Managerial Auditing Journal
The evolution of IT auditing and internal control standards in financial statement
audits: The case of the United States
David C. Yang, Liming Guan,
Article information:
To cite this document:
David C. Yang, Liming Guan, (2004) 'The evolution of IT auditing and internal control standards in
financial statement audits: The case of the United States', Managerial Auditing Journal, Vol. 19 Issue: 4,
pp.544-555, https://doi.org/10.1108/02686900410530547
Permanent link to this document:
https://doi.org/10.1108/02686900410530547
Downloaded on: 24 March 2018, At: 01:32 (PT)
References: this document contains references to 23 other documents.
To copy this document: permissions@emeraldinsight.com
The fulltext of this document has been downloaded 5794 times since 2006*
Users who downloaded this article also downloaded:
(2001),'The impact of information technology on the audit process: an assessment of the state of the art and implications for the future', Managerial Auditing Journal, Vol. 16 Iss 3 pp. 159-164 lt;a href='https:// doi.org/10.1108/02686900110385489'gt;https://doi.org/10.1108/02686900110385489lt;/agt;
(2001),'Continuous auditing: the audit of the future', Managerial Auditing Journal, Vol. 16 Iss 3 pp. 150-158 lt;a href='https://doi.org/10.1108/02686900110385605'gt;https://doi.org/10.1108/02686900110385605lt;/agt;
Access to this document was granted through an Emerald subscription provided by emerald-srm:534537 []
For Authors
If you would like to write for this, or any other Emerald publication, then please use our Emerald for Authors service information about how to choose which publication to write for and submission guidelines are available for all. Please visit www.emeraldinsight.com/authors for more information.
About Emerald www.emeraldinsight.com
Emerald is a global publisher linking research and practice to the benefit of society. The company manages a portfolio of more than 290 journals and over 2,350 books and book series volumes, as well as providing an extensive range of online products and additional customer resources and services.
Emerald is both COUNTER 4 and TRANSFER compliant. The organization is a partner of the Committee
on Publication Ethics (COPE) and also works with Portico and the LOCKSS initiative for digital archive
preservation.
*Related content and download information correct at time of download.
Downloaded by Wuhan University of Technology At 01:32 24 March 2018 (PT)
MAJ
The Emerald Research Register for this journal is available at The current issue and full text archive of this journal is available at
www.emeraldinsight.com/researchregister www.emeraldinsight.com/0268-6902.htm
19,4
544
The evolution of IT auditing and
internal control standards in
financial statement audits
The case of the United States
David C. Yang and Liming Guan
Collegeof Business Administration, University of Hawaii at Manoa, Honolulu,
Hawaii, USA
Managerial Auditing Journal
Vol. 19 No. 4, 2004
pp. 544-555
q Emerald Group Publishing Limited 0268-6902
DOI 10.1108/02686900410530547
Keywor ds Technology led strategy, Auditing, Auditing standards, United States of America
Abstr a ct Therapid escalation of technologyand theuseof computersin businesspracticeresult in moreinformation technology (IT) auditing and internal control standards and guidelines to assist auditorsin their roles and responsibilities. Several organizations, such astheAmerican Instituteof Certified Public Accountants (AICPA), the International Federation of Accountants and the Information SystemsAudit and Control Association (ISACA), haveissued standardsin thisarea to beobserved by their membersin performing an IT audit. Thispaper traces theevolution of USIT auditingand internal control standardsin financial statement auditsand discussestheir significance for theauditingprofession. Weprimarilyfocuson thediscussion of theIT audit standardsissued by theAICPA and ISACA. Astheuseof computersin businessdata processing getsmorewidespread and the integration of IT in business processes gets more intricate, we expect to see more
pronouncements of IT audit standards in the future. Auditors should well understand these
pronouncements, standards and guidelines when performing an IT audit.
- Introduction
The computer is one of the most dominant advances of the twentieth century. It has
had a tremendous impact on many areas of human activity, including engineering,
medicine, science and business. Information technology (IT) or electronic data processing (EDP) has changed the way many organizations conduct business[1]. In fact, IT is one of the major technological advances in business in the last 40 years. IT systems can perform many tasks, and management is continually finding new ways to utilize the computer to promote operational efficiency and to aid in decision making.
Because many businesses at present use computers to process their transactions,
the auditing profession has been faced with a need to provide increased guidance for
audits conducted in an IT environment. Various authoritative bodies, such as the
American Institute of Certified Public Accountants (AICPA), the International
Federation of Accountants (IFAC) and the Information Systems Audit and Control Association (ISACA), have issued standards in this area. This paper surveys various US IT auditing and internal control standards in financial statement audits and discusses their significance for the auditing profession. The following list summarizes all the relevant standards in the USA:
The au
全文共41998字,剩余内容已隐藏,支付完成后下载完整资料
财务报表审计中IT审计和内控标准的演变——以美国为例
David C. Yang、Liming Guan
檀香山夏威夷大学工商管理学院,美国夏威夷
关键词:技术主导战略、审计、审计标准、美利坚合众国
摘要:技术的迅速升级和电子商务的兴起促使了信息技术(IT)审计和内部控制标准和指导方针的发展,以协助审计师定位自己的角色和职责。美国注册会计师协会(AICPA),国际会计师联合会和国际信息系统审计与控制协会(ISACA)等组织已经颁布了这个区域的标准,以供其成员执行IT审计。本文从财务报表审计的角度,追溯了USIT审计和内部控制标准的演变,并探讨了其对审计业的意义。我们主要关注的是美国注册会计师协会(AICPA)和国际信息系统审计与控制协会(ISACA)对信息技术(IT)审计标准的讨论。随着计算机业务数据处理的普及和业务流程的集成变得更加复杂,我们期望未来看到更多信息技术(IT)审计标准的声明。审计人员应该充分理解这些在执行IT审计时的声明、标准和指导方针。
1.简介
计算机是二十世纪最主要的进步之一。它对人类活动的许多领域产生了巨大的影响,包括工程,医学,科学和商业。信息技术(IT)或电子数据处理(EDP)改变了许多组织开展业务的方式[1]。事实上过去40年以来,IT是企业进步的主要技术之一。 IT系统可以执行许多任务,并且管理层不断寻找新的方法来利用计算机技术提高运营效率并帮助做出决策。
由于目前很多企业都使用电脑来处理交易,审计界一直面临这样的一种需要——在IT环境中进行审计的指导。各种权威机构,比如美国注册会计师协会(AICPA),国际会计师联合会(IFAC)和信息系统审计与控制协会(ISACA)已经在这方面发布了标准。本文在财务报表审计中对美国各种IT审计和内部控制标准进行了调查,并讨论了它们对审计行业的重要性。下面总结了美国的所有相关标准:
(1)AICPA审计标准
审计标准声明(SAS)第3号(AICPA, 1974)。
审计标准声明(SAS)第 48号 (AICPA, 1984)。
审计标准声明(SAS)第94号(AICPA, 2001)。
IT审计和内部控制的演进。
(2)ISACA标准(1997年7月生效):
信息系统审计标准(SISA) 010 (ISACA, 1997a)。
SISA 020(ISACA,1997 b)。
SISA 030(ISACA ,1997 c)。
SISA 040(ISACA,1997 d)。
SISA 050(ISACA ,1997 e)。
SISA 060(ISACA ,1997 f)。
SISA 070(ISACA,1997 g)。
SISA 080(ISACA ,1997 h)。
第2节和第3节详细讨论了这些标准,第4节总结了本文。
2.会计师协会标准
审计标准声明(SAS)由审计准则委员会(ASB)发布,审计准则委员会是由美国注册会计师协会(AICPA)指定就审计事宜发表公告的高级技术机构。会计准则委员会成立于1978年10月,负责制定和颁布美国注册会计师协会(AICPA)成员应遵守的审核标准和程序。AICPA职业行为准则要求执行审计的AICPA成员(审计员)遵守ASB颁布的标准。审计师应该对审计标准声明(SAS)有足够的了解,以确定适用于他/她审计的内容,并且应该准备证明其离职的合理性。这部分调查了以下三个直接与IT审计相关的审计标准声明:审计标准声明(SAS)第3号,审计标准声明(SAS)第 48号,审计标准声明(SAS)第94号。
2.1 SASNo.3,信息技术(IT)对审计师学习和评估内部控制的影响
尽管计算机没有用任何特别重大的方式改变或建立了相关会计理论,但它因为与被收集的数据类型或为报告目的而组织数据的方式相关,而大幅改变将理论付诸实践的方法(Jancura,莉莉,1977)[2]。
随着计算机在美国商业中的应用越来越多。自20世纪60年代中期以来,审计标准制定者似乎有必要制定一个关于审计程序的框架,来对在会计应用程序中使用信息技术的财务报表进行审计。
1974年,AICPA的审计标准执行委员会发布了审计标准声明(SAS)第三号:“EDP对审计人员研究和评价内部控制的影响”。它是定义IT系统审计标准的第一个大胆步骤(Jancura,Lilly,1977)。该声明为在IT环境中进行审计提供了指导。并要求审计师在审计期间对计算机进行评估。根据审计标准声明(SAS)第三号,无论是在人工系统还是IT系统中,会计控制的目标都是一样的。然而,实现这些目标所需的组织和程序可能会影响数据处理的方法。因此,审计师在其研究中使用的程序以及评估会计控制以确定审计财务报表所应用的审计程序的性质,时间和范围都可能会受到影响。当它被用于重要的会计应用时,审计师在进行会计控制的研究和评估时应该考虑IT活动。审计师应考虑IT技术在会计应用中的使用是有限的还是广泛的,以及IT业务是否在客户或第三方的指导下。
审计标准声明(SAS)第一号“审计人员的内部控制的研究和评价”是1973年颁布的(AICPA, 1973)。它从行政控制和会计控制的角度界定了内部控制,并得出结论,行政控制不在公认的审计标准(GAAS)所设想的内部控制的研究和评价范围之内。审计标准声明(SAS)第三号主要关注的是独特的控制方面,当客户的财务记录中很重要的部分是在IT系统中处理的。在审计标准声明(SAS)第三号中,IT控制被划分为一般控制和应用程序控制,审计人员应该对此进行评估。这些控制特征由Wilkinson(1991)列出,并在表I中显示。
|
内部控制和安全措施的类别 |
会计控制 |
应用控制 |
输入控件 |
|
处理控制 |
|||
|
输出控件 |
|||
|
会计控制 |
|||
|
资产责任控制 |
|||
|
安全措施控制 |
|||
|
组织控制 |
|||
|
授权控制 |
|||
|
文档控制 |
|||
|
操作控制 |
|||
|
一般控制 |
管理实践控制 |
||
|
行政控制 |
表 1控制特征
然而,正如标题所指出的,审计标准声明(SAS)第三号的内容主要涉及了,当一个企业的财务记录的很大一部分是由计算机处理时,企业的独特控制方面的内容。审计标准声明(SAS)第三号发行以来,事实却表明它不够充分适用。首先,越来越多的企业使用复杂的计算机系统来处理会计数据。第二,许多企业已经开始使用会计记录和决策功能紧密相连的互动系统。由于这些变化,进行“计算机”审计变得更加困难,因为对于处理程序如何处理错误数据(Nunter和Ratcliffe, 1985),无法得可靠的推论。 IT职能很多时候都渗透到公司的整个会计流程中。因此,审核员不应只把注意力局限在IT功能的内部控制方面。
由于审计人员仅将他们的注意力局限在信息技术的内控方面是不恰当的,美国注册会计师协会的审计准则委员会(ASB)于1984年7月发布了审计标准声明(SAS)第48号“计算机处理对审计财务报表的影响”。 声明其取代了审计标准声明(SAS)第3号,对当时的财务报表审计需求来说更为广泛和更适合。
2.2 审计标准声明(SAS)第48号,计算机处理对财务报表审核的影响。
审计标准声明(SAS)第48号“计算机处理对财务审查的影响”。声明取代审计标准声明(SAS)第3号。它对1984年8月31日以后的财务报表的财务审查是有效的。它还修订了SAS第22号“规划与监督”(AICPA, 1978a), SAS第23号“分析审查程序”(AICPA, 1978b), SAS No. 1,第320条“审计人员对内部控制的研究和评价”(AICPA, 1973)和SAS第31号“证据事项”(AICPA, 1980)。以及对IT环境中的财务报表审计的额外指导。
ASB认为审计师应该考虑客户使用的数据处理方法,包括计算机的使用方式,同时他们在考虑其他可能影响审计的重要因素。信息技术的使用可能会影响审计程序的性质、时间和范围,因此审计人员应该在整个审计过程中考虑这些影响。因此,ASB认为关于计算机处理对财务报表审计的影响审计指导应与现有的审计指导相结合,而不是单独提出。这是SAS第48号修改了许多其他现有的声明的主要原因。
2.2.1计划和监督。
在美国公认审计标准(GAAS)中,第一个实地考察标准, SAS第22号,要求在审计业务中进行充分计划的工作并协助,如果有的话,要得到适当的监督。根据美国公认审计标准(GAAS),SAS第22号“规划与监督”对审计师进行审查提供指导。审计业务必须经过充分的规划和监督,以便审计人员实现审查目标,即收集适当的数量,足够有效的证据材料构成财务报表审计意见的基础。部分计划的包括预期的检查行为和范围制定总体战略。SAS第48号做出了进一步规划并考虑了SAS第22号所提出的要求。它要求审核员考虑客户处理重要的会计信息使用的方法(人工处理或计算机处理)。它还要求审计师考虑是否有必要获得专家的帮助来做出决定。
确定是否需要一个专家来评估计算机处理和设计审计测试的效果,必须在审计工作的早期进行。审计员必须知道他是否有相应的能力来确定信息技术对审计功能的影响。如果需要专家,审计员可以选择一位计算机专家,他可以是审计师事务所的成员或外部专家。SAS第. 48号表示,在这两种情况下,计算机专家都被视作是审计团队的一员。因此,SAS第11号,“借助专家的帮助”是不适用的,因为它适用于不被认为是审计组成员的专家。而计算机专家是审计组的成员,审计员负责监督和评估专家的工作来确定专家是否达到了审计师的目标。这意味着审计人员必须拥有足够高的计算机技能,向专家传达他的目标,进一步确定专家的执行的程序能够满足审计人员的要求,并评估专家执行的程序的结果,以及它们对所使用的审计程序的时间和性质的影响。
如前所述,审计人员在计划审计时需要考虑客户使用会计信息、处理会计信息的方法,因为这可能会影响会计系统的设计和内部会计控制程序的性质。审核员应考虑以下因素:
在每个重要的会计应用程序中使用计算机的程度;企业计算机操作的复杂性,包括使用外部服务中心;计算机处理活动的组织结构;数据的可用性,因为有些数据可能只存在一小段时间,或者只存在于计算机可读的形式中,而且由于输入形式可能不存在;使用计算机辅助的审计技术提高执行审计程序的效率。
2.2.2内部控制的研究与评价。
第二条现场考察标准的现场工作要求审核员对客户的内部控制结构进行研究评估。这是在审计师完成计划之后完成的。SAS第55条“财务报表审计的内部控制结构”(AICPA, 1988a)主要包含进行审计研究的主要指导和对内部控制的评估。SAS第55条取代第320条“审计员的研究以及内部控制的评估”。虽然从1990年1月1日以后,SAS第55条对财务报表的审计工作不再适用,但早期适用该条款的说明是允许的。
SAS的第320条定义了行政和会计方面的内部控制。SAS 第3条与SAS第一条的第320节一起阅读理解。在SAS 第3条中,当计算机处理用于重要会计应用时,内部会计控制程序可分为两类(一般控制程序和应用程序控制程序)。对于手动和计算机系统来说,内部会计控制系统的目标和审计人员对系统的审查目标都是一样的。 然而,在审查控制措施时,审计师可能会发现,在审查具体应用控制之前首先审查影响应用控制的一般控制措施会更有效率,因为应用控制的有效性取决于总体控制措施是否充分。
在进行内部会计控制系统的研究与评估时,审计员需要做以下工作:
- 对系统进行初步审查(了解总体交易流程并评估控制环境);
- 完成系统评审(获得对指定的一般程序控制和应用程序控制的详细了解,并进行记录);
- 进行合规测试;
- 评估结果。
这些步骤在人工和计算机系统中都会执行,但是应用的程序将会不同。
由于在不同的IT环境中,会应用不同的程序,SAS第48条强调了审计师在进行研究和评估时应考虑的IT系统的显著特征。 这些特点是:
- 交易记录可能只存在很短的时间,或者仅以计算机可读的形式保存;计算机处理信息时基本上消除了笔误,但是编程错误仍可能存在;
- 计算机处理系统可以将在手动系统中通常是分离的内部控制功能集成在一起;
- 计算机化系统有时可以增强对未授权数据(包括资产)访问的便利性;
- 计算机系统提可以提供有助于监督和审查公司业务的管理工具;
- 计算机系统可以允许自动启动或执行某些交易;
- 执行手动控制程序可能会用到计算机处理输出,因此自动化和手动控制并不相互独立。
上面列出的一些特性加强了与手动系统相关的内部控制系统,而另一些特性可能会削弱它。因此,审计师应将他的研究和评价集中在可能执行不兼容功能的领域。
如果IT系统处理交易并提供用于进行物理资产盘点的信息,则负责计算机处理的人员不应参与对账。审计员在
全文共11063字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[9291],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
