审计全流程技术操作实务指南
上QQ阅读APP看书,第一时间看更新

2.4.2 信息技术对确定审计范围的影响

不同被审计单位的业务流程和信息系统可能具有不同的特点,因此审计人员应按被审计单位各自的特点确定审计计划中包含的信息技术审计内容。另外,审计人员如果计划依赖自动控制或自动信息系统生成的信息,那么就需要适当扩大信息技术审计范围。

因此,审计人员在确定审计范围时,需要结合被审计单位业务流程复杂程度、信息系统复杂程度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂程度等五个方面,对信息技术审计范围进行重点考虑。信息技术审计范围的确定,与被审计单位在业务流程及信息系统相关方面的复杂程度成正向变动关系。在具体评估复杂程度时,可以从以下几个方面予以考虑。

1.评估业务流程的复杂程度

对业务流程复杂程度的评估并不是一个纯粹客观的过程,需要审计人员运用职业判断。审计人员可以通过考虑某流程涉及的人员及部门间的界限、某流程涉及的操作及决策活动、某流程的数据处理过程涉及的公式和数据录入操作、某流程需要对信息进行手工处理,以及对系统生成的报告的依赖程度等来对业务流程的复杂程度做出适当判断。

2.评估信息系统的复杂程度

与评估业务流程的复杂程度相类似,对企业信息系统复杂程度的评估也不是一个纯粹客观的过程,评估过程包含大量的职业判断,也受到所使用系统类型(如商业软件或自行研发系统)的影响。具体来说,评估商业软件的复杂程度时应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围以及企业化程度。对于自行研发系统复杂程度的评估,应当考虑系统复杂程度、上一次系统架构发生重大变更的时间、系统变更对财务系统的影响,以及系统变更之后的运行情况及运行期间。

3.评估信息技术环境的规模和复杂程度

评估信息技术环境的规模和复杂程度,主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式。信息技术环境复杂并不一定意味着信息系统是复杂的。在具体审计过程中,审计人员除了考虑上述复杂程度外,还需要充分考虑系统在实际应用中存在的问题,评价这些问题对审计范围的影响程度。