審計工作電子化是會計師事務(wù)所提高審計效率、強化質(zhì)量管理、適應(yīng)現(xiàn)代信息技術(shù)發(fā)展的重要變革。審計工作電子化對審計工作底稿的影響是全面的，不僅改變了審計底稿的編制、存儲和使用方式，還對審計人員的勝任能力、事務(wù)所的審計流程和質(zhì)量風險管理提出了新的要求。

在審計工作電子化進程下，審計工作底稿的完整性、安全性、一致性及電子底稿的借閱管理在事務(wù)所質(zhì)量管理過程中被高度關(guān)注。審計準則對審計工作底稿的格式、內(nèi)容、范圍以及歸檔作出了具體規(guī)定；國家網(wǎng)絡(luò)信息安全相關(guān)法律法規(guī)，包括財政部、國家互聯(lián)網(wǎng)信息辦公室于2024年4月15日發(fā)布的《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（財會〔2024〕6號）對事務(wù)所審計工作中數(shù)據(jù)處理活動的安全性予以了規(guī)范，事務(wù)所的審計工作需要滿足上述合規(guī)要求?！吨袊詴嫀煂徲嫓蕜t問題解答第2號——函證》（2019年12月修訂）對注冊會計師利用第三方函證平臺實施函證程序作出相關(guān)規(guī)定，要求注冊會計師對第三方平臺的安全可靠性（如第三方函證平臺如何保證函證相關(guān)方身份的真實性、信息傳輸安全性以及記錄函證控制過程的完整性等）進行評價，以防范相關(guān)審計風險。

北京注冊會計師協(xié)會專業(yè)技術(shù)委員會對北京地區(qū)會計師事務(wù)所審計底稿電子化情況以及第三方電子函證平臺使用情況開展了問卷調(diào)查，并邀請有關(guān)事務(wù)所、第三方電子函證平臺、行業(yè)管理部門專家等進行了專題研討。在本提示編寫過程中，參考了上述調(diào)研、研討的相關(guān)資料。

附件：北京注冊會計師協(xié)會專業(yè)技術(shù)委員會專家提示——審計工作底稿的電子化及對第三方電子函證平臺安全可靠性的評價

北京注冊會計師協(xié)會

2024年11月1日

審計工作電子化是會計師事務(wù)所提高審計效率、強化質(zhì)量管理、適應(yīng)現(xiàn)代信息技術(shù)發(fā)展的重要變革。審計工作電子化對審計工作底稿的影響是全面的，不僅改變了審計底稿的編制、存儲和使用方式，還對審計人員的勝任能力、事務(wù)所的審計流程和質(zhì)量風險管理提出了新的要求。

在審計工作電子化進程下，審計工作底稿的完整性、安全性、一致性及電子底稿的借閱管理在事務(wù)所質(zhì)量管理過程中被高度關(guān)注。審計準則對審計工作底稿的格式、內(nèi)容、范圍以及歸檔作出了具體規(guī)定；國家網(wǎng)絡(luò)信息安全相關(guān)法律法規(guī)，包括財政部、國家互聯(lián)網(wǎng)信息辦公室于2024年4月15日發(fā)布的《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》（財會〔2024〕6 號）對事務(wù)所審計工作中數(shù)據(jù)處理活動的安全性予以了規(guī)范，事務(wù)所的審計工作需要滿足上述合規(guī)要求。《中國注冊會計師審計準則問題解答第2號——函證》（2019年12 月修訂）對注冊會計師利用第三方函證平臺實施函證程序作出相關(guān)規(guī)定，要求注冊會計師對第三方平臺的安全可靠性（如第三方函證平臺如何保證函證相關(guān)方身份的真實性、信息傳輸安全性以及記錄函證控制過程的完整性等）進行評價，以防范相關(guān)審計風險。

北京注冊會計師協(xié)會專業(yè)技術(shù)委員會對北京地區(qū)會計師事務(wù)所審計底稿電子化情況以及第三方電子函證平臺使用情況開展了問卷調(diào)查，并邀請有關(guān)事務(wù)所、第三方電子函證平臺、行業(yè)管理部門專家等進行了專題研討。在本提示編寫過程中，參考了上述調(diào)研、研討的相關(guān)資料。

一、關(guān)于審計工作底稿的電子化

（一）審計工作底稿的完整性

1.審計工作信息化推動了底稿的電子化

根據(jù)《中國注冊會計師審計準則第 1131 號——審計工作底稿》，審計工作底稿是注冊會計師對制定的審計計劃、實施的審計程序、獲取的相關(guān)審計證據(jù)以及得出的審計結(jié)論的記錄。審計檔案，是指一個或多個文件夾或其他存儲介質(zhì)，以實物或電子形式存儲構(gòu)成某項具體業(yè)務(wù)的審計工作底稿的記錄。審計證據(jù)是為了得出審計結(jié)論和形成審計意見而使用的信息，包括構(gòu)成財務(wù)報表基礎(chǔ)的會計記錄所含有的信息以及從其他來源獲取的信息。審計過程中獲取的審計證據(jù)，有以電子形式獲取的，也有以紙質(zhì)形式獲取的；有從被審計單位內(nèi)部獲取的，也有從被審計單位外部獲取的。

審計實務(wù)中，由線下審計為主的傳統(tǒng)模式正在逐漸轉(zhuǎn)變?yōu)榛谠萍夹g(shù)的審計作業(yè)平臺等為主的在線審計模式。傳統(tǒng)模式下的審計工作底稿主要是以紙質(zhì)形式為主存檔，項目組對審計過程中編制或取得電子形式底稿（如審定表、明細表等）打印后以紙質(zhì)形式進行歸檔存儲。在線審計模式下，審計工作底稿主要是以電子形式為主存檔，如將獲取外部證據(jù)（如函證回函、重要合同等）進行掃描并插入審計作業(yè)軟件中。

除審計作業(yè)軟件外，事務(wù)所目前可能還運用函證系統(tǒng)、獨立性系統(tǒng)及監(jiān)盤系統(tǒng)等各種輔助審計工具，函證底稿、獨立性底稿及監(jiān)盤底稿等會分散在不同的審計工具中。如何將分散在不同系統(tǒng)或工具中的底稿統(tǒng)一、及時、完整歸檔是事務(wù)所審計底稿電子化要解決的主要問題。項目組在對不同作業(yè)系統(tǒng)（工具）形成的審計工作底稿和留存的審計證據(jù)進行統(tǒng)一集中歸檔時，應(yīng)當確認審計底稿信息及審計證據(jù)內(nèi)容完整、與相關(guān)作業(yè)系統(tǒng)（工具）或紙質(zhì)底稿的一致性，可以通過建立電子檔案目錄等形式進行電子檔案的歸集，以便于查閱和管理。

2.紙質(zhì)形式審計證據(jù)歸檔的完整性

當事務(wù)所采用電子方式歸檔時，電子底稿是主體，審計中獲取的電子證據(jù)、紙質(zhì)證據(jù)需要在電子底稿中進行索引。審計獲取的重要的紙質(zhì)證據(jù)需要立卷歸檔，事務(wù)所如因?qū)徲嫎I(yè)務(wù)涉及民事賠償訴訟、外部檢查，可能會被要求提供這些紙質(zhì)證據(jù)以支持審計工作中形成的相關(guān)審計結(jié)論和審計意見。審計人員需要保證歸檔的電子底稿和紙質(zhì)底稿的完整性，以證明注冊會計師已按照審計準則和相關(guān)法律法規(guī)的規(guī)定計劃和執(zhí)行審計工作。

前述重要的紙質(zhì)證據(jù)主要包括被審計單位或其他相關(guān)方簽章的業(yè)務(wù)約定書、管理層聲明書、未審財務(wù)報表和經(jīng)審計的財務(wù)報表、詢證函回函等，還可能包括涉及重大錯報風險領(lǐng)域和關(guān)鍵審計事項的應(yīng)對程序、審計調(diào)整、內(nèi)控缺陷、影響審計意見類型和報告內(nèi)容要素，或者與疑難事項、意見分歧相關(guān)的合同等文件，以及項目合伙人認為重要的其他紙質(zhì)審計證據(jù)。

實務(wù)中，對于是否將紙質(zhì)證據(jù)掃描并同時進行電子歸檔，不同事務(wù)所內(nèi)部質(zhì)量管理制度可能有不同的規(guī)定，有的事務(wù)所要求將紙質(zhì)證據(jù)掃描件進行電子歸檔，有的不作該要求，二者各有利弊。前者，便于快速檢索和調(diào)用，而且整套電子檔案可以通過備份、加密等方式得到保護，即使紙質(zhì)文檔出現(xiàn)問題，完整的電子檔案仍能一定程度上為審計結(jié)論提供支撐，不足在于掃描存儲需要投入相應(yīng)時間和成本，以及需要考慮掃描件的法律證明力。后者，不需要投入資源進行紙質(zhì)證據(jù)的電子化處理，但紙質(zhì)文件的檢索和查閱通常比電子文件更耗時。事務(wù)所在確定其具體做法時，需要對相關(guān)成本效益進行綜合評價。

審計人員在審計過程中檢查被審計單位的相關(guān)文件資料，如果認為有必要將該相關(guān)文件的副本作為審計工作底稿，直接拍照或?qū)⑵鋻呙杓鳛閷徲嬜C據(jù)可能存在一定的風險。

比如，被審計單位可能否認其存在與事務(wù)所電子審計檔案中的某一掃描件相對應(yīng)的紙質(zhì)原件。項目組根據(jù)對項目審計風險的評估情況，可能采取不同的做法。對于重要的審計證據(jù)，審計人員應(yīng)核對取得的復(fù)印件與原件相符，并盡可能要求被審計單位在復(fù)印件上蓋章，以證明是由被審計單位提供。

3.項目質(zhì)量復(fù)核記錄的歸檔

按照事務(wù)所質(zhì)量管理準則以及事務(wù)所內(nèi)部政策，有的項目需要執(zhí)行項目質(zhì)量復(fù)核，項目質(zhì)量復(fù)核人員就項目質(zhì)量復(fù)核形成工作底稿，以使未曾接觸該項目的、有經(jīng)驗的執(zhí)業(yè)人員了解項目質(zhì)量復(fù)核人員（包括協(xié)助人員）所執(zhí)行程序的性質(zhì)、時間安排和范圍。項目質(zhì)量復(fù)核底稿（包括質(zhì)量復(fù)核程序的記錄、復(fù)核人員與項目組的溝通記錄、復(fù)核發(fā)現(xiàn)的重大問題及項目組的答復(fù)等）非常重要，是事務(wù)所遵守質(zhì)量管理準則規(guī)范執(zhí)業(yè)的體現(xiàn)，也是事務(wù)所內(nèi)、外部檢查中關(guān)注的重點，應(yīng)包含在審計項目工作底稿中。

《中國注冊會計師審計準則第 1131 號——審計工作底稿》應(yīng)用指南中指出，審計工作底稿不需要包括已被取代的審計工作底稿的草稿或財務(wù)報表的草稿、反映不全面或初步思考的記錄、存在印刷錯誤或其他錯誤而作廢的文本，以及重復(fù)的文件記錄。項目質(zhì)量復(fù)核人員在復(fù)核過程中可能就某一事項與項目組進行多次溝通，當項目質(zhì)量復(fù)核通過審計作業(yè)軟件中的項目質(zhì)量復(fù)核模塊進行的情況下，在對項目質(zhì)量復(fù)核底稿進行歸檔時，也應(yīng)考慮該準則這一方面的要求，避免因存在中間稿而導(dǎo)致對項目質(zhì)量復(fù)核工作不必要的歧義。

4.電子審計檔案的存儲方式

事務(wù)所應(yīng)根據(jù)其實際情況確定電子底稿的存儲方式。目前本地存儲仍是主流，比如事務(wù)所服務(wù)器集中存儲、光盤或移動硬盤存儲。無論采取何種方式保存電子工作底稿，事務(wù)所均需要建立并維護與工作底稿相關(guān)的政策和程序，以確保不存在任何人未經(jīng)授權(quán)、批準并在有效監(jiān)控情形下接觸已歸檔的工作底稿。

隨著審計程序執(zhí)行方式的變化，視頻監(jiān)盤、視頻訪談、電話訪談及借助智能化工具的資金流水核查等信息化方式普遍應(yīng)用，審計證據(jù)除常見的Word、Excel電子文檔外，通常還包括圖片、照片、音頻、視頻等多媒體資料。對于審計中獲取多媒體形式的審計證據(jù)，有的事務(wù)所是將其上傳到審計作業(yè)系統(tǒng)中，與其他電子底稿一并歸檔存儲；有的則是將這些多媒體證據(jù)單獨存儲。在確定多媒體證據(jù)的存儲方式時，事務(wù)所需要對多媒體資料的具體格式作出統(tǒng)一規(guī)定，并綜合考慮成本、數(shù)據(jù)容量、網(wǎng)絡(luò)環(huán)境等因素，避免事務(wù)所的網(wǎng)絡(luò)帶寬和服務(wù)器可能無法承載。如前所述，無論以何種方式存儲，項目組均需根據(jù)檔案目錄確認底稿內(nèi)容完整、索引正確。

5.出具審計報告后或?qū)徲嫏n案歸檔后對電子審計工作底稿的修改

《中國注冊會計師審計準則第 1131 號——審計工作底稿》對報告出具后以及底稿整理歸檔后審計工作底稿的修改，均作出了規(guī)定：（1）在某些例外情況下，如果在審計報告日后實施了新的或追加的審計程序，或者得出新的結(jié)論，應(yīng)當記錄遇到的例外情況，實施的新的或者追加的程序、獲取的證據(jù)和得出的結(jié)論，對審計報告的影響，以及對底稿作出相應(yīng)變動的時間和人員，復(fù)核的時間和人員；（2）檔案歸檔后，如發(fā)現(xiàn)有必要修改或新增審計工作底稿，無論修改或增加的性質(zhì)如何，均應(yīng)記錄理由、時間和人員，以及復(fù)核的時間和人員。

《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》規(guī)定，會計師事務(wù)所應(yīng)當對審計業(yè)務(wù)相關(guān)的信息系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備等設(shè)置并啟用訪問日志記錄功能。 涉及核心數(shù)據(jù)的，相關(guān)日志留存時間不少于三年。涉及重要數(shù)據(jù)的，相關(guān)日志留存時間不少于一年；涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的相關(guān)日志留存時間不少于三年。

因此，審計報告出具后或底稿歸檔后，對電子底稿的修改或新增要遵守審計準則以及數(shù)據(jù)安全管理辦法對日志留存時間的規(guī)定。

鑒于電子底稿具體修改內(nèi)容可能難以追蹤，或者對個別工作底稿的修改或新增會導(dǎo)致工作底稿整體顯示的歸檔日期有所改變，從而無法支持審計項目組已在規(guī)定時間內(nèi)歸檔這一事實，因此，如果在審計工作底稿歸檔之后需要對電子底稿做出修改或新增時，建議另外編制電子底稿，并明確說明修改或新增的原因和范圍，而非在原電子底稿中直接進行修改。目前對電子底稿的修改或新增，較為常見的是針對監(jiān)控活動或外部檢查發(fā)現(xiàn)的項目審計問題所作整改，如果整改內(nèi)容無法在該項目當年工作底稿中反映，而是需要在以后年度審計中進行，項目組可以將相應(yīng)的整改措施及落實情況記錄于后續(xù)年度審計底稿中。

對審計檔案的任何修改或增加都必須有明確審批和復(fù)核記錄，以證明不是對審計底稿的偽造、篡改或損毀，不存在這方面的嫌疑，比如，因事務(wù)所監(jiān)控活動需要對底稿進行整改的，依據(jù)的是事務(wù)所內(nèi)部監(jiān)控整改報告；如果是外部檢查要求整改，則依據(jù)外部檢查意見或是監(jiān)管函或處罰決定書等。事務(wù)所需要制定審計檔案修改相關(guān)內(nèi)部審批流程，確保對電子審計檔案的任何修改均經(jīng)過適當審批。

（二）審計工作底稿的一致性

1.不同審計作業(yè)系統(tǒng)之間數(shù)據(jù)傳輸?shù)囊恢滦?/strong>

當事務(wù)所存在多種審計工具，比如審計作業(yè)軟件、函證系統(tǒng)、獨立性系統(tǒng)等，審計工作底稿信息在不同系統(tǒng)之間自動傳輸、歸集時，需要關(guān)注和測試數(shù)據(jù)傳輸是否完整、一致，避免相關(guān)應(yīng)用系統(tǒng)的設(shè)計或內(nèi)部控制存在缺陷而出現(xiàn)系統(tǒng)性風險。

2.紙質(zhì)底稿掃描件與原件的一致性

如果事務(wù)所內(nèi)部質(zhì)量管理制度要求將紙質(zhì)底稿進行掃描并在電子檔案中歸集，事務(wù)所需要采取一定措施，確保掃描件與紙質(zhì)底稿一致。比如，規(guī)定掃描流程，對掃描件是否清晰、無缺頁遺漏等進行檢查。當審計過程中紙質(zhì)底稿更新時，應(yīng)確保掃描件隨之更新。

3.審計軟件中導(dǎo)出的歸檔底稿與軟件中底稿數(shù)據(jù)的一致性

審計軟件環(huán)境下所查閱的底稿依賴軟件數(shù)據(jù)庫的鏈接支持，從審計軟件中導(dǎo)出用于歸檔的底稿時，需要形成不依賴審計軟件即可查閱的檔案，要確保審計軟件設(shè)計正確，歸檔底稿與審計軟件環(huán)境下所見底稿一致，內(nèi)容完整。導(dǎo)出的歸檔底稿應(yīng)設(shè)置為不可更改模式。

（三）審計工作底稿的安全性

1.監(jiān)管部門對審計工作電子化安全性的指導(dǎo)

在《會計師事務(wù)所數(shù)據(jù)安全管理暫行辦法》中，就事務(wù)所如何貫徹落實國家網(wǎng)絡(luò)數(shù)據(jù)安全規(guī)定予以了細化指導(dǎo)，要求規(guī)范數(shù)據(jù)的分類分級和底稿管理，強調(diào)網(wǎng)絡(luò)管理安全可控，其中對底稿存儲地、數(shù)據(jù)備份、系統(tǒng)權(quán)限設(shè)置、底稿出境審批等均作出了規(guī)定：

（1）審計工作底稿應(yīng)當按照法律、行政法規(guī)和國家有關(guān)規(guī)定存儲在境內(nèi)，相關(guān)加密設(shè)備應(yīng)當設(shè)置在境內(nèi)并由境內(nèi)團隊負責運行維護，密鑰應(yīng)當存儲在境內(nèi)。

（2）應(yīng)當建立數(shù)據(jù)備份制度，確保在審計相關(guān)應(yīng)用系統(tǒng)因外部技術(shù)原因被停止使用、被限制使用等情況下，仍能訪問、調(diào)取、使用相關(guān)審計工作底稿。

（3）應(yīng)當擁有審計業(yè)務(wù)系統(tǒng)中網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備的自主管理權(quán)限，統(tǒng)一設(shè)置、維護系統(tǒng)管理員賬戶和工作人員賬戶，不得設(shè)置不受限制、不受監(jiān)控的超級賬戶，不得將管理員賬號交由第三方運維機構(gòu)管理使用。加入國際網(wǎng)絡(luò)的事務(wù)所使用所在國際網(wǎng)絡(luò)的信息系統(tǒng)的，應(yīng)當采取必要措施，使其符合國家數(shù)據(jù)安全法律、行政法規(guī)和該暫行辦法的規(guī)定，確保事務(wù)所的數(shù)據(jù)安全。

（4）對于審計工作底稿出境事項，事務(wù)所應(yīng)當建立逐級復(fù)核機制，采取必要措施嚴格落實數(shù)據(jù)安全管控責任。對于需要出境的審計工作底稿，按照國家有關(guān)規(guī)定辦理審批手續(xù)。

該暫行辦法中還就事務(wù)所對核心數(shù)據(jù)的四級網(wǎng)絡(luò)安全等級保護、重要數(shù)據(jù)的三級及以上網(wǎng)絡(luò)安全等級保護，以及數(shù)據(jù)匯聚、關(guān)聯(lián)后屬于國家秘密事項的安全保護等作出了要求。

該暫行管理辦法2024年10月1日起施行，事務(wù)所在設(shè)計和執(zhí)行電子底稿安全性相關(guān)政策及程序時，必須符合該暫行辦法的相關(guān)規(guī)定。

2.審計工作底稿電子化過程中對網(wǎng)絡(luò)安全的考慮

事務(wù)所應(yīng)建立完善的網(wǎng)絡(luò)安全管理治理架構(gòu)，建立健全的內(nèi)部網(wǎng)絡(luò)安全管理制度體系，包括內(nèi)部決策、管理、執(zhí)行和監(jiān)督機制，提高網(wǎng)絡(luò)安全管理能力，為審計工作底稿電子化提供安全的網(wǎng)絡(luò)環(huán)境。事務(wù)所使用網(wǎng)絡(luò)版審計軟件進行審計作業(yè)，或者采用服務(wù)器、云平臺存儲電子審計工作底稿時，需要對關(guān)鍵的網(wǎng)絡(luò)安全事項予以關(guān)注，提高審計工作的網(wǎng)絡(luò)安全性，比如：

（1）數(shù)據(jù)保護及訪問控制：確保審計過程中收集分析數(shù)據(jù)是安全的，實施嚴格的訪問控制措施，確保只有經(jīng)授權(quán)的審計人員能夠訪問審計數(shù)據(jù)系統(tǒng)，防止未經(jīng)授權(quán)的訪問和泄露。

（2）數(shù)據(jù)完整性：使用加密和其他技術(shù)來保護數(shù)據(jù)不被篡改，確保審計證據(jù)的完整性。

（3）網(wǎng)絡(luò)安全策略：制定和執(zhí)行網(wǎng)絡(luò)安全策略，包括防火墻、入侵檢測等，確保電子審計底稿在規(guī)定的審計工作保存期限內(nèi)安全存儲。

（4）風險評估：定期進行風險評估，以識別和評估可能影響審計過程的網(wǎng)絡(luò)安全威脅。

（5）應(yīng)急響應(yīng)計劃：制定應(yīng)急響應(yīng)計劃，以在發(fā)生安全事件時迅速采取行動，減少潛在損害。

（6）員工培訓(xùn)：對審計團隊進行網(wǎng)絡(luò)安全意識培訓(xùn)，確保了解潛在的風險和最佳實踐。

（7）技術(shù)更新：隨著技術(shù)的發(fā)展，定期更新審計工具，以應(yīng)對新的網(wǎng)絡(luò)安全威脅。

3.防范電子審計底稿未經(jīng)授權(quán)擴散可能導(dǎo)致的風險

事務(wù)所對審計底稿中的被審計單位信息負有保密義務(wù)。因日常監(jiān)管需要，事務(wù)所需要向監(jiān)管機構(gòu)提供電子審計底稿，或者開放審計作業(yè)軟件。為了防范底稿內(nèi)容未經(jīng)授權(quán)擴散可能帶來的風險，事務(wù)所需要采取相應(yīng)的保密措施。比如，有的可能使用具有外發(fā)文件控制功能的數(shù)據(jù)安全產(chǎn)品，對外發(fā)文件設(shè)置查閱期限、密碼驗證、修改限制、打印限制、過期自毀等操作權(quán)限，確保資料能夠共享查閱，并防范越權(quán)讀取或二次擴散，以保護底稿及所載客戶信息的安全。

4.接受境外監(jiān)管時工作底稿的提供

事務(wù)所接受境外監(jiān)管需要向境外監(jiān)管機構(gòu)提供審計工作底稿時，通過監(jiān)管合作渠道提供。事務(wù)所需要調(diào)出包含電子底稿在內(nèi)的整套審計檔案，對涉密敏感信息（包括國家機密、商業(yè)秘密和個人隱私數(shù)據(jù)等）進行篩查，聘請律師對保密合規(guī)性出具法律意見書；可能還需要依據(jù)有關(guān)監(jiān)管法規(guī)的要求，將底稿、法律意見書提交相關(guān)政府管理部門，對底稿保密合規(guī)性作進一步審查。事務(wù)所向相關(guān)檔案管理部門申報底稿出境事項，審批通過后，由相關(guān)政府管理部門將工作底稿轉(zhuǎn)交境外監(jiān)管機構(gòu)。

（四）電子審計工作底稿借閱管理

實務(wù)中，在審計數(shù)字化和嚴監(jiān)管形勢下，電子審計工作底稿可能會被大量借閱。一方面外部檢查可能強制要求提供電子版；另一方面主要是由于內(nèi)部需求借閱，比如內(nèi)部監(jiān)控需要調(diào)閱，或項目組因IPO申報加期審計、IPO反饋問詢回復(fù)等需要查閱前期底稿，年報審計需要查閱上年工作底稿等。

為保證歸檔后電子審計工作底稿的完整性、安全性及一致性，事務(wù)所有必要加強對電子審計工作底稿的借閱管理。

（1）對借閱權(quán)限、借閱方式等作出相關(guān)規(guī)定。對電子工作底稿借閱必須履行事務(wù)所內(nèi)部借閱審批程序，對借閱權(quán)限進行規(guī)定，如僅能在線查看、支持在線查看和打印、規(guī)定在線查看時間等。

（2）電子底稿歸檔后應(yīng)以權(quán)限管理為基礎(chǔ)，支持多途徑、多角度且易用的檢索和利用方式，滿足用戶各類查檔需求。支持用戶在審批權(quán)限許可范圍內(nèi)在線查看、打印目錄數(shù)據(jù)或電子底稿文件時，如有必要，應(yīng)限制用戶對電子底稿的具體文件、具體頁面的可閱讀范圍，對電子底稿的下載履行內(nèi)部審批、添加數(shù)字水印和授權(quán)閱讀時間等。

二、關(guān)于第三方電子函證平臺安全可靠性的評價

1.對第三方電子函證平臺安全可靠性評價的總體要求

通過獨立、安全可靠的第三方電子函證平臺進行函證，既能提高函證程序執(zhí)行效率，又能有效應(yīng)對傳統(tǒng)紙質(zhì)函證過程中可能存在的舞弊風險、提升函證程序執(zhí)行質(zhì)量。實務(wù)中，第三方電子函證平臺（也稱“第三方電子詢證函平臺”）主要包括兩類：一類是專門提供函證服務(wù)的第三方平臺（如中國銀行業(yè)協(xié)會銀行函證區(qū)塊鏈服務(wù)平臺、境外的confirmation.com），另一類是被詢證者自身的電子函證平臺（如工商銀行函證e信）。

《<中國注冊會計師審計準則第 1312 號——函證>應(yīng)用指南》（2023版）第13段要求，如果被詢證者利用第三方協(xié)調(diào)和提供回函，注冊會計師可以實施審計程序以應(yīng)對下列風險：（1）回函來源不合適；（2）回函者未經(jīng)授權(quán)；（3）信息傳輸?shù)陌踩栽獾狡茐??！侗O(jiān)管規(guī)則適用指引-審計類第2號》指出事務(wù)所存在利用第三方函證平臺執(zhí)行函證程序時未了解平臺的資質(zhì)或安全性、可靠性情況、未能保持職業(yè)懷疑的問題。

值得說明的是，根據(jù)《中國注冊會計師審計準則問題解答第2號——函證》規(guī)定，商業(yè)銀行等金融機構(gòu)自身的電子函證平臺，由于商業(yè)銀行等金融機構(gòu)負責按照相關(guān)法律法規(guī)建立和完善有關(guān)回函的內(nèi)部控制，并依法對其出具的回函承擔相應(yīng)的法律責任。一般而言，除非出現(xiàn)相反情況，注冊會計師無需對商業(yè)銀行等金融機構(gòu)自身的電子函證平臺內(nèi)部處理過程的安全可靠性進行專門評價。

對第三方電子函證平臺的獨立性、安全可靠性評價工作在行業(yè)協(xié)會層面或事務(wù)所層面統(tǒng)一完成更符合成本效益原則。項目組在應(yīng)用金融機構(gòu)自身的電子函證平臺外的其他第三方電子函證平臺進行函證時，如果沒有行業(yè)協(xié)會或事務(wù)所層面對第三方電子函證平臺安全可靠性的評價，項目組需要遵照準則要求實施相關(guān)評價工作。

另外，根據(jù)《中國注冊會計師審計準則第 1241 號——對被審計單位使用服務(wù)機構(gòu)的考慮》規(guī)定，如果擬利用服務(wù)機構(gòu)（即本文的第三方電子函證平臺，下同）注冊會計師出具的第一類報告（即針對服務(wù)機構(gòu)對控制的描述和設(shè)計出具的報告）或第二類報告（即針對服務(wù)機構(gòu)對控制的描述、設(shè)計和運行有效性出具的報告）作為審計證據(jù)，以支持對服務(wù)機構(gòu)內(nèi)部控制設(shè)計和執(zhí)行情況的了解，注冊會計師應(yīng)當：（一）評價對服務(wù)機構(gòu)控制的描述和設(shè)計所針對的時點或期間是否適用于注冊會計師的審計目的；（二）對了解與審計相關(guān)的服務(wù)機構(gòu)內(nèi)部控制而言，評價報告提供的證據(jù)是否充分和適當；（三）確定服務(wù)機構(gòu)系統(tǒng)描述中明確的被審計單位的互補性控制是否與被審計單位相關(guān)；如果相關(guān)，了解被審計單位是否設(shè)計和執(zhí)行了此類控制。

如果注冊會計師在評估重大錯報風險時預(yù)期服務(wù)機構(gòu)的控制的運行是有效的，注冊會計師應(yīng)當實施下列一項或多項程序，以獲取有關(guān)這些控制運行有效性的審計證據(jù)：（一）獲取第二類報告（如可行）；（二）對服務(wù)機構(gòu)的控制實施適當測試；（三）利用其他注冊會計師代其對服務(wù)機構(gòu)的控制實施測試。

2.對第三方電子函證平臺安全可靠性的評價要點

事務(wù)所層面應(yīng)建立應(yīng)用第三方電子函證平臺進行函證的審計政策和程序，明確對第三方電子函證平臺獨立性、安全可靠性的評價內(nèi)容要求和評價周期。第三方電子函證平臺通常會聘請具有勝任能力的注冊會計師（或信息安全認證機構(gòu)等）對第三方電子函證平臺的內(nèi)部控制有效性出具鑒證報告。

事務(wù)所應(yīng)當判斷是否利用第三方電子函證平臺注冊會計師出具的內(nèi)部控制有效性鑒證報告來評估其安全性可靠性，并對評價結(jié)果定期更新。如事務(wù)所不能利用該報告，則應(yīng)當對第三方電子函證平臺進行直接測試。

如事務(wù)所利用內(nèi)部控制有效性鑒證報告對第三方電子函證平臺進行安全性可靠性評估，則需要執(zhí)行以下程序：

（1）獲取第三方電子函證平臺注冊會計師出具的內(nèi)部控制有效性鑒證報告及相關(guān)資料；

（2）對以下內(nèi)容進行了解和記錄：

①鑒證工作執(zhí)行的依據(jù)、報告結(jié)論以及適用范圍；

②鑒證工作涵蓋的期間及時間間隔；

③鑒證工作的測試范圍、測試過程、取得的證據(jù)及測試的結(jié)果（包括互補性控制是否相關(guān)且有效）；

（3）評估內(nèi)部控制有效性鑒證報告中列示的工作是否支持形成第三方電子函證平臺進行安全可靠的結(jié)論，判斷是否需要執(zhí)行額外的測試程序；

（4）評估第三方電子函證平臺聘請的信息安全認證機構(gòu)或?qū)I(yè)人員的勝任能力、專業(yè)素質(zhì)和獨立性；

（5）了解平臺及其所有者和運營商的組織架構(gòu)，關(guān)注其是否存在被監(jiān)管機構(gòu)處罰、涉訴等信息，了解鑒證報告出具日期至評估工作完成日期之間平臺控制環(huán)境的變化情況等。

一般情況下，對第三方電子函證平臺的安全認證應(yīng)當至少每年獲取一次最新的鑒證報告，并在開展審計工作之前獲取。如果最近一次出具的鑒證報告的日期與審計外勤日間隔較長，導(dǎo)致對第三方電子函證平臺的安全性評價所依據(jù)信息或情況已發(fā)生重大變化，注冊會計師應(yīng)評價對審計工作的影響程度。

3.正確看待在銀行函證平臺中發(fā)出的某些詢證請求未能通過銀行參數(shù)校驗問題

在相關(guān)各方共同努力、有序推進下，內(nèi)地銀行函證工作已經(jīng)可以通過銀行函證電子平臺進行，比如中國銀行業(yè)協(xié)會銀行函證電子平臺、中國互聯(lián)網(wǎng)金融協(xié)會銀行函證電子平臺、中國金融認證中心銀行函證電子平臺，事務(wù)所根據(jù)需要自行申請接入使用。

通過銀行函證平臺發(fā)函時，如果詢證請求中的某些參數(shù)不符合相關(guān)銀行的校驗規(guī)則時，詢證請求無法通過，發(fā)函失敗可能降低收發(fā)函效率。事務(wù)所需要重視該問題，采取應(yīng)對措施：

一是正確看待問題。對詢證請求進行校驗，是銀行業(yè)金融機構(gòu)推進銀行函證電子化所采取的安全措施。相比于審計人員采用紙質(zhì)函證在發(fā)函回函控制中所投入的時間精力、對函證過程相關(guān)信息的審核以及等待回函所需的時間，使用銀行函證平臺的效率是明顯的。事務(wù)所內(nèi)部需要就此確定相應(yīng)的政策和程序，作出相關(guān)規(guī)定和要求。

二是事務(wù)所負責銀行函證集約化處理的部門或人員，需要及時匯集審計人員在使用銀行函證平臺中可能遇到的、提出的各種問題，第一時間向銀行函證平臺反饋，請求協(xié)調(diào)解決，并將確認的問題成因、解決辦法、注意事項及時在全所通報，信息共享。

總      審：邱連強、宋振玲

執(zhí)      筆：張革、蔣玉芳  

意見反饋：楊緋、劉虓、王曉瑞、都蕾

何先琴、韓天佩、胡方勇

校       對：萬思寧