我国会计信息系统审计基本内容的探讨.docx

我国会计信息系统审计基本内容的探讨 摘要： 会计信息系统是企业综合信息系统的核心组成部分，本文结合我国的内部限制规范体系、内部审计和注册会计师审计的相关准则，从内部审计部门和注册会计师两个层面对二者的审计内容进行了探讨，并对我国会计信息系统审计中应当关注的一些问题进行了思索。 关键词： 会计信息系统内部审计注册会计师基本内容留意问题 从我国目前发布的相关规范来看，企业内部限制评价指引特地针对的是由企业董事会和管理层的工作，内部审计详细准则第28号信息系统审计是用来指导内部审计师开展信息系统审计；而企业内部限制审计指引和中国注册会计师审计准则则是用来指导注册会计师进行内部限制审计。它们的要求各有侧重，但在实质性的内容上却殊途同归。下面我们分别进行介绍。 一、内部审计部门所开展的信息系统审计 内部审计详细准则第28号信息系统审计指出，信息系统审计，是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部限制和流程开展的一系列综合检查、评价与报告活动。该准则适用于各类组织的内部审计机构、内部审计人员及其从事的信息系统审计活动。 信息技术风险评估师确定信息系统审计内容的前提。在进行信息系统审计时，审计人员应当识别组织所面临的与信息技术相关的内、外部风险，并采纳适当的风险评估技术与方法，分析及评价其发生的可能性及影响程度，为确定审计目标、范围和方法供应依据。信息技术风险是指组织在信息处理和信息技术运用过程中产生的、可能影响组织目标实现的各种不确定因素。信息技术风险包括组织层面的信息技术风险、一般性限制层面的信息技术风险及业务流程层面的信息技术风险等。相应的，信息系统审计包括对组织层面信息技术限制、信息技术一般性限制及业务流程层面相关应用限制的审计。 （一）组织层面信息技术限制和信息技术一般限制 审计人员在识别、评估组织层面、一般性限制层面的信息技术风险时须要关注以下几方面：业务关注度，即组织的信息技术战略与组织整体发展战略规划的契合度以及信息技术（包括硬件及软件环境）对业务和用户需求的支持度；信息资产的重要性；对信息技术的依靠程度；对信息技术部门人员的依靠程度；对外部信息技术服务的依靠程度；信息系统及其运行环境的平安性、牢靠性；信息技术变更；法律规范环境；其他。 1.组织层面的信息技术限制。组织层面信息技术限制是指管理层及治理层对信息技术治理职能及内部限制的重要性的看法、相识和措施，审计人员应考虑以下限制要素中与信息技术相关的内容：（1）限制环境。审计人员应关注该组织的信息技术战略规划对业务战略规划的契合度、IT治理制度体系的建设、信息技术部门的组织结构和关系、信息技术治理相关职权与责任的安排、信息技术人力资源管理、对用户的信息技术教化和培训等方面。（2）风险评估。审计人员应关注组织的风险评估的总体架构中信息技术风险管理的框架、流程和执行状况、信息资产的分类以及信息资产全部者的职责等方面。（3）信息与沟通。审计人员应关注组织的信息系统架构及其对财务、业务流程的支持度、管理层及治理层的信息沟通模式、信息技术政策、信息平安制度的传达与沟通等方面。（4）监控。审计人员应关注组织的监控管理报告系统、监控反馈、跟踪处理程序以及组织对信息技术内部限制的自我评估机制等方面。 2.信息技术一般性限制。信息技术一般性限制是指与网络、操作系统、数据库、应用系统及其相关人员有关的信息技术政策和措施，以确保信息系统持续稳定的运行，支持应用限制的有效性。对信息技术一般性限制的审计应考虑以下限制活动：（1）信息平安管理。审计人员应关注组织的信息平安管理政策，物理访问及针对网络、操作系统、数据库、应用系统的身份认证和逻辑访问管理机制，系统设置的职责分别限制等。（2）系统变更管理。审计人员应关注组织的应用系统及相关系统基础架构的变更、参数设置变更的授权与审批，变更测试，变更移植到生产环境的流程限制等。（3）系统开发和选购管理。审计人员应关注组织的应用系统及相关系统基础架构的开发和选购的授权审批，系统开发的方法论，开发环境、测试环境、生产环境严格分别状况，系统的测试、审核、移植到生产环境等环节。（4）系统运行管理。审计人员应关注组织的信息技术资产管理、系统容量管理、系统物理环境限制，系统和数据备份及复原管理，问题管理和系统的日常运行管理等。 （二）业务流程层面应用限制 业务流程层面的信息技术风险受行业背景、业务流程的困难程度、上述组织层面及一般性限制层面的限制有效性等因素的影响而存在差异。一般而言，审计人员应了解业务流程并关注以下几方面信息技术风险：数据输入，数据处理，数据输出。 业务流程层面应用限制是指在业务流程层面为了合理保证应用系统精确、完整、刚好完成业务数据的生成、记录、处理、报告等功能而设计、执行的信息技术限制。对业务流程层面应用限制的审计应考虑以下与数据输入、数据处理以及数据输出环节相关的限制活动：授权与批准；系统配置限制；异样状况报告和差错报告；接口/转换限制；一样性核对；职责分别；系统访问权限；系统计算；其他。 信息系统审计除上述常规的审计内容外，审计人员还可以依据组织当前面临的特别风险或需求，设计专项审计以满意审计战略，详细包括但不限于下列领域：信息系统开发实施项目的专项审计；信息系统平安专项审计；信息技术投资专项审计；业务连续性安排的专项审计；外包条件下的专项审计；法律法规、行业规范要求的内部限制的合规性的专项审计；其他专项审计。 二、注册会计师所开展的会计信息系统审计 我国目前指导注册会计师开展内部限制审计的规范包括中国注册会计师审计准则、企业内部限制基本规范、企业内部限制应用指引、企业内部限制评价指引、企业内部限制审计指引、中国注册会计师鉴证业务基本准则及相关执业准则。 （一）整合审计的要求 我国的企业内部限制基本规范要求全部的上市公司，对内部限制的有效性进行自我评价，披露年度自我评价报告，并可聘请会计师事务所对内部限制的有效性进行审计。企业内部限制审计指引指出，建立健全和有效实施内部限制，评价内部限制的有效性是企业董事会的责任。根据该指引的要求，在实施审计工作的基础上对内部限制的有效性发表审计看法，是注册会计师的责任。注册会计师可以单独进行内部限制审计，也可以将内部限制审计与财务报表审计进行整合审计。在整合审计中，注册会计师应当对内部限制设计与运行的有效性进行测试，以同时实现下列目标：1.获得充分、适当的证据，支持其在内部限制审计中对内部限制有效性发表的看法；2.获得充分、适当的证据，支持其在财务报表审计中对限制风险的评估结果。由于信息系统是内部限制进行集成、转化和提升所形成的信息化管理平台，已经嵌入了企业的生产经营管理业务流程、关键限制点和处理规则，财务报表中的数据都是由信息系统来生成。所以，在信息化环境下，注册会计师须要对信息系统中内部限制设计与运行的有效性进行测试。 中国注册会计师审计准则第1211号了解被审计单位及其环境并评估重大错报风险对所须要进行测试的信息系统进行了界定，将这部分信息系统称为与财务报告相关的信息系统（也就是本文所说的会计信息系统），它包括用以生成、记录、处理和报告交易、事项和状况，对相关资产、负债和全部者权益履行经营管理责任的程序和记录。与财务报告相关的信息系统所生成信息的质量，对管理层能否编制牢靠的财务报告具有重大影响，它通常包括下列职能：（1）识别与记录全部的有效交易；（2）刚好、具体地描述交易，以便在财务报告中对交易作出恰当分类；（3）恰当计量交易，以便在财务报告中对交易的金额作出精确记录；（4）恰当确定交易生成的会计期间；（5）在财务报表中恰当列报交易。 第7页 共7页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页第 7 页 共 7 页