信息系统环境下的注册会计师审计
一、信息系统环境下注册会计师的审计风险 我国《注册会计师法》第21条规定了注册会计师的审计责任:“注册会计师执行审计业务,必须按照执行准则、规则确定的工作程序出具报告”。中国独立审计准则对注册会计师的审计责任也做了详细的规定:注册会计师的审计责任是指注册会计师按照独立审计准则的要求出具审计报告,并对发表的审计意见负责。由于基本会计数据及其他管理数据的庞大以及审计成本的限制,现代审计多采用评价内部控制基础上的抽样审计以获得支持财务报表的证据。在信息系统条件下,审计基础数据更加庞大和复杂,内部控制的内容与方法也发生了巨大变化,获取基础审计数据,评价新的内部控制结构的效力与证据之间的联系,这些都构成了对注册会计师的极大挑战。 我国2004年发布的《独立审计具体准则第20号——计算机信息系统环境下的审计》明确指出,注册会计师应当充分关注计算机信息系统环境对被审计单位会计信息及内部控制的影响。2006年发布的《中国注册会计师审计准则第1633号电子商务对财务报表审计的影响》第十八条指出,注册会计师应当关注审计单位是否运用适当的安全基础架构和相关控制;第32条也指出,注册会计师应当考虑被审计单位实施的信息安全政策和控制措施,是否足以防止未经授权修改会计系统或会计记录,或修改向会计系统提供数据的系统。《国际审计准则15——电子数据处理环境下的审计》明确指出,当在一个电子数据处理的环境下进行审计时,审计人员应当对约定计划中的计算机因硬件、软件和处理系统有充分的了解,并且要了解电子数据对内部控制的研究与评价和对审计程序实施的影响,包括计算机辅助审计技术。但我国的独立审计具体准则和国际审计准则都没有给出审计测试的具体评价标准,注册会计师在评价计算机信息系统的安全、正确及有效性方面遇到了很大的困难。 以上情况表明,虽然注册会计师可能无需对信息系统和信息活动提出鉴证结论和咨询意见,但必须考虑信息系统和信息活动对被审计单位的影响与重大错报的风险。因此,注册会计师在面对复杂的信息系统时必须考虑借用有效的IT标准来对被审计系统进行评价。当前国际上普遍应用的IT相关标准众多,但有关信息系统管理及如何对信息系统进行审计的标准相对比较少,对审计人员来说,COBIT对审计人员具有更强的针对性,其执业规范和操作指南对审计人员提供了重要参考价值的标准。 二、COBIT概述 COBIT(Control Objectives for Information and Related Technolo-gy)是信息系统审计及控制协会(Information Systems Audit andControl Association,ISACA)指定的关于信息技术安全及控制的通用标准,COBIT实质上已经成为国际公认的最权威的信息技术管理、控制和审计的标准。 COBIT控制目标体系是一个较完整的信息系统管理和控制的参考模型,通过将COBIT应用到信息系统的开发和实施环境中,管理人员、开发人员和审计人员可以在强化和评估信息系统的管理和控制时获得依据。COBIT主要包括六个部分的内容:执行概要、系统框架、管理指南、详细控制目标、审计指南、实施工具集等。执行概要围绕着IT控制与企业经营目标之间的关系说明了CO-B17的基本概念和原理,使得COBIT与企业活动紧密相连,具有现实的指导意义;系统框架介绍了COBIT的领域、IT过程和高层控制目标,指出了每个控制目标对信息的要求和主要对哪些信息系统资源产生影响,可以成为审计人员选择审计程序和方法的主要依据;管理指南主要阐述企业对内部IT的控制情况的自我评价,提高和改进IT过程的措施以及对IT过程性能的监控,是企业内部审计的重要参考依据之一,也是注册会计师借助于内部审计报告来评估IT控制的重要证据;详细控制目标介绍了COBIT的IT过程所包括的详细控制目标,是评价IT管理和过程的具体参考标准;审计指南从信息管理人员和审计人员的角度说明了如何实施对IT控制的检查,提出了具体的审计方法;实施工具集主要包括管理认知、IT控制诊断、实施指南、常见问题、COBIT案例研究等工具,为快速学习和运用COBIT提供丰富的素材。