摘要:当今世界已处于信息化时代,越来越多的企业为提高其工作效率,将信息技术用到企业经济活动中。虽然在信息化背景下,企业因用信息技术使内部控制得到改善,但基于信息技术的会计系统也产生新的风险,而这些风险通常在传统的手动系统中不存在。审计人员须具备新观念、新意识,并掌握一定的信息技术技能才能降低这些风险。本文将重点介绍信息技术系统的特有风险,并确定可实施哪些控制措施来应对这些风险,以及阐述信息技术相关控制措施如何影响审计。
关键词:信息技术;风险;审计
0引言
目前随着越来越多的企业利用计算机处理业务,由于计算机操作替换可能出现人为错误的手动控制,信息技术的使用改进了内部控制。但与此同时,信息技术引入了风险,被审计对象可通过使用针对信息技术系统的特定控制来操控这些风险。人们通常认为“因为信息是计算机生成的,所以是正确的。”因此,很多审计人员有时过于依赖计算机生成的输出结果而不对其准确性进行测试,因为他们忘记计算机在编程后只是执行相关命令而已。审计人员不能仅因信息是由计算机生成的就依赖信息,在判定计算机生成的信息是可靠之前,审计人员必须了解并测试计算机的控制系统。本文将分以下三部分阐述信息技术对审计过程的影响:第一部分,评估信息技术的风险;第二部分,针对信息技术的内部控制;第三部分,信息技术对审计过程的影响。
1评估信息技术的风险
由于手动系统中的许多风险降低,并在某些情况下完全消除,信息技术的确可改善企业的内部控制,但它也会影响企业的整体控制风险。因为信息技术系统存在一些特定的风险,如忽视这些风险,可能导致重大的经济损失。如信息技术系统出现故障,企业可能由于无法检索信息或使用不可靠信息而导致瘫痪,这些风险增加财务报表中重大错报的可能性。信息技术系统的具体风险包括:硬件和数据的风险;减少审计轨迹;需要信息技术经验和信息技术职责分离。上述风险阐述如下:1.1硬件和数据的风险尽管信息技术提供显著的处理优势,但它也会在保护硬件和数据方面产生独特的风险。具体风险包括:
1.1.1对硬件和软件功能的依赖
如果没有适当的物理保护,硬件或软件可能无法正常工作。因此,对硬件、软件和相关数据进行物理保护以避免受到不当使用、破坏或环境破坏(如火灾、高温、潮湿或水)就显得至关重要。
1.1.2产生系统误差与随机误差
当企业用基于技术的程序取代手动程序时,人为干预造成随机错误的风险降低。然而,系统性错误的风险却增加,因为一旦程序被编程到计算机软件中,计算机将始终如一地处理所有交易的信息,直到编程程序被更改。不幸的是,软件编程中的缺陷和对该软件的更改影响计算机处理的可靠性,常常导致许多重大错误陈述。如系统未被编程识别和标记异常交易,则重大错误风险会增加。
1.1.3未经授权的访问
基于信息技术的会计系统通常允许在线访问主文件、软件和其它记录中的电子数据。由于在线访问可从远程访问点进行,包括通过互联网进行远程访问的外部方,因此存在非法访问的可能性。如果没有适当的在线限制(如密码和用户身份证),通过计算机可能会启动未经授权的活动,从而导致软件程序和主文件发生不正确的更改。
1.1.4数据丢失
信息技术系统中的大部分数据都存储在集中的电子文件中,这会增加整个数据文件丢失或销毁的风险。由此会产生严重的后果,可能导致财务报表失实,在某些情况下,还会严重中断企业的正常运营。
1.2减少审计轨迹
随着信息技术使用的增加,由于缺少可见的审计轨迹以及人为参与的减少,可能无法发现错报;此外,在许多信息技术系统中计算机取代了传统的授权。
1.2.1审计轨迹的丢失
由于大部分信息直接输入计算机,因此使用计算机通常会减少甚至消除原始文档和记录,这样企业就无法跟踪会计信息。这些文件和记录称为审计轨迹,由于审计轨迹的丢失,必须实施其他控制措施以便将输出信息与硬拷贝数据进行比较。
1.2.2减少人为干预
在许多信息技术系统中,事务初始处理的员工永远看不到最终结果,因此,他们识别错报的能力较低。即使他们看到最终结果,也往往很难识别错报,因为计算过程不可见,而且结果往往被高度概括;此外,员工往往认为通过计算机的输出结果是“正确的”。
1.2.3缺乏传统授权
先进的信息技术系统通常可自动启动交易,例如在达到预先指定的订单级别时开始订购存货,因此,正确的授权取决于软件程序和用于做出授权决策的主文件。
1.3信息技术经验和信息技术职责需要分离
信息技术系统减少传统的职责分离(如授权、记录保存和保管),并创造对信息技术人才及经验的需求。
1.3.1减少职责分离
计算机承担许多传统上被分离的职责,例如授权和记录保存。将来自企业不同部分的活动合并到一个信息技术功能中,使得各部门原来分离的职责趋于集中。如果信息技术职能部门未将关键职责分离,有权访问软件和主文件的信息技术人员可能会窃取资产。
1.3.2需信息技术经验
即使企业购买简单的现成会计软件包,也必须有具备安装、维护和使用该系统的知识和经验的人员。随着信息技术系统使用的增加,对合格信息技术专家的需求也随之增加。许多企业建立完整的信息技术人员人才库,而其它企业则将信息技术运营管理进行外包,信息技术系统及其生成的信息的可靠性通常取决于企业是否有能力雇用具有适当技术知识和经验的人员。
2针对信息技术的内部控制
为解决与依赖信息技术相关的许多风险,企业通常实施特定的信息技术控制。审计标准描述信息技术系统的两类控制:一般控制和应用程序控制。一般控制适用于信息技术职能的所有方面,包括信息技术管理,信息技术职责的分离,系统开发,访问硬件、软件和相关数据的物理和在线安全,发生突发事件时的备份和应急计划,以及硬件控制。由于一般控制措施通常适用于整个企业,因此审计人员会针对整个公司的一般控制措施进行评估;应用程序控制适用于处理交易,例如对销售或现金收入处理的控制。因为信息技术控制在不同类别的交易和账户中不同,审计人员必须评估每类交易或账户的应用程序控制,以降低这些交易或账户的控制风险。只有在一般控制有效时,应用程序控制才可能有效。下面针对一般控制和应用程序控制的各个方面进行具体阐述:
2.1一般控制
在企业整个范围内,一般控制对所有信息技术职能都产生影响。审计人员通常在审计的早期评估一般控制,因为它们会对应用程序控制产生影响。
2.1.1信息技术职能的管理
董事会和高级管理层对信息技术的态度将影响信息技术在企业中的重要性。他们对关键信息技术的监督、资源分配和参与都表明信息技术的重要性。在复杂的环境中,管理层可能建立信息技术指导委员会,以帮助监控企业的技术需求。在不太复杂的组织中,董事会可能依赖首席信息官(CIO)或其他高级信息技术经理的定期报告来保持管理层的知情;相反,当管理层将技术问题专门分配给较低级别的员工或外部人员时,它所传递的消息表明信息技术不是优先考虑的对象。导致的结果往往是信息技术人员不足、资金不足、信息技术职能控制不力。
2.1.2信息技术职责分离
传统的保管、授权和记录保存职责通常全部由一个员工担任,为应对这种风险,可让计算机执行这些任务,控制良好的企业通过分离其中的关键职责应对上述的风险。例如,信息技术职责分离,可防止信息技术人员篡改授权和记录交易来掩盖资产盗窃。
2.1.3系统开发
系统开发包括购买软件或开发满足企业需求的内部软件。实施正确软件的关键是让信息技术和非信息技术人员共同组成团队参与,包括软件的关键用户和内部审计人员。这种人员组合使得信息需求、软件设计及实施问题都能得到适当的解决。让用户参与其中也能让关键用户更好地接受信息技术;另外要测试所有软件,以确保新软件与现有硬件和软件兼容,并确定硬件和软件是否能处理所需的交易量。无论是购买软件还是内部开发软件,使用真实数据对所有软件进行广泛测试都至关重要。所有新的和修改过的软件都需建立适当的系统文档。软件成功测试和记录后,将以受控方式移交给相关人员保管,以确保只有授权软件最终被认可为授权版本。
2.1.4物理和在线安全
对计算机的物理控制以及对在线软件和相关数据文件的限制降低未经授权更改程序以及不当使用程序和数据文件的风险。安全计划应采用书面形式,并进行监控。安全控制包括物理控制和在线访问控制。对计算机设备进行适当的物理控制会限制对磁带或磁盘、硬盘驱动器、CD和外部磁盘上的硬件、软件和备份数据文件的访问。物理控制未经授权使用的常见示例包括安全摄像头。更复杂的控制只允许在读取员工指纹或扫描员工视网膜并与批准的数据库匹配后才能进行物理和在线访问。其它物理控制包括监控计算机的冷却和湿度情况,以确保设备正常运作,以及安装灭火设备以预防火灾;当在线访问控制时,使用正确的用户身份和密码控制对软件和相关数据文件的访问,减少对软件应用程序和数据文件进行未经授权更改的可能性。可安装单独的附加安全软件包,如防火墙和加密程序,以提高系统的安全性。
2.1.5备份和应急计划
电源故障、火灾、过热或过湿、水灾都可能对使用信息技术企业造成严重后果。为防止停电期间的数据丢失,许多企业依靠电池备份或现场发电机。对更严重的灾害,企业需制订详细的应急计划,如关键软件和数据文件的异地存储,或外包给专门从事安全数据存储的公司。备份和应急计划还应确定可用于处理企业数据的替代硬件。拥有小型信息技术系统的企业可在紧急情况下购买替换计算机,并使用软件和数据文件的备份副本重新处理其会计记录。大型企业通常与信息技术数据中心签订合同,这些中心专门在发生信息技术灾害时提供对非现场计算机、数据存储和其它信息技术服务的访问。
2.2应用控制
应用程序控制为每个软件应用程序设计,旨在帮助企业满足与交易相关的审计目标。尽管某些应用程序控制会影响一个或仅几个与交易相关的审计目标,但多数控制会防止或检测几种类型的错报。应用程序控制可由计算机或被审计单位人员完成。由被审计单位人员执行这些操作时,称为手动控制。当手动控制由计算机完成时,它们被称为自动控制。由于计算机处理的性质,自动控制如设计得当,将导致控制操作的一致性。
3信息技术对审计过程的影响
无论客户使用的是简单的还是复杂的计算机系统,审计人员负责了解内部控制,他们必须了解一般控制和应用控制。对一般控制的了解提高审计人员评估和依赖有效应用控制的能力,以降低相关审计目标的控制风险。对必须就财务报告的内部控制发表意见的上市公司审计人员而言,了解一般和应用信息技术控制至关重要。审计人员应在评估应用程序控制前评估一般控制的有效性。一般控制措施对应用控制措施的有效性具有普遍影响,因此审计人员应首先评估这些控制措施,然后再确定应用控制措施是否有效。
3.1一般控制对全系统应用的影响
无论单个应用程序控制的质量如何,无效的一般控制可能会在所有系统应用程序中造成重大错报。例如,如信息技术职责划分不充分,以至计算机操作员也可以作为程序员工作,并可访问计算机程序和文件,审计人员应关注未经授权的软件程序或数据文件更改的可能性,这些更改可能导致虚假交易或未经授权的数据,以及销售、采购和工资等账户中的遗漏;同样,如审计人员发现数据文件未得到充分保护,审计人员可能得出结论,即依赖该数据进行应用程序控制的每类交易都存在数据丢失的重大风险,在这种情况下,审计人员可能需在几个领域(如现金收入、现金支出和销售)扩展审计测试,以满足完整性目标;另一方面,如一般控制有效,审计人员可能更加依赖于应用程序控制。然后,审计员可测试这些应用程序控制的操作有效性,并依靠结果减少实质性测试。
3.2一般控制对软件更改的影响
客户对应用软件的更改影响审计人员对自动化控制的依赖,当客户更改软件时,审计人员必须评估是否需额外的测试。如一般控制措施有效,审计人员可很容易地确定何时进行软件更改。但在缺乏一般控制的企业,可能很难识别软件变更,在这种情况下,审计人员必须考虑在整个年度审计中进行应用程序控制的测试。
3.2.1了解客户的一般控制措施
审计人员通常通过以下方式获得有关一般控制和应用程序控制的信息:采访信息技术人员和关键用户;检查系统文档,如流程图、用户手册、程序更改请求和系统测试结果;审查信息技术员工填写的详细问卷。在大多数情况下,审计人员应使用其中的几种方法,因每种方法提供的信息不同。例如,与首席信息官和系统分析员的访谈提供了有关整个信息技术功能运行、软件开发和硬件更改的有用信息。对程序更改请求和系统测试结果的审查有助于识别应用软件中的程序更改。问卷调查有助于审计人员确定具体的内部控制。审计人员将内部控制中的控制和缺陷与特定的审计目标联系起来。基于这些控制和缺陷,审计人员评估每个相关审计目标的控制风险。
3.2.2将信息技术控制与交易相关审计目标相关联
审计人员通常不会将一般控制中的控制和缺陷与特定的交易相关审计目标联系起来,由于一般控制在几个周期内影响审计目标,如一般控制无效,则审计人员依靠信息技术相关应用程序控制降低所有周期内控制风险的能力会降低;相反,如一般控制有效,它会提高审计人员在所有周期中依赖基于信息技术的应用程序控制的能力。审计人员可使用控制风险矩阵,帮助他们识别手动和自动应用程序控制以及每个相关审计目标的控制缺陷,例如,为防止向虚构的员工付款,将输入的员工识别号与员工主文件进行计算机比较可能降低工资交易发生目标的控制风险。
3.3信息技术控制对实质性测试的影响
在确定可用于降低控制风险的基于信息技术的特定应用程序控制后,审计人员可减少实质性测试,自动化应用程序控制的系统性可使审计人员减少用于在财务报表审计和财务报告内部控制审计中测试这些控制的样本量。当一般控制措施有效且自审计人员测试以来自动控制措施未发生变化时,审计人员也可依赖前一年自动控制措施测试。审计员经常使用自己的软件来测试控制。一般控制和应用程序控制对审计的影响可能因信息技术环境的复杂程度而异。许多企业设计并使用会计软件处理业务交易,以便以可读的形式检索源文档,并可通过会计系统轻松地跟踪到输出,此类系统保留许多传统的源文档,如客户采购订单、装运和接收记录以及销售和供应商发票。该软件还生成打印的日记账和分类账,允许审计人员通过会计记录跟踪交易。这些系统中的内部控制通常包括客户人员将计算机生成的记录与源文件进行比较。审计人员负责了解一般和应用计算机控制,因为此类知识有助于识别可能影响财务报表的风险。通常,较小的企业缺乏专门的信息技术人员,或依赖信息技术顾问的定期参与帮助安装和维护硬件和软件。小企业的一般控制常常不如大企业有效,而且信息技术环境也更为简单,这时,审计人员通常在计算机周围进行审计。计算机周围的审计是有效的,因为这些系统通常产生足够的审计轨迹,允许审计人员将供应商和销售发票等源文件与输出结果进行比较;此外,可对输入和输出流程进行手动控制,以有效防止和发现重大的财务报表错报。
作者:李玉清 肖敏知 单位:嘉兴职业技术学院
