论IT审计与财报审计的深度融合

郭颖 张文鑫

一、前言

进入21世纪以来，依托于信息技术的飞速发展以及工业化与信息化的深度融合，各行各业以及各个领域的信息化都在加速推进。国家统计局2015年底发布的权威评估数据显示，截至2016年我国的信息化指数已达72.8，排名全球第25位，与基准年2005年相比取得了长足的进步。

在这样的背景下，财务信息化成为企业信息技术应用的优先着陆点，企业利用信息系统可以灵活快速地处理财务信息，持续记录资产、负债及所有者权益，进而生成和编制财务报告，以衡量和审查企业自身的财务业绩。信息系统已经代替传统的手工账本成为记录企业财务信息、编制财务报告的主要承载平台。这种方式给企业带来了越来越多的好处，当然，信息系统也会导致一些特定的财务报表错报的风险，例如：

（1）所依赖的信息系统不能正确处理数据或处理了不正确的数据；

（2）发生未经授权的访问，改变了主文档数据、改变了系统或程序、未能进行正确修改等；

（3）特权访问，不恰当的人为干预；

（4）信息技术人员的权限超越其职责范围，破坏了应有的责职分工；

（5）可能丢失数据和无法访问所需要的数据。

所以，企业在运用信息系统时，特别是财务信息化的过程，可能对企业的财务数据甚至编制财务报告都会产生重大的影响。同时，信息化的不断深入也将对企业的内部控制产生深远的影响。这样一来，作为企业聘请的外部审计师，在对企业进行财务报表以及财务报告内部控制进行审计时，就必须考虑由于信息系统而产生的影响甚至是否需要对信息系统进行审计。

在财务报表审计中，审计师对财务报表是否在所有重大方面按照适用的财务准则发表审计意见。审计师的审计是风险导向的审计，如中国注册会计师审计准则第1211号所述，注册会计师的目标是通过了解被审计单位及其环境，识别财务报表层次和认定层次的重大风险。为了达到上述目标，审计师应当了解与审计有关的内部控制，当然也应当了解与财务报告相关的信息系统，审计师更应当了解企业如何应对由于使用信息技术而导致的风险。国际审计准则第315号也有同样的要求。

信息技术给企业的会计核算和财务报告带来了巨大的改变，也给审计师执行财务报表和内部控制审计带来了很大挑战。当审计工作所涉及的信息技术领域超越了传统的审计范围时，就需要专业的信息技术审计人员的参与。信息系统专业审计人员是掌握信息技术某些特定领域专业知识的人员，他们应当具备体系化的信息技术的知识和技能，同时也掌握一定的审计理论、知识、经验和方法，以及会计、经济、管理等方面的知识和技能。同时，信息技术专业审计人员应作为审计团队的成员参与对企业财务报表的审计过程。由信息系统专业审计人员、注册会计师、审计师共同组成财务报表和内部控制审计团队，其三者具有共同的目标：发表恰当的审计意见。

具体而言，什么样的企业财务报表审计需要引入信息系统专业审计人员？引入专业的信息系统审计人员做什么？财务报表审计与信息系统审计如何相互配合？这些问题成为越来越多的审计师乃至事务所深入思考的问题。

二、确定是否需要专业信息系统审计师的介入

中国注册会计师审计准则要求审计师从以下六个方面了解与财务报告相关的信息系统：

（1）在被审计单位经营过程中，对财务报表产生重大影响的各类交易；

（2）在信息技术和人工系统中，被审计单位的交易生成、记录、处理、必要的更正、结转至总账以及在财务报表中报告的程序；

（3）用以生成、记录、处理和报告交易的会计记录、支持性信息和财务报表中的特定账户；

（4）被审计单位的信息系统如何获取交易以外的对财务报表产生重大影响的事项和情况；

（5）用于编制被审计单位财务报表的财务报告过程；

（6）与会计分录相关的控制，这些分录包括用以记录非经常性的、异常的交易或调整的非标准会计分录。

那么，对于信息系统如何影响财务报表这一问题，审计师一般需要记录和了解被审计单位对信息技术的依赖领域，例如：

（1）系统实现了哪些自动化控制；

（2）系统生成的报表/信息；

（3）系统支持了哪些自动计算；

（4）系统的权限管理和职责分离；

（5）系统之间的自动化接口。

以上这些被审计单位在业务层面依赖信息技术的主要领域，即为信息系统的应用控制和数据信息。通过回答这些问题，审计师可以评估信息技术与财务报表审计的总体相关性和相关程度。当然，对于信息技术具体细化的依赖还需要审计师在具体检查端到端的业务流程和交易中才能逐步确定。但可以肯定的是，在财务报表审计与这些信息技术高度相关且依赖的时候，应该考虑引进专业的信息系统审计人员来进行辅助。根据信息系统导致的风险不同，信息技术专业审计人员可以有不同的分工和参与程度，即：

（1）当财务报表审计相关的信息技术导致的风险程度较低时，信息技术专业审计人员为财务报表审计师提供咨询意见；

（2）当财务报表审计相关的信息技术导致的风险程度适中时，信息技术专业审计人员为财务报表审计师提供指导，帮助审计师完成信息系统相关的审计程序；

（3）当财务报表审计相关的信息技术导致的风险程度较高时，由专业的信息系统审计人员执行信息系统审计程序。

三、引入专业的信息系统审计人员做什么

1.业务层面的信息系统审计范围

既然引入了信息系统审计，就说明企业的信息系统对财务报表审计具有相关性。换个角度而言，说明财务报表的数据来源依赖于业务层面的信息系统。此时，信息系统审计人员需要通过以下方法来确定审计范围：

第一步，确定重要的财务报表科目、组成部分、重大披露；

第二步，确定财务报表审计中的重要业务流程和交易；

第三步，识别相关业务流程和交易的潜在错报风险来源；

第四步，确定用于应对这些风险的系统应用控制和数据，即重要业务流程和交易中的信息系统依赖，这些信息系统依赖就是信息系统审计的原始范围。

通过这四步判断，能够证明业务对信息系统的依赖和财务报表审计是否具有强相关性。最终是否将信息系统审计纳入审计范围仍要根据财务报表审计的整体工作策略而确定，这就会牵扯到信息系统审计人员与财务报表审计师的沟通配合问题。

因此，信息系统审计范围需要与财务报表审计整体范围统筹全盘考虑，避免闭门造车。在支持财务报表审计的过程中，信息系统审计将起到重要支撑作用，是财务报表审计整体策略的有效组成部分。

2.信息系统一般控制的审计范围

以上谈到的业务信息系统在财务报表审计中的依赖问题是属于业务层面的，涉及企业在业务流程中的应用控制及数据。为了支撑这些数据的完整性、安全性、准确性，信息系统审计人员必须进行信息系统一般控制的审计工作，从而保证建立其上的应用控制和数据可以持续有效地对财务报表提供支撑。其实这部分内容也属于企业内控审计的工作范畴。

需要特别注意的是，信息系统一般控制是一个完整的体系，其各个领域之间具有一定的相关性，同时，其各个领域互相作用才能对信息系统有效运转提供体系化的保证。因此，审计师在判断某一领域或者某个领域的某一控制环节与被审计单位是否相关时，一定要保持职业怀疑态度和审慎性，才能做出合理的判断。同时对于相关风险的判断要与时俱进，在每次执行审计工作前，需要对风险进行重新评估和判断，以识别由于被审计单位环境和控制的变化而导致的风险变化，保证审计工作符合被审计单位当时的环境和背景要求。

四、财务报表审计与信息系统审计在实际工作中如何配合

1.信息系统专业审计人员、注册会计师、审计师共同组成财务报表和内部控制审计团队

一旦确认财务报表和内控审计对于业务系统的依赖关系，就要引入专业的信息系统审计人员，只是深入的层次和程度不同。但客观来看，为了方便管理，即使在事务所内部，专业的信息系统审计团队和财务报表内控审计团队通常是存在于两个独立的团队中，甚至在两个不同的部门或板块中。一些国际知名的会计师事务所已经意识到问题的严重性，并因此实施了团队整合，将可以支持财务报表审计的专业的信息系统审计人员部分划归至财务报表审计团队，其目的就是便于协同合作，顺利完成财务报表审计。但对于很多本土事务所，由于存在对具备信息系统专业能力的人员进行资源整合的问题，同时为确保达到审计工作的专业性和三级复核机制，导致专业的信息系统审计团队大多不得不隶属于管理咨询板块。这无疑将给协同工作的审计团队合作带来物理上的壁垒，也因此更要求实际参加审计工作的人员具备专业的合作意识，甚至需在事务所的项目管理流程中固化协同工作流程、统一汇报线和复核机制，从而真正形成结合财务报表审计师和专业信息系统审计人员的审计团队，出色地完成审计任务。

2.信息系统专业审计人员入场时间的确定

第一，以被审计单位信息系统的实际情况为基础。

一般情况下，企业每年进行一次信息系统审计即可，但也不排除进行多次审计的可能性。如果被审计单位的信息系统发生了重大变化，该变化导致仅在年底进行一次信息系统审计无法验证系统变化前的相关控制和数据，则需要在原有系统被完全替代前进行一次信息系统审计。

第二，与财务报表审计整体时间契合。

正如我们一再强调，信息系统审计是财务报表审计的一个重要组成部分，因此信息系统审计也需要与财务报表审计协调一致，以确保信息系统审计的规划与财务报表审计的整体策略一致，保证信息系统审计的结果能被合理的进行评估和应用。

信息系统审计的计划应该与财务报表审计的整体计划同时制定，确保信息系统审计在财务报表整体审计中完美契合，形成审计闭环。一方面避免过度审计，进行无关信息系统审计既浪费被审计单位的时间，也是对审计资源的浪费，影响审计效率。另一方面，也要避免审计领域的审计空白区，导致审计风险出现。对于信息系统审计的现场审计工作而言，其工作结果应该在实质性审计之前完成，给财务报表整体审计策略的调整和应对留出充裕的时间。

3.信息系统专业审计人员与财务报表审计团队的沟通和确认机制

既然是财务报表审计项目，不论是财务报表审计人员还是信息系统审计人员，其目标都是一致的，那就是对企业的财务报表发表意见。这也就决定了信息系统审计为辅，其所做的一切工作均是为财务报表审计服务的。各自部分对企业实际情况进行了解和熟悉的工作后，财务报表审计人员要与信息系统审计人员进行初次沟通。这是财务报表审计需求的沟通过程，也就是在上文提到的信息系统审计人员分四步对审计范围的确认。这是一个反复沟通和循序渐进的过程，最终达到信息系统审计人员对于财务报表审计所依赖的信息系统进行识别、了解、熟悉并得到财务报表审计团队认可的目的，并可从相应的业务系统中提取出满足财务报表审计需要的数据，从而确保信息系统审计在财务报表审计中的工作顺利完成。但在具体工作中，遇到的问题往往是理解和交流无法统一，因为不同领域的审计人员的知识体系背景不一致。这就需要事务所增加培训，提高审计人员的综合素质；同时，在实际工作中尝试去理解对方的立场，找到最好的协作方式，有效利用信息系统审计这一工具的证据支撑作用，完成财务报表审计工作。