了解被審計單位的信息技術環境及與財務報告相關的信息技術

一、信息系統審計的生命周期

隨著信息系統在企業日常運營各個環節的運用，尤其是信息系統在對財務報表的支持上廣度的擴大和深度的提升，信息系統審計在整個財務報表審計中的作用越來越重要和復雜。一般而言，在財務報表審計中對信息系統的審計，大致可以分為以下幾個階段（如圖1所示）：

1.作為了解被審計單位及其環境的一個重要組成部分，注冊會計師了解信息技術環境及與財務報告有關的信息系統，并結合其他了解到的被審計單位及其環境情況，識別和評估重大錯報風險；

2.制定審計策略并計劃審計工作以應對風險；

3.根據制定的審計策略和審計計劃，對納入審計范圍的信息系統執行審計工作；

4.針對審計執行的結果進行分析評估，規劃應對方案；

5.根據應對方案，調整審計程序或整體審計策略并應對。

財務報表審計中對信息系統的審計，不是獨立于財務報表審計，而是財務報表審計的一部分，其最終的目的是支撐注冊會計師對財務報表發表審計意見。它不是從計劃到完成一次性的單向工作，在審計執行過程中要根據實際情況做出判斷、評估和應對，并不斷修正審計程序或整體審計策略，最終達到對財務報表的合理保證的目的。因此，可以把信息系統審計過程描述為一個循環的生命周期閉環：一個始于計劃，但不終止于計劃的不斷調整的過程。

在財務報表審計中，注冊會計師計劃信息系統審計的過程，是解決和回答如下幾個問題的過程：

1.本次財務報表審計中是否需要進行信息系統審計？（信息系統審計的相關性）

2.哪些信息系統需要納入本次審計范圍？（信息系統審計的對象）

3.本次信息系統審計的內容是什么？（信息系統審計的內容）

4.如何合理分配審計資源和制定計劃，用更有效率和效果的方式完成審計？（信息系統審計的計劃）

以上這幾個問題不是一個個孤立開來的，它們之間是相互作用相互影響的，所以需要在審計計劃階段統籌規劃，通盤考慮，才能得出最后的答案。注冊會計師一般通過執行如下幾個步驟來完成計劃工作：

圖1 財務報表審計中信息系統審計的生命周期

1.了解被審計單位信息技術環境，初步確定審計的相關性和信息系統環境的健康程度。

2.識別相關系統風險及應對，了解系統管控情況及可依賴程度。

3.了解和識別被審計單位的信息系統依賴領域，進一步確定系統審計的相關性，確定審計范圍和內容。

4.考慮前述步驟執行的結果，結合整體審計策略，厘定對信息系統的依賴程度，確定系統審計策略。

5.根據審計策略，確定納入信息系統審計范圍的系統清單及審計內容。

上述5個步驟是層層遞進和深入的過程。步驟之間環環相扣，任何一個步驟都是審計計劃劃階段不可逾越的環節。在完成了以上5個步驟之后，審計計劃要解決的幾個問題就迎刃而解了。需要說明的是，信息系統審計范圍和規劃是一個逐步細化和修正的過程，不可能在審計計劃階段一蹴而就，需要注冊會計師根據實際項目情況不斷進行審計范圍和內容的細化和更新，以確保審計程序能夠為財務報表審計提供有效支撐。

表1 信息技術整體控制環境關注點

二、了解信息技術環境及與財務報告相關的信息系統

在財務報表審計中，注冊會計師需要了解信息技術環境及與財務報告有關的信息系統，從而了解企業如何運用信息技術及信息技術如何影響財務報表。注冊會計師結合其他了解到的被審計單位及其環境的情況，識別和評估重大錯報風險，從而為信息系統審計范圍的確定提供基礎。在審計計劃階段，了解信息技術環境及與財務報告有關的信息系統是為了達到以下兩個目的：

1.了解信息技術與本次財務報告審計的總體相關性；

2.了解被審計單位的信息系統使用及管理情況是否處于一個健康的環境，為審計策略中厘定對信息系統的依賴程度提供決策依據。

（一）了解信息技術環境

對于企業如何運用信息技術，注冊會計師要從了解信息技術整體環境入手。信息系統整體環境從全局和宏觀的角度對企業運用信息系統進行規劃指導和管理，是企業信息系統運用和管理的基調。信息系統整體環境及其控制，是為了保證信息系統的運用處于一個健康的環境中，從而為控制活動的運行提供健康的環境和基礎。注冊會計師通常會發現，在審計過程中遇到的重大控制缺陷的根源一般都出在整體控制環境中的某一個環節上。

對于信息技術整體控制環境的了解，注冊會計師一般需要從被審計單位表1所示幾個方面進行關注。

通過關注以上要素和關注點，注冊會計師可以了解被審計單位的基本的系統使用、管理情況，初步識別系統相關風險，為后續審計范圍的確定提供基礎和鋪墊。

企業的IT整體環境的了解和評估是一個比較復雜的過程，通常需要涉及到敏銳的洞察力和較多的職業判斷，因此通常在該部分工作中需要比較資深的審計人員的參與才能完成。注冊會計師通常需要通過一系列的訪談、現場觀察和檢查，根據實際情況選擇和綜合運用各種審計程序，才能完成相關的了解工作。

正是因為信息系統整體環境影響的普遍性和指導性，注冊會計師在審計計劃階段就應該完成對信息系統整體環境的初步評估工作，以輔助相關風險的識別，整體審計策略的確定及后續的信息系統審計工作的規劃指導。

（二）了解與財務報告有關的信息系統

什么樣的信息系統與財務報表相關？簡單來說，如果一項信息系統的使用對財務報表認定有直接或間接的影響，則認為該系統與財務報表審計相關。相反，如果企業使用的信息系統與財務報表認定不相關，則認為該系統與財務報表審計不相關。

中國注冊會計師審計準則要求注冊會計師從以下六個方面了解與財務報告相關的信息系統：

1.在被審計單位經營過程中，對財務報表具有重大影響的各類交易；

2.在信息技術和人工系統中，被審計單位的交易生成、記錄、處理、必要的更正、結轉至總賬以及在財務報表中報告的程序；

3.用以生成、記錄、處理和報告（包括糾正不正確的信息以及信息如何結轉至總賬）交易的會計記錄、支持性信息和財務報表中的特定賬戶；

4.被審計單位的信息系統如何獲取除交易以外的對財務報表重大的事項和情況；

5.用于編制被審計單位財務報表（包括作出的重大會計估計和披露）的財務報告過程；

6.與會計分錄相關的控制，這些分錄包括用以記錄非經常性的、異常的交易或調整的非標準會計分錄。

審計準則這六個方面的要求，從信息系統對企業財務報表的支撐上通常體現為以下被審計單位對信息技術的依賴領域（IT dependencies）：

1.系統實現了哪些自動化控制

2.系統生成的報表或信息

3.系統支持了哪些自動計算

4.系統實現的權限管理和職責分離

5.系統之間的自動化接口

以上這些構成了被審計單位對信息技術在業務層面依賴的主要領域，即為信息系統的應用控制（Application controls）和數據（信息）。從這些依賴關系中可以清晰地勾勒出與財務報表相關的信息系統。因此通過這些依賴的了解，注冊會計師可以評估信息技術與財務報表審計的具體相關性和相關程度。

需要說明的是，在了解信息技術環境階段，對于信息技術的依賴關系的了解只是一個宏觀層面上的認識，用于確定信息系統的審計相關性。對于具體細化的信息技術依賴，還需要注冊會計師在對被審計單位端到端的業務流程和交易了解中才能逐步細化識別并最終確定。