背景

近年来，上市公司在信息化方面的应用越来越广泛，同时，审计机构在执业时利用第三方工作获取审计证据亦较为普遍。为进一步督促辖区审计机构扎实做好公众公司 2022年年报审计工作，切实防范审计风险，提升审计执业质量，江苏证监局结合监管实践，梳理了审计机构在信息系统审计及利用第三方工作时的突出执业问题，提示审计执业风险。

主要问题

一、利用第三方工作方面

注册会计师在审计执业时，对会计或审计以外领域的职业判断，比如资产评估领域、法律领域或税务领域等，为了防范审计风险，注册会计师通常会利用专家工作（包括管理层专家或注册会计师专家）以保证审计目的的实现；或者在执行集团审计时利用组成部分注册会计师的工作。但根据近年来审计执法实践，注册会计师在利用第三方工作获取审计证据时，不乏出现未勤勉尽责情况，主要表现在以下方面。

一是质量管理能力不足，独立性意识薄弱。部分审计机构独立聘请第三方专家时，在约定由被审计单位支付服务费用或第三方专家曾经为被审计单位提供服务的情况下，注册会计师未恰当评价第三方专家的客观性，未考虑第三方专家与被审计单位是否存在影响执业独立性的经济利益、商业关系或私人关系。

二是审计程序执行不到位，勤勉尽责精神缺失。部分审计机构在利用专家工作获取会计或审计以外领域相关审计证据时，未恰当评价将专家工作用作审计证据的适当性，仅简单记录复核结果，未恰当分析专家工作与其结论的相关性和合理性，未充分复核专家工作涉及的重要假设、方法及相关原始数据。上述问题集中于商誉减值、应收债权可收回性、投资性房地产和长期股权投资等资产评估、利用组成部分审计师工作、利用信息技术专家工作等领域。

三是底稿记录不恰当，缺少支撑结论的依据材料。部分审计机构编制的工作底稿仅简单陈述“专家具备相应胜任能力、专业素质和客观性”的结论，未对专家资质进行核查，未就上述结论获取相关审计证据，导致相关结论可靠性低。

二、信息系统审计方面

在信息技术高速发展的背景下，上市公司日常经营活动越发依赖信息系统，对注册会计师专业能力及执业水平提出了更高要求，若注册会计师缺乏相关行业知识和信息技术审计技能，则可能导致审计失败。根据近年来审计执法实践，注册会计师在执行信息系统审计时，主要存在以下执业问题。

一是审计资源分配不合理。信息系统建设一般涉及较为复杂且高度专业化的信息技术，信息系统审计亦需要掌握 IT技术的审计执业人员。部分审计机构在执行相关信息系统审计时，团队中未配备 IT 审计经验人员，亦未恰当利用第三方工作，导致无法发现可能存在的错弊。

二是风险评估程序执行不当。部分审计机构在风险评估阶段，仅通过询问方式了解与财务报告相关的信息系统，或者在了解与财务报告相关的信息系统时，未涵盖业务管理系统，且未了解与信息系统相关内部控制设计及运行情况，不足以准确识别评估与信息系统相关的风险。

三是风险应对措施执行不当。部分审计机构在实施风险应对措施时，未执行控制测试即得出信息系统内部控制有效性的结论；未结合公司业务流程识别、测试信息系统关键控制点，导致内控测试流于形式；未恰当评价信息系统账号管理不规范、账号权限缺少审批、不相容职务为同一人等内控偏差对审计结论的影响；在财务核算高度依赖相关业务管理系统的情况下，部分审计机构未对业务管理系统数据的真实性、准确性和完整性进行验证，未对业务管理系统数据如何结转至财务系统进行了解和测试，导致未发现相关数据存在差异。

监管要求

从事公众公司年报审计的辖区审计机构应严格遵守法律、行政法规、中国证监会的规定，严格执行注册会计师执业准则、职业道德守则及相关规定，强化质量管理、提升执业质量、恰当发表审计意见。

一、利用第三方工作审计监管要求

一是通过公开渠道查询、与业内其他机构交流、与该专家讨论等方式详细了解资产评估师、组成部分审计师、信息系统专家等的会员身份、专长领域、执业资格等。对于未备案从事证券服务业务的资产评估机构和组成部分审计机构，要保持恰当职业怀疑，审慎利用其工作，并主动及时向监管部门报告。

二是通过对专家遵守的技术标准、其他职业准则或行业要求以及法律法规的要求，专长领域与拟利用其工作事项的相关性，专家在专长领域的执业年限，专家受到相关监管机构处理处罚等情况的全面了解来评价专家的胜任能力和专业素质。

三是通过与第三方讨论、与被审计单位讨论等方式了解第三方与被审计单位是否存在经济利益、商业关系、私人关系以及第三方是否曾经或正在为被审计单位提供其他服务等对客观性产生不利影响的情况。

四是评价第三方工作的恰当性。通过执行观察、询问、复核工作底稿、重新计算等审计程序对第三方工作涉及的重要假设、依据、方法，涉及的重要数据、测算过程及形成的结果进行评价，并认真评价第三方出具报告的恰当性及可能产生的影响，警惕上市公司利用疫情因素进行财务“大洗澡” 的情形，高度关注资产减值的充分性合理性。切实防范第三方工作对公众公司财务信息质量产生重大不利影响。

五是切实做好工作留痕，完善底稿记录。应高度重视底稿记录工作，将工作计划、执行的审计程序、执业过程、得出的结论及相关依据及时完整地反映在审计工作底稿中，并使底稿间的勾稽关系、逻辑关系能够清晰反映。

二、信息系统审计监管要求

应以内部控制为基础、风险为导向，做好对被审计单位信息技术控制一般性控制及业务流程层面相关应用控制的审计和评价，结合被审计单位业务模式、财务数据对信息系统的依赖程度、信息系统的可靠性和有效性等，评估信息系统可能导致财务报表发生重大错报的风险，设计恰当的应对程序，必要时借助专家的工作。

一是确定审计的前提条件存在。应确保被审计单位能够完整提供信息系统的相关信息，包括系统名称、开发人、基本架构、主要功能、应用方式、各层级数据浏览或修改权限。

二是做好风险评估与计划。应结合被审计单位业务模式、盈利模式、系统架构、数据流转等情况，或者是否发生过导致数据异常的重大事件等情况，识别和评估可能存在的重大错报风险或舞弊风险，合理设计审计计划及应对措施。

三是执行充分适当内控测试。在了解及测试系统开发、访问逻辑、权限管理、系统运维、数据安全、数据备份等流程内控设计及运行情况的基础上，关注是否存在过度授权或不相容岗位职责不分离的情况，结合发现的控制偏差，恰当评价是否属于控制缺陷，并考虑对数据真实性、准确性、完整性的影响。

四是开展数据质量核查。核实运营数据、财务数据在系统中记录和保存的准确性、完整性，是否存在数据缺失、指标口径错误等事项；分析运营数据与财务数据的一致性或匹配性，核实是否存在经营数据与财务数据不一致、资金流水与订单金额不匹配等事项。

五是提升反舞弊意识。通过分析关键业务指标和财务指标的变化趋势及匹配性来判断是否存在背离被审计单位业务发展、行业惯例或违反商业逻辑的异常情形，若发现疑似异常数据，除业务逻辑相互印证外，还应执行明细数据分析或实质性走访验证。对于确实无法合理解释的异常情况，应考虑对审计意见的影响。

摘自《江苏证监局会计监管通讯》二〇二三年第一期