【悉大大传媒】2017-18年鼎力推荐!您是土澳的会计留学生吗?您想了解如何才能进入土澳的“四大”会计师事务所工作吗?读读牛人写的这本“红宝书”就够了。。。
Barry Li CPA 特邀帅哥作者 Sam
11ITGC是啥(上)
大家好,我是 Sam ,在07年跟随着浩瀚的留学大军,来到了悉尼大学修读会计和金融专业。毕业后由于对四大的仰慕,在09年回国并加入了普华永道 (PwC) 。我与 PwC 有着特殊缘分。我的第一个 Offer 、在中国和澳洲的第一份工作都是 PwC ,连我现在的工作单位,新南威尔士州审计署 (Audit Office of NSW) 也是采用 PwC 的的审计方法 (Audit Methodology) 。
前文再续,我们现在来讨论一下羊肉串店的奥迪特需不需要做 ITGC 。首先我们需要来了解一下什么是 ITGC ?记得当我还是菜鸟奥迪特的时候,在部门会议里听到审计合伙人和风险与控制 (Risk and Control Assurance, RCA) 部门合伙人围绕一上市公司谈论其 ITGC 的审计范围 (Scoping) 和费用 (Audit Fee) 时,才知道原来对于一个公司的审计,并不局限于财务审计 (Financial Audit) ,也包括对其信息系统的审计 (Information System Audit) 。但并不是所有的公司审计都需要对其信息系统进行审计,对于一般的公司法定审计 (Statutory Audit) 而言,是否对其信息系统进行审计,这取决于在对该公司年度财务报表审计所制定的审计策略 (Audit Strategy) 。审计策略的制定主要是根据对被审计单位的基本情况了解,内部控制和审计风险的评估,从而决定的对被审计单位的审计方式。这些在后面的章节会慢慢讲到。
那什么是 ITGC 呢? ITGC 是 IT General Control 的简称,中文名称是信息系统一般控制。 国际审计准则对 ITGC 的定义是:General IT controls are policies and procedures that relate to many applications and support the effective functioning of application controls (ISA 315.A104) 。 简单的说就是被审计单位在其信息系统中所建立的一些政策与程序,从总体上确保其信息系统控制的有效性。其中最常见的一般控制包括信息系统在数据和程序的权限、变更管理、程序开发和系统运营四个领域所建立的控制。而信息系统审计师 (IS Auditor) 的其中一项工作就是在了解被审计单位 ITGCs ,并评估和测试这些控制的设计与执行 (Design & Implementation) 的有效性 (Effective and Efficient) 。
但既然没有硬性要求我们要对公司的信息系统进行审计,那我们为什么需要了解和评估 ITGCs 呢?我们继续从小红和小白的故事说起。
在下田 (Audit Field Work) 开展的前一周,审计经理小红把菜鸟奥德特小白叫到了会议室跟他讲解对羊肉串店的审计计划并告诉小白针对羊肉串店现在的规模和业务将采取实质性测试方法 (Substantive Testing Approach) 和控制程序测试方法 (Control Testing Approach) 并用的整合测试方法 (Integrated Approach) 。 因此,我们需要了解和评估羊肉串店的 ITGCs 。
小白:我听说人家拉面店的审计组只用实质性测试程序,为什么我们需要做整合测试呢?
小红:
这是个好问题。我们做羊肉串店审计已经是第5个年头了。在刚开始时,这家羊肉串店只是开在 Chinatown 的一家夫妻店,店里唯一的一台电脑连着 POS 机主要是收银用,店里的账主要都是用 Excel 记录,相当于手工账。当年我们也能只用实质性测试程序, 一张一张的抽查凭证,因为这是当时最有效且唯一的方法。
后来第2年老板经营有方,生意做得红火,在悉尼开了几家分店。由于业务的需要,购买了针对中小型企业的会计软件 (e.g. MYOB, Xero) ,请了记账员 (Bookkeeper) 和会计 (Accountant) ,也建立了些内部管理控制程序,但我们那年还是只用实质性测试程序,不依赖内部控制。这主要是我们对羊肉串店的内部控制 (Internal Control) 和 IT 系统进行了解后,发现年羊肉串店的业务还相对的单一和简单,就是从供应商购买羊肉半成品,然后在店面做成成品卖出,而且会计软件也主要是用来记账。只用实质性测试程序已经能有效的降低我们的审计风险 (Audit Risk) ,并能获取适当 (Appropriate) 和充分 (Sufficient) 审计证据 (Audit Evidence) 。
在第五年,就是今年,由于品牌效应和人气的积累,羊肉串店的规模已经是几何级数增长。店面已有50家并遍及全澳洲。 而且老板在获得风险资金 (Venture Capital) 的投资后,购买了自己的农场,成立了自己的物流公司,生产的羊肉除了供应自己的羊肉串店外,还供给其他的食店,餐厅与超市,完成了产供销产业链的整合。由于规模的极速扩张,羊肉串店的老板成立了股份公司,聘请了职业经理人,购买了大型的 ERP 软件 (e.g. SAP , Oracle) 来管理进销存,并且雄心勃勃的要在三年后上市。在了解了公司今年规模,业务情况和内控环境后,我们发现单纯的实质性程序策略已经丧失了效率,采取实质性测试方法和 控制程序测试方法相结合的整合测试方法能更有效的获得充分和恰当的审计证据和降低审计风险。
小白: 那我岂不很幸运,说不定还能出差挣些差补。但为什么要评估和测试 ITGCs 呢,不直接测试内部控制就可以了吗?
小红:这里我们需要先来了解另外一个概念 —— IT dependencies (Automated control procedures or manual controls that are depend on IT), 这个很好理解,例如 Three Way Match - SAP 系统自动对 Purchase Order (PO), Invoice 和 Good Receipt Note (GRN) 的数量和金额进行核对,并显示差异,另外就是财务经理每月下载从 SAP 生成的机器设备折旧报告并审阅其准确性。由于这些内部控制都是和财务相关的重要内部控制,但都需要信息系统的完成或者辅助完成。因此我们就必须评估和测试 ITGCs 。只有确定公司信息系统的一般控制是有效的,我们才可以决定是否依赖公司的内部控制并进行相应的控制测试。举个例子,如果羊肉串店信息系统没有密码控制和权限控制,服务员能随意进入SAP 的采购和付款模块并串改采购金额和数量,那你认为 Three Way Match 还有效吗?还能信赖吗?
小白:确实如此,那我们真的需要先评估 ITGCs 。但我们怎么样评估 ITGCs ?
(未完待续)
【正在黑】公众号授权原创发布
【手慢无】如果想让 Barry 在红宝书里侃侃您所关心的会计或审计类话题,就来加入我们的讨论群吧!由于群员人数已经超过了100人,请您手动加悉大大的微信号: xidadamedia。暗号: 红宝书。