司农关注丨关于会计师事务所执行审计业务涉及信息系统审计的相关资讯

2023年3月，江苏证监局发布了会计师事务所利用第三方工作及信息系统审计监管专题。近年来上市公司在信息化方面的应用越来越广泛，同时审计机构在执业时利用第三方工作获取审计证据亦较为普遍。为进一步督促辖区审计机构扎实做好公众公司2022年年报审计工作，切实防范审计风险，提升审计执业质量，江苏证监局结合监管实践，梳理了审计机构在信息系统审计及利用第三方工作时的突出执业问题，提示审计执业风险。

在信息技术高速发展的背景下，上市公司日常经营活动越发依赖信息系统，对注册会计师专业能力及执业水平提出了更高要求，若注册会计师缺乏相关行业知识和信息技术审计技能，则可能导致审计失败。根据近年来审计执法实践，注册会计师在执行信息系统审计时，主要存在以下执业问题。

一是审计资源分配不合理。信息系统建设一般涉及较为复杂且高度专业化的信息技术，信息系统审计亦需要掌握IT技术的审计执业人员。部分审计机构在执行相关信息系统审计时，团队中未配备IT审计经验人员，亦未恰当利用第三方工作，导致无法发现可能存在的错弊。

二是风险评估程序执行不当。部分审计机构在风险评估阶段，仅通过询问方式了解与财务报告相关的信息系统，或者在了解与财务报告相关的信息系统时，未涵盖业务管理系统，且未了解与信息系统相关内部控制设计及运行情况，不足以准确识别评估与信息系统相关的风险。

三是风险应对措施执行不当。部分审计机构在实施风险应对措施时，未执行控制测试即得出信息系统内部控制有效性的结论；未结合公司业务流程识别、测试信息系统关键控制点，导致内控测试流于形式；未恰当评价信息系统账号管理不规范、账号权限缺少审批、不相容职务为同一人等内控偏差对审计结论的影响；在财务核算高度依赖相关业务管理系统的情况下，部分审计机构未对业务管理系统数据的真实性、准确性和完整性进行验证，未对业务管理系统数据如何结转至财务系统进行了解和测试，导致未发现相关数据存在差异。

从事公众公司年报审计的辖区审计机构应严格遵守法律、行政法规、中国证监会的规定，严格执行注册会计师执业准则、职业道德守则及相关规定，强化质量管理、提升执业质量、恰当发表审计意见。

江苏证监局在监管通讯中指出相关的信息系统审计监管要求如下：应以内部控制为基础、风险为导向，做好对被审计单位信息技术控制一般性控制及业务流程层面相关应用控制的审计和评价，结合被审计单位业务模式、财务数据对信息系统的依赖程度、信息系统的可靠性和有效性等，评估信息系统可能导致财务报表发生重大错报的风险，设计恰当的应对程序，必要时借助专家的工作。

一是确定审计的前提条件存在。应确保被审计单位能够完整提供信息系统的相关信息，包括系统名称、开发人、基本架构、主要功能、应用方式、各层级数据浏览或修改权限。

二是做好风险评估与计划。应结合被审计单位业务模式、盈利模式、系统架构、数据流转等情况，或者是否发生过导致数据异常的重大事件等情况，识别和评估可能存在的重大错报风险或舞弊风险，合理设计审计计划及应对措施。

三是执行充分适当内控测试。在了解及测试系统开发、访问逻辑、权限管理、系统运维、数据安全、数据备份等流程内控设计及运行情况的基础上，关注是否存在过度授权或不相容岗位职责不分离的情况，结合发现的控制偏差，恰当评价是否属于控制缺陷，并考虑对数据真实性、准确性、完整性的影响。

四是开展数据质量核查。核实运营数据、财务数据在系统中记录和保存的准确性、完整性，是否存在数据缺失、指标口径错误等事项；分析运营数据与财务数据的一致性或匹配性，核实是否存在经营数据与财务数据不一致、资金流水与订单金额不匹配等事项。

五是提升反舞弊意识。通过分析关键业务指标和财务指标的变化趋势及匹配性来判断是否存在背离被审计单位业务发展、行业惯例或违反商业逻辑的异常情形，若发现疑似异常数据，除业务逻辑相互印证外，还应执行明细数据分析或实质性走访验证。对于确实无法合理解释的异常情况，应考虑对审计意见的影响。

2023年9月5日，为便于市场各方了解证券审计市场情况，引导会计师事务所规范执业，证监会会计部组织专门力量对我国2022年度证券审计市场进行分析，形成《2022年度证券审计市场分析报告》于中国证监会网站公开发布，报告内容主要包括从事证券服务业务会计师事务所基本情况，2022 年度证券审计市场情况，2022 年度审计报告分析以及证券市场审计执业问题等。在分析报告的第四部分证券市场审计执业问题中，监管提到了关于信息系统审计相关问题。

根据审计准则及相关规定，为识别和评估财务报表重大错报风险，注册会计师应当了解被审计单位的数据和信息在信息系统中的传递情况，与信息传递相关的支持性记录，财务报告过程及在前述信息处理活动中使用的资源，包括信息技术环境。注册会计师应该识别运用信息技术导致的相关风险及被审计单位用于应对这些风险的信息技术一般控制，并评价相关控制能否应对认定层次重大风险或为其他控制的运行提供支持。

监管发现，部分会计师事务所在执行相关信息系统审计时，未对信息系统进行了解和测试即得出信息系统内部控制有效性的结论；未结合公司业务流程识别、测试信息系统关键控制点，导致内控测试流于形式；未恰当评价信息系统账号管理不规范、账号权限缺少审批、不相容职务为同一人等内控偏差对审计结论的影响；在财务核算高度依赖相关业务管理系统的情况下，未对业务管理系统数据的真实性、准确性和完整性进行验证，对业务管理系统生成的信息或执行的控制直接加以信赖缺乏基础，信息系统相关审计程序执行不到位。

2023年11月23日，鉴于收入确认对财务报表的重要影响并属于财务舞弊的易发高发领域，为帮助注册会计师在资本市场审计业务中有效识别、评估和应对收入确认的舞弊风险，根据中国注册会计师执业准则要求，并结合财政部、中国证券监督管理委员会有关监管规定及中国注册会计师协会发布的问题解答，针对资本市场审计业务特点，北京注册会计师协会专业技术委员会对收入审计实务中常见的舞弊风险及其审计应对向注册会计师和审计从业人员做出专家提示供大家在执业中参考。

为应对收入舞弊风险，如果被审计单位采用复杂信息系统管理和控制交易流程及其信息记录，注册会计师往往需要考虑利用专家的工作实施信息系统审计。在《北注协专家提示2023第1号资本市场财务舞弊易发高发领域的审计应对-收入确认》中提到了针对高度依赖信息系统行业收入确认的审计应对，相关内容如下所示：

2024年1月15日，广东省注册会计师协会发布了《关于会计师事务所执行审计业务涉及信息系统审计的风险提示函》。随着信息技术在企业日常运营各个环节的深入运用，信息技术对企业财务报告的编制效率及正确性影响也越来越大。会计师事务所对高度依赖信息系统的企业进行相关财务报表审计工作时，应加强对信息技术因素可能导致财务报表重大错报风险的重视。为帮助会计师事务所在审计业务中有效防范信息技术带来的执业风险，广东省注册会计师协会专业指导委员会在风险提示函中指出了以下5个方面的风险提示：

风险提示1：关注会计师事务所信息技术专业胜任能力对信息系统审计工作的影响；

风险提示2：确定针对被审计单位执行信息系统审计的必要性；

风险提示3：关注被审计单位信息系统审计范围确定的影响；

风险提示4：关注具体执行信息系统审计过程的规范性和系统性；

风险提示5：信息系统审计发现的影响评估和追加审计程序的充分性。

在风险提示函中，广东省注册会计师协会特别指出本提示函仅供注册会计师在执业过程中参考，并未涵盖会计师事务所执行审计业务涉及信息系统审计的全部关注事项以及可能面临的全部风险，也不能替代相关法律法规、执业准则以及注册会计师的职业判断。会计师事务所及其从业人员在执业中仍需结合项目实际情况以及注册会计师的职业判断开展工作。