趋势与观点 | 数字化转型时代下IT审计的机遇

一、IT审计定义
 
目前,国内外各界对于IT审计还没有特别统一的定义,随着全球信息技术的发展,不同的学术界、行业组织和国家陆续提出了针对性的IT审计定义和理解。尽管存在一些差异,但这些定义在目标和核心要素上是相似的,总体上都强调了对企业或组织信息技术环境下的信息系统、数据和过程进行评估和审计,以确保其合规性、安全性、可靠性和有效性。
 
二、中国信息化发展及对传统审计的挑战
 

从19世纪80年代起,中国信息化发展经历了起步、建设、加速和创新驱动等阶段。中国政府的政策支持、市场的需求和技术的创新推动了信息化建设的快速发展,也陆续提出了信息化、互联网+、数字经济、大数据和人工智能等概念。当代信息技术发展俨然成为了推动社会进步和经济发展的重要引擎之一,随着数字化转型、大数据和人工智能、云计算和边缘计算、物联网、区块链、5G通信以及信息安全和隐私保护等技术的快速发展,对各行各业产生了深远的影响。特别是中国正处于数字化转型的深化阶段,数字技术的应用正不断推动着经济社会的发展和创新,尤其是推动了传统产业的升级和新兴产业的崛起。

中国IT审计的发展最早依赖的是信息化程度较高的金融行业,金融行业的信息技术规范要求及监管力度一直处于一个比较高的水平。但是,随着越来越多的非金融行业和中小型企业开始普遍依赖信息系统进行日常运营,系统建设从本地化部署发展成托管机房部署、云部署,甚至于直接采用SaaS软件服务。随着移动互联网的普及和电子商务的发展,各行业趋于流量和曝光度,不断拓展其业务模式和销售渠道,由线下交易逐渐发展成线上交易或者线上线下结合。企业运营的复杂化必将对传统审计带来极大挑战,包括传统财务审计和传统IT审计。

在与财务报表相关的审计项目中,传统IT审计与财务审计密不可分。传统IT审计主要是针对IT的一般控制和依赖信息系统的应用控制有效性以及系统可靠性和安全性进行核查并发表意见。但是随着信息化办公程度的普及,原始纸质单据逐渐被信息系统间的数据交互取代,传统财务审计无法再直接通过凭证测试达到重要性水平的要求。因此财务审计对IT审计的要求也在不断的提高,IT一般控制审计需要针对机房托管、云服务等先进技术的引进进行核查程序的优化升级,IT应用控制也不再局限于企业内部信息系统控制和信息孤岛情况审查,而需要进一步延伸至内外部系统之间数据安全、完整、准确传输的审查。同时,由于经济活动数字化进一步提升了企业资产及业绩的可审计性,因此通过大数据分析等手段能经济并快速的提升审计核查比例,甚至于达到全量核查,综合降低审计风险,也成为了IT审计新的要求和挑战。

三、IT审计的机遇——以资本市场为例

近年来,随着数字化转型热潮,各行各业的信息化均得到了不同程度的普及及加深。尤其是互联网经济的蓬勃发展,更使得针对互联网企业的IPO上市、投资、并购重组项目越来越多。伴随而来的,则是针对高度依赖信息系统企业的以骗取更多投资的各类业绩造假手段的应运而生,而针对业绩真实性审计/尽职调查的诉求也相应的变得迫切。由于高度依赖信息系统的企业的运营特点,传统的财务审计或者财务尽职调查手段已经无法满足监管机构、投资方对业绩真实性的核查要求。引入具备信息化企业核查经验、拥有大数据处理和分析能力的专业IT审计/尽调团队势在必行。

1、IPO项目

2023年2月17日,全面实行注册制制度规则正式发布实施,标志着中国注册制的制度安排基本定型。此次发布的制度规则共165部,其中证监会发布的制度规则57部,证券交易所、全国股转公司、中国结算等发布的配套制度规则108部。内容涵盖发行条件、注册程序、保荐承销、重大资产重组、监管执法、投资者保护等各个方面。目前,各板块定位都十分明确清晰,主板为“大盘蓝筹”,科创板考察“科创属性”,创业板要求“三创四新”。

目前IPO的中介机构,券商、会计师、律师这三大机构,为一般大众所熟悉。但实际上,按照企业需求的重要程度,IPO最多有可能涉及到26个中介机构。按照由主板、科创板、创业板与首发业务财务审核相关的审核问答整合形成的《监管规则适用指引——发行类第5 号》(以下简称“5号文”) 中5-13及5-14最新的监管要求,以下企业类型的IPO项目需引入IT审计团队:

通过互联网开展业务的企业

• 对于直接向用户收取费用的此类企业,如互联网线上销售、互联网信息服务、互联网游戏等;

• 对用户消费占整体收入比较低,主要通过展示或用户点击转化收入的此类企业,如用户点击广告后向广告主或广告代理商收取费用的企业;

• 企业主要经营活动并非直接通过互联网开展,但其客户主要通过互联网销售发行人产品或服务,如发行人该类业务营业收入占比或毛利占比超过30%。

高度依赖信息系统经营的企业

• 企业日常经营活动高度依赖信息系统,如业务运营、终端销售环节通过信息系统线上管理,相关业务运营数据由信息系统记录并存储,且企业相关业务营业收入或成本占比、毛利占比或相关费用占期间费用的比例超过30%。

IPO项目组需要通过IT专项核查,对公司信息系统的设计及执行情况和关键的业务和财务数据进行检查分析,以综合评估信息系统可靠性和系统记录的完整性、准确性、一致性、真实性和合理性,最终出具信息系统专项审计报告,提出异常发现和影响评估,以合理支撑企业IPO,完善信息披露,最终实现上市。

执行信息系统专项核查过程中,IT核查团队需要以风险防控为导向,结合企业业务模式、盈利模式、系统架构、数据流转等情况,充分考虑舞弊行为出现的可能性,识别业务流程中可能存在的数据造假风险点,合理设计核查方案,运用大数据分析和内部控制测试等手段逐一排查风险点,全面验证企业信息系统中业务和财务数据的完整性、准确性、一致性、真实性和合理性。

2、投资尽调/并购尽调项目

投资尽调/并购尽调项目中IT尽调的核心工作是结合大数据分析全面验证目标公司运营系统中历史业务和财务数据的真实性、准确性、完整性,对主要业务环节的舞弊造假风险和行为进行筛查,为监管、投资人验证目标公司的业绩真实性。

除此以外,还需要关注目标公司的IT建设情况。信息化建设是否走在前沿,对于未来持续运营及盈利能力至关重要。未来的竞争,人效、合规化、数字化等方面是公司成长的必要因素,而且这些因素也反映了公司管理层的经营理念;另外,并购尽调项目,目标公司现有IT建设情况也影响着合并后的资源整合投入问题。因此,这些都需是IT尽调关注的重点。

四、IT审计专业人员的素质要求

随着IT审计的重要性被大众逐渐认识,IT审计的作用被不断挖掘,对IT审计专业人员的素质要求也就不断提高。除了基础的技术背景以外,IT审计人员还需要有审计思维、业务理解能力、风险敏感度、数据分析能力、项目管理能力、沟通与表达能力、职业道德和学习与运用能力等多方面的专业素质,软实力和硬实力同时加持下才能更好的胜任复杂的IT审计工作。

IT审计项目日常以项目组形式开展,对于具体项目组队时,均会考虑组内成员的专业能力需求,此时不需要每位组员均具备上述能力。但是,对于希望在此领域取得长足发展的IT审计从业人员,还是需要有计划地逐步完善相关能力。CISA(注册信息系统审计师认证)涵盖了信息系统的审计流程、IT治理与管理、信息系统的购置开发与实施,信息系统的运营和业务恢复能力和保护信息资产等5大实务领域,是IT审计从业人员学习和证明理论及实践能力的首选。

五、总结

与财务审计相比,IT审计仍属于小众特殊行业,相对而言技术要求高。目前各中介机构仍主要依据监管的推动不断开拓新的业务类型,IT审计人员需要基于大环境的发展,及时掌握社会经济与技术发展动向,研究IT审计理论和工具并开拓相关领域的审计业务,才能及时响应新增的市场需求。
 

作者简介

徐婷婷女士,中汇会计师事务所(特殊普通合伙)风险咨询合伙人,拥有10年以上IT咨询与审计从业经验,拥有丰富的IT审计理论知识并能针对不同行业的特征加以灵活运用。中汇风险咨询主要专注于金融机构风险管理、企业内部控制流程优化设计、IPO上市辅导、IT审计与咨询、IT尽调、大数据分析、企业协审等项目领域,2020年至今已参与逾10个成功上市的IPO项目。