張巖

案例背景

近年來，信息技術(shù)的飛速發(fā)展對人類社會產(chǎn)生了重大而深遠(yuǎn)的影響，信息化浪潮更是推動金融行業(yè)發(fā)生了翻天覆地的變化，同時(shí)催生出信息技術(shù)審計(jì)這一新生事物。信息技術(shù)審計(jì)是對公司在用的信息系統(tǒng)以及與之相關(guān)的信息技術(shù)內(nèi)部控制、流程管理等進(jìn)行的審查與評價(jià)，審計(jì)內(nèi)容主要包括信息技術(shù)治理、信息技術(shù)合規(guī)與風(fēng)險(xiǎn)管理、信息技術(shù)安全管理、信息技術(shù)應(yīng)急管理等。信息技術(shù)審計(jì)的范圍較廣，對審計(jì)人員的專業(yè)知識和技能要求較高，特別是涉及數(shù)據(jù)安全與保護(hù)，因而對于大多數(shù)公司來說審計(jì)難度較大，鑒于此，信息技術(shù)審計(jì)可以考慮采用審計(jì)外包的方式進(jìn)行。

A公司是一家有國資背景的證券公司，組織形式為股份有限公司，行業(yè)排名中等偏下。A公司治理結(jié)構(gòu)比較規(guī)范，內(nèi)部控制制度完善，決策機(jī)制比較健全，根據(jù)2021年證券公司分類評價(jià)結(jié)果，A公司為B類券商BBB級。A公司設(shè)立了稽核審計(jì)部，作為獨(dú)立運(yùn)行機(jī)構(gòu)，在董事會審計(jì)委員會指導(dǎo)下負(fù)責(zé)公司內(nèi)部稽核審計(jì)工作。

根據(jù)證券行業(yè)監(jiān)管要求，A公司每年會開展一次信息技術(shù)專項(xiàng)審計(jì)，由稽核審計(jì)部實(shí)施并出具審計(jì)報(bào)告，但是由于缺少專業(yè)的信息技術(shù)審計(jì)人才，A公司自行開展的信息技術(shù)審計(jì)質(zhì)量一般。

根據(jù)中國證券監(jiān)督管理委員會2018年發(fā)布的《證券基金經(jīng)營機(jī)構(gòu)信息技術(shù)管理辦法》，證券基金經(jīng)營機(jī)構(gòu)應(yīng)當(dāng)委托外部專業(yè)機(jī)構(gòu)開展信息技術(shù)管理工作的全面審計(jì)，頻率不低于每三年一次。2021年A公司信息技術(shù)專項(xiàng)審計(jì)恰逢3年審計(jì)周期，根據(jù)監(jiān)管規(guī)定需要委托外部專業(yè)機(jī)構(gòu)開展，該審計(jì)事項(xiàng)已列入A公司2021年度審計(jì)計(jì)劃。

審計(jì)流程

（一）建立中介機(jī)構(gòu)備選庫

為做好2021年信息技術(shù)專項(xiàng)審計(jì)外包工作，A公司首先建立了內(nèi)部審計(jì)業(yè)務(wù)外包中介機(jī)構(gòu)備選庫。A公司在確定納入備選庫的中介機(jī)構(gòu)時(shí)，重點(diǎn)考慮了事務(wù)所是否具備從事證券服務(wù)業(yè)務(wù)資格、是否滿足《國有金融企業(yè)選聘會計(jì)師事務(wù)所管理辦法》（以下簡稱《辦法》）中的相關(guān)資質(zhì)條件、是否擁有金融行業(yè)信息技術(shù)審計(jì)工作經(jīng)驗(yàn)、事務(wù)所綜合評價(jià)排名等因素。

A公司遴選了2020年度綜合評價(jià)排名前20名的會計(jì)師事務(wù)所，通過中國證券監(jiān)督管理委員會網(wǎng)站發(fā)布的從事證券服務(wù)業(yè)務(wù)會計(jì)師事務(wù)所備案名單，查詢到上述20家會計(jì)師事務(wù)所均具備從事證券服務(wù)業(yè)務(wù)資格，在此基礎(chǔ)上，剔除掉最近3年事務(wù)所及所屬注冊會計(jì)師受到處理處罰較多的會計(jì)師事務(wù)所，最終選取11家會計(jì)師事務(wù)所組建了A公司內(nèi)部審計(jì)業(yè)務(wù)外包中介機(jī)構(gòu)備選庫。

（二）選擇中介機(jī)構(gòu)

在選擇中介機(jī)構(gòu)的過程中，A公司稽核審計(jì)部首先對備選庫中的11家事務(wù)所進(jìn)行了電話溝通和初次詢價(jià)，由于四大會計(jì)師事務(wù)所的報(bào)價(jià)普遍較高，在二次詢價(jià)時(shí)A公司重點(diǎn)同其余7家本土?xí)?jì)師事務(wù)所進(jìn)行了溝通，溝通事項(xiàng)主要包括A公司基本情況介紹、信息技術(shù)審計(jì)范圍與內(nèi)容、審計(jì)時(shí)間、審計(jì)費(fèi)用、會計(jì)師事務(wù)派駐的審計(jì)小組成員工作經(jīng)驗(yàn)等情況。

7家事務(wù)所的報(bào)價(jià)普遍沒有達(dá)到《辦法》中規(guī)定的招標(biāo)起點(diǎn)，同時(shí)也沒有達(dá)到A公司招標(biāo)管理辦法中的招標(biāo)起點(diǎn)，經(jīng)報(bào)請A公司招標(biāo)管理委員會同意，A公司決定采取競爭性談判方式選聘會計(jì)師事務(wù)所。

根據(jù)前兩輪詢價(jià)了解的審計(jì)意向及相關(guān)信息，結(jié)合本次審計(jì)項(xiàng)目的技術(shù)、服務(wù)、價(jià)格等事項(xiàng)，A公司通過競爭性談判方式選擇了3家報(bào)價(jià)比較合理、信息技術(shù)審計(jì)經(jīng)驗(yàn)相對豐富的會計(jì)師事務(wù)所。按照《辦法》中的決策程序，由審計(jì)委員會在3家備選會計(jì)師事務(wù)所中選定1家，并提交議案給A公司董事會，經(jīng)董事會審議，選定會計(jì)師事務(wù)所。

（三）簽訂相關(guān)協(xié)議

在開展審計(jì)業(yè)務(wù)前，A公司同委托外包的事務(wù)所簽訂了《審計(jì)業(yè)務(wù)約定書》和《保密協(xié)議》。《審計(jì)業(yè)務(wù)約定書》和《保密協(xié)議》的相關(guān)模板由事務(wù)所提供，但在簽訂之前，上述協(xié)議已經(jīng)A公司法律事務(wù)部進(jìn)行文書審核并對個別條款進(jìn)行了修改。由于信息技術(shù)審計(jì)會接觸到A公司信息系統(tǒng)中的敏感信息資料，特別是一些具有商業(yè)價(jià)值的客戶資料、證券交易數(shù)據(jù)等信息，因而除了簽訂《審計(jì)業(yè)務(wù)約定書》外，A公司同委托外包事務(wù)所特別簽訂了《保密協(xié)議》，明確了事務(wù)所在審計(jì)過程中所獲取的一切數(shù)據(jù)資料，無論何種形式或存放于何種載體，均具有保密性，不得向第三方公開和披露。此外考慮到會計(jì)師事務(wù)所人員流動性比較大，A公司提出凡是參與此次審計(jì)的審計(jì)人員均應(yīng)以個人名義簽署《保密承諾書》，A公司法律事務(wù)部提供了《保密承諾書》的模板。

（四）審計(jì)項(xiàng)目質(zhì)量控制

審計(jì)項(xiàng)目的具體實(shí)施由事務(wù)所委派的審計(jì)小組負(fù)責(zé)，但是為保證審計(jì)的效率和效果能夠達(dá)到既定目標(biāo)，A公司采取多種方式對本次審計(jì)進(jìn)行質(zhì)量控制。首先，在審計(jì)項(xiàng)目開展前，A公司稽核審計(jì)部和委托的事務(wù)所共同研究制訂了本次審計(jì)的審計(jì)工作方案，明確了審計(jì)范圍、審計(jì)進(jìn)度、項(xiàng)目組成員工作分工等事項(xiàng);其次，在審計(jì)實(shí)施過程中，A公司委派具有信息技術(shù)專業(yè)背景的一位審計(jì)人員進(jìn)入審計(jì)小組，全程參與并協(xié)調(diào)、監(jiān)督審計(jì)實(shí)施過程;再次，鑒于整個項(xiàng)目的審計(jì)時(shí)間周期比較長，A公司提出審計(jì)小組需以審計(jì)周報(bào)的形式對每周工作完成情況進(jìn)行總結(jié)，同時(shí)對下一周工作進(jìn)行計(jì)劃;最后，在整個項(xiàng)目實(shí)施過程中，A公司稽核審計(jì)部通過不定期抽查方式對審計(jì)工作底稿中個別事項(xiàng)的審計(jì)完成情況、審計(jì)證據(jù)是否相關(guān)和充分等進(jìn)行了必要的檢查，針對檢查發(fā)現(xiàn)的問題，及時(shí)與審計(jì)小組進(jìn)行溝通與反饋。

（五）編制與復(fù)核審計(jì)報(bào)告

審計(jì)報(bào)告的編制主要由事務(wù)所審計(jì)小組負(fù)責(zé)，審計(jì)報(bào)告編制完成后，首先按照事務(wù)所內(nèi)部工作流程履行了質(zhì)量控制程序。提交A公司后，又按照A公司審計(jì)報(bào)告復(fù)核流程再次進(jìn)行了質(zhì)量控制。A公司在復(fù)核審計(jì)報(bào)告時(shí)，除了關(guān)注審計(jì)報(bào)告的格式、內(nèi)容、文本等要素外，還對審計(jì)報(bào)告中的重要描述事項(xiàng)特別是審計(jì)提出的問題進(jìn)行了研究與論證，對審計(jì)工作底稿及所對應(yīng)的審計(jì)證據(jù)的關(guān)聯(lián)性和充分性進(jìn)行了復(fù)核與確認(rèn)。經(jīng)過雙重復(fù)核后，A公司按照內(nèi)部審計(jì)工作流程，由稽核審計(jì)部將審計(jì)報(bào)告提交給A公司信息技術(shù)部征求意見，此后提交給A公司管理層審閱。

（六）審計(jì)底稿歸檔

審計(jì)報(bào)告完成后，在最終結(jié)清審計(jì)費(fèi)用前，A公司督促事務(wù)所按照雙方的審計(jì)業(yè)務(wù)約定，分類整理完成相應(yīng)的審計(jì)工作底稿，匯總后一并進(jìn)行了移交，除移交電子版審計(jì)工作底稿外，事務(wù)所還同時(shí)移交了部分紙質(zhì)審計(jì)工作底稿。雖然此次信息技術(shù)審計(jì)是外包審計(jì)項(xiàng)目，但是A公司稽核審計(jì)部仍然按照公司審計(jì)檔案管理辦法對這些審計(jì)工作底稿進(jìn)行了歸檔。

（七）審計(jì)發(fā)現(xiàn)問題的整改

審計(jì)報(bào)告編制完成后，委托雙方的審計(jì)業(yè)務(wù)約定基本達(dá)成，審計(jì)委托事項(xiàng)終結(jié)。針對審計(jì)報(bào)告中發(fā)現(xiàn)并提出的審計(jì)問題，為做好后續(xù)整改，A公司稽核審計(jì)部向相關(guān)部門下達(dá)了審計(jì)整改意見通知書，同時(shí)將整改問題列入A公司《審計(jì)發(fā)現(xiàn)問題整改臺賬》，由A公司稽核審計(jì)部跟蹤并檢查監(jiān)督后續(xù)的整改落實(shí)情況。

（八）評價(jià)中介機(jī)構(gòu)工作質(zhì)量

信息技術(shù)審計(jì)外包項(xiàng)目結(jié)束后，A公司組織相關(guān)人員對委托中介機(jī)構(gòu)的審計(jì)工作質(zhì)量進(jìn)行了評價(jià)。評價(jià)采取列表打分的方式，評價(jià)指標(biāo)共有6項(xiàng)，每項(xiàng)指標(biāo)賦予一定的權(quán)重，具體評價(jià)指標(biāo)包括：審計(jì)業(yè)務(wù)約定履行情況（權(quán)重為20%）、審計(jì)項(xiàng)目質(zhì)量（權(quán)重為20%）、審計(jì)人員專業(yè)勝任能力（權(quán)重為15%）、審計(jì)工作效率（權(quán)重為15%）、歸檔資料完整性（權(quán)重為15%）、信息保密（權(quán)重為15%）?？傮w評價(jià)結(jié)果分為優(yōu)秀、良好、一般、不合格4個等級，綜合得分對應(yīng)優(yōu)秀、良好級別的中介機(jī)構(gòu)日后可以續(xù)聘同類項(xiàng)目的審計(jì)外包業(yè)務(wù)，綜合得分對應(yīng)一般、不合格的中介機(jī)構(gòu)將不得以續(xù)聘方式進(jìn)行同類項(xiàng)目的審計(jì)外包。根據(jù)評價(jià)得分情況，A公司稽核審計(jì)部撰寫了審計(jì)工作質(zhì)量評價(jià)報(bào)告，作為A公司以后年度選擇和確定委托中介機(jī)構(gòu)的重要參考，報(bào)告同時(shí)提交給本次審計(jì)的委托中介機(jī)構(gòu)。

案例啟示

在A公司信息技術(shù)審計(jì)外包案例，有以下四個方面值得借鑒：一是簽署雙重保密協(xié)議，即A公司與事務(wù)所簽訂保密協(xié)議的同時(shí)，要求參與項(xiàng)目的審計(jì)人員簽署《保密承諾書》，保密責(zé)任主體既包括會計(jì)師事務(wù)所又包括具體審計(jì)人員，不僅可以避免公司敏感信息及商業(yè)信息的外泄，而且便于責(zé)任追究;二是對審計(jì)外包進(jìn)行全過程的質(zhì)量控制，A公司通過委派公司內(nèi)審人員進(jìn)組，全程對審計(jì)工作進(jìn)行跟蹤與反饋，確保了質(zhì)量控制措施在整個審計(jì)項(xiàng)目實(shí)施過程中的貫徹與執(zhí)行;三是針對中介機(jī)構(gòu)的評價(jià)管理，有效提升了委托中介機(jī)構(gòu)的審計(jì)工作質(zhì)量，同時(shí)為A公司今后開展審計(jì)外包積累了相應(yīng)的工作經(jīng)驗(yàn);四是將審計(jì)整改事項(xiàng)列入A公司《審計(jì)發(fā)現(xiàn)問題整改臺賬》，由稽核審計(jì)部切實(shí)承擔(dān)起審計(jì)整改的監(jiān)督責(zé)任，有效避免了審計(jì)外包發(fā)現(xiàn)問題整改不到位以及缺少后續(xù)監(jiān)督的弊端。

審計(jì)建議

當(dāng)前對于內(nèi)部審計(jì)人員配備不足、內(nèi)部審計(jì)項(xiàng)目較多的公司，審計(jì)外包已逐漸成為一種趨勢。為規(guī)范審計(jì)外包的管理，現(xiàn)對委托外包公司提出以下工作建議：一是做好審計(jì)外包的制度建設(shè)，讓審計(jì)外包有章可循;二是細(xì)化審計(jì)外包的工作流程，確保各項(xiàng)工作有效銜接;三是明確審計(jì)外包各環(huán)節(jié)的具體負(fù)責(zé)人，避免外包管理流于形式;四是做好中介機(jī)構(gòu)的遴選，選擇合適且專業(yè)的中介機(jī)構(gòu)，使審計(jì)外包實(shí)現(xiàn)價(jià)值最大化。總之，只有優(yōu)化、細(xì)化審計(jì)外包各環(huán)節(jié)的管控，才能促進(jìn)公司降本增效。

（作者單位：中天證券股份有限公司，郵政編碼：110003，電子郵箱：15270799@qq.com）