IT审计想少干点活？那就去问一问财报审计对IT系统的依赖程度吧

先说结论:在财报审计中，IT审计干活的多少，取决于财报审计工作对IT系统的依赖程度。

财报审计与IT审计的血脉联系

什么是“财报审计工作对IT系统的依赖程度”呢？说白了就是，在针对同一个被审计客户来说，财报审计工作是需要评估是否依赖内部控制的，而内部控制里边是包括信息技术整体环境控制的。

所以其实在《中国注册会计师审计准则第1211号——通过了解被审计单位及其环境识别和评估重大错报风险》中，是有这样一个要求的，就是无论是否执行IT审计，注册会计师都需要对被审计客户的信息系统整体环境进行了解。其主要目的是需要考虑被审计单位财务报表重大错报风险相关的信息系统风险及其应对。

上面这段文字可能有些复杂，简单点来说就是，根据审计准则，只要被审计客户有系统，注册会计师就需要去了解和评估这个系统的风险，无论是否引入IT审计。

因为其实你在市面上任何一本审计学教材中，都会看到与信息系统审计相关的字样。这其实表明IT审计其实和财务审计从某种意义上是绑定的，血脉相连的，不可分割的。

可能有一些IT审计从业者，认为IT审计是独立的个体，是可以独立执行程序的。当然作为IT审计从业者的一员，我也很肯定的告诉大家，IT审计从业者或从业团队确实是可以脱离财务报表去单独执行，比如专项审计、IT咨询、系统生命周期审计、反舞弊审计、数据鉴证与分析等项目。

但是IT审计从业者要认清一个事实，就是这些项目实际上是IT审计以及IT审计从业人员能力模型下的衍生项目，但是单单提到信息系统审计，这个概念，其源头还是以支持财务报表审计为主。

IT审计怎样才能少干活

那么为什么说IT审计想少干点活，就要去问一下财务报表审计对于IT系统的依赖程度呢？

因为其实我们可以推一个极端，比如说被审计客户其实是没有上信息系统的，也就是说整体业务财务工作中不依赖信息系统。那么在这种情况下，公司所有的工作全都是由手工控制，完全不依赖信息系统控制。那么在这种情况下，也就不存在系统自动化应用控制，以及所谓的信息系统一般控制了。

系统控制都没有，何谈系统控制有效性呢？

然后呢，我们再推一个极端，比如说被审计客户系统建设的非常完善，所有的业务和财务都通过信息系统来完成。从最基本的基础档案设置，核心主数据管理、计算规则，权限控制以及业务逻辑，财务核算逻辑等与财务报表密切相关的内容均通过信息系统和高度自动化来实现，那么如果IT审计核查了其中的部分自动化控制，但没有核查完整。那么如果其中的一个断点出现问题， 则将是一个大面积系统性的问题，俗称——一个也跑不了。

系统倒是有控制了，系统控制得到底对还是不对呢？

所以从以上两个极端例子来看，我们可以知道，当公司完全不依赖信息系统的情况下，其实IT审计是可以不干活的；而当公司完全依赖信息系统的情况下，则IT审计所有的活都要干。

嗯，但是这种情况也不绝对。比如说，我再推一个极端。被审计客户完全依赖信息系统，但是呢，被审计单位的信息系统数据量并不大，一年中可能只有10张业务单据，那对于财务审计团队来说，可以通过全量手工核查的方式去验证数据的准确性、一致性、完整性。所以这种情况就是说的被审计客户依赖信息系统，但是审计策略不依赖信息系统。那么在这种情况下也可以不需要IT审计出手了。

当然，作为IT审计从业者，总抱着想少干点活儿的心态是不对滴，毕竟不依赖信息系统，我们也可以看看内控，看看数据，看看智能识别能不能帮上忙嘛，横向发展，拥抱变化~