核心考點(diǎn)一:信息技術(shù)對(duì)企業(yè)財(cái)務(wù)報(bào)告和內(nèi)部控制的影響
核心考點(diǎn)二:信息技術(shù)一般控制
核心考點(diǎn)三:信息處理控制
核心考點(diǎn)四:公司層面信息技術(shù)控制
核心考點(diǎn)五:信息技術(shù)一般控制堪侯、信息處理控制和公司層面控制的關(guān)系
核心考點(diǎn)六:信息技術(shù)對(duì)審計(jì)過程的影響
核心考點(diǎn)七:計(jì)算機(jī)輔助審計(jì)技術(shù)和電子表格的運(yùn)用
核心考點(diǎn)八:不同信息技術(shù)環(huán)境下的問題
核心考點(diǎn)一:信息技術(shù)對(duì)企業(yè)財(cái)務(wù)報(bào)告和內(nèi)部控制的影響
1、信息技術(shù)對(duì)企業(yè)內(nèi)部控制的影響
信息系統(tǒng)對(duì)控制的影響嗓奢,取決于被審計(jì)單位對(duì)信息系統(tǒng)的依賴程度。相關(guān)控制可能同時(shí)包括自動(dòng)控制與手工控制笙瑟,自動(dòng)控制能有效處理大流量交易及數(shù)據(jù)碗淌,比較不容易被繞過,自動(dòng)信息系統(tǒng)噪漾、數(shù)據(jù)庫及操作系統(tǒng)的相關(guān)安全控制可以實(shí)現(xiàn)有效的職責(zé)分離。
2且蓬、運(yùn)用信息技術(shù)產(chǎn)生的風(fēng)險(xiǎn)
| 風(fēng)險(xiǎn)點(diǎn) | 情形 |
|---|---|
| 處理錯(cuò)誤 | 可能會(huì)錯(cuò)誤地處理數(shù)據(jù)欣硼,也可能會(huì)處理錯(cuò)誤的數(shù)據(jù) |
| 安全控制隱患 | 非授權(quán)訪問、非授權(quán)交易缅疟、虛假交易分别、系統(tǒng)程序和系統(tǒng)內(nèi)數(shù)據(jù)的不當(dāng)改變、交易的不當(dāng)記錄存淫,以及信息技術(shù)人員越權(quán)訪問和處理等 |
| 數(shù)據(jù)丟失 | 數(shù)據(jù)丟失風(fēng)險(xiǎn)或數(shù)據(jù)無法訪問風(fēng)險(xiǎn)耘斩,如系統(tǒng)癱瘓 |
| 人為干預(yù) | 不適當(dāng)?shù)娜斯じ深A(yù),或人為繞過自動(dòng)控制 |
核心考點(diǎn)二:信息技術(shù)一般控制
1.信息技術(shù)一般控制(以下或簡稱“一般控制”)的定義和影響
(1)一般控制是指為保證信息系統(tǒng)安全桅咆,對(duì)整個(gè)信息系統(tǒng)及外部各種環(huán)境要素實(shí)施的括授、對(duì)所有應(yīng)用或控制模塊有普遍影響的控制。
(2)一般控制通常會(huì)對(duì)部分或全部財(cái)務(wù)報(bào)表認(rèn)定做出間接貢獻(xiàn)岩饼,某些情況下荚虚,也可能對(duì)實(shí)現(xiàn)信息處理目標(biāo)和財(cái)務(wù)報(bào)表認(rèn)定做出直接貢獻(xiàn)。
2.一般控制的內(nèi)容
| 內(nèi)容 | 含義 |
|---|---|
| 程序開發(fā) | 確保系統(tǒng)的開發(fā)籍茧、配置和實(shí)施能夠?qū)崿F(xiàn)管理層的信息處理控制目標(biāo) |
| 程序變更 | (1)確保對(duì)程序和相關(guān)基礎(chǔ)組件的變更經(jīng)過請(qǐng)求版述、授權(quán)、執(zhí)行寞冯、測試和實(shí)施渴析,以達(dá)到管理層信息處理控制目標(biāo); (2)包括代碼類的常規(guī)變更吮龄、配置類的變更和緊急變更 |
| 程序和數(shù)據(jù)訪問 | (1)確保分配的訪問程序和數(shù)據(jù)的權(quán)限經(jīng)過用戶身份認(rèn)證并經(jīng)過授權(quán)俭茧; (2)包括安全活動(dòng)管理、安全管理漓帚、數(shù)據(jù)安全母债、操作系統(tǒng)安全、網(wǎng)絡(luò)安全和物理安全 |
| 計(jì)算機(jī)運(yùn)行 | (1)確保業(yè)務(wù)系統(tǒng)根據(jù)管理層的控制目標(biāo)完整準(zhǔn)確地運(yùn)行尝抖,確保運(yùn)行問題被完整準(zhǔn)確地識(shí)別并解決毡们,以維護(hù)財(cái)務(wù)數(shù)據(jù)的完整性; (2)包括問題和故障管理牵署、數(shù)據(jù)備份和恢復(fù)漏隐、災(zāi)難恢復(fù)等 |
核心考點(diǎn)三:信息處理控制
1.信息處理控制的定義和要素
(1)信息處理控制是指與被審計(jì)單位信息系統(tǒng)中下列兩方面相關(guān)的控制:①信息技術(shù)應(yīng)用程序進(jìn)行的信息處理;②人工進(jìn)行的信息處理奴迅。
(2)信息處理控制既包括人工進(jìn)行的控制青责,也包括自動(dòng)化控制。與人工控制類似取具,系統(tǒng)自動(dòng)化控制關(guān)注的要素包括:①完整性脖隶;②準(zhǔn)確性;③存在和發(fā)生等暇检。
(3)信息處理控制一般要經(jīng)過輸入产阱、處理及輸出等環(huán)節(jié)。
2.信息處理控制的審計(jì)關(guān)注點(diǎn)
(1)系統(tǒng)自動(dòng)生成報(bào)告块仆;
(2)系統(tǒng)配置和科目映射构蹬;
(3)接口控制生年;
(4)訪問和權(quán)限。
核心考點(diǎn)四:公司層面信息技術(shù)控制
公司層面信息技術(shù)控制代表了該公司信息技術(shù)控制的整體環(huán)境魄梯,包括該公司對(duì)于信息技術(shù)的重視程度和依賴程度沽讹、信息技術(shù)復(fù)雜性、對(duì)于外部信息技術(shù)資源的使用和管理情況藻烤、信息技術(shù)風(fēng)險(xiǎn)偏好等绷雏。常見的公司層面信息技術(shù)控制包括但不限于:
(1)信息技術(shù)規(guī)劃的制定;
(2)信息技術(shù)年度計(jì)劃的制定怖亭;
(3)信息技術(shù)內(nèi)部審計(jì)機(jī)制的建立涎显;
(4)信息技術(shù)外包管理;
(5)信息技術(shù)預(yù)算管理兴猩;
(6)信息安全和風(fēng)險(xiǎn)管理期吓;
(7)信息技術(shù)應(yīng)急預(yù)案的制定;
(8)信息系統(tǒng)架構(gòu)和信息技術(shù)復(fù)雜性倾芝。
注:信息技術(shù)對(duì)企業(yè)內(nèi)部控制影響:信息系統(tǒng)對(duì)控制的影響膘婶,取決于被審計(jì)單位對(duì)信息系統(tǒng)的依賴程度,高度自動(dòng)化系統(tǒng)的企業(yè)更加依賴信息技術(shù)蛀醉;自動(dòng)化控制能有效處理大量交易及數(shù)據(jù)悬襟,比較不容易被繞過;人工控制和自動(dòng)化控制在防范被審計(jì)單位重大錯(cuò)報(bào)方面各具優(yōu)勢拯刁,例如自動(dòng)化控制擅長處理大量的常規(guī)信息脊岳,而人工控制更擅長處理少量例外數(shù)據(jù)或特殊情況。
采用電子商務(wù)的方式進(jìn)行交易垛玻,即買賣雙方借助信息技術(shù)作連接割捅,不謀面地進(jìn)行各種商貿(mào)活動(dòng)。在此模式下帚桩,交易信息在網(wǎng)上傳輸亿驾,容易被攔截、篡改或不當(dāng)獲取账嚎,被審計(jì)單位的會(huì)計(jì)信息系統(tǒng)可能與交易對(duì)方的系統(tǒng)相連接莫瞬,產(chǎn)生了互相依賴的風(fēng)險(xiǎn),即交易一方的風(fēng)險(xiǎn)部分取決于交易對(duì)手如何識(shí)別和管理其自身系統(tǒng)中的風(fēng)險(xiǎn)郭蕉。
信息技術(shù)一般控制包括程序開發(fā)疼邀、程序變更、程序和數(shù)據(jù)訪問以及計(jì)算機(jī)運(yùn)行四個(gè)方面召锈;信息技術(shù)一般控制旨在保證信息系統(tǒng)的安全旁振。
信息處理控制:財(cái)務(wù)系統(tǒng)定期生成分析報(bào)告;財(cái)務(wù)系統(tǒng)中設(shè)定各科目映射關(guān)系。
一般控制:計(jì)算機(jī)運(yùn)行故障管理拐袜。
公司層面控制:信息系統(tǒng)的外包和預(yù)算管理吉嚣。
注冊(cè)會(huì)計(jì)師在進(jìn)行財(cái)務(wù)報(bào)表審計(jì)時(shí),如果依賴相關(guān)信息系統(tǒng)生成的財(cái)務(wù)信息和報(bào)告作為審計(jì)工作的依據(jù)蹬铺,則需要在整個(gè)過程中考慮信息的準(zhǔn)確性瓦戚、完整性、授權(quán)體系及訪問限制四個(gè)方面丛塌。
信息處理控制是指與被審計(jì)單位信息系統(tǒng)中下列兩方面相關(guān)的控制:
(1)信息技術(shù)應(yīng)用程序進(jìn)行的信息處理;
(2)人工進(jìn)行的信息處理畜疾。
信息技術(shù)外包管理赴邻、信息安全和風(fēng)險(xiǎn)管理屬于公司層面信息技術(shù)控制。
信息技術(shù)一般控制包括程序開發(fā)啡捶、程序變更姥敛、程序和數(shù)據(jù)訪問以及計(jì)算機(jī)運(yùn)行四個(gè)方面,程序開發(fā)的管理方法即為評(píng)價(jià)一般控制的考慮因素瞎暑,而非公司層面信息技術(shù)控制情況彤敛。
公司層面信息技術(shù)控制情況包括該公司對(duì)于信息技術(shù)的重視程度和依賴程度、信息技術(shù)復(fù)雜性了赌、對(duì)于外部信息技術(shù)資源的使用和管理情況墨榄、信息技術(shù)風(fēng)險(xiǎn)偏好。
