我國會計信息系統審計基本內容的探討

（溫州大學城市學院 浙江溫州325035）

從我國目前發布的相關規范來看，《企業內部控制評價指引》專門針對的是由企業董事會和管理層的工作，《內部審計具體準則第28號——信息系統審計》是用來指導內部審計師開展信息系統審計；而《企業內部控制審計指引》和《中國注冊會計師審計準則》則是用來指導注冊會計師進行內部控制審計。它們的要求各有側重，但在實質性的內容上卻殊途同歸。下面我們分別進行介紹。

一、內部審計部門所開展的信息系統審計

《內部審計具體準則第28號——信息系統審計》指出，信息系統審計，是指由組織內部審計機構及人員對信息系統及其相關的信息技術內部控制和流程開展的一系列綜合檢查、評價與報告活動。該準則適用于各類組織的內部審計機構、內部審計人員及其從事的信息系統審計活動。

信息技術風險評估師確定信息系統審計內容的前提。在進行信息系統審計時，審計人員應當識別組織所面臨的與信息技術相關的內、外部風險，并采用適當的風險評估技術與方法，分析及評價其發生的可能性及影響程度，為確定審計目標、范圍和方法提供依據。信息技術風險是指組織在信息處理和信息技術運用過程中產生的、可能影響組織目標實現的各種不確定因素。信息技術風險包括組織層面的信息技術風險、一般性控制層面的信息技術風險及業務流程層面的信息技術風險等。相應的，信息系統審計包括對組織層面信息技術控制、信息技術一般性控制及業務流程層面相關應用控制的審計。

（一）組織層面信息技術控制和信息技術一般控制

審計人員在識別、評估組織層面、一般性控制層面的信息技術風險時需要關注以下幾方面：業務關注度，即組織的信息技術戰略與組織整體發展戰略規劃的契合度以及信息技術 （包括硬件及軟件環境）對業務和用戶需求的支持度；信息資產的重要性；對信息技術的依賴程度；對信息技術部門人員的依賴程度；對外部信息技術服務的依賴程度；信息系統及其運行環境的安全性、可靠性；信息技術變更；法律規范環境；其他。

1.組織層面的信息技術控制。組織層面信息技術控制是指管理層及治理層對信息技術治理職能及內部控制的重要性的態度、認識和措施，審計人員應考慮以下控制要素中與信息技術相關的內容：（1）控制環境。審計人員應關注該組織的信息技術戰略規劃對業務戰略規劃的契合度、IT治理制度體系的建設、信息技術部門的組織結構和關系、信息技術治理相關職權與責任的分配、信息技術人力資源管理、對用戶的信息技術教育和培訓等方面。（2）風險評估。審計人員應關注組織的風險評估的總體架構中信息技術風險管理的框架、流程和執行情況、信息資產的分類以及信息資產所有者的職責等方面。（3）信息與溝通。審計人員應關注組織的信息系統架構及其對財務、業務流程的支持度、管理層及治理層的信息溝通模式、信息技術政策、信息安全制度的傳達與溝通等方面。（4）監控。審計人員應關注組織的監控管理報告系統、監控反饋、跟蹤處理程序以及組織對信息技術內部控制的自我評估機制等方面。

2.信息技術一般性控制。信息技術一般性控制是指與網絡、操作系統、數據庫、應用系統及其相關人員有關的信息技術政策和措施，以確保信息系統持續穩定的運行，支持應用控制的有效性。對信息技術一般性控制的審計應考慮以下控制活動：（1）信息安全管理。審計人員應關注組織的信息安全管理政策，物理訪問及針對網絡、操作系統、數據庫、應用系統的身份認證和邏輯訪問管理機制，系統設置的職責分離控制等。（2）系統變更管理。審計人員應關注組織的應用系統及相關系統基礎架構的變更、參數設置變更的授權與審批，變更測試，變更移植到生產環境的流程控制等。（3）系統開發和采購管理。審計人員應關注組織的應用系統及相關系統基礎架構的開發和采購的授權審批，系統開發的方法論，開發環境、測試環境、生產環境嚴格分離情況，系統的測試、審核、移植到生產環境等環節。（4）系統運行管理。審計人員應關注組織的信息技術資產管理、系統容量管理、系統物理環境控制，系統和數據備份及恢復管理，問題管理和系統的日常運行管理等。

（二）業務流程層面應用控制

業務流程層面的信息技術風險受行業背景、業務流程的復雜程度、上述組織層面及一般性控制層面的控制有效性等因素的影響而存在差異。一般而言，審計人員應了解業務流程并關注以下幾方面信息技術風險：數據輸入，數據處理，數據輸出。

業務流程層面應用控制是指在業務流程層面為了合理保證應用系統準確、完整、及時完成業務數據的生成、記錄、處理、報告等功能而設計、執行的信息技術控制。對業務流程層面應用控制的審計應考慮以下與數據輸入、數據處理以及數據輸出環節相關的控制活動：授權與批準；系統配置控制；異常情況報告和差錯報告；接口/轉換控制；一致性核對；職責分離；系統訪問權限；系統計算；其他。

信息系統審計除上述常規的審計內容外，審計人員還可以根據組織當前面臨的特殊風險或需求，設計專項審計以滿足審計戰略，具體包括但不限于下列領域：信息系統開發實施項目的專項審計；信息系統安全專項審計；信息技術投資專項審計；業務連續性計劃的專項審計；外包條件下的專項審計；法律法規、行業規范要求的內部控制的合規性的專項審計；其他專項審計。

二、注冊會計師所開展的會計信息系統審計

我國目前指導注冊會計師開展內部控制審計的規范包括 《中國注冊會計師審計準則》、《企業內部控制基本規范》、《企業內部控制應用指引》、《企業內部控制評價指引》、《企業內部控制審計指引》、《中國注冊會計師鑒證業務基本準則》及相關執業準則。

（一）整合審計的要求

我國的 《企業內部控制基本規范》要求所有的上市公司，對內部控制的有效性進行自我評價，披露年度自我評價報告，并可聘請會計師事務所對內部控制的有效性進行審計。《企業內部控制審計指引》指出，建立健全和有效實施內部控制，評價內部控制的有效性是企業董事會的責任。按照該指引的要求，在實施審計工作的基礎上對內部控制的有效性發表審計意見，是注冊會計師的責任。注冊會計師可以單獨進行內部控制審計，也可以將內部控制審計與財務報表審計進行整合審計。在整合審計中，注冊會計師應當對內部控制設計與運行的有效性進行測試，以同時實現下列目標：1.獲取充分、適當的證據，支持其在內部控制審計中對內部控制有效性發表的意見；2.獲取充分、適當的證據，支持其在財務報表審計中對控制風險的評估結果。由于信息系統是內部控制進行集成、轉化和提升所形成的信息化管理平臺，已經嵌入了企業的生產經營管理業務流程、關鍵控制點和處理規則，財務報表中的數據都是由信息系統來生成。所以，在信息化環境下，注冊會計師需要對信息系統中內部控制設計與運行的有效性進行測試。

中國注冊會計師審計準則第1211號《了解被審計單位及其環境并評估重大錯報風險》對所需要進行測試的信息系統進行了界定，將這部分信息系統稱為與財務報告相關的信息系統（也就是本文所說的會計信息系統），它包括用以生成、記錄、處理和報告交易、事項和情況，對相關資產、負債和所有者權益履行經營管理責任的程序和記錄。與財務報告相關的信息系統所生成信息的質量，對管理層能否編制可靠的財務報告具有重大影響，它通常包括下列職能：（1）識別與記錄所有的有效交易；（2）及時、詳細地描述交易，以便在財務報告中對交易作出恰當分類；（3）恰當計量交易，以便在財務報告中對交易的金額作出準確記錄；（4）恰當確定交易生成的會計期間；（5）在財務報表中恰當列報交易。

（二）所需要關注的信息系統內部控制的風險

《企業內部控制應用指引第18號——信息系統》指出，企業利用信息系統實施內部控制至少應當關注下列風險：（1）信息系統缺乏或規劃不合理，可能造成信息孤島或重復建設，導致企業經營管理效率低下；（2）系統開發不符合內部控制要求，授權管理不當，可能導致無法利用信息技術實施有效控制；（3）系統運行維護和安全措施不到位，可能導致信息泄漏或毀損，系統無法正常運行。

中國注冊會計師審計準則第1211號《了解被審計單位及其環境并評估重大錯報風險》要求注冊會計師應當從下列方面了解信息技術對內部控制產生的特定風險：（1）系統或程序未能正確處理數據，或處理了不正確的數據，或兩種情況同時并存；（2）在未得到授權情況下訪問數據，可能導致數據的毀損或對數據不恰當的修改，包括記錄未經授權或不存在的交易，或不正確地記錄了交易；（3）信息技術人員可能獲得超越其履行職責以外的數據訪問權限，破壞了系統應有的職責分工；（4）經授權改變主文檔的數據；（5）經授權改變系統或程序；（6）能對系統或程序作出必要的修改；（7）恰當的人為干預；（8）數據丟失的風險或不能訪問所需要的數據。可見，《企業內部控制應用指引》關注的是實施過程中的風險，而《了解被審計單位及其環境并評估重大錯報風險》所關注的是運行過程中的風險。

（三）注冊會計師需要關注的內容

中國注冊會計師審計準則第1211號《了解被審計單位及其環境并評估重大錯報風險》指出，在被審計單位對日常交易采用高度自動化處理的情況下，審計證據可能僅以電子形式存在，其充分性和適當性通常取決于自動化信息系統相關控制的有效性，注冊會計師應當考慮僅通過實施實質性程序不能獲取充分、適當審計證據的可能性。如果認為僅通過實施實質性程序不能獲取充分、適當的審計證據，注冊會計師應當考慮依賴的相關控制的有效性。

《了解被審計單位及其環境并評估重大錯報風險》要求，注冊會計師應當從下列方面了解與財務報告相關的信息系統：（1）在被審計單位經營過程中，對財務報表具有重大影響的各類交易；（2）在信息技術和人工系統中，對交易生成、記錄、處理和報告的程序；（3）與交易生成、記錄、處理和報告有關的會計記錄、支持性信息和財務報表中的特定項目；（4）信息系統如何獲取除各類交易之外的對財務報表具有重大影響的事項和情況；（5）被審計單位編制財務報告的過程，包括作出的重大會計估計和披露。

由于被審計單位利用互聯網進行電子商務活動對企業原有的內部控制造成了沖擊，中國注冊會計師審計準則第1633號《電子商務對財務報表審計的影響》特別規定了注冊會計師在進行審計時應該關注電子商務對被審計單位內部控制造成的影響，并指出，在某些情況下，僅依靠實施實質性程序不足以將審計風險降至可接受的低水平，注冊會計師應當實施控制測試，并考慮使用計算機輔助審計技術。注冊會計師應當重點關注與電子商務相關的安全性控制、交易完備性控制和流程整合。

《了解被審計單位及其環境并評估重大錯報風險》要求注冊會計師應當了解與信息處理有關的控制活動，包括信息技術一般控制和應用控制。信息技術一般控制是指與多個應用系統有關的政策和程序，有助于保證信息系統持續恰當地運行 （包括信息的完整性和數據的安全性），支持應用控制作用的有效發揮，通常包括數據中心和網絡運行控制，系統軟件的購置、修改及維護控制，接觸或訪問權限控制，應用系統的購置、開發及維護控制。信息技術應用控制是指主要在業務流程層次運行的人工或自動化程序，與用于生成、記錄、處理、報告交易或其他財務數據的程序相關，通常包括檢查數據計算準確性，審核賬戶和試算平衡表，設置對輸入數據和數字序號的自動檢查，以及對例外報告進行人工干預。

《企業內部控制審計指引》要求注冊會計師按照自上而下的方法實施審計工作。自上而下的方法是注冊會計師識別風險、選擇擬測試控制的基本思路。注冊會計師在實施審計工作時，可以將企業層面控制和業務層面控制的測試結合進行。《企業內部控制審計指引》指出，注冊會計師測試企業層面控制，應當把握重要性原則，至少應當關注：（1）與內部環境相關的控制；（2）針對董事會、經理層凌駕于控制之上的風險而設計的控制；（3）企業的風險評估過程；（4）對內部信息傳遞和財務報告流程的控制；（5）對控制有效性的內部監督和自我評價。注冊會計師測試業務層面控制，應當把握重要性原則，結合企業實際、企業內部控制各項應用指引的要求和企業層面控制的測試情況，重點對企業生產經營活動中的重要業務與事項的控制進行測試。

綜上所述，內部審計師開展的信息系統審計和注冊會計師需要進行的會計信息系統審計，雖然在目的上存在著顯著差異。前者對組織是否達成信息技術管理目標進行綜合評價，并基于評價意見提出管理意見；后者是為財務報表審計服務，是對被審計單位會計報表的合法性、公允性及會計處理方法的一貫性發表意見。從上面對兩者審計內容的闡釋來看，如果將內部審計人員進行審計的信息系統限定為會計信息系統，而非企業內部綜合信息系統，那么內部審計師與注冊會計師對信息系統審計的內容并無多大差異。所以，中國注冊會計審計準則第1411號《考慮內部審計工作》提出，“內部審計和注冊會計師審計用以實現各自目標的某些手段通常是相似的，注冊會計師應當考慮內部審計工作的某些方面是否有助于確定審計程序的性質、時間和范圍”。“有效的內部審計通常有助于注冊會計師修改審計程序的性質和時間，并縮小實施審計程序的范圍，但不能完全取代注冊會計師應當實施的審計程序”。《企業內部控制審計指引》也指出，注冊會計師應當對企業內部控制自我評價工作進行評估，判斷是否利用企業內部審計人員、內部控制評價人員和其他相關人員的工作以及可利用的程度，相應減少可能本應由注冊會計師執行的工作。