注会审计：信息技术审计范围的确定

注册会计师在规划审计策略时，需要结合企业业务流程复杂度、信息系统复杂度、系统生成的交易数量、信息和复杂计算的数量、信息技术环境规模和复杂度等五个方面，对信息技术审计范围进行适当考虑。信息技术审计的范围与企业在业务流程及信息系统相关方面的复杂度成正比，在具体评估复杂度时，可以从以下几个方面予以考虑：

（一）评估企业流程的复杂度（比如销售流程、薪酬流程、采购流程等）
对企业流程复杂度的评估并不是一个纯粹客观的过程，而是需要注册会计师的职业判断。注册会计师可以通过考虑以下因素，对企业流程复杂度做出适当判断：

1．某流程涉及过多人员及部门，并且相关人员及部门之间的关系复杂且界限不清；
2．某流程涉及大量操作及决策活动；
3．某流程的数据处理过程涉及复杂的公式和大量数据录入操作；
4．某流程需要对信息进行手工处理；
5．对系统生成的报告的依赖程度。

（二）评估信息系统的复杂度
对企业信息系统复杂度的评估也不是一个纯粹客观的过程，评估过程包含大量的职业判断，也受到所使用系统类型（如商业软件或自行研发系统）的影响。

具体来说，评估商业软件的复杂程度应当考虑系统复杂程度、市场份额、系统实施和运行所需的参数设置范围，以及企业化程度（对出厂标准配置的变更、变更类型，比如：是仅为报告形式的变更还是对数据处理方式的变更）。

而对于自行研发系统复杂度的评估，应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果，以及系统变更之后的系统运行情况及运行期间。

（三）信息技术环境的规模和复杂度
评估信息技术环境的规模和复杂度，主要应当考虑产生财务数据的信息系统数量、信息部门的结构与规模、网络规模、用户数量、外包及访问方式（例如本地登陆或远程登陆）。信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。

注册会计师除了考虑以上所提及的复杂度外，还需要充分考虑系统在实际应用中存在的问题，评价这些问题对审计范围的影响：

1．管理层如何获取与信息技术相关的问题？
2．系统功能中是否发现严重问题或不准确成份？如果是，是否存在可以绕过的程序（如自行修复程序等）？
3．是否发生过信息系统运行出错、安全事件、或对固定数据的修改等严重问题？如果是，管理层如何应对这些问题，以及管理层如何确保这些问题得到可靠解决？
4．内部审计或其他报告中是否提出过与信息系统、数据环境或应用系统相关的问题？
5．报告中提及的最普遍的系统问题是什么？

在信息技术环境下，审计工作与对系统的依赖程度是直接关联的，注册会计师需要全面考虑其关联关系，从而可以准确定义相关的信息系统审计范围，具体内容参见教材表11－1。