規劃階段需要了解清楚被審計單位信息系統相關風險及其應對體系。

從前面的講解中,我們將企業的信息系統風險及應對體系的關系表示如下:

 

 

其中,信息系統整體控制環境是控制體系存在的大背景,決定了管理的基調和健康程度;應用控制體系是風險應對體系中直接對業務流程進行有效支撐的保證;信息系統一般控制是風險應對體系的基礎和內核,爲應用控制體系的穩健持續有效運行提供保證。三層應對體系共同構成了企業信息技術風險應對的控制體系,三者缺一不可。

在審計規劃階段,對于被審計單位信息系統整體控制環境、一般控制和應用控制的了解,注冊會計師通常通過訪談和查看等方式獲得相關信息。除非有特殊必要,一般不在審計計劃初始階段對其進行的詳細測試工作。對于信息系統一般控制和應用控制的進一步測試工作,將在審計執行階段進行介紹。  

 

(三)關于信息系統風險的一些常見問題解答

問題一:企業對使用信息系統所帶來風險的應對體系與企業內部控制體系之間是什麽關系?

答:企業對使用信息系統所帶來的風險的應對體系分爲三個層面:

一個是信息技術整體(控制)環境,是信息技術使用和管理的大環境及基調;一個是業務層面,即我們通常所說的應用控制體系;一個是基礎層面,即我們通常所說的信息系統一般控制體系。企業的內部控制體系是企業實現全面風險應對的全面控制體系。前者是後者的有機組成部分,並伴隨著企業信息化程度的提升而在內控體系中的地位日益重要,占比日益提升。

 

問題二:信息系統一般控制和應用控制的實現方式都是自動的嗎?

答:不一定。

內部控制的實現方式分爲兩大類:系統自動實現的自動控制(automatic controls)和人工方式實現的人工控制(manual control)。其中,人工控制又分爲純粹的不依賴系統數據或信息的人工控制和依賴于系統數據或信息的人工控制(IT-dependent manual control)。

信息系統一般控制是對信息系統的建設、變更、訪問及運行維護相關風險的應對控制體系。這些控制活動的實現方式可能是系統自動實現的自動控制,例如通過 SVN 服務器實現變更程序的版本控制;也可能是人工方式實現的人工控制,例如系統中對于賬號權限申請的書面審批控制;也可能是基于系統數據而進行的人工控制,例如,相關人員對于系統賬號權限的定期複核控制。

應用控制是對業務流程支撐的過程中,依托系統相關的信息或數據所實現的相關控制。具體包括系統自動控制、自動計算、報表和系統數據、系統權限及職責分離和接口。其中,自動控制、自動計算和報表數據通常通過系統自動方式實現,爲自動控制;系統權限及職責分離和接口通常是通過自動或者是依賴于系統人工的方式實現。

因此,信息系統一般控制和應用控制不一定全部是自動控制,一般情況下是各種控制實現方式的組合。

(文章鏈接:http://www.cicpa.org.cn/pdfflash/201803.html,轉載請注明。)

 

發布人:利安達 發布時間:2018-04-23 閱讀:2974