重點說明

審計準則公報第75號係由審計準則委員會參考國際審計準則第315號(ISA315)之相關規定，全文計六節共265條及6個附錄，合計171頁，內容相當龐雜，採逐條解析方式並不易掌握該號公報全貌。據此，筆者擬透過主題式引導帶領讀者進入跨時代的審計新面貌。筆者將審計準則公報第75號及相關公報，整合為四個主題，分別為：

• 主題一：查核規劃作業之核心
• 主題二：辨認並評估重大不實表達風險
• 主題三：對受查者取得必要之瞭解
• 主題四：內部控制制度與使用資訊科技之風險、一般控制及對查核工作之影響

(四) 資訊系統及溝通

1、與財務報表編製攸關之「資訊系統」(The Information System)包含作業及政策與會計及佐證紀錄，該系統之設計與建立係為達成下列目的：

1. 啟動、記錄及處理所發生之交易，並對相關資產、負債及權益建立其課責性。
2. 解決不正確之交易處理。例如自動暫存檔案並及時清除暫存項目之程序。
3. 處理系統踰越或迴避控制之情況，並確認其責任歸屬。
4. 將交易處理之資訊併入總帳（例如，自明細帳拋轉累計交易資訊）。
5. 擷取、處理及揭露與非交易事項及狀況有關之資訊，例如資產之折舊、攤銷以及資產可回收性之變動。
6. 確定依適用之財務報導架構所須揭露之資訊，已累計、記錄、處理及彙總並於財務報表中適當報導。

2、「溝通」(Communication)可使員工瞭解其於內部控制制度中所扮演之角色及責任，受查者可能以書面形式（例如，政策手冊、會計及財務報導手冊、備忘錄）或以電子、口頭形式或其他管理作為與員工進行溝通。

1. 受查者對相關人員於財務報導所扮演之角色及責任，以及財務報導相關重大事項之溝通，包含使員工瞭解其於與財務報導攸關之內部控制制度中所扮演之個別角色及責任。
2. 前述溝通事項之範圍可能包括使員工瞭解其於資訊系統中之作業如何與他人之工作產生關聯，以及向適當較高層級人員報告例外事項之方法。

(五) 控制作業

1、查核人員應辨認「控制作業」 (Control Activities)組成要素中之控制。該等控制包括資訊「處理控制」及資訊科技「一般控制」，兩者之性質可能為人工作業或自動化作業。

1. 管理階層對財務報導使用並依賴自動化控制或涉及自動化層面之控制之程度愈高，受查者執行「一般控制」可能愈重要，因一般控制係用以確保資訊處理控制之自動化層面能持續運作。
2. 控制作業組成要素中控制之類型可能包括：

2、某些控制可能有賴於管理階層或治理單位所訂之適當較高層級政策。例如，例行性交易之授權控制可能藉由已制定之指引（例如由治理單位所訂定之投資準則）予以執行；非例行性交易（如重大收購或投資處分）可能須經特定之高層核准或股東會通過。

三、辨認受查者使用資訊科技之風險及其一般控制

(一) 受查者使用資訊科技對查核工作之影響

1、瞭解受查者「使用資訊科技之風險」，以及其為因應該等風險所執行之資訊科技一般控制（下稱「一般控制」），可能影響查核人員：

1. 對是否測試因應個別項目聲明重大不實表達風險之控制（例如，應用系統中自動化控制）執行有效性之決定。
2. 對個別項目聲明控制風險之評估。
3. 對受查者資訊科技應用系統（下稱「應用系統」(IT Applications)）所產生及取得資訊之測試策略。
4. 對個別項目聲明固有風險之評估。
5. 對進一步查核程序之設計。

2、辨認受使用資訊科技風險影響之「應用系統」

1. 就與資訊系統攸關之應用系統而言，瞭解受查者特定資訊科技流程之性質與複雜性及已實行之一般控制，可能有助於查核人員確認受查者係依賴何種應用系統。
2. 查核人員於辨認受使用資訊科技風險影響之應用系統時，應考量其所辨認之控制，因該等控制可能涉及資訊科技之使用或依賴資訊科技。
1. 受查者之「應用系統」如能正確處理，將得以維持資訊系統中資訊之完整性、正確性及有效性。「應用系統」可能受使用資訊科技之風險影響。
2. 查核人員可能著重於應用系統是否包括管理階層所依賴且查核人員所辨認之自動化控制，該等控制可能包括因應僅執行證實程序無法取得足夠及適切查核證據之風險之控制。
3. 查核人員亦可能考量資訊如何於與「主要個別項目」有關之資訊系統中儲存及處理，以及管理階層是否依賴一般控制，以維持該等資訊之完整性、正確性及有效性。
4. 查核人員所辨認之控制可能依賴系統所產生之報表，於此情況下：
1. 產生該等報表之應用系統可能受使用資訊科技之風險影響。
2. 查核人員可能未規劃信賴對系統所產生報表之控制，而規劃直接測試該等報表之輸入及輸出。於此情況下，查核人員可能不會辨認該相關之應用系統係受使用資訊科技之風險所影響。
5. 可擴縮性
1. 查核人員對資訊科技流程取得瞭解之範圍（包括受查者實行一般控制之範圍），將因受查者之性質、情況及其資訊科技環境，以及查核人員所辨認控制之性質及範圍不同而異。
2. 受使用資訊科技風險影響之應用系統數量，因受查者之性質、情況及其資訊科技環境而有所不同。
3. 當受查者之資訊科技環境較具複雜性，查核團隊於辨認應用系統及資訊科技環境之其他層面、決定使用資訊科技所產生之相關風險，以及辨認一般控制時，可能須有具備資訊科技專業技術之成員參與。對於複雜之資訊科技環境，此種參與可能係屬必要且廣泛。

3、辨認受資訊科技風險影響之資訊科技環境其他層面

1. 資訊科技環境之其他層面包括網路、作業系統、資料庫及應用系統間之介面，可能受使用資訊科技之風險影響。
1. 當查核人員未辨認出受使用資訊科技風險影響之應用系統時，通常亦不會辨認出受該風險影響之資訊科技環境之其他層面。
2. 當查核人員辨認出受使用資訊科技風險影響之應用系統時，則可能辨認出受該風險影響之資訊科技環境之其他層面（例如資料庫、作業系統及網路），因該等層面支持所辨認之應用系統並與其相互影響。
2. 查核人員於辨認使用資訊科技之風險時，可考量所辨認應用系統或資訊科技環境其他層面之性質，以及其受使用資訊科技風險影響之原因。

(二) 辨認使用資訊科技之風險對查核工作之影響

1、查核人員對於某些所辨認「應用系統」或資訊科技環境之「其他層面」，可能辨認出使用資訊科技之風險。

1. 該風險主要與未經授權之存取程式修改及不當之資料修改有關。
2. 例如，透過直接存取資料庫(direct database access) ，或直接操弄資訊之能力(ability to directly manipulate information)，對資料作不當修改。

2、使用資訊科技風險之性質及範圍，取決於所辨認應用系統與資訊科技環境其他層面之性質及特性。

1. 當受查者對所辨認之資訊科技環境層面採用外部或內部服務機構時，可能產生資訊科技之風險（例如，委由第三方管理其資訊科技環境，或於集團內採行共用之服務中心集中管理其資訊科技流程）。
2. 使用資訊科技之風險亦可能被辨認為與網路安全有關。當自動化應用控制之數量或複雜性愈高，且管理階層高度依賴該等控制以有效處理交易或維持資訊之完整性、正確性及有效性時，使用資訊科技之風險種類可能愈多。

資料來源

• 本文章有關審計準則公報第75號「辨認並評估重大不實表達風險」著作權專屬於財團法人會計研究發展基金會所有，本人基於研究目的自財團法人中華民國會計研究發展基金會網站公報內容閱覽專區取得並摘錄援引。

延伸閱讀

1. 國際審計準則公報ISA_620(審計準則公報第71號「查核人員專家」)解析
2. 國際審計準則公報ISA_501(審計準則公報第70號「查核證據——存貨、訴訟與索賠及營運部門資訊之特別考量」)解析