編者按

在信息化環(huán)境下，企業(yè)運(yùn)用信息技術(shù)編制財(cái)務(wù)報(bào)表，設(shè)計(jì)和執(zhí)行內(nèi)部控制。注冊(cè)會(huì)計(jì)師在對(duì)企業(yè)的財(cái)務(wù)報(bào)表進(jìn)行審計(jì)時(shí)，必須考慮信息技術(shù)的影響。同時(shí)，信息化也對(duì)注冊(cè)會(huì)計(jì)師的審計(jì)技術(shù)和方法帶來(lái)革命性變化。為了幫助注冊(cè)會(huì)計(jì)師應(yīng)對(duì)信息化帶來(lái)的挑戰(zhàn)，中國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)資助普華永道中天會(huì)計(jì)師事務(wù)所研究編寫(xiě)了《財(cái)務(wù)報(bào)表審計(jì)中對(duì)信息系統(tǒng)的考慮》一書(shū)，已由中國(guó)財(cái)政經(jīng)濟(jì)出版社出版。本刊約請(qǐng)作者加以摘編，分期連載，以饗讀者。

審計(jì)是一個(gè)不斷修正的循環(huán)過(guò)程，因此在執(zhí)行信息系統(tǒng)審計(jì)工作的過(guò)程中，需要對(duì)審計(jì)發(fā)現(xiàn)進(jìn)行及時(shí)的評(píng)估并做好應(yīng)對(duì)策略。

一、審計(jì)發(fā)現(xiàn)的應(yīng)對(duì)

在應(yīng)對(duì)審計(jì)發(fā)現(xiàn)的過(guò)程中，注冊(cè)會(huì)計(jì)師需要先后執(zhí)行兩個(gè)環(huán)節(jié)的工作：

首先是對(duì)審計(jì)發(fā)現(xiàn)進(jìn)行評(píng)估，評(píng)估該審計(jì)發(fā)現(xiàn)對(duì)財(cái)務(wù)報(bào)表審計(jì)的影響。值得注意的是，信息系統(tǒng)審計(jì)的任何發(fā)現(xiàn)都不是單一的現(xiàn)象，需要和其他發(fā)現(xiàn)綜合考慮，從定量和定性兩個(gè)方面進(jìn)行全面評(píng)估，才能明確審計(jì)發(fā)現(xiàn)對(duì)財(cái)務(wù)報(bào)表的影響。

然后，在充分評(píng)估影響之后，制定審計(jì)應(yīng)對(duì)方案，并執(zhí)行相應(yīng)的審計(jì)程序，確保相關(guān)審計(jì)目標(biāo)能夠?qū)崿F(xiàn)。

（一 ）信息系統(tǒng)一般控制審計(jì)發(fā)現(xiàn)的評(píng)估

信息系統(tǒng)一般控制審計(jì)具有全局性普遍的影響，ITGCs能否有效運(yùn)行將關(guān)系到以之為基礎(chǔ)的應(yīng)用控制和數(shù)據(jù)是否能有效支撐財(cái)務(wù)報(bào)表認(rèn)定。因此，我們需要全面評(píng)估一般控制缺陷所帶來(lái)的相關(guān)風(fēng)險(xiǎn)的影響。

信息系統(tǒng)一般控制體系（ITGCs）中包括自動(dòng)控制和人工控制，和其他內(nèi)部控制一樣，其有效性分為設(shè)計(jì)有效性和執(zhí)行有效性。不管是設(shè)計(jì)有效性問(wèn)題還是執(zhí)行有效性問(wèn)題，都是控制目標(biāo)沒(méi)有得到充分合理的實(shí)現(xiàn)。

在進(jìn)行ITGCs評(píng)估時(shí)，我們很難說(shuō)ITGCs整體是有效或是無(wú)效的。注冊(cè)會(huì)計(jì)師要盡量避免對(duì)ITGCs整體是否有效的結(jié)論，也不要因?yàn)閮H僅幾個(gè)控制缺陷的存在就認(rèn)定ITGCs是無(wú)效的。ITGCs的缺陷需要從結(jié)果和根源上判斷是否對(duì)應(yīng)用控制（如自動(dòng)控制和計(jì)算、報(bào)表等）和財(cái)務(wù)數(shù)據(jù)產(chǎn)生影響，從而直接或間接對(duì)財(cái)務(wù)報(bào)表認(rèn)定產(chǎn)生影響，同時(shí)判斷缺陷是否會(huì)對(duì)審計(jì)策略產(chǎn)生影響和變動(dòng)。

發(fā)現(xiàn)控制缺陷后注冊(cè)會(huì)計(jì)師應(yīng)該如何評(píng)估其對(duì)財(cái)務(wù)報(bào)表的影響呢？我們需要分為三個(gè)步驟來(lái)評(píng)估。

1.第一步，判斷審計(jì)發(fā)現(xiàn)異常是否為控制缺陷。

要做出這個(gè)判斷，我們需要先弄清楚對(duì)于控制測(cè)試而言異常和缺陷的概念和區(qū)別。

異常是指在審計(jì)執(zhí)行過(guò)程中發(fā)現(xiàn)的與預(yù)期不一致的現(xiàn)象，這種不一致不一定是由控制缺陷導(dǎo)致。缺陷是指審計(jì)執(zhí)行過(guò)程中發(fā)現(xiàn)的、沒(méi)有按照預(yù)定的控制目標(biāo)進(jìn)行運(yùn)作的控制設(shè)計(jì)性或執(zhí)行有效性異常。

通常，控制測(cè)試發(fā)現(xiàn)的異常不一定導(dǎo)致控制無(wú)效，而控制缺陷卻很可能會(huì)導(dǎo)致控制無(wú)效。所以異常不一定是一個(gè)控制缺陷，而缺陷一定是一個(gè)異常，且是一個(gè)無(wú)法實(shí)現(xiàn)既定信息處理目標(biāo)的異常。

例如：在進(jìn)行程序變更上線前審批的一般控制抽樣測(cè)試中，我們抽取了45個(gè)樣本進(jìn)行控制執(zhí)行有效性驗(yàn)證。根據(jù)對(duì)控制活動(dòng)的了解和穿行測(cè)試，我們了解到在被審計(jì)單位程序變更上線前，需要獲得業(yè)務(wù)部部長(zhǎng)和IT部部長(zhǎng)的共同審批才能將程序變更部署到生產(chǎn)環(huán)境。在抽取的45個(gè)樣本中，我們發(fā)現(xiàn)有1次的變更上線前審批人只由IT部部長(zhǎng)一個(gè)人審批記錄。這里缺少業(yè)務(wù)部部長(zhǎng)的審批記錄就是一個(gè)異常。經(jīng)過(guò)進(jìn)一步審計(jì)跟進(jìn)，我們確認(rèn)，業(yè)務(wù)部部長(zhǎng)在變更上線當(dāng)天在外地出差，通過(guò)電話進(jìn)行了授權(quán)，且與相關(guān)負(fù)責(zé)人進(jìn)行了郵件溝通，這個(gè)異常只是一個(gè)孤立特定的現(xiàn)象，它的出現(xiàn)并沒(méi)有導(dǎo)致控制失效。那么這里的審計(jì)發(fā)現(xiàn)異常就基本可以認(rèn)為不是一個(gè)控制缺陷。因?yàn)檫@個(gè)異常不會(huì)導(dǎo)致信息處理目標(biāo)的無(wú)法實(shí)現(xiàn)。

我們?cè)谶M(jìn)行結(jié)果判斷的過(guò)程中，需要綜合考慮異常的性質(zhì)和產(chǎn)生性質(zhì)的原因，才能做出合理的判斷。在確定為一個(gè)控制缺陷后，需要評(píng)估缺陷被利用的可能性以及潛在的影響。

2.第二步，如果第一步評(píng)估結(jié)果認(rèn)定發(fā)現(xiàn)的異常是一個(gè)控制缺陷，則注冊(cè)會(huì)計(jì)師需要評(píng)估管理層是如何獲取這個(gè)控制缺陷沒(méi)有被利用的信心的。

這里評(píng)估的最有效的方法是與管理層溝通審計(jì)發(fā)現(xiàn)，并詢問(wèn)他們是如何確保這些控制缺陷沒(méi)有被利用，并造成影響的。

這時(shí)，注冊(cè)會(huì)計(jì)師通常會(huì)得到管理層的3種反饋：

（1）存在I T補(bǔ)償性控制（Compensating controls）

即在被審計(jì)單位存在其他的IT替代性控制，可以實(shí)現(xiàn)與有缺陷的控制點(diǎn)預(yù)期要實(shí)現(xiàn)的相同的信息處理目標(biāo)。則我們可以認(rèn)為，有缺陷的控制點(diǎn)雖然是失效控制，但是在替代的控制點(diǎn)上，因?yàn)槟軌虮ＷC相同的控制目標(biāo)的前提下，這個(gè)缺陷就不會(huì)對(duì)財(cái)務(wù)報(bào)表產(chǎn)生影響。

例如，在程序及數(shù)據(jù)訪問(wèn)的應(yīng)用系統(tǒng)賬號(hào)維護(hù)新增測(cè)試中，我們發(fā)現(xiàn)部分抽樣的樣本的賬號(hào)新增沒(méi)有相關(guān)的管理層審批。這個(gè)控制缺陷可能導(dǎo)致系統(tǒng)權(quán)限被賦予給了不合適的用戶，從而造成非授權(quán)的系統(tǒng)訪問(wèn)風(fēng)險(xiǎn)，即控制目標(biāo)（Restrict Access）可能不能實(shí)現(xiàn)。如果此時(shí)存在一個(gè)賬號(hào)權(quán)限定期復(fù)核的控制點(diǎn)并且該控制有效，如管理層定期會(huì)將系統(tǒng)中所有的賬號(hào)權(quán)限導(dǎo)出進(jìn)行權(quán)限的復(fù)核并對(duì)關(guān)鍵賬號(hào)的操作日志進(jìn)行檢查。則由于賬號(hào)新增預(yù)防性控制缺陷導(dǎo)致的風(fēng)險(xiǎn)由這兩個(gè)發(fā)現(xiàn)性控制能得到一定的補(bǔ)償，從而降低了系統(tǒng)非授權(quán)賬號(hào)操作的IT風(fēng)險(xiǎn)和財(cái)務(wù)影響。

需要注意的是注冊(cè)會(huì)計(jì)師在評(píng)估補(bǔ)償性控制的有效性時(shí)，需要評(píng)估一下該補(bǔ)償性控制的精度，看看該精度是不是可以實(shí)現(xiàn)與有缺陷的控制點(diǎn)相同的精度。

（2）管理層可以證明這個(gè)缺陷沒(méi)有被利用

一般控制測(cè)試發(fā)現(xiàn)控制缺陷只是表明，相關(guān)的控制目標(biāo)可能不能實(shí)現(xiàn)的風(fēng)險(xiǎn)存在。我們都知道，風(fēng)險(xiǎn)變成實(shí)在的影響有一個(gè)概率問(wèn)題。那么管理層是否有足夠的證據(jù)能夠證明該缺陷沒(méi)有被利用。如果在審計(jì)期間沒(méi)有被利用，則該控制缺陷就不會(huì)對(duì)該審計(jì)期間的財(cái)務(wù)報(bào)表產(chǎn)生影響。

例如，在程序及數(shù)據(jù)訪問(wèn)領(lǐng)域的冗余賬號(hào)的測(cè)試中，注冊(cè)會(huì)計(jì)師發(fā)現(xiàn)系統(tǒng)中存在離職人員的有效賬號(hào)，說(shuō)明存在賬號(hào)刪除控制存在缺陷。如果管理層能夠證明，離職人員的賬號(hào)雖然為有效賬號(hào)，但是這些賬號(hào)在所有者離職后的審計(jì)期間內(nèi)沒(méi)有被使用過(guò)，則我們可以認(rèn)定該缺陷不會(huì)造成系統(tǒng)因?yàn)槿哂噘~號(hào)的非授權(quán)操作而造成財(cái)務(wù)影響。

（3）管理層沒(méi)有證據(jù)證明該缺陷沒(méi)有被利用

如果管理層沒(méi)有證據(jù)表明該缺陷沒(méi)有被利用，則注冊(cè)會(huì)計(jì)師需要自行尋找相關(guān)的審計(jì)證據(jù)，證明該控制缺陷沒(méi)有被利用或者匡算該缺陷被利用的財(cái)務(wù)影響。

3. 第三步，經(jīng)過(guò)步驟二，注冊(cè)會(huì)計(jì)師是否能證明存在有效的控制或足夠的證據(jù)降低我們的IT風(fēng)險(xiǎn)。

如果答案是肯定的，那么注冊(cè)會(huì)計(jì)師就不需要再進(jìn)行進(jìn)一步工作，只需要記錄相關(guān)的驗(yàn)證過(guò)程和結(jié)果即可。

如果經(jīng)過(guò)上述兩步，注冊(cè)會(huì)計(jì)師無(wú)法得出肯定的結(jié)論，則我們需要進(jìn)一步評(píng)估所發(fā)現(xiàn)的ITGCs控制缺陷對(duì)我們的依賴其上的應(yīng)用控制，以及報(bào)表和數(shù)據(jù)的影響：

（1）評(píng)估是否會(huì)對(duì)應(yīng)用控制產(chǎn)生影響

注冊(cè)會(huì)計(jì)師需要評(píng)估系統(tǒng)一般控制的缺陷會(huì)對(duì)運(yùn)行于其上的應(yīng)用控制的影響。在評(píng)估的過(guò)程中需要綜合考慮手工補(bǔ)償性控制，并重新評(píng)估受影響的應(yīng)用控制測(cè)試的性質(zhì)（Nature）、時(shí)間安排（Timing）和范圍（Extent）。

（2）評(píng)估是否會(huì)對(duì)報(bào)表和數(shù)據(jù)產(chǎn)生影響

注冊(cè)會(huì)計(jì)師需要評(píng)估系統(tǒng)一般控制的缺陷會(huì)對(duì)運(yùn)行于其上的報(bào)表和存在系統(tǒng)中的數(shù)據(jù)的影響。例如，識(shí)別和測(cè)試管理層是如何確保系統(tǒng)產(chǎn)生的數(shù)據(jù)/報(bào)表與獨(dú)立來(lái)源的源數(shù)據(jù)的一致性的；識(shí)別和測(cè)試補(bǔ)償性手工控制等。

綜合考慮以上因素后，注冊(cè)會(huì)計(jì)師需要重新評(píng)估對(duì)受影響的會(huì)計(jì)科目及交易進(jìn)行的實(shí)質(zhì)性工作的性質(zhì)、時(shí)間和范圍。

（二 ）應(yīng)用控制審計(jì)發(fā)現(xiàn)的評(píng)估

與信息系統(tǒng)一般控制審計(jì)發(fā)現(xiàn)的評(píng)估一致，在財(cái)務(wù)報(bào)表審計(jì)中，應(yīng)用控制審計(jì)發(fā)現(xiàn)評(píng)估的終極目的也是為了判斷控制缺陷對(duì)財(cái)務(wù)報(bào)表認(rèn)定的影響。與信息系統(tǒng)一般控制審計(jì)發(fā)現(xiàn)區(qū)別在于，應(yīng)用控制審計(jì)發(fā)現(xiàn)往往更直接對(duì)財(cái)務(wù)報(bào)表產(chǎn)生影響，一般會(huì)直接支持某一個(gè)或多個(gè)財(cái)務(wù)報(bào)表認(rèn)定。

與信息系統(tǒng)一般控制審計(jì)發(fā)現(xiàn)評(píng)估步驟類似，應(yīng)用控制審計(jì)發(fā)現(xiàn)評(píng)估也分為三個(gè)步驟。

1. 第一步，判斷審計(jì)發(fā)現(xiàn)異常是否為一個(gè)控制缺陷。

與ITGCs審計(jì)發(fā)現(xiàn)評(píng)估第一步類似，注冊(cè)會(huì)計(jì)師首先需要評(píng)估該審計(jì)發(fā)現(xiàn)是否為一個(gè)控制缺陷。在確定為一個(gè)控制缺陷后，評(píng)估缺陷被利用的可能性以及潛在的影響。

2. 第二步，如果第一步評(píng)估結(jié)果認(rèn)定發(fā)現(xiàn)的異常是一個(gè)控制缺陷，則注冊(cè)會(huì)計(jì)師需要評(píng)估管理層是如何獲取這個(gè)控制缺陷沒(méi)有被利用的信心的。

同樣道理，這里評(píng)估的最有效的方法是與管理層溝通審計(jì)發(fā)現(xiàn)，并詢問(wèn)他們是如何確保這些控制缺陷沒(méi)有被利用的。

這時(shí)，注冊(cè)會(huì)計(jì)師通常也會(huì)得到3種反饋：

（1）存在補(bǔ)償性控制（Compensating controls）

即在被審計(jì)單位存在其他的替代性控制，可以實(shí)現(xiàn)與有缺陷的控制點(diǎn)預(yù)期要實(shí)現(xiàn)的相同的信息處理目標(biāo)。則我們可以認(rèn)為，有缺陷的控制點(diǎn)雖然是失效控制，但是在其他的控制點(diǎn)上，因?yàn)槟軌虮ＷC相同的控制目標(biāo)的前提下，這個(gè)缺陷可能就不會(huì)對(duì)財(cái)務(wù)報(bào)表產(chǎn)生影響。

例如，通過(guò)業(yè)務(wù)流程了解和控制識(shí)別，注冊(cè)會(huì)計(jì)師了解到被審計(jì)單位的采購(gòu)流程設(shè)計(jì)了Oracle系統(tǒng)進(jìn)行采購(gòu)自動(dòng)三單匹配的自動(dòng)控制。公司不允許收貨數(shù)量大于5%的三單匹配完成，要求系統(tǒng)自動(dòng)阻止該情形下的三單匹配。但是在審計(jì)執(zhí)行中注冊(cè)會(huì)計(jì)師發(fā)現(xiàn)，系統(tǒng)并沒(méi)有強(qiáng)制阻止收貨數(shù)量大于訂單額5%的三單匹配完成，而是提出警告并讓操作繼續(xù)進(jìn)行，根據(jù)控制設(shè)計(jì)，該控制執(zhí)行存在有效性缺陷。通過(guò)詢問(wèn)管理層，我們了解到管理層每個(gè)月會(huì)對(duì)所有訂單、收貨和發(fā)票數(shù)量數(shù)額進(jìn)行核對(duì)，確保訂單、收貨和發(fā)票數(shù)額差異率在5%之內(nèi)。則管理層每個(gè)月的核對(duì)控制就是對(duì)三單匹配自動(dòng)控制的補(bǔ)償性控制，該控制的有效執(zhí)行能確?；鞠嗤目刂颇繕?biāo)的實(shí)現(xiàn)。

（2）管理層可以證明這個(gè)缺陷沒(méi)有被利用

和系統(tǒng)一般控制缺陷一樣，應(yīng)用控制缺陷的控制目標(biāo)存在有可能不能實(shí)現(xiàn)的風(fēng)險(xiǎn)。那么管理層是否有足夠的證據(jù)能夠證明該缺陷沒(méi)有被利用。如果在審計(jì)期間沒(méi)有被利用，則該控制缺陷就不會(huì)對(duì)該審計(jì)期間的財(cái)務(wù)報(bào)表產(chǎn)生影響。

例如，在驗(yàn)證財(cái)務(wù)報(bào)表流程的應(yīng)用控制的權(quán)限控制時(shí)，我們發(fā)現(xiàn)被審計(jì)單位的出納被錯(cuò)誤的賦予了制單的權(quán)限。而根據(jù)職責(zé)分離的要求，出納不應(yīng)該具有制單權(quán)限，因此，該權(quán)限的錯(cuò)誤分配導(dǎo)致了敏感權(quán)限控制的缺陷。但是，通過(guò)與管理層的溝通，管理層能夠證明，出納雖然具有制單權(quán)限，但是在審計(jì)期間從來(lái)沒(méi)有使用過(guò)該權(quán)限，則該缺陷就沒(méi)有對(duì)審計(jì)期間的財(cái)務(wù)報(bào)表產(chǎn)生影響。

（3）管理層沒(méi)有證據(jù)證明該缺陷沒(méi)有被利用

如果管理層沒(méi)有證據(jù)表明該缺陷沒(méi)有被利用。則注冊(cè)會(huì)計(jì)師需要自行尋找相關(guān)的審計(jì)證據(jù)，證明該控制缺陷沒(méi)有被利用或者匡算對(duì)財(cái)務(wù)報(bào)表的影響。

3. 第三步，經(jīng)過(guò)步驟二，注冊(cè)會(huì)計(jì)師是否能證明存在有效的控制或足夠的證據(jù)降低該自動(dòng)控制所應(yīng)對(duì)的財(cái)務(wù)風(fēng)險(xiǎn)。

如果答案是肯定的，那么注冊(cè)會(huì)計(jì)師就不需要再進(jìn)行進(jìn)一步工作，只需要記錄相關(guān)的驗(yàn)證過(guò)程和結(jié)果即可。

如果經(jīng)過(guò)上述兩步，注冊(cè)會(huì)計(jì)師無(wú)法得出肯定的結(jié)論，則需要重新評(píng)估針對(duì)受影響的賬戶和/或交易所執(zhí)行的實(shí)質(zhì)性程序的性質(zhì)、時(shí)間安排和范圍，并根據(jù)評(píng)估結(jié)果調(diào)整測(cè)試方法和程序。

（三 ）數(shù)據(jù)審計(jì)發(fā)現(xiàn)的評(píng)估

在財(cái)務(wù)報(bào)表審計(jì)下，數(shù)據(jù)審計(jì)直接或間接的支持了某一個(gè)或多個(gè)賬戶和/或交易。因此對(duì)于數(shù)據(jù)審計(jì)的發(fā)現(xiàn)，根據(jù)數(shù)據(jù)的用途，注冊(cè)會(huì)計(jì)師可以分別判斷其對(duì)財(cái)務(wù)審計(jì)的影響。如果數(shù)據(jù)是用于下一步控制測(cè)試，則注冊(cè)會(huì)計(jì)師需要考慮該數(shù)據(jù)對(duì)于控制設(shè)計(jì)及執(zhí)行有效性帶來(lái)的影響，并由此進(jìn)行控制測(cè)試性質(zhì)、程度和時(shí)間做出審計(jì)調(diào)整；如果該數(shù)據(jù)是用于下一步實(shí)質(zhì)性程序的工作，則注冊(cè)會(huì)計(jì)師可以直接匡算其帶來(lái)的財(cái)務(wù)影響的金額和范圍。結(jié)合數(shù)據(jù)的用途不同，如依賴于系統(tǒng)數(shù)據(jù)的手工控制、實(shí)質(zhì)性程序或直接作用于財(cái)務(wù)報(bào)表數(shù)字的情況，評(píng)估其帶來(lái)的影響。

通常情況下，數(shù)據(jù)問(wèn)題的根源是由于控制問(wèn)題造成，或是數(shù)據(jù)源頭、或是數(shù)據(jù)傳輸和處理過(guò)程中的控制環(huán)節(jié)出了問(wèn)題導(dǎo)致。因此，我們需要追根求源，盡量將其可能產(chǎn)生的影響進(jìn)行全面的評(píng)估并作出恰當(dāng)?shù)膽?yīng)對(duì)。

（四 ）制定審計(jì)應(yīng)對(duì)方案

審計(jì)發(fā)現(xiàn)來(lái)源于于審計(jì)各個(gè)階段，如規(guī)劃階段的風(fēng)險(xiǎn)評(píng)估和企業(yè)整體環(huán)境了解階段，在了解和識(shí)別內(nèi)部控制的過(guò)程，在控制有效性測(cè)試的過(guò)程等。因此，注冊(cè)會(huì)計(jì)師應(yīng)該及時(shí)進(jìn)行審計(jì)發(fā)現(xiàn)的評(píng)估并采取合適的應(yīng)對(duì)方案，在必要時(shí)及時(shí)調(diào)整審計(jì)策略。

通過(guò)評(píng)估我們了解到，在對(duì)信息系統(tǒng)審計(jì)結(jié)果的評(píng)估中，注冊(cè)會(huì)計(jì)師首先可以尋找企業(yè)是否補(bǔ)償性控制或其他證據(jù)來(lái)實(shí)現(xiàn)同等的控制目標(biāo)，以確保相關(guān)風(fēng)險(xiǎn)被降低或減少。

如果有補(bǔ)償性控制可以應(yīng)對(duì)相同的風(fēng)險(xiǎn)，注冊(cè)會(huì)計(jì)師需要驗(yàn)證補(bǔ)償性控制的設(shè)計(jì)和執(zhí)行有效性，以確?？刂颇苡行У慕档突驕p少相關(guān)的風(fēng)險(xiǎn)。如果補(bǔ)償性控制的控制粒度精度與原控制不同，還需要結(jié)合其他審計(jì)證據(jù)，以期達(dá)到相同的控制水平。

對(duì)于其他審計(jì)證據(jù)，注冊(cè)會(huì)計(jì)師同樣需要驗(yàn)證證據(jù)的可靠性和正確性，以確?？刂迫毕輿](méi)有被利用而造成相關(guān)的風(fēng)險(xiǎn)。

如果不存在相關(guān)的控制或證據(jù)，則需要評(píng)估該審計(jì)發(fā)現(xiàn)對(duì)于相關(guān)賬戶和交易帶來(lái)的影響程度（影響到的科目性質(zhì)和金額），從而做出審計(jì)決策。

對(duì)于信息系統(tǒng)審計(jì)發(fā)現(xiàn)應(yīng)對(duì)而言，注冊(cè)會(huì)計(jì)師需要注意以下幾點(diǎn)：

1.具有全局性考慮，不能僅從單一控制缺陷割裂的去分析和評(píng)估，而是需要結(jié)合其他審計(jì)發(fā)現(xiàn)共同分析其影響。

2.保持職業(yè)懷疑性和謹(jǐn)慎性，挖掘?qū)徲?jì)發(fā)現(xiàn)背后的根本原因。往往在挖掘根本原因的過(guò)程中，注冊(cè)會(huì)計(jì)師會(huì)發(fā)現(xiàn)其他新的問(wèn)題和風(fēng)險(xiǎn)，通過(guò)全面的評(píng)估和應(yīng)對(duì)，降低審計(jì)風(fēng)險(xiǎn)。

3.考慮審計(jì)的效率和效果，針對(duì)風(fēng)險(xiǎn)導(dǎo)向，評(píng)估審計(jì)的結(jié)果并制定審計(jì)應(yīng)對(duì)策略。

由于審計(jì)結(jié)果評(píng)估和應(yīng)對(duì)是一個(gè)非常復(fù)雜的過(guò)程，需要對(duì)審計(jì)整體有全局性的認(rèn)識(shí)，并涉及到大量的職業(yè)判斷，因此，審計(jì)結(jié)果的評(píng)估和應(yīng)對(duì)往往需要比較有經(jīng)驗(yàn)的注冊(cè)會(huì)計(jì)師的參與才能完成。

在評(píng)估審計(jì)發(fā)現(xiàn)的過(guò)程中，注冊(cè)會(huì)計(jì)師需要將信息系統(tǒng)審計(jì)的結(jié)果結(jié)合整體審計(jì)結(jié)果進(jìn)行全盤(pán)考慮，才能做出科學(xué)合理的審計(jì)判斷。在引入信息技術(shù)專家進(jìn)行審計(jì)的項(xiàng)目中，注冊(cè)會(huì)計(jì)師需要與信息技術(shù)專家進(jìn)行充分的溝通，以確保審計(jì)結(jié)果能被充分評(píng)估和應(yīng)對(duì)。

審計(jì)結(jié)果的評(píng)估和應(yīng)對(duì)過(guò)程需要得到合理的記錄，以確保過(guò)程在團(tuán)隊(duì)成員中達(dá)到充分的一致認(rèn)知和行動(dòng)指導(dǎo)。在審計(jì)結(jié)果的評(píng)估和應(yīng)對(duì)過(guò)程中，注冊(cè)會(huì)計(jì)師通常會(huì)以表格的形式記錄審計(jì)結(jié)果的關(guān)鍵信息，如問(wèn)題描述、風(fēng)險(xiǎn)及影響、補(bǔ)償性控制或說(shuō)明、相關(guān)科目、財(cái)務(wù)報(bào)表認(rèn)定、審計(jì)對(duì)策等信息。這些信息不是一蹴而就的，而是在審計(jì)完成階段工作過(guò)程和審計(jì)決策的記錄和充分表達(dá)。完整準(zhǔn)確的記錄這些信息，有助于注冊(cè)會(huì)計(jì)師審計(jì)完成階段的順利有效進(jìn)行。

二、信息系統(tǒng)審計(jì)問(wèn)題的管理建議

對(duì)于財(cái)務(wù)報(bào)表審計(jì)而言，雖然我們進(jìn)行信息系統(tǒng)審計(jì)目的是為了支撐財(cái)務(wù)報(bào)表審計(jì)需要，不需要單獨(dú)針對(duì)被審計(jì)單位的內(nèi)部控制發(fā)表審計(jì)意見(jiàn)。但是對(duì)于被審計(jì)單位的管理層來(lái)說(shuō)，信息系統(tǒng)的控制不僅僅是對(duì)審計(jì)期間財(cái)務(wù)報(bào)表認(rèn)定的支持，更是對(duì)企業(yè)長(zhǎng)久運(yùn)營(yíng)和內(nèi)控管理的良好支持。國(guó)際審計(jì)準(zhǔn)則要求，對(duì)于財(cái)務(wù)報(bào)表審計(jì)過(guò)程中識(shí)別的問(wèn)題及時(shí)與企業(yè)治理層和管理層進(jìn)行溝通。信息系統(tǒng)審計(jì)，作為財(cái)務(wù)報(bào)表審計(jì)的一部分，其結(jié)果也應(yīng)該與企業(yè)相關(guān)人員進(jìn)行及時(shí)充分的溝通。

因此，管理層有必要針對(duì)信息系統(tǒng)審計(jì)發(fā)現(xiàn)的控制問(wèn)題，制定切實(shí)可行的改進(jìn)措施，以確保信息系統(tǒng)能夠?qū)σ院笃陂g財(cái)務(wù)報(bào)表提供更好的支持，為企業(yè)的內(nèi)部控制和業(yè)務(wù)運(yùn)營(yíng)提供更順暢的支持。讓信息系統(tǒng)在企業(yè)運(yùn)營(yíng)的各個(gè)方面發(fā)揮更大的作用，提升企業(yè)的業(yè)務(wù)水平和戰(zhàn)略實(shí)現(xiàn)。

注冊(cè)會(huì)計(jì)師在給出管理建議的過(guò)程中，需要注意以下幾個(gè)問(wèn)題：

1.每個(gè)企業(yè)具有獨(dú)特性，管理建議應(yīng)該根據(jù)被審計(jì)單位的自身特點(diǎn)，提出切實(shí)可行的改進(jìn)建議。

2.信息系統(tǒng)控制審計(jì)整改需要一個(gè)過(guò)程，不可能一蹴而就。因此控制缺陷的改進(jìn)建議需要根據(jù)缺陷所可能引起的風(fēng)險(xiǎn)可能性、影響大小、緊急程度等因素考慮優(yōu)先級(jí)，分步實(shí)施。

3.信息系統(tǒng)數(shù)據(jù)審計(jì)發(fā)現(xiàn)的問(wèn)題，需要尋找問(wèn)題根源，從源頭解決問(wèn)題本質(zhì)。

4.對(duì)于管理建議需要全盤(pán)統(tǒng)籌考慮，不能頭痛醫(yī)頭腳痛醫(yī)腳。

5.管理建議需要與管理層進(jìn)行充分的溝通，才能讓管理建議能夠落地實(shí)施。

管理建議的給出需要大量的項(xiàng)目實(shí)戰(zhàn)經(jīng)驗(yàn)，因此，通常由項(xiàng)目中資歷較深的注冊(cè)會(huì)計(jì)師參與完成。在管理建議中，注冊(cè)會(huì)計(jì)師通常需要向管理層明確傳達(dá)以下信息：

1.系統(tǒng)審計(jì)的背景和范圍；

2.審計(jì)發(fā)現(xiàn)的具體描述、風(fēng)險(xiǎn)、財(cái)務(wù)影響；

3.針對(duì)審計(jì)發(fā)現(xiàn)的大致改進(jìn)建議。

同時(shí)，為了保證審計(jì)建議的正確傳達(dá)和審計(jì)整改的有效進(jìn)行，注冊(cè)會(huì)計(jì)師通常還會(huì)獲得管理層對(duì)于審計(jì)發(fā)現(xiàn)的反饋意見(jiàn)。