信息技术服务行业的主要业务模式为以互联网为平台，以软件为载体，向客户提供数据和相关服务。这种业务模式的审计风险呈现出一些行业特征。从信息系统看，信息技术服务行业的生产、营销、管理活动普遍对信息系统存在较强的依赖性，交易较为零散、频繁，财务数据和业务数据大量依赖信息系统，其中部分重要财务数据直接从业务数据中生成。从销售对象看，客户人数众多且主要为个人，交易金额分散，客户真实性难以验证。从资金流转看，资金划付主要通过第三方支付平台，难以追查资金流水。

为应对信息技术服务行业的审计风险，审计师需要结合对被审计单位及其环境的了解，综合分析销售模式和业务流程、收入来源和构成、交易特性、收人确认的会计政策、信息技术服务行业的特殊事项等因素，恰当实施风险评估程序，设计和实施恰当的审计程序，以获取充分、恰当的审计证据，并在审计工作底稿中予以详细记录。下面，我们对信息技术服务收入的审计应对、信息系统测试、职工薪酬审计等进行重点分析：

（一）信息技术服务行业的收入审计

1.了解与测试内部控制

按照风险导向审计理念，审计师需要了解销售业务相关的内部控制，并对关键控制点进行测试，这些关键控制点包括客户识别（如何区分免费客户、试用客户和收费客户）、客户管理、订单管理、对联营平台的信用授信、对回款的控制等。

在了解与测试相关内部控制的过程中，审计师应明确信息技术服务业务在不同业务模式下控制流程可能存在的区别。例如，在直销模式下，面向大量自然人客户，公司通常会采取现销模式，但收款方式可能通过微信、支付宝等第三方支付平台，这种模式下产生的应收账款较少，与第三方支付平台定期对账和资金结算控制是关键控制点；在联营模式下，互联网企业可能根据联营平台的信誉和强势程度等因素确定分成收入的信用期间，对联营平台的授信是关键控制点。

2.识别销售合同条款

在审计过程中，审计项目组应索取交易合同，关注服务条款、退货条款、信用期、付款条件等重要合同条款，同时关注交易实际执行情况与制式合同是否存在实质性差异。

基于信息技术服务行业的特点，在被审计单位涉及多重交易安排时，审计师应高度关注管理层是否对多重交易安排进行合同分拆，相关会计政策和会计估计是否符合《企业会计准则》的规定，是否建立了相关控制流程。例如，在同一销售合同中可能既存在转让软件使用权又存在后续信息服务，审计师应分别判断风险与报酬转移的时点，关注管理层是否对软件升级、更新等后续服务按照公允价值分摊其对价并在合同有效期内分别确认收入。

3.获取交易完成的相关证据并进行判断结合前述对交易合同条款的分析，审计师应进一步获取销售完成时点的审计证据，并判断相关交易是否符合收入确认条件。如果临近资产负债表日存在大额销售收入，审计师应考虑执行函证、访谈、走访等进一步审计程序；如果资产负债表日后存在大量销售退回，审计师应了解销售退回的真实原因，分析判断其对报告期已确认收入的影响，并确定是否需要追加进一步审计程序。此外，审计师在关注交易金额和收入确认时点之余，还应对存在异常迹象的交易（如消费者消费时间、金额与一般消费习惯不符的情况）进行追查。

4.检查交易真实性

一般来说，在核查销售收入真实性时，可以考虑的审计程序有函证、工商背景调查、实地走访交易对手等。但对于信息技术服务行业，由于交易对手是大量分散的个人客户，如果审计师判断客户回函可能性较低，可以考虑通过访谈、检查售后客服与消费者沟通的电话录音并核对销售合同等对交易的真实性和交易实质进行核查。审计师在选取个人客户样本时，一方面可以考虑采取计算机辅助审计的方法抽样，另一方面应关注交易金额、交易时间异常或者不符合大部分自然人消费习惯的样本。

对于从第三方联营平台取得的联营收入，审计师应考虑获取第三方联营平台的业务数据，或者通过函证、访谈等形式向第三方联营平台获取必要的审计证据。但在实务中，审计师应充分预见获取前述审计证据的实际困难，并尽可能在更早时间、更深入地与被审计单位管理层、治理层充分沟通审计工作中需要配合的事项，寻求协助和解决问题的方案，以保证最终能获取充分、适当的审计证据。如果始终无法从第三方联营平台获取有关联营收入的充分、适当的审计证据，审计师应考虑该事项对审计意见的影响。

审计师还可以结合对资金收付的审计验证销售业务的真实性，即从被审计单位的主要开户银行获得银行流水记录，测试大额交易与账面记录是否一致，双向测试大额交易的存在性和准确性，关注资金收付业务的摘要内容与公司日常收支的相关性，以识别异常交易和错报。如果发现被审计单位存在重大或者异常的资金流水，审计师应充分分析其成因，判断交易实质和账务处理的合理性。

5.”刷单”交易的审计应对程序

“刷单”是信息技术服务行业常见的舞弊手段。刷单行为对财务报表的主要影响是虚增收入与成本，并可能导致其他与虚假交易相关的报表项目存在重大错报。

（二）IT审计

在信息技术服务行业的审计实务中，对大量通过系统自动控制流程处理的交易，简单的抽样方法难以帮助审计师获取充分、适当的审计证据。因此，审计师应采用综合性方案，利用IT审计对信息技术一般控制和应用控制进行测试，以提高审计效率和效果，节约实质性测试的工作量，并提高审计证据的质量。一般而言，IT审计的内容主要包括一般控制审计（ITGeneral Control，ITGC）、应用控制审计（IT Application Control，ITAC）以及计算机辅助审计技术（Computer Assis-

ted Audit Techniques，CAATs）的应用。

1.信息技术一般控制（ITGC）信息技术一般控制（ITGC）是为了保证信息系统的安全，对整个信息系统以及外部各种环境要素实施的，对所有的应用或控制模块具有普遍影响的控制措施，包括对信息系统的开发、变更、安全（包括访问控制）及运行维护相关风险的应对控制体系。在信息技术服务行业的审计实务中，执行一般控制测试的目的主要是验证业务系统和财务系统中数据记录的真实性和完整性。

在一般控制测试环节，审计师应针对与信息系统通用控制相关的管理政策、流程文档及其执行情况设计和实施相应的审计程序，测试范围应至少涵盖：从业务部门到产品分析，再到开发、测试及运维部门的开发管理全过程；信息系统的安全性管理及监控、系统维护管理的全过程，包括网络环境、安全配置、服务器托管情况；信息系统的.

应用层面、操作系统层面和数据库层面的账号管理全过程，包括账号授予、账号禁用、特殊权限账户操作的监控等；关键批处理任务的管理及监控、发现问题后及时跟进的全过程；业务数据和财务数据维护并执行备份的过程；信息系统维护管理、故障跟进解决的过程。

在了解上述流程的基础上，审计师应梳理相关流程涉及的操作轨迹不可见、操作流程缺失、数据非法修改、生产系统故障、信息系统人为欺诈等各类风险，识别与之对应的信息技术一般控制，并通过询问、观察、检查和重新执行等方式对其进行测试。

2.信息技术应用控制（ITAC）信息技术应用控制（ITAC）是主要在业务流程层面运行的人工或自动化程序，与用于生成、记录、处理、报告交易或其他财务数据的程序相关，包括自动控制、系统报表、自动计算、访问控制、系统接口等内容。

在信息技术服务行业的审计实务中，信息技术应用控制的特有内容主要集中于销售循环的相关控制和应用。例如，应对收入计量不准确和不完整、收入确认期间不合理的风险，审计师可以根据订单系统实时将信息技术服务项目进度和结算数据正确传输给财务系统的接口以及后续计费、结算流程进行测试，并重点测试系统数据传输的准确性和自动计费模型、参数设置的正确性。再如，对通过第三方联营平台取得的并以系统自动方式进行对账结算的收入，审计师可以对定期对账的控制点进行测试。

3.计算机辅助审计技术（CAATs）计算机辅助审计技术（CAATs）是通过运用计算机技术使审计程序自动化的方法。例如，在信息技术服务行业的审计实务中，重新计算系统自动计算的准确性、筛选与复核异常客户及异常交易等，均属于计算机辅助审计技术的典型应用。一般来说，计算机辅助审计技术可以应用于：查看系统的运营日志，列示业务流程，识别并排查业务流程中可能存在的数据造假风险点（主网页浏览量、IP地址、MAC地址、下载量、订单量、订单号、第三方支付数据等）。

IT审计在现代审计中发挥了重要作用，但IT审计也不是万能的，为保证IT审计发挥作用，IT专家需要与审计项目组在整个过程进行充分沟通和密切合作。在风险评估阶段，审计项目组应将了解信息技术环境及与财务报告有关的信息系统（包括一般控制、应用控制的设计情况及复杂程度）作为了解被审计单位及其所处环境的重要组成部分，结合被审计单位及其环境的其他信息，识别和评估重大错报风险。针对所评估的重大错报风险，审计项目组应组织与IT审计专家的讨论，共同研究制定审计策略，包括为应对重大错报风险拟实施的具体审计程序。在风险应对阶段，审计项目组应做好与IT审计专家的协调，指定具备相应专业胜任能力和权限的审计人员作为对接人，及时沟通IT审计发现的相关事项，针对评估的相关重大错报风险采取恰当的应对措施。

（三）“互联网+”时代数据分析工具在审计工作中的应用

“信息爆炸”是“互联网+”时代的显著特点，被审计单位越来越多的业务数据直接以电子形式储存，给审计工作带来深远影响。审计师应考虑充分利用数据分析工具等新型审计工具和方法，并对云审计、人工智能和区块链等新技术保持关注，以提升审计效率与效果。

在“互联网+”时代，审计师应高度重视审计工具的更新，充分利用数据分析工具，提高审计效率。与传统审计方法相比，“互联网+”时代审计方法有较大不同，差异如下：

实际上，审计师在获取有用信息的基础上，使用数据分析工具，才能达到理想的效果。审计师可考虑从以下渠道获取有用信息：一是行业研究报告、专业信息数据库。如在对制造家电的被审计单位进行审计时，可以考虑获取中怡康等专业市场研究机构的研究报告；二是财经金融信息终端。如Wind、同花顺、Choice、彭博等数据终端以及巨潮网等；三是公开网站或企业信息专门类网站，如发债主体有关信息可通过中国债券信息网、中国货币网等查询，企业相关信息可以通过天眼查、企查查等查询。

值得一提的是，金融信息终端属于在线实时金融信息终端，能及时提供金融数据、财经信息、分析工具、组合管理等综合查询服务。充分利用Wind资讯等金融信息终端，将极大丰富风险评估、应对和报告阶段的外部信息来源。在实务中，审计师对金融信息终端运用的方式包括：行业信息分析，如宏观经济、行业新闻、研究报告等内容；具体客户的专题研究，如高管研究、公司财务、重大事项、新闻报道等内容；数据浏览器及条件数据筛选和信息搜索，用于寻找可比较性更强的同行公司，详细比较同行公司的财务数据，自定义信息的高级搜索等；财务数据浏览，用于关注行业财务数据变化从而调整审计重心或发现异常数值；法律法规查询，用于及时了解与被审计单位有关的法规动态等。

1.利用IDEA等数据分析工具

IDEA是一种数据抽取和分析工具，可以用于对大量财务数据进行分析、独立核实数据、高效选择样本。IDEA可协助审计师迅速抽取并分析数据，使审计工作更加高效。一般而言，审计数据分析可分为三个层次：以审计专家经验和常规审计分析技术为基础的数据分析，以审计分析模型和多维数据分析技术为基础的数据分析，以数据挖掘技术为基础的数据分析。其中，IDEA分析工具属于以审计分析模型和多维数据分析技术为基础的数据分析工具。

在实务中，为提高会计分录测试的效率，审计师往往需要对会计分录进行恰当分类，如标准会计分录、非标准会计分录、其他调整分录等。因此，审计师通过利用IDEA数据分析工具，可以迅速将各种类型的会计分录提取出来，识别异常会计分录，并进一步检查相关凭证以确定相关交易及会计处理的准确性，显著提高会计分录测试的效率和效果。

2.人工智能技术和数据分析工具的审计应用科技创新时代，审计师可以借助人工智能技术和可视化数据分析工具的力量，从海量数据中提取有用信息，识别其中蕴藏的模式、规律和相关关系，以有效提高审计效率和效果。通过运用这些工具实现对数据的捕捉、提取、验证与转化，将有助于改进风险评估流程、实质性程序和控制测试。

例如，在审计中可以逐步引入的人工智能技术包括：一是开展合同文本的机器审阅，可以把审计师从人工效率低且易出错的工作中解放出来；二是对客户的运营和财务电子数据实施全数据审计，可以解决抽样审计的局限性；三是对交易或事项全数据进行相关性分析，可以降低数据分析对因果逻辑关系的依赖，提高对复杂现象的认识能力，提高舞弊风险识别能力；四是可以开展即时审计和持续审计，实现错误和舞弊的及时发现，解决审计结果与经济活动的时差问题；五是可以对审计质量进行智能监控，促进审计流程的规范、确保程序执行到位、风险控制及时等。

再如，审计中可以逐步引入的可视化数据分析工具包括：交互式探索工具、商业智能（BI）工具、数据挖掘工具、图数据库应用工具、文本挖掘工具和智能画像工具等。它们通常包括非常简单的程序，但也包含能够生成高质量预测的复杂模型。运用此类模型的审计师需要了解这些模型，并就何时使用以及如何使用做出有关决策。

本文摘录于《证券审计与评估行政处罚案例解析（2019）》

更多精彩内容，可加审计小罗（ID：shenji_xiaoluo）个人微信号。