在某些情况下,仅依靠实施实质性程序不足以将审计风险降至可接受的低水平,注册会计师应当实施控制测试,并考虑使用计算机辅助审计技术。这些情况主要包括:
(一)电子商务系统高度自动化;
(二)交易量过大;
(三)未保留包含审计轨迹的电子证据。
第二十三条 当被审计单位从事电子商务时,注册会计师应当考虑与电子商务相关的安全性控制、交易完备性控制和流程整合。
注册会计师还应当考虑内部控制中与审计特别相关的下列方面:
(一)在快速变化的电子商务环境中保持控制程序的完备性;
(二)确保能够访问相关记录,以满足被审计单位和注册会计师审计的需要。
第二节 安全性控制
第二十四条 注册会计师应当考虑被审计单位安全基础架构和相关控制是否足以应对与电子商务交易的记录和处理相关的安全性风险。
第二十五条 注册会计师应当考虑下列事项对财务报表认定的潜在影响:
(一)有效使用防火墙和病毒防护软件;
(二)有效使用加密技术;
(三)对用于支持电子商务活动的系统的开发和运行的控制;
(四)当出现的新技术可能危害互联网安全时,现有的安全控制是否仍然有效;
(五)控制环境能否对所采用的控制程序提供支持。
第三节 交易完备性控制
第二十六条 注册会计师应当考虑交易完备性控制,包括被审计单位会计处理所依据信息的完整性、准确性、及时性以及是否经过授权。
第二十七条 注册会计师针对会计系统中与电子商务交易相关的信息完备性所实施的审计程序,主要涉及评估用于采集和处理此类信息的系统的可靠性。
在针对复杂电子商务实施审计程序时,注册会计师应当重点考虑在交易信息的采集和即时自动化处理中与交易完备性相关的自动化控制。
第二十八条 在电子商务环境中,与交易完备性相关的控制通常用于:
(一)验证输入;
(二)防止交易的重复记录或遗漏;
