第二节 信息技术审计范围的确定
注册会计师在规划审计策略时,需要结合企业(1)业务流程复杂度、(2)信息系统复杂度、(3)系统生成的交易数量、(4)信息和复杂计算的数量、(5)信息技术环境规模和复杂度等五个方面,对信息技术审计范围进行适当考虑。
注意:
第一,信息技术审计的范围与企业在业务流程及信息系统相关方面的复杂度成正比。
第二,在对企业的流程、信息系统、和相关风险进行充分了解之后,注册会计师应判断企业中是否包含信息技术关键风险,并且实质性程序是否无法完全控制该风险。
第三,如果注册会计师计划依赖自动系统控制,或依赖以自动系统生成信息为基础的手工控制或业务流程审阅结果,那么注册会计师也同样需要对信息技术相关控制进行评估。
在信息技术环境下,审计工作与对系统的依赖程度是直接关联的,注册会计师需要全面考虑其关联关系,从而可以准确定义相关的信息系统审计范围。(参见教材表11-1)
表11-1 信息系统审计关联范围表
对信息系统的依赖程度 |
对系统环境的了解与评估(是/否) |
验证手工控制(是/否) |
验证系统应用控制(是/否) |
了解、验证系统一般性控制(是/否) |
不依赖 |
是 |
否 |
否 |
否 |
仅依赖手工控制,此类手工控制不依赖系统所生成的信息或报告 |
是 |
是 |
否 |
否 |
仅依赖手工控制,此类手工控制依赖系统所生成的信息或报告,审计需要通过实质性程序来验证控制有效性 |
是 |
是 |
否 |
是 |
同时依赖手工及自动控制 |
是 |
是 |
是 |
是 |