粵注協(xié)〔2024〕19號《廣東省注冊會(huì )計師協(xié)會(huì )關(guān)于會(huì )計師事務(wù)所執行審計業(yè)務(wù)涉及信息系統審計的風(fēng)險提示函》

廣東省注冊會(huì )計師協(xié)會(huì )關(guān)于會(huì )計師事務(wù)所執行審計業(yè)務(wù)涉及信息系統審計的風(fēng)險提示函






粵注協(xié)〔2024〕19號

各會(huì )計師事務(wù)所：

隨著(zhù)信息技術(shù)在企業(yè)日常運營(yíng)各個(gè)環(huán)節的深入運用，信息技術(shù)對企業(yè)財務(wù)報告的編制效率及正確性影響也越來(lái)越大。會(huì )計師事務(wù)所對高度依賴(lài)信息系統的企業(yè)進(jìn)行相關(guān)財務(wù)報表審計工作時(shí)，應加強對信息技術(shù)因素可能導致財務(wù)報表重大錯報風(fēng)險的重視。為幫助會(huì )計師事務(wù)所在審計業(yè)務(wù)中有效防范信息技術(shù)帶來(lái)的執業(yè)風(fēng)險，廣東省注冊會(huì )計師協(xié)會(huì )專(zhuān)業(yè)指導委員會(huì )提示如下，具體詳見(jiàn)附件。





 

廣東省注冊會(huì )計師協(xié)會(huì )

2024年2月4日





 

廣東省注冊會(huì )計師協(xié)會(huì )關(guān)于會(huì )計師事務(wù)所執行審計業(yè)務(wù)涉及信息系統審計的風(fēng)險提示函

各會(huì )計師事務(wù)所：

隨著(zhù)信息技術(shù)在企業(yè)日常運營(yíng)各個(gè)環(huán)節的深入運用，信息技術(shù)對企業(yè)財務(wù)報告的編制效率及正確性影響也越來(lái)越大。會(huì )計師事務(wù)所對高度依賴(lài)信息系統的企業(yè)進(jìn)行相關(guān)財務(wù)報表審計工作時(shí)，應加強對信息技術(shù)因素可能導致財務(wù)報表重大錯報風(fēng)險的重視。為幫助會(huì )計師事務(wù)所在審計業(yè)務(wù)中有效防范信息技術(shù)帶來(lái)的執業(yè)風(fēng)險，廣東省注冊會(huì )計師協(xié)會(huì )專(zhuān)業(yè)指導委員會(huì )提示如下：

風(fēng)險提示1：關(guān)注會(huì )計師事務(wù)所信息技術(shù)專(zhuān)業(yè)勝任能力對信息系統審計工作的影響

執行信息系統審計工作的相關(guān)人員，應具備相應的信息技術(shù)技能和知識，包括熟悉信息系統的規劃、設計、開(kāi)發(fā)、運維和安全防護等基礎知識，掌握數據分析和代碼技能。此外，信息系統審計過(guò)程中可能使用到各種專(zhuān)業(yè)審計工具，如數據分析軟件、系統配置檢查腳本、安全評估工具等，執行信息系統審計工作的相關(guān)人員也應熟練使用。如信息技術(shù)的專(zhuān)業(yè)勝任能力不足，可能影響項目審計質(zhì)量。

會(huì )計師事務(wù)所應加強對信息系統審計人員的專(zhuān)業(yè)培訓，提高其技能和知識水平，以有效應對潛在的審計風(fēng)險。會(huì )計師事務(wù)所還應對信息系統審計方法論及信息技術(shù)相關(guān)規范要求進(jìn)行深入研究，制定信息系統審計工作的標準化和規范化流程。會(huì )計師事務(wù)所還需要考慮相關(guān)專(zhuān)業(yè)審計工具的獲取和使用過(guò)程中是否合法合規，包括關(guān)注是否具有軟件使用許可、是否存在數據泄露及隱藏惡意代碼風(fēng)險等。

風(fēng)險提示2：確定針對被審計單位執行信息系統審計的必要性

注冊會(huì )計師應對企業(yè)的財務(wù)數據和業(yè)務(wù)流程進(jìn)行深入了解，按照風(fēng)險導向原則制定整體審計計劃，綜合考慮重要審計領(lǐng)域及科目所涉及的業(yè)務(wù)流程及內部控制是否高度依賴(lài)信息系統的數據輸入和處理、系統自動(dòng)計算并由系統產(chǎn)出報表，審計工作是否存在無(wú)法通過(guò)大量的實(shí)質(zhì)性測試工作覆蓋所有業(yè)務(wù)場(chǎng)景以提供合理保證等情況，在項目組內部充分討論后確定執行相關(guān)信息系統審計的必要性。

執行信息系統審計時(shí)，除制定常規的信息系統審計程序外，信息系統審計團隊需要對復雜的高風(fēng)險系統給予特別關(guān)注。一般情況下，信息系統是否復雜取決于系統類(lèi)型和數據處理程度，復雜且高風(fēng)險系統一般包含以下特點(diǎn)：

(一)有復雜的自動(dòng)化計算邏輯，且對財報數據存在影響，如保費計算、傭金計算、加權平均估值法核算存貨成本、復雜模型的成本計提、賬單進(jìn)行多重定價(jià)計算等系統。

(二)供應商不再提供維護服務(wù)和功能迭代支持但依然存在較多業(yè)務(wù)場(chǎng)景變化和功能需求變更。

(三)支持企業(yè)核心業(yè)務(wù)且系統間具有廣泛定制接口，如生產(chǎn)企業(yè)的ERP系統、互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)核心平臺等。

(四)處理大量交易。

(五)為大型集團、多業(yè)務(wù)模式企業(yè)等復雜經(jīng)營(yíng)實(shí)體處理信息且具有復雜的架構。

此外，對于A(yíng)股IPO項目，按照相關(guān)監管要求，報告期內任意一期通過(guò)互聯(lián)網(wǎng)取得的營(yíng)業(yè)收入占比或毛利占比超過(guò)30%，或核心流程高度依賴(lài)信息系統的企業(yè),注冊會(huì )計師原則上均應對該類(lèi)企業(yè)的信息系統可靠性進(jìn)行專(zhuān)項核查并發(fā)表明確核查意見(jiàn)。

風(fēng)險提示3：關(guān)注被審計單位信息系統審計范圍確定的影響

注冊會(huì )計師應結合對被審計單位信息技術(shù)環(huán)境的初步了解，按照審計計劃中重要審計領(lǐng)域所依賴(lài)的信息系統，確定信息系統的審計范圍：一是確定重要的財務(wù)報表科目、組成部分及重大披露;二是確定財務(wù)報表審計中的重要業(yè)務(wù)流程和交易;三是識別相關(guān)業(yè)務(wù)流程和交易的潛在錯報風(fēng)險來(lái)源;四是確定所識別風(fēng)險的相關(guān)系統應用控制和數據，如系統實(shí)現了哪些自動(dòng)化控制，系統生成的報表或信息，系統支持哪些自動(dòng)計算，系統實(shí)現的權限管理和職責分離情況，系統之間的自動(dòng)化接口等。

注冊會(huì )計師需要從包括信息技術(shù)風(fēng)險影響要素確認、系統依賴(lài)點(diǎn)范圍、信息技術(shù)治理環(huán)境控制測試范圍、信息技術(shù)一般性控制測試范圍、信息技術(shù)應用控制測試范圍、信息技術(shù)輔助審計范圍等方面確定審計方案中的信息系統審計范圍。

風(fēng)險提示4：關(guān)注具體執行信息系統審計過(guò)程的規范性和系統性

對目標信息系統執行審計，主要涉及對被審計單位的信息技術(shù)治理環(huán)境控制(信息系統控制體系的大背景，決定管理的基調和健康程度)、一般性控制(信息系統風(fēng)險應對體系的基礎和內核，為應用控制體系提供穩健持續有效的保證)、應用控制(直接對業(yè)務(wù)流程進(jìn)行有效支撐和保障)進(jìn)行測試，并按需對業(yè)務(wù)數據執行全量分析。注冊會(huì )計師收集相關(guān)證據、完成相關(guān)底稿，最后形成審計發(fā)現，評估其對被審計單位整體信息系統的安全性、完整性、可用性目標所造成的影響，進(jìn)一步評估其對財務(wù)報告所產(chǎn)生的影響。

其中，對于治理環(huán)境控制測試和一般性控制測試，主要評估其設計有效性及執行有效性。設計有效性主要關(guān)注被審計單位對信息技術(shù)各控制點(diǎn)的相關(guān)風(fēng)險是否進(jìn)行了有效識別并設計了相應的制度和流程來(lái)應對，主要體現在是否建立了有效的制度、規程、指引、授權及權限分離等;執行有效性主要關(guān)注被審計單位對該控制點(diǎn)是否按照所制定的制度規程要求在報告期內規范有效執行，并能提供清晰可靠的執行有效性證據。大多數情況下，被審計單位可能未嚴格按照內部控制規范、相關(guān)行業(yè)規范制定信息技術(shù)內控制度，注冊會(huì )計師需要關(guān)注被審計單位信息技術(shù)部門(mén)是否按照行業(yè)約定俗成的方式對信息系統各方面進(jìn)行有效管控，確認其執行有效。

(一)執行信息技術(shù)治理環(huán)境控制測試

注冊會(huì )計師按照對信息技術(shù)環(huán)境的初步了解，進(jìn)一步對信息技術(shù)治理環(huán)境的設計有效性及執行有效性進(jìn)行控制測試，主要涉及的控制點(diǎn)如下：

1.治理環(huán)境-信息系統組織架構;

2.治理環(huán)境-崗位職責及其分離;

3.治理環(huán)境-信息系統戰略規劃;

4.治理環(huán)境-信息技術(shù)人員招聘與簽約;

5.治理環(huán)境-信息技術(shù)人員培訓與評價(jià);

6.治理環(huán)境-信息技術(shù)人員工作變更與終止;

7.治理環(huán)境-信息系統風(fēng)險識別、評估及響應;

8.治理環(huán)境-第三方管理;

9.治理環(huán)境-信息系統制度體系。

(二)執行信息技術(shù)一般性控制測試

信息系統一般控制由四大領(lǐng)域組成：系統開(kāi)發(fā)、系統安全運維、系統變更、程序及數據的訪(fǎng)問(wèn)控制，共同構建了信息技術(shù)風(fēng)險應對體系的內核。

1.針對系統開(kāi)發(fā)控制按照如下各控制點(diǎn)測試系統開(kāi)發(fā)內控設計有效性及執行有效性：

(1)應用系統開(kāi)發(fā)-立項及需求分析;

(2)應用系統開(kāi)發(fā)-詳細功能設計;

(3)應用系統開(kāi)發(fā)-編碼開(kāi)發(fā)規范管理;

(4)應用系統開(kāi)發(fā)-系統上線(xiàn)前及更新測試;

(5)應用系統開(kāi)發(fā)-數據遷移;

(6)應用系統開(kāi)發(fā)-系統上線(xiàn);

(7)應用系統開(kāi)發(fā)-系統開(kāi)發(fā)的變更管理。

2.針對系統安全運維控制按照如下各控制點(diǎn)測試系統安全運維內控設計的有效性及執行有效性：

(1)安全運維-物理環(huán)境安全;

(2)安全運維-系統環(huán)境安全;

(3)安全運維-作業(yè)調度;

(4)安全運維-數據備份;

(5)安全運維-備份數據恢復性測試;

(6)安全運維-事件/問(wèn)題管理;

(7)安全運維-信息系統持續性計劃;

(8)安全運維-生產(chǎn)環(huán)境與開(kāi)發(fā)測試環(huán)境分離;

(9)安全運維-生產(chǎn)環(huán)境變更。

3.針對程序和數據訪(fǎng)問(wèn)控制，按照如下各控制點(diǎn)測試系統訪(fǎng)問(wèn)控制內控設計的有效性及執行有效性：

(1)程序及數據訪(fǎng)問(wèn)-物理環(huán)境訪(fǎng)問(wèn)控制;

(2)程序及數據訪(fǎng)問(wèn)-超級用戶(hù)/特權用戶(hù);

(3)程序及數據訪(fǎng)問(wèn)-用戶(hù)賬號及身份驗證;

(4)程序及數據訪(fǎng)問(wèn)-訪(fǎng)問(wèn)管理/授權審批;

(5)程序及數據訪(fǎng)問(wèn)-用戶(hù)權限定期審閱。

注冊會(huì )計師應按照審計準則要求并結合被審計單位實(shí)際情況，對各控制點(diǎn)的設計有效性及執行有效性獲取常規證據清單，并執行有效性評價(jià)，編制治理環(huán)境及一般性控制的底稿。

(三)執行信息技術(shù)應用控制測試

信息系統應用控制范圍的確定是一個(gè)由淺入深的過(guò)程，在審計的初步規劃階段，注冊會(huì )計師僅獲取應用控制的初步范圍，詳細審計范圍的確定需要在詳細審計規劃階段和審計執行初期，通過(guò)資深項目負責人對各業(yè)務(wù)流程進(jìn)行端到端的了解后才能確定。

通俗地理解，在對被審計單位執行內部控制測試時(shí)，應針對選定的重點(diǎn)審計事項所涉及的信息系統(包括業(yè)務(wù)系統及財務(wù)系統)，緊密結合信息系統的控制，通過(guò)對不同業(yè)務(wù)類(lèi)型選定一個(gè)樣本執行穿行測試，充分理解流程的發(fā)起、流轉、審批、處理等業(yè)務(wù)流程，以及該流程各環(huán)節在信息系統中的數據邏輯，需結合數據流轉流程進(jìn)行跟蹤穿行，針對流程數據，驗證在每個(gè)關(guān)鍵控制點(diǎn)的數據流轉的一致性、發(fā)起及審批權限的設計合理性及授權匹配性、對數據加工運算的正確性、異構系統接口對數據傳輸和接收的完整性，以及最后財務(wù)核算所依賴(lài)報表的輸出正確性等。

通過(guò)樣本穿行，確認系統對數據處理的正確性，并充分識別關(guān)鍵控制點(diǎn)，執行進(jìn)一步的自動(dòng)計算/控制測試、報表輸出測試、權限測試、接口測試等，如部分自動(dòng)計算、報表統計生成較為復雜，需要引入信息技術(shù)專(zhuān)家對業(yè)務(wù)邏輯進(jìn)行復盤(pán)(審核代碼或者重寫(xiě)處理邏輯對源數據進(jìn)行運算，比對輸出后的數據與系統數據的差異性)，并結合CAATs分析應對系統日志進(jìn)行全量數據分析，確認權限控制及數據傳輸校驗的有效性及數據處理邏輯的正確性等審計目標。

整體來(lái)說(shuō)，應用控制應由審計項目組按照對被審計單位的業(yè)務(wù)流程，結合重點(diǎn)審計事項，對該事項流程所涉及的信息系統按照不同業(yè)務(wù)類(lèi)型進(jìn)行穿行測試，形成穿行測試證據，并規整編制穿行底稿。確認數據流轉和加工處理是否正常，進(jìn)一步確認是否在部分關(guān)鍵控制環(huán)節引入信息技術(shù)專(zhuān)家輔助執行全量數據測試，確保系統應用控制的有效性。

(四)執行信息技術(shù)輔助審計(CAATs)

隨著(zhù)企業(yè)的業(yè)務(wù)流程高度集成于信息化環(huán)境中，傳統審計程序已無(wú)法適應新時(shí)代的審計環(huán)境及審計需求，基于企業(yè)的所有關(guān)鍵交易信息均存儲于信息系統中，在被審計單位規模不斷擴大，伴隨著(zhù)交易數據成量級增長(cháng)的情況下，審計人員很難再依賴(lài)人工抽樣等傳統審計方式對如此大量的數據進(jìn)行審計。CAATs相關(guān)工具能快速實(shí)現海量重復計算，通過(guò)數據異常來(lái)體現潛在的內控缺陷、反映高風(fēng)險交易等。在審計程序的實(shí)質(zhì)性測試中，可協(xié)助項目組執行系統數據提取、系統數據核對(系統間業(yè)務(wù)數據一致性核對、業(yè)財數據一致性核對)、日記賬分析、核心業(yè)務(wù)數據分析等。

一般而言，執行CAATs工作需要經(jīng)歷如下步驟：

1.確立審計范圍、目標及關(guān)注點(diǎn);

2.了解審計范圍所涉及的數據源系統邏輯和數據庫表結構、數據字典、元數據等相關(guān)信息;

3.在確保數據源提取準確性的前提下，執行源數據提取并導入CAATs分析工具;

4.對導入源數據執行清洗和缺失性分析;

5.基于審計目標及關(guān)注點(diǎn)，構建數據分析模型，利用源數據生成模型結果統計數據;

6.對結果數據進(jìn)行分析，查找異常點(diǎn)，與企業(yè)溝通查找原因;

7.形成底稿記錄及審計小結。

針對大量的業(yè)務(wù)數據，信息技術(shù)人員可通過(guò)如Excel、PowerBI、Python、ACL、數據庫軟件等專(zhuān)業(yè)工具對數據進(jìn)行處理和分析，必要時(shí)需要有編程能力應對復雜數據處理和結果呈現。

風(fēng)險提示5：信息系統審計發(fā)現的影響評估和追加審計程序的充分性

需要注意的是，信息系統審計和財務(wù)報表審計應服務(wù)于同一個(gè)審計目標，作為一個(gè)審計整體互相配合，不能將信息系統審計從財務(wù)報表審計中割裂出來(lái)作為一個(gè)低耦合的工作模塊。特別是當信息系統審計團隊識別到信息系統存在控制缺陷或數據存在不一致或違反邏輯等異常情形，需要及時(shí)有效地與財務(wù)報表審計團隊或團隊內其他審計小組就信息系統相關(guān)問(wèn)題進(jìn)行溝通，評估該缺陷及數據異常對于現有審計程序的影響，以及是否需要額外采取適當的追加審計程序，如增加對于手工補償性控制的測試、調整實(shí)質(zhì)性測試程序的樣本數量等。該評估過(guò)程以及評估結論需要在相關(guān)的工作底稿中進(jìn)行恰當記錄。

信息系統審計是一項專(zhuān)業(yè)性強的綜合性工作，涉及多個(gè)領(lǐng)域，要求會(huì )計師事務(wù)所從業(yè)人員具備較高的專(zhuān)業(yè)勝任能力。為了更好地開(kāi)展審計工作，從業(yè)人員需要熟悉信息技術(shù)基本理論及各類(lèi)軟件技術(shù),同時(shí)結合被審計單位的信息系統進(jìn)行審計。在財務(wù)報表審計中，注冊會(huì )計師需要對財務(wù)報表是否在所有重大方面按照適用的財務(wù)報告編制發(fā)表審計意見(jiàn)。審計準則要求注冊會(huì )計師應當了解與審計有關(guān)的內部控制、了解與財務(wù)報告相關(guān)的信息系統、了解企業(yè)如何應對信息技術(shù)導致的風(fēng)險并確定審計應對。因此，不管是否執行信息系統審計程序，注冊會(huì )計師都需要對被審計單位的信息系統整體環(huán)境進(jìn)行了解，按照被審單位對信息系統的依賴(lài)程度和系統的復雜性程度確定執行信息系統審計的范圍。

本提示函僅供注冊會(huì )計師在執業(yè)過(guò)程中參考，并未涵蓋會(huì )計師事務(wù)所執行審計業(yè)務(wù)涉及信息系統審計的全部關(guān)注事項以及可能面臨的全部風(fēng)險，也不能替代相關(guān)法律法規、執業(yè)準則以及注冊會(huì )計師的職業(yè)判斷。會(huì )計師事務(wù)所及其從業(yè)人員在執業(yè)中仍需結合項目實(shí)際情況以及注冊會(huì )計師的職業(yè)判斷開(kāi)展工作。





 

廣東省注冊會(huì )計師協(xié)會(huì )

2024年1月15日

本文鏈接：http://jumpstarthappiness.com/policy/224363.html

本文關(guān)鍵詞： 粵注協(xié), 廣東省注冊會(huì )計師協(xié)會(huì ), 會(huì )計師事務(wù)所, 執行, 業(yè)務(wù), 信息, 系統, 審計, 風(fēng)險, 提示函