编者按在信息化环境下,企业运用信息技术编制财务报表,设计和执行内部控制。注册会计师在对企业的财务报表进行审计时,必须考虑信息技术的影响。同时,信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战,中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书,即将出版。本刊约请作者加以摘编,分期连载,以飨读者。
进入21世纪以来,依托于信息技术的飞速发展,以及工业化与信息化的深度融合,我国的国民经济和社会发展呈现蓬勃向上之势,经济和社会各行业各领域的信息化水平加速推进。企业作为国民经济体系的重要组成部分,自然成为推动信息技术深化运用的主要力量。企业信息化的重要领域是会计信息化。这是因为会计核算与编制财务报告是企业内部的关键管理环节,同时由于通用的会计准则比较成熟,核算与报告处理的规范化程度好,相关的企业内部和外部监管要求高,所以会计信息化自然成为企业内部信息技术运用的优先着力点与重要领域之一。
企业信息系统是记录财务信息和编制财务报告的主要承载平台,并通过与业务流程的密切结合,成为企业内部控制体系的有机组成部分,对保证财务报告及相关信息的真实完整的控制目标具有重大意义。伴随着信息技术的发展,以ERP系统为代表的信息系统在各行各业的大中小型企业中得到大规模普及,会计信息化迅速成熟。使用ERP系统的企业,业务操作同会计核算与财务报告编制不再是彼此之间相互割裂的环节,企业内部的信息孤岛也被逐渐化解,采购、库存、生产、销售、人事、研发等业务环节与财务核算充分整合,业务端和财务端已高度集成化;在信息集成和有效管控的前提下,信息系统根据业务逻辑的配置,能够对常规业务操作生成的信息进行自动化记账,大大提高了工作效率,并减少了人为干预可能带来的差错。因此,在信息化环境下,信息系统的使用对企业的会计核算与财务报告编制产生广泛而深远的影响:
1.会计信息实现全面数字化,传统的纸质单据、文件、手工记录、台账、日记账等纷纷以数字化的形式被信息系统存储、处理,或者虽然保留,但已降格为交易的附件以备查阅、核对之用;
2.信息系统封装了信息处理的过程,呈现给用户的会计信息往往是系统的最终处理结果,其内部处理逻辑、运算的中间过程,对系统的用户而言是独立的不能随意更改的;
3.记账的方式由人工转为自动化,由于信息系统集成了业务端和财务端,对于企业的常规交易,信息系统在记录、处理业务端操作后,便可根据业务逻辑的配置规则,自动地生成相应的会计信息;这一过程通常不需要财务会计人员的干预;
4.信息系统内业务流程规范化程度高,控制、稽核、校验手段多样、严谨,规则执行一致程度高,能够从最大程度上杜绝人为因素的干预,降低随意性;
5.系统运用过程中的缺陷、问题和错误将产生广泛的影响。与传统的人工处理不同,信息系统处理信息的速度快、效率高,一旦在系统运用过程中存在缺陷、问题和错误,那么其产生的影响将远远大于传统的人工处理。
信息系统在企业中的运用,特别是会计信息化,对企业的内部控制的建设也有很大影响。信息系统对企业内部控制的影响主要体现在以下方面:
1.在信息技术环境下,传统的人工控制越来越多地被信息系统自动控制所替代。自动控制为内部控制活动带来了变革,如:自动控制遵循一致的业务规则,从而提升了控制活动执行的一致性。
2.信息系统可以促进企业内部控制相关信息的收集、处理和传递,提升了内部控制信息的及时性、可获取性和有用性,从而促进内部控制有效运行;凭借信息系统强大的数据处理能力,自动控制提升了控制活动的效率。
3.信息技术环境下,企业内部监督的范围、内涵发生了变化,需要充分考虑信息系统的使用情况;决定内部控制自我评价的方式、范围、程序和频率时,需要考虑信息技术使用带来的影响。对监督过程中发现的与信息系统相关的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案,跟踪内部控制缺陷整改情况,采取适当的形式及时向董事会、监事会或者经理层报告。
4.信息系统的使用为内部控制带来了新的风险因素,如:程序逻辑配置不当,系统可能会错误地处理业务数据,进而产生财务影响;人员操作权限设定不当,会增加系统内数据和信息非授权访问的风险,导致交易记录被篡改、破坏;系统瘫痪导致数据丢失或无法访问,等等。
由于信息系统能够支持业务的执行,提高执行的效率和一致性,与内部控制一样也是根据企业需求来建设的,并可以为企业提供管理所需的信息,需要依赖员工进行操作维护,所以企业信息化使企业在提高效率、效益、提升信息取得的及时性和信息的一致性方面得益匪浅。这也是为什么越来越多的企业通过利用信息技术来提升企业的内部控制。
在信息化环境下,企业运用信息系统记录会计信息,编制财务报告,并使之成为内部控制的有机组成部分。作为企业聘请的注册会计师,在对企业的财务报表进行审计时,必须考虑信息系统。
在财务报表审计中,注册会计师对财务报表是否在所有重大方面按照适用的财务报告编制基础发表审计意见。注册会计师的审计是风险导向审计,如《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》所述,注册会计师的目标是,通过了解被审计单位及其环境,识别财务报表层次和认定层次的重大错报风险,从而为设计和实施针对评估的重大错报风险采取的应对措施提供基础。为了达到上述目标,该准则要求注册会计师应当了解与审计有关的内部控制,以及与财务报告相关的信息系统(包括业务流程)。在了解企业的控制活动时,注册会计师应当了解企业如何应对信息技术导致的风险。
审计准则为什么要求注册会计师了解与财务报告相关的信息系统,了解企业如何应对信息技术导致的风险,在测试业务层面控制中关注信息系统对内部控制及风险评估的影响呢?让我们追溯一下财务报表的形成:财务报表是根据各个业务循环的业务操作/交易提供的原始数据和业务逻辑,并按照相关适用的会计准则的要求进行会计处理,并最终按照相关适用的会计准则编制生成。因此,要保证最终的财务报表准确、真实、完整,就必须要保证财务信息在财务报表生成过程中各个环节的准确、真实、完整,没有重大的错报。而各个业务环节由一系列的手工操作和信息系统自动处理完成,任何的业务环节可能产生的错报,都有可能导致最终的财务报告产生错报。其中的信息系统自动处理部分,就是财务报表审计中应该纳入审计考虑的信息系统,即财务报表对信息系统的依赖领域,这些依赖领域与财务报表具有相关性。
注册会计师在审计中应如何考虑信息系统?
首先,注册会计师应当厘清信息系统与财务报表之间的关系,确定与财务报表具有相关性的信息系统依赖领域。而要厘清这个关系,注册会计师就必须要了解被审计单位的信息系统基本情况如何。例如,企业使用了哪些系统,这些系统分别实现了什么功能,他们对财务的支撑情况是怎样的,整体控制环境如何等等。
其次,注册会计师通过了解被审计单位及其环境,识别和评估财务报告的重大错报风险,考虑系统的性质和复杂性,判断信息系统和审计的相关程度。只有了解了被审计单位的信息系统环境的基本情况,厘清信息系统与财务报告之间的关系,并在识别和评估财务报告的重大错报风险的基础上,进一步确定是否要对信息系统执行审计程序,对哪些信息系统执行审计程序,以及对信息系统执行怎样的审计程序。
通过对被审计单位的信息技术导致的风险及应对的了解和评估,注册会计师可以确定被审计单位的信息系统使用是否处于一个健康的管控环境中,从而得出信息系统是否可以被信赖的初步判断,为审计计划阶段审计策略选择和范围确定提供依据。注册会计师可以考虑的事项包括:
(1)被审计单位的信息系统使用情况;
(2)信息系统如何影响财务报告(财务报告对信息系统的依赖关系);
(3)信息技术导致的主要风险及应对措施/控制;
(4)信息系统的可信赖程度等。
信息技术在会计核算和财务报告中的运用,把注册会计师带入了一个全新的、充满挑战的信息化环境。在这个环境中,注册会计师面对的是功能复杂、高度集成的大型信息系统(系统集群),以及系统生成、处理、记录和报告的海量电子数据,甚至还有完全不同于传统形式的舞弊手法。如果作为审计工作对象的财务会计信息和报告是由企业财务报告相关信息系统作为载体所形成的,那么注册会计师在了解业务流程和内部控制、识别和评估审计风险、确定审计风险的应对以及审计范围、制定整体审计计划、执行审计程序以及收集审计证据等方面将面临来自信息化环境的众多挑战,主要体现在以下方面:
1.对业务流程开展和内部控制运作的理解。传统环境下,业务流程的开展和内部控制的运作主要依赖人工处理。信息化环境下,相当部分的内部控制环节转移到信息系统中自动执行,或者人工与信息系统相结合而执行。因此,在信息化环境下,注册会计师需要重新建立对业务流程开展和内部控制运作的理解和认识。
2.对信息系统相关的审计风险的认识。信息系统的运用是一把双刃剑,在带来效率效果提升的同时,也产生了由于信息技术导致的风险。注册会计师在执行财务报表审计时,需要充分识别并评估与会计核算和财务报告编制相关的信息技术运用相伴而生的风险,如程序逻辑的错误、权限的不当授予等。对相关控制风险缺乏认识,可能导致审计工作针对性的欠缺,难以有效识别财务报表重大错报。
3.审计范围的确定。注册会计师在确定审计范围时,往往受困于信息技术的复杂性和专业性。企业的应用系统架构如何?财务报告在哪个平台生成?信息系统间的数据流向是怎样的?如果对这些根本性问题认识不清楚,往往会导致在确定审计范围时产生遗漏。
4.审计内容的变化。由于在信息化环境下,会计核算与财务报告是由信息系统通过程序进行自动处理的,因此审计内容很有可能包括对信息系统中的相关自动控制的测试。例如,在针对存货计价不准确的重大错报风险执行审计程序时,由于被审计单位存货的计价依赖于高度自动化处理,不存在或存在很少人工干预,针对该风险仅实施实质性程序可能不可行。获取的审计证据,即存货的库龄分析仅以电子形式存在,注册会计师必须测试存货的计价相关的内部控制的有效性,以及存货库龄计算的准确性进行验证。
5.审计线索的隐性化。在信息化环境下,会计信息已经全面数字化,传统的审计线索可能已经不复存在;在信息加工处理方面,信息系统封装了信息处理的过程,其内部处理逻辑、运算的中间过程,往往对系统的用户而言是独立的,传统的审计线索全面隐性化。
6.审计技术改进的必要性。面对海量的交易、数据和财务信息,传统的审计技术在抽样针对性和样本覆盖程度方面的局限性越来越突出。一方面,信息技术的运用改变了企业的运作模式和工作方式,传统审计技术针对的问题特征可能已经消失,或者发生了改变,注册会计师的经验可能无法简单移植,从而丧失了针对性;另一方面,面对海量数据,传统的抽样方式难以覆盖大量的数据,对于不同来源的数据缺乏深刻的洞察力,覆盖性方面也难以提供更强的审计信心。
7.有待优化的知识结构。信息技术的广泛运用,对注册会计师的知识结构提出了新的要求。他们不仅仅要具备丰富的会计、审计、经济、管理、法律方面的知识和技能,还必须对信息技术有所掌握和了解,熟悉系统的架构、信息处理的基本逻辑、系统运行的原理,以及与信息技术运用相伴而生的风险因素。在信息化环境下,注册会计师必须熟悉信息技术的运用和信息系统的风险及控制,应对以上新的挑战,对审计的策略、范围、内容、方法和手段做出有针对性的调整,获取充分、适当的审计证据,从而发表恰当的审计意见。
8.与专业团队的充分协同工作。新兴复杂技术的日新月异,使财务报表审计对专业知识的需求日益迫切。注册会计师在优化自身的知识结构体系的过程中,引入相关技术专业人员参与审计工作成为一种有效的审计手段而普遍存在。比较常见的专业领域如信息技术、税务等。因此,在审计全过程中如何整合各方资源,进行有效的审计成为审计过程中一个重要的议题和考虑方面。需要强调的是,注册会计师在引入专业人员进行审计的项目中,从审计规划、审计执行到审计完成的各个阶段都应该积极引入专业人员参与,以确保相关的审计风险被合理识别和应对,保证审计过程的有效执行和审计效果的提升。