Q130: 資訊化環境與審計
Q130-1(91/10/29):資訊化環境對審計之衝擊:b***********@yahoo.com.tw
請問電腦化的企業環境是否會對審計有重大影響? 我要看 回應內容
Q130-2(92/1/5):「控制風險」:carpente****@yahoo.com.tw
不好意思,請問一下-何謂「控制風險」?! 謝謝... 我要看 回應內容
Q130-3(92/1/10):收入及帳款之審計:mink****@ms37.hinet.net
假設有兩套軟體,一套為管理「現金收入傳票」, 另一套為管理「應收帳款收款單」,兩者皆屬「現金收入簿」,就會計理論應合併一起做「現金收入簿」,但於電腦審計中為何要分開記錄呢? 求求大家幫我解惑 我要看 回應內容
Q130-4(92/11/4):電腦處理環境下的內部控制與稽核:b894****@student.nsysu.edu.tw
你好:由於審計課探討到相關的議題,因此我想請問有關電腦資訊系統處理之下的內部控制問題。
最近審計實務指引又發出
第二號 (風險評估與內部控制-電腦資訊系統特點與考量(92.06.10發布))以及
第三號 (資訊系統環境-線上作業電腦系統(92.06.24發布)),但此已在審計公報NO.31 & 32 中有說明,為何最近又提出呢 ??
而內部控制是個相當廣泛的議題,有關電腦資訊系統之下的內控又有何較為令人矚目的重點??
謝謝你的解惑 李同學 我要看 回應內容-------------------------------------------------------
編按:
審計準則公報
第三十一號
電腦資訊系統環境下執行查核工作之考量
86.09.09發布
第三十二號
內部控制之考量
87.12.22發布
審計實務指引
第一號
資訊系統環境-單機作業之個人電腦
91.10.01發布
第二號
風險評估與內部控制-電腦資訊系統特點與考量
92.06.10發布
第三號
資訊系統環境-線上作業電腦系統
92.06.24發布
第四號
資訊系統環境-資料庫系統
92.10.07發布
相關問題請參見
Q170: 產業特性與審計
Q144: 資訊科技vs企業流程
Q075: 鼎新超級特助的稽核軌跡
Q013: 影響會計專業的十大資訊技術
Q008: 「國際電腦稽核師」(CISA)考試
相關問題
同學回應-2:[u*******@mail2.scu.edu.tw](91/11/19) 21世紀是全球商業趨向全面電子化的時代,電子商務對經濟領域的影響日益增大,亦提高了商務活動的及時性,實現了檔、資訊傳送及支付方式電子化、數位化的同時,也引起審計方法和技術、審計資訊的存儲媒介、審計範圍等產生了重大變化。電子商務對審計實務的影響主要表現在下列幾個方面:
*資料來源:摘錄自 張金城,「
電子商務對審計實務的影響」,
財務與會計,2002.11.6, ------------------------------------------- 同學回應-1:[f***.***@msa.hinet.net](91/11/17) 在資訊化時代,隨著資訊科技的發達,正在改變人類的生活,企業的經營管理和競爭優勢;而資訊科技的發展,對於會計(包括審計)的影響更是顯而易見。長久以來,「資訊」就是會計人工作的核心所在,以新的視野檢視既有的會計功能和審計方法,並進一步採取行動因應改變,乃是會計人員的新角色。當會計功能轉型之際,相對應的,審計人員也宜重新定位自己的角色功能和檢討審計方法,否則,落差越來越大,會計師也無法提供優於客戶期望的服務,會計師的專業地位將受到質疑、貶抑。 以往,審計工作的重心在下圖的右方,查核工作主要是圍繞著客戶的會計記錄和報表,甚至也要協助客戶結帳,但其實更大的查核風險是在圖的最左方,重大企業事項和交易可能不被知道和列入處理,此外,這裡也是企業經營失敗或發生舞弊情事的訊息所在。
企業審計(business audit)的觀念,強調加強對上圖最左方關於企業環境、流程和決策的瞭解,將企業的風險管理流程和內部控制的評估相聯結。理論上,當客戶的風險管理流程做越好,會計師所面臨的查核風險自然降低。 *資料來源:
同學回應-1:[912會三CAIS第8組](92/3/21) 控制風險:委託客戶發生的重大錯誤或舞弊,而客戶的內部控制無法阻止或偵知的可能性。
內部控制有許多的特殊的控制程序,可以提供: 1. 交易與活動的適當授權 2. 職務的適當劃分 3. 交易和事件有適當的文件單據與紀錄 4.
資產有效的會計責任 5. 入帳金額的適當評價 查核人員對企業內部控制結構之研究評估,由下列密切相關之部分所組成: 1. 取得對控制結構要素之了解。 2. 初步評估控制風險。 3. 針對某些聲明,實施額外的控制測試。 4. 評估最終控制風險。 5. 將控制風險與偵知風險相互關聯。 6. 設計適合偵知風險之測試。 當查核人員在工作底稿上完成內部控制的描述後,下一步即是執行控制風險的初步評估及設計而外的查核測試,步驟如下: 1. 指出客戶財務報表裡可能發生的錯誤及舞弊型態。 2. 評估客戶的控制是否有適當的設計以達成預防上述錯誤及舞弊的控制目標。 3. 當瞭解了控制的設計後,查核人員根據內部控制結構的設計及執行任何測試的結果,來評估各種錯誤和舞弊的控制風險。 4. 指出是否具有可有效率測試的額外控制,以降低特殊錯誤或舞弊的控制風險水準。 評估控制風險,是評估企業之內部控制結構預防或偵知財務報表重大誤述、有效性的過程。控制風險最後必須以財務報表聲明來評估。控制風險可以低、中度、或高度而加以表示其程度。另一方面風險亦可量化為百分比或機率。控制風險之初步評估始於查核人員對控制環境之了解及對會計制度的認識。如果管理當局對控制之態度良好,則初步評估控制風險低於最大水準的可能性,就可增加。若財務報表聲明受一個或一個以上之主要交易類別影響時,可以下列方式進行控制風險的初步評估...
查核人員執行對內部控制的測試,目的即是:降低控制風險。因此若是評估小公司時,查核人員認為進一步的測試未能大大的降低所評估的控制風險,就可能決定停止對內部控制的分析。 欲達到最大水準評估控制風險,查核人員必須取得控制有效運作的證據,因此必須對控制加以測試,在試著瞭解內部控制的設計過程中,查核人員亦能獲得一些憑證,使他們對某些類型的錯誤和舞弊以較低的控制風險來評估。 *參考書目:KELL BOYNTON ZIEGLER 著,現代審計學,第五章-控制風險 同學回應-1:[912會三CAIS第7組](92/3/21)
人工作業收現流程
人工作業應收帳款流程 在實務上,電腦作業收現、應收帳款流程與人工收現、應收帳款流程其實並無不同之處,皆是把現金收入與應收帳款分開處理。 而現金收入與應收帳款分開處理可以減少以下的舞弊及缺失:
而在電腦作業流程下其應收帳款主檔包括三種型態: 1. 只包括餘額:其內容僅記錄未到期應收帳款餘額 2. 包括餘額明細:列示應收帳款的餘額總數外,並且會將各項金額的內容詳細列示 3. 以發票為單位:當客戶針對某一特定發票付款時,是用此一種型態的應收帳款主檔是適當的。其組成方式是以個別發票構成一筆記錄的方式予以記錄。通常發票開立在貨物送出後,銷貨通知與帳單開立通知核對無誤後開立發票。發票開立亦可能在接受客戶訂單之後,立即開立發票 *參考資料:
同學回應-1:[912會三CAIS第 4 組](92/12/3) (1)審計準則公報三十二號「內部控制之考量」:談論內部控制之定義及內部控制與評估控制風險之間相互的關係。審計實務指引第二號「風險評估與內部控制-電腦資訊系統特點與考量」:本指引並非一般公認審計準則,其目的不在制定任何新基本原則或必要之查核程序,而是提供適用審計準則的實務指引,以協助查核人員在企業使用電腦資訊系統環境下,發展良好之審計實務。(第一條) 由此可知審計準則公報為查核人員必須遵循的準則,而審計實務指引提供查核人員於實務上運用電腦系統須注意之要點。 * 以下簡介審計準則公報三十二號以及審計實務指引第二號之內容: 根據審計準則公報三十二號中指出,會計師受託查核財務報表時,對受查者之內部控制之考量應以審計公報規定辦理。(第二條) 公報中說明內部控制是一種管理過程,由管理階層設計並由決策單位核准,藉以達成下列目標:1.可靠的財務報導2.營運的效率3.法令的遵循。(摘錄第七條)而內部控制又由下列相互關聯的五個要素所組成:1.控制環境2.風險評估3.控制活動4.資訊溝通5.監督。(摘錄第八條)其目標、組成要素與受查者(可能為一整體、個別營運單位或營運功能)三者之間的關係圖如下(第九條)...
內部控制有其先天限制:1.成本效益的考量2.未考量特殊之交易事項3.無法因應情況變遷4.不能完全避免人為錯誤5.串通舞弊6.管理階層逾越控制程序7.日久鬆懈。(第十五條)若受查者之控制環境良好,則能有效發揮其功能;反之,可能使其他內部控制組成要素之有效性降低。(摘錄第十六條)評估受查者內部控制是否有效預防或查出財務報表發生重大不實表達之過程,則稱為風險之評估。(摘錄第四十六條)而評估風險的過程,包括管理階層如何辨認風險、如何估計其發生之可能性與嚴重程度及其與財務報導之關連,藉以瞭解管理階層如何考量與財務報導目標有關之風險及其因應對策。(摘錄第三十條) 根據審計實務指引第二號中,指出資訊系統環境影響會計制度及相關內部控制的設計,從而可能影響整體查核計畫,包含查核人員所欲信賴之內部控制及查核程序之性質、時間及範圍,因此查核人員應瞭解並考慮資訊系統環境的特性。(第二條) 此審計實務指引第二號是運用前面審計準則公報三十二號之內容作為實務上運用的基礎,並指出在電腦資訊系統下所應注意的事項及其特性。下列所列示為審計準則公報三十二號中未提到: Ø 電腦資訊系統組織結構具有下列的特性:1.職能集中化 2.程式及資料集中化(第五條) Ø 電腦系統的應用衍生出下列特性:1.缺乏輸入文件 2.缺乏可見的交易軌跡3.缺乏可見的輸出4.易於存取資料及電腦程式(第六條) Ø 有別於人工作業在於:1.執行之一般性2.程式化的控制程序3.單筆交易影響眾多檔案4.系統自動產生交易5.儲存媒體容易受損(第七條) Ø 電腦資訊系統的一般控制:1.組織及管理控制2.應用系統開發與維護控制3.電腦操作控制4.系統軟體控制5.資料輸入及程式控制(第九條) Ø 電腦資訊系統的應用控制:1.輸入控制2.處理及電腦資料檔控制3.輸出控制(第十一條) Ø 電腦資訊系統一般控制之複核:電腦資訊系統之一般控制通常與部分或全部應用系統相關且相互依存,其係有效應用控制不可或缺之基礎,故複核應用控制前,如先複核一般控制之設計可能較有效率。(第十二條) Ø 電腦資訊系統應用控制之複核:1.使用者採行人工控制 2.系統輸出控制 3.程式化之控制程序(第十三條) (2) 審計準則公報三十一號「電腦資訊系統環境下執行查核工作之考量」:主要是在規範查核人員於電腦資訊系統環境執行查核工作時,所應遵守的事項及規定,並考量受查者電腦資訊系統環境對查核工作之影響。(第四條)此公報所稱電腦資訊系統環境,是指受查者自行或委託他人使用各類機型電腦處理財務資訊而言。(第三條)查核人員的查核目的及查核範圍不因電腦資訊系統環境而改變。 審計實務指引第三號「資訊系統環境-線上作業電腦系統」:此指引的目的不在制定任何新基本原則或必要之查核程序,而是提供適用審計準則之實務指引,以協助查核人員在企業使用線上作業電腦系統產生財務報表所需重要資訊環境下,發展良好之審計實務。資訊系統環境影響會計制度及相關內部控制之設計,從而可能影響整體查核計畫,因此查核人員應了解並考量資訊系統環境之特性。(第一條) *以下為審計準則公報三十一號以及審計實務指引第三號之差異: Ø 審計準則公報三十一號提到查核人員應具備足夠之一般性電腦資訊系統知識(第五條);而在審計實務指引第三號中,查核人員可能須具備特殊的資訊技能,此技能除需具備一般性電腦資訊系統知識外,更需要符合企業動態環境下所需之專業知識(第三條)。 Ø 審計準則公報三十一號主要是在規範查核人員於電腦資訊系統環境執行查核工作時,所應遵守的事項及規定,是假設在一個靜態環境之下所予規範、既定的事項;而相對於審計實務指引第三號所定義的是在一個動態環境之下所規範較於彈性的指引,其他實務上所發生之事若於審計實務指引中未敘述者,則依查核人員之專業知識自行判斷。 Ø 審計準則公報三十一號提到電腦資訊系統環境之風險及內部控制之特性,只大概敘述了八點,例如缺乏交易軌跡、處理程序一致、缺乏職能分工…等特性(第八條);而審計實務指引第三號則詳細敘述線上作業電腦系統的內部控制要點,包括列舉電腦資訊系統之一般控制(含資訊安全控制、電腦操作控制、系統之開發與建置控制、維護控制等),並說明應用控制對交易事項之完整性、正確性、有效性及存取限制之影響,和可能影響控制之有效性的特性(摘錄第二十二條)。審計實務指引第三號是針對審計準則公報三十一號所提到的事項再延伸作更細項的分類,例如線上作業電腦系統分為可供使用者執行的功能、所使用的終端機種類、區域網路、廣域網路、資訊之輸入方式、處理方式及產出時程。(摘錄第五條) 總結上述兩大要點敘述,我們這組覺得審計準則公報三十一號及三十二號,主要是給予查核人員所遵照之法規,其規定之事項是查核人員所需了解的一般資訊;有鑑於運用電腦資訊系統處理交易事項,對企業之影響愈趨廣泛,為協助查核人員在企業使用電腦資訊系統環境下,所發展出之良好之審計實務,所以審計實務指引第二號及第三號,是針對在資訊系統環境下對於實務所給予的指引,此為公報和實務指引之間的最主要差異。 (3) 電腦控制概觀圖... 在電腦資訊處理系統下,內部控制通常分為一般控制(General Control)及應用控制(Application Control)兩種。一般控制是針對整體電腦資訊處理系統的環境及所有活動而定的,該控制影響整個電腦資料處理系統的作業;應用控制是針對特定工作而定的,為確保電腦資訊處理系統正確地紀錄、處理及報告結果。一般控制及應用控制之比較... 當企業將資料處理導入資訊系統環境時,會增加一些新風險,為了有效減低這些新增加的風險所帶來的損失,必須引進新的審計及控制方法,其控制的目標並沒有改變,但方法卻非變不可,如達成會計控制目標的程序,就可能因為資料處理方法不同而易。在電腦化的資訊系統環境中,必須建立各項控制來減少資料重複錯誤的風險,以確保資料正確送出,這項控制及處理方法的改變,產生了新的審計方法,審計人員必須使用特別設計的軟體,以便對電腦化應用作業進行審計。一旦系統被導入作業中,審計人員就必須不斷地檢視一般控制及應用控制,這些檢視是用以保證系統支持管理當局之政策,並且產生可靠之結果。 * 電腦資訊系統的特性:
內控制度處於一個動態多變化的環境,原有的電腦資訊系統下的程式可能無法隨即因應情況改變,因此要盡可能避免人為上的疏忽、判斷錯誤或誤解內部控制的規定,並要妥善規範所有的交易,防止管理階層串通舞弊。 電腦程式如未予正確設計及測試,可能持續使交易及資料之處理發生錯誤。電腦的使用使得風險增加,帶給組織潛在的損失,要減少損失就要避免未經核准的揭露,未經核准的修改,及經核准但不正確地使用。電腦設備極為精密且脆弱,電腦資訊系統下作業的安全更須加以縝密的保護,否則可能導致設備之毀損和資料之流失,並誘使電腦犯罪之發生。安全控制在於保護電腦資源、防止災害、意外,或蓄意造成之重大事故損失。電子控制通常是以使用識別代號與安全密碼來辨認使用者,只有被核准使用的人才可以進入電腦軟體,而使用其資料。當工作輪換後,識別代碼應加以增減修正,安全密碼也應定期更換,若被未經核准使用的人進入系統中,就失去控制的意義了 *參考資料:
* 對本議題,我也有意見要表達! clift@scu.edu.tw(請註明問題代號) |