一、美国IT审计的现状
以计算机为代表的信息技术(information technology,以下简称IT)的兴起和企业对核心竞争力的追求,导致了IT系统在处理、存贮、交换信息等方面的广泛运用。现在,企业各阶层的员工在他们的日常工作中都会运用到该系统,最明显的例证是传统的手工账册已被流行的电子簿记取而代之。事实上,几乎所有的公司都在某种程度上依赖IT设定他们的经营目标、形成财务报告。由此而产生一个问题是:如何在新环境下保持和提高独立审计的效率和效果?在过去的几年内,美国注册会计师协会(AICPA)下属的审计准则委员会(ASB)一直关注IT对独立审计的影响。2001年4月,ASB发布了第94号准则:《IT对CPA评价内部控制的影响》,该准则是作为SAS(审计准则公告) no.55的"补丁公告"推出的,它对下列三方面问题做出了规范:IT对企业内部控制的影响;IT对CPA了解内部控制的影响;IT对CPA评价审计风险的影响。SAS no.94将于2001年6月1日开始执行。
SAS no.94在总则中明确提醒执业注册会计师(CPA):该准则不仅适用于IT系统复杂,规模庞大的企业,同时也适用于中小规模的企业,其原因在于IT对内部控制的影响源自IT系统本身的属性及其影响的复杂性,而并非企业规模的大小。
二、SAS no.94的主要内容
1.IT和企业的内部控制
SAS no.94认为,IT在企业中的动用可能对内部控制的5个组成要素产生影响:控制环境、风险评估、控制活动、会计记录、信息交换及监控。该准则为CPA指出了当今企业所依赖IT系统的主要方面:(1)企业可能以不同的方式运用IT系统,包括运用相互独立的系统支持某一特殊单元或运用复杂的高度集成化的系统来共享数据,支持企业的财务报告、财务运行等。(2)企业可能使用IT系统去确认、计量、记录、报告企业所发生的交易。(3)随着企业信息处理"e化"的发展,企业的业务流程也会随之变化。(4)在多数IT系统中,内部控制都是人工和自动化的结合体,而且人工控制可能独立于IT系统,需要从IT系统中导入信息并监控该系统是否有效运行。
IT系统既可能给企业的内部控制带来便利,也可能带来风险,针对上述两方面情况,SAS no.94都给出了实例,它所描绘的IT系统下审计的全景是:CPA的客户使用IT来达到他们的目标;客户对IT系统的运用会影响CPA审计所依赖的内部控制;CPA审计时面对的是电子簿记而非手工账册。
2.CPA对IT的考虑
SAS no.55要求CPA在具体实施审计之前,必须对IT系统下的内部控制获得足够的了解,对此SAS no.94没有异议,然而,它要求CPA必需考虑企业IT的运用会对其审计策略产生何种影响。审计策略的一个重要影响在于CPA是否设计并执行符合性测试来评估控制风险水平抑或直接评价控制风险为最高水平并实施实质性测试。该准则强调:如果CPA只拟进行实质性测试,那么这种测试一定要是有效的。
当许多支持财务报表认定的信息都与IT系统相关时,CPA就须考虑:仅仅依靠对这些认定执行实质性测试,就想把检查风险降低到可接受水平的想法,不仅是不现实的,而且是不可能的。在这种情况下,CPA需要获得充分适当的审计证据表明内部控制的设计和运行都是有效的,藉此来降低控制风险的评估水平。
该准则认为:随着企业对IT系统依赖性的增大,CPA可获取审计证据的质量对IT系统下内部控制的设计和运行的有效程度的依赖性也在增大,针对这一论断,SAS no.94给出了两个实例来说明仅仅依靠实质性测试是不够的。这表明,IT的广泛运用会对交易产生诸多影响,反过来它又会使得整个企业对IT系统依赖性的增强,这就意味着CPA在执行审计时,需考虑内部控制是否有效运行,能否提供充分适当的审计证据表明相关认定没有出现重大的错误。
3.重要的IT控制
SAS no.94认为如果一个企业用IT系统来确认、计量、记录、报告某项交易或其他财务数据,那么,该系统就包括了与重要认定相关的内部控制,或者说该系统对人工系统的有效运行是极为关键的。与此同时,它对CPA经常使用的应用控制和一般控制进行了分析,指出了其中的差异并认为,这两者的各个方面与审计都是密切相关的。
在设计IT系统控制下的符合性测试时,CPA需要获得信息以说明该控制与某些认定是直接相关的以及认定所依赖的非直接控制运行是良好的。这种IT系统处理的内在一致性允许CPA缩小测试的范围。一旦CPA认为IT系统控制如设计的那样有效运行,那么他所要考虑的是实施进一步的测试,确定该内部控制是否一贯有效运行。
随着企业对IT系统及其相关内部控制依赖性的增强,CPA需要采取新的测试策略来获取审计证据表明内部控制是有效的。尽管企业的内部控制和CPA的专门测试会随技术的发展而发展,但就总体而言,SAS no.94为CPA提供了衍生新测试方法的基础框架,而这种基础框架将适用于现有的风险审计模式。
4、特殊技能
SAS no.94提出CPA需要一些特殊技能来确定IT对审计的影响,并以此来了解IT系统下的内部控制、设计和实施符合性测试或实质性测试。在某些情况下,CPA还可以利用专家工作。它同时还列出了一些要素,CPA可以通过对这些要素的权衡来确定是否在某项审计中需要这些技能以及是否需要利用专家工作。
5、财务报告程序
IT对企业及CPA的一个主要影响体现在财务报告的编制方面。大部分公司都利用IT系统来编制财务报告或者至少用它来进行总账的汇总,有许多企业在导入ERP系统后,实现了从记账、过账、调账、直至编制财务报告的自动化整合。难怪有人宣称:那种人工入记账、按月调账、手工编制工作底稿及财务报告的时代一去不复返了。
在此项准则发布之前,SAS no.55要求CPA必须取得关于IT系统足够的了解,藉此来把握编制企业财务报告的报告程序以及会计估计、会计披露程序等。然而,该准则没有对CPA需要了解的财务报告过程做出具体的规定。在这方面,SAS no.94对SAS no.55做出了修正,要求CPA须了解与企业财务报告编制及披露相关的IT程序和人工程序,具体内容如下:
(1)把交易汇总记入总分类账的程序;
(2)在总分类账中确认、记录、处理日常分录(包括重复发生基础上的标准分录以及由非正常交易和调整引起的非标准分录)的程序;
(3)在财务报告中记录重复和非重复发生的调整,例如合并会计报表抵销分录及重新确认的调整分录,而这些分录在此之前并没有在日常账务处理中得到反映的程序。
三、美国IT审计的展望
针对审计效率工作小组(ASB的下设机构)提出的若干提高审计效率的建议,ASB除了推出SAS no.94之外,还在计划着手修订现有的审计准则。与之相适应,美国注册会计师协会正考虑修订《审计指南--财务报表审计中关于内部控制的评价》以反映SAS no.94及其未来进展。因此,我们可以这样说,通过对IT审计中遇到的系统类型、内部控制和审计证据等问题进行规范,SAS no.94将审计执业水平推向一个新的高度。在这个意义上,它无疑是整个审计准则演进过程中的重要一步。