北京注册会计师协会专业技术委员会专家提示——整合审计下运用信息技术风险应对
文号:京会协专〔2025〕1号 原文发布日期:2025年6月26日 转载自:北京注册会计师协会网站 2025-07-21
导读:《整合审计下运用信息技术风险应对》,旨在指导注册会计师在整合审计(即财务报表审计与内部控制审计相结合)中如何应对企业信息技术(IT)应用带来的风险。
一、通知正文
财政部于2023年12月发布了《关于强化上市公司及拟上市企业内部控制建设推进内部控制评价和审计的通知》(财会〔2023〕30号),提出了上市公司及拟上市企业内部控制评价报告和财务报告内部控制审计报告的强制披露的监管要求。该文件生效后,注册会计师提供的资本市场发行主体的审计业务中,整合审计将成为常态。另外,在2022年12月修订的《审计准则第1211号——重大错报风险的识别和评估》中,对注册会计师评估和应对被审计单位运用信息技术的风险提出了一些新的概念和要求。本专家提示通过对企业运用信息技术导致的风险和相关控制的分析,对信息系统测试的范围、时间安排和要点等做出梳理,供注册会计师在执行整合审计业务时参考。
附件:北京注册会计师协会专业技术委员会专家提示——整合审计下运用信息技术风险应对
北京注册会计师协会
2025年6月26日
二、附件解读
(一)背景与核心目标
1.政策驱动
财政部2023年要求上市公司强制披露内控评价和审计报告,整合审计(财务报表+内控审计)成为常态。
2022年修订的《审计准则第1211号》新增对信息技术风险的评估要求。
2.核心问题
企业高度依赖信息系统(如ERP),传统审计方法面临挑战,需系统性应对IT环境下的风险。
(二)信息技术对审计的核心影响企业内控的变化
1.企业内控的变化
自动化替代人工:业务流程与财务系统深度集成(如采购-付款自动化),但带来新风险:
系统权限漏洞(如超级账户滥用)、职责分离失效(单一账号完成多环节)、程序缺陷(系统性错误难发现)、审计线索消失(数据路径不透明)。
双刃剑效应:提升效率的同时,增加数据篡改、接口错误等风险。
2.注册会计师的挑战
九大难点:需重构对自动化流程的理解;
海量数据下传统抽样失效;
电子证据易篡改且来源分散
需掌握IT知识(如系统架构、数据逻辑):
需引入IT专家协同审计。
(三)IT控制的三层架构与审计重点
| 层级 | 内容 | 审计要点 |
|---|---|---|
| 信息技术环境 | 基础设施(网络/数据库)、应用程序(ERP)、管理流程(权限/变更) | 必须了解,评估其对财务报告的影响。 |
| 信息技术一般控制(ITGC) | 系统开发、变更管理、访问控制、运维(备份/恢复) | 确保系统基础稳定,但不直接测试财务错报(如测试代码版本控制而非数据准确性)。 |
| 信息处理控制(ITAC | 业务层自动化控制(如系统自动校验价格、生成报表) | 直接关联财务报表科目(如收入确认的自动化计算逻辑测试)。 |
(四)整合审计中IT测试的六步法
1.风险识别:确定关键财务报表科目(如收入)→ 关联业务流程(如销售)→ 识别依赖的IT系统(如CRM/ERP)。
2.制定策略:根据风险决定是否依赖IT控制(如依赖系统自动校验替代人工复核)。
3.范围确定:
业务层(ITAC):测试直接影响财务数据的系统功能(如接口传输完整性)。
一般控制(ITGC):测试支撑ITAC的基础控制(如系统变更审批流程)。
4.执行测试:
ITGC:检查系统开发文档、变更日志、权限清单等。
ITAC:验证系统计算逻辑(如折扣规则)、数据流向(如订单→财务记录)。
5.动态调整:根据测试结果修正审计程序(如发现系统缺陷时增加实质性程序)。
6.结论支持:IT审计结论需支撑整体审计意见。
(五)特殊情形的应对
1.IT外包审计
关键步骤:
评估外包服务对财务报告的影响(如云服务商处理交易数据);
审阅第三方SOC报告(需第二类:设计+执行有效性);
直接测试外包系统(需被审计单位授权)。
2.引入IT专家
分级参与:
低复杂度:CPA主导,专家咨询;
高复杂度(如区块链/多系统集成):IT专家主导测试,CPA复核。
评估标准:系统是否涉及复杂计算、高频交易、新兴技术等。
3.时间安排
常规:每年一次,与财报审计周期同步。
例外:系统重大变更时(如年中ERP升级),需增加测试时点。
(六)实务工具与表示例
1.风险与控制映射表
| 财务报表风险 | 业务流程 | IT依赖领域 | 相关系统 |
|---|---|---|---|
| 收入高估 | 销售流程 | 价格自动校验、接口传输 | ERP/CRM |
2.ITGC测试范围表
| 系统名称 | 开发控制 | 变更控制 | 访问控制 | 运维控制 |
|---|---|---|---|---|
| ERP | 需测试 | 需测试 | 需测试 | 不相关 |
(七)对注册会计师的建议
1.能力提升:
学习IT基础知识(如数据库查询、系统权限逻辑);
掌握数据分析工具(如Python/SQL辅助抽样)。
2.团队协作:
复杂项目需与IT专家深度合作,明确分工(如CPA定范围,IT专家执行测试)。
3.风险导向:、
先测试高风险领域(如收入相关系统接口、管理员权限)。
总结
该文件为注册会计师提供了信息化环境下整合审计的操作手册,强调以风险为导向、分层测试IT控制(环境→一般→业务),并通过动态调整应对系统复杂性。
核心逻辑:IT控制有效性决定审计证据可靠性,需结合职业判断灵活应用。
