福建省注册会计师协会专家提示第40号-信息技术在审计实务中的若干应用探讨及利用IT专家工作的考虑/福建省注册会计师协会专家提示第40号－福建省注册会计师协会专家提示第40号-信息技术在审计实务中的若干应用探讨及利用IT专家工作的考虑

本专家提示由福建省注册会计师协会起草，不能替代中国注册会计师执业准则及其应用指南的相关要求，仅供注册会计师在执业过程中参考。由于被审计单位的情况千差万别，专家提示亦并非对所有可能出现问题的全面描述，其结论亦可能会因不同情况而有所改变，注册会计师在使用时应当合理运用职业判断。

　　随着信息技术的迅猛发展，企业正加速推进数字化转型的进程，其数据的复杂性和多样性不断增加，对注册会计师财务报表审计工作的深度和广度提出了更高的要求。
　　传统审计模式下，审计人员对于海量财务数据的导出、梳理及分析，可能会面临较大的困难，进而影响审计的效率和效果。审计的数字化转型是当前审计行业的重大发展趋势。审计人员需要掌握先进的数据分析工具和方法，并充分考虑利用IT专家的工作，以确保能够有效地从庞大的数据集中提取有价值的信息，识别潜在的风险和问题，进而设计并实施有针对性的风险应对程序。
　　本期专家提示基于被审计单位海量数据环境的视角，从“审计前期资料获取”“审计中期业财数据梳理”“针对IT审计团队工作成果的沟通、评价与应对”三个角度提示审计实务中对信息技术的应用及利用IT专家工作的关注点。
　　需要说明的是，本文中有关信息技术的应用假定主要由IT审计团队执行，也即利用IT专家的工作，在具体的审计实务中，部分工作也可由审计项目组中具备一定IT基础的审计人员完成。

　　一、审计前期资料获取
　　任何一个审计项目，审计项目组进场通常要先获取基础资料，根据所获取资料中的具体数据进行整理分析。传统审计模式下，注册会计师主要依赖于企业线上提供基础数据，获取数据后存储于个人电脑中，手动进行数据规整，再进行底稿编制操作。在获取资料的整个过程中，责任分配、数据来源、更新情况、传递过程、处理路径、异常数据调查等问题难以追踪，且审计过程中如果涉及企业相关人员流动，或者是项目组审计人员的交接，都容易造成返工、责任“扯皮”等影响项目进度的不良情况发生，进而影响审计效率，也会加大审计风险。
　　当被审计单位存在海量数据的情况下，前期资料获取时有效应用信息技术可以为后续审计工作创建一个良好的数据环境和基础。例如，由IT审计团队直接或协助审计项目组与被审计单位IT部门进行沟通，厘清所需数据范围及数据提供的要求，可以有效提高审计人员与IT部门直接对接的沟通效率。数据提供后，由IT审计团队协助打造完善的审计“数据湖”，相当于打造审计工作的地基，有助于审计项目组有效保证数据来源安全，便于识别风险，提高审计效率。
　　具体应用场景举例如下：
　　(一)一手“业财”数据来源及责任分配
　　由IT审计团队对被审计单位各业务环节按实务流程建设数据分区，根据业务流程中的各个环节流程设置数据“栈点”，由业务数据逐步支撑到账面财务数据，财务数据与报表科目勾稽一致。以销售环节为例，按照“客户名录数据-订单下达数据-审批创建数据-出库数据-发运数据-签收数据-销售开票数据-收款流水数据(如果可拆分)-退货售后数据-应收账款/主营业务收入明细账数据”，审计项目组根据审计目标提出对应的核查点要求，IT审计团队基于该要求，将其切分至不同的系统之间的数据分部，并联系对应系统的被审计单位管理人员按照取数范围、取数字段、取数频率进行规范提报。
　　需求提报后，由企业各环节对应的管理人员上传全量数据至审计“数据湖”对应的数据栈点，上传人名称、职位、上传时间、同一文件更新次数等信息明确；各上传人对自己导入的数据负责，人员流动时便于交接，审计人员针对不同环节异常数据提出的问题及需求可直接落实到各人，便于后续跟进，提高审计效率。此过程由IT审计团队按照审计程序监督执行或由IT审计团队主导取数，并通过对取数程序、数据分析等方式，进一步复核、验证源数据的完整性和准确性。
　　(二)原始“业财”数据梳理
　　获取基础数据后，由IT审计团队按照审计项目组的要求提取关键字，对“数据湖”中的数据进行清洗，整理成所需要的格式及范围，保留原始数据表，抽取不同数据表中所需的字段并创建新的数据表进行梳理与分析，整理过程代码保留，所有处理过程透明、真实、可视化、可追踪，以提高基础数据的抗风险能力。
　　(三)基础财务数据的自动化处理
　　各栈点自动统计清洗后的数据汇总值，自动识别提供基础数据的缺陷(如关键字符空值率)并及时反馈给数据提供人。基础数据完善后，自动按照审计期间进行数据汇总对比，生成年度同比，月度环比等变动比例，审计人员可根据所需数据同步到各科目底稿未审数，以提高工作效率，并有效保障底稿数据来源真实、准确、及时更新。
　　异常项目数据(异常波动幅度由审计人员根据风险评估情况设置)将于最终的科目板块进行预警，便于审计人员查找对应异常原因。仍以销售为例，如：主营业务收入金额较上年出现异常波动，则可直接定位至开票数据变动、物流数据变动、订单下达数据变动与客户数量变动等，以使审计人员更高效地查找具体变动原因。如此，能够减少审计人员在财务报表分析过程中对于冗余数据的处理时间，便于快速分辨财务报表中隐藏的重大错报风险。
　　对于导入的财务报表等数据，可以由IT审计团队撰写代码分析资产负债率、净资产收益率等基础财务指标及期间变动，对异常变动提示预警。
　　需要提醒注意的是，注册会计师在审计中利用IT专家的工作，应当严格执行《中国注册会计师审计准则第1421号——利用专家的工作》的相关规定，包括但不限于：评价专家是否具有实现审计目的所必需的胜任能力、专业素质和客观性；了解专家的专长领域；与专家就专家工作的性质、范围和目标，各自的责任，和专家之间沟通的性质、时间安排和范围，以及专家遵守相关职业道德规定的要求等达成一致意见；评价专家的工作是否足以实现审计目的等。
　　注册会计师在审计前期(通常为资料准备和计划阶段)考虑是否利用IT专家工作以及如何利用IT专家工作时，需要重点关注：(1)明确审计范围及审计目标，基于风险导向原则制定审计计划，判断被审计单位是否高度依赖信息系统的数据处理和输入、财务自动化对报表出具的影响程度、审计工作中的实质性测试工作覆盖率是否难以提供合理保证，在此基础上确定利用IT专家工作的必要性和范围。(2)与IT审计团队在项目计划阶段及时沟通，明确IT审计团队工作范围和具体要求，就信息系统风险核查方向及风险等级划分达成一致，尤其避免出现“审计盲区”，沟通过程及结果形成记录并留档。

　　二、审计中期“业财”数据梳理
　　(一)业财一致性分析——构建业财各环节数据核对报表
　　在审计工作执行过程中，审计项目组需与IT审计团队充分沟通并明确分工，比如，审计项目组主要针对财务数据进行审查分析，而IT审计团队则对支撑财务数据的业务基础数据进行审查分析，在信息系统审计的基础上，对业财数据进行梳理。
　　以商品销售为例，客户名录、销售订单、销售开票所对应的是应收账款摘要及税费明细，收款流水则与应收账款贷方相勾稽，出库、发运对应存货的减少，签收、退货对应收入的确认与冲销。IT审计团队可以根据审计项目组的需要就每单业务是否都如实反映到财务数据上进行全量审查，为财务数据的完整性和准确性提供审计证据。具体应用场景举例如下：
　　1．业务流程各环节数据的对应比较——完整性检查
　　IT审计团队通过数据处理方式，检查业务流程各环节的连贯性，是否存在数据缺失，辅助审计项目组检查初始数据的完整性。
　　以销售环节为例，对全量的销售商品数据进行系统性分析，从订单、出库、发运、签收等各环节选取数据最大集合，进行交叉比对，以识别是否存在部分环节数据缺漏的情况。例如：有商品签收，但是在前述订单、出库及发运环节中数据缺失，则可能表明初始数据不完整；存在发运数据，但无对应的签收数据，则可能表明存在少计存货及多计收入的风险；存在订单但是无出库及发运数据，则可能是通过线下发运及签收，或仅创建订单，而无后续实际销售环节。
　　针对全流程各环节的差异情况，了解系统漏洞，完善各环节缺漏数据，从而厘清全部实际业务数据，辅助对原始数据完整性的核查。
　　2．业务数据与财务数据的比较核对——准确性检查
　　IT审计团队通过数据处理方式，比对各环节中业务数据是否如实反映经济业务发生的实际情况，并恰当入账，辅助审计项目组核查初始数据的准确性。
　　对各个环节的经济业务发生情况形成数据报表格式，与财务明细账进行核对。以财务系统SAP与业务系统DMS为例，客户通过DMS下达订单，经审批后销售订单成立，将全量的订单数据与SAP中同期间全量的订单数据进行比较，核对是否存在订单成立但未入账情况；将DMS中全量的出库发运数据，与SAP系统中同期间全量的存货出库数据进行比较，核对是否存在商品发运但存货未减少的情况等。
　　IT审计团队通过对企业所提供的初始数据的处理，核对实际发生的业务是否如实入账；对相关“业财”数据进行梳理，从而整理出审计过程中所必须的财务资料，如准确的被审计单位存货收发存大表、收入成本大表、采购大表等。检查财务数据与业务数据是否存在脱节，把控“业”与“财”的勾稽一致，辅助核查入账数据的准确性。
　　3．检查系统数据被篡改的风险
　　在取得被审计单位同意和授权后，IT审计团队可以通过信息技术探测识别被审计单位信息系统中是否存在未曾告知审计团队的数据库节点，以辅助识别被审计单位是否存在两套账等行为的风险。还可以通过对被审计单位业务数据与财务数据的数据库日志进行分析，捕捉数据被篡改的痕迹。
　　(二)定位审计关注风险点识别——各逻辑点自动化把控
　　传统审计模式下，面对海量数据，注册会计师在识别和应对重大错报风险(包括舞弊风险)时，通常采用有限抽样检查，而非全面检查，且主要集中在原始纸质资料(如领料单、发运单、签收单、发票等)的检查，审计程序较为复杂，耗费时间较长，且人工核对过程中难免出现误差，影响效率和效果。注册会计师可以考虑应用信息技术对系统全量数据进行核查，通过对数据的分析(包括反舞弊场景分析)，发现业务环节上的逻辑异常，识别舞弊风险，在此基础上设计和执行进一步的审计程序，以提高审计效率和审计质量。具体应用场景举例如下：
　　1．各环节业务基础数据的逻辑点核查
　　通过初步对业财数据的梳理，各环节已经在审计“数据湖”中形成了较为完善的数据链。可由IT审计团队通过对根数据的分析和各环节逻辑点的核查，构建反舞弊场景核查的框架。
　　对根数据的唯一性探查为反舞弊场景分析提供前提，如客户编码唯一性、物料号与物料名称的唯一性，商品编码的唯一性等；此类基础数据的合理判断能够为后续业务流程中的逻辑点核查打好基础。
　　IT审计团队针对数据链进行各环节具体分析，通过数据处理对异常业务情况进行追踪。如：销售过程中，订单创建时间早于订单提报时间，发运时间早于商品出库时间，签收时间早于商品送达时间等。IT审计团队通过在数据查询中添加一定的筛选控制条件，对业务流程中的各环节逻辑点明显异常情况进行核查，筛选出逻辑有误或明显异常的情况，针对性地对被审计单位的业务控制失效环节进行跟踪，通过数据核查，汇总企业各业务环节上的风险问题，形成有真实数据支撑的内控问题清单，辅助审计项目组就各方审计工作执行情况进行交叉审核并互为佐证，减少审计漏洞，以有效识别和应对舞弊风险，。
　　2．异常会计分录的样本筛查——抽凭与报表科目的勾稽异常
　　在被审计单位依赖SAP等平台形成海量财务数据的场景下，由IT审计团队基于数据处理的方式，使用自动化工具快速从大型数据库中提取明细账，利用数据分析工具来识别异常或特殊的会计分录，例如大额交易、频繁的分录调整或与历史数据相比的显著变化，相比于传统模式下审计人员手动筛查异常分录可以较好地提高工作效率。
　　对报表科目所对应的明细账进行检查时，可针对关键词进行筛选，如摘要中出现“调整、冲销”的情况，营业收入对方科目不为应收账款的情况，固定资产对方科目不为在建工程或应付账款的情况等，对各报表科目明细账中涉及异常字段的分录进行自动化抓取，辅助检查会计分录是否符合企业会计准则及相关规定的要求。
　　在实施细节测试时，可由IT审计团队基于全量数据，精准抓取重点科目、特殊分录、特殊摘要等异常情况，快速定位至勾稽不一致的凭证、风险较大的业务凭证；为审计项目组执行审计工作提供更为全面的数据支持，降低因传统抽凭方式覆盖范围不足等带来的审计风险。
　　3．财务指标分析性复核
　　IT审计团队可基于处理后的完善数据对公司贯穿整个业务链条的关键业务及财务指标数据进行多维度分析，通过自动化处理工具在审计“数据湖”中，将月度销售趋势、品牌销售趋势、区域销售趋势、订单年度占比、客户及供应商变动趋势、采购物料变动趋势等能够直观地反映财务变动的指标进行整理并快速反馈。自动形成可视化的变动图表、波动趋势图等，并生成风险评估报告。
　　IT审计团队通过数字化手段建立标准的大数据处理模板，规范各环节数据处理的标准流程；自动化工具处理基础数据并形成上述指标变动与风险评估报告，能够更为真实直观地反应企业的运营情况，为审计项目组后续财务分析提供数据支撑，所有数据处理过程均在审计“数据湖”中留存，以便后续复核或审查人员核对检查；减少IT审计团队、审计项目组对于同一数据处理的重复工作，减少人工处理数据时间，提高工作效率。
　　需要提醒注意的是，注册会计师在审计执行阶段利用IT专家工作时，需要重点关注：(1)关注IT审计团队执行信息系统审计过程的规范性和系统性；评价信息系统的设计有效性及执行有效性、数据处理及传输对系统各控制点的依赖程度。(2)与IT审计团队保持实时充分的沟通，做好工作上的协同，包括但不限于具体的核查要求，核查点与核查逻辑的设定，探讨核查中出现的信息系统漏洞及执行缺陷，判断其对财务数据的影响程度，以确定是否需要以及如何实施进一步的应对程序。(3)做好与被审计单位之间的沟通协调工作，以保障IT审计团队不受限制地执行相关工作。

　　三、针对IT审计团队工作成果的沟通、评价与应对
　　在数字化背景下，审计项目组与IT审计团队之间的沟通协同至关重要。在IT审计工作后期，IT审计团队需要就其工作中发现的风险点及相关问题汇总形成相关报告。审计项目组应当评价IT审计团队的工作是否足以实现预期的审计目的。同时，通过与IT审计团队的充分讨论和沟通，结合财务报表审计工作的执行情况，评价是否存在值得关注的内部控制缺陷及其对审计的影响，评价IT审计工作中发现的舞弊风险及其他风险和问题，有针对性地设计和执行进一步审计程序加以有效应对，并针对发现的值得关注的内部控制缺陷向被审计单位管理层和治理层进行通报，督促被审计单位及时整改。
　　注册会计师在这一阶段，应当重点关注：(1)及时沟通，跟进IT审计团队工作，并要求IT审计团队在识别到信息系统存在控制缺陷或数据存在不一致或违反逻辑等异常情形时，及时有效地与审计项目组进行沟通。(2)判断影响，审计项目组通过与IT审计团队和被审计单位的沟通，调查问题的实质和原因，评价相关缺陷及数据异常对审计工作的影响，以确定是否需要执行恰当的追加审计程序，并将评价过程和结论记录于审计工作底稿中。(3)审计项目组需充分考虑并结合IT审计团队的改进建议，兼顾财务和IT两个方面，以向被审计单位提出综合性的建议措施，协助管理层准确理解问题的严重程度，避免出现单一、不充分的建议视角，以更有效促进企业管理能力的提升，切实提高财务信息质量。
　　综上所述，在数字化时代，数据的海量增长对审计工作提出了新的挑战和要求。注册会计师在对高度依赖信息系统的被审计单位执行财务报表审计时，应当加强对被审计单位运用信息技术导致的风险的关注。在财务报表审计中对信息技术的融合与应用，不仅能够提高审计效率，还能够增强审计的深度和广度。在审计前期，审计项目组与IT审计团队及时充分沟通，明确双方的合作目标和期望成果，是确保审计工作顺利进行的关键。审计过程中，双方应深入交流，共享信息，确保审计的深度和质量。审计结束后，应总结合作经验，构建有效的合作模式与成果。通过这样的合作，注册会计师可以更精准地识别重大错报风险，控制审计风险，在被审计单位海量数据环境下高质量地完成审计工作。