信息技术一般控制缺陷及审计应对措施.pdfVIP

审计方法 ITGC 缺陷及审计应对措施 简介 本文旨在指导注册会计师评估信息技术一般控制（ITGC）中的常见缺陷对审计程序的性质、时间安排和范 围的影响。以下指导并未穷尽项目组可能需考虑的所有因素，注册会计师需要根据职业判断确定如何适当 应对可能遇到的具体ITGC缺陷。BDO审计手册的第14章提供了有关了解和评估ITGC风险的进一步指导。 以下第一部分提供了项目组用于应对大多数ITGC缺陷相关的风险的一般考虑因素。后续部分则针对最常见 的ITGC风险提供了更多具体考虑因素，并根据UIC问卷中的相关ITGC问题对ITGC风险进行分类，以便更 有效应对识别出的缺陷。 评估ITGC缺陷/风险潜在审计影响时的一般考虑因素 由于ITGC的普遍性，可能存在一些与大多数ITGC缺陷/风险相关的考虑因素。以下为在评估ITGC缺陷或 风险对审计程序的性质、时间安排和范围的影响时，项目组的常见考虑因素列表。 总体来说，主要需要考虑以下五个问题： 1. 是否存在补偿性控制？- 是否存在减轻ITGC风险的补偿性控制？这些补偿性控制在设计和运行方面 是否足够精确以发现财务报表重大错报？ 2. 什么可能出错？- 基于受缺陷影响的IT应用程序，财务报表存在什么风险，以及这种缺陷可能导致哪 些环节出错？哪些财务报表认定可能会受到重大影响？如果ITGC在设计和运行方面无法支持计划在 审计期间使用的被审计单位生成的信息（IPE），则必须重新考虑此类IPE的完整性和准确性。如果这 些ITGC是支持CARA的，例如自动化或依赖计算机的应用控制，则注册会计师须应对这类控制的一贯 性，并重新评估相关风险。 3. 在审计期间风险是否实际发生？- 假设我们已经确定被审计单位与某些应用程序或报告相关的程序变 更控制薄弱。如果我们证实事实上该期间内这些应用程序或报告的程序未进行任何变更，则应用程序 或报告无法一贯运行的风险会充分降低，即使我们希望依赖基于该应用程序或报告的控制，也是可行 的。 4. ITGC缺陷如何影响我们的审计策略？ - 我们计划的风险应对措施是否包括实质性审计程序或补偿性 控制测试，或两者都包括？如果没有有效ITGC提供一致控制环境及支持数据完整性，则我们需重新认 真考虑是否依赖自动化或依赖计算机控制的控制测试（TOC ），或依赖未经实质性测试的IPE。 5. 我们是否已适当评估缺陷并将其与治理层进行沟通？ 回答这些问题时，可能还需考虑如下更为具体的因素，包括： • ITGC测试结果是否与特定财务报告应用程序相关，以致风险仅限于某些循环？ • 对于受ITGC测试结果影响的循环，相对于人工控制 （不受相关系统影响），该循环对自动化或依赖计 算机控制的依赖程度如何？ • 何种检查性控制 （如有）可降低因不适当或未经授权的交易处理或因财务报告应用程序变更所造成的 IT风险？例如，由某位独立于交易处理之外的人员定期复核实际与预算比较；然而，此类控制需足够 精确以识别单独或汇总可能对财务报表有重大影响的错报。 • 总账控制或其他调节控制是否足以识别出不适当的程序变更或未经授权的交易处理，及调节是否使用 于或与独立于可能被修改或存在错误的系统数据以外的数据核对一致？ • 是否对交易处理的可靠性存在重大疑虑，以致审计方法基于从独立第三方获取绝大部分审计证据的实 质性程序更为适当？ ITGC常见缺陷及评估潜在审计影响时的具体考虑因素 除上述一般考虑因素之外，以下列示了ITGC常见缺陷及项目组在评估ITGC风险对审计程序的性质、时间 安排和范围的影响时的具体考虑因素。 LAC1 被审计单位尚未针对授予、修改和禁用用户对相关财务应用程序及数据的访问权限，建立充分的用户管理 流程和控制。 相关风险 对审计程序的影响 在我们评估IT应用程序内存在的具体用户管理风险• 考虑评估补偿性控制的设计和运行，例如： 之前，我们需考虑如下程序和流程，这些程序和流程- 安全管理员或数据所有者定期复核应用程序的活 旨在确保仅授权人员可访问该IT应用程序，且授权访 跃用户列表，以确保其合理性和准确性。 问符合职责分离原则（SOD ）。相关风险包括： - 数据所有者定期复核敏感交易的用户访问权限。 • IT应用程序可被未经授权或恶意访问。 撤销冗余访问权限。 • 已离职员工或分