确定财务报表审计中对信息系统的审计范围

编者按在信息化环境下，企业运用信息技术编制财务报表，设计和执行内部控制。注册会计师在对企业的财务报表进行审计时，必须考虑信息技术的影响。同时，信息化也对注册会计师的审计技术和方法带来革命性变化。为了帮助注册会计师应对信息化带来的挑战，中国注册会计师协会资助普华永道中天会计师事务所研究编写了《信息系统环境下的财务报表审计》一书，即将出版。本刊约请作者加以摘编，分期连载，以飨读者。

了解信息技术环境及与财务报告有关的信息系统，属于审计计划的开始和准备阶段，这些工作对于审计范围及计划的确定有着至关重要的作用。在了解了信息技术环境及与财务报告有关的信息系统、系统相关风险及应对体系之后，注册会计师对被审计单位信息系统的使用、风险和管理应对有了一个基本的认识，就可以正式进行审计范围的规划工作了。

图1 业务层面信息系统审计范围确定步骤

一、确定信息系统审计范围的方法

审计范围是根据被审计对象的重大错报风险及应对而产生的。因此，注册会计师需要考虑被审计单位财务报表重大错报风险相关的信息系统风险及应对，对其应对体系进行评价和验证，从而确保相关的风险能被合理的应对。

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》的要求，不管是否执行信息系统审计程序，注册会计师都需要对被审计单位的信息系统整体环境进行了解。也就是说，信息系统整体环境的了解是注册会计师必须完成的内容，无关乎范围的选择。本文主要从业务层面和基础层面讨论审计范围的确定。

（一）业务层面信息系统审计范围的确定方法

信息系统审计是财务报表审计不可分割的重要组成部分，因此信息系统审计范围的确定也是从财务报表审计的需要出发，信息系统审计范围的确定是随着整体审计范围的确定而确定的。一般而言，确定业务层面信息系统的审计范围大致分为以下几步（如图1所示）：

1. 确定重要的财务报表科目、组成部分、重大披露；

2. 确定财务报表审计中的重要业务流程和交易；

3. 识别相关业务流程和交易的潜在错报风险来源；

4. 确定应对所识别风险的系统应用控制和数据，即重要业务流程和交易中的信息系统依赖，这些信息系统依赖即信息系统审计的审计原始范围。

需要说明的是，通过以上步骤识别出的信息系统依赖领域只是说明了这些信息系统相关的依赖与财务报表审计具有强相关性。这些内容是否会纳入最后的信息系统审计工作，还需要根据财务报表审计的总体审计策略的选择和对系统的拟依赖程度进行规划才能确定。

举例来说，假设销售收入被确定为重要的财务报表科目，销售流程被确定为重大流程纳入审计范围。在进行销售流程控制活动审计范围规划的过程中，注册会计师需要对销售流程进行端到端的了解，识别整个流程中潜在错报的可能来源及应对风险的内部控制活动，进而根据财务报表总体审计策略，即销售收入的重大错报风险及审计应对措施（包括实施控制测试和实质性程序），确定需要纳入审计范围的信息系统依赖，包括业务层面的自动控制活动、用于支持人工控制的系统生成报表和数据、自动计算、访问控制、系统自动接口。这些应用控制和数据就与该被审计单位的信息系统审计具有强相关性。

至此，注册会计师可以识别和初步确认信息系统审计的范围基础。我们可以用一个表格来概括规划至该步骤后，注册会计师需要整理出的财务报表错报风险与系统应对的一个对应关系表（如表1所示）。我们在此仅列出了这个表格的几个关键要素，注册会计师可以根据实际情况丰富该表格的内容便于审计范围的规划。该表格是后续审计范围确定的原始来源，其中D列和E列将构成系统审计范围确定的基础：D列为业务层面的系统依赖领域，即应用控制及数据；E列为系统一般控制可能涉及的系统清单。

上述分析对于注册会计师进行系统审计范围的确定至关重要，在审计项目的计划阶段建议由资深审计人员对被审计单位进行初步了解后进行详细评估并进行记录，并由项目负责人复核，以便于下一步审计范围的确定。

通过该表格分析，注册会计师可以得出与本次财务报表审计相关的信息系统清单（E列），该清单是后续确定纳入审计范围的信息系统的基础及来源。

需要再次强调的是，信息系统审计范围需要与财务审计整体范围统筹全盘考虑，要避免闭门造车，孤立地进行信息系统审计范围的确定。我们始终要记住，信息系统审计是为了支持财务报表整体审计，信息系统审计是财务审计的一个重要的有机组成部分，信息系统审计范围的确定是财务报表审计整体策略的有机组成。

（二）信息系统一般控制审计范围的确定方法

上述与财务报表审计具有相关性的信息系统依赖是属于业务层面的系统依赖，即企业在各个业务流程中所涉及到的应用控制及数据。为了支撑这些应用控制和数据，注册会计师通常需要对支持这些依赖的系统基础控制，即信息系统一般控制进行审计工作，来保证建立其上的应用控制和数据可以持续有效的对财务报表进行支撑。

表1 信息系统依赖点清单

表2 信息系统一般控制审计适用领域匹配表

表3 不同审计策略下对IT的依赖程度及对应的IT审计内容

沪深两市A股上市。控制体系包含了程序建设、程序变更、计算机运维、程序及数据的访问四个领域。我们是否要对每一个领域进行全面审计呢？答案是不一定的。

在选定需要测试的信息系统一般控制时，注册会计师首先要评估分析被审计单位的由于使用信息技术导致的风险，将相关风险与信息系统一般控制进行一一对应，注册会计师需要选择与被审计单位特定信息技术风险相关的领域进行审计。

在进行信息系统风险评估的过程中要保持职业谨慎性，对于判断为不相关风险而不进行测试的环节要做出充分的评估和说明，并详细记录不相关的理由和判断依据，并不将该部分控制包括在审计范围中。

举例来说，某制造企业在20×6年财务报表审计过程中，注册会计师确定生产及成本循环为重大业务循环，注册会计师拟依赖企业使用的Oracle系统进行的成本归集和分摊，以及若干张系统生成的报表。

注册会计师通过对企业信息系统环境的了解以及现场确认，该企业使用的Oracle信息系统在该审计年度运行稳定，没有进行过大的开发活动，仅进行过零星的报表变更和错误修复。

在此背景下，注册会计师在信息系统一般控制审计范围确定的过程中，可以根据对被审计单位相关信息技术导致的风险的评估，谨慎剔除与该被审计单位不相关的信息技术导致的风险。在本例中，注册会计师判断程序建设领域在该审计年度与被审计单位不相关，因此决定不将程序建设领域的相关控制纳入审计范围。

至此，注册会计师需要整理出一个系统清单及一般控制领域的对应关系表（如表2所示）。

需要特别注意的是，信息系统一般控制是一个完整的体系，各个领域之间具有一定的相关性，各个领域相互作用才能对信息系统的有效运转提供体系化的保证。因此，注册会计师在判断某一个领域或者某个领域的某一个控制环节与被审计单位不相关时，一定要保持职业怀疑态度和谨慎性，才能做出合理的判断。同时，对于相关风险的判断需要与时俱进，在每次执行审计工作前，需要对风险进行重新评估和判断，以识别被审计单位环境和控制的变化而导致的风险变化，以保证审计工作能够符合被审计单位当时的环境和背景要求。

二、在总体审计策略中确定对信息系统的依赖程度

通过利用信息系统审计范围确定的方法，注册会计师可以进一步判定与本次财务报表审计相关的信息系统审计在业务层面和基础层面的范围基础。但是，经过这个步骤之后，注册会计师得到的只是财务报表相关的信息系统依赖领域，即审计范围基础。在接下来的审计计划中，注册会计师是否需要对这些依赖领域执行审计工作，以及对哪些依赖领域执行审计工作还需要考虑总体审计策略中重要的一环，即确定总体审计策略中对信息系统的依赖程度。

对于同一个被审计单位而言，审计策略中对控制的依赖程度不同，将直接决定信息系统依赖程度的不同，进而导致信息系统审计工作的范围、性质和方法的差异。

根据《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》的要求，不管总体审计策略是否选择依赖控制来获取审计信息，注册会计师都需要对企业内部控制，包括信息技术整体控制环境进行了解和评估。

如果注册会计师根据了解和评估的结果，决定控制无效而不依赖控制。或者注册会计师决定实施实质性测试更有效而不依赖控制。在这两种情况下，注册会计师仅需要对信息系统整体控制环境进行了解和评估，而不需要进一步实施审计程序，因此，该财务报表审计策略下，对信息系统的依赖程度是最低的。

如果总体审计策略决定依赖控制活动，则根据依赖的控制活动类型不同，进而造成对信息系统依赖的程度不同：

1.总体审计策略决定依赖人工控制，且这些人工控制不依赖信息系统产生的报表和数据，即财务报表审计中不依赖系统的控制或数据。显然，这种审计策略下，注册会计师不需要进行信息系统一般控制和应用控制审计。这种情况审计对信息系统依赖程度和审计策略选择不依赖控制一样。

2.总体审计策略决定依赖人工控制，但是这些人工控制依赖于信息系统产生的报表和数据，即财务报表审计中依赖信息系统的相关数据/报表。这种情况下，注册会计师应当评估在人工控制中所使用到的数据或报表的可靠性。

此时，拟获取的审计证据要根据注册会计师的职业判断，同时考虑：

（1）该人工控制对审计工作的重要性 ；

（2）该人工控制中使用的数据/报表的性质和来源 ；

（3）可获取的用于支持数据/报表在整个审计期间可靠性的证据类型（支持控制测试还是实质性测试，或兼而有之）。

数据或报表的可靠性通常可以通过实质性测试或验证管理层是如何核对系统生成的数据/报表和可靠独立来源的数据的一致性。但是在某些情况下，仍然有必要测试相关的自动应用控制和/或信息系统一般控制。

3.总体审计策略决定依赖自动应用控制和人工控制，显而易见，在这种情况下 ，信息系统自动应用控制和人工控制构成了财务报表审计的信息系统依赖领域，注册会计师应该对系统自动应用控制和相关信息系统的一般控制进行有效性测试。这种情况下，财务报表审计对信息系统的依赖程度是最高的。

表3列示了以上几种审计策略下，对信息系统的不同依赖程度及对应的信息系统审计内容要素。

在厘定了审计策略中对信息系统的依赖程度之后，就可以回答需不需要在财务报表审计中执行系统审计程序，如果需要，注册会计师需要做哪些方面的审计工作这些问题了。

三、需要被纳入审计范围的信息系统

在当前互联网+和信息技术高速发展的时代，企业使用的信息系统往往不像以往那样是一个单一的财务或业务系统。企业对信息技术的日益依赖也导致信息系统使用的数量和范围日益扩大，系统之间的交互日益复杂。

除了成熟的软件包系统以外，也有越来越多的公司，特别是互联网公司，使用自行开发的系统来满足各自不同的业务需求。这些自行开发的系统与成熟软件包不同，它们都不属于标准化系统，具有不同于标准化系统的功能模块和系统架构。自行开发的系统与成熟软件系统相比，对于企业来说具有更多的灵活性和适应性，因此每个公司使用的自行开发系统会千差万别，对注册会计师的审计工作提出了更多的挑战。

那么是否企业使用的所有信息系统都应该纳入财务报表审计中的信息系统审计范围呢？如果不是，哪些系统应该纳入我们的审计范围呢？我们该如何考虑？

经过前面的论述之后，我们很容易可以得出以下结论：

首先，对信息系统执行审计的目的是为了支持财务报表审计，所以与财务报表相关的信息系统是纳入信息系统审计的范围前提和先决条件。即该信息系统的使用对财务报表认定有直接或间接的影响。

例如，企业的办公门户系统，该系统进行规章制度的上传下达、内部消息传递等，但是公司有关投资和设备重大采购的审批流程并不在该OA系统上，则该系统的使用与财务报表的各项认定正确与否没有相关性，因此，这样的系统理论上一般就不需要纳入信息系统审计范围。需要注意的是，如今的企业OA除了承载消息传递以外，可能还承载了部分的投资、采购及费用报销等功能，如果这些环节与财务报表具有重大相关性，则此情设下的OA系统就需要考虑纳入系统审计范围。

那么是否与财务报表相关的信息系统就一定会被纳入信息系统审计的范围呢？

答案是不一定。纳入信息系统审计范围的系统除了需要满足和财务报表相关以外，还需要考虑总体审计策略中的重要性和注册会计师对内部控制及系统的依赖程度。如果财务报表审计整体策略决定该信息系统支持的业务流程以及相关的财务报表科目不重要。或者注册会计师认为采用替代的审计策略和方法，例如实施实质性测试程序，能更为有效或易于实现，所以决定不依赖信息系统相关的应用控制。在这种情形下，我们就不需要进行该信息系统的审计。

例如：企业使用一个采购系统实现供应商采购流程，而采购流程在财务报表审计中具有重要性，此时理论上采购系统与财务报表审计是相关的。但是，如果财务审计整体策略选择不依赖采购系统的各个环节和控制，而是采用测试人工控制和进行实质性测试程序来获取相应的审计信心，则该采购系统也可以不纳入信息系统的审计范围。

综上所述，纳入信息系统审计范围的系统需要综合考虑信息系统与财务报表的相关性和总体审计策略中拟定的对信息系统的依赖情况而定。即同时满足以下2个条件的信息系统才需要纳入信息系统审计范围：

1. 与财务报表重大错报具有直接或间接相关性；

2. 总体审计策略拟依赖该系统相关控制和数据。

至此，我们完成了对信息系统审计范围的规划，整个范围规划过程用图2表示。