信息系统环境下的注册会计师审计(2)
2016-09-18 01:53
导读:三、COBIT信息评价标准对注册会计师的指导意义 企业的财务报表反映了一系列有关该企业财务状况的管理当局认定,注册会计师的任务是确定这些财务报表
三、COBIT信息评价标准对注册会计师的指导意义 企业的财务报表反映了一系列有关该企业财务状况的管理当局认定,注册会计师的任务是确定这些财务报表的公允表述。为了完成这一任务,注册会计师制定了审计目标,确定了达到这一目标而需要执行的审计程序,并为证实或否定管理当局认定收集证据。管理当局对会计报表的认定可以归结为五类:存在或发生;完整性;权力和义务;估价或分摊;表达与披露。在这些认定的基础上,注册会计师在具体的审计实务中产生了总体合理性、真实性、完整性、所有权、估价、截止、机械准确性、披露、分类等一般审计目标。由此可见,管理认定在注册会计师的具体审计行为具有非常重要的指导意义。 实际上,财务报表就是信息,注册会计师对财务报表的合法性、公允性、一贯性发表的审计意见就是对相关信息进行鉴证,在鉴证过程中,注册会计师必须对信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行审计。在对信息系统的审计中,信息的评价标准在指导具体的IS审计行为中具有管理认定对注册会计师审计类似的指导意义。COBIT提出的如下表的信息评价标准值得注册会计师借鉴。为使信息达到标准,信息系统的组织规划、信息获取和系统实施、服务与支持、信息系统监控都要有一套合理的控制目标和标准,这就成为注册会计师对信息系统输,出的财务报告发表意见的具体审计目标。COBIT把以上目标以34个IT过程方式进行了描述,就产生了34个高级控制目标,并成为审计人员进行审计评价时的参考标准。
四、信息系统环境下注册会计师的行为选择 (一)一般控制与应用控制的符合性测试评价在信息系统环境下,注册会计师的审计不管采用绕过计算机的审计还是通过计算机的审计,都需对内部控制进行测试。信息系统中建立了许多新的控制措施,许多内部控制是建立在计算机的程序中。信息系统条件下的内部控制包括一般控制和应用控制,注册会计师可参考COBIT标准来识别、研究、审查、评价这些新的内部控制。如果注册会计师对信息技术和COBIT的标准不熟悉,聘任IT审计师或信息系统专家一同工作可能是最好的选择。此外,查阅内部审计报告和征询内部审计人员的意见、查阅和分析管理报告、软件控制测试等也可作为内部控制测试的辅助方法选择。 (二)业务与信息风险的评价信息系统的附加业务风险主要来源于信息系统的安全,尤其在IT业务外包、电子商务、ERP(企业资源计划)和BPR(企业过程重组)、网络金融环境下。在对这些单位实施审计时,注册会计师必须注重对相关合同的审查,要评价系统提供方或服务提供方的技术水平、服务能力和未来业务的可持续性,并审查系统的形成和服务过程。 (三)网络环境的测试越来越多的组织采用网络系统,网络系统具有责任分散、系统风险加大、控制内容复杂化、系统资源多样化的特点。对于网络系统,注册会计师应将系统安全性作为审计的第一目标,一般来说,注册会计应该采用计算机辅助审计工具和技术CAATTs,更多依赖内部审计人员提供的证据,不断更新审计测试的方法和内容,进一步加强对数据的完整性检验。 (四)数据文件的实质性测试信息系统环境下的数据记录庞大,纸质原始凭证由于联机数据采集而不复存在,注册会计师在实质性测试中应采用计算机的数据式审计模式。信息系统环境下系统高集成度、数据的一致性,为利用多种计算机软件工具提高审计效率创造了极好的条件,注册会计师可利用比较成熟的数据挖掘技术、联机分析处理(OLAP)、审计模型构建和共享技术来广泛获取审计线索和搜集审计证据。注册会计师审计的重点转移到企业的明细信息,审计团队更紧密的合作成为必然,审计模型和审计经验成为被更多注册会计师共享的资源。
