【问题】
注册会计师如何确定信息技术审计的范围?需要考虑哪些因素?
【简要答案】
信息技术审计范围的确定需要结合被审计单位业务流程复杂程度、信息系统复杂程度、信息技术环境规模和复杂程度三个方面。如果注册会计师计划依赖自动化控制或自动化信息系统生成的信息,就需要适当扩大信息技术审计的范围。
【政策依据】
- – 《2026年CPA审计教材》第九章《信息技术审计范围的确定》
【详细解读】
- 信息技术审计范围与业务流程及信息系统相关方面的复杂程度成正相关关系。
- 评估业务流程的复杂程度:考虑流程是否涉及过多人员和部门、是否涉及大量操作及决策活动、数据处理是否涉及复杂公式和大量数据录入、是否需要人工处理信息、对系统生成报告的依赖程度。
- 评估信息系统的复杂程度: – 商业软件:考虑系统复杂程度、参数设置范围、客制化程度 – 自行研发系统:考虑系统复杂程度、距离上次架构重大变更的时间、系统变更对财务系统的影响 – 还需考虑系统生成的交易数量、信息和复杂计算的数量
- 评估信息技术环境的规模和复杂程度:产生财务数据的信息系统数量、系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式。
- 还需考虑系统在实际应用中存在的问题,评价这些问题对审计范围的影响。
- 纳入审计计划的条件:如果被审计单位包含信息技术关键风险,且实质性程序无法完全应对该风险;或注册会计师计划依赖系统自动化控制。
【例子说明】
【例】注册会计师A需要确定对B公司的信息技术审计范围,请问需要考虑哪些因素?
1. 场景设定:B公司是一家大型零售企业,使用SAP商业软件处理财务核算,使用自研的电商平台处理销售,年交易量500万笔,设有20人的信息技术部门。
2. 规则引用:信息技术审计范围取决于业务流程复杂程度、信息系统复杂程度和信息技术环境规模。
3. 具体推导:– 业务流程复杂程度:销售流程涉及线上线下多个渠道,不同渠道定价策略不同,退货政策各异,复杂程度高 – 信息系统复杂程度:使用SAP+自研电商平台的组合,两个系统间通过接口传输数据,自研系统每年多次变更 – 信息技术环境:本地部署SAP,电商平台部署在云端,有远程登录访问 注册会计师计划依赖销售系统的自动控制来减少实质性程序范围,因此需要将信息技术审计纳入审计计划,重点测试两个系统的接口控制、自研系统的变更管理和访问权限控制。
4. 最终结论:基于B公司业务流程和信息系统的较高复杂程度,以及对自动化控制的依赖计划,注册会计师确定了较广的信息技术审计范围。