【问题】
注册会计师在不同信息技术环境下(网络环境、数据库系统、电子商务、外包)需要关注哪些特殊风险?
【简要答案】
网络环境下需关注服务器安全、数据分布同步、管理监督和兼容性问题;数据库管理系统下需关注多重使用者访问和修改共享数据的风险;电子商务下需关注交易信息被拦截、篡改或不当获取的风险;外包安排下需了解服务机构中与内部控制相关的控制以及获取相关控制运行有效性的证据。
【政策依据】
- – 《2026年CPA审计教材》第九章《不同信息技术环境下的信息管理》
【详细解读】
- 网络环境:应用软件和数据文件可能分布于不同位置但互相连接的计算机设备上,产生的问题包括服务器安全、数据分布及同步、管理监督、兼容性。
- 数据库管理系统(DBMS): – 实现不同应用软件之间的数据共享,减少数据冗余 – 带来的问题包括多重使用者能够访问和修改共享数据的风险 – 需要实施严格的数据库管理和接触控制,以及数据安全备份制度 – ERP系统实现会计部门与业务部门的数据共享
- 电子商务系统: – 交易信息在网上传输,容易被拦截、篡改或不当获取 – 会计信息系统可能与交易对方的系统相连接,产生互相依赖的风险 – 交易一方的风险部分取决于交易对手如何识别和管理其自身系统中的风险
- 外包安排: – 如果服务机构提供的服务构成被审计单位与财务报告相关的信息系统的一部分 – 应参照《中国注册会计师审计准则第1241号》的规定 – 了解服务机构中与内部控制相关的控制 – 获取相关控制运行有效性的证据
【例子说明】
【例】B公司采用了多种信息技术环境(网络环境、数据库系统、电子商务、外包),注册会计师A需要评估哪些特殊风险?
1. 场景设定:B公司使用ERP系统(数据库管理)、通过互联网销售产品(电子商务)、将信息技术运维外包给第三方服务商(外包安排)。
2. 规则引用:不同信息技术环境下存在特定的内部控制风险。
3. 具体推导:– 数据库管理方面:B公司使用ERP系统,销售、采购、财务共享同一数据库。注册会计师发现5名用户拥有数据库管理员权限,可以直接修改任何数据表,缺乏对敏感数据修改的审批控制。 – 电子商务方面:B公司通过自建网站销售产品,交易信息通过互联网传输。注册会计师发现网站使用过期版本的SSL证书,加密强度不足,存在交易数据被截获的风险。 – 外包安排方面:B公司将服务器运维外包给云服务商。注册会计师获取了服务商提供的SOC报告,但该报告仅涵盖了一般控制,未包括B公司特定配置的访问控制测试。
4. 最终结论:基于上述发现,注册会计师评估认为B公司在不同信息技术环境下存在多个风险点,需要在信息技术审计中重点关注数据库访问控制、网络传输安全和外包服务商控制的适当性。