财务报表审计中信息系统审计的完成

编者按

在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《财务报表审计中对信息系统的考虑》一书，已由中国财政经济出版社出版。本刊约请作者加以摘编，分期连载，以飨读者。

审计是一个不断修正的循环过程，因此在执行信息系统审计工作的过程中，需要对审计发现进行及时的评估并做好应对策略。

一、审计发现的应对

在应对审计发现的过程中，注册会计师需要先后执行两个环节的工作：

首先是对审计发现进行评估，评估该审计发现对财务报表审计的影响。值得注意的是，信息系统审计的任何发现都不是单一的现象，需要和其他发现综合考虑，从定量和定性两个方面进行全面评估，才能明确审计发现对财务报表的影响。

然后，在充分评估影响之后，制定审计应对方案，并执行相应的审计程序，确保相关审计目标能够实现。

（一 ）信息系统一般控制审计发现的评估

信息系统一般控制审计具有全局性普遍的影响，ITGCs能否有效运行将关系到以之为基础的应用控制和数据是否能有效支撑财务报表认定。因此，我们需要全面评估一般控制缺陷所带来的相关风险的影响。

信息系统一般控制体系（ITGCs）中包括自动控制和人工控制，和其他内部控制一样，其有效性分为设计有效性和执行有效性。不管是设计有效性问题还是执行有效性问题，都是控制目标没有得到充分合理的实现。

在进行ITGCs评估时，我们很难说ITGCs整体是有效或是无效的。注册会计师要尽量避免对ITGCs整体是否有效的结论，也不要因为仅仅几个控制缺陷的存在就认定ITGCs是无效的。ITGCs的缺陷需要从结果和根源上判断是否对应用控制（如自动控制和计算、报表等）和财务数据产生影响，从而直接或间接对财务报表认定产生影响，同时判断缺陷是否会对审计策略产生影响和变动。

发现控制缺陷后注册会计师应该如何评估其对财务报表的影响呢？我们需要分为三个步骤来评估。

1.第一步，判断审计发现异常是否为控制缺陷。

要做出这个判断，我们需要先弄清楚对于控制测试而言异常和缺陷的概念和区别。

异常是指在审计执行过程中发现的与预期不一致的现象，这种不一致不一定是由控制缺陷导致。缺陷是指审计执行过程中发现的、没有按照预定的控制目标进行运作的控制设计性或执行有效性异常。

通常，控制测试发现的异常不一定导致控制无效，而控制缺陷却很可能会导致控制无效。所以异常不一定是一个控制缺陷，而缺陷一定是一个异常，且是一个无法实现既定信息处理目标的异常。

例如：在进行程序变更上线前审批的一般控制抽样测试中，我们抽取了45个样本进行控制执行有效性验证。根据对控制活动的了解和穿行测试，我们了解到在被审计单位程序变更上线前，需要获得业务部部长和IT部部长的共同审批才能将程序变更部署到生产环境。在抽取的45个样本中，我们发现有1次的变更上线前审批人只由IT部部长一个人审批记录。这里缺少业务部部长的审批记录就是一个异常。经过进一步审计跟进，我们确认，业务部部长在变更上线当天在外地出差，通过电话进行了授权，且与相关负责人进行了邮件沟通，这个异常只是一个孤立特定的现象，它的出现并没有导致控制失效。那么这里的审计发现异常就基本可以认为不是一个控制缺陷。因为这个异常不会导致信息处理目标的无法实现。

我们在进行结果判断的过程中，需要综合考虑异常的性质和产生性质的原因，才能做出合理的判断。在确定为一个控制缺陷后，需要评估缺陷被利用的可能性以及潜在的影响。

2.第二步，如果第一步评估结果认定发现的异常是一个控制缺陷，则注册会计师需要评估管理层是如何获取这个控制缺陷没有被利用的信心的。

这里评估的最有效的方法是与管理层沟通审计发现，并询问他们是如何确保这些控制缺陷没有被利用，并造成影响的。

这时，注册会计师通常会得到管理层的3种反馈：

（1）存在I T补偿性控制（Compensating controls）

即在被审计单位存在其他的IT替代性控制，可以实现与有缺陷的控制点预期要实现的相同的信息处理目标。则我们可以认为，有缺陷的控制点虽然是失效控制，但是在替代的控制点上，因为能够保证相同的控制目标的前提下，这个缺陷就不会对财务报表产生影响。

例如，在程序及数据访问的应用系统账号维护新增测试中，我们发现部分抽样的样本的账号新增没有相关的管理层审批。这个控制缺陷可能导致系统权限被赋予给了不合适的用户，从而造成非授权的系统访问风险，即控制目标（Restrict Access）可能不能实现。如果此时存在一个账号权限定期复核的控制点并且该控制有效，如管理层定期会将系统中所有的账号权限导出进行权限的复核并对关键账号的操作日志进行检查。则由于账号新增预防性控制缺陷导致的风险由这两个发现性控制能得到一定的补偿，从而降低了系统非授权账号操作的IT风险和财务影响。

需要注意的是注册会计师在评估补偿性控制的有效性时，需要评估一下该补偿性控制的精度，看看该精度是不是可以实现与有缺陷的控制点相同的精度。

（2）管理层可以证明这个缺陷没有被利用

一般控制测试发现控制缺陷只是表明，相关的控制目标可能不能实现的风险存在。我们都知道，风险变成实在的影响有一个概率问题。那么管理层是否有足够的证据能够证明该缺陷没有被利用。如果在审计期间没有被利用，则该控制缺陷就不会对该审计期间的财务报表产生影响。

例如，在程序及数据访问领域的冗余账号的测试中，注册会计师发现系统中存在离职人员的有效账号，说明存在账号删除控制存在缺陷。如果管理层能够证明，离职人员的账号虽然为有效账号，但是这些账号在所有者离职后的审计期间内没有被使用过，则我们可以认定该缺陷不会造成系统因为冗余账号的非授权操作而造成财务影响。

（3）管理层没有证据证明该缺陷没有被利用

如果管理层没有证据表明该缺陷没有被利用，则注册会计师需要自行寻找相关的审计证据，证明该控制缺陷没有被利用或者匡算该缺陷被利用的财务影响。

3. 第三步，经过步骤二，注册会计师是否能证明存在有效的控制或足够的证据降低我们的IT风险。

如果答案是肯定的，那么注册会计师就不需要再进行进一步工作，只需要记录相关的验证过程和结果即可。

如果经过上述两步，注册会计师无法得出肯定的结论，则我们需要进一步评估所发现的ITGCs控制缺陷对我们的依赖其上的应用控制，以及报表和数据的影响：

（1）评估是否会对应用控制产生影响

注册会计师需要评估系统一般控制的缺陷会对运行于其上的应用控制的影响。在评估的过程中需要综合考虑手工补偿性控制，并重新评估受影响的应用控制测试的性质（Nature）、时间安排（Timing）和范围（Extent）。

（2）评估是否会对报表和数据产生影响

注册会计师需要评估系统一般控制的缺陷会对运行于其上的报表和存在系统中的数据的影响。例如，识别和测试管理层是如何确保系统产生的数据/报表与独立来源的源数据的一致性的；识别和测试补偿性手工控制等。

综合考虑以上因素后，注册会计师需要重新评估对受影响的会计科目及交易进行的实质性工作的性质、时间和范围。

（二 ）应用控制审计发现的评估

与信息系统一般控制审计发现的评估一致，在财务报表审计中，应用控制审计发现评估的终极目的也是为了判断控制缺陷对财务报表认定的影响。与信息系统一般控制审计发现区别在于，应用控制审计发现往往更直接对财务报表产生影响，一般会直接支持某一个或多个财务报表认定。

与信息系统一般控制审计发现评估步骤类似，应用控制审计发现评估也分为三个步骤。

1. 第一步，判断审计发现异常是否为一个控制缺陷。

与ITGCs审计发现评估第一步类似，注册会计师首先需要评估该审计发现是否为一个控制缺陷。在确定为一个控制缺陷后，评估缺陷被利用的可能性以及潜在的影响。

2. 第二步，如果第一步评估结果认定发现的异常是一个控制缺陷，则注册会计师需要评估管理层是如何获取这个控制缺陷没有被利用的信心的。

同样道理，这里评估的最有效的方法是与管理层沟通审计发现，并询问他们是如何确保这些控制缺陷没有被利用的。

这时，注册会计师通常也会得到3种反馈：

（1）存在补偿性控制（Compensating controls）

即在被审计单位存在其他的替代性控制，可以实现与有缺陷的控制点预期要实现的相同的信息处理目标。则我们可以认为，有缺陷的控制点虽然是失效控制，但是在其他的控制点上，因为能够保证相同的控制目标的前提下，这个缺陷可能就不会对财务报表产生影响。

例如，通过业务流程了解和控制识别，注册会计师了解到被审计单位的采购流程设计了Oracle系统进行采购自动三单匹配的自动控制。公司不允许收货数量大于5%的三单匹配完成，要求系统自动阻止该情形下的三单匹配。但是在审计执行中注册会计师发现，系统并没有强制阻止收货数量大于订单额5%的三单匹配完成，而是提出警告并让操作继续进行，根据控制设计，该控制执行存在有效性缺陷。通过询问管理层，我们了解到管理层每个月会对所有订单、收货和发票数量数额进行核对，确保订单、收货和发票数额差异率在5%之内。则管理层每个月的核对控制就是对三单匹配自动控制的补偿性控制，该控制的有效执行能确保基本相同的控制目标的实现。

（2）管理层可以证明这个缺陷没有被利用

和系统一般控制缺陷一样，应用控制缺陷的控制目标存在有可能不能实现的风险。那么管理层是否有足够的证据能够证明该缺陷没有被利用。如果在审计期间没有被利用，则该控制缺陷就不会对该审计期间的财务报表产生影响。

例如，在验证财务报表流程的应用控制的权限控制时，我们发现被审计单位的出纳被错误的赋予了制单的权限。而根据职责分离的要求，出纳不应该具有制单权限，因此，该权限的错误分配导致了敏感权限控制的缺陷。但是，通过与管理层的沟通，管理层能够证明，出纳虽然具有制单权限，但是在审计期间从来没有使用过该权限，则该缺陷就没有对审计期间的财务报表产生影响。

（3）管理层没有证据证明该缺陷没有被利用

如果管理层没有证据表明该缺陷没有被利用。则注册会计师需要自行寻找相关的审计证据，证明该控制缺陷没有被利用或者匡算对财务报表的影响。

3. 第三步，经过步骤二，注册会计师是否能证明存在有效的控制或足够的证据降低该自动控制所应对的财务风险。

如果答案是肯定的，那么注册会计师就不需要再进行进一步工作，只需要记录相关的验证过程和结果即可。

如果经过上述两步，注册会计师无法得出肯定的结论，则需要重新评估针对受影响的账户和/或交易所执行的实质性程序的性质、时间安排和范围，并根据评估结果调整测试方法和程序。

（三 ）数据审计发现的评估

在财务报表审计下，数据审计直接或间接的支持了某一个或多个账户和/或交易。因此对于数据审计的发现，根据数据的用途，注册会计师可以分别判断其对财务审计的影响。如果数据是用于下一步控制测试，则注册会计师需要考虑该数据对于控制设计及执行有效性带来的影响，并由此进行控制测试性质、程度和时间做出审计调整；如果该数据是用于下一步实质性程序的工作，则注册会计师可以直接匡算其带来的财务影响的金额和范围。结合数据的用途不同，如依赖于系统数据的手工控制、实质性程序或直接作用于财务报表数字的情况，评估其带来的影响。

通常情况下，数据问题的根源是由于控制问题造成，或是数据源头、或是数据传输和处理过程中的控制环节出了问题导致。因此，我们需要追根求源，尽量将其可能产生的影响进行全面的评估并作出恰当的应对。

（四 ）制定审计应对方案

审计发现来源于于审计各个阶段，如规划阶段的风险评估和企业整体环境了解阶段，在了解和识别内部控制的过程，在控制有效性测试的过程等。因此，注册会计师应该及时进行审计发现的评估并采取合适的应对方案，在必要时及时调整审计策略。

通过评估我们了解到，在对信息系统审计结果的评估中，注册会计师首先可以寻找企业是否补偿性控制或其他证据来实现同等的控制目标，以确保相关风险被降低或减少。

如果有补偿性控制可以应对相同的风险，注册会计师需要验证补偿性控制的设计和执行有效性，以确保控制能有效的降低或减少相关的风险。如果补偿性控制的控制粒度精度与原控制不同，还需要结合其他审计证据，以期达到相同的控制水平。

对于其他审计证据，注册会计师同样需要验证证据的可靠性和正确性，以确保控制缺陷没有被利用而造成相关的风险。

如果不存在相关的控制或证据，则需要评估该审计发现对于相关账户和交易带来的影响程度（影响到的科目性质和金额），从而做出审计决策。

对于信息系统审计发现应对而言，注册会计师需要注意以下几点：

1.具有全局性考虑，不能仅从单一控制缺陷割裂的去分析和评估，而是需要结合其他审计发现共同分析其影响。

2.保持职业怀疑性和谨慎性，挖掘审计发现背后的根本原因。往往在挖掘根本原因的过程中，注册会计师会发现其他新的问题和风险，通过全面的评估和应对，降低审计风险。

3.考虑审计的效率和效果，针对风险导向，评估审计的结果并制定审计应对策略。

由于审计结果评估和应对是一个非常复杂的过程，需要对审计整体有全局性的认识，并涉及到大量的职业判断，因此，审计结果的评估和应对往往需要比较有经验的注册会计师的参与才能完成。

在评估审计发现的过程中，注册会计师需要将信息系统审计的结果结合整体审计结果进行全盘考虑，才能做出科学合理的审计判断。在引入信息技术专家进行审计的项目中，注册会计师需要与信息技术专家进行充分的沟通，以确保审计结果能被充分评估和应对。

审计结果的评估和应对过程需要得到合理的记录，以确保过程在团队成员中达到充分的一致认知和行动指导。在审计结果的评估和应对过程中，注册会计师通常会以表格的形式记录审计结果的关键信息，如问题描述、风险及影响、补偿性控制或说明、相关科目、财务报表认定、审计对策等信息。这些信息不是一蹴而就的，而是在审计完成阶段工作过程和审计决策的记录和充分表达。完整准确的记录这些信息，有助于注册会计师审计完成阶段的顺利有效进行。

二、信息系统审计问题的管理建议

对于财务报表审计而言，虽然我们进行信息系统审计目的是为了支撑财务报表审计需要，不需要单独针对被审计单位的内部控制发表审计意见。但是对于被审计单位的管理层来说，信息系统的控制不仅仅是对审计期间财务报表认定的支持，更是对企业长久运营和内控管理的良好支持。国际审计准则要求，对于财务报表审计过程中识别的问题及时与企业治理层和管理层进行沟通。信息系统审计，作为财务报表审计的一部分，其结果也应该与企业相关人员进行及时充分的沟通。

因此，管理层有必要针对信息系统审计发现的控制问题，制定切实可行的改进措施，以确保信息系统能够对以后期间财务报表提供更好的支持，为企业的内部控制和业务运营提供更顺畅的支持。让信息系统在企业运营的各个方面发挥更大的作用，提升企业的业务水平和战略实现。

注册会计师在给出管理建议的过程中，需要注意以下几个问题：

1.每个企业具有独特性，管理建议应该根据被审计单位的自身特点，提出切实可行的改进建议。

2.信息系统控制审计整改需要一个过程，不可能一蹴而就。因此控制缺陷的改进建议需要根据缺陷所可能引起的风险可能性、影响大小、紧急程度等因素考虑优先级，分步实施。

3.信息系统数据审计发现的问题，需要寻找问题根源，从源头解决问题本质。

4.对于管理建议需要全盘统筹考虑，不能头痛医头脚痛医脚。

5.管理建议需要与管理层进行充分的沟通，才能让管理建议能够落地实施。

管理建议的给出需要大量的项目实战经验，因此，通常由项目中资历较深的注册会计师参与完成。在管理建议中，注册会计师通常需要向管理层明确传达以下信息：

1.系统审计的背景和范围；

2.审计发现的具体描述、风险、财务影响；

3.针对审计发现的大致改进建议。

同时，为了保证审计建议的正确传达和审计整改的有效进行，注册会计师通常还会获得管理层对于审计发现的反馈意见。