確定財務報表審計中對信息系統的審計范圍

編者按在信息化環境下，企業運用信息技術編制財務報表，設計和執行內部控制。注冊會計師在對企業的財務報表進行審計時，必須考慮信息技術的影響。同時，信息化也對注冊會計師的審計技術和方法帶來革命性變化。為了幫助注冊會計師應對信息化帶來的挑戰，中國注冊會計師協會資助普華永道中天會計師事務所研究編寫了《信息系統環境下的財務報表審計》一書，即將出版。本刊約請作者加以摘編，分期連載，以饗讀者。

了解信息技術環境及與財務報告有關的信息系統，屬于審計計劃的開始和準備階段，這些工作對于審計范圍及計劃的確定有著至關重要的作用。在了解了信息技術環境及與財務報告有關的信息系統、系統相關風險及應對體系之后，注冊會計師對被審計單位信息系統的使用、風險和管理應對有了一個基本的認識，就可以正式進行審計范圍的規劃工作了。

圖1 業務層面信息系統審計范圍確定步驟

一、確定信息系統審計范圍的方法

審計范圍是根據被審計對象的重大錯報風險及應對而產生的。因此，注冊會計師需要考慮被審計單位財務報表重大錯報風險相關的信息系統風險及應對，對其應對體系進行評價和驗證，從而確保相關的風險能被合理的應對。

根據《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》的要求，不管是否執行信息系統審計程序，注冊會計師都需要對被審計單位的信息系統整體環境進行了解。也就是說，信息系統整體環境的了解是注冊會計師必須完成的內容，無關乎范圍的選擇。本文主要從業務層面和基礎層面討論審計范圍的確定。

（一）業務層面信息系統審計范圍的確定方法

信息系統審計是財務報表審計不可分割的重要組成部分，因此信息系統審計范圍的確定也是從財務報表審計的需要出發，信息系統審計范圍的確定是隨著整體審計范圍的確定而確定的。一般而言，確定業務層面信息系統的審計范圍大致分為以下幾步（如圖1所示）：

1. 確定重要的財務報表科目、組成部分、重大披露；

2. 確定財務報表審計中的重要業務流程和交易；

3. 識別相關業務流程和交易的潛在錯報風險來源；

4. 確定應對所識別風險的系統應用控制和數據，即重要業務流程和交易中的信息系統依賴，這些信息系統依賴即信息系統審計的審計原始范圍。

需要說明的是，通過以上步驟識別出的信息系統依賴領域只是說明了這些信息系統相關的依賴與財務報表審計具有強相關性。這些內容是否會納入最后的信息系統審計工作，還需要根據財務報表審計的總體審計策略的選擇和對系統的擬依賴程度進行規劃才能確定。

舉例來說，假設銷售收入被確定為重要的財務報表科目，銷售流程被確定為重大流程納入審計范圍。在進行銷售流程控制活動審計范圍規劃的過程中，注冊會計師需要對銷售流程進行端到端的了解，識別整個流程中潛在錯報的可能來源及應對風險的內部控制活動，進而根據財務報表總體審計策略，即銷售收入的重大錯報風險及審計應對措施（包括實施控制測試和實質性程序），確定需要納入審計范圍的信息系統依賴，包括業務層面的自動控制活動、用于支持人工控制的系統生成報表和數據、自動計算、訪問控制、系統自動接口。這些應用控制和數據就與該被審計單位的信息系統審計具有強相關性。

至此，注冊會計師可以識別和初步確認信息系統審計的范圍基礎。我們可以用一個表格來概括規劃至該步驟后，注冊會計師需要整理出的財務報表錯報風險與系統應對的一個對應關系表（如表1所示）。我們在此僅列出了這個表格的幾個關鍵要素，注冊會計師可以根據實際情況豐富該表格的內容便于審計范圍的規劃。該表格是后續審計范圍確定的原始來源，其中D列和E列將構成系統審計范圍確定的基礎：D列為業務層面的系統依賴領域，即應用控制及數據；E列為系統一般控制可能涉及的系統清單。

上述分析對于注冊會計師進行系統審計范圍的確定至關重要，在審計項目的計劃階段建議由資深審計人員對被審計單位進行初步了解后進行詳細評估并進行記錄，并由項目負責人復核，以便于下一步審計范圍的確定。

通過該表格分析，注冊會計師可以得出與本次財務報表審計相關的信息系統清單（E列），該清單是后續確定納入審計范圍的信息系統的基礎及來源。

需要再次強調的是，信息系統審計范圍需要與財務審計整體范圍統籌全盤考慮，要避免閉門造車，孤立地進行信息系統審計范圍的確定。我們始終要記住，信息系統審計是為了支持財務報表整體審計，信息系統審計是財務審計的一個重要的有機組成部分，信息系統審計范圍的確定是財務報表審計整體策略的有機組成。

（二）信息系統一般控制審計范圍的確定方法

上述與財務報表審計具有相關性的信息系統依賴是屬于業務層面的系統依賴，即企業在各個業務流程中所涉及到的應用控制及數據。為了支撐這些應用控制和數據，注冊會計師通常需要對支持這些依賴的系統基礎控制，即信息系統一般控制進行審計工作，來保證建立其上的應用控制和數據可以持續有效的對財務報表進行支撐。

表1 信息系統依賴點清單

表2 信息系統一般控制審計適用領域匹配表

表3 不同審計策略下對IT的依賴程度及對應的IT審計內容

滬深兩市A股上市。控制體系包含了程序建設、程序變更、計算機運維、程序及數據的訪問四個領域。我們是否要對每一個領域進行全面審計呢？答案是不一定的。

在選定需要測試的信息系統一般控制時，注冊會計師首先要評估分析被審計單位的由于使用信息技術導致的風險，將相關風險與信息系統一般控制進行一一對應，注冊會計師需要選擇與被審計單位特定信息技術風險相關的領域進行審計。

在進行信息系統風險評估的過程中要保持職業謹慎性，對于判斷為不相關風險而不進行測試的環節要做出充分的評估和說明，并詳細記錄不相關的理由和判斷依據，并不將該部分控制包括在審計范圍中。

舉例來說，某制造企業在20×6年財務報表審計過程中，注冊會計師確定生產及成本循環為重大業務循環，注冊會計師擬依賴企業使用的Oracle系統進行的成本歸集和分攤，以及若干張系統生成的報表。

注冊會計師通過對企業信息系統環境的了解以及現場確認，該企業使用的Oracle信息系統在該審計年度運行穩定，沒有進行過大的開發活動，僅進行過零星的報表變更和錯誤修復。

在此背景下，注冊會計師在信息系統一般控制審計范圍確定的過程中，可以根據對被審計單位相關信息技術導致的風險的評估，謹慎剔除與該被審計單位不相關的信息技術導致的風險。在本例中，注冊會計師判斷程序建設領域在該審計年度與被審計單位不相關，因此決定不將程序建設領域的相關控制納入審計范圍。

至此，注冊會計師需要整理出一個系統清單及一般控制領域的對應關系表（如表2所示）。

需要特別注意的是，信息系統一般控制是一個完整的體系，各個領域之間具有一定的相關性，各個領域相互作用才能對信息系統的有效運轉提供體系化的保證。因此，注冊會計師在判斷某一個領域或者某個領域的某一個控制環節與被審計單位不相關時，一定要保持職業懷疑態度和謹慎性，才能做出合理的判斷。同時，對于相關風險的判斷需要與時俱進，在每次執行審計工作前，需要對風險進行重新評估和判斷，以識別被審計單位環境和控制的變化而導致的風險變化，以保證審計工作能夠符合被審計單位當時的環境和背景要求。

二、在總體審計策略中確定對信息系統的依賴程度

通過利用信息系統審計范圍確定的方法，注冊會計師可以進一步判定與本次財務報表審計相關的信息系統審計在業務層面和基礎層面的范圍基礎。但是，經過這個步驟之后，注冊會計師得到的只是財務報表相關的信息系統依賴領域，即審計范圍基礎。在接下來的審計計劃中，注冊會計師是否需要對這些依賴領域執行審計工作，以及對哪些依賴領域執行審計工作還需要考慮總體審計策略中重要的一環，即確定總體審計策略中對信息系統的依賴程度。

對于同一個被審計單位而言，審計策略中對控制的依賴程度不同，將直接決定信息系統依賴程度的不同，進而導致信息系統審計工作的范圍、性質和方法的差異。

根據《中國注冊會計師審計準則第1211號——通過了解被審計單位及其環境識別和評估重大錯報風險》的要求，不管總體審計策略是否選擇依賴控制來獲取審計信息，注冊會計師都需要對企業內部控制，包括信息技術整體控制環境進行了解和評估。

如果注冊會計師根據了解和評估的結果，決定控制無效而不依賴控制。或者注冊會計師決定實施實質性測試更有效而不依賴控制。在這兩種情況下，注冊會計師僅需要對信息系統整體控制環境進行了解和評估，而不需要進一步實施審計程序，因此，該財務報表審計策略下，對信息系統的依賴程度是最低的。

如果總體審計策略決定依賴控制活動，則根據依賴的控制活動類型不同，進而造成對信息系統依賴的程度不同：

1.總體審計策略決定依賴人工控制，且這些人工控制不依賴信息系統產生的報表和數據，即財務報表審計中不依賴系統的控制或數據。顯然，這種審計策略下，注冊會計師不需要進行信息系統一般控制和應用控制審計。這種情況審計對信息系統依賴程度和審計策略選擇不依賴控制一樣。

2.總體審計策略決定依賴人工控制，但是這些人工控制依賴于信息系統產生的報表和數據，即財務報表審計中依賴信息系統的相關數據/報表。這種情況下，注冊會計師應當評估在人工控制中所使用到的數據或報表的可靠性。

此時，擬獲取的審計證據要根據注冊會計師的職業判斷，同時考慮：

（1）該人工控制對審計工作的重要性 ；

（2）該人工控制中使用的數據/報表的性質和來源 ；

（3）可獲取的用于支持數據/報表在整個審計期間可靠性的證據類型（支持控制測試還是實質性測試，或兼而有之）。

數據或報表的可靠性通常可以通過實質性測試或驗證管理層是如何核對系統生成的數據/報表和可靠獨立來源的數據的一致性。但是在某些情況下，仍然有必要測試相關的自動應用控制和/或信息系統一般控制。

3.總體審計策略決定依賴自動應用控制和人工控制，顯而易見，在這種情況下 ，信息系統自動應用控制和人工控制構成了財務報表審計的信息系統依賴領域，注冊會計師應該對系統自動應用控制和相關信息系統的一般控制進行有效性測試。這種情況下，財務報表審計對信息系統的依賴程度是最高的。

表3列示了以上幾種審計策略下，對信息系統的不同依賴程度及對應的信息系統審計內容要素。

在厘定了審計策略中對信息系統的依賴程度之后，就可以回答需不需要在財務報表審計中執行系統審計程序，如果需要，注冊會計師需要做哪些方面的審計工作這些問題了。

三、需要被納入審計范圍的信息系統

在當前互聯網+和信息技術高速發展的時代，企業使用的信息系統往往不像以往那樣是一個單一的財務或業務系統。企業對信息技術的日益依賴也導致信息系統使用的數量和范圍日益擴大，系統之間的交互日益復雜。

除了成熟的軟件包系統以外，也有越來越多的公司，特別是互聯網公司，使用自行開發的系統來滿足各自不同的業務需求。這些自行開發的系統與成熟軟件包不同，它們都不屬于標準化系統，具有不同于標準化系統的功能模塊和系統架構。自行開發的系統與成熟軟件系統相比，對于企業來說具有更多的靈活性和適應性，因此每個公司使用的自行開發系統會千差萬別，對注冊會計師的審計工作提出了更多的挑戰。

那么是否企業使用的所有信息系統都應該納入財務報表審計中的信息系統審計范圍呢？如果不是，哪些系統應該納入我們的審計范圍呢？我們該如何考慮？

經過前面的論述之后，我們很容易可以得出以下結論：

首先，對信息系統執行審計的目的是為了支持財務報表審計，所以與財務報表相關的信息系統是納入信息系統審計的范圍前提和先決條件。即該信息系統的使用對財務報表認定有直接或間接的影響。

例如，企業的辦公門戶系統，該系統進行規章制度的上傳下達、內部消息傳遞等，但是公司有關投資和設備重大采購的審批流程并不在該OA系統上，則該系統的使用與財務報表的各項認定正確與否沒有相關性，因此，這樣的系統理論上一般就不需要納入信息系統審計范圍。需要注意的是，如今的企業OA除了承載消息傳遞以外，可能還承載了部分的投資、采購及費用報銷等功能，如果這些環節與財務報表具有重大相關性，則此情設下的OA系統就需要考慮納入系統審計范圍。

那么是否與財務報表相關的信息系統就一定會被納入信息系統審計的范圍呢？

答案是不一定。納入信息系統審計范圍的系統除了需要滿足和財務報表相關以外，還需要考慮總體審計策略中的重要性和注冊會計師對內部控制及系統的依賴程度。如果財務報表審計整體策略決定該信息系統支持的業務流程以及相關的財務報表科目不重要。或者注冊會計師認為采用替代的審計策略和方法，例如實施實質性測試程序，能更為有效或易于實現，所以決定不依賴信息系統相關的應用控制。在這種情形下，我們就不需要進行該信息系統的審計。

例如：企業使用一個采購系統實現供應商采購流程，而采購流程在財務報表審計中具有重要性，此時理論上采購系統與財務報表審計是相關的。但是，如果財務審計整體策略選擇不依賴采購系統的各個環節和控制，而是采用測試人工控制和進行實質性測試程序來獲取相應的審計信心，則該采購系統也可以不納入信息系統的審計范圍。

綜上所述，納入信息系統審計范圍的系統需要綜合考慮信息系統與財務報表的相關性和總體審計策略中擬定的對信息系統的依賴情況而定。即同時滿足以下2個條件的信息系統才需要納入信息系統審計范圍：

1. 與財務報表重大錯報具有直接或間接相關性；

2. 總體審計策略擬依賴該系統相關控制和數據。

至此，我們完成了對信息系統審計范圍的規劃，整個范圍規劃過程用圖2表示。