信息系统环境下的注册会计师审计(1)

我国《注册会计师法》第21条规定了注册会计师的审计责任：“注册会计师执行审计业务，必须按照执行准则、规则确定的工作程序出具报告”。中国独立审计准则对注册会计师的审计责任也做了详细的规定：注册会计师的审计责任是指注册会计师按照独立审计准则的要求出具审计报告，并对发表的审计意见负责。由于基本会计数据及其他管理数据的庞大以及审计成本的限制，现代审计多采用评价内部控制基础上的抽样审计以获得支持财务报表的证据。在信息系统条件下，审计基础数据更加庞大和复杂，内部控制的内容与方法也发生了巨大变化，获取基础审计数据，评价新的内部控制结构的效力与证据之间的联系，这些都构成了对注册会计师的极大挑战。

以上情况表明，虽然注册会计师可能无需对信息系统和信息活动提出鉴证结论和咨询意见，但必须考虑信息系统和信息活动对被审计单位的影响与重大错报的风险。因此，注册会计师在面对复杂的信息系统时必须考虑借用有效的IT标准来对被审计系统进行评价。当前国际上普遍应用的IT相关标准众多，但有关信息系统管理及如何对信息系统进行审计的标准相对比较少，对审计人员来说，COBIT对审计人员具有更强的针对性，其执业规范和操作指南对审计人员提供了重要参考价值的标准。

二、COBIT概述

COBIT（Control Objectives for Information and Related Technolo-gy）是信息系统审计及控制协会（Information Systems Audit andControl Association，ISACA）指定的关于信息技术安全及控制的通用标准，COBIT实质上已经成为国际公认的最权威的信息技术管理、控制和审计的标准。

COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型，通过将COBIT应用到信息系统的开发和实施环境中，管理人员、开发人员和审计人员可以在强化和评估信息系统的管理和控制时获得依据。COBIT主要包括六个部分的内容：执行概要、系统框架、管理指南、详细控制目标、审计指南、实施工具集等。执行概要围绕着IT控制与企业经营目标之间的关系说明了CO-B17的基本概念和原理，使得COBIT与企业活动紧密相连，具有现实的指导意义；系统框架介绍了COBIT的领域、IT过程和高层控制目标，指出了每个控制目标对信息的要求和主要对哪些信息系统资源产生影响，可以成为审计人员选择审计程序和方法的主要依据；管理指南主要阐述企业对内部IT的控制情况的自我评价，提高和改进IT过程的措施以及对IT过程性能的监控，是企业内部审计的重要参考依据之一，也是注册会计师借助于内部审计报告来评估IT控制的重要证据；详细控制目标介绍了COBIT的IT过程所包括的详细控制目标，是评价IT管理和过程的具体参考标准；审计指南从信息管理人员和审计人员的角度说明了如何实施对IT控制的检查，提出了具体的审计方法；实施工具集主要包括管理认知、IT控制诊断、实施指南、常见问题、COBIT案例研究等工具，为快速学习和运用COBIT提供丰富的素材。

三、COBIT信息评价标准对注册会计师的指导意义

企业的财务报表反映了一系列有关该企业财务状况的管理当局认定，注册会计师的任务是确定这些财务报表的公允表述。为了完成这一任务，注册会计师制定了审计目标，确定了达到这一目标而需要执行的审计程序，并为证实或否定管理当局认定收集证据。管理当局对会计报表的认定可以归结为五类：存在或发生；完整性；权力和义务；估价或分摊；表达与披露。在这些认定的基础上，注册会计师在具体的审计实务中产生了总体合理性、真实性、完整性、所有权、估价、截止、机械准确性、披露、分类等一般审计目标。由此可见，管理认定在注册会计师的具体审计行为具有非常重要的指导意义。

实际上，财务报表就是信息，注册会计师对财务报表的合法性、公允性、一贯性发表的审计意见就是对相关信息进行鉴证，在鉴证过程中，注册会计师必须对信息系统本身的安全性、保密性、完整性及其实现企业目标的有效性进行审计。在对信息系统的审计中，信息的评价标准在指导具体的IS审计行为中具有管理认定对注册会计师审计类似的指导意义。COBIT提出的如下表的信息评价标准值得注册会计师借鉴。为使信息达到标准，信息系统的组织规划、信息获取和系统实施、服务与支持、信息系统监控都要有一套合理的控制目标和标准，这就成为注册会计师对信息系统输，出的财务报告发表意见的具体审计目标。COBIT把以上目标以34个IT过程方式进行了描述，就产生了34个高级控制目标，并成为审计人员进行审计评价时的参考标准。

四、信息系统环境下注册会计师的行为选择

（一）一般控制与应用控制的符合性测试评价在信息系统环境下，注册会计师的审计不管采用绕过计算机的审计还是通过计算机的审计，都需对内部控制进行测试。信息系统中建立了许多新的控制措施，许多内部控制是建立在计算机的程序中。信息系统条件下的内部控制包括一般控制和应用控制，注册会计师可参考COBIT标准来识别、研究、审查、评价这些新的内部控制。如果注册会计师对信息技术和COBIT的标准不熟悉，聘任IT审计师或信息系统专家一同工作可能是最好的选择。此外，查阅内部审计报告和征询内部审计人员的意见、查阅和分析管理报告、软件控制测试等也可作为内部控制测试的辅助方法选择。

（二）业务与信息风险的评价信息系统的附加业务风险主要来源于信息系统的安全，尤其在IT业务外包、电子商务、ERP（企业资源计划）和BPR（企业过程重组）、网络金融环境下。在对这些单位实施审计时，注册会计师必须注重对相关合同的审查，要评价系统提供方或服务提供方的技术水平、服务能力和未来业务的可持续性，并审查系统的形成和服务过程。

（三）网络环境的测试越来越多的组织采用网络系统，网络系统具有责任分散、系统风险加大、控制内容复杂化、系统资源多样化的特点。对于网络系统，注册会计师应将系统安全性作为审计的第一目标，一般来说，注册会计应该采用计算机辅助审计工具和技术CAATTs，更多依赖内部审计人员提供的证据，不断更新审计测试的方法和内容，进一步加强对数据的完整性检验。

（四）数据文件的实质性测试信息系统环境下的数据记录庞大，纸质原始凭证由于联机数据采集而不复存在，注册会计师在实质性测试中应采用计算机的数据式审计模式。信息系统环境下系统高集成度、数据的一致性，为利用多种计算机软件工具提高审计效率创造了极好的条件，注册会计师可利用比较成熟的数据挖掘技术、联机分析处理（OLAP）、审计模型构建和共享技术来广泛获取审计线索和搜集审计证据。注册会计师审计的重点转移到企业的明细信息，审计团队更紧密的合作成为必然，审计模型和审计经验成为被更多注册会计师共享的资源。