線(xiàn)上銷(xiāo)售IT審計(jì)及信息系統(tǒng)核查方法-以睿聯(lián)技術(shù)為例

【審核要點(diǎn)】IT審計(jì)情況，對(duì)線(xiàn)上銷(xiāo)售執(zhí)行的核查程序、范圍、關(guān)注事項(xiàng)、結(jié)論等；IT審計(jì)發(fā)現(xiàn)的問(wèn)題及該問(wèn)題對(duì)發(fā)行人業(yè)務(wù)可驗(yàn)證性的影響。按照中國(guó)證監(jiān)會(huì)《首發(fā)業(yè)務(wù)若干問(wèn)題解答（2020年6月修訂）》問(wèn)題53的要求說(shuō)明核查情況?！景咐治觥?、首發(fā)問(wèn)答的要求部分申請(qǐng)首發(fā)企業(yè)，如電商、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)營(yíng)銷(xiāo)企業(yè)等，其業(yè)務(wù)主要通過(guò)互聯(lián)網(wǎng)開(kāi)展。此類(lèi)企業(yè)，報(bào)告期任意一期通過(guò)互聯(lián)網(wǎng)取得的營(yíng)業(yè)收入占比或毛利占比超過(guò)30%，原則上，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師應(yīng)對(duì)該類(lèi)企業(yè)通過(guò)互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)的信息系統(tǒng)可靠性分別進(jìn)行專(zhuān)項(xiàng)核查并發(fā)表明確核查意見(jiàn)。2、IT審計(jì)情況，對(duì)線(xiàn)上銷(xiāo)售執(zhí)行的核查程序、范圍、關(guān)注事項(xiàng)、結(jié)論等；IT審計(jì)發(fā)現(xiàn)的問(wèn)題及該問(wèn)題對(duì)發(fā)行人業(yè)務(wù)可驗(yàn)證性的影響中介機(jī)構(gòu)根據(jù)發(fā)行人線(xiàn)上銷(xiāo)售的特點(diǎn)，對(duì)線(xiàn)上銷(xiāo)售執(zhí)行的核查程序、范圍如下：IT

審計(jì)情況（1）核查程序按照《首發(fā)業(yè)務(wù)若干問(wèn)題解答》等相關(guān)規(guī)定，中介機(jī)構(gòu)對(duì)發(fā)行人2019年1月1日至2022年6月30日期間公司層面信息技術(shù)控制、信息技術(shù)一般性控制、信息技術(shù)應(yīng)用控制的有效性以及關(guān)鍵業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性進(jìn)行核查。核查內(nèi)容如下：1）核查內(nèi)容①公司層面信息技術(shù)控制（ITELC）本部分主要針對(duì)核查期間內(nèi)公司

IT

整體控制環(huán)境、風(fēng)險(xiǎn)評(píng)估、信息與溝通、監(jiān)控等方面的管理流程和控制措施進(jìn)行評(píng)價(jià)，涉及的控制流程包括：A、控制環(huán)境（包括

IT

戰(zhàn)略規(guī)劃、組織架構(gòu)、人員配備、制度建設(shè)等）B、風(fēng)險(xiǎn)評(píng)估（包括

IT

風(fēng)險(xiǎn)的識(shí)別、評(píng)估和應(yīng)對(duì)）C、信息與溝通（包括業(yè)務(wù)與

IT

部門(mén)的溝通機(jī)制）D、監(jiān)控（包括

IT

部門(mén)及人員績(jī)效考核）②信息技術(shù)一般性控制（ITGC）本部分主要針對(duì)核查期間內(nèi)公司關(guān)鍵業(yè)務(wù)系統(tǒng)的信息技術(shù)一般性控制進(jìn)行測(cè)試，識(shí)別

IT

內(nèi)部控制流程中可能存在的問(wèn)題，為業(yè)務(wù)數(shù)據(jù)的完整性及準(zhǔn)確性驗(yàn)證提供支持。涉及的控制流程包括：A、信息系統(tǒng)開(kāi)發(fā)B、信息系統(tǒng)變更C、信息系統(tǒng)安全D、信息系統(tǒng)運(yùn)行維護(hù)③信息技術(shù)應(yīng)用控制（ITAC）本部分主要針對(duì)公司的采購(gòu)業(yè)務(wù)循環(huán)、銷(xiāo)售業(yè)務(wù)循環(huán)、成本計(jì)算流程執(zhí)行穿行測(cè)試，識(shí)別流程中的關(guān)鍵自動(dòng)控制及人工依賴(lài)

IT

控制，并對(duì)這些控制的執(zhí)行有效性進(jìn)行測(cè)試，以驗(yàn)證信息系統(tǒng)中是否建立了有效的內(nèi)部控制來(lái)確保關(guān)鍵財(cái)務(wù)及業(yè)務(wù)數(shù)據(jù)的完整性和準(zhǔn)確性。所識(shí)別和測(cè)試的主要控制類(lèi)型包括編輯檢查、系統(tǒng)配置控制、系統(tǒng)自動(dòng)計(jì)算以及權(quán)限管理和職責(zé)分離。利用計(jì)算機(jī)輔助審計(jì)技術(shù)（CAATs），從公司自營(yíng)官方商城及第三方電商平臺(tái)獲取

2019

年

1

月

1

日至

2022

年

6

月

30

日期間的主要線(xiàn)上銷(xiāo)售平臺(tái)訂單數(shù)據(jù)，與電商業(yè)務(wù)系統(tǒng)發(fā)貨數(shù)據(jù)按訂單編號(hào)進(jìn)行逐一核對(duì)，并與財(cái)務(wù)收入確認(rèn)數(shù)據(jù)進(jìn)行核對(duì)，以驗(yàn)證公司收入確認(rèn)依據(jù)的準(zhǔn)確性與完整性；獲取官方商城訂單數(shù)據(jù)，與PayPal

賬單全量支付數(shù)據(jù)進(jìn)行核對(duì)，以確認(rèn)官方商城銷(xiāo)售數(shù)據(jù)的完整性；獲取官方商城電商業(yè)務(wù)系統(tǒng)訂單數(shù)據(jù)與外部物流商對(duì)賬單明細(xì)按照快遞單號(hào)進(jìn)行逐一匹配核對(duì)，以確認(rèn)官方商城銷(xiāo)售數(shù)據(jù)的完整性。④主要運(yùn)營(yíng)及財(cái)務(wù)數(shù)據(jù)分析結(jié)合大數(shù)據(jù)分析方法論，充分考慮發(fā)行人海量運(yùn)營(yíng)數(shù)據(jù)的特點(diǎn)，梳理出可以完整體現(xiàn)公司及其主要運(yùn)營(yíng)情況的核查方式與檢測(cè)指標(biāo)，設(shè)計(jì)出由表及里、由淺入深、由全面到重點(diǎn)的分析思路，全面分析發(fā)行人運(yùn)營(yíng)系統(tǒng)中的數(shù)據(jù)，識(shí)別其中可能存在的數(shù)據(jù)造假環(huán)節(jié)和風(fēng)險(xiǎn)點(diǎn)，以判斷公司各類(lèi)指標(biāo)數(shù)據(jù)是否存在異常及虛假的業(yè)務(wù)數(shù)據(jù)。2）核查方法①整體核查方法②主要運(yùn)營(yíng)及財(cái)務(wù)數(shù)據(jù)分析方法梳理公司日常運(yùn)營(yíng)、財(cái)務(wù)處理、系統(tǒng)管理、數(shù)據(jù)流轉(zhuǎn)等各關(guān)鍵業(yè)務(wù)流程，結(jié)合監(jiān)管指引要求，在對(duì)貫穿于各業(yè)務(wù)環(huán)節(jié)中的經(jīng)營(yíng)數(shù)據(jù)進(jìn)行全面分析的基礎(chǔ)上，識(shí)別其中可能存在的數(shù)據(jù)造假環(huán)節(jié)和風(fēng)險(xiǎn)點(diǎn)，梳理出可以完整體現(xiàn)公司及其主要運(yùn)營(yíng)情況的核查方式與檢測(cè)指標(biāo)，以保證對(duì)公司運(yùn)營(yíng)及數(shù)據(jù)核查的完備性。在分析過(guò)程中，遞進(jìn)式的開(kāi)展單指標(biāo)、雙指標(biāo)和多指標(biāo)的分析和對(duì)比工作，在分析單個(gè)指標(biāo)趨勢(shì)的基礎(chǔ)上，進(jìn)一步結(jié)合對(duì)業(yè)務(wù)的理解，識(shí)別出關(guān)鍵指標(biāo)之間所反映出的業(yè)務(wù)實(shí)質(zhì)所存在的關(guān)聯(lián)，分析存在關(guān)聯(lián)性的指標(biāo)之間的相互影響和相互作用，對(duì)各項(xiàng)業(yè)務(wù)環(huán)節(jié)和數(shù)據(jù)全方位的核查。在核查過(guò)程中通過(guò)對(duì)指標(biāo)數(shù)據(jù)在特定時(shí)間周期內(nèi)的趨勢(shì)進(jìn)行分析，對(duì)指標(biāo)在特定時(shí)段脫離總體趨勢(shì)的情況進(jìn)行識(shí)別，并結(jié)合業(yè)務(wù)解釋進(jìn)一步對(duì)異常時(shí)段的數(shù)據(jù)進(jìn)行全面核驗(yàn)，確保了核查的深度及對(duì)真實(shí)性結(jié)論的客觀程度。風(fēng)險(xiǎn)分析內(nèi)容包括：平臺(tái)經(jīng)營(yíng)數(shù)據(jù)風(fēng)險(xiǎn)分析、平臺(tái)用戶(hù)數(shù)據(jù)風(fēng)險(xiǎn)分析、用戶(hù)行為數(shù)據(jù)風(fēng)險(xiǎn)分析、獲客成本分析、獲客轉(zhuǎn)化分析、訂單區(qū)域分布分析、客戶(hù)消費(fèi)金額分層風(fēng)險(xiǎn)分析、月度銷(xiāo)售數(shù)據(jù)風(fēng)險(xiǎn)分析、大額訂單集中度風(fēng)險(xiǎn)分析、新老客戶(hù)維度風(fēng)險(xiǎn)分析、高頻客戶(hù)風(fēng)險(xiǎn)分析、同一收貨地址風(fēng)險(xiǎn)核查等。3）具體核查程序中介機(jī)構(gòu)對(duì)發(fā)行人信息系統(tǒng)及線(xiàn)上銷(xiāo)售收入執(zhí)行了IT審計(jì)程序，并出具了《信息系統(tǒng)核查報(bào)告》，具體核查程序如下：（2）核查范圍本次核查范圍內(nèi)的信息系統(tǒng)包括：自營(yíng)官網(wǎng)系統(tǒng)、電商業(yè)務(wù)系統(tǒng)和財(cái)務(wù)系統(tǒng)。（3）關(guān)注事項(xiàng)基于對(duì)公司系統(tǒng)環(huán)境及業(yè)務(wù)的理解和所識(shí)別的風(fēng)險(xiǎn)，根據(jù)業(yè)務(wù)層級(jí)和發(fā)生的順序?qū)︼L(fēng)險(xiǎn)進(jìn)行識(shí)別，進(jìn)而梳理出各環(huán)節(jié)存在的風(fēng)險(xiǎn)作為關(guān)注事項(xiàng)，重點(diǎn)關(guān)注業(yè)務(wù)數(shù)據(jù)的真實(shí)性。具體關(guān)注點(diǎn)和風(fēng)險(xiǎn)列示如下：（5）IT

審計(jì)發(fā)現(xiàn)的問(wèn)題及該問(wèn)題對(duì)發(fā)行人業(yè)務(wù)可驗(yàn)證性的影響如上所述，公司層面信息技術(shù)控制、信息技術(shù)一般性控制、信息技術(shù)應(yīng)用控制均為整體有效，未發(fā)現(xiàn)影響業(yè)務(wù)、財(cái)務(wù)數(shù)據(jù)準(zhǔn)確性、完整性重大或重要的控制缺陷，對(duì)業(yè)務(wù)可驗(yàn)證性無(wú)影響。在核查過(guò)程中，完整獲取了公司內(nèi)部系統(tǒng)數(shù)據(jù)、財(cái)務(wù)數(shù)據(jù)和外部平臺(tái)規(guī)則范圍內(nèi)所能夠獲取的交易數(shù)據(jù)，未受限制。具體發(fā)現(xiàn)的問(wèn)題及影響情況如下：發(fā)行人未對(duì)客戶(hù)端電腦統(tǒng)一部署防病毒軟件。報(bào)告期間未發(fā)生病毒入侵相關(guān)的重大生產(chǎn)事件，因此，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師認(rèn)為該控制缺陷對(duì)財(cái)務(wù)報(bào)表數(shù)據(jù)有效性、真實(shí)性、完整性無(wú)影響，對(duì)公司財(cái)務(wù)報(bào)表審計(jì)及業(yè)務(wù)驗(yàn)證無(wú)影響。發(fā)行人缺乏異地備份機(jī)制，未對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行異地備份。報(bào)告期內(nèi)未發(fā)生原數(shù)據(jù)及備份介質(zhì)同時(shí)被損壞，導(dǎo)致數(shù)據(jù)丟失且無(wú)法恢復(fù)的事件發(fā)生。因此，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師認(rèn)為該控制缺陷對(duì)財(cái)務(wù)報(bào)表數(shù)據(jù)有效性、真實(shí)性、完整性無(wú)影響，對(duì)公司財(cái)務(wù)報(bào)表審計(jì)及業(yè)務(wù)驗(yàn)證無(wú)影響。發(fā)行人已針對(duì)上述問(wèn)題進(jìn)行相關(guān)制度完善。經(jīng)過(guò)主要運(yùn)營(yíng)及財(cái)務(wù)數(shù)據(jù)分析，通過(guò)執(zhí)行上述IT審計(jì)程序未發(fā)現(xiàn)公司線(xiàn)上銷(xiāo)售收入存在異常的情況。3、按照中國(guó)證監(jiān)會(huì)《首發(fā)業(yè)務(wù)若干問(wèn)題解答（2020年6月修訂）》問(wèn)題53的要求說(shuō)明核查情況按照中國(guó)證監(jiān)會(huì)《首發(fā)業(yè)務(wù)若干問(wèn)題解答（2020年6月修訂）》問(wèn)題53的要求說(shuō)明核查情況如下表所示：【附件】《首發(fā)業(yè)務(wù)若干問(wèn)題解答（2020年6月修訂）》問(wèn)題53問(wèn)題53、對(duì)于主要通過(guò)互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)的申請(qǐng)首發(fā)企業(yè)，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師在信息系統(tǒng)核查方面，應(yīng)做好哪些工作？答：部分申請(qǐng)首發(fā)企業(yè)，如電商、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)營(yíng)銷(xiāo)企業(yè)等，其業(yè)務(wù)主要通過(guò)互聯(lián)網(wǎng)開(kāi)展。此類(lèi)企業(yè)，報(bào)告期任意一期通過(guò)互聯(lián)網(wǎng)取得的營(yíng)業(yè)收入占比或毛利占比超過(guò)30%，原則上，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師應(yīng)對(duì)該類(lèi)企業(yè)通過(guò)互聯(lián)網(wǎng)開(kāi)展業(yè)務(wù)的信息系統(tǒng)可靠性分別進(jìn)行專(zhuān)項(xiàng)核查并發(fā)表明確核查意見(jiàn)。發(fā)行人應(yīng)向保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師完整提供報(bào)告期應(yīng)用的信息系統(tǒng)情況，包括系統(tǒng)名稱(chēng)、開(kāi)發(fā)人、基本架構(gòu)、主要功能、應(yīng)用方式、各層級(jí)數(shù)據(jù)瀏覽或修改權(quán)限等；應(yīng)向保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師核查信息系統(tǒng)數(shù)據(jù)開(kāi)放足夠權(quán)限，為其核查信息系統(tǒng)提供充分條件。（1）對(duì)于直接向用戶(hù)收取費(fèi)用的此類(lèi)企業(yè)，如互聯(lián)網(wǎng)線(xiàn)上銷(xiāo)售、互聯(lián)網(wǎng)信息服務(wù)、互聯(lián)網(wǎng)游戲等，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師的核查應(yīng)包括但不限于以下方面：①經(jīng)營(yíng)數(shù)據(jù)的完整性和準(zhǔn)確性，是否存在被篡改的風(fēng)險(xiǎn)，與財(cái)務(wù)數(shù)據(jù)是否一致；②用戶(hù)真實(shí)性與變動(dòng)合理性，包括新增用戶(hù)的地域分布與數(shù)量、留存用戶(hù)的數(shù)量、活躍用戶(hù)數(shù)量、月活用戶(hù)數(shù)量、單次訪問(wèn)時(shí)長(zhǎng)與訪問(wèn)時(shí)間段等，系統(tǒng)數(shù)據(jù)與第三方統(tǒng)計(jì)平臺(tái)數(shù)據(jù)是否一致；③用戶(hù)行為核查，包括但不限于登錄IP或MAC地址信息、充值與消費(fèi)的情況、重點(diǎn)產(chǎn)品消費(fèi)或銷(xiāo)售情況、僵尸用戶(hù)情況等，用戶(hù)充值、消耗或消費(fèi)的時(shí)間分布是否合理，重點(diǎn)用戶(hù)充值或消費(fèi)是否合理；④系統(tǒng)收款或交易金額與第三方支付渠道交易金額是否一致，是否存在自充值或刷單情況；⑤平均用戶(hù)收入、平均付費(fèi)用戶(hù)收入等數(shù)值的變動(dòng)趨勢(shì)是否合理；⑥業(yè)務(wù)系統(tǒng)記錄與計(jì)算虛擬錢(qián)包（如有）的充值、消費(fèi)數(shù)據(jù)是否準(zhǔn)確；⑦互聯(lián)網(wǎng)數(shù)據(jù)中心（IDC）或帶寬費(fèi)用的核查情況，與訪問(wèn)量是否匹配；⑧獲客成本、獲客渠道是否合理，變動(dòng)是否存在異常。（2）對(duì)用戶(hù)消費(fèi)占整體收入比較低，主要通過(guò)展示或用戶(hù)點(diǎn)擊轉(zhuǎn)化收入的此類(lèi)企業(yè)，如用戶(hù)點(diǎn)擊廣告后向廣告主或廣告代理商收取費(fèi)用的企業(yè)，保薦機(jī)構(gòu)和會(huì)計(jì)師的核查應(yīng)包括但不限于以下方面：①經(jīng)營(yíng)數(shù)據(jù)的完整性和準(zhǔn)確性，是否存在被篡改的風(fēng)險(xiǎn)，與財(cái)務(wù)數(shù)據(jù)是否一致；②不同平臺(tái)用戶(hù)占比是否符合商業(yè)邏輯與產(chǎn)品定位；③推廣投入效果情況，獲客成本是否合理；④用戶(hù)行為真實(shí)性核查，應(yīng)用軟件的下載或激活的用戶(hù)數(shù)量、新增和活躍的用戶(hù)是否真實(shí)，是否存在購(gòu)買(mǎi)虛假用戶(hù)流量或虛構(gòu)流量情況；⑤廣告投放的真實(shí)性，是否存在與廣告商串通進(jìn)行虛假交易；⑥用戶(hù)的廣告瀏覽行為是否存在明顯異常。如因核查范圍受限、歷史數(shù)據(jù)丟失、信息系統(tǒng)缺陷、涉及商業(yè)秘密等原因，導(dǎo)致無(wú)法獲取全部或部分運(yùn)營(yíng)數(shù)據(jù)，無(wú)法進(jìn)行充分核查的，保薦機(jī)構(gòu)、會(huì)計(jì)師應(yīng)考慮該等情況是否存在異常并就信息系統(tǒng)可靠性審慎發(fā)表核查意見(jiàn)，同時(shí)，對(duì)該等事項(xiàng)是否構(gòu)成本次發(fā)行上市的實(shí)質(zhì)性障礙發(fā)表核查意見(jiàn)。發(fā)行人日常經(jīng)營(yíng)活動(dòng)高度依賴(lài)信息系統(tǒng)的，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師應(yīng)參照上述內(nèi)容對(duì)信息系統(tǒng)可靠性進(jìn)行專(zhuān)項(xiàng)核查并發(fā)表明確核查意見(jiàn)。此外，發(fā)行人主要經(jīng)營(yíng)活動(dòng)并非直接通過(guò)互聯(lián)網(wǎng)開(kāi)展，但其客戶(hù)主要通過(guò)互聯(lián)網(wǎng)銷(xiāo)售發(fā)行人產(chǎn)品或服務(wù)，如發(fā)行人該類(lèi)業(yè)務(wù)營(yíng)業(yè)收入占比或毛利占比超過(guò)30%，保薦機(jī)構(gòu)和申報(bào)會(huì)計(jì)師應(yīng)核查