四叶草人生
注册会计师应当从下列方面了解被审计单位及其环境:
(1)相关行业状况、法律环境和监管环境及其他外部因素;
(2)被审计单位的性质;
(3)被审计单位对会计政策的选择和运用;
(4)被审计单位的目标、战略以及可能导致重大错报风险的相关经营风险;
(5)对被审计单位财务业绩的衡量和评价;
(6)被审计单位的内部控制。
上述第(1)项是被审计单位的外部环境,第(2)、(3)、(4)项以及第(6)项是被审计单位的内部因素,第(5)项则既有外部因素也有内部因素。值得注意的是,被审计单位及其环境的各个方面可能会互相影响。例如,被审计单位的行业状况、法律环境与监管环境以及其他外部因素可能影响到被审计单位的目标、战略以及相关经营风险,而被审计单位的性质、目标、战略以及相关经营风险可能影响到被审计单位对会计政策的选择和运用,以及内部控制的设计和执行。因此,注册会计师在对被审计单位及其环境的各个方面进行了解和评估时,应当考虑各因素之间的相互关系。
注册会计师针对上述六个方面实施的风险评估程序的性质、时间安排和范围取决于审计业务的具体情况,如被审计单位的规模和复杂程度,以及注册会计师的相关审计经验,包括以前对被审计单位提供审计和相关服务的经验以及对类似行业、类似企业的审计经验。此外,识别被审计单位及其环境在上述各方面与以前期间相比发生的重大变化,对于充分了解被审计单位及其环境、识别和评估重大错报风险尤为重要。
了解行业状况有助于注册会计师识别与被审计单位所处行业有关的重大错报风险。
注册会计师应当了解被审计单位的行业状况,主要包括:
(1)所处行业的市场与竞争,包括市场需求、生产能力和价格竞争;
(2)生产经营的季节性和周期性;
(3)与被审计单位产品相关的生产技术;
(4)能源供应与成本;
(5)行业的关键指标和统计数据。
具体而言,注册会计师可能需要了解以下情况:
了解法律环境与监管环境的主要原因在于:
(1)某些法律法规或监管要求可能对被审计单位经营活动有重大影响,如不遵守将导致停业等严重后果;
(2)某些法律法规或监管要求(如环保法规等)规定了被审计单位某些方面的责任和义务;
(3)某些法律法规或监管要求决定了被审计单位需要遵循的行业惯例和核算要求。
注册会计师应当了解被审计单位所处的法律环境与监管环境,主要包括:
(1)会计原则和行业特定惯例;
(2)受管制行业的法规框架包括披露要求;
(3)对被审计单位经营活动产生重大影响的法律法规,包括直接的监管活动;
(4)税收政策(关于企业所得税和其他税种的政策);
(5)目前对被审计单位开展经营活动产生影响的政府政策,如货币政策(包括外汇管制)、财政政策、财政刺激措施(如政府援助项目)、关税或贸易限制政策等;
(6)影响行业和被审计单位经营活动的环保要求。
具体而言,注册会计师可能需要了解以下情况:
注册会计师应当了解影响被审计单位经营的其他外部因素,主要包括总体经济情况、利率、融资的可获得性、通货膨胀水平或币值变动等。
具体而言,注册会计师可能需要了解以下情况:
注册会计师对行业状况、法律环境与监管环境以及其他外部因素了解的范围和程度会因被审计单位所处行业、规模以及其他因素(如在市场中的地位)的不同而不同。例如,对从事计算机硬件制造的被审计单位,注册会计师可能更关心市场和竞争以及技术进步的情况;对金融机构,注册会计师可能更关心宏观经济走势以及货币、财政等方面的宏观经济政策;对化工等产生污染的行业,注册会计师可能更关心相关环保法规。注册会计师考虑将了解的重点放在对被审计单位的经营活动可能产生重要影响的关键外部因素以及与前期相比发生的重大变化上。
注册会计师应当考虑被审计单位所在行业的业务性质或监管程度是否可能导致特定的重大错报风险,考虑项目组是否配备了具有相关知识和经验的成员。
例如,建筑行业长期合同涉及收入和成本的重大估计,可能导致重大错报风险;银行监管机构对商业银行的资本充足率有专门规定,不能满足这一监管要求的商业银行可能有操纵财务报表的动机和压力。
对被审计单位所有权结构的了解有助于注册会计师识别关联方关系并了解被审计单位的决策过程。注册会计师应当了解所有权结构以及所有者与其他人员或实体之间的关系,考虑关联方关系是否已经得到识别,以及关联方交易是否得到恰当核算。例如,注册会计师应当了解被审计单位是属于国有企业、外商投资企业、民营企业,还是属于其他类型的企业,还应当了解其直接控股母公司、间接控股母公司、最终控股母公司和其他股东的构成,以及所有者与其他人员或实体(如控股母公司控制的其他企业)之间的关系。注册会计师应当按照《中国注册会计师审计准则第1323号关联方》的规定,了解被审计单位识别关联方的程序,获取被审计单位提供的所有关联方信息,并考虑关联方关系是否已经得到识别,关联方交易是否得到恰当记录和充分披露。
同时,注册会计师可能需要对其控股母公司(股东)的情况作进一步的了解,包括控股母公司的所有权性质、管理风格及其对被审计单位经营活动及财务报表可能产生的影响;控股母公司与被审计单位在资产、业务、人员、机构、财务等方面是否分开,是否存在占用资金等情况;控股母公司是否施加压力,要求被审计单位达到其设定的财务业绩目标。
良好的治理结构可以对被审计单位的经营和财务运作实施有效的监督,从而降低财务报表发生重大错报的风险。注册会计师应当了解被审计单位的治理结构。例如,董事会的构成情况、董事会内部是否有独立董事治理结构中是否设有审计委员会或监事会及其运作情况。注册会计师应当考虑治理层是否能够在独立于管理层的情况下对被审计单位事务(包括财务报告)作出客观判断。
复杂的组织结构可能导致某些特定的重大错报风险。注册会计师应当了解被审计单位的组织结构,考虑复杂组织结构可能导致的重大错报风险,包括财务报表合并、商誉减值以及长期股权投资核算等问题,以及财务报表是否已对这些问题作了充分披露。
例如,对于在多个地区拥有子公司、合营企业、联营企业或其他成员机构,或者存在多个业务分部和地区分部的被审计单位,不仅编制合并财务报表的难度增加,还存在其他可能导致重大错报风险的复杂事项,包括:对于子公司、合营企业、联营企业和其他股权投资类别的判断及其会计处理等。
了解被审计单位经营活动有助于注册会计师识别预期在财务报表中反映的主要交易类别、重要账户余额和列报。注册会计师应当了解被审计单位的经营活动。主要包括:
1. 主营业务的性质。 例如,主营业务是制造业还是商品批发与零售;是银行、保险还是其他金融服务;是公用事业、交通运输还是提供技术产品和服务等。
2. 与生产产品或提供劳务相关的市场信息。 例如,主要客户和合同、付款条件、利润率、市场份额、竞争者、出口、定价政策、产品声誉、质量保证、营销策略和目标等;
3. 业务的开展情况。 例如,业务分部的设立情况、产品和服务的交付、衰退或扩展的经营活动的详情等。
4. 联盟、合营与外包情况。
5. 从事电子商务的情况。 例如,是否通过互联网销售产品和提供服务以及从事营销活动。
6. 地区分布与行业细分。 例如,是否涉及跨地区经营和多种经营,各个地区和各行业分布的相对规模以及相互之间是否存在依赖关系。
7. 生产设施、仓库和办公室的地理位置,存货存放地点和数量。
8. 关键客户。 例如,销售对象是少量的大客户还是众多的小客户;是否有被审计单位高度依赖的特定客户(如超过销售总额10%的顾客);是否有造成高回收性风险的若干客户或客户类别(如正处在一个衰退市场中的客户);是否与某些客户订立了不寻常的销售条款或条件。
9. 货物和服务的重要供应商。 例如,是否签订长期供应合同、原材料供应的可靠性和稳定性、付款条件,以及原材料是否受重大价格变动的影响。
10. 劳动用工安排。 例如,分地区用工情况、劳动力供应情况、工薪水平、退休金和其他福利、股权激励或其他奖金安排以及与劳动用工事项相关的政府法规。
11. 研究与开发活动及其支出。
12. 关联方交易。 例如,有些客户或供应商是否为关联方;对关联方和非关联方是否采用不同的销售和采购条款。此外,还存在哪些关联方交易,对这些交易采用怎样的定价政策。
了解被审计单位投资活动有助于注册会计师关注被审计单位在经营策略和方向上的重大变化。注册会计师应当了解被审计单位的投资活动。主要包括:
1. 近期拟实施或已实施的并购活动与资产处置情况,包括业务重组或某些业务的终止。 注册会计师应当了解并购活动如何与被审计单位目前的经营业务相协调,并考虑它们是否会引发进一步的经营风险。例如,被审计单位并购了一个新的业务部门,注册会计师需要了解管理层如何管理这一新业务,而新业务又如何与现有业务相结合,发挥协同优势,如何解决原有经营业务与新业务在信息系统、企业文化等各方面的不一致。
2. 证券投资、委托贷款的发生与处置。
3. 资本性投资活动,包括固定资产和无形资产投资,近期或计划发生的变动,以及重大的资本承诺等。
4. 不纳入合并范围的投资。 例如,联营、合营或其他投资,包括近期计划的投资项目。
了解被审计单位筹资活动有助于注册会计师评估被审计单位在融资方面的压力,并进一步考虑被审计单位在可预见未来的持续经营能力。注册会计师应当了解被审计单位的筹资活动,主要包括:
1. 债务结构和相关条款,包括资产负债表外融资和租赁安排。 例如,获得的信贷额度是否可以满足营运需要;得到的融资条件及利率是否与竞争对手相似,如不相似,原因何在;是否存在违反借款合同中限制性条款的情况;是否承受重大的汇率与利率风险。
2. 主要子公司和联营企业(无论是否处于合并范围内)的重要融资安排。
3. 实际受益方及关联方。 例如,实际受益方是国内的还是国外的,其商业声誉和经验可能对被审计单位产生的影响。
4. 衍生金融工具的使用。 例如,衍生金融工具是用于交易目的还是套期目的,以及运用的种类、范围和交易对手等。
了解影响财务报告的重要政策、交易或事项,例如:
例如,本期发生的企业合并的会计处理方法某些被审计单位可能存在与其所处行业相关的重大交易,例如,银行向客户发放贷款、证券公司对外投资、医药企业的研究与开发活动等。注册会计师应当考虑对重大的和不经常发生的交易的会计处理方法是否适当。
在缺乏权威性标准或共识的领域,注册会计师应当关注被审计单位选用了哪些会计政策、为什么选用这些会计政策以及选用这些会计政策产生的影响。
如果被审计单位变更了重要的会计政策,注册会计师应当考虑变更的原因及其适当性,即考虑:
例如,当新的企业会计准则颁布施行时,注册会计师应考虑被审计的单位是否应采用新颁布的会计准则,如果采用,是否已按照新会计准则的要求做好衔接调整工作,并收集执行新会计准则需要的信息资料。
除上述与会计政策的选择和运用相关的事项外,注册会计师还应对被审计单位下列与会计政策运用相关的情况予以关注:
注册会计师应当考虑,被审计单位是否按照适用的会计准则和相关会计制度的规定恰当地进行了列报,并披露了重要事项。列报和披露的主要内容包括:财务报表及其附注的格式、结构安排、内容,财务报表项目使用的术语,披露信息的明细程度,项目在务报表中的分类以及列报信息的来源等。注册会计师应当考虑被审计单位是否已对特定事项做了适当的列报和披露。
目标是企业经营活动的指针。企业管理层或治理层一般会根据企业经营面临的外部环境和内部各种因素,制定合理可行的经营目标战略是管理层为实现经营目标采用的方法。为了实现某一既定的经营目标,企业可能有多个可行战略。例如,如果目标是在某一特定期间内进入一个新的市场,那么可行的战略可能包括收购该市场内的现有企业、与该市场内的其他企业合资经营或自行开发进入该市场。随着外部环境的变化,企业应对目标和战略作出相应的调整。
经营风险是指可能对被审计单位实现目标和实施战略的能力产生不利影响的重要状况、事项、情况、作为(或不作为)所导致的风险,或由于制定不恰当的目标和战略而导致的风险。不同的企业可能面临不同的经营风险,这取决于企业经营的性质、所处行业、外部监管环境、企业的规模和复杂程度。管理层有责任识别和应对这些风险。
不能随环境的变化而作出相应的调整固然可能产生经营风险。但是,调整的过程也可能导致经营风险。例如,为应对消费者需求的变化,企业开发了新产品。但是,开发的新产品可能会产生开发失败的风险;即使开发成功,市场需求可能不如预期,从而产生产品营销风险;产品的缺陷还可能导致企业遭受声誉风险和承担产品赔偿责任的风险。
注册会计师应当了解被审计单位是否存在与下列方面有关的目标和战略,并考虑相应的经营风险:
1. 行业发展 (例如,潜在的相关经营风险可能是被审计单位不具备足以应对行业变化的人力资源和业务专长);
2. 开发新产品或提供新服务 (例如,潜在的相关经营风险可能是被审计单位产品责任增加);
3. 业务扩张 (例如,潜在的相关经营风险可能是被审计单位对市场需求的估计不准确);
4. 新的会计要求 (例如,潜在的相关经营风险可能是被审计单位不当执行相关会计要求,或会计处理成本增加);
5. 监管要求 (例如,潜在的相关经营风险可能是被审计单位法律责任增加);
6. 本期及未来的融资条件 (例如,潜在的相关经营风险可能是被审计单位由于无法满足融资条件而失去融资机会);
7. 信息技术的运用 (例如,潜在的相关经营风险可能是被审计单位信息系统与业务流程难以融合);
8. 实施战略的影响,特别是由此产生的需要运用新的会计要求的影响。
经营风险与财务报表重大错报风险是既有联系又相互区别的两个概念。前者比后者范围更广。注册会计师了解被审计单位的经营风险有助于其识别财务报表重大错报风险。
但并非所有的经营风险都与财务报表相关,注册会计师没有责任识别或评估对财务报表没有重大影响的经营风险。
多数经营风险最终都会产生财务后果,从而影响财务报表。但并非所有的经营风险都会导致重大错报风险。经营风险可能对某类交易、账户余额和披露的认定层次重大错报风险或财务报表层次重大错报风险产生直接影响。例如,贷款客户的企业合并导致银行客户群减少,使银行信贷风险集中,由此产生的经营风险可能增加与贷款计价认定有关的重大错报风险。同样的风险,在经济紧缩时,可能具有更为长期的后果,注册会计师在评估持续经营假设的适当性时需要考虑这一问题。注册会计师应当根据被审计单位的具体情况考虑经营风险是否可能导致财务报表发生重大错报。
目标、战略、经营风险和重大错报风险之间的相互联系可举例予以说明。例如,企业当前的目标是在某一特定期间内进入某一新的海外市场,企业选择的战略是在当地成立合资公司。从该战略本身来看,是可以实现这一目标的。但是,成立合资公司可能会带来很多的经营风险,例如,企业如何与当地合资方在经营活动、企业文化等各方面协调,是否在合资公司中获得控制权或共同控制权,当地市场情况是否会发生变化,当地对合资公司的税收和外汇管理方面的政策是否稳定,合资公司的利润是否可以汇回,是否存在汇率风险等。这些经营风险反映到财务报表中,可能会因涉及对合资公司是属于子公司、合营企业或联营企业的判断问题,投资核算问题,包括是否存在减值问题、对当地税收规定的理解是否充分的问题,以及外币折算等问题,而导致财务报表出现重大错报风险。
管理层通常制定识别和应对经营风险的策略注册会计师应当了解被审计单位的风险评估过程。此类风险评估过程是被审计单位内部控制的组成部分。
小型被审计单位通常没有正式的计划和程序来确定其目标、战略并管理经营风险。
注册会计师应当询问管理层或观察小型被审计单位如何应对这些事项,以获取了解,并评估重大错报风险。
被审计单位管理层经常会衡量和评价关键业绩指标(包括财务的和非财务的)、预算及差异分析、分部信息和分支机构、部门或其他层次的业绩报告以及与竞争对手的业绩比较。此外,外部机构也会衡量和评价被审计单位的财务业绩,如分析师的报告和信用评级机构的报告。
在了解被审计单位财务业绩衡量和评价情况时,注册会计师应当关注下列信息:
内部财务业绩衡量可能显示未预期到的结果或趋势。在这种情况下,管理层通常会进行调查并采取纠正措施。与内部财务业绩衡量相关的信息可能显示财务报表存在错报风险,例如,内部财务业绩衡量可能显示被审计单位与同行业其他单位相比具有异常快的增长率或盈利水平,此类信息如果与业绩奖金或激励性报酬等因素结合起来考虑,可能显示管理层在编制财务报表时存在某种倾向的错报风险。因此,注册会计师应当关注被审计单位内部财务业绩衡量所显示的未预期到的结果或趋势、管理层的调查结果和纠正措施,以及相关信息是否显示财务报表可能存在重大错报。
如果拟利用被审计单位内部信息系统生成的财务业绩衡量指标,注册会计师应当考虑相关信息是否可靠,以及利用这些信息是否足以实现审计目标。许多财务业绩衡量中使用的信息可能由被审计单位的信息系统生成。如果被审计单位管理层在没有合理基础的情况下,认为内部生成的衡量财务业绩的信息是准确的,而实际上信息有误,那么根据有误的信息得出的结论也可能是错误的。如果注册会计师计划在审计中(如在实施分析程序时)利用财务业绩指标,应当考虑相关信息是否可靠,以及在实施审计程序时利用这些信息是否足以发现重大错报。
小型被审计单位通常没有正式的财务业绩衡量和评价程序,管理层往往依据某些关键指标,作为评价财务业绩和采取适当行动的基础,注册会计师应当了解管理层使用的关键指标。
需要强调的是,注册会计师了解被审计单位财务业绩的衡量与评价,是为了考虑管理层是否面临实现某些关键财务业绩指标的压力。此外,了解管理层认为重要的关键业绩指标,有助于注册会计师深入了解被审计单位的目标和战略。这些压力既可能源于需要达到市场分析师或股东的预期,也可能产生于达到获得股票期权或管理层和员工奖金的目标。受压力影响的人员可能是高级管理人员(包括董事会),也可能是可以操纵财务报表的其他经理人员,如子公司或分支机构管理人员可能为达到奖金目标而操纵财务报表。
在评价管理层是否存在歪曲财务报表的动机和压力时,注册会计师还应当考虑可能存在的其他情形。例如,企业或企业的一个主要组成部分是否有可能被出售;管理层是否希望维持或增加企业的股价或盈利走势而热衷于采用过度激进的会计方法;基于纳税的考虑,股东或管理层是否有意采取不适当的方法使盈利最小化;企业是否持续增长和接近财务资源的最大限度;企业的业绩是否急剧下降,可能存在终止上市的风险;企业是否具备足够的可分配利润或现金流量以维持目前的利润分配水平;如果公布欠佳的财务业绩,对重大未决交易(如企业合并或新业务合同的签订)是否可能产生不利影响;企业是否过度依赖银行借款,而财务业绩又可能达不到借款合同对财务指标的要求。这些情况都显示管理层在面临重大压力时可能粉饰财务业绩,发生舞弊风险。
寻找美食的虫
初中级审计师教材:1.上册《审计专业相关知识》审计署人力资源和社会保障部审计专业技术资格考试办公室编写。中国时代经济出版社。2.下册《审计理论与实务》审计署人力资源和社会保障部审计专业技术资格考试办公室编写。中国时代经济出版社3.《审计专业技术资格考试复习指南》 审计署考试中心编 中国时代经济出版社,高级审计师的教材:1.《社会主义市场经济理论研究》,谷书堂主编,中国审计出版社出版;。2.《财政理论研究》,苏明主编,中国审计出版社出版;3.《金融理论研究》,王国刚主编,中国审计出版社出版;4.《财务会计和财务管理理论研究》,王光远主编,中国审计出版社出版;5.《审计理论研究》,李金华主编,中国审计出版社出版;6.《审计技术和方法》,董大胜主编,中国审计出版社出版;7.《高级审计师资格考试复习指南》,审计署考试中心编,中国时代经济出版社出版。
潇潇若雨
会计与审计之间的区别: 1、产生的前提不同。 会计是为了加强经济管理,适应对劳动耗费和劳动成果进行核算和分析的需要而产生的;审计是因经济监督的需要,也是为了确定经营者或其他受托管理者的经济责任的需要而产生的。 2、两者性质不同。 会计是经营管理的重要组成部分,主要是对生产经营或管理过程进行反映和监督;审计则处于具体的经营管理之外,主要对财政、财务收支及其他经济活动的真实、合法和效益进行审查,具有外在性和独立性。 3、两者对象不同。 会计的对象主要是资金运动过程,也即是经济活动价值方面;审计的对象主要是会计资料和其他经济信息所反映的经济活动。 4、方法程序不同。 会计方法体系由会计核算、会计分析、会计检查三部分组成,包括了记账、算账、报账、用账、查账等内容,其目的是为管理和决策提供必须的资料和信息;审计方法体系由规划方法、实施方法、管理方法等组成,其目的是为了完成审计任务。 5、职能不同。 会计的基本职能是对经济活动过程的记录、计算、反映和监督;审计的基本职能是监督。 审计与会计的联系主要表现在: 审计的主要对象是会计资料及其所反映的财政、财务收支活动。 会计资料是审计的前提和基础。会计活动是经济管理活动的重要组成部分,会计活动本身就是审计监督的主要对象。我国古代的“听其会计”和西方国家的“听审”,都含有审查会计之意,检查会计资料只是审计的一种手段和方法。
中大网校回答: 一、信息系统审计的定义 随着全球信息化和审计理论的发展,信息系统审计逐渐引起人们的关注。但是到目前为止,国际上对信息系统审计还没有固定、统一的定义。国际信息系统审计委员会(ISACA)定义为“信息系统审计是一个获取并评价证据,以判断计算机系统是否能够保证资产的安全、数据的完整以及有效率利用组织的资源并有效果地实现组织目标地过程”,该协会的专家 Ron Weber 定义为“搜集并评价证据,以判断一个计算机系统(信息系统)是否有效的做到保护资产、维护数据完整、完成组织目标,同时最经济的使用资源”;1985年日本通产省情报处理开发协会信息系统审计委员会定义为“所谓信息系统审计是指由独立于审计对象的信息系统审计师站在客观的立场,对以计算机为核心的信息系统进行综合的检查、评价,向有关人员提出问题与劝告,追求系统的有效利用和故障排除,使系统更加健全”,11年后的1996年,该委员会对信息系统审计重新定义为“为了信息系统的安全、可靠与有效,由独立于审计对象的信息系统审计师,以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价,向信息系统审计对象的最高领导层,提出问题与建议的一连串的活动”。所以信息系统审计所关注的内容不单纯是对电子数据的处理,更不仅仅是财务信息,而是对企业整个信息系统的可靠性、安全性进行了解和评价,是一项通过审查与评价信息系统的规划、开发、实施、运行和维护等一系列活动,以确定信息系统运行是否安全、可靠、有效,信息系统得出的数据是否可靠准确以及数据是否能有效的存储的过程。 实施信息系统审计(ISA)的人员称为信息系统审计师(IS Auditor),我国国内称为IT审计师。国际信息系统审计与控制协会(ISACA)是国际上唯一可授权信息系统审计师的权威机构,通过考试可获得注册信息系统审计师(CISA)证书,该证书被世界各国广泛认可。 二、信息系统审计的内容和特点 国际信息系统审计协会(ISACA)规定了信息系统审计主要内容:1.信息系统审计程序。依据信息系统审计标准、准则和最佳实务等提供信息系统审计服务,以帮助组织确保其信息技术和运营系统得到保护并受控;2. IT治理(信息技术治理)。确保组织拥有适当的结构、政策、工作职责、运营管理机制和监督实务,以达到公司治理中对IT 方面的要求;3.系统和基础建设生命周期管理。系统的开发、采购、测试、实施(交付)、维护和(配置)使用,与基础框架,确保实现组织的目标;4. IT 服务的交付与支持。IT 服务管理实务可确保提供所要求的等级、类别的服务,来满足组织的目标;5. 信息资产的保护。通过适当的安全体系(如,安全政策、标准和控制),保证信息资产的机密性、完整性和有效性;6. 灾难恢复和业务连续性计划。一旦连续的业务被(意外)中断(或破环),灾难恢复计划确保(灾难)对业务影响最小化的同时,及时恢复(中断的)IT 服务。 从信息系统审计的上述定义和内容,大致归纳出信息系统审计的几个特征:一是独立性,为了确保信息系统审计的公正性与有效性,信息系统审计师必须以第三方的客观立场对以计算机为核心的信息系统进行综合的检查与评价;二是综合性,信息系统审计不仅包括审计信息系统运行的有形设施,还包括运行环境以及内部控制;三是管理特征,信息系统审计通过对信息系统安全、可靠与有效性的评价,促使企业有效率的利用组织的资源并有效果地实现组织的目标。 三、信息系统审计与传统审计之间的区别与联系 信息系统审计是传统审计的一部分,是以传统审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。 四、尽快建立起符合我国实际的信息系统审计体系 我国在信息系统审计方面还没有形成一整套体系。但是近年来,在借鉴国外有关信息系统审计经验的基础上,审计署在利用计算机信息系统开展审计工作中已经取得了一定的成果:(一)全面开展对电子数据的审计,包括会计电子数据和业务管理电子数据。采取的具体方法是:1.精确复核。运用计算机,对各种数据进行精确复核,既可以对全辖并表机构的会计报表与汇总报表进行全面复核,又可以从会计流水账逐级核对至总账,还可以将业务管理数据与会计报表数据进行复核;2.编制计算机程序进行辅助计算。可以编制计算机程序对有比例关系的项目进行计算,然后与实际记录进行比较,找出产生差异的记录;3.对一些异常会计记录和交易进行筛选和查询,为审计人员提供审计线索,主要是根据某一特征进行筛选分析,从不同角度分析可疑问题线索。(二)对被审计单位的信息系统的可靠性和内部控制进行初步的评价。主要是:1. 主要调查信息系统的使用范围,网络安全和数据的备份等情况,以保证信息系统财务数据的安全、完整;2.对信息系统的内部控制情况进行初步的调查和评价,重点是权限管理、参数表的设置和修改控制等是否有效,信息系统的使用者和系统的开发者是否分离,被审计单位对交易录入的原始数据是否实施相应的控制,信息系统的数据流和业务流程是否吻合;3.通过系统日志等文件分析一些重大事件的原因,分析对整体信息系统的影响。但是我国在全面开展信息系统审计方面还处在探索阶段,为了能够为被审计单位提出更有价值的审计建议,更好地服务欲被审计单位,保证信息系统能有效地实现企业(单位)的目标,在我国也要尽快建立起符合我国实际的信息系统审计体系。
信息系统审计是传统审计的一部分,是以传统审计理论为理论基础的,两者之间有紧密的联系,也存在一定的区别。两者的联系是:信息系统审计继承了传统审计的基本理论与方法,与传统的审计一样。在立场上,要求信息系统审计师站在独立的立场上,通过选择特定的审计对象,采用询问、检查、分析、模拟、测试等方法获得客观的审计证据,来判断其与既定标准的符合程度。在程序上,信息系统审计一般也要经过审计计划、符合性测试与实质性测试、审计报告等主要阶段来进行审计工作,实现审计目标;两者的区别也比较明显,主要表现在:首先,信息系统的审计对象不同于传统审计的财务领域,而是信息系统,包括基础设施,软硬件管理,信息安全,网络管理合通信等;其次,信息系统审计提出了更多的审计法与审计程序,这都是传统审计所不具备的,比如对某软件进行审计时,要采用技术含量相当高的测试,对网络安全审计时要采用穿透性测试(模拟成黑客进行各种攻击以验证其安全性);第三,信息系统审计不光是事后审计,主要关注系统的运行现状,在某种情况下,直接参与项目的开发或变更过程,以保证足够的控制得以顺利实施;最后,信息系统审计的咨询价值显得更高,信息化的风险很高,信息系统审计师可凭借其专门知识和实践经验,受托或主动服务于被审计单位的管理者或其业务人员,在企业信息化过程中,帮助企业建立健全内部控制制度,进行系统诊断,根据企业需求,确定信息化的目标和内容,选择合适的信息系统。
审计准则是注册会计师进行审计工作时必须遵循的行为规范,是审计人员执行审计业务,获取审计证据,形成审计结论,出具审计报告的专业标准。 审计准则是把审计实务中一般认为公正妥善的惯例加以概括归纳而形成的原则。 审计依据是审计人员在审计过程中判断被审计事项是非、优劣的准绳,是提出审计意见,作出审计决定的依据。 审计证据是指审计机关和审计人员获取的,用以证明审计事实真相,形成审计结论的证明材料。 审计准则属于外部审计依据,是审计依据的一种。审计证据是审计过程中按照审计准则必须获取的证明材料。 审计依据包括审计准则,审计准则规定必须获取充分适当的审计证据来支持审计结论。
1、审计证据是审计依据的支柱。2、审计证据是审计人员形成审计准则的基础。 3、审计证据是解除或追究被审计人经济责任的依据。4、审计证据是控制审计工作质量的关键。5、审计依据是指查明审计客体行为规范的总和,是据以作出审计结论、提出处理意见和建议的客观尺度。 6、审计依据与审计准则的关系:审计依据包含审计准则,审计准则是审计依据的重要组成部分。7、为了规范审计机关和审计人员收集、使用审计证据的行为,保证审计工作质量,制定审计准则。8、从某种意义上讲,审计活动就是收集、鉴定、综合和运用审计证据,提出审计意见和建议,作出审计结论的过程。没有审计证据,审计人员就无法了解和证实被审计事项的真实情况,无法作出审计结论。审计依据是审计人员在审计过程中用来衡量被审计事项是非优劣的准绳;是提出审计意见,作出审计决定的依据。 10、审计准则是注册会计师进行审计工作时必须遵循的行为规范,是审计人员执行审计业务,获取审计证据,形成审计结论,出具审计报告的专业标准。审计准则是把审计实务中一般认为公正妥善的惯例加以概括归纳而形成的原则。审计准则是对所进行的工作的质量和充分性的总的衡量,它与审计的依据,证据有关。
在2015年注册会计师教材《审计》P49里,函证范围是函证数量。但是,通常也可以将函证范围理解为需要实施函证的报表余额、交易金额及项目。其中:账户余额包括应收账款余额、银行存款余额其他账户余额,交易金额包括某笔重大销售业务等,项目包括金额较大的明细项目、账龄较长的明细账项目等。
会计事务所会有明确答案。
1、函证的范围和对象。 除非有充分证据表明应收账款对被审计单位财务报表而言是不重要的,或者函证很可能是无效的,否则,注册会计师应当对应收账款进行函证。如果注册会计师不对应收账款进行函证,应当在工作底稿中说明理由。如果认为函证很可能是无效的,注册会计师应当实施替代审计程序,获取充分、适当的审计证据。函证数越的多少、范围是由诸多因素决定的,主要有: (1)应收账款在全部资产中的重要性。若应收账款在全部资产中所占的比重较大。则函证的范围应相应大一些。 (2)被审计单位内部控制的强弱。若内部控制制度较健全,则可以相应减少函证世;反之,则应相应扩大函证范围。 (3)以前期间的函证结果。若以前期间函证中发现过重大差异,或欠款纠纷较多,则函证范围应相应扩大一些。 (4)函证方式的选择。若采用积极的函证方式,则可以相应减少函证量;若采用消极的函证方式,则要相应增加函证量。 一般情况下,注册会计师应选择以下项目作为函证对象:大额或账龄较长的项目;与债务人发生纠纷的项目;关联方项目;主要客户(包括关系密切的客户)项目;交易频繁但期末余额较小甚至余额为零的项目;可能产生重大错报或舞弊的非正常的项目。 2、函证的方式。 函证方式分为积极的函证方式和消极的函证方式。注册会计师可采用积极的或消极的函证方式实施函证,也可将两种方式结合使用。 (1)积极的函证方式。如果采用积极的函证方式,注册会计师应当要求被询证者在所有情况下必须回函,确认询证函所列示信息是否正确,或填列询证函要求的信息。 积极的函证方式又分为两种:一种是在询证函中列睨拟函证的账户余额或其他信息,、要求被询证者确认所函证的款项是否正确。通常认为,对这种询证函的回复能够提供可靠的审计证据。但是,其缺点是被询证者可能对所列示信息根本不加以验证就予以回函确认。为了避免这种风险,注册会计师可以采用另外一种询证函,即在询证函中不列明账户余额或其他信息。而要求被询证者填写有关信息或提供进一步信息。由于这种询证函要求被询证者做出更多的努力,可能会导致回函率降低,进而导致注册会计师执行更多的替代程序。 在采用积极的函证方式时,只有注册会计师收到回函,才能为财务报表认定提供审计证据。注册会计师没有收到回函,可能是由于被询证者根本不存在,或是由于被询证者没有收到询证函,也可能是由于询证者没有理会询证函,因此,无法证明所函证信息是否正确。 (2)消极的函证方式。如果采用消极的函证方式,注册会计师只要求被询证者仅在不同意询证函列示信息的情况下才予以回函。 在采用消极的函证方式时,如果收到回函,能够为财务报表认定提供说服力强的审计证据。未收到回函可能是因为被询证者已收到询证函且核对无误,也可能是因为被询证者根本就没有收到询证函。因此,积极的函证方式通常比消极的函证方式提供的审计证据可靠。因而在采用消极的方式函证时,注册会计师通常还需辅之以其他审计程序 当同时存在下列情况时,注册会计师可考虑采用消极的函证方式:①重大错报风险评估为低水平;②涉及大量余额较小的账户;③预期不存在大量的错误;④没有理由相信被询证者不认真对待函证。 在审计实务中,注册会计师也可将这两种方式结合使用。当应收账款的余额是由少量的大额应收账款和大最的小额应收账款构成时,注册会计师可以对所有的或抽取的大额应收账款样本采用积极的函证方式,而对抽取的小额应收账款样本采用消极的函证方式。
1. “HTTP”是干嘛用滴? 首先,HTTP 是一个网络协议,是专门用来帮你传输 Web 内容滴。 大部分网站都是通过 HTTP 协议来传输 Web 页面、以及 Web 页面上包含的各种东东(图片、CSS 样式、JS 脚本)。 2. “SSL/TLS”是干嘛用滴? SSL 是洋文“Secure Sockets Layer”的缩写,中文叫做“安全套接层”。它是在上世纪90年代中期,由网景公司设计的。(顺便插一句,网景公司不光发明了 SSL,还发明了很多 Web 的基础设施——比如“CSS 样式表”和“JS 脚本”) 为啥要发明 SSL 这个协议捏?因为原先互联网上使用的 HTTP 协议是明文的,存在很多缺点——比如传输内容会被偷窥(嗅探)和篡改。发明 SSL 协议,就是为了解决这些问题。 到了1999年,SSL 因为应用广泛,已经成为互联网上的事实标准。IETF 就在那年把 SSL 标准化。标准化之后的名称改为 TLS(是“Transport Layer Security”的缩写),中文叫做“传输层安全协议”。 很多相关的文章都把这两者并列称呼(SSL/TLS),因为这两者可以视作同一个东西的不同阶段。 3. “HTTPS”是啥意思? 解释完 HTTP 和 SSL/TLS,现在就可以来解释 HTTPS 啦。咱们通常所说的 HTTPS 协议,说白了就是“HTTP 协议”和“SSL/TLS 协议”的组合。你可以把 HTTPS 大致理解为——“HTTP over SSL”或“HTTP over TLS”(反正 SSL 和 TLS 差不多)。
一、HTTP和HTTPS之间的区别 HTTP是一种协议,全称叫作:超文本传输协议(HTTP,HyperText Transfer Protocol),是互联网上应用最为广泛的一种网络协议。所有的文件都必须遵守这个标准。 同样HTTPS也是一种超文本传送协议,(HTTPS,Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。用于安全的HTTP数据传输。 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此HTTP协议不适合传输一些敏感信息,比如信用卡号、密码等。 为了解决HTTP协议的这一缺陷,需要使用另一种协议:安全套接字层超文本传输协议HTTPS。为了数据传输的安全,HTTPS在HTTP的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并为浏览器和服务器之间的通信加密。 HTTPS和HTTP的区别主要为以下四点: 协议需要到ca申请证书,目前市面上的免费证书也不少,收费的也都比较贵。 是超文本传输协议,信息是明文传输, 则是具有安全性的ssl加密传输协议。 和使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。 的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比协议安全。
优质审计师问答知识库
