審計(jì)工作電子化是會(huì)計(jì)師事務(wù)所提高審計(jì)效率、強(qiáng)化質(zhì)量管理、適應(yīng)現(xiàn)代信息技術(shù)發(fā)展的重要變革。審計(jì)工作電子化對(duì)審計(jì)工作底稿的影響是全面的，不僅改變了審計(jì)底稿的編制、存儲(chǔ)和使用方式，還對(duì)審計(jì)人員的勝任能力、事務(wù)所的審計(jì)流程和質(zhì)量風(fēng)險(xiǎn)管理提出了新的要求。

在審計(jì)工作電子化進(jìn)程下，審計(jì)工作底稿的完整性、安全性、一致性及電子底稿的借閱管理在事務(wù)所質(zhì)量管理過(guò)程中被高度關(guān)注。審計(jì)準(zhǔn)則對(duì)審計(jì)工作底稿的格式、內(nèi)容、范圍以及歸檔作出了具體規(guī)定；國(guó)家網(wǎng)絡(luò)信息安全相關(guān)法律法規(guī)，包括財(cái)政部、國(guó)家互聯(lián)網(wǎng)信息辦公室于2024年4月15日發(fā)布的《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（財(cái)會(huì)〔2024〕6號(hào)）對(duì)事務(wù)所審計(jì)工作中數(shù)據(jù)處理活動(dòng)的安全性予以了規(guī)范，事務(wù)所的審計(jì)工作需要滿(mǎn)足上述合規(guī)要求?！吨袊?guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則問(wèn)題解答第2號(hào)——函證》（2019年12月修訂）對(duì)注冊(cè)會(huì)計(jì)師利用第三方函證平臺(tái)實(shí)施函證程序作出相關(guān)規(guī)定，要求注冊(cè)會(huì)計(jì)師對(duì)第三方平臺(tái)的安全可靠性（如第三方函證平臺(tái)如何保證函證相關(guān)方身份的真實(shí)性、信息傳輸安全性以及記錄函證控制過(guò)程的完整性等）進(jìn)行評(píng)價(jià)，以防范相關(guān)審計(jì)風(fēng)險(xiǎn)。

北京注冊(cè)會(huì)計(jì)師協(xié)會(huì)專(zhuān)業(yè)技術(shù)委員會(huì)對(duì)北京地區(qū)會(huì)計(jì)師事務(wù)所審計(jì)底稿電子化情況以及第三方電子函證平臺(tái)使用情況開(kāi)展了問(wèn)卷調(diào)查，并邀請(qǐng)有關(guān)事務(wù)所、第三方電子函證平臺(tái)、行業(yè)管理部門(mén)專(zhuān)家等進(jìn)行了專(zhuān)題研討。在本提示編寫(xiě)過(guò)程中，參考了上述調(diào)研、研討的相關(guān)資料。

附件：北京注冊(cè)會(huì)計(jì)師協(xié)會(huì)專(zhuān)業(yè)技術(shù)委員會(huì)專(zhuān)家提示——審計(jì)工作底稿的電子化及對(duì)第三方電子函證平臺(tái)安全可靠性的評(píng)價(jià)

北京注冊(cè)會(huì)計(jì)師協(xié)會(huì)

2024年11月1日

審計(jì)工作電子化是會(huì)計(jì)師事務(wù)所提高審計(jì)效率、強(qiáng)化質(zhì)量管理、適應(yīng)現(xiàn)代信息技術(shù)發(fā)展的重要變革。審計(jì)工作電子化對(duì)審計(jì)工作底稿的影響是全面的，不僅改變了審計(jì)底稿的編制、存儲(chǔ)和使用方式，還對(duì)審計(jì)人員的勝任能力、事務(wù)所的審計(jì)流程和質(zhì)量風(fēng)險(xiǎn)管理提出了新的要求。

在審計(jì)工作電子化進(jìn)程下，審計(jì)工作底稿的完整性、安全性、一致性及電子底稿的借閱管理在事務(wù)所質(zhì)量管理過(guò)程中被高度關(guān)注。審計(jì)準(zhǔn)則對(duì)審計(jì)工作底稿的格式、內(nèi)容、范圍以及歸檔作出了具體規(guī)定；國(guó)家網(wǎng)絡(luò)信息安全相關(guān)法律法規(guī)，包括財(cái)政部、國(guó)家互聯(lián)網(wǎng)信息辦公室于2024年4月15日發(fā)布的《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（財(cái)會(huì)〔2024〕6 號(hào)）對(duì)事務(wù)所審計(jì)工作中數(shù)據(jù)處理活動(dòng)的安全性予以了規(guī)范，事務(wù)所的審計(jì)工作需要滿(mǎn)足上述合規(guī)要求。《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則問(wèn)題解答第2號(hào)——函證》（2019年12 月修訂）對(duì)注冊(cè)會(huì)計(jì)師利用第三方函證平臺(tái)實(shí)施函證程序作出相關(guān)規(guī)定，要求注冊(cè)會(huì)計(jì)師對(duì)第三方平臺(tái)的安全可靠性（如第三方函證平臺(tái)如何保證函證相關(guān)方身份的真實(shí)性、信息傳輸安全性以及記錄函證控制過(guò)程的完整性等）進(jìn)行評(píng)價(jià)，以防范相關(guān)審計(jì)風(fēng)險(xiǎn)。

北京注冊(cè)會(huì)計(jì)師協(xié)會(huì)專(zhuān)業(yè)技術(shù)委員會(huì)對(duì)北京地區(qū)會(huì)計(jì)師事務(wù)所審計(jì)底稿電子化情況以及第三方電子函證平臺(tái)使用情況開(kāi)展了問(wèn)卷調(diào)查，并邀請(qǐng)有關(guān)事務(wù)所、第三方電子函證平臺(tái)、行業(yè)管理部門(mén)專(zhuān)家等進(jìn)行了專(zhuān)題研討。在本提示編寫(xiě)過(guò)程中，參考了上述調(diào)研、研討的相關(guān)資料。

一、關(guān)于審計(jì)工作底稿的電子化

（一）審計(jì)工作底稿的完整性

1.審計(jì)工作信息化推動(dòng)了底稿的電子化

根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1131 號(hào)——審計(jì)工作底稿》，審計(jì)工作底稿是注冊(cè)會(huì)計(jì)師對(duì)制定的審計(jì)計(jì)劃、實(shí)施的審計(jì)程序、獲取的相關(guān)審計(jì)證據(jù)以及得出的審計(jì)結(jié)論的記錄。審計(jì)檔案，是指一個(gè)或多個(gè)文件夾或其他存儲(chǔ)介質(zhì)，以實(shí)物或電子形式存儲(chǔ)構(gòu)成某項(xiàng)具體業(yè)務(wù)的審計(jì)工作底稿的記錄。審計(jì)證據(jù)是為了得出審計(jì)結(jié)論和形成審計(jì)意見(jiàn)而使用的信息，包括構(gòu)成財(cái)務(wù)報(bào)表基礎(chǔ)的會(huì)計(jì)記錄所含有的信息以及從其他來(lái)源獲取的信息。審計(jì)過(guò)程中獲取的審計(jì)證據(jù)，有以電子形式獲取的，也有以紙質(zhì)形式獲取的；有從被審計(jì)單位內(nèi)部獲取的，也有從被審計(jì)單位外部獲取的。

審計(jì)實(shí)務(wù)中，由線(xiàn)下審計(jì)為主的傳統(tǒng)模式正在逐漸轉(zhuǎn)變?yōu)榛谠萍夹g(shù)的審計(jì)作業(yè)平臺(tái)等為主的在線(xiàn)審計(jì)模式。傳統(tǒng)模式下的審計(jì)工作底稿主要是以紙質(zhì)形式為主存檔，項(xiàng)目組對(duì)審計(jì)過(guò)程中編制或取得電子形式底稿（如審定表、明細(xì)表等）打印后以紙質(zhì)形式進(jìn)行歸檔存儲(chǔ)。在線(xiàn)審計(jì)模式下，審計(jì)工作底稿主要是以電子形式為主存檔，如將獲取外部證據(jù)（如函證回函、重要合同等）進(jìn)行掃描并插入審計(jì)作業(yè)軟件中。

除審計(jì)作業(yè)軟件外，事務(wù)所目前可能還運(yùn)用函證系統(tǒng)、獨(dú)立性系統(tǒng)及監(jiān)盤(pán)系統(tǒng)等各種輔助審計(jì)工具，函證底稿、獨(dú)立性底稿及監(jiān)盤(pán)底稿等會(huì)分散在不同的審計(jì)工具中。如何將分散在不同系統(tǒng)或工具中的底稿統(tǒng)一、及時(shí)、完整歸檔是事務(wù)所審計(jì)底稿電子化要解決的主要問(wèn)題。項(xiàng)目組在對(duì)不同作業(yè)系統(tǒng)（工具）形成的審計(jì)工作底稿和留存的審計(jì)證據(jù)進(jìn)行統(tǒng)一集中歸檔時(shí)，應(yīng)當(dāng)確認(rèn)審計(jì)底稿信息及審計(jì)證據(jù)內(nèi)容完整、與相關(guān)作業(yè)系統(tǒng)（工具）或紙質(zhì)底稿的一致性，可以通過(guò)建立電子檔案目錄等形式進(jìn)行電子檔案的歸集，以便于查閱和管理。

2.紙質(zhì)形式審計(jì)證據(jù)歸檔的完整性

當(dāng)事務(wù)所采用電子方式歸檔時(shí)，電子底稿是主體，審計(jì)中獲取的電子證據(jù)、紙質(zhì)證據(jù)需要在電子底稿中進(jìn)行索引。審計(jì)獲取的重要的紙質(zhì)證據(jù)需要立卷歸檔，事務(wù)所如因?qū)徲?jì)業(yè)務(wù)涉及民事賠償訴訟、外部檢查，可能會(huì)被要求提供這些紙質(zhì)證據(jù)以支持審計(jì)工作中形成的相關(guān)審計(jì)結(jié)論和審計(jì)意見(jiàn)。審計(jì)人員需要保證歸檔的電子底稿和紙質(zhì)底稿的完整性，以證明注冊(cè)會(huì)計(jì)師已按照審計(jì)準(zhǔn)則和相關(guān)法律法規(guī)的規(guī)定計(jì)劃和執(zhí)行審計(jì)工作。

前述重要的紙質(zhì)證據(jù)主要包括被審計(jì)單位或其他相關(guān)方簽章的業(yè)務(wù)約定書(shū)、管理層聲明書(shū)、未審財(cái)務(wù)報(bào)表和經(jīng)審計(jì)的財(cái)務(wù)報(bào)表、詢(xún)證函回函等，還可能包括涉及重大錯(cuò)報(bào)風(fēng)險(xiǎn)領(lǐng)域和關(guān)鍵審計(jì)事項(xiàng)的應(yīng)對(duì)程序、審計(jì)調(diào)整、內(nèi)控缺陷、影響審計(jì)意見(jiàn)類(lèi)型和報(bào)告內(nèi)容要素，或者與疑難事項(xiàng)、意見(jiàn)分歧相關(guān)的合同等文件，以及項(xiàng)目合伙人認(rèn)為重要的其他紙質(zhì)審計(jì)證據(jù)。

實(shí)務(wù)中，對(duì)于是否將紙質(zhì)證據(jù)掃描并同時(shí)進(jìn)行電子歸檔，不同事務(wù)所內(nèi)部質(zhì)量管理制度可能有不同的規(guī)定，有的事務(wù)所要求將紙質(zhì)證據(jù)掃描件進(jìn)行電子歸檔，有的不作該要求，二者各有利弊。前者，便于快速檢索和調(diào)用，而且整套電子檔案可以通過(guò)備份、加密等方式得到保護(hù)，即使紙質(zhì)文檔出現(xiàn)問(wèn)題，完整的電子檔案仍能一定程度上為審計(jì)結(jié)論提供支撐，不足在于掃描存儲(chǔ)需要投入相應(yīng)時(shí)間和成本，以及需要考慮掃描件的法律證明力。后者，不需要投入資源進(jìn)行紙質(zhì)證據(jù)的電子化處理，但紙質(zhì)文件的檢索和查閱通常比電子文件更耗時(shí)。事務(wù)所在確定其具體做法時(shí)，需要對(duì)相關(guān)成本效益進(jìn)行綜合評(píng)價(jià)。

審計(jì)人員在審計(jì)過(guò)程中檢查被審計(jì)單位的相關(guān)文件資料，如果認(rèn)為有必要將該相關(guān)文件的副本作為審計(jì)工作底稿，直接拍照或?qū)⑵鋻呙杓鳛閷徲?jì)證據(jù)可能存在一定的風(fēng)險(xiǎn)。

比如，被審計(jì)單位可能否認(rèn)其存在與事務(wù)所電子審計(jì)檔案中的某一掃描件相對(duì)應(yīng)的紙質(zhì)原件。項(xiàng)目組根據(jù)對(duì)項(xiàng)目審計(jì)風(fēng)險(xiǎn)的評(píng)估情況，可能采取不同的做法。對(duì)于重要的審計(jì)證據(jù)，審計(jì)人員應(yīng)核對(duì)取得的復(fù)印件與原件相符，并盡可能要求被審計(jì)單位在復(fù)印件上蓋章，以證明是由被審計(jì)單位提供。

3.項(xiàng)目質(zhì)量復(fù)核記錄的歸檔

按照事務(wù)所質(zhì)量管理準(zhǔn)則以及事務(wù)所內(nèi)部政策，有的項(xiàng)目需要執(zhí)行項(xiàng)目質(zhì)量復(fù)核，項(xiàng)目質(zhì)量復(fù)核人員就項(xiàng)目質(zhì)量復(fù)核形成工作底稿，以使未曾接觸該項(xiàng)目的、有經(jīng)驗(yàn)的執(zhí)業(yè)人員了解項(xiàng)目質(zhì)量復(fù)核人員（包括協(xié)助人員）所執(zhí)行程序的性質(zhì)、時(shí)間安排和范圍。項(xiàng)目質(zhì)量復(fù)核底稿（包括質(zhì)量復(fù)核程序的記錄、復(fù)核人員與項(xiàng)目組的溝通記錄、復(fù)核發(fā)現(xiàn)的重大問(wèn)題及項(xiàng)目組的答復(fù)等）非常重要，是事務(wù)所遵守質(zhì)量管理準(zhǔn)則規(guī)范執(zhí)業(yè)的體現(xiàn)，也是事務(wù)所內(nèi)、外部檢查中關(guān)注的重點(diǎn)，應(yīng)包含在審計(jì)項(xiàng)目工作底稿中。

《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1131 號(hào)——審計(jì)工作底稿》應(yīng)用指南中指出，審計(jì)工作底稿不需要包括已被取代的審計(jì)工作底稿的草稿或財(cái)務(wù)報(bào)表的草稿、反映不全面或初步思考的記錄、存在印刷錯(cuò)誤或其他錯(cuò)誤而作廢的文本，以及重復(fù)的文件記錄。項(xiàng)目質(zhì)量復(fù)核人員在復(fù)核過(guò)程中可能就某一事項(xiàng)與項(xiàng)目組進(jìn)行多次溝通，當(dāng)項(xiàng)目質(zhì)量復(fù)核通過(guò)審計(jì)作業(yè)軟件中的項(xiàng)目質(zhì)量復(fù)核模塊進(jìn)行的情況下，在對(duì)項(xiàng)目質(zhì)量復(fù)核底稿進(jìn)行歸檔時(shí)，也應(yīng)考慮該準(zhǔn)則這一方面的要求，避免因存在中間稿而導(dǎo)致對(duì)項(xiàng)目質(zhì)量復(fù)核工作不必要的歧義。

4.電子審計(jì)檔案的存儲(chǔ)方式

事務(wù)所應(yīng)根據(jù)其實(shí)際情況確定電子底稿的存儲(chǔ)方式。目前本地存儲(chǔ)仍是主流，比如事務(wù)所服務(wù)器集中存儲(chǔ)、光盤(pán)或移動(dòng)硬盤(pán)存儲(chǔ)。無(wú)論采取何種方式保存電子工作底稿，事務(wù)所均需要建立并維護(hù)與工作底稿相關(guān)的政策和程序，以確保不存在任何人未經(jīng)授權(quán)、批準(zhǔn)并在有效監(jiān)控情形下接觸已歸檔的工作底稿。

隨著審計(jì)程序執(zhí)行方式的變化，視頻監(jiān)盤(pán)、視頻訪(fǎng)談、電話(huà)訪(fǎng)談及借助智能化工具的資金流水核查等信息化方式普遍應(yīng)用，審計(jì)證據(jù)除常見(jiàn)的Word、Excel電子文檔外，通常還包括圖片、照片、音頻、視頻等多媒體資料。對(duì)于審計(jì)中獲取多媒體形式的審計(jì)證據(jù)，有的事務(wù)所是將其上傳到審計(jì)作業(yè)系統(tǒng)中，與其他電子底稿一并歸檔存儲(chǔ)；有的則是將這些多媒體證據(jù)單獨(dú)存儲(chǔ)。在確定多媒體證據(jù)的存儲(chǔ)方式時(shí)，事務(wù)所需要對(duì)多媒體資料的具體格式作出統(tǒng)一規(guī)定，并綜合考慮成本、數(shù)據(jù)容量、網(wǎng)絡(luò)環(huán)境等因素，避免事務(wù)所的網(wǎng)絡(luò)帶寬和服務(wù)器可能無(wú)法承載。如前所述，無(wú)論以何種方式存儲(chǔ)，項(xiàng)目組均需根據(jù)檔案目錄確認(rèn)底稿內(nèi)容完整、索引正確。

5.出具審計(jì)報(bào)告后或?qū)徲?jì)檔案歸檔后對(duì)電子審計(jì)工作底稿的修改

《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1131 號(hào)——審計(jì)工作底稿》對(duì)報(bào)告出具后以及底稿整理歸檔后審計(jì)工作底稿的修改，均作出了規(guī)定：（1）在某些例外情況下，如果在審計(jì)報(bào)告日后實(shí)施了新的或追加的審計(jì)程序，或者得出新的結(jié)論，應(yīng)當(dāng)記錄遇到的例外情況，實(shí)施的新的或者追加的程序、獲取的證據(jù)和得出的結(jié)論，對(duì)審計(jì)報(bào)告的影響，以及對(duì)底稿作出相應(yīng)變動(dòng)的時(shí)間和人員，復(fù)核的時(shí)間和人員；（2）檔案歸檔后，如發(fā)現(xiàn)有必要修改或新增審計(jì)工作底稿，無(wú)論修改或增加的性質(zhì)如何，均應(yīng)記錄理由、時(shí)間和人員，以及復(fù)核的時(shí)間和人員。

《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》規(guī)定，會(huì)計(jì)師事務(wù)所應(yīng)當(dāng)對(duì)審計(jì)業(yè)務(wù)相關(guān)的信息系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等設(shè)置并啟用訪(fǎng)問(wèn)日志記錄功能。 涉及核心數(shù)據(jù)的，相關(guān)日志留存時(shí)間不少于三年。涉及重要數(shù)據(jù)的，相關(guān)日志留存時(shí)間不少于一年；涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的相關(guān)日志留存時(shí)間不少于三年。

因此，審計(jì)報(bào)告出具后或底稿歸檔后，對(duì)電子底稿的修改或新增要遵守審計(jì)準(zhǔn)則以及數(shù)據(jù)安全管理辦法對(duì)日志留存時(shí)間的規(guī)定。

鑒于電子底稿具體修改內(nèi)容可能難以追蹤，或者對(duì)個(gè)別工作底稿的修改或新增會(huì)導(dǎo)致工作底稿整體顯示的歸檔日期有所改變，從而無(wú)法支持審計(jì)項(xiàng)目組已在規(guī)定時(shí)間內(nèi)歸檔這一事實(shí)，因此，如果在審計(jì)工作底稿歸檔之后需要對(duì)電子底稿做出修改或新增時(shí)，建議另外編制電子底稿，并明確說(shuō)明修改或新增的原因和范圍，而非在原電子底稿中直接進(jìn)行修改。目前對(duì)電子底稿的修改或新增，較為常見(jiàn)的是針對(duì)監(jiān)控活動(dòng)或外部檢查發(fā)現(xiàn)的項(xiàng)目審計(jì)問(wèn)題所作整改，如果整改內(nèi)容無(wú)法在該項(xiàng)目當(dāng)年工作底稿中反映，而是需要在以后年度審計(jì)中進(jìn)行，項(xiàng)目組可以將相應(yīng)的整改措施及落實(shí)情況記錄于后續(xù)年度審計(jì)底稿中。

對(duì)審計(jì)檔案的任何修改或增加都必須有明確審批和復(fù)核記錄，以證明不是對(duì)審計(jì)底稿的偽造、篡改或損毀，不存在這方面的嫌疑，比如，因事務(wù)所監(jiān)控活動(dòng)需要對(duì)底稿進(jìn)行整改的，依據(jù)的是事務(wù)所內(nèi)部監(jiān)控整改報(bào)告；如果是外部檢查要求整改，則依據(jù)外部檢查意見(jiàn)或是監(jiān)管函或處罰決定書(shū)等。事務(wù)所需要制定審計(jì)檔案修改相關(guān)內(nèi)部審批流程，確保對(duì)電子審計(jì)檔案的任何修改均經(jīng)過(guò)適當(dāng)審批。

（二）審計(jì)工作底稿的一致性

1.不同審計(jì)作業(yè)系統(tǒng)之間數(shù)據(jù)傳輸?shù)囊恢滦?/strong>

當(dāng)事務(wù)所存在多種審計(jì)工具，比如審計(jì)作業(yè)軟件、函證系統(tǒng)、獨(dú)立性系統(tǒng)等，審計(jì)工作底稿信息在不同系統(tǒng)之間自動(dòng)傳輸、歸集時(shí)，需要關(guān)注和測(cè)試數(shù)據(jù)傳輸是否完整、一致，避免相關(guān)應(yīng)用系統(tǒng)的設(shè)計(jì)或內(nèi)部控制存在缺陷而出現(xiàn)系統(tǒng)性風(fēng)險(xiǎn)。

2.紙質(zhì)底稿掃描件與原件的一致性

如果事務(wù)所內(nèi)部質(zhì)量管理制度要求將紙質(zhì)底稿進(jìn)行掃描并在電子檔案中歸集，事務(wù)所需要采取一定措施，確保掃描件與紙質(zhì)底稿一致。比如，規(guī)定掃描流程，對(duì)掃描件是否清晰、無(wú)缺頁(yè)遺漏等進(jìn)行檢查。當(dāng)審計(jì)過(guò)程中紙質(zhì)底稿更新時(shí)，應(yīng)確保掃描件隨之更新。

3.審計(jì)軟件中導(dǎo)出的歸檔底稿與軟件中底稿數(shù)據(jù)的一致性

審計(jì)軟件環(huán)境下所查閱的底稿依賴(lài)軟件數(shù)據(jù)庫(kù)的鏈接支持，從審計(jì)軟件中導(dǎo)出用于歸檔的底稿時(shí)，需要形成不依賴(lài)審計(jì)軟件即可查閱的檔案，要確保審計(jì)軟件設(shè)計(jì)正確，歸檔底稿與審計(jì)軟件環(huán)境下所見(jiàn)底稿一致，內(nèi)容完整。導(dǎo)出的歸檔底稿應(yīng)設(shè)置為不可更改模式。

（三）審計(jì)工作底稿的安全性

1.監(jiān)管部門(mén)對(duì)審計(jì)工作電子化安全性的指導(dǎo)

在《會(huì)計(jì)師事務(wù)所數(shù)據(jù)安全管理暫行辦法》中，就事務(wù)所如何貫徹落實(shí)國(guó)家網(wǎng)絡(luò)數(shù)據(jù)安全規(guī)定予以了細(xì)化指導(dǎo)，要求規(guī)范數(shù)據(jù)的分類(lèi)分級(jí)和底稿管理，強(qiáng)調(diào)網(wǎng)絡(luò)管理安全可控，其中對(duì)底稿存儲(chǔ)地、數(shù)據(jù)備份、系統(tǒng)權(quán)限設(shè)置、底稿出境審批等均作出了規(guī)定：

（1）審計(jì)工作底稿應(yīng)當(dāng)按照法律、行政法規(guī)和國(guó)家有關(guān)規(guī)定存儲(chǔ)在境內(nèi)，相關(guān)加密設(shè)備應(yīng)當(dāng)設(shè)置在境內(nèi)并由境內(nèi)團(tuán)隊(duì)負(fù)責(zé)運(yùn)行維護(hù)，密鑰應(yīng)當(dāng)存儲(chǔ)在境內(nèi)。

（2）應(yīng)當(dāng)建立數(shù)據(jù)備份制度，確保在審計(jì)相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪(fǎng)問(wèn)、調(diào)取、使用相關(guān)審計(jì)工作底稿。

（3）應(yīng)當(dāng)擁有審計(jì)業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護(hù)系統(tǒng)管理員賬戶(hù)和工作人員賬戶(hù)，不得設(shè)置不受限制、不受監(jiān)控的超級(jí)賬戶(hù)，不得將管理員賬號(hào)交由第三方運(yùn)維機(jī)構(gòu)管理使用。加入國(guó)際網(wǎng)絡(luò)的事務(wù)所使用所在國(guó)際網(wǎng)絡(luò)的信息系統(tǒng)的，應(yīng)當(dāng)采取必要措施，使其符合國(guó)家數(shù)據(jù)安全法律、行政法規(guī)和該暫行辦法的規(guī)定，確保事務(wù)所的數(shù)據(jù)安全。

（4）對(duì)于審計(jì)工作底稿出境事項(xiàng)，事務(wù)所應(yīng)當(dāng)建立逐級(jí)復(fù)核機(jī)制，采取必要措施嚴(yán)格落實(shí)數(shù)據(jù)安全管控責(zé)任。對(duì)于需要出境的審計(jì)工作底稿，按照國(guó)家有關(guān)規(guī)定辦理審批手續(xù)。

該暫行辦法中還就事務(wù)所對(duì)核心數(shù)據(jù)的四級(jí)網(wǎng)絡(luò)安全等級(jí)保護(hù)、重要數(shù)據(jù)的三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)，以及數(shù)據(jù)匯聚、關(guān)聯(lián)后屬于國(guó)家秘密事項(xiàng)的安全保護(hù)等作出了要求。

該暫行管理辦法2024年10月1日起施行，事務(wù)所在設(shè)計(jì)和執(zhí)行電子底稿安全性相關(guān)政策及程序時(shí)，必須符合該暫行辦法的相關(guān)規(guī)定。

2.審計(jì)工作底稿電子化過(guò)程中對(duì)網(wǎng)絡(luò)安全的考慮

事務(wù)所應(yīng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)，建立健全的內(nèi)部網(wǎng)絡(luò)安全管理制度體系，包括內(nèi)部決策、管理、執(zhí)行和監(jiān)督機(jī)制，提高網(wǎng)絡(luò)安全管理能力，為審計(jì)工作底稿電子化提供安全的網(wǎng)絡(luò)環(huán)境。事務(wù)所使用網(wǎng)絡(luò)版審計(jì)軟件進(jìn)行審計(jì)作業(yè)，或者采用服務(wù)器、云平臺(tái)存儲(chǔ)電子審計(jì)工作底稿時(shí)，需要對(duì)關(guān)鍵的網(wǎng)絡(luò)安全事項(xiàng)予以關(guān)注，提高審計(jì)工作的網(wǎng)絡(luò)安全性，比如：

（1）數(shù)據(jù)保護(hù)及訪(fǎng)問(wèn)控制：確保審計(jì)過(guò)程中收集分析數(shù)據(jù)是安全的，實(shí)施嚴(yán)格的訪(fǎng)問(wèn)控制措施，確保只有經(jīng)授權(quán)的審計(jì)人員能夠訪(fǎng)問(wèn)審計(jì)數(shù)據(jù)系統(tǒng)，防止未經(jīng)授權(quán)的訪(fǎng)問(wèn)和泄露。

（2）數(shù)據(jù)完整性：使用加密和其他技術(shù)來(lái)保護(hù)數(shù)據(jù)不被篡改，確保審計(jì)證據(jù)的完整性。

（3）網(wǎng)絡(luò)安全策略：制定和執(zhí)行網(wǎng)絡(luò)安全策略，包括防火墻、入侵檢測(cè)等，確保電子審計(jì)底稿在規(guī)定的審計(jì)工作保存期限內(nèi)安全存儲(chǔ)。

（4）風(fēng)險(xiǎn)評(píng)估：定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別和評(píng)估可能影響審計(jì)過(guò)程的網(wǎng)絡(luò)安全威脅。

（5）應(yīng)急響應(yīng)計(jì)劃：制定應(yīng)急響應(yīng)計(jì)劃，以在發(fā)生安全事件時(shí)迅速采取行動(dòng)，減少潛在損害。

（6）員工培訓(xùn)：對(duì)審計(jì)團(tuán)隊(duì)進(jìn)行網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，確保了解潛在的風(fēng)險(xiǎn)和最佳實(shí)踐。

（7）技術(shù)更新：隨著技術(shù)的發(fā)展，定期更新審計(jì)工具，以應(yīng)對(duì)新的網(wǎng)絡(luò)安全威脅。

3.防范電子審計(jì)底稿未經(jīng)授權(quán)擴(kuò)散可能導(dǎo)致的風(fēng)險(xiǎn)

事務(wù)所對(duì)審計(jì)底稿中的被審計(jì)單位信息負(fù)有保密義務(wù)。因日常監(jiān)管需要，事務(wù)所需要向監(jiān)管機(jī)構(gòu)提供電子審計(jì)底稿，或者開(kāi)放審計(jì)作業(yè)軟件。為了防范底稿內(nèi)容未經(jīng)授權(quán)擴(kuò)散可能帶來(lái)的風(fēng)險(xiǎn)，事務(wù)所需要采取相應(yīng)的保密措施。比如，有的可能使用具有外發(fā)文件控制功能的數(shù)據(jù)安全產(chǎn)品，對(duì)外發(fā)文件設(shè)置查閱期限、密碼驗(yàn)證、修改限制、打印限制、過(guò)期自毀等操作權(quán)限，確保資料能夠共享查閱，并防范越權(quán)讀取或二次擴(kuò)散，以保護(hù)底稿及所載客戶(hù)信息的安全。

4.接受境外監(jiān)管時(shí)工作底稿的提供

事務(wù)所接受境外監(jiān)管需要向境外監(jiān)管機(jī)構(gòu)提供審計(jì)工作底稿時(shí)，通過(guò)監(jiān)管合作渠道提供。事務(wù)所需要調(diào)出包含電子底稿在內(nèi)的整套審計(jì)檔案，對(duì)涉密敏感信息（包括國(guó)家機(jī)密、商業(yè)秘密和個(gè)人隱私數(shù)據(jù)等）進(jìn)行篩查，聘請(qǐng)律師對(duì)保密合規(guī)性出具法律意見(jiàn)書(shū)；可能還需要依據(jù)有關(guān)監(jiān)管法規(guī)的要求，將底稿、法律意見(jiàn)書(shū)提交相關(guān)政府管理部門(mén)，對(duì)底稿保密合規(guī)性作進(jìn)一步審查。事務(wù)所向相關(guān)檔案管理部門(mén)申報(bào)底稿出境事項(xiàng)，審批通過(guò)后，由相關(guān)政府管理部門(mén)將工作底稿轉(zhuǎn)交境外監(jiān)管機(jī)構(gòu)。

（四）電子審計(jì)工作底稿借閱管理

實(shí)務(wù)中，在審計(jì)數(shù)字化和嚴(yán)監(jiān)管形勢(shì)下，電子審計(jì)工作底稿可能會(huì)被大量借閱。一方面外部檢查可能強(qiáng)制要求提供電子版；另一方面主要是由于內(nèi)部需求借閱，比如內(nèi)部監(jiān)控需要調(diào)閱，或項(xiàng)目組因IPO申報(bào)加期審計(jì)、IPO反饋問(wèn)詢(xún)回復(fù)等需要查閱前期底稿，年報(bào)審計(jì)需要查閱上年工作底稿等。

為保證歸檔后電子審計(jì)工作底稿的完整性、安全性及一致性，事務(wù)所有必要加強(qiáng)對(duì)電子審計(jì)工作底稿的借閱管理。

（1）對(duì)借閱權(quán)限、借閱方式等作出相關(guān)規(guī)定。對(duì)電子工作底稿借閱必須履行事務(wù)所內(nèi)部借閱審批程序，對(duì)借閱權(quán)限進(jìn)行規(guī)定，如僅能在線(xiàn)查看、支持在線(xiàn)查看和打印、規(guī)定在線(xiàn)查看時(shí)間等。

（2）電子底稿歸檔后應(yīng)以權(quán)限管理為基礎(chǔ)，支持多途徑、多角度且易用的檢索和利用方式，滿(mǎn)足用戶(hù)各類(lèi)查檔需求。支持用戶(hù)在審批權(quán)限許可范圍內(nèi)在線(xiàn)查看、打印目錄數(shù)據(jù)或電子底稿文件時(shí)，如有必要，應(yīng)限制用戶(hù)對(duì)電子底稿的具體文件、具體頁(yè)面的可閱讀范圍，對(duì)電子底稿的下載履行內(nèi)部審批、添加數(shù)字水印和授權(quán)閱讀時(shí)間等。

二、關(guān)于第三方電子函證平臺(tái)安全可靠性的評(píng)價(jià)

1.對(duì)第三方電子函證平臺(tái)安全可靠性評(píng)價(jià)的總體要求

通過(guò)獨(dú)立、安全可靠的第三方電子函證平臺(tái)進(jìn)行函證，既能提高函證程序執(zhí)行效率，又能有效應(yīng)對(duì)傳統(tǒng)紙質(zhì)函證過(guò)程中可能存在的舞弊風(fēng)險(xiǎn)、提升函證程序執(zhí)行質(zhì)量。實(shí)務(wù)中，第三方電子函證平臺(tái)（也稱(chēng)“第三方電子詢(xún)證函平臺(tái)”）主要包括兩類(lèi)：一類(lèi)是專(zhuān)門(mén)提供函證服務(wù)的第三方平臺(tái)（如中國(guó)銀行業(yè)協(xié)會(huì)銀行函證區(qū)塊鏈服務(wù)平臺(tái)、境外的confirmation.com），另一類(lèi)是被詢(xún)證者自身的電子函證平臺(tái)（如工商銀行函證e信）。

《<中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1312 號(hào)——函證>應(yīng)用指南》（2023版）第13段要求，如果被詢(xún)證者利用第三方協(xié)調(diào)和提供回函，注冊(cè)會(huì)計(jì)師可以實(shí)施審計(jì)程序以應(yīng)對(duì)下列風(fēng)險(xiǎn)：（1）回函來(lái)源不合適；（2）回函者未經(jīng)授權(quán)；（3）信息傳輸?shù)陌踩栽獾狡茐摹！侗O(jiān)管規(guī)則適用指引-審計(jì)類(lèi)第2號(hào)》指出事務(wù)所存在利用第三方函證平臺(tái)執(zhí)行函證程序時(shí)未了解平臺(tái)的資質(zhì)或安全性、可靠性情況、未能保持職業(yè)懷疑的問(wèn)題。

值得說(shuō)明的是，根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則問(wèn)題解答第2號(hào)——函證》規(guī)定，商業(yè)銀行等金融機(jī)構(gòu)自身的電子函證平臺(tái)，由于商業(yè)銀行等金融機(jī)構(gòu)負(fù)責(zé)按照相關(guān)法律法規(guī)建立和完善有關(guān)回函的內(nèi)部控制，并依法對(duì)其出具的回函承擔(dān)相應(yīng)的法律責(zé)任。一般而言，除非出現(xiàn)相反情況，注冊(cè)會(huì)計(jì)師無(wú)需對(duì)商業(yè)銀行等金融機(jī)構(gòu)自身的電子函證平臺(tái)內(nèi)部處理過(guò)程的安全可靠性進(jìn)行專(zhuān)門(mén)評(píng)價(jià)。

對(duì)第三方電子函證平臺(tái)的獨(dú)立性、安全可靠性評(píng)價(jià)工作在行業(yè)協(xié)會(huì)層面或事務(wù)所層面統(tǒng)一完成更符合成本效益原則。項(xiàng)目組在應(yīng)用金融機(jī)構(gòu)自身的電子函證平臺(tái)外的其他第三方電子函證平臺(tái)進(jìn)行函證時(shí)，如果沒(méi)有行業(yè)協(xié)會(huì)或事務(wù)所層面對(duì)第三方電子函證平臺(tái)安全可靠性的評(píng)價(jià)，項(xiàng)目組需要遵照準(zhǔn)則要求實(shí)施相關(guān)評(píng)價(jià)工作。

另外，根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第 1241 號(hào)——對(duì)被審計(jì)單位使用服務(wù)機(jī)構(gòu)的考慮》規(guī)定，如果擬利用服務(wù)機(jī)構(gòu)（即本文的第三方電子函證平臺(tái)，下同）注冊(cè)會(huì)計(jì)師出具的第一類(lèi)報(bào)告（即針對(duì)服務(wù)機(jī)構(gòu)對(duì)控制的描述和設(shè)計(jì)出具的報(bào)告）或第二類(lèi)報(bào)告（即針對(duì)服務(wù)機(jī)構(gòu)對(duì)控制的描述、設(shè)計(jì)和運(yùn)行有效性出具的報(bào)告）作為審計(jì)證據(jù)，以支持對(duì)服務(wù)機(jī)構(gòu)內(nèi)部控制設(shè)計(jì)和執(zhí)行情況的了解，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)：（一）評(píng)價(jià)對(duì)服務(wù)機(jī)構(gòu)控制的描述和設(shè)計(jì)所針對(duì)的時(shí)點(diǎn)或期間是否適用于注冊(cè)會(huì)計(jì)師的審計(jì)目的；（二）對(duì)了解與審計(jì)相關(guān)的服務(wù)機(jī)構(gòu)內(nèi)部控制而言，評(píng)價(jià)報(bào)告提供的證據(jù)是否充分和適當(dāng)；（三）確定服務(wù)機(jī)構(gòu)系統(tǒng)描述中明確的被審計(jì)單位的互補(bǔ)性控制是否與被審計(jì)單位相關(guān)；如果相關(guān)，了解被審計(jì)單位是否設(shè)計(jì)和執(zhí)行了此類(lèi)控制。

如果注冊(cè)會(huì)計(jì)師在評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)時(shí)預(yù)期服務(wù)機(jī)構(gòu)的控制的運(yùn)行是有效的，注冊(cè)會(huì)計(jì)師應(yīng)當(dāng)實(shí)施下列一項(xiàng)或多項(xiàng)程序，以獲取有關(guān)這些控制運(yùn)行有效性的審計(jì)證據(jù)：（一）獲取第二類(lèi)報(bào)告（如可行）；（二）對(duì)服務(wù)機(jī)構(gòu)的控制實(shí)施適當(dāng)測(cè)試；（三）利用其他注冊(cè)會(huì)計(jì)師代其對(duì)服務(wù)機(jī)構(gòu)的控制實(shí)施測(cè)試。

2.對(duì)第三方電子函證平臺(tái)安全可靠性的評(píng)價(jià)要點(diǎn)

事務(wù)所層面應(yīng)建立應(yīng)用第三方電子函證平臺(tái)進(jìn)行函證的審計(jì)政策和程序，明確對(duì)第三方電子函證平臺(tái)獨(dú)立性、安全可靠性的評(píng)價(jià)內(nèi)容要求和評(píng)價(jià)周期。第三方電子函證平臺(tái)通常會(huì)聘請(qǐng)具有勝任能力的注冊(cè)會(huì)計(jì)師（或信息安全認(rèn)證機(jī)構(gòu)等）對(duì)第三方電子函證平臺(tái)的內(nèi)部控制有效性出具鑒證報(bào)告。

事務(wù)所應(yīng)當(dāng)判斷是否利用第三方電子函證平臺(tái)注冊(cè)會(huì)計(jì)師出具的內(nèi)部控制有效性鑒證報(bào)告來(lái)評(píng)估其安全性可靠性，并對(duì)評(píng)價(jià)結(jié)果定期更新。如事務(wù)所不能利用該報(bào)告，則應(yīng)當(dāng)對(duì)第三方電子函證平臺(tái)進(jìn)行直接測(cè)試。

如事務(wù)所利用內(nèi)部控制有效性鑒證報(bào)告對(duì)第三方電子函證平臺(tái)進(jìn)行安全性可靠性評(píng)估，則需要執(zhí)行以下程序：

（1）獲取第三方電子函證平臺(tái)注冊(cè)會(huì)計(jì)師出具的內(nèi)部控制有效性鑒證報(bào)告及相關(guān)資料；

（2）對(duì)以下內(nèi)容進(jìn)行了解和記錄：

①鑒證工作執(zhí)行的依據(jù)、報(bào)告結(jié)論以及適用范圍；

②鑒證工作涵蓋的期間及時(shí)間間隔；

③鑒證工作的測(cè)試范圍、測(cè)試過(guò)程、取得的證據(jù)及測(cè)試的結(jié)果（包括互補(bǔ)性控制是否相關(guān)且有效）；

（3）評(píng)估內(nèi)部控制有效性鑒證報(bào)告中列示的工作是否支持形成第三方電子函證平臺(tái)進(jìn)行安全可靠的結(jié)論，判斷是否需要執(zhí)行額外的測(cè)試程序；

（4）評(píng)估第三方電子函證平臺(tái)聘請(qǐng)的信息安全認(rèn)證機(jī)構(gòu)或?qū)I(yè)人員的勝任能力、專(zhuān)業(yè)素質(zhì)和獨(dú)立性；

（5）了解平臺(tái)及其所有者和運(yùn)營(yíng)商的組織架構(gòu)，關(guān)注其是否存在被監(jiān)管機(jī)構(gòu)處罰、涉訴等信息，了解鑒證報(bào)告出具日期至評(píng)估工作完成日期之間平臺(tái)控制環(huán)境的變化情況等。

一般情況下，對(duì)第三方電子函證平臺(tái)的安全認(rèn)證應(yīng)當(dāng)至少每年獲取一次最新的鑒證報(bào)告，并在開(kāi)展審計(jì)工作之前獲取。如果最近一次出具的鑒證報(bào)告的日期與審計(jì)外勤日間隔較長(zhǎng)，導(dǎo)致對(duì)第三方電子函證平臺(tái)的安全性評(píng)價(jià)所依據(jù)信息或情況已發(fā)生重大變化，注冊(cè)會(huì)計(jì)師應(yīng)評(píng)價(jià)對(duì)審計(jì)工作的影響程度。

3.正確看待在銀行函證平臺(tái)中發(fā)出的某些詢(xún)證請(qǐng)求未能通過(guò)銀行參數(shù)校驗(yàn)問(wèn)題

在相關(guān)各方共同努力、有序推進(jìn)下，內(nèi)地銀行函證工作已經(jīng)可以通過(guò)銀行函證電子平臺(tái)進(jìn)行，比如中國(guó)銀行業(yè)協(xié)會(huì)銀行函證電子平臺(tái)、中國(guó)互聯(lián)網(wǎng)金融協(xié)會(huì)銀行函證電子平臺(tái)、中國(guó)金融認(rèn)證中心銀行函證電子平臺(tái)，事務(wù)所根據(jù)需要自行申請(qǐng)接入使用。

通過(guò)銀行函證平臺(tái)發(fā)函時(shí)，如果詢(xún)證請(qǐng)求中的某些參數(shù)不符合相關(guān)銀行的校驗(yàn)規(guī)則時(shí)，詢(xún)證請(qǐng)求無(wú)法通過(guò)，發(fā)函失敗可能降低收發(fā)函效率。事務(wù)所需要重視該問(wèn)題，采取應(yīng)對(duì)措施：

一是正確看待問(wèn)題。對(duì)詢(xún)證請(qǐng)求進(jìn)行校驗(yàn)，是銀行業(yè)金融機(jī)構(gòu)推進(jìn)銀行函證電子化所采取的安全措施。相比于審計(jì)人員采用紙質(zhì)函證在發(fā)函回函控制中所投入的時(shí)間精力、對(duì)函證過(guò)程相關(guān)信息的審核以及等待回函所需的時(shí)間，使用銀行函證平臺(tái)的效率是明顯的。事務(wù)所內(nèi)部需要就此確定相應(yīng)的政策和程序，作出相關(guān)規(guī)定和要求。

二是事務(wù)所負(fù)責(zé)銀行函證集約化處理的部門(mén)或人員，需要及時(shí)匯集審計(jì)人員在使用銀行函證平臺(tái)中可能遇到的、提出的各種問(wèn)題，第一時(shí)間向銀行函證平臺(tái)反饋，請(qǐng)求協(xié)調(diào)解決，并將確認(rèn)的問(wèn)題成因、解決辦法、注意事項(xiàng)及時(shí)在全所通報(bào)，信息共享。

總      審：邱連強(qiáng)、宋振玲

執(zhí)      筆：張革、蔣玉芳  

意見(jiàn)反饋：楊緋、劉虓、王曉瑞、都蕾

何先琴、韓天佩、胡方勇

校       對(duì)：萬(wàn)思寧