第五章信息技术对审计的影响讲解内容本章与第四章“审计抽样”均属于注册会计师获取审计证据的技术方法。

第一编审计基本原理结构简图本章考情分析纵观最近五年的试题，本章内容仅在2012年考查了“信息系统审计关联范围（2015年教材P101，表5-1）”的知识点（单选题，1分）。

由于2015年本章教材内容进行了大幅度的修订，本章知识点在2015年的可考程度增大，预测考试分值可能为2分左右。

本章教材变化2015年本章教材几乎被重新编写（在给节的考点中，已详细标明）。

本章核心考点解读本章内容第一节信息技术对内部控制的影响（有修订）第二节评估信息技术的风险（教材内容未变）第三节信息技术中的一般控制和应用控制测试（有新增）第四节信息技术对审计过程的影响（有新增）第五节计算机辅助审计技术和电子表格的运用（有新增）第六节不同信息技术环境下的问题（有新增）第一节信息技术对内部控制的影响【考点一】对信息技术的考虑（一）在计算机产生以前1.在计算机产生以前，企业内部的信息处理最初是以手工处理的方式进行的。

2.一个企业的会计部门，通过不同岗位之间的分工协作，将日常经营活动中产生的财务资料进行加工处理，形成企业内部和外部需要的各种纸质会计信息。

这种情况下的审计方式毫无疑问是手工的形式。

（二）随着计算机的普及尤其是微型计算机的大众化随着计算机的普及尤其是微型计算机的大众化，一些企业开始用计算机来处理部分会计资料。

例如，工资管理程序、存货管理程序等，逐步用机器替代了部分人工劳动。

但由于计算机处理的范围还比较小，注册会计师可以忽略计算机的存在，直接对打印出来的纸质文档进行审计。

（三）会计信息技术化的大规模普及1.由于会计信息技术化的大规模普及，大部分企业的会计处理已经实现信息化。

2.注册会计师开始意识到信息技术审计的重要性，但这时人们对信息技术审计的认识还停留在对财务数据的采集和分析阶段，注册会计师仍然可以绕过信息系统，对财务数据和报表进行核实，以获取审计证据。

（四）伴随着会计信息技术化的成熟1.伴随着会计信息技术化的成熟，以ERP为代表的企业信息系统的高度集成逐渐开始兴起。

2.这时的企业信息系统已不仅仅是一个孤立的系统，而是集财务、人事、供销、生产为一体的综合性系统，财务信息只是这个系统所处理信息的一部分，因此，注册会计师必须在规划和执行审计工作时对企业信息技术进行全面考虑。

【考点二】信息技术与财务报告的关系（一）有效的信息系统实现的功能有效的信息系统需要实现下列功能并保留记录结果：1.识别和记录全部授权交易；2.及时、详细记录交易内容，并在财务报告中对全部交易进行适当分类；3.衡量交易价值，并在财务报告中适当体现相关价值；4.确定交易发生期间，并将交易记录在适当的会计期间；5.将相关交易信息在财务报告中作适当披露。

（二）考虑信息的特征1.注册会计师在进行财务报表审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则必须考虑相关信息和报告的质量，而财务报告相关的信息质量是通过交易的录入到输出整个过程中适当的控制来实现的。

2.注册会计师需要在整个过程中考虑信息的准确性、完整性、授权体系及访问权限制等四个方面特征。

【考点三】信息技术对内部控制的积极影响（教材内容修订）（一）人工控制、信息系统对控制的影响（教材P95）1.在信息技术环境下，传统的人工控制越来越多地被自动控制所替代。

2.如果被审计单位采用信息系统处理业务，并不意味着人工控制被完全取代。

3.信息系统对控制的影响，取决于被审计单位对信息系统的依赖程度。

4.在基于信息技术的信息系统中，系统进行自动操作来实现对交易信息的创建、记录、处理和报告，并将相关信息保存为电子形式，但相关控制活动也可能同时包括手工的部分。

5.由于被审计单位信息技术的特点及复杂程度不同，被审计单位的手工及自动控制的组合方式往往会有所区別。

（二）在信息技术环境下，自动控制能为企业带来的好处（5个方面）1.自动控制能够有效处理大流量交易及数据，因为自动信息系统可以提供与业务规则一致的系统处理方法；2.自动控制比较不容易被绕过；3.自动信息系统、数据库及操作系统的相关安全控制可以实现有效的职责分离；4.自动信息系统可以提高信息的及时性、准确性，并使信息变得更易获取；5.自动信息系统可以提高管理层对企业业务活动及相关政策的监督水平。

第二节评估信息技术的风险（教材内容未变）【考点一】信息技术与内部控制目标随着信息技术的发展，内部控制虽然在形式及内涵方面发生了变化，但内部控制的目标并没有发生改变。

内部控制目标包括：1.提髙管理层决策制定的效果和业务流程的效率（相当于“经营目标”）；2.提高会计信息的可靠性（相当于“报告目标”）；3.促进企业遵守法律和规章（相当于“遵循目标”）。

内部控制的目的根据15年教材P136 内部控制目标与要素【考点二】信息技术对内部控制产生的特别风险信息技术在改造被审计单位内部控制的同时，也产生了特定的风险：1.信息系统或相关系统程序可能会对数据进行错误处理，也可能会去处理那些本身就错误的数据；2.自动信息系统、数据库及操作系统的相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致系统对非授权交易及虚假交易请求的拒绝处理功能遭到破坏，系统程序、系统内的数据遭到不适当的改变，系统对交易进行不适当的记录，以及信息技术人员获得超过其职责范围的过大系统权限等；3.数据丢失风险或数据无法访问风险，如系统瘫痪；4.不适当的人工干预，或人为绕过自动控制。

第三节信息技术中的一般控制和应用控制测试【考点一】信息技术中的一般控制测试1.信息技术一般控制的含义信息技术一般控制，是指为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的、对所有的应用或控制模块具有普遍影响的控制措施。

2.信息技术一般控制的环节（1）程序开发程序开发领域的目标是确保系统的开发、配置和实施能够实现管理层的应用控制目标。

（2）程序变更程序变更领域的目标是确保对程序和相关基础组件的变更是经过请求、授权、执行、测试和实施的，以达到管理层的应用控制目标。

（3）程序和数据访问程序和数据访问这一领域的目标是确保分配的访问程序和数据的权限是经过用户身份认证并经过授权的。

（4）计算机运行计算机运行这一领域的目标是确保业务系统根据管理层的控制目标完整准确地运行，确保运行问题被完整准确地识别并解决，以维护财务数据的完整性。

【考点二】信息技术中的应用控制测试1.信息技术应用控制的含义信息技术应用控制，是设计在计算机应用系统中的、有助于达到信息处理目标的控制。

2.信息技术应用控制的环节和要素信息技术应用控制一般要经过输入、处理及输出等环节。

和人工控制类似，系统自动控制关注的要素包括：完整性、准确性、存在和发生等。

各要素的主要含义如下：（1）完整性系统处理数据的完整性，例如：各系统之间数据传输的完整性、销售订单的系统自动顺序编号、总账数据的完整性等。

（2）准确性系统运算逻辑的准确性，例如，金融机构利息计提逻辑的准确性、生产企业的物料成本运算逻辑的准确性、应收账款账龄的准确性等。

（3）存在和发生信息系统相关的逻辑校验控制。

例如，限制检查、合理性检查、存在检查和格式检查等。

部分业务操作的授权管理，例如，入账审批管理的权限设定和授予、物料成本逻辑规则修改权限的设定和授予等。

【考点三】公司层面信息技术控制审计（2015年新增内容，教材P99）除信息技术一般控制和应用控制外，目前国内外企业的管理层也越来越重视公司层面的信息技术控制管理。

常见的公司层面的信息技术控制包括但不限于：1.信息技术规划的制定；2.信息技术年度计划的制定；3.信息技术内部审计机制的建立；4.信息技术外包管理；5.信息技术预算管理；6.信息安全和风险管理；7.信息技术应急预案的制定；8.信息系统框架和信息技术复杂性。

【考点四】信息技术一般控制、应用控制与公司层面控制三者之间的关系（新增内容，教材P99）（一）总体关系1.公司层面信息技术控制是公司信息技术整体控制环境，决定了信息技术一般控制和信息技术应用控制的风险基调；2.信息技术一般控制是基础，信息技术一般控制的有效与否会直接关系到信息技术应用控制的有效性是否能够信任。

（二）公司层面信息技术控制是公司信息技术整体控制环境1.公司层面信息技术控制要素公司层面信息技术控制情况代表了该公司信息技术控制的整体环境，包括该公司对于信息技术的重视程度和依赖程度、信息技术复杂性、对于外部信息技术资源的使用和管理情况、信息技术风险偏好等。

2.公司层面信息技术控制影响信息技术一般控制和信息技术应用控制公司层面信息技术控制要素会影响该公司的信息技术一般控制和信息技术应用控制的部署和落实。

例如，如果某公司使用了较多的信息技术外部资源和服务，则可能会相应地提高外部用户管理和外联接口失效的风险，因此需要更多关注信息技术一般控制领域内的用户管理类控制，特别是外部用户管理机制，以及信息技术应用控制的外部系统接口管理机制等。

（三）注册会计师需要了解公司的信息技术整体控制环境根据目前信息技术审计的业内最佳实践，注册会计师在执行信息技术一般控制和信息技术应用控制审计之前，会首先执行配套的公司层面信息技术控制审计，以了解公司的信息技术整体控制环境，并基于此是识别出信息技术一般控制和信息技术应用控制的主要风险点以及审计重点。

（四）信息技术一般控制的缺陷影响信息技术应用控制1.编辑检查功能的信息技术一般控制的缺陷如果在带有关键的编辑检查功能的应用系统所依赖的计算机环境中发现了信息技术一般控制的缺陷，注册会计师可能就不能信赖上述编辑检查功能按设计发挥作用。

例如，程序变更控制缺陷可能导致未授权人员对检查录入数据字段格式的变成逻辑进行修改，以至于系统接受不准确的录入数据。

2.安全和访问权限信息技术一般控制的缺陷与安全和访问权限相关的控制缺陷可能导致数据录入不恰当地绕过合理性检查，而该合理性基础本来应能是系统拒绝处理金额超过最大容差范围的支付操作。

第四节信息技术对审计过程的影响【考点一】信息技术审计范围的确定（有新增内容）【考点二】一般控制对控制风险的影响（新增内容）【考点三】 IT控制对控制风险和实质性程序的影响（新增内容）【考点四】在不太复杂IT环境下的审计（新增内容）【考点五】在较为复杂IT环境下的审计（新增内容）【考点一】信息技术审计范围的确定（有新增内容）（一）总体要求（掌握基本观点）（二）评估业务流程的复杂度（5因素）（三）评估信息系统的复杂度（3因素）（四）信息技术环境的规模和复杂度（7因素）（五）信息系统审计关联范围（4种情形）（六）了解与审计相关的信息技术一般控制和应用控制要求（一）总体要求（掌握基本观点）1.如果注册会计师计划依赖自动控制或自动信息系统生成的信息，那么他们就需要适当扩大信息技术审计的范围。