当前位置:文档之家 › 信息系统一般控制审计(下)

信息系统一般控制审计(下)

  • 格式:pdf
  • 大小:563.18 KB
  • 文档页数:12

下载文档原格式

  / 12
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

信息系统一般控制审计(下)

(来源:《中国注册会计师》,2018-09-20)

编者按:在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。

本文拟从系统运行和维护、系统访问权限两个角度,探讨信息系统一般控制审计。

一、系统运维

(一)系统运维活动中与审计相关的特定风险

注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师需要进一步考虑系统运维活动中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表1所示)。

表1 系统运维各阶段的主要审计风险

(二)系统运维审计领域相关控制

系统运维审计领域相关控制是围绕系统运维活动的一系列程序或机制,它们能够确保信息系统是根据管理层的应用控制目标运行的,确保运行中发生的问题得到及时的识别和解决,从而保证事务处理的准确性和完整性。系统运维审计领域的相关控制要保证系统的事务处理作业的运行与数据的备份是在受控的环境中执行的,任何运行中产生的异常也会得到及时处理。

系统运维审计领域相关控制的一般要素包括:

1. 对系统运维活动的整体管理;

2. 事务处理活动管理;

3. 问题管理;

4. 机房/数据中心运维管理。

系统运维各阶段面临的财务报表审计相关特定风险,与控制目标、COBIT5模型及常见控制机制的对应关系如下(如表2所示)。

表2 风险与控制目标、COBIT5模型及常见控制机制的对应关系

(三)系统运维审计领域控制测试的执行

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,在风险导向审计模式下,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。

就系统运维审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围通常需要关注以下内容(如表3所示)。

表3 确定系统运维审计领域内部控制测试时的考虑

必须指出的是,以上考虑要点并非在任何情况下均适用,也并不能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。

在执行系统运维审计领域的审计工作时,注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响,并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将系统运维审计领域常见的审计发现及其影响列示如下(如表4所示)。

表4 系统运维审计领域常见审计发现及其影响

二、访问权限

(一)访问权限领域中与审计相关的特定风险

注册会计师在执行企业财务报表审计时,需要考虑被审计单位的信息系统变更活动可能对财务报表审计工作产生的影响。注册会计师需要进一步考虑访问权限管控中与财务报表审计相关的特定风险,主要体现在以下几个方面(如表5所示)。

表5 访问权限相关的主要审计风险

(二)访问权限审计领域相关控制

访问权限审计领域相关控制是围绕系统访问权限的一系列程序或机制,它们能够确保对应用程序和数据的访问权限是基于对用户真实身份的正确认定而赋予的,从而保证事务处理的准确性和完整性。访问权限审计领域的相关控制要保证,对于程序和数据的访问是处于有序受控的环境之中。

访问权限审计领域相关控制的一般要素包括:

1. 对访问权限活动的整体管理;

2. 应用层面访问权限管理;

3. 数据层面访问权限管理;

4. 操作系统层面访问权限管理;

5. 计算机网络层面访问权限管理;

6. 物理层面访问权限管理。

访问权限各阶段面临的财务报表审计相关特定风险,与控制目标、COBIT5模型及常见控制机制的对应关系如下(如表6所示)。

表6 风险与控制目标、COBIT5模型及常见控制机制的对应关系

(三)访问权限审计领域控制测试的执行

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》,在风险导向审计模式下,注册会计师应当根据被审计单位的特定信息技术环境,对财务报表重大错报风险进行识别,了解并评价与财务报表审计相关的内部控制。

就访问权限审计领域的内部控制而言,识别和了解与企业财务报告相关的内部控制,并确定控制测试的性质、时间安排和范围通常需要关注以下内容(如表7所示)。

表7 确定访问权限审计领域内部控制测试时的考虑

必须指出的是,以上考虑要点并非在任何情况下均适用,也并不

能完全涵盖所有的情况。注册会计师需要结合被审计单位的信息技术环境和特定风险做出职业判断。

在执行权限审计领域的审计工作时,注册会计师需要充分考虑其审计发现对企业财务报表审计是否存在直接的影响,并据此评估对财务审计程序的性质、时间安排和范围的影响。我们将权限审计领域常见的审计发现及其影响列示如下(如表8所示)。

表8 访问权限审计领域常见审计发现及其影响

原文链接:/mag2018/201806/index.html,转载请注明。

相关主题