廣東省注冊會計師協(xié)會關(guān)于會計師事務所執(zhí)行審計業(yè)務涉及信息系統(tǒng)審計的風險提示函

粵注協(xié)〔2024〕19號

各會計師事務所：

隨著信息技術(shù)在企業(yè)日常運營各個環(huán)節(jié)的深入運用，信息技術(shù)對企業(yè)財務報告的編制效率及正確性影響也越來越大。會計師事務所對高度依賴信息系統(tǒng)的企業(yè)進行相關(guān)財務報表審計工作時，應加強對信息技術(shù)因素可能導致財務報表重大錯報風險的重視。為幫助會計師事務所在審計業(yè)務中有效防范信息技術(shù)帶來的執(zhí)業(yè)風險，廣東省注冊會計師協(xié)會專業(yè)指導委員會提示如下：

風險提示1：關(guān)注會計師事務所信息技術(shù)專業(yè)勝任能力對信息系統(tǒng)審計工作的影響

執(zhí)行信息系統(tǒng)審計工作的相關(guān)人員，應具備相應的信息技術(shù)技能和知識，包括熟悉信息系統(tǒng)的規(guī)劃、設(shè)計、開發(fā)、運維和安全防護等基礎(chǔ)知識，掌握數(shù)據(jù)分析和代碼技能。此外，信息系統(tǒng)審計過程中可能使用到各種專業(yè)審計工具，如數(shù)據(jù)分析軟件、系統(tǒng)配置檢查腳本、安全評估工具等，執(zhí)行信息系統(tǒng)審計工作的相關(guān)人員也應熟練使用。如信息技術(shù)的專業(yè)勝任能力不足，可能影響項目審計質(zhì)量。

會計師事務所應加強對信息系統(tǒng)審計人員的專業(yè)培訓，提高其技能和知識水平，以有效應對潛在的審計風險。會計師事務所還應對信息系統(tǒng)審計方法論及信息技術(shù)相關(guān)規(guī)范要求進行深入研究，制定信息系統(tǒng)審計工作的標準化和規(guī)范化流程。會計師事務所還需要考慮相關(guān)專業(yè)審計工具的獲取和使用過程中是否合法合規(guī)，包括關(guān)注是否具有軟件使用許可、是否存在數(shù)據(jù)泄露及隱藏惡意代碼風險等。

風險提示2：確定針對被審計單位執(zhí)行信息系統(tǒng)審計的必要性

注冊會計師應對企業(yè)的財務數(shù)據(jù)和業(yè)務流程進行深入了解，按照風險導向原則制定整體審計計劃，綜合考慮重要審計領(lǐng)域及科目所涉及的業(yè)務流程及內(nèi)部控制是否高度依賴信息系統(tǒng)的數(shù)據(jù)輸入和處理、系統(tǒng)自動計算并由系統(tǒng)產(chǎn)出報表，審計工作是否存在無法通過大量的實質(zhì)性測試工作覆蓋所有業(yè)務場景以提供合理保證等情況，在項目組內(nèi)部充分討論后確定執(zhí)行相關(guān)信息系統(tǒng)審計的必要性。

執(zhí)行信息系統(tǒng)審計時，除制定常規(guī)的信息系統(tǒng)審計程序外，信息系統(tǒng)審計團隊需要對復雜的高風險系統(tǒng)給予特別關(guān)注。一般情況下，信息系統(tǒng)是否復雜取決于系統(tǒng)類型和數(shù)據(jù)處理程度，復雜且高風險系統(tǒng)一般包含以下特點：

（一）有復雜的自動化計算邏輯，且對財報數(shù)據(jù)存在影響，如保費計算、傭金計算、加權(quán)平均估值法核算存貨成本、復雜模型的成本計提、賬單進行多重定價計算等系統(tǒng)。

（二）供應商不再提供維護服務和功能迭代支持但依然存在較多業(yè)務場景變化和功能需求變更。

（三）支持企業(yè)核心業(yè)務且系統(tǒng)間具有廣泛定制接口，如生產(chǎn)企業(yè)的ERP系統(tǒng)、互聯(lián)網(wǎng)企業(yè)的業(yè)務核心平臺等。

（四）處理大量交易。

（五）為大型集團、多業(yè)務模式企業(yè)等復雜經(jīng)營實體處理信息且具有復雜的架構(gòu)。

此外，對于A股IPO項目，按照相關(guān)監(jiān)管要求，報告期內(nèi)任意一期通過互聯(lián)網(wǎng)取得的營業(yè)收入占比或毛利占比超過30%，或核心流程高度依賴信息系統(tǒng)的企業(yè)，注冊會計師原則上均應對該類企業(yè)的信息系統(tǒng)可靠性進行專項核查并發(fā)表明確核查意見。

風險提示3：關(guān)注被審計單位信息系統(tǒng)審計范圍確定的影響

注冊會計師應結(jié)合對被審計單位信息技術(shù)環(huán)境的初步了解，按照審計計劃中重要審計領(lǐng)域所依賴的信息系統(tǒng)，確定信息系統(tǒng)的審計范圍：一是確定重要的財務報表科目、組成部分及重大披露；二是確定財務報表審計中的重要業(yè)務流程和交易；三是識別相關(guān)業(yè)務流程和交易的潛在錯報風險來源；四是確定所識別風險的相關(guān)系統(tǒng)應用控制和數(shù)據(jù)，如系統(tǒng)實現(xiàn)了哪些自動化控制，系統(tǒng)生成的報表或信息，系統(tǒng)支持哪些自動計算，系統(tǒng)實現(xiàn)的權(quán)限管理和職責分離情況，系統(tǒng)之間的自動化接口等。

注冊會計師需要從包括信息技術(shù)風險影響要素確認、系統(tǒng)依賴點范圍、信息技術(shù)治理環(huán)境控制測試范圍、信息技術(shù)一般性控制測試范圍、信息技術(shù)應用控制測試范圍、信息技術(shù)輔助審計范圍等方面確定審計方案中的信息系統(tǒng)審計范圍。

風險提示4：關(guān)注具體執(zhí)行信息系統(tǒng)審計過程的規(guī)范性和系統(tǒng)性

對目標信息系統(tǒng)執(zhí)行審計，主要涉及對被審計單位的信息技術(shù)治理環(huán)境控制（信息系統(tǒng)控制體系的大背景，決定管理的基調(diào)和健康程度）、一般性控制（信息系統(tǒng)風險應對體系的基礎(chǔ)和內(nèi)核，為應用控制體系提供穩(wěn)健持續(xù)有效的保證）、應用控制（直接對業(yè)務流程進行有效支撐和保障）進行測試，并按需對業(yè)務數(shù)據(jù)執(zhí)行全量分析。注冊會計師收集相關(guān)證據(jù)、完成相關(guān)底稿，最后形成審計發(fā)現(xiàn)，評估其對被審計單位整體信息系統(tǒng)的安全性、完整性、可用性目標所造成的影響，進一步評估其對財務報告所產(chǎn)生的影響。

其中，對于治理環(huán)境控制測試和一般性控制測試，主要評估其設(shè)計有效性及執(zhí)行有效性。設(shè)計有效性主要關(guān)注被審計單位對信息技術(shù)各控制點的相關(guān)風險是否進行了有效識別并設(shè)計了相應的制度和流程來應對，主要體現(xiàn)在是否建立了有效的制度、規(guī)程、指引、授權(quán)及權(quán)限分離等；執(zhí)行有效性主要關(guān)注被審計單位對該控制點是否按照所制定的制度規(guī)程要求在報告期內(nèi)規(guī)范有效執(zhí)行，并能提供清晰可靠的執(zhí)行有效性證據(jù)。大多數(shù)情況下，被審計單位可能未嚴格按照內(nèi)部控制規(guī)范、相關(guān)行業(yè)規(guī)范制定信息技術(shù)內(nèi)控制度，注冊會計師需要關(guān)注被審計單位信息技術(shù)部門是否按照行業(yè)約定俗成的方式對信息系統(tǒng)各方面進行有效管控，確認其執(zhí)行有效。

（一）執(zhí)行信息技術(shù)治理環(huán)境控制測試

注冊會計師按照對信息技術(shù)環(huán)境的初步了解，進一步對信息技術(shù)治理環(huán)境的設(shè)計有效性及執(zhí)行有效性進行控制測試，主要涉及的控制點如下：

1.治理環(huán)境-信息系統(tǒng)組織架構(gòu)；

2.治理環(huán)境-崗位職責及其分離；

3.治理環(huán)境-信息系統(tǒng)戰(zhàn)略規(guī)劃；

4.治理環(huán)境-信息技術(shù)人員招聘與簽約；

5.治理環(huán)境-信息技術(shù)人員培訓與評價；

6.治理環(huán)境-信息技術(shù)人員工作變更與終止；

7.治理環(huán)境-信息系統(tǒng)風險識別、評估及響應；

8.治理環(huán)境-第三方管理；

9.治理環(huán)境-信息系統(tǒng)制度體系。

（二）執(zhí)行信息技術(shù)一般性控制測試

信息系統(tǒng)一般控制由四大領(lǐng)域組成：系統(tǒng)開發(fā)、系統(tǒng)安全運維、系統(tǒng)變更、程序及數(shù)據(jù)的訪問控制，共同構(gòu)建了信息技術(shù)風險應對體系的內(nèi)核。

1.針對系統(tǒng)開發(fā)控制按照如下各控制點測試系統(tǒng)開發(fā)內(nèi)控設(shè)計有效性及執(zhí)行有效性：

（1）應用系統(tǒng)開發(fā)-立項及需求分析；

（2）應用系統(tǒng)開發(fā)-詳細功能設(shè)計；

（3）應用系統(tǒng)開發(fā)-編碼開發(fā)規(guī)范管理；

（4）應用系統(tǒng)開發(fā)-系統(tǒng)上線前及更新測試；

（5）應用系統(tǒng)開發(fā)-數(shù)據(jù)遷移；

（6）應用系統(tǒng)開發(fā)-系統(tǒng)上線；

（7）應用系統(tǒng)開發(fā)-系統(tǒng)開發(fā)的變更管理。

2.針對系統(tǒng)安全運維控制按照如下各控制點測試系統(tǒng)安全運維內(nèi)控設(shè)計的有效性及執(zhí)行有效性：

（1）安全運維-物理環(huán)境安全；

（2）安全運維-系統(tǒng)環(huán)境安全；

（3）安全運維-作業(yè)調(diào)度；

（4）安全運維-數(shù)據(jù)備份；

（5）安全運維-備份數(shù)據(jù)恢復性測試；

（6）安全運維-事件/問題管理；

（7）安全運維-信息系統(tǒng)持續(xù)性計劃；

（8）安全運維-生產(chǎn)環(huán)境與開發(fā)測試環(huán)境分離；

（9）安全運維-生產(chǎn)環(huán)境變更。

3.針對程序和數(shù)據(jù)訪問控制，按照如下各控制點測試系統(tǒng)訪問控制內(nèi)控設(shè)計的有效性及執(zhí)行有效性：

（1）程序及數(shù)據(jù)訪問-物理環(huán)境訪問控制；

（2）程序及數(shù)據(jù)訪問-超級用戶/特權(quán)用戶；

（3）程序及數(shù)據(jù)訪問-用戶賬號及身份驗證；

（4）程序及數(shù)據(jù)訪問-訪問管理/授權(quán)審批；

（5）程序及數(shù)據(jù)訪問-用戶權(quán)限定期審閱。

注冊會計師應按照審計準則要求并結(jié)合被審計單位實際情況，對各控制點的設(shè)計有效性及執(zhí)行有效性獲取常規(guī)證據(jù)清單，并執(zhí)行有效性評價，編制治理環(huán)境及一般性控制的底稿。

（三）執(zhí)行信息技術(shù)應用控制測試

信息系統(tǒng)應用控制范圍的確定是一個由淺入深的過程，在審計的初步規(guī)劃階段，注冊會計師僅獲取應用控制的初步范圍，詳細審計范圍的確定需要在詳細審計規(guī)劃階段和審計執(zhí)行初期，通過資深項目負責人對各業(yè)務流程進行端到端的了解后才能確定。

通俗地理解，在對被審計單位執(zhí)行內(nèi)部控制測試時，應針對選定的重點審計事項所涉及的信息系統(tǒng)（包括業(yè)務系統(tǒng)及財務系統(tǒng)），緊密結(jié)合信息系統(tǒng)的控制，通過對不同業(yè)務類型選定一個樣本執(zhí)行穿行測試，充分理解流程的發(fā)起、流轉(zhuǎn)、審批、處理等業(yè)務流程，以及該流程各環(huán)節(jié)在信息系統(tǒng)中的數(shù)據(jù)邏輯，需結(jié)合數(shù)據(jù)流轉(zhuǎn)流程進行跟蹤穿行，針對流程數(shù)據(jù)，驗證在每個關(guān)鍵控制點的數(shù)據(jù)流轉(zhuǎn)的一致性、發(fā)起及審批權(quán)限的設(shè)計合理性及授權(quán)匹配性、對數(shù)據(jù)加工運算的正確性、異構(gòu)系統(tǒng)接口對數(shù)據(jù)傳輸和接收的完整性，以及最后財務核算所依賴報表的輸出正確性等。

通過樣本穿行，確認系統(tǒng)對數(shù)據(jù)處理的正確性，并充分識別關(guān)鍵控制點，執(zhí)行進一步的自動計算/控制測試、報表輸出測試、權(quán)限測試、接口測試等，如部分自動計算、報表統(tǒng)計生成較為復雜，需要引入信息技術(shù)專家對業(yè)務邏輯進行復盤（審核代碼或者重寫處理邏輯對源數(shù)據(jù)進行運算，比對輸出后的數(shù)據(jù)與系統(tǒng)數(shù)據(jù)的差異性），并結(jié)合CAATs分析應對系統(tǒng)日志進行全量數(shù)據(jù)分析，確認權(quán)限控制及數(shù)據(jù)傳輸校驗的有效性及數(shù)據(jù)處理邏輯的正確性等審計目標。

整體來說，應用控制應由審計項目組按照對被審計單位的業(yè)務流程，結(jié)合重點審計事項，對該事項流程所涉及的信息系統(tǒng)按照不同業(yè)務類型進行穿行測試，形成穿行測試證據(jù)，并規(guī)整編制穿行底稿。確認數(shù)據(jù)流轉(zhuǎn)和加工處理是否正常，進一步確認是否在部分關(guān)鍵控制環(huán)節(jié)引入信息技術(shù)專家輔助執(zhí)行全量數(shù)據(jù)測試，確保系統(tǒng)應用控制的有效性。

（四）執(zhí)行信息技術(shù)輔助審計（CAATs）

隨著企業(yè)的業(yè)務流程高度集成于信息化環(huán)境中，傳統(tǒng)審計程序已無法適應新時代的審計環(huán)境及審計需求，基于企業(yè)的所有關(guān)鍵交易信息均存儲于信息系統(tǒng)中，在被審計單位規(guī)模不斷擴大，伴隨著交易數(shù)據(jù)成量級增長的情況下，審計人員很難再依賴人工抽樣等傳統(tǒng)審計方式對如此大量的數(shù)據(jù)進行審計。CAATs相關(guān)工具能快速實現(xiàn)海量重復計算，通過數(shù)據(jù)異常來體現(xiàn)潛在的內(nèi)控缺陷、反映高風險交易等。在審計程序的實質(zhì)性測試中，可協(xié)助項目組執(zhí)行系統(tǒng)數(shù)據(jù)提取、系統(tǒng)數(shù)據(jù)核對（系統(tǒng)間業(yè)務數(shù)據(jù)一致性核對、業(yè)財數(shù)據(jù)一致性核對）、日記賬分析、核心業(yè)務數(shù)據(jù)分析等。

一般而言，執(zhí)行CAATs工作需要經(jīng)歷如下步驟：

1.確立審計范圍、目標及關(guān)注點；

2.了解審計范圍所涉及的數(shù)據(jù)源系統(tǒng)邏輯和數(shù)據(jù)庫表結(jié)構(gòu)、數(shù)據(jù)字典、元數(shù)據(jù)等相關(guān)信息；

3.在確保數(shù)據(jù)源提取準確性的前提下，執(zhí)行源數(shù)據(jù)提取并導入CAATs分析工具；

4.對導入源數(shù)據(jù)執(zhí)行清洗和缺失性分析；

5.基于審計目標及關(guān)注點，構(gòu)建數(shù)據(jù)分析模型，利用源數(shù)據(jù)生成模型結(jié)果統(tǒng)計數(shù)據(jù)；

6.對結(jié)果數(shù)據(jù)進行分析，查找異常點，與企業(yè)溝通查找原因；

7.形成底稿記錄及審計小結(jié)。

針對大量的業(yè)務數(shù)據(jù)，信息技術(shù)人員可通過如Excel、PowerBI、Python、ACL、數(shù)據(jù)庫軟件等專業(yè)工具對數(shù)據(jù)進行處理和分析，必要時需要有編程能力應對復雜數(shù)據(jù)處理和結(jié)果呈現(xiàn)。

風險提示5：信息系統(tǒng)審計發(fā)現(xiàn)的影響評估和追加審計程序的充分性

 需要注意的是，信息系統(tǒng)審計和財務報表審計應服務于同一個審計目標，作為一個審計整體互相配合，不能將信息系統(tǒng)審計從財務報表審計中割裂出來作為一個低耦合的工作模塊。特別是當信息系統(tǒng)審計團隊識別到信息系統(tǒng)存在控制缺陷或數(shù)據(jù)存在不一致或違反邏輯等異常情形，需要及時有效地與財務報表審計團隊或團隊內(nèi)其他審計小組就信息系統(tǒng)相關(guān)問題進行溝通，評估該缺陷及數(shù)據(jù)異常對于現(xiàn)有審計程序的影響，以及是否需要額外采取適當?shù)淖芳訉徲嫵绦?，如增加對于手工補償性控制的測試、調(diào)整實質(zhì)性測試程序的樣本數(shù)量等。該評估過程以及評估結(jié)論需要在相關(guān)的工作底稿中進行恰當記錄。

信息系統(tǒng)審計是一項專業(yè)性強的綜合性工作，涉及多個領(lǐng)域，要求會計師事務所從業(yè)人員具備較高的專業(yè)勝任能力。為了更好地開展審計工作，從業(yè)人員需要熟悉信息技術(shù)基本理論及各類軟件技術(shù)，同時結(jié)合被審計單位的信息系統(tǒng)進行審計。在財務報表審計中，注冊會計師需要對財務報表是否在所有重大方面按照適用的財務報告編制發(fā)表審計意見。審計準則要求注冊會計師應當了解與審計有關(guān)的內(nèi)部控制、了解與財務報告相關(guān)的信息系統(tǒng)、了解企業(yè)如何應對信息技術(shù)導致的風險并確定審計應對。因此，不管是否執(zhí)行信息系統(tǒng)審計程序，注冊會計師都需要對被審計單位的信息系統(tǒng)整體環(huán)境進行了解，按照被審單位對信息系統(tǒng)的依賴程度和系統(tǒng)的復雜性程度確定執(zhí)行信息系統(tǒng)審計的范圍。

本提示函僅供注冊會計師在執(zhí)業(yè)過程中參考，并未涵蓋會計師事務所執(zhí)行審計業(yè)務涉及信息系統(tǒng)審計的全部關(guān)注事項以及可能面臨的全部風險，也不能替代相關(guān)法律法規(guī)、執(zhí)業(yè)準則以及注冊會計師的職業(yè)判斷。會計師事務所及其從業(yè)人員在執(zhí)業(yè)中仍需結(jié)合項目實際情況以及注冊會計師的職業(yè)判斷開展工作。

廣東省注冊會計師協(xié)會

2024年1月15日