第六节 不同信息技术环境下的问题
本节在公司层面信息技术控制的范畴内,重点讨论被审计单位运用网络、数据库管理系统、电子商务、信息技术职能外包安排等不同信息技术环境下的问题。
一、网络环境
很多企业可能使用局域网或互联网将各种类型的计算机、工作站、打印机、服务器等互相连接起来。在网络环境下,用于处理交易的应用软件和数据文件可能分布于不同位置但互相连接的计算机设备上,由此产生了与内部控制相关的问题,包括对分布于不同位置的服务器的安全、数据和信息的分布及同步、管理监督以及兼容性问题。
二、数据库管理系统
数据库管理系统( Database Management System)是一种操纵和管理数据库的大型软件,用于建立、使用和维护数据库,简称DBMS。它对数据库进行统一的管理和控制,以保证数据库的安全性和完整性。使用数据库管理系统能够实现不同应用软件之间的数据共享,减少数据冗余,改进对数据的控制,提高数据的决策支撑作用。
很多被审计单位使用ERP系统实现整个单位数据库系统的整合。ERP是Enterprise Resource Planning(企业资源计划)的简称。ERP是针对物资资源管理(物流)、人力资源管理(人流)、财务资源管理(财流)、信息资源管理(信息流)集成一体化的企业管理软件。ERP系统能够实现会计部门与业务部门的数据共享。当然,数据库管理系统也带来了与内部控制相关的问题,包括多重使用者能够访问和修改共享数据的风险。因此,需要实施严格的数据库管理和接触控制,以及数据安全备份制度。
三、电子商务系统
越来越多的被审计单位采用电子商务的方式进行交易。电子商务是指在互联网开放的网络环境下,以信息技术为手段,买卖双方不谋面地进行各种商贸活动,实现消费者的网上购物、商户之间的网上交易和在线电子支付以及各种商务活动、交易活动、金融活动和相关的综合服务活动的一种新型的商业运营模式。在这种方式下,交易信息在网上传输,容易被拦截、篡改或不当获取,需要采取相应的安全控制。此外,被审计单位的会计信息系统可能与交易对方的系统相连接,产生了互相依赖的风险,即交易一方的风险部分取决于交易对手如何识别和管理其自身系统中的风险。
四、外包安排
被审计单位可能将全部或部分的信息技术职能外包给专门的应用软件服务提供商或云计算服务商等计算机服务机构。根据美国国家标准与技术研究院(NIST)的定义,云计算是一种按使用量付费的模式,这种模式提供可用的、便捷的、按需的网络访问,进入可配置的计算资源共享池(资源包括网络、服务器、存储、应用软件、服务),这些资源能够被快速提供,只需投入很少的管理工作,或与服务供应商进行很少的交互。
如果服务机构提供的服务和对服务的控制,构成被审计单位与财务报告相关的信息系统(包括相关业务流程)的一部分,注册会计师应当参照《中国注册会计师审计准则第1241号——对被审计单位使用服务机构的考虑》的规定办理。
注册会计师应当实施与服务机构活动相关的下列程序:
-
了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制;
-
获取相关控制运行有效性的证据。
注册会计师可通过以下程序获取相关控制运行有效性的证据,包括:
-
了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告;
-
测试被审计单位对服务机构活动的控制;
-
对服务机构实施控制测试。
如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告,注册会计师应当评价该报告是否提供了充分、适当的证据,以支持注册会计师的意见。
在评价时,注册会计师可能考虑下列因素:
-
对控制的测试涵盖的期间及其与管理层评估时间点的关系;
-
对控制的测试涵盖的范围、测试的控制及其与企业控制的关联度;
-
对控制的测试结果,以及服务机构注册会计师对控制运行有效性发表的意见。
网友评论