一、信息系統(tǒng)環(huán)境下注冊會計師的審計風(fēng)險

　　我國《注冊會計師法》第21條規(guī)定了注冊會計師的審計責(zé)任：“注冊會計師執(zhí)行審計業(yè)務(wù)，必須按照執(zhí)行準(zhǔn)則、規(guī)則確定的工作程序出具報告”。中國獨(dú)立審計準(zhǔn)則對注冊會計師的審計責(zé)任也做了詳細(xì)的規(guī)定：注冊會計師的審計責(zé)任是指注冊會計師按照獨(dú)立審計準(zhǔn)則的要求出具審計報告，并對發(fā)表的審計意見負(fù)責(zé)。由于基本會計數(shù)據(jù)及其他管理數(shù)據(jù)的龐大以及審計成本的限制，現(xiàn)代審計多采用評價內(nèi)部控制基礎(chǔ)上的抽樣審計以獲得支持財務(wù)報表的證據(jù)。在信息系統(tǒng)條件下，審計基礎(chǔ)數(shù)據(jù)更加龐大和復(fù)雜，內(nèi)部控制的內(nèi)容與方法也發(fā)生了巨大變化，獲取基礎(chǔ)審計數(shù)據(jù)，評價新的內(nèi)部控制結(jié)構(gòu)的效力與證據(jù)之間的聯(lián)系，這些都構(gòu)成了對注冊會計師的極大挑戰(zhàn)。

　　我國2004年發(fā)布的《獨(dú)立審計具體準(zhǔn)則第20號——計算機(jī)信息系統(tǒng)環(huán)境下的審計》明確指出，注冊會計師應(yīng)當(dāng)充分關(guān)注計算機(jī)信息系統(tǒng)環(huán)境對被審計單位會計信息及內(nèi)部控制的影響。2006年發(fā)布的《中國注冊會計師審計準(zhǔn)則第1633號電子商務(wù)對財務(wù)報表審計的影響》第十八條指出，注冊會計師應(yīng)當(dāng)關(guān)注審計單位是否運(yùn)用適當(dāng)?shù)陌踩A(chǔ)架構(gòu)和相關(guān)控制；第32條也指出，注冊會計師應(yīng)當(dāng)考慮被審計單位實施的信息安全政策和控制措施，是否足以防止未經(jīng)授權(quán)修改會計系統(tǒng)或會計記錄，或修改向會計系統(tǒng)提供數(shù)據(jù)的系統(tǒng)?！秶H審計準(zhǔn)則15——電子數(shù)據(jù)處理環(huán)境下的審計》明確指出，當(dāng)在一個電子數(shù)據(jù)處理的環(huán)境下進(jìn)行審計時，審計人員應(yīng)當(dāng)對約定計劃中的計算機(jī)因硬件、軟件和處理系統(tǒng)有充分的了解，并且要了解電子數(shù)據(jù)對內(nèi)部控制的研究與評價和對審計程序?qū)嵤┑挠绊懀ㄓ嬎銠C(jī)輔助審計技術(shù)。但我國的獨(dú)立審計具體準(zhǔn)則和國際審計準(zhǔn)則都沒有給出審計測試的具體評價標(biāo)準(zhǔn)，注冊會計師在評價計算機(jī)信息系統(tǒng)的安全、正確及有效性方面遇到了很大的困難。

　　以上情況表明，雖然注冊會計師可能無需對信息系統(tǒng)和信息活動提出鑒證結(jié)論和咨詢意見，但必須考慮信息系統(tǒng)和信息活動對被審計單位的影響與重大錯報的風(fēng)險。因此，注冊會計師在面對復(fù)雜的信息系統(tǒng)時必須考慮借用有效的IT標(biāo)準(zhǔn)來對被審計系統(tǒng)進(jìn)行評價。當(dāng)前國際上普遍應(yīng)用的IT相關(guān)標(biāo)準(zhǔn)眾多，但有關(guān)信息系統(tǒng)管理及如何對信息系統(tǒng)進(jìn)行審計的標(biāo)準(zhǔn)相對比較少，對審計人員來說，COBIT對審計人員具有更強(qiáng)的針對性，其執(zhí)業(yè)規(guī)范和操作指南對審計人員提供了重要參考價值的標(biāo)準(zhǔn)。

　　二、COBIT概述

　　COBIT（Control Objectives for Information and Related Technolo-gy）是信息系統(tǒng)審計及控制協(xié)會（Information Systems Audit andControl Association，ISACA）指定的關(guān)于信息技術(shù)安全及控制的通用標(biāo)準(zhǔn)，COBIT實質(zhì)上已經(jīng)成為國際公認(rèn)的最權(quán)威的信息技術(shù)管理、控制和審計的標(biāo)準(zhǔn)。

　　COBIT控制目標(biāo)體系是一個較完整的信息系統(tǒng)管理和控制的參考模型，通過將COBIT應(yīng)用到信息系統(tǒng)的開發(fā)和實施環(huán)境中，管理人員、開發(fā)人員和審計人員可以在強(qiáng)化和評估信息系統(tǒng)的管理和控制時獲得依據(jù)。COBIT主要包括六個部分的內(nèi)容：執(zhí)行概要、系統(tǒng)框架、管理指南、詳細(xì)控制目標(biāo)、審計指南、實施工具集等。執(zhí)行概要圍繞著IT控制與企業(yè)經(jīng)營目標(biāo)之間的關(guān)系說明了CO-B17的基本概念和原理，使得COBIT與企業(yè)活動緊密相連，具有現(xiàn)實的指導(dǎo)意義；系統(tǒng)框架介紹了COBIT的領(lǐng)域、IT過程和高層控制目標(biāo)，指出了每個控制目標(biāo)對信息的要求和主要對哪些信息系統(tǒng)資源產(chǎn)生影響，可以成為審計人員選擇審計程序和方法的主要依據(jù)；管理指南主要闡述企業(yè)對內(nèi)部IT的控制情況的自我評價，提高和改進(jìn)IT過程的措施以及對IT過程性能的監(jiān)控，是企業(yè)內(nèi)部審計的重要參考依據(jù)之一，也是注冊會計師借助于內(nèi)部審計報告來評估IT控制的重要證據(jù)；詳細(xì)控制目標(biāo)介紹了COBIT的IT過程所包括的詳細(xì)控制目標(biāo)，是評價IT管理和過程的具體參考標(biāo)準(zhǔn)；審計指南從信息管理人員和審計人員的角度說明了如何實施對IT控制的檢查，提出了具體的審計方法；實施工具集主要包括管理認(rèn)知、IT控制診斷、實施指南、常見問題、COBIT案例研究等工具，為快速學(xué)習(xí)和運(yùn)用COBIT提供豐富的素材。

　　三、COBIT信息評價標(biāo)準(zhǔn)對注冊會計師的指導(dǎo)意義

　　企業(yè)的財務(wù)報表反映了一系列有關(guān)該企業(yè)財務(wù)狀況的管理當(dāng)局認(rèn)定，注冊會計師的任務(wù)是確定這些財務(wù)報表的公允表述。為了完成這一任務(wù)，注冊會計師制定了審計目標(biāo)，確定了達(dá)到這一目標(biāo)而需要執(zhí)行的審計程序，并為證實或否定管理當(dāng)局認(rèn)定收集證據(jù)。管理當(dāng)局對會計報表的認(rèn)定可以歸結(jié)為五類：存在或發(fā)生；完整性；權(quán)力和義務(wù)；估價或分?jǐn)?；表達(dá)與披露。在這些認(rèn)定的基礎(chǔ)上，注冊會計師在具體的審計實務(wù)中產(chǎn)生了總體合理性、真實性、完整性、所有權(quán)、估價、截止、機(jī)械準(zhǔn)確性、披露、分類等一般審計目標(biāo)。由此可見，管理認(rèn)定在注冊會計師的具體審計行為具有非常重要的指導(dǎo)意義。

　　實際上，財務(wù)報表就是信息，注冊會計師對財務(wù)報表的合法性、公允性、一貫性發(fā)表的審計意見就是對相關(guān)信息進(jìn)行鑒證，在鑒證過程中，注冊會計師必須對信息系統(tǒng)本身的安全性、保密性、完整性及其實現(xiàn)企業(yè)目標(biāo)的有效性進(jìn)行審計。在對信息系統(tǒng)的審計中，信息的評價標(biāo)準(zhǔn)在指導(dǎo)具體的IS審計行為中具有管理認(rèn)定對注冊會計師審計類似的指導(dǎo)意義。COBIT提出的如下表的信息評價標(biāo)準(zhǔn)值得注冊會計師借鑒。為使信息達(dá)到標(biāo)準(zhǔn)，信息系統(tǒng)的組織規(guī)劃、信息獲取和系統(tǒng)實施、服務(wù)與支持、信息系統(tǒng)監(jiān)控都要有一套合理的控制目標(biāo)和標(biāo)準(zhǔn)，這就成為注冊會計師對信息系統(tǒng)輸，出的財務(wù)報告發(fā)表意見的具體審計目標(biāo)。COBIT把以上目標(biāo)以34個IT過程方式進(jìn)行了描述，就產(chǎn)生了34個高級控制目標(biāo)，并成為審計人員進(jìn)行審計評價時的參考標(biāo)準(zhǔn)。

　　四、信息系統(tǒng)環(huán)境下注冊會計師的行為選擇

　?。ㄒ唬┮话憧刂婆c應(yīng)用控制的符合性測試評價在信息系統(tǒng)環(huán)境下，注冊會計師的審計不管采用繞過計算機(jī)的審計還是通過計算機(jī)的審計，都需對內(nèi)部控制進(jìn)行測試。信息系統(tǒng)中建立了許多新的控制措施，許多內(nèi)部控制是建立在計算機(jī)的程序中。信息系統(tǒng)條件下的內(nèi)部控制包括一般控制和應(yīng)用控制，注冊會計師可參考COBIT標(biāo)準(zhǔn)來識別、研究、審查、評價這些新的內(nèi)部控制。如果注冊會計師對信息技術(shù)和COBIT的標(biāo)準(zhǔn)不熟悉，聘任IT審計師或信息系統(tǒng)專家一同工作可能是最好的選擇。此外，查閱內(nèi)部審計報告和征詢內(nèi)部審計人員的意見、查閱和分析管理報告、軟件控制測試等也可作為內(nèi)部控制測試的輔助方法選擇。

　?。ǘI(yè)務(wù)與信息風(fēng)險的評價信息系統(tǒng)的附加業(yè)務(wù)風(fēng)險主要來源于信息系統(tǒng)的安全，尤其在IT業(yè)務(wù)外包、電子商務(wù)、ERP（企業(yè)資源計劃）和BPR（企業(yè)過程重組）、網(wǎng)絡(luò)金融環(huán)境下。在對這些單位實施審計時，注冊會計師必須注重對相關(guān)合同的審查，要評價系統(tǒng)提供方或服務(wù)提供方的技術(shù)水平、服務(wù)能力和未來業(yè)務(wù)的可持續(xù)性，并審查系統(tǒng)的形成和服務(wù)過程。

　?。ㄈ┚W(wǎng)絡(luò)環(huán)境的測試越來越多的組織采用網(wǎng)絡(luò)系統(tǒng)，網(wǎng)絡(luò)系統(tǒng)具有責(zé)任分散、系統(tǒng)風(fēng)險加大、控制內(nèi)容復(fù)雜化、系統(tǒng)資源多樣化的特點。對于網(wǎng)絡(luò)系統(tǒng)，注冊會計師應(yīng)將系統(tǒng)安全性作為審計的第一目標(biāo)，一般來說，注冊會計應(yīng)該采用計算機(jī)輔助審計工具和技術(shù)CAATTs，更多依賴內(nèi)部審計人員提供的證據(jù)，不斷更新審計測試的方法和內(nèi)容，進(jìn)一步加強(qiáng)對數(shù)據(jù)的完整性檢驗。

　?。ㄋ模?shù)據(jù)文件的實質(zhì)性測試信息系統(tǒng)環(huán)境下的數(shù)據(jù)記錄龐大，紙質(zhì)原始憑證由于聯(lián)機(jī)數(shù)據(jù)采集而不復(fù)存在，注冊會計師在實質(zhì)性測試中應(yīng)采用計算機(jī)的數(shù)據(jù)式審計模式。信息系統(tǒng)環(huán)境下系統(tǒng)高集成度、數(shù)據(jù)的一致性，為利用多種計算機(jī)軟件工具提高審計效率創(chuàng)造了極好的條件，注冊會計師可利用比較成熟的數(shù)據(jù)挖掘技術(shù)、聯(lián)機(jī)分析處理（OLAP）、審計模型構(gòu)建和共享技術(shù)來廣泛獲取審計線索和搜集審計證據(jù)。注冊會計師審計的重點轉(zhuǎn)移到企業(yè)的明細(xì)信息，審計團(tuán)隊更緊密的合作成為必然，審計模型和審計經(jīng)驗成為被更多注冊會計師共享的資源。