廣東省注冊(cè)會(huì)計(jì)師協(xié)會(huì)關(guān)于會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)涉及信息系統(tǒng)審計(jì)的風(fēng)險(xiǎn)提示函

粵注協(xié)〔2024〕19號(hào)

各會(huì)計(jì)師事務(wù)所：

隨著信息技術(shù)在企業(yè)日常運(yùn)營(yíng)各個(gè)環(huán)節(jié)的深入運(yùn)用，信息技術(shù)對(duì)企業(yè)財(cái)務(wù)報(bào)告的編制效率及正確性影響也越來(lái)越大。會(huì)計(jì)師事務(wù)所對(duì)高度依賴(lài)信息系統(tǒng)的企業(yè)進(jìn)行相關(guān)財(cái)務(wù)報(bào)表審計(jì)工作時(shí)，應(yīng)加強(qiáng)對(duì)信息技術(shù)因素可能導(dǎo)致財(cái)務(wù)報(bào)表重大錯(cuò)報(bào)風(fēng)險(xiǎn)的重視。為幫助會(huì)計(jì)師事務(wù)所在審計(jì)業(yè)務(wù)中有效防范信息技術(shù)帶來(lái)的執(zhí)業(yè)風(fēng)險(xiǎn)，廣東省注冊(cè)會(huì)計(jì)師協(xié)會(huì)專(zhuān)業(yè)指導(dǎo)委員會(huì)提示如下：

風(fēng)險(xiǎn)提示1：關(guān)注會(huì)計(jì)師事務(wù)所信息技術(shù)專(zhuān)業(yè)勝任能力對(duì)信息系統(tǒng)審計(jì)工作的影響

執(zhí)行信息系統(tǒng)審計(jì)工作的相關(guān)人員，應(yīng)具備相應(yīng)的信息技術(shù)技能和知識(shí)，包括熟悉信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、開(kāi)發(fā)、運(yùn)維和安全防護(hù)等基礎(chǔ)知識(shí)，掌握數(shù)據(jù)分析和代碼技能。此外，信息系統(tǒng)審計(jì)過(guò)程中可能使用到各種專(zhuān)業(yè)審計(jì)工具，如數(shù)據(jù)分析軟件、系統(tǒng)配置檢查腳本、安全評(píng)估工具等，執(zhí)行信息系統(tǒng)審計(jì)工作的相關(guān)人員也應(yīng)熟練使用。如信息技術(shù)的專(zhuān)業(yè)勝任能力不足，可能影響項(xiàng)目審計(jì)質(zhì)量。

會(huì)計(jì)師事務(wù)所應(yīng)加強(qiáng)對(duì)信息系統(tǒng)審計(jì)人員的專(zhuān)業(yè)培訓(xùn)，提高其技能和知識(shí)水平，以有效應(yīng)對(duì)潛在的審計(jì)風(fēng)險(xiǎn)。會(huì)計(jì)師事務(wù)所還應(yīng)對(duì)信息系統(tǒng)審計(jì)方法論及信息技術(shù)相關(guān)規(guī)范要求進(jìn)行深入研究，制定信息系統(tǒng)審計(jì)工作的標(biāo)準(zhǔn)化和規(guī)范化流程。會(huì)計(jì)師事務(wù)所還需要考慮相關(guān)專(zhuān)業(yè)審計(jì)工具的獲取和使用過(guò)程中是否合法合規(guī)，包括關(guān)注是否具有軟件使用許可、是否存在數(shù)據(jù)泄露及隱藏惡意代碼風(fēng)險(xiǎn)等。

風(fēng)險(xiǎn)提示2：確定針對(duì)被審計(jì)單位執(zhí)行信息系統(tǒng)審計(jì)的必要性

注冊(cè)會(huì)計(jì)師應(yīng)對(duì)企業(yè)的財(cái)務(wù)數(shù)據(jù)和業(yè)務(wù)流程進(jìn)行深入了解，按照風(fēng)險(xiǎn)導(dǎo)向原則制定整體審計(jì)計(jì)劃，綜合考慮重要審計(jì)領(lǐng)域及科目所涉及的業(yè)務(wù)流程及內(nèi)部控制是否高度依賴(lài)信息系統(tǒng)的數(shù)據(jù)輸入和處理、系統(tǒng)自動(dòng)計(jì)算并由系統(tǒng)產(chǎn)出報(bào)表，審計(jì)工作是否存在無(wú)法通過(guò)大量的實(shí)質(zhì)性測(cè)試工作覆蓋所有業(yè)務(wù)場(chǎng)景以提供合理保證等情況，在項(xiàng)目組內(nèi)部充分討論后確定執(zhí)行相關(guān)信息系統(tǒng)審計(jì)的必要性。

執(zhí)行信息系統(tǒng)審計(jì)時(shí)，除制定常規(guī)的信息系統(tǒng)審計(jì)程序外，信息系統(tǒng)審計(jì)團(tuán)隊(duì)需要對(duì)復(fù)雜的高風(fēng)險(xiǎn)系統(tǒng)給予特別關(guān)注。一般情況下，信息系統(tǒng)是否復(fù)雜取決于系統(tǒng)類(lèi)型和數(shù)據(jù)處理程度，復(fù)雜且高風(fēng)險(xiǎn)系統(tǒng)一般包含以下特點(diǎn)：

（一）有復(fù)雜的自動(dòng)化計(jì)算邏輯，且對(duì)財(cái)報(bào)數(shù)據(jù)存在影響，如保費(fèi)計(jì)算、傭金計(jì)算、加權(quán)平均估值法核算存貨成本、復(fù)雜模型的成本計(jì)提、賬單進(jìn)行多重定價(jià)計(jì)算等系統(tǒng)。

（二）供應(yīng)商不再提供維護(hù)服務(wù)和功能迭代支持但依然存在較多業(yè)務(wù)場(chǎng)景變化和功能需求變更。

（三）支持企業(yè)核心業(yè)務(wù)且系統(tǒng)間具有廣泛定制接口，如生產(chǎn)企業(yè)的ERP系統(tǒng)、互聯(lián)網(wǎng)企業(yè)的業(yè)務(wù)核心平臺(tái)等。

（四）處理大量交易。

（五）為大型集團(tuán)、多業(yè)務(wù)模式企業(yè)等復(fù)雜經(jīng)營(yíng)實(shí)體處理信息且具有復(fù)雜的架構(gòu)。

此外，對(duì)于A股IPO項(xiàng)目，按照相關(guān)監(jiān)管要求，報(bào)告期內(nèi)任意一期通過(guò)互聯(lián)網(wǎng)取得的營(yíng)業(yè)收入占比或毛利占比超過(guò)30%，或核心流程高度依賴(lài)信息系統(tǒng)的企業(yè)，注冊(cè)會(huì)計(jì)師原則上均應(yīng)對(duì)該類(lèi)企業(yè)的信息系統(tǒng)可靠性進(jìn)行專(zhuān)項(xiàng)核查并發(fā)表明確核查意見(jiàn)。

風(fēng)險(xiǎn)提示3：關(guān)注被審計(jì)單位信息系統(tǒng)審計(jì)范圍確定的影響

注冊(cè)會(huì)計(jì)師應(yīng)結(jié)合對(duì)被審計(jì)單位信息技術(shù)環(huán)境的初步了解，按照審計(jì)計(jì)劃中重要審計(jì)領(lǐng)域所依賴(lài)的信息系統(tǒng)，確定信息系統(tǒng)的審計(jì)范圍：一是確定重要的財(cái)務(wù)報(bào)表科目、組成部分及重大披露；二是確定財(cái)務(wù)報(bào)表審計(jì)中的重要業(yè)務(wù)流程和交易；三是識(shí)別相關(guān)業(yè)務(wù)流程和交易的潛在錯(cuò)報(bào)風(fēng)險(xiǎn)來(lái)源；四是確定所識(shí)別風(fēng)險(xiǎn)的相關(guān)系統(tǒng)應(yīng)用控制和數(shù)據(jù)，如系統(tǒng)實(shí)現(xiàn)了哪些自動(dòng)化控制，系統(tǒng)生成的報(bào)表或信息，系統(tǒng)支持哪些自動(dòng)計(jì)算，系統(tǒng)實(shí)現(xiàn)的權(quán)限管理和職責(zé)分離情況，系統(tǒng)之間的自動(dòng)化接口等。

注冊(cè)會(huì)計(jì)師需要從包括信息技術(shù)風(fēng)險(xiǎn)影響要素確認(rèn)、系統(tǒng)依賴(lài)點(diǎn)范圍、信息技術(shù)治理環(huán)境控制測(cè)試范圍、信息技術(shù)一般性控制測(cè)試范圍、信息技術(shù)應(yīng)用控制測(cè)試范圍、信息技術(shù)輔助審計(jì)范圍等方面確定審計(jì)方案中的信息系統(tǒng)審計(jì)范圍。

風(fēng)險(xiǎn)提示4：關(guān)注具體執(zhí)行信息系統(tǒng)審計(jì)過(guò)程的規(guī)范性和系統(tǒng)性

對(duì)目標(biāo)信息系統(tǒng)執(zhí)行審計(jì)，主要涉及對(duì)被審計(jì)單位的信息技術(shù)治理環(huán)境控制（信息系統(tǒng)控制體系的大背景，決定管理的基調(diào)和健康程度）、一般性控制（信息系統(tǒng)風(fēng)險(xiǎn)應(yīng)對(duì)體系的基礎(chǔ)和內(nèi)核，為應(yīng)用控制體系提供穩(wěn)健持續(xù)有效的保證）、應(yīng)用控制（直接對(duì)業(yè)務(wù)流程進(jìn)行有效支撐和保障）進(jìn)行測(cè)試，并按需對(duì)業(yè)務(wù)數(shù)據(jù)執(zhí)行全量分析。注冊(cè)會(huì)計(jì)師收集相關(guān)證據(jù)、完成相關(guān)底稿，最后形成審計(jì)發(fā)現(xiàn)，評(píng)估其對(duì)被審計(jì)單位整體信息系統(tǒng)的安全性、完整性、可用性目標(biāo)所造成的影響，進(jìn)一步評(píng)估其對(duì)財(cái)務(wù)報(bào)告所產(chǎn)生的影響。

其中，對(duì)于治理環(huán)境控制測(cè)試和一般性控制測(cè)試，主要評(píng)估其設(shè)計(jì)有效性及執(zhí)行有效性。設(shè)計(jì)有效性主要關(guān)注被審計(jì)單位對(duì)信息技術(shù)各控制點(diǎn)的相關(guān)風(fēng)險(xiǎn)是否進(jìn)行了有效識(shí)別并設(shè)計(jì)了相應(yīng)的制度和流程來(lái)應(yīng)對(duì)，主要體現(xiàn)在是否建立了有效的制度、規(guī)程、指引、授權(quán)及權(quán)限分離等；執(zhí)行有效性主要關(guān)注被審計(jì)單位對(duì)該控制點(diǎn)是否按照所制定的制度規(guī)程要求在報(bào)告期內(nèi)規(guī)范有效執(zhí)行，并能提供清晰可靠的執(zhí)行有效性證據(jù)。大多數(shù)情況下，被審計(jì)單位可能未嚴(yán)格按照內(nèi)部控制規(guī)范、相關(guān)行業(yè)規(guī)范制定信息技術(shù)內(nèi)控制度，注冊(cè)會(huì)計(jì)師需要關(guān)注被審計(jì)單位信息技術(shù)部門(mén)是否按照行業(yè)約定俗成的方式對(duì)信息系統(tǒng)各方面進(jìn)行有效管控，確認(rèn)其執(zhí)行有效。

（一）執(zhí)行信息技術(shù)治理環(huán)境控制測(cè)試

注冊(cè)會(huì)計(jì)師按照對(duì)信息技術(shù)環(huán)境的初步了解，進(jìn)一步對(duì)信息技術(shù)治理環(huán)境的設(shè)計(jì)有效性及執(zhí)行有效性進(jìn)行控制測(cè)試，主要涉及的控制點(diǎn)如下：

1.治理環(huán)境-信息系統(tǒng)組織架構(gòu)；

2.治理環(huán)境-崗位職責(zé)及其分離；

3.治理環(huán)境-信息系統(tǒng)戰(zhàn)略規(guī)劃；

4.治理環(huán)境-信息技術(shù)人員招聘與簽約；

5.治理環(huán)境-信息技術(shù)人員培訓(xùn)與評(píng)價(jià)；

6.治理環(huán)境-信息技術(shù)人員工作變更與終止；

7.治理環(huán)境-信息系統(tǒng)風(fēng)險(xiǎn)識(shí)別、評(píng)估及響應(yīng)；

8.治理環(huán)境-第三方管理；

9.治理環(huán)境-信息系統(tǒng)制度體系。

（二）執(zhí)行信息技術(shù)一般性控制測(cè)試

信息系統(tǒng)一般控制由四大領(lǐng)域組成：系統(tǒng)開(kāi)發(fā)、系統(tǒng)安全運(yùn)維、系統(tǒng)變更、程序及數(shù)據(jù)的訪(fǎng)問(wèn)控制，共同構(gòu)建了信息技術(shù)風(fēng)險(xiǎn)應(yīng)對(duì)體系的內(nèi)核。

1.針對(duì)系統(tǒng)開(kāi)發(fā)控制按照如下各控制點(diǎn)測(cè)試系統(tǒng)開(kāi)發(fā)內(nèi)控設(shè)計(jì)有效性及執(zhí)行有效性：

（1）應(yīng)用系統(tǒng)開(kāi)發(fā)-立項(xiàng)及需求分析；

（2）應(yīng)用系統(tǒng)開(kāi)發(fā)-詳細(xì)功能設(shè)計(jì)；

（3）應(yīng)用系統(tǒng)開(kāi)發(fā)-編碼開(kāi)發(fā)規(guī)范管理；

（4）應(yīng)用系統(tǒng)開(kāi)發(fā)-系統(tǒng)上線(xiàn)前及更新測(cè)試；

（5）應(yīng)用系統(tǒng)開(kāi)發(fā)-數(shù)據(jù)遷移；

（6）應(yīng)用系統(tǒng)開(kāi)發(fā)-系統(tǒng)上線(xiàn)；

（7）應(yīng)用系統(tǒng)開(kāi)發(fā)-系統(tǒng)開(kāi)發(fā)的變更管理。

2.針對(duì)系統(tǒng)安全運(yùn)維控制按照如下各控制點(diǎn)測(cè)試系統(tǒng)安全運(yùn)維內(nèi)控設(shè)計(jì)的有效性及執(zhí)行有效性：

（1）安全運(yùn)維-物理環(huán)境安全；

（2）安全運(yùn)維-系統(tǒng)環(huán)境安全；

（3）安全運(yùn)維-作業(yè)調(diào)度；

（4）安全運(yùn)維-數(shù)據(jù)備份；

（5）安全運(yùn)維-備份數(shù)據(jù)恢復(fù)性測(cè)試；

（6）安全運(yùn)維-事件/問(wèn)題管理；

（7）安全運(yùn)維-信息系統(tǒng)持續(xù)性計(jì)劃；

（8）安全運(yùn)維-生產(chǎn)環(huán)境與開(kāi)發(fā)測(cè)試環(huán)境分離；

（9）安全運(yùn)維-生產(chǎn)環(huán)境變更。

3.針對(duì)程序和數(shù)據(jù)訪(fǎng)問(wèn)控制，按照如下各控制點(diǎn)測(cè)試系統(tǒng)訪(fǎng)問(wèn)控制內(nèi)控設(shè)計(jì)的有效性及執(zhí)行有效性：

（1）程序及數(shù)據(jù)訪(fǎng)問(wèn)-物理環(huán)境訪(fǎng)問(wèn)控制；

（2）程序及數(shù)據(jù)訪(fǎng)問(wèn)-超級(jí)用戶(hù)/特權(quán)用戶(hù)；

（3）程序及數(shù)據(jù)訪(fǎng)問(wèn)-用戶(hù)賬號(hào)及身份驗(yàn)證；

（4）程序及數(shù)據(jù)訪(fǎng)問(wèn)-訪(fǎng)問(wèn)管理/授權(quán)審批；

（5）程序及數(shù)據(jù)訪(fǎng)問(wèn)-用戶(hù)權(quán)限定期審閱。

注冊(cè)會(huì)計(jì)師應(yīng)按照審計(jì)準(zhǔn)則要求并結(jié)合被審計(jì)單位實(shí)際情況，對(duì)各控制點(diǎn)的設(shè)計(jì)有效性及執(zhí)行有效性獲取常規(guī)證據(jù)清單，并執(zhí)行有效性評(píng)價(jià)，編制治理環(huán)境及一般性控制的底稿。

（三）執(zhí)行信息技術(shù)應(yīng)用控制測(cè)試

信息系統(tǒng)應(yīng)用控制范圍的確定是一個(gè)由淺入深的過(guò)程，在審計(jì)的初步規(guī)劃階段，注冊(cè)會(huì)計(jì)師僅獲取應(yīng)用控制的初步范圍，詳細(xì)審計(jì)范圍的確定需要在詳細(xì)審計(jì)規(guī)劃階段和審計(jì)執(zhí)行初期，通過(guò)資深項(xiàng)目負(fù)責(zé)人對(duì)各業(yè)務(wù)流程進(jìn)行端到端的了解后才能確定。

通俗地理解，在對(duì)被審計(jì)單位執(zhí)行內(nèi)部控制測(cè)試時(shí)，應(yīng)針對(duì)選定的重點(diǎn)審計(jì)事項(xiàng)所涉及的信息系統(tǒng)（包括業(yè)務(wù)系統(tǒng)及財(cái)務(wù)系統(tǒng)），緊密結(jié)合信息系統(tǒng)的控制，通過(guò)對(duì)不同業(yè)務(wù)類(lèi)型選定一個(gè)樣本執(zhí)行穿行測(cè)試，充分理解流程的發(fā)起、流轉(zhuǎn)、審批、處理等業(yè)務(wù)流程，以及該流程各環(huán)節(jié)在信息系統(tǒng)中的數(shù)據(jù)邏輯，需結(jié)合數(shù)據(jù)流轉(zhuǎn)流程進(jìn)行跟蹤穿行，針對(duì)流程數(shù)據(jù)，驗(yàn)證在每個(gè)關(guān)鍵控制點(diǎn)的數(shù)據(jù)流轉(zhuǎn)的一致性、發(fā)起及審批權(quán)限的設(shè)計(jì)合理性及授權(quán)匹配性、對(duì)數(shù)據(jù)加工運(yùn)算的正確性、異構(gòu)系統(tǒng)接口對(duì)數(shù)據(jù)傳輸和接收的完整性，以及最后財(cái)務(wù)核算所依賴(lài)報(bào)表的輸出正確性等。

通過(guò)樣本穿行，確認(rèn)系統(tǒng)對(duì)數(shù)據(jù)處理的正確性，并充分識(shí)別關(guān)鍵控制點(diǎn)，執(zhí)行進(jìn)一步的自動(dòng)計(jì)算/控制測(cè)試、報(bào)表輸出測(cè)試、權(quán)限測(cè)試、接口測(cè)試等，如部分自動(dòng)計(jì)算、報(bào)表統(tǒng)計(jì)生成較為復(fù)雜，需要引入信息技術(shù)專(zhuān)家對(duì)業(yè)務(wù)邏輯進(jìn)行復(fù)盤(pán)（審核代碼或者重寫(xiě)處理邏輯對(duì)源數(shù)據(jù)進(jìn)行運(yùn)算，比對(duì)輸出后的數(shù)據(jù)與系統(tǒng)數(shù)據(jù)的差異性），并結(jié)合CAATs分析應(yīng)對(duì)系統(tǒng)日志進(jìn)行全量數(shù)據(jù)分析，確認(rèn)權(quán)限控制及數(shù)據(jù)傳輸校驗(yàn)的有效性及數(shù)據(jù)處理邏輯的正確性等審計(jì)目標(biāo)。

整體來(lái)說(shuō)，應(yīng)用控制應(yīng)由審計(jì)項(xiàng)目組按照對(duì)被審計(jì)單位的業(yè)務(wù)流程，結(jié)合重點(diǎn)審計(jì)事項(xiàng)，對(duì)該事項(xiàng)流程所涉及的信息系統(tǒng)按照不同業(yè)務(wù)類(lèi)型進(jìn)行穿行測(cè)試，形成穿行測(cè)試證據(jù)，并規(guī)整編制穿行底稿。確認(rèn)數(shù)據(jù)流轉(zhuǎn)和加工處理是否正常，進(jìn)一步確認(rèn)是否在部分關(guān)鍵控制環(huán)節(jié)引入信息技術(shù)專(zhuān)家輔助執(zhí)行全量數(shù)據(jù)測(cè)試，確保系統(tǒng)應(yīng)用控制的有效性。

（四）執(zhí)行信息技術(shù)輔助審計(jì)（CAATs）

隨著企業(yè)的業(yè)務(wù)流程高度集成于信息化環(huán)境中，傳統(tǒng)審計(jì)程序已無(wú)法適應(yīng)新時(shí)代的審計(jì)環(huán)境及審計(jì)需求，基于企業(yè)的所有關(guān)鍵交易信息均存儲(chǔ)于信息系統(tǒng)中，在被審計(jì)單位規(guī)模不斷擴(kuò)大，伴隨著交易數(shù)據(jù)成量級(jí)增長(zhǎng)的情況下，審計(jì)人員很難再依賴(lài)人工抽樣等傳統(tǒng)審計(jì)方式對(duì)如此大量的數(shù)據(jù)進(jìn)行審計(jì)。CAATs相關(guān)工具能快速實(shí)現(xiàn)海量重復(fù)計(jì)算，通過(guò)數(shù)據(jù)異常來(lái)體現(xiàn)潛在的內(nèi)控缺陷、反映高風(fēng)險(xiǎn)交易等。在審計(jì)程序的實(shí)質(zhì)性測(cè)試中，可協(xié)助項(xiàng)目組執(zhí)行系統(tǒng)數(shù)據(jù)提取、系統(tǒng)數(shù)據(jù)核對(duì)（系統(tǒng)間業(yè)務(wù)數(shù)據(jù)一致性核對(duì)、業(yè)財(cái)數(shù)據(jù)一致性核對(duì)）、日記賬分析、核心業(yè)務(wù)數(shù)據(jù)分析等。

一般而言，執(zhí)行CAATs工作需要經(jīng)歷如下步驟：

1.確立審計(jì)范圍、目標(biāo)及關(guān)注點(diǎn)；

2.了解審計(jì)范圍所涉及的數(shù)據(jù)源系統(tǒng)邏輯和數(shù)據(jù)庫(kù)表結(jié)構(gòu)、數(shù)據(jù)字典、元數(shù)據(jù)等相關(guān)信息；

3.在確保數(shù)據(jù)源提取準(zhǔn)確性的前提下，執(zhí)行源數(shù)據(jù)提取并導(dǎo)入CAATs分析工具；

4.對(duì)導(dǎo)入源數(shù)據(jù)執(zhí)行清洗和缺失性分析；

5.基于審計(jì)目標(biāo)及關(guān)注點(diǎn)，構(gòu)建數(shù)據(jù)分析模型，利用源數(shù)據(jù)生成模型結(jié)果統(tǒng)計(jì)數(shù)據(jù)；

6.對(duì)結(jié)果數(shù)據(jù)進(jìn)行分析，查找異常點(diǎn)，與企業(yè)溝通查找原因；

7.形成底稿記錄及審計(jì)小結(jié)。

針對(duì)大量的業(yè)務(wù)數(shù)據(jù)，信息技術(shù)人員可通過(guò)如Excel、PowerBI、Python、ACL、數(shù)據(jù)庫(kù)軟件等專(zhuān)業(yè)工具對(duì)數(shù)據(jù)進(jìn)行處理和分析，必要時(shí)需要有編程能力應(yīng)對(duì)復(fù)雜數(shù)據(jù)處理和結(jié)果呈現(xiàn)。

風(fēng)險(xiǎn)提示5：信息系統(tǒng)審計(jì)發(fā)現(xiàn)的影響評(píng)估和追加審計(jì)程序的充分性

 需要注意的是，信息系統(tǒng)審計(jì)和財(cái)務(wù)報(bào)表審計(jì)應(yīng)服務(wù)于同一個(gè)審計(jì)目標(biāo)，作為一個(gè)審計(jì)整體互相配合，不能將信息系統(tǒng)審計(jì)從財(cái)務(wù)報(bào)表審計(jì)中割裂出來(lái)作為一個(gè)低耦合的工作模塊。特別是當(dāng)信息系統(tǒng)審計(jì)團(tuán)隊(duì)識(shí)別到信息系統(tǒng)存在控制缺陷或數(shù)據(jù)存在不一致或違反邏輯等異常情形，需要及時(shí)有效地與財(cái)務(wù)報(bào)表審計(jì)團(tuán)隊(duì)或團(tuán)隊(duì)內(nèi)其他審計(jì)小組就信息系統(tǒng)相關(guān)問(wèn)題進(jìn)行溝通，評(píng)估該缺陷及數(shù)據(jù)異常對(duì)于現(xiàn)有審計(jì)程序的影響，以及是否需要額外采取適當(dāng)?shù)淖芳訉徲?jì)程序，如增加對(duì)于手工補(bǔ)償性控制的測(cè)試、調(diào)整實(shí)質(zhì)性測(cè)試程序的樣本數(shù)量等。該評(píng)估過(guò)程以及評(píng)估結(jié)論需要在相關(guān)的工作底稿中進(jìn)行恰當(dāng)記錄。

信息系統(tǒng)審計(jì)是一項(xiàng)專(zhuān)業(yè)性強(qiáng)的綜合性工作，涉及多個(gè)領(lǐng)域，要求會(huì)計(jì)師事務(wù)所從業(yè)人員具備較高的專(zhuān)業(yè)勝任能力。為了更好地開(kāi)展審計(jì)工作，從業(yè)人員需要熟悉信息技術(shù)基本理論及各類(lèi)軟件技術(shù)，同時(shí)結(jié)合被審計(jì)單位的信息系統(tǒng)進(jìn)行審計(jì)。在財(cái)務(wù)報(bào)表審計(jì)中，注冊(cè)會(huì)計(jì)師需要對(duì)財(cái)務(wù)報(bào)表是否在所有重大方面按照適用的財(cái)務(wù)報(bào)告編制發(fā)表審計(jì)意見(jiàn)。審計(jì)準(zhǔn)則要求注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)了解與審計(jì)有關(guān)的內(nèi)部控制、了解與財(cái)務(wù)報(bào)告相關(guān)的信息系統(tǒng)、了解企業(yè)如何應(yīng)對(duì)信息技術(shù)導(dǎo)致的風(fēng)險(xiǎn)并確定審計(jì)應(yīng)對(duì)。因此，不管是否執(zhí)行信息系統(tǒng)審計(jì)程序，注冊(cè)會(huì)計(jì)師都需要對(duì)被審計(jì)單位的信息系統(tǒng)整體環(huán)境進(jìn)行了解，按照被審單位對(duì)信息系統(tǒng)的依賴(lài)程度和系統(tǒng)的復(fù)雜性程度確定執(zhí)行信息系統(tǒng)審計(jì)的范圍。

本提示函僅供注冊(cè)會(huì)計(jì)師在執(zhí)業(yè)過(guò)程中參考，并未涵蓋會(huì)計(jì)師事務(wù)所執(zhí)行審計(jì)業(yè)務(wù)涉及信息系統(tǒng)審計(jì)的全部關(guān)注事項(xiàng)以及可能面臨的全部風(fēng)險(xiǎn)，也不能替代相關(guān)法律法規(guī)、執(zhí)業(yè)準(zhǔn)則以及注冊(cè)會(huì)計(jì)師的職業(yè)判斷。會(huì)計(jì)師事務(wù)所及其從業(yè)人員在執(zhí)業(yè)中仍需結(jié)合項(xiàng)目實(shí)際情況以及注冊(cè)會(huì)計(jì)師的職業(yè)判斷開(kāi)展工作。

廣東省注冊(cè)會(huì)計(jì)師協(xié)會(huì)

2024年1月15日