(2004/09/24更新)

Q130: 資訊化環境與審計

Q130-1(91/10/29):資訊化環境對審計之衝擊:b***********@yahoo.com.tw

 請問電腦化的企業環境是否會對審計有重大影響?   我要看 回應內容


Q130-2(92/1/5):「控制風險」:carpente****@yahoo.com.tw

 不好意思,請問一下-何謂控制風險?! 謝謝...   我要看 回應內容


Q130-3(92/1/10):收入及帳款之審計:mink****@ms37.hinet.net

 假設有兩套軟體,一套為管理現金收入傳票, 另一套為管理應收帳款收款單,兩者皆屬現金收入簿,就會計理論應合併一起做現金收入簿,但於電腦審計中為何要分開記錄呢? 求求大家幫我解惑   我要看 回應內容


Q130-4(92/11/4):電腦處理環境下的內部控制與稽核:b894****@student.nsysu.edu.tw

你好:由於審計課探討到相關的議題,因此我想請問有關電腦資訊系統處理之下的內部控制問題
最近審計實務指引又發出
第二號 (風險評估與內部控制-電腦資訊系統特點與考量(92.06.10發布))以及
第三號 (資訊系統環境-線上作業電腦系統(92.06.24發布)),但此已在審計公報NO.31 & 32 中有說明,為何最近又提出呢 ??
而內部控制是個相當廣泛的議題,有關電腦資訊系統之下的內控又有何較為令人矚目的重點??
謝謝你的解惑  
李同學   我要看 回應內容

-------------------------------------------------------

編按:

審計準則公報

第三十一號

電腦資訊系統環境下執行查核工作之考量

86.09.09發布

第三十二號

內部控制之考量

87.12.22發布

審計實務指引

第一號

資訊系統環境-單機作業之個人電腦

91.10.01發布

第二號

風險評估與內部控制-電腦資訊系統特點與考量

92.06.10發布

第三號

資訊系統環境-線上作業電腦系統

92.06.24發布

第四號

資訊系統環境-資料庫系統

92.10.07發布


相關問題請參見

相關問題

Q130-1

同學回應-[u*******@mail2.scu.edu.tw](91/11/19)

 21世紀是全球商業趨向全面電子化的時代,電子商務對經濟領域的影響日益增大,亦提高了商務活動的及時性,實現了檔、資訊傳送及支付方式電子化、數位化的同時,也引起審計方法和技術、審計資訊的存儲媒介、審計範圍等產生了重大變化。電子商務對審計實務的影響主要表現在下列幾個方面:

  • 對審計重要程度的影響

  • 對審計風險的影響

  • 對審計軌跡的影響

  • 對審計內容的影響

  • 對審計方法與技術的影響

  • 對審計人員素質的影響

  • 對查核程式和審計準則的影響

  • 對審計立法的影響

*資料來源:摘錄自 張金城,「 電子商務對審計實務的影響」, 財務與會計,2002.11.6,
       
http://www.chinaacc.com/new/2002_11/21106100312.htm

陳專塗 審校 91/11/19 

-------------------------------------------

同學回應-1:[f***.***@msa.hinet.net](91/11/17)

 在資訊化時代,隨著資訊科技的發達,正在改變人類的生活,企業的經營管理和競爭優勢;而資訊科技的發展,對於會計(包括審計)的影響更是顯而易見。長久以來,「資訊」就是會計人工作的核心所在,以新的視野檢視既有的會計功能和審計方法,並進一步採取行動因應改變,乃是會計人員的新角色。當會計功能轉型之際,相對應的,審計人員也宜重新定位自己的角色功能和檢討審計方法,否則,落差越來越大,會計師也無法提供優於客戶期望的服務,會計師的專業地位將受到質疑、貶抑。

 以往,審計工作的重心在下圖的右方,查核工作主要是圍繞著客戶的會計記錄和報表,甚至也要協助客戶結帳,但其實更大的查核風險是在圖的最左方,重大企業事項和交易可能不被知道和列入處理,此外,這裡也是企業經營失敗或發生舞弊情事的訊息所在。

 企業審計(business audit)的觀念,強調加強對上圖最左方關於企業環境、流程和決策的瞭解,將企業的風險管理流程和內部控制的評估相聯結。理論上,當客戶的風險管理流程做越好,會計師所面臨的查核風險自然降低。

*資料來源:

  • 摘錄自 王景益,「從十倍速變革與數位神經化談企業審計的轉型」,會計研究月刊,第153期,頁810

陳專塗 審校 91/11/18 


Q130-2

同學回應-:[912會三AIS第8組](92/3/21)

控制風險:委託客戶發生的重大錯誤或舞弊,而客戶的內部控制無法阻止或偵知的可能性。

內部控制有許多的特殊的控制程序,可以提供: 1. 交易與活動的適當授權 2. 職務的適當劃分 3. 交易和事件有適當的文件單據與紀錄 4. 資產有效的會計責任 5. 入帳金額的適當評價
若客戶的內部控制能確實的做到,則控制風險即可降低。

查核人員對企業內部控制結構之研究評估,由下列密切相關之部分所組成: 1. 取得對控制結構要素之了解。 2. 初步評估控制風險。 3. 針對某些聲明,實施額外的控制測試。 4. 評估最終控制風險。 5. 將控制風險與偵知風險相互關聯。 6. 設計適合偵知風險之測試。

當查核人員在工作底稿上完成內部控制的描述後,下一步即是執行控制風險的初步評估及設計而外的查核測試,步驟如下: 1. 指出客戶財務報表裡可能發生的錯誤及舞弊型態。 2. 評估客戶的控制是否有適當的設計以達成預防上述錯誤及舞弊的控制目標。 3. 當瞭解了控制的設計後,查核人員根據內部控制結構的設計及執行任何測試的結果,來評估各種錯誤和舞弊的控制風險。 4. 指出是否具有可有效率測試的額外控制,以降低特殊錯誤或舞弊的控制風險水準。

評估控制風險,是評估企業之內部控制結構預防或偵知財務報表重大誤述、有效性的過程。控制風險最後必須以財務報表聲明來評估。控制風險可以低、中度、或高度而加以表示其程度。另一方面風險亦可量化為百分比或機率。控制風險之初步評估始於查核人員對控制環境之了解及對會計制度的認識。如果管理當局對控制之態度良好,則初步評估控制風險低於最大水準的可能性,就可增加。若財務報表聲明受一個或一個以上之主要交易類別影響時,可以下列方式進行控制風險的初步評估...

 

查核人員執行對內部控制的測試,目的即是:降低控制風險。因此若是評估小公司時,查核人員認為進一步的測試未能大大的降低所評估的控制風險,就可能決定停止對內部控制的分析。

欲達到最大水準評估控制風險,查核人員必須取得控制有效運作的證據,因此必須對控制加以測試,在試著瞭解內部控制的設計過程中,查核人員亦能獲得一些憑證,使他們對某些類型的錯誤和舞弊以較低的控制風險來評估。

下面以圖表說明查核人員對內部控制的研究...

*參考書目:KELL BOYNTON ZIEGLER 著,現代審計學,第五章-控制風險

陳專塗 審校 92/3/22 


Q130-3

同學回應-:[912會三AIS第7組](92/3/21)

人工作業收現流程
與銷貨有關的收現流程分為三個步驟1.收現2.存入銀行3.記帳。主要重點控制在於收到現金,現金存款的處理,以及過入分類帳的部分

人工作業應收帳款流程
應收帳款處理是指更新應收帳款明細帳,這是介於銷售和收現之間的流程,與應收帳款的金額是否正確,關係十分重大。應收帳款處理可分為四個步驟:1.記錄應收帳款2.過帳到總分類帳3.銷貨退回或折讓之處理4.壞帳沖銷處理

在實務上,電腦作業收現、應收帳款流程與人工收現、應收帳款流程其實並無不同之處,皆是把現金收入與應收帳款分開處理。

而現金收入與應收帳款分開處理可以減少以下的舞弊及缺失:

  1. 賒銷給不願意支付或無力支付所欠款項的客戶 利用應收帳款分析客戶信用程度及過去收款情形,以建議客戶付款方式,確保公司收現良好

  2. 銷貨退回過多,或虛構銷貨退回,而未由授權之人員處理 現金存貨之實體或記錄可能因天災禍人為的錯誤而毀損

  3. 故意沖銷客戶帳戶餘額,而將所得之款項中飽私囊 利用過去客戶壞帳沖銷情形分析此次沖銷是否有異

  4. 所收到的現金可能被收發室,出納,應收帳款部門或其他人員中飽私囊 透過職能分工相互監督,收現與應收帳款分開處理,即可用現金總額比對應收帳款沖銷金額總數是否出現重大差異

  5. 所收到現金可能在過帳至應收帳款產生舞弊,是收到現金藉延後過帳的方式隱藏。職員可以扣住所收到的現金,支票,因此客戶借款有錯誤。為掩飾此錯誤,於下次收到相同現金或較大額之另一客戶的現金,支票在過到前一客戶的帳戶中,而在收到第三個客戶之現金,支票時才過帳到第二個客戶之帳上,除非該舞弊人員補回所舞弊之款項,否則該程序會永遠推行下去直到被發現為止

  6. 由未經授權之人員處理應收帳款,客戶資料,存貨記錄等

  7. 現金存貨之實體或記錄可能因天災或人為的錯誤而毀損

而在電腦作業流程下其應收帳款主檔包括三種型態:

1.      只包括餘額:其內容僅記錄未到期應收帳款餘額

2.      包括餘額明細:列示應收帳款的餘額總數外,並且會將各項金額的內容詳細列示

3.      以發票為單位:當客戶針對某一特定發票付款時,是用此一種型態的應收帳款主檔是適當的。其組成方式是以個別發票構成一筆記錄的方式予以記錄。通常發票開立在貨物送出後,銷貨通知與帳單開立通知核對無誤後開立發票。發票開立亦可能在接受客戶訂單之後,立即開立發票

*參考資料:

  • 吳琮璠,會計資訊系統兼論電腦審計,1999

  • 吳琮璠,會計資訊系統與電腦審計,1997.4,初版,第十一章

  • 陳專塗柯瓊鳳,會計資訊系統,2001.8,第四版,第九章

陳專塗 審校 92/3/22 


Q130-4

同學回應-:[912會三AIS第 4 組](92/12/3)

(1)審計準則公報三十二號「內部控制之考量」談論內部控制之定義及內部控制與評估控制風險之間相互的關係。審計實務指引第二號「風險評估與內部控制-電腦資訊系統特點與考量」本指引並非一般公認審計準則,其目的不在制定任何新基本原則或必要之查核程序,而是提供適用審計準則的實務指引,以協助查核人員在企業使用電腦資訊系統環境下,發展良好之審計實務。(第一條

由此可知審計準則公報為查核人員必須遵循的準則,而審計實務指引提供查核人員於實務上運用電腦系統須注意之要點。

    以下簡介審計準則公報三十二號以及審計實務指引第二號之內容:

根據審計準則公報三十二號中指出,會計師受託查核財務報表時,對受查者之內部控制之考量應以審計公報規定辦理。(第二條

公報中說明內部控制是一種管理過程,由管理階層設計並由決策單位核准,藉以達成下列目標1.可靠的財務報導2.營運的效率3.法令的遵循。摘錄第七條)而內部控制又由下列相互關聯的五個要素所組成:1.控制環境2.風險評估3.控制活動4.資訊溝通5.監督。(摘錄第八條)其目標組成要素受查者(可能為一整體、個別營運單位或營運功能)三者之間的關係圖如下(第九條)...

 

內部控制有其先天限制1.成本效益的考量2.未考量特殊之交易事項3.無法因應情況變遷4.不能完全避免人為錯誤5.串通舞弊6.管理階層逾越控制程序7.日久鬆懈。第十五條)若受查者之控制環境良好,則能有效發揮其功能;反之,可能使其他內部控制組成要素之有效性降低。(摘錄第十六條)評估受查者內部控制是否有效預防或查出財務報表發生重大不實表達之過程,則稱為風險之評估。(摘錄第四十六條)而評估風險的過程,包括管理階層如何辨認風險、如何估計其發生之可能性與嚴重程度及其與財務報導之關連,藉以瞭解管理階層如何考量與財務報導目標有關之風險及其因應對策。(摘錄第三十條

根據審計實務指引第二號中,指出資訊系統環境影響會計制度及相關內部控制的設計,從而可能影響整體查核計畫,包含查核人員所欲信賴之內部控制及查核程序之性質、時間及範圍,因此查核人員應瞭解並考慮資訊系統環境的特性。(第二條

審計實務指引第二號是運用前面審計準則公報三十二號之內容作為實務上運用的基礎,並指出在電腦資訊系統下所應注意的事項及其特性。下列所列示為審計準則公報三十二號中未提到:

Ø          電腦資訊系統組織結構具有下列的特性:1.職能集中化 2.程式及資料集中化(第五條

Ø          電腦系統的應用衍生出下列特性:1.缺乏輸入文件  2.缺乏可見的交易軌跡3.缺乏可見的輸出4.易於存取資料及電腦程式(第六條

Ø          有別於人工作業在於:1.執行之一般性2.程式化的控制程序3.單筆交易影響眾多檔案4.系統自動產生交易5.儲存媒體容易受損(第七條

Ø          電腦資訊系統的一般控制:1.組織及管理控制2.應用系統開發與維護控制3.電腦操作控制4.系統軟體控制5.資料輸入及程式控制(第九條

Ø          電腦資訊系統的應用控制:1.輸入控制2.處理及電腦資料檔控制3.輸出控制(第十一條

Ø          電腦資訊系統一般控制之複核:電腦資訊系統之一般控制通常與部分或全部應用系統相關且相互依存,其係有效應用控制不可或缺之基礎,故複核應用控制前,如先複核一般控制之設計可能較有效率。(第十二條

Ø          電腦資訊系統應用控制之複核:1.使用者採行人工控制 2.系統輸出控制 3.程式化之控制程序(第十三條

(2)

審計準則公報三十一號「電腦資訊系統環境下執行查核工作之考量」:主要是在規範查核人員於電腦資訊系統環境執行查核工作時,所應遵守的事項及規定,並考量受查者電腦資訊系統環境對查核工作之影響。(第四條)此公報所稱電腦資訊系統環境,是指受查者自行或委託他人使用各類機型電腦處理財務資訊而言。(第三條)查核人員的查核目的及查核範圍不因電腦資訊系統環境而改變。

審計實務指引第三號「資訊系統環境-線上作業電腦系統」:此指引的目的不在制定任何新基本原則或必要之查核程序,而是提供適用審計準則之實務指引,以協助查核人員在企業使用線上作業電腦系統產生財務報表所需重要資訊環境下,發展良好之審計實務。資訊系統環境影響會計制度及相關內部控制之設計,從而可能影響整體查核計畫,因此查核人員應了解並考量資訊系統環境之特性。(第一條

以下為審計準則公報三十一號以及審計實務指引第三號之差異:

Ø      審計準則公報三十一號提到查核人員應具備足夠之一般性電腦資訊系統知識第五條);而在審計實務指引第三號中,查核人員可能須具備特殊的資訊技能,此技能除需具備一般性電腦資訊系統知識外,更需要符合企業動態環境下所需之專業知識(第三條)。

Ø      審計準則公報三十一號主要是在規範查核人員於電腦資訊系統環境執行查核工作時,所應遵守的事項及規定,是假設在一個靜態環境之下所予規範、既定的事項;而相對於審計實務指引第三號所定義的是在一個動態環境之下所規範較於彈性的指引,其他實務上所發生之事若於審計實務指引中未敘述者,則依查核人員之專業知識自行判斷。

Ø      審計準則公報三十一號提到電腦資訊系統環境之風險及內部控制之特性,只大概敘述了八點,例如缺乏交易軌跡、處理程序一致、缺乏職能分工等特性(第八條);而審計實務指引第三號則詳細敘述線上作業電腦系統的內部控制要點,包括列舉電腦資訊系統之一般控制(含資訊安全控制、電腦操作控制、系統之開發與建置控制、維護控制等),並說明應用控制對交易事項之完整性、正確性、有效性及存取限制之影響,和可能影響控制之有效性的特性(摘錄第二十二條)。審計實務指引第三號針對審計準則公報三十一號所提到的事項再延伸作更細項的分類,例如線上作業電腦系統分為可供使用者執行的功能、所使用的終端機種類、區域網路、廣域網路、資訊之輸入方式、處理方式及產出時程。(摘錄第五條

總結上述兩大要點敘述,我們這組覺得審計準則公報三十一號及三十二號,主要是給予查核人員所遵照之法規,其規定之事項是查核人員所需了解的一般資訊;有鑑於運用電腦資訊系統處理交易事項,對企業之影響愈趨廣泛,為協助查核人員在企業使用電腦資訊系統環境下,所發展出之良好之審計實務,所以審計實務指引第二號及第三號,是針對在資訊系統環境下對於實務所給予的指引,此為公報和實務指引之間的最主要差異。

(3) 電腦控制概觀圖...

在電腦資訊處理系統下,內部控制通常分為一般控制General Control)及應用控制Application Control)兩種。一般控制是針對整體電腦資訊處理系統的環境及所有活動而定的,該控制影響整個電腦資料處理系統的作業;應用控制是針對特定工作而定的,為確保電腦資訊處理系統正確地紀錄、處理及報告結果。一般控制及應用控制之比較...

當企業將資料處理導入資訊系統環境時,會增加一些新風險,為了有效減低這些新增加的風險所帶來的損失,必須引進新的審計及控制方法,其控制的目標並沒有改變,但方法卻非變不可,如達成會計控制目標的程序,就可能因為資料處理方法不同而易。在電腦化的資訊系統環境中,必須建立各項控制來減少資料重複錯誤的風險,以確保資料正確送出,這項控制及處理方法的改變,產生了新的審計方法,審計人員必須使用特別設計的軟體,以便對電腦化應用作業進行審計。一旦系統被導入作業中,審計人員就必須不斷地檢視一般控制及應用控制,這些檢視是用以保證系統支持管理當局之政策,並且產生可靠之結果。

* 電腦資訊系統的特性

  1. 執行之一致性:系統開發考量並整合所有可能發生之交易類型及情況,因其運作可用單一程式精確執行,較人工可靠。

  2. 程式化的控制程序:內建控制程序,如採用通行密碼以防範不當存取,複核電腦系統自動生產例外與錯誤報表,及複核合理性限度檢查之資料。

  3. 單筆交易影響眾多檔案:輸入一筆資料後,自動更新與該筆交易相關之全部紀錄,例如輸入出貨單,可能同時更新銷貨收入檔、應收帳款檔及存貨檔。因此,一筆錯誤之輸入可能造成不同會計科目之錯誤。

  4. 系統自動產生交易:部分交易可能無須輸入文件,即由電腦資訊系統自動產生,其交易之授權可能無法由可見之輸入文件或其他相關交易文件予以佐證,如利息可能於電腦程式中,依事先核可之條件自動計算,並計入客戶帳戶餘額。

  5. 儲存媒體易於受損:大量資料及電腦程式可能儲存於可稀釋或固定之儲存媒體(如磁片或磁帶),此等媒體易遭竊、遺失或毀損。

內控制度處於一個動態多變化的環境,原有的電腦資訊系統下的程式可能無法隨即因應情況改變,因此要盡可能避免人為上的疏忽、判斷錯誤或誤解內部控制的規定,並要妥善規範所有的交易,防止管理階層串通舞弊。

電腦程式如未予正確設計及測試,可能持續使交易及資料之處理發生錯誤。電腦的使用使得風險增加,帶給組織潛在的損失,要減少損失就要避免未經核准的揭露,未經核准的修改,及經核准但不正確地使用。電腦設備極為精密且脆弱,電腦資訊系統下作業的安全更須加以縝密的保護,否則可能導致設備之毀損和資料之流失,並誘使電腦犯罪之發生。安全控制在於保護電腦資源、防止災害、意外,或蓄意造成之重大事故損失。電子控制通常是以使用識別代號與安全密碼來辨認使用者,只有被核准使用的人才可以進入電腦軟體,而使用其資料。當工作輪換後,識別代碼應加以增減修正,安全密碼也應定期更換,若被未經核准使用的人進入系統中,就失去控制的意義了

伴隨電腦化環境而來的問題...

*參考資料:

  • 陳志男,民77,電腦審計-理論與實務,台北:三民書局,P.3 , 20~34

  • 李宗黎,民79,審計新論,P.5-10~5-11 , 5-15

  • 葉誌崇、吳祥發、劉正准、詹博能,民84,會計資訊系統,修訂版,台南:崇正出版社,P.75~81

  • 張中民、劉敏欣譯,民90,現代審計學,第七版,台灣西書出版社,P.352~353

  • 審計準則公報第三十一號,電腦資訊系統環境下執行查核工作之考量,86.09.09發布

  • 審計準則公報第三十二號,內部控制之考量,87.12.22發布

  • 審計實務指引第二號,風險評估與內部控制-電腦資訊系統特點與考量,92.06.20發布,

  • 審計實務指引第三號,資訊系統環境-線上作業電腦系統,92.06,24發布

陳專塗 審校 92/12/8 


* 對本議題,我也有意見要表達! clift@scu.edu.tw(請註明問題代號)

* 來信請注意  ......

[上一則][下一則]