隨著信息技術在企業日常運營各個環節的深入運用,信息技術對企業財務報告的編制效率及正確性影響也越來越大。會計師事務所對高度依賴信息系統的企業進行相關財務報表審計工作時,應加強對信息技術因素可能導致財務報表重大錯報風險的重視。為幫助會計師事務所在審計業務中有效防范信息技術帶來的執業風險,廣東省注冊會計師協會專業指導委員會提示如下:
風險提示1:關注會計師事務所信息技術專業勝任能力對信息系統審計工作的影響
執行信息系統審計工作的相關人員,應具備相應的信息技術技能和知識,包括熟悉信息系統的規劃、設計、開發、運維和安全防護等基礎知識,掌握數據分析和代碼技能。此外,信息系統審計過程中可能使用到各種專業審計工具,如數據分析軟件、系統配置檢查腳本、安全評估工具等,執行信息系統審計工作的相關人員也應熟練使用。如信息技術的專業勝任能力不足,可能影響項目審計質量。
會計師事務所應加強對信息系統審計人員的專業培訓,提高其技能和知識水平,以有效應對潛在的審計風險。會計師事務所還應對信息系統審計方法論及信息技術相關規范要求進行深入研究,制定信息系統審計工作的標準化和規范化流程。會計師事務所還需要考慮相關專業審計工具的獲取和使用過程中是否合法合規,包括關注是否具有軟件使用許可、是否存在數據泄露及隱藏惡意代碼風險等。
風險提示2:確定針對被審計單位執行信息系統審計的必要性
注冊會計師應對企業的財務數據和業務流程進行深入了解,按照風險導向原則制定整體審計計劃,綜合考慮重要審計領域及科目所涉及的業務流程及內部控制是否高度依賴信息系統的數據輸入和處理、系統自動計算并由系統產出報表,審計工作是否存在無法通過大量的實質性測試工作覆蓋所有業務場景以提供合理保證等情況,在項目組內部充分討論后確定執行相關信息系統審計的必要性。
執行信息系統審計時,除制定常規的信息系統審計程序外,信息系統審計團隊需要對復雜的高風險系統給予特別關注。一般情況下,信息系統是否復雜取決于系統類型和數據處理程度,復雜且高風險系統一般包含以下特點:
(一)有復雜的自動化計算邏輯,且對財報數據存在影響,如保費計算、傭金計算、加權平均估值法核算存貨成本、復雜模型的成本計提、賬單進行多重定價計算等系統。
(二)供應商不再提供維護服務和功能迭代支持但依然存在較多業務場景變化和功能需求變更。
(三)支持企業核心業務且系統間具有廣泛定制接口,如生產企業的ERP系統、互聯網企業的業務核心平臺等。
(四)處理大量交易。
(五)為大型集團、多業務模式企業等復雜經營實體處理信息且具有復雜的架構。
此外,對于A股IPO項目,按照相關監管要求,報告期內任意一期通過互聯網取得的營業收入占比或毛利占比超過30%,或核心流程高度依賴信息系統的企業,注冊會計師原則上均應對該類企業的信息系統可靠性進行專項核查并發表明確核查意見。
風險提示3:關注被審計單位信息系統審計范圍確定的影響
注冊會計師應結合對被審計單位信息技術環境的初步了解,按照審計計劃中重要審計領域所依賴的信息系統,確定信息系統的審計范圍:一是確定重要的財務報表科目、組成部分及重大披露;二是確定財務報表審計中的重要業務流程和交易;三是識別相關業務流程和交易的潛在錯報風險來源;四是確定所識別風險的相關系統應用控制和數據,如系統實現了哪些自動化控制,系統生成的報表或信息,系統支持哪些自動計算,系統實現的權限管理和職責分離情況,系統之間的自動化接口等。
注冊會計師需要從包括信息技術風險影響要素確認、系統依賴點范圍、信息技術治理環境控制測試范圍、信息技術一般性控制測試范圍、信息技術應用控制測試范圍、信息技術輔助審計范圍等方面確定審計方案中的信息系統審計范圍。
風險提示4:關注具體執行信息系統審計過程的規范性和系統性
對目標信息系統執行審計,主要涉及對被審計單位的信息技術治理環境控制(信息系統控制體系的大背景,決定管理的基調和健康程度)、一般性控制(信息系統風險應對體系的基礎和內核,為應用控制體系提供穩健持續有效的保證)、應用控制(直接對業務流程進行有效支撐和保障)進行測試,并按需對業務數據執行全量分析。注冊會計師收集相關證據、完成相關底稿,最后形成審計發現,評估其對被審計單位整體信息系統的安全性、完整性、可用性目標所造成的影響,進一步評估其對財務報告所產生的影響。
其中,對于治理環境控制測試和一般性控制測試,主要評估其設計有效性及執行有效性。設計有效性主要關注被審計單位對信息技術各控制點的相關風險是否進行了有效識別并設計了相應的制度和流程來應對,主要體現在是否建立了有效的制度、規程、指引、授權及權限分離等;執行有效性主要關注被審計單位對該控制點是否按照所制定的制度規程要求在報告期內規范有效執行,并能提供清晰可靠的執行有效性證據。大多數情況下,被審計單位可能未嚴格按照內部控制規范、相關行業規范制定信息技術內控制度,注冊會計師需要關注被審計單位信息技術部門是否按照行業約定俗成的方式對信息系統各方面進行有效管控,確認其執行有效。
(一)執行信息技術治理環境控制測試
注冊會計師按照對信息技術環境的初步了解,進一步對信息技術治理環境的設計有效性及執行有效性進行控制測試,主要涉及的控制點如下:
1.治理環境-信息系統組織架構;
2.治理環境-崗位職責及其分離;
3.治理環境-信息系統戰略規劃;
4.治理環境-信息技術人員招聘與簽約;
5.治理環境-信息技術人員培訓與評價;
6.治理環境-信息技術人員工作變更與終止;
7.治理環境-信息系統風險識別、評估及響應;
8.治理環境-第三方管理;
9.治理環境-信息系統制度體系。
(二)執行信息技術一般性控制測試
信息系統一般控制由四大領域組成:系統開發、系統安全運維、系統變更、程序及數據的訪問控制,共同構建了信息技術風險應對體系的內核。
1.針對系統開發控制按照如下各控制點測試系統開發內控設計有效性及執行有效性:
(1)應用系統開發-立項及需求分析;
(2)應用系統開發-詳細功能設計;
(3)應用系統開發-編碼開發規范管理;
(4)應用系統開發-系統上線前及更新測試;
(5)應用系統開發-數據遷移;
(6)應用系統開發-系統上線;
(7)應用系統開發-系統開發的變更管理。
2.針對系統安全運維控制按照如下各控制點測試系統安全運維內控設計的有效性及執行有效性:
(1)安全運維-物理環境安全;
(2)安全運維-系統環境安全;
(3)安全運維-作業調度;
(4)安全運維-數據備份;
(5)安全運維-備份數據恢復性測試;
(6)安全運維-事件/問題管理;
(7)安全運維-信息系統持續性計劃;
(8)安全運維-生產環境與開發測試環境分離;
(9)安全運維-生產環境變更。
3.針對程序和數據訪問控制,按照如下各控制點測試系統訪問控制內控設計的有效性及執行有效性:
(1)程序及數據訪問-物理環境訪問控制;
(2)程序及數據訪問-超級用戶/特權用戶;
(3)程序及數據訪問-用戶賬號及身份驗證;
(4)程序及數據訪問-訪問管理/授權審批;
(5)程序及數據訪問-用戶權限定期審閱。
注冊會計師應按照審計準則要求并結合被審計單位實際情況,對各控制點的設計有效性及執行有效性獲取常規證據清單,并執行有效性評價,編制治理環境及一般性控制的底稿。
(三)執行信息技術應用控制測試
信息系統應用控制范圍的確定是一個由淺入深的過程,在審計的初步規劃階段,注冊會計師僅獲取應用控制的初步范圍,詳細審計范圍的確定需要在詳細審計規劃階段和審計執行初期,通過資深項目負責人對各業務流程進行端到端的了解后才能確定。
通俗地理解,在對被審計單位執行內部控制測試時,應針對選定的重點審計事項所涉及的信息系統(包括業務系統及財務系統),緊密結合信息系統的控制,通過對不同業務類型選定一個樣本執行穿行測試,充分理解流程的發起、流轉、審批、處理等業務流程,以及該流程各環節在信息系統中的數據邏輯,需結合數據流轉流程進行跟蹤穿行,針對流程數據,驗證在每個關鍵控制點的數據流轉的一致性、發起及審批權限的設計合理性及授權匹配性、對數據加工運算的正確性、異構系統接口對數據傳輸和接收的完整性,以及最后財務核算所依賴報表的輸出正確性等。
通過樣本穿行,確認系統對數據處理的正確性,并充分識別關鍵控制點,執行進一步的自動計算/控制測試、報表輸出測試、權限測試、接口測試等,如部分自動計算、報表統計生成較為復雜,需要引入信息技術專家對業務邏輯進行復盤(審核代碼或者重寫處理邏輯對源數據進行運算,比對輸出后的數據與系統數據的差異性),并結合CAATs分析應對系統日志進行全量數據分析,確認權限控制及數據傳輸校驗的有效性及數據處理邏輯的正確性等審計目標。
整體來說,應用控制應由審計項目組按照對被審計單位的業務流程,結合重點審計事項,對該事項流程所涉及的信息系統按照不同業務類型進行穿行測試,形成穿行測試證據,并規整編制穿行底稿。確認數據流轉和加工處理是否正常,進一步確認是否在部分關鍵控制環節引入信息技術專家輔助執行全量數據測試,確保系統應用控制的有效性。
(四)執行信息技術輔助審計(CAATs)
隨著企業的業務流程高度集成于信息化環境中,傳統審計程序已無法適應新時代的審計環境及審計需求,基于企業的所有關鍵交易信息均存儲于信息系統中,在被審計單位規模不斷擴大,伴隨著交易數據成量級增長的情況下,審計人員很難再依賴人工抽樣等傳統審計方式對如此大量的數據進行審計。CAATs相關工具能快速實現海量重復計算,通過數據異常來體現潛在的內控缺陷、反映高風險交易等。在審計程序的實質性測試中,可協助項目組執行系統數據提取、系統數據核對(系統間業務數據一致性核對、業財數據一致性核對)、日記賬分析、核心業務數據分析等。
一般而言,執行CAATs工作需要經歷如下步驟:
1.確立審計范圍、目標及關注點;
2.了解審計范圍所涉及的數據源系統邏輯和數據庫表結構、數據字典、元數據等相關信息;
3.在確保數據源提取準確性的前提下,執行源數據提取并導入CAATs分析工具;
4.對導入源數據執行清洗和缺失性分析;
5.基于審計目標及關注點,構建數據分析模型,利用源數據生成模型結果統計數據;
6.對結果數據進行分析,查找異常點,與企業溝通查找原因;
7.形成底稿記錄及審計小結。
針對大量的業務數據,信息技術人員可通過如Excel、PowerBI、Python、ACL、數據庫軟件等專業工具對數據進行處理和分析,必要時需要有編程能力應對復雜數據處理和結果呈現。
風險提示5:信息系統審計發現的影響評估和追加審計程序的充分性
需要注意的是,信息系統審計和財務報表審計應服務于同一個審計目標,作為一個審計整體互相配合,不能將信息系統審計從財務報表審計中割裂出來作為一個低耦合的工作模塊。特別是當信息系統審計團隊識別到信息系統存在控制缺陷或數據存在不一致或違反邏輯等異常情形,需要及時有效地與財務報表審計團隊或團隊內其他審計小組就信息系統相關問題進行溝通,評估該缺陷及數據異常對于現有審計程序的影響,以及是否需要額外采取適當的追加審計程序,如增加對于手工補償性控制的測試、調整實質性測試程序的樣本數量等。該評估過程以及評估結論需要在相關的工作底稿中進行恰當記錄。
信息系統審計是一項專業性強的綜合性工作,涉及多個領域,要求會計師事務所從業人員具備較高的專業勝任能力。為了更好地開展審計工作,從業人員需要熟悉信息技術基本理論及各類軟件技術,同時結合被審計單位的信息系統進行審計。在財務報表審計中,注冊會計師需要對財務報表是否在所有重大方面按照適用的財務報告編制發表審計意見。審計準則要求注冊會計師應當了解與審計有關的內部控制、了解與財務報告相關的信息系統、了解企業如何應對信息技術導致的風險并確定審計應對。因此,不管是否執行信息系統審計程序,注冊會計師都需要對被審計單位的信息系統整體環境進行了解,按照被審單位對信息系統的依賴程度和系統的復雜性程度確定執行信息系統審計的范圍。
本提示函僅供注冊會計師在執業過程中參考,并未涵蓋會計師事務所執行審計業務涉及信息系統審計的全部關注事項以及可能面臨的全部風險,也不能替代相關法律法規、執業準則以及注冊會計師的職業判斷。會計師事務所及其從業人員在執業中仍需結合項目實際情況以及注冊會計師的職業判斷開展工作。