24周年

財稅實務 高薪就業(yè) 學歷教育
APP下載
APP下載新用戶掃碼下載
立享專屬優(yōu)惠

安卓版本:8.7.50 蘋果版本:8.7.50

開發(fā)者:北京正保會計科技有限公司

應用涉及權限:查看權限>

APP隱私政策:查看政策>

HD版本上線:點擊下載>

論IT環(huán)境下的審計風險判斷

來源: 胡雪蓉 編輯: 2010/09/26 11:59:06  字體:

  [論文摘要]現(xiàn)代風險導向?qū)徲嬍且员粚弳挝坏慕?jīng)營風險為出發(fā)點,將“發(fā)現(xiàn)的風險因素同認定層次可能發(fā)生的錯誤相聯(lián)系”是審計風險判斷的關鍵。但傳統(tǒng)的審計方法并未明確指明如何將兩者相聯(lián)系,也并未考慮IT帶來的影響。在IT環(huán)境下,審計風險判斷應以流程(包括業(yè)務流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計風險判斷方法。

  現(xiàn)代風險導向?qū)徲嬕员粚弳挝坏慕?jīng)營風險為出發(fā)點,相關的風險評估結(jié)果是評估財務報表層次和認定層次重大錯報風險的基礎。審計風險雖源于重大錯報風險,但審計人員最終都要通過對報表各項目的審計發(fā)表財務報表審計意見,因此風險評估必須與各類交易、賬戶余額、列報的認定相聯(lián)系。將“發(fā)現(xiàn)的風險因素同認定層次可能發(fā)生的錯誤相聯(lián)系”是審計風險判斷的關鍵。但傳統(tǒng)的審計方法并未明確指明如何將兩者相聯(lián)系,而且也未關注IT環(huán)境下如何將風險因素與認定層次可能發(fā)生的錯誤相聯(lián)系。在IT環(huán)境下,業(yè)務流程及其支持流程——IT流程,都是鏈接風險因素和認定層次可能發(fā)生錯報的中間環(huán)節(jié)。在高度自動化的企業(yè)環(huán)境下,審計證據(jù)的證明力依賴于IT相關風險的控制情況。因此,有必要改進IT環(huán)境下的審計風險判斷方法。在IT環(huán)境下,審計風險判斷應以流程(包括業(yè)務流程和IT流程)為中間環(huán)節(jié),建立基于流程的審計風險判斷方法。

  一、流程對審計風險判斷具有重要意義

  流程的概念很多,ISO/IEC 9000將之定義為一組將輸入轉(zhuǎn)化為輸出的相互關聯(lián)或相互作用的活動。企業(yè)由流程構成,Kaplan(2001)將企業(yè)定義為是一系列相互關聯(lián)的活動或流程的集合,或是一個價值鏈。在IT環(huán)境下,流程可理解為“角色加活動”,即將流程描述為一個為實現(xiàn)特殊目的而合作且互相影響的角色的集合。早期人們對企業(yè)流程的理解大多局限于傳統(tǒng)的業(yè)務領域;當IT逐漸與業(yè)務融合,并成為企業(yè)所有經(jīng)營活動的驅(qū)動引擎時,流程的范圍開始拓展,此時的IT流程與業(yè)務流程需要實現(xiàn)動態(tài)整合,即IT活動被看作是業(yè)務,并執(zhí)行與業(yè)務相同的管理方式。因此,IT環(huán)境下的企業(yè)業(yè)務流程應該是廣義的,同時包含IT流程和業(yè)務流程。美國公眾公司會計監(jiān)督委員會發(fā)布的第5號審計準則就指出,作為理解重大流程的一部份,審計師應理解IT如何影響公司的交易流程。

  有些大的會計公司為了強調(diào)經(jīng)營風險的審計方法,修改它們的審計輔助軟件,以圍繞業(yè)務流程組織審計證據(jù),而不是按照傳統(tǒng)的交易循環(huán)組織證據(jù)。關注業(yè)務流程的審計軟件系統(tǒng)(Business-Process-Focused,BPF)通過價值鏈組織被審單位的信息;而傳統(tǒng)的關注交易循環(huán)的審計軟件系統(tǒng)(Transaction-Circle-Focused,TCF)是按照交易分類組織被審單位的信息。O’Donnell E和Jr Joseph J Schultz(2003)的研究結(jié)果表明使用BPF軟件的審計人員能識別出更多的風險情形,并將風險估計在恰當?shù)乃?而使用TCF軟件的審計人員對風險的識別和估計都較差。因此他們認為不同的信息組織形式會影響審計人員的決策判斷。造成這種結(jié)果的原因在于業(yè)務流程關注事件之間的關聯(lián)性,它通過情景引導記憶;而傳統(tǒng)的交易循環(huán)關注的是交易分類,它通過語義引導記憶。因此,關注業(yè)務流程可降低任務的復雜性和認知難度。隨后其他的研究人員也發(fā)現(xiàn)圍繞業(yè)務流程開展內(nèi)部控制的評估任務更為有效。

  二、IT環(huán)境下基于流程的審計風險判斷方法

  為了協(xié)助審計人員運用自上而下的風險導向?qū)徲嫹椒?國際審計和鑒證準則委員會于2005年制定了“在整個審計

  過程中運用職業(yè)判斷對重大錯報風險進行更準確評估的框架和模型”。具體步驟如下:(1)了解企業(yè)及其環(huán)境(包括內(nèi)部控制),識別風險,并在報表層次考慮交易性質(zhì)、賬戶余額、披露;(2)將發(fā)現(xiàn)的風險與認定層次可能發(fā)生的錯誤與舞弊相聯(lián)系;(3)考慮風險的重要性;(4)考慮風險的發(fā)生概率。這個風險判斷思路也同樣適用于IT環(huán)境。因此借鑒自上而下的審計方法,將流程作為IT風險判斷的中間環(huán)節(jié),改進了的IT環(huán)境下的審計風險判斷方法具體實施步驟如下:

  1.了解企業(yè)及其環(huán)境(包括內(nèi)部控制)。我國2006出臺的《中國注冊會計師審計準則第1211號——了解被審計單位及其環(huán)境并評估重大錯報風險》列舉了影響重大錯報風險的因素:行業(yè)狀況、監(jiān)管環(huán)境以及其他外部因素,企業(yè)性質(zhì),目標和性質(zhì)以及相關的經(jīng)營風險,財務業(yè)績的衡量和評級,內(nèi)部控制。在IT環(huán)境下,識別和評價企業(yè)層面的風險和風險控制的有效性時,需特別考慮:(1)IT利益群體的風險及對IT利益群體控制的有效性,如IT治理;(2)企業(yè)層面的IT控制,如與IT相關的控制環(huán)境、風險評估、信息與溝通、監(jiān)控、教育和培訓等方面。

  2.確定財務報告流程的核心要素。根據(jù)企業(yè)層面的風險評估結(jié)果識別重大賬戶、重要披露及與之相關聯(lián)的認定。

  3.識別關鍵業(yè)務流程。審計人員首先要識別與上述重大賬戶、重要披露、認定相關聯(lián)的關鍵流程及流程所包括的主要交易,同時識別流程中易發(fā)生錯誤和舞弊的關鍵點(控制點)。為了判斷業(yè)務流程能否實時預防或檢測錯誤和舞弊,審計人員要識別出需要被測試的控制點,由于業(yè)務流程大多基于IT,因此要確定這些控制點哪些是依賴IT的,然后識別并證實關鍵的IT功能。

  4.確定與IT功能相對應的應用系統(tǒng)的范圍。詳細列出與這些IT功能相關的應用系統(tǒng)和與之關聯(lián)的子系統(tǒng),包括交易應用系統(tǒng)和支持性應用系統(tǒng)。交易應用系統(tǒng)在處理組織內(nèi)的數(shù)據(jù)時通常提供以下功能:(1)通過借貸關系記錄交易的價值數(shù)據(jù);(2)作為財務、經(jīng)營和法規(guī)數(shù)據(jù)存放的倉庫;(3)能夠生成各種財務和管理報告,包括銷售訂單、客戶發(fā)票、供應商發(fā)票以及日記賬的處理。支持性應用系統(tǒng)并不參與交易的處理,但方便了業(yè)務活動的進行,如Email程序、傳真軟件、設計軟件等。

  然后IT審計人員與財務審計人員合作,從列示的子系統(tǒng)中識別出支持授權、復雜計算、維護重要賬戶(如存貨、固定資產(chǎn)、貸款等)的完整性的重要應用系統(tǒng)。應用系統(tǒng)是否重要,需要考慮:交易量(交易量越多,應用系統(tǒng)越關鍵)、交易金額(金額越大,應用系統(tǒng)越關鍵)、運算的復雜性(運算越復雜,應用系統(tǒng)越關鍵)、數(shù)據(jù)和交易的敏感度(敏感度越大,應用系統(tǒng)越關鍵)。為應用系統(tǒng)提供IT服務,或者支持應用系統(tǒng)關鍵環(huán)節(jié)的IT一般流程即為需要進行IT一般控制測試的范圍。

  5.識別管理和驅(qū)動這些重大應用系統(tǒng)的IT流程。識別所有支持這些應用系統(tǒng)的基礎設施,包括數(shù)據(jù)庫、服務器、操作系統(tǒng)、網(wǎng)絡,以及與之相關聯(lián)的IT流程。判斷這些IT流程的風險和相關的控制目標。識別出需要被測試的IT一般控制,進而判斷其是否符合控制目標??刂茰y試結(jié)果將影響與之相關的IT應用控制的評價、業(yè)務流程的風險評價。對這些流程和系統(tǒng)進行風險和控制評估后,就可以制定風險控制矩陣。

  6.評價IT控制、分析業(yè)務流程風險。結(jié)合對IT一般控制的評估結(jié)果和對業(yè)務流程中IT應用控制的評估結(jié)果,就可以分析關鍵業(yè)務流程的IT風險控制情況。此時的IT控制測試和人工控制測試要結(jié)合起來予以考慮,即將二者作為一個整體的測試對象。業(yè)務流程的風險是與業(yè)務流程所關聯(lián)的一系列交易活動、賬戶群的余額、列報(包括披露)認定層次重大錯報風險相聯(lián)系的,因此,業(yè)務流程風險的評價結(jié)果構成了認定層次重大錯報風險評估的直接基礎。

  7.評估電子證據(jù)證明力、設計實質(zhì)性測試程序。審計人員可根據(jù)上述步驟的風險評估結(jié)果判斷某一業(yè)務流程的電子審計證據(jù)的證明力并設計與業(yè)務流程有關的賬戶群的實質(zhì)性測試程序。

  通過上述7個步驟,審計人員可以將IT環(huán)境下的企業(yè)風險因素與報表層次和認定層次的重大錯報風險相鏈接,同時也為電子審計證據(jù)證明力(即檢查風險的判斷)提供了依據(jù)。

我要糾錯】 責任編輯:lcl

實務學習指南

回到頂部
折疊
網(wǎng)站地圖

Copyright © 2000 - jnjuyue.cn All Rights Reserved. 北京正保會計科技有限公司 版權所有

京B2-20200959 京ICP備20012371號-7 出版物經(jīng)營許可證 京公網(wǎng)安備 11010802044457號