（1）计算机输入和输出设备代替了手工记录；

（2）计算机显示屏和电子影像代替了纸质凭证；

（3）计算机文档代替了纸质日记账和分类账；

（4）网络通信和电子邮件代替了公司间的邮寄；

（5）管理需求固化到应用程序之中；

（6）灵活多样的报告代替了固定的定期报告；

（7）数据更加充分，信息实现共享；

（8）系统问题的存在比偶然性误差更为普遍。

注册会计师在进行财务报表审计时，如果依赖相关信息系统所形成的财务信息和报告作为审计工作的依据，则需要在整个过程中考虑信息的准确性、完整性、授权体系及访问限制四个方面。

可能会错误地处理数据，也可能会处理错误的数据

如相关安全控制如果无效，会增加对数据信息非授权访问的风险，这种风险可能导致非授权交易、虚假交易、系统程序和系统内数据的不当改变、交易的不当记录，以及信息技术人员越权访问和处理等

数据丢失风险或数据无法访问风险，如系统瘫痪

不适当的人工干预，或人为绕过自动控制

（1）一般控制是指为保证信息系统安全，对整个信息系统及外部各种环境要素实施的、对所有应用或控制模块有普遍影响的控制。

（2）通常会对部分或全部财务报表认定做出间接贡献，某些情况下，也可能对实现信息处理目标和财务报表认定做出直接贡献。

程序开发

程序变更

程序和数据访问

计算机运行

应用控制一般要经过输入、处理及输出等环节。关注的要素包括完整性、准确性、存在和发生等。

（1）系统自动生成报告

（2）系统配置和科目映射

（3）接口控制；

（4）访问和权限。

（1）公司层面信息技术控制是信息技术的整体控制环境，决定了信息技术一般控制和应用控制的风险基调；

（2）一般控制是应用控制的基础，一般控制的有效性直接关系到应用控制的有效性。

（1）无论被审计单位运用信息技术的程度如何，注册会计师均需了解与审计相关的信息技术一般控制和应用控制；

（2）如果计划依赖自动化应用控制、系统生成的信息等，则需要对信息技术的一般控制进行测试。

信息技术的应用不改变注册会计师制定审计目标、进行风险评估和了解内部控制的原则性要求

（1）影响审计线索和审计技术手段；

（2）影响对被审计单位的内部控制的考虑；

（3）影响审计内容（例如，注册会计师需要考虑信息技术环境下相关数据的准确性）；

（4）影响注册会计师的知识和技能（例如，信息技术的广泛运用要求注册会计师具备相关信息技术方面的知识）

考虑因素包括流程的人员、操作和决策活动、数据处理量、处理方式及对系统生成的报告的依赖程度等。

（1）评估信息系统复杂度需要大量职业判断，同时受到所使用系统类型（如商业软件或自行研发系统）的影响；

（2）评估商业软件的复杂程度，应当考虑系统复杂程度、市场份额、参数设置范围，以及客制化程度；

（3）评估自行研发系统的复杂度，应当考虑系统复杂程度、距离上一次系统架构重大变更的时间、系统变更对财务系统的影响结果，以及系统变更之后的系统运行情况及运行期间。

（1）评估信息技术环境的规模和复杂度时，应当主要考虑产生财务数据的信息系统数量、信息系统接口以及数据传输方式、信息部门的结构与规模、网络规模、用户数量、外包及访问方式（例如本地登录或远程登录）；

（2）信息技术环境复杂并不一定意味着信息系统是复杂的，反之亦然。

（1）面向系统的计算机辅助审计技术，包括平行模拟法、测试数据法、嵌入审计模块法、程序编码审查、程序代码比较和跟踪、快照等方法；

（2）面向数据的计算机辅助审计技术，包括数据查询、账表分析、审计抽样、统计分析、数值分析等方法。

计算机辅助审计技术的应用领域包括实质性程序（特别是分析程序）、控制测试以及辅助对舞弊的检查等。

在网络环境下，存在应用软件和数据文件分布不同位置而产生安全、兼容性等问题。

存在多重使用者能够访问和修改共享数据的风险

存在信息容易被拦截、篡改或不当获取的风险。此外，被审计单位的会计信息系统可能与交易对方的系统相连接，产生互相依赖的风险。

被审计单位可能将信息技术职能外包给专门的服务机构

当外包安排构成被审计单位与财务报告相关的信息系统或业务流程的一部分：

（1）了解服务机构中与内部控制相关的控制以及针对服务机构活动所实施的控制；

（2）获取相关控制运行有效性的证据

（1）了解服务机构注册会计师对服务机构内部控制有效性出具的报告或与控制测试相关的商定程序报告；

（2）测试被审计单位对服务机构活动的控制；

（3）对服务机构实施控制测试

如果可以获取服务机构注册会计师对服务机构内部控制有效性出具的报告，注册会计师应考虑三点因素进行评价：

（1）控制测试涵盖的期间以及与管理层评估时间点的关系；

（2）测试涵盖的范围、测试的控制及其与企业控制的关联度；

（3）控制测试结果以及服务机构注册会计师对控制运行有效性发表的意见