審計工作電子化是會計師事務所提高審計效率、強化質量管理、適應現(xiàn)代信息技術發(fā)展的重要變革。審計工作電子化對審計工作底稿的影響是全面的，不僅改變了審計底稿的編制、存儲和使用方式，還對審計人員的勝任能力、事務所的審計流程和質量風險管理提出了新的要求。

在審計工作電子化進程下，審計工作底稿的完整性、安全性、一致性及電子底稿的借閱管理在事務所質量管理過程中被高度關注。審計準則對審計工作底稿的格式、內容、范圍以及歸檔作出了具體規(guī)定；國家網(wǎng)絡信息安全相關法律法規(guī)，包括財政部、國家互聯(lián)網(wǎng)信息辦公室于2024年4月15日發(fā)布的《會計師事務所數(shù)據(jù)安全管理暫行辦法》（財會〔2024〕6號）對事務所審計工作中數(shù)據(jù)處理活動的安全性予以了規(guī)范，事務所的審計工作需要滿足上述合規(guī)要求?！吨袊詴嫀煂徲嫓蕜t問題解答第2號——函證》（2019年12月修訂）對注冊會計師利用第三方函證平臺實施函證程序作出相關規(guī)定，要求注冊會計師對第三方平臺的安全可靠性（如第三方函證平臺如何保證函證相關方身份的真實性、信息傳輸安全性以及記錄函證控制過程的完整性等）進行評價，以防范相關審計風險。

北京注冊會計師協(xié)會專業(yè)技術委員會對北京地區(qū)會計師事務所審計底稿電子化情況以及第三方電子函證平臺使用情況開展了問卷調查，并邀請有關事務所、第三方電子函證平臺、行業(yè)管理部門專家等進行了專題研討。在本提示編寫過程中，參考了上述調研、研討的相關資料。

附件：北京注冊會計師協(xié)會專業(yè)技術委員會專家提示——審計工作底稿的電子化及對第三方電子函證平臺安全可靠性的評價

北京注冊會計師協(xié)會

2024年11月1日

審計工作電子化是會計師事務所提高審計效率、強化質量管理、適應現(xiàn)代信息技術發(fā)展的重要變革。審計工作電子化對審計工作底稿的影響是全面的，不僅改變了審計底稿的編制、存儲和使用方式，還對審計人員的勝任能力、事務所的審計流程和質量風險管理提出了新的要求。

在審計工作電子化進程下，審計工作底稿的完整性、安全性、一致性及電子底稿的借閱管理在事務所質量管理過程中被高度關注。審計準則對審計工作底稿的格式、內容、范圍以及歸檔作出了具體規(guī)定；國家網(wǎng)絡信息安全相關法律法規(guī)，包括財政部、國家互聯(lián)網(wǎng)信息辦公室于2024年4月15日發(fā)布的《會計師事務所數(shù)據(jù)安全管理暫行辦法》（財會〔2024〕6 號）對事務所審計工作中數(shù)據(jù)處理活動的安全性予以了規(guī)范，事務所的審計工作需要滿足上述合規(guī)要求?！吨袊詴嫀煂徲嫓蕜t問題解答第2號——函證》（2019年12 月修訂）對注冊會計師利用第三方函證平臺實施函證程序作出相關規(guī)定，要求注冊會計師對第三方平臺的安全可靠性（如第三方函證平臺如何保證函證相關方身份的真實性、信息傳輸安全性以及記錄函證控制過程的完整性等）進行評價，以防范相關審計風險。

北京注冊會計師協(xié)會專業(yè)技術委員會對北京地區(qū)會計師事務所審計底稿電子化情況以及第三方電子函證平臺使用情況開展了問卷調查，并邀請有關事務所、第三方電子函證平臺、行業(yè)管理部門專家等進行了專題研討。在本提示編寫過程中，參考了上述調研、研討的相關資料。

一、關于審計工作底稿的電子化

（一）審計工作底稿的完整性

1.審計工作信息化推動了底稿的電子化

根據(jù)《中國注冊會計師審計準則第 1131 號——審計工作底稿》，審計工作底稿是注冊會計師對制定的審計計劃、實施的審計程序、獲取的相關審計證據(jù)以及得出的審計結論的記錄。審計檔案，是指一個或多個文件夾或其他存儲介質，以實物或電子形式存儲構成某項具體業(yè)務的審計工作底稿的記錄。審計證據(jù)是為了得出審計結論和形成審計意見而使用的信息，包括構成財務報表基礎的會計記錄所含有的信息以及從其他來源獲取的信息。審計過程中獲取的審計證據(jù)，有以電子形式獲取的，也有以紙質形式獲取的；有從被審計單位內部獲取的，也有從被審計單位外部獲取的。

審計實務中，由線下審計為主的傳統(tǒng)模式正在逐漸轉變?yōu)榛谠萍夹g的審計作業(yè)平臺等為主的在線審計模式。傳統(tǒng)模式下的審計工作底稿主要是以紙質形式為主存檔，項目組對審計過程中編制或取得電子形式底稿（如審定表、明細表等）打印后以紙質形式進行歸檔存儲。在線審計模式下，審計工作底稿主要是以電子形式為主存檔，如將獲取外部證據(jù)（如函證回函、重要合同等）進行掃描并插入審計作業(yè)軟件中。

除審計作業(yè)軟件外，事務所目前可能還運用函證系統(tǒng)、獨立性系統(tǒng)及監(jiān)盤系統(tǒng)等各種輔助審計工具，函證底稿、獨立性底稿及監(jiān)盤底稿等會分散在不同的審計工具中。如何將分散在不同系統(tǒng)或工具中的底稿統(tǒng)一、及時、完整歸檔是事務所審計底稿電子化要解決的主要問題。項目組在對不同作業(yè)系統(tǒng)（工具）形成的審計工作底稿和留存的審計證據(jù)進行統(tǒng)一集中歸檔時，應當確認審計底稿信息及審計證據(jù)內容完整、與相關作業(yè)系統(tǒng)（工具）或紙質底稿的一致性，可以通過建立電子檔案目錄等形式進行電子檔案的歸集，以便于查閱和管理。

2.紙質形式審計證據(jù)歸檔的完整性

當事務所采用電子方式歸檔時，電子底稿是主體，審計中獲取的電子證據(jù)、紙質證據(jù)需要在電子底稿中進行索引。審計獲取的重要的紙質證據(jù)需要立卷歸檔，事務所如因審計業(yè)務涉及民事賠償訴訟、外部檢查，可能會被要求提供這些紙質證據(jù)以支持審計工作中形成的相關審計結論和審計意見。審計人員需要保證歸檔的電子底稿和紙質底稿的完整性，以證明注冊會計師已按照審計準則和相關法律法規(guī)的規(guī)定計劃和執(zhí)行審計工作。

前述重要的紙質證據(jù)主要包括被審計單位或其他相關方簽章的業(yè)務約定書、管理層聲明書、未審財務報表和經(jīng)審計的財務報表、詢證函回函等，還可能包括涉及重大錯報風險領域和關鍵審計事項的應對程序、審計調整、內控缺陷、影響審計意見類型和報告內容要素，或者與疑難事項、意見分歧相關的合同等文件，以及項目合伙人認為重要的其他紙質審計證據(jù)。

實務中，對于是否將紙質證據(jù)掃描并同時進行電子歸檔，不同事務所內部質量管理制度可能有不同的規(guī)定，有的事務所要求將紙質證據(jù)掃描件進行電子歸檔，有的不作該要求，二者各有利弊。前者，便于快速檢索和調用，而且整套電子檔案可以通過備份、加密等方式得到保護，即使紙質文檔出現(xiàn)問題，完整的電子檔案仍能一定程度上為審計結論提供支撐，不足在于掃描存儲需要投入相應時間和成本，以及需要考慮掃描件的法律證明力。后者，不需要投入資源進行紙質證據(jù)的電子化處理，但紙質文件的檢索和查閱通常比電子文件更耗時。事務所在確定其具體做法時，需要對相關成本效益進行綜合評價。

審計人員在審計過程中檢查被審計單位的相關文件資料，如果認為有必要將該相關文件的副本作為審計工作底稿，直接拍照或將其掃描件作為審計證據(jù)可能存在一定的風險。

比如，被審計單位可能否認其存在與事務所電子審計檔案中的某一掃描件相對應的紙質原件。項目組根據(jù)對項目審計風險的評估情況，可能采取不同的做法。對于重要的審計證據(jù)，審計人員應核對取得的復印件與原件相符，并盡可能要求被審計單位在復印件上蓋章，以證明是由被審計單位提供。

3.項目質量復核記錄的歸檔

按照事務所質量管理準則以及事務所內部政策，有的項目需要執(zhí)行項目質量復核，項目質量復核人員就項目質量復核形成工作底稿，以使未曾接觸該項目的、有經(jīng)驗的執(zhí)業(yè)人員了解項目質量復核人員（包括協(xié)助人員）所執(zhí)行程序的性質、時間安排和范圍。項目質量復核底稿（包括質量復核程序的記錄、復核人員與項目組的溝通記錄、復核發(fā)現(xiàn)的重大問題及項目組的答復等）非常重要，是事務所遵守質量管理準則規(guī)范執(zhí)業(yè)的體現(xiàn)，也是事務所內、外部檢查中關注的重點，應包含在審計項目工作底稿中。

《中國注冊會計師審計準則第 1131 號——審計工作底稿》應用指南中指出，審計工作底稿不需要包括已被取代的審計工作底稿的草稿或財務報表的草稿、反映不全面或初步思考的記錄、存在印刷錯誤或其他錯誤而作廢的文本，以及重復的文件記錄。項目質量復核人員在復核過程中可能就某一事項與項目組進行多次溝通，當項目質量復核通過審計作業(yè)軟件中的項目質量復核模塊進行的情況下，在對項目質量復核底稿進行歸檔時，也應考慮該準則這一方面的要求，避免因存在中間稿而導致對項目質量復核工作不必要的歧義。

4.電子審計檔案的存儲方式

事務所應根據(jù)其實際情況確定電子底稿的存儲方式。目前本地存儲仍是主流，比如事務所服務器集中存儲、光盤或移動硬盤存儲。無論采取何種方式保存電子工作底稿，事務所均需要建立并維護與工作底稿相關的政策和程序，以確保不存在任何人未經(jīng)授權、批準并在有效監(jiān)控情形下接觸已歸檔的工作底稿。

隨著審計程序執(zhí)行方式的變化，視頻監(jiān)盤、視頻訪談、電話訪談及借助智能化工具的資金流水核查等信息化方式普遍應用，審計證據(jù)除常見的Word、Excel電子文檔外，通常還包括圖片、照片、音頻、視頻等多媒體資料。對于審計中獲取多媒體形式的審計證據(jù)，有的事務所是將其上傳到審計作業(yè)系統(tǒng)中，與其他電子底稿一并歸檔存儲；有的則是將這些多媒體證據(jù)單獨存儲。在確定多媒體證據(jù)的存儲方式時，事務所需要對多媒體資料的具體格式作出統(tǒng)一規(guī)定，并綜合考慮成本、數(shù)據(jù)容量、網(wǎng)絡環(huán)境等因素，避免事務所的網(wǎng)絡帶寬和服務器可能無法承載。如前所述，無論以何種方式存儲，項目組均需根據(jù)檔案目錄確認底稿內容完整、索引正確。

5.出具審計報告后或審計檔案歸檔后對電子審計工作底稿的修改

《中國注冊會計師審計準則第 1131 號——審計工作底稿》對報告出具后以及底稿整理歸檔后審計工作底稿的修改，均作出了規(guī)定：（1）在某些例外情況下，如果在審計報告日后實施了新的或追加的審計程序，或者得出新的結論，應當記錄遇到的例外情況，實施的新的或者追加的程序、獲取的證據(jù)和得出的結論，對審計報告的影響，以及對底稿作出相應變動的時間和人員，復核的時間和人員；（2）檔案歸檔后，如發(fā)現(xiàn)有必要修改或新增審計工作底稿，無論修改或增加的性質如何，均應記錄理由、時間和人員，以及復核的時間和人員。

《會計師事務所數(shù)據(jù)安全管理暫行辦法》規(guī)定，會計師事務所應當對審計業(yè)務相關的信息系統(tǒng)、數(shù)據(jù)庫、網(wǎng)絡設備、網(wǎng)絡安全設備等設置并啟用訪問日志記錄功能。 涉及核心數(shù)據(jù)的，相關日志留存時間不少于三年。涉及重要數(shù)據(jù)的，相關日志留存時間不少于一年；涉及向他人提供、委托處理、共同處理重要數(shù)據(jù)的相關日志留存時間不少于三年。

因此，審計報告出具后或底稿歸檔后，對電子底稿的修改或新增要遵守審計準則以及數(shù)據(jù)安全管理辦法對日志留存時間的規(guī)定。

鑒于電子底稿具體修改內容可能難以追蹤，或者對個別工作底稿的修改或新增會導致工作底稿整體顯示的歸檔日期有所改變，從而無法支持審計項目組已在規(guī)定時間內歸檔這一事實，因此，如果在審計工作底稿歸檔之后需要對電子底稿做出修改或新增時，建議另外編制電子底稿，并明確說明修改或新增的原因和范圍，而非在原電子底稿中直接進行修改。目前對電子底稿的修改或新增，較為常見的是針對監(jiān)控活動或外部檢查發(fā)現(xiàn)的項目審計問題所作整改，如果整改內容無法在該項目當年工作底稿中反映，而是需要在以后年度審計中進行，項目組可以將相應的整改措施及落實情況記錄于后續(xù)年度審計底稿中。

對審計檔案的任何修改或增加都必須有明確審批和復核記錄，以證明不是對審計底稿的偽造、篡改或損毀，不存在這方面的嫌疑，比如，因事務所監(jiān)控活動需要對底稿進行整改的，依據(jù)的是事務所內部監(jiān)控整改報告；如果是外部檢查要求整改，則依據(jù)外部檢查意見或是監(jiān)管函或處罰決定書等。事務所需要制定審計檔案修改相關內部審批流程，確保對電子審計檔案的任何修改均經(jīng)過適當審批。

（二）審計工作底稿的一致性

1.不同審計作業(yè)系統(tǒng)之間數(shù)據(jù)傳輸?shù)囊恢滦?/strong>

當事務所存在多種審計工具，比如審計作業(yè)軟件、函證系統(tǒng)、獨立性系統(tǒng)等，審計工作底稿信息在不同系統(tǒng)之間自動傳輸、歸集時，需要關注和測試數(shù)據(jù)傳輸是否完整、一致，避免相關應用系統(tǒng)的設計或內部控制存在缺陷而出現(xiàn)系統(tǒng)性風險。

2.紙質底稿掃描件與原件的一致性

如果事務所內部質量管理制度要求將紙質底稿進行掃描并在電子檔案中歸集，事務所需要采取一定措施，確保掃描件與紙質底稿一致。比如，規(guī)定掃描流程，對掃描件是否清晰、無缺頁遺漏等進行檢查。當審計過程中紙質底稿更新時，應確保掃描件隨之更新。

3.審計軟件中導出的歸檔底稿與軟件中底稿數(shù)據(jù)的一致性

審計軟件環(huán)境下所查閱的底稿依賴軟件數(shù)據(jù)庫的鏈接支持，從審計軟件中導出用于歸檔的底稿時，需要形成不依賴審計軟件即可查閱的檔案，要確保審計軟件設計正確，歸檔底稿與審計軟件環(huán)境下所見底稿一致，內容完整。導出的歸檔底稿應設置為不可更改模式。

（三）審計工作底稿的安全性

1.監(jiān)管部門對審計工作電子化安全性的指導

在《會計師事務所數(shù)據(jù)安全管理暫行辦法》中，就事務所如何貫徹落實國家網(wǎng)絡數(shù)據(jù)安全規(guī)定予以了細化指導，要求規(guī)范數(shù)據(jù)的分類分級和底稿管理，強調網(wǎng)絡管理安全可控，其中對底稿存儲地、數(shù)據(jù)備份、系統(tǒng)權限設置、底稿出境審批等均作出了規(guī)定：

（1）審計工作底稿應當按照法律、行政法規(guī)和國家有關規(guī)定存儲在境內，相關加密設備應當設置在境內并由境內團隊負責運行維護，密鑰應當存儲在境內。

（2）應當建立數(shù)據(jù)備份制度，確保在審計相關應用系統(tǒng)因外部技術原因被停止使用、被限制使用等情況下，仍能訪問、調取、使用相關審計工作底稿。

（3）應當擁有審計業(yè)務系統(tǒng)中網(wǎng)絡設備、網(wǎng)絡安全設備的自主管理權限，統(tǒng)一設置、維護系統(tǒng)管理員賬戶和工作人員賬戶，不得設置不受限制、不受監(jiān)控的超級賬戶，不得將管理員賬號交由第三方運維機構管理使用。加入國際網(wǎng)絡的事務所使用所在國際網(wǎng)絡的信息系統(tǒng)的，應當采取必要措施，使其符合國家數(shù)據(jù)安全法律、行政法規(guī)和該暫行辦法的規(guī)定，確保事務所的數(shù)據(jù)安全。

（4）對于審計工作底稿出境事項，事務所應當建立逐級復核機制，采取必要措施嚴格落實數(shù)據(jù)安全管控責任。對于需要出境的審計工作底稿，按照國家有關規(guī)定辦理審批手續(xù)。

該暫行辦法中還就事務所對核心數(shù)據(jù)的四級網(wǎng)絡安全等級保護、重要數(shù)據(jù)的三級及以上網(wǎng)絡安全等級保護，以及數(shù)據(jù)匯聚、關聯(lián)后屬于國家秘密事項的安全保護等作出了要求。

該暫行管理辦法2024年10月1日起施行，事務所在設計和執(zhí)行電子底稿安全性相關政策及程序時，必須符合該暫行辦法的相關規(guī)定。

2.審計工作底稿電子化過程中對網(wǎng)絡安全的考慮

事務所應建立完善的網(wǎng)絡安全管理治理架構，建立健全的內部網(wǎng)絡安全管理制度體系，包括內部決策、管理、執(zhí)行和監(jiān)督機制，提高網(wǎng)絡安全管理能力，為審計工作底稿電子化提供安全的網(wǎng)絡環(huán)境。事務所使用網(wǎng)絡版審計軟件進行審計作業(yè)，或者采用服務器、云平臺存儲電子審計工作底稿時，需要對關鍵的網(wǎng)絡安全事項予以關注，提高審計工作的網(wǎng)絡安全性，比如：

（1）數(shù)據(jù)保護及訪問控制：確保審計過程中收集分析數(shù)據(jù)是安全的，實施嚴格的訪問控制措施，確保只有經(jīng)授權的審計人員能夠訪問審計數(shù)據(jù)系統(tǒng)，防止未經(jīng)授權的訪問和泄露。

（2）數(shù)據(jù)完整性：使用加密和其他技術來保護數(shù)據(jù)不被篡改，確保審計證據(jù)的完整性。

（3）網(wǎng)絡安全策略：制定和執(zhí)行網(wǎng)絡安全策略，包括防火墻、入侵檢測等，確保電子審計底稿在規(guī)定的審計工作保存期限內安全存儲。

（4）風險評估：定期進行風險評估，以識別和評估可能影響審計過程的網(wǎng)絡安全威脅。

（5）應急響應計劃：制定應急響應計劃，以在發(fā)生安全事件時迅速采取行動，減少潛在損害。

（6）員工培訓：對審計團隊進行網(wǎng)絡安全意識培訓，確保了解潛在的風險和最佳實踐。

（7）技術更新：隨著技術的發(fā)展，定期更新審計工具，以應對新的網(wǎng)絡安全威脅。

3.防范電子審計底稿未經(jīng)授權擴散可能導致的風險

事務所對審計底稿中的被審計單位信息負有保密義務。因日常監(jiān)管需要，事務所需要向監(jiān)管機構提供電子審計底稿，或者開放審計作業(yè)軟件。為了防范底稿內容未經(jīng)授權擴散可能帶來的風險，事務所需要采取相應的保密措施。比如，有的可能使用具有外發(fā)文件控制功能的數(shù)據(jù)安全產(chǎn)品，對外發(fā)文件設置查閱期限、密碼驗證、修改限制、打印限制、過期自毀等操作權限，確保資料能夠共享查閱，并防范越權讀取或二次擴散，以保護底稿及所載客戶信息的安全。

4.接受境外監(jiān)管時工作底稿的提供

事務所接受境外監(jiān)管需要向境外監(jiān)管機構提供審計工作底稿時，通過監(jiān)管合作渠道提供。事務所需要調出包含電子底稿在內的整套審計檔案，對涉密敏感信息（包括國家機密、商業(yè)秘密和個人隱私數(shù)據(jù)等）進行篩查，聘請律師對保密合規(guī)性出具法律意見書；可能還需要依據(jù)有關監(jiān)管法規(guī)的要求，將底稿、法律意見書提交相關政府管理部門，對底稿保密合規(guī)性作進一步審查。事務所向相關檔案管理部門申報底稿出境事項，審批通過后，由相關政府管理部門將工作底稿轉交境外監(jiān)管機構。

（四）電子審計工作底稿借閱管理

實務中，在審計數(shù)字化和嚴監(jiān)管形勢下，電子審計工作底稿可能會被大量借閱。一方面外部檢查可能強制要求提供電子版；另一方面主要是由于內部需求借閱，比如內部監(jiān)控需要調閱，或項目組因IPO申報加期審計、IPO反饋問詢回復等需要查閱前期底稿，年報審計需要查閱上年工作底稿等。

為保證歸檔后電子審計工作底稿的完整性、安全性及一致性，事務所有必要加強對電子審計工作底稿的借閱管理。

（1）對借閱權限、借閱方式等作出相關規(guī)定。對電子工作底稿借閱必須履行事務所內部借閱審批程序，對借閱權限進行規(guī)定，如僅能在線查看、支持在線查看和打印、規(guī)定在線查看時間等。

（2）電子底稿歸檔后應以權限管理為基礎，支持多途徑、多角度且易用的檢索和利用方式，滿足用戶各類查檔需求。支持用戶在審批權限許可范圍內在線查看、打印目錄數(shù)據(jù)或電子底稿文件時，如有必要，應限制用戶對電子底稿的具體文件、具體頁面的可閱讀范圍，對電子底稿的下載履行內部審批、添加數(shù)字水印和授權閱讀時間等。

二、關于第三方電子函證平臺安全可靠性的評價

1.對第三方電子函證平臺安全可靠性評價的總體要求

通過獨立、安全可靠的第三方電子函證平臺進行函證，既能提高函證程序執(zhí)行效率，又能有效應對傳統(tǒng)紙質函證過程中可能存在的舞弊風險、提升函證程序執(zhí)行質量。實務中，第三方電子函證平臺（也稱“第三方電子詢證函平臺”）主要包括兩類：一類是專門提供函證服務的第三方平臺（如中國銀行業(yè)協(xié)會銀行函證區(qū)塊鏈服務平臺、境外的confirmation.com），另一類是被詢證者自身的電子函證平臺（如工商銀行函證e信）。

《<中國注冊會計師審計準則第 1312 號——函證>應用指南》（2023版）第13段要求，如果被詢證者利用第三方協(xié)調和提供回函，注冊會計師可以實施審計程序以應對下列風險：（1）回函來源不合適；（2）回函者未經(jīng)授權；（3）信息傳輸?shù)陌踩栽獾狡茐??！侗O(jiān)管規(guī)則適用指引-審計類第2號》指出事務所存在利用第三方函證平臺執(zhí)行函證程序時未了解平臺的資質或安全性、可靠性情況、未能保持職業(yè)懷疑的問題。

值得說明的是，根據(jù)《中國注冊會計師審計準則問題解答第2號——函證》規(guī)定，商業(yè)銀行等金融機構自身的電子函證平臺，由于商業(yè)銀行等金融機構負責按照相關法律法規(guī)建立和完善有關回函的內部控制，并依法對其出具的回函承擔相應的法律責任。一般而言，除非出現(xiàn)相反情況，注冊會計師無需對商業(yè)銀行等金融機構自身的電子函證平臺內部處理過程的安全可靠性進行專門評價。

對第三方電子函證平臺的獨立性、安全可靠性評價工作在行業(yè)協(xié)會層面或事務所層面統(tǒng)一完成更符合成本效益原則。項目組在應用金融機構自身的電子函證平臺外的其他第三方電子函證平臺進行函證時，如果沒有行業(yè)協(xié)會或事務所層面對第三方電子函證平臺安全可靠性的評價，項目組需要遵照準則要求實施相關評價工作。

另外，根據(jù)《中國注冊會計師審計準則第 1241 號——對被審計單位使用服務機構的考慮》規(guī)定，如果擬利用服務機構（即本文的第三方電子函證平臺，下同）注冊會計師出具的第一類報告（即針對服務機構對控制的描述和設計出具的報告）或第二類報告（即針對服務機構對控制的描述、設計和運行有效性出具的報告）作為審計證據(jù)，以支持對服務機構內部控制設計和執(zhí)行情況的了解，注冊會計師應當：（一）評價對服務機構控制的描述和設計所針對的時點或期間是否適用于注冊會計師的審計目的；（二）對了解與審計相關的服務機構內部控制而言，評價報告提供的證據(jù)是否充分和適當；（三）確定服務機構系統(tǒng)描述中明確的被審計單位的互補性控制是否與被審計單位相關；如果相關，了解被審計單位是否設計和執(zhí)行了此類控制。

如果注冊會計師在評估重大錯報風險時預期服務機構的控制的運行是有效的，注冊會計師應當實施下列一項或多項程序，以獲取有關這些控制運行有效性的審計證據(jù)：（一）獲取第二類報告（如可行）；（二）對服務機構的控制實施適當測試；（三）利用其他注冊會計師代其對服務機構的控制實施測試。

2.對第三方電子函證平臺安全可靠性的評價要點

事務所層面應建立應用第三方電子函證平臺進行函證的審計政策和程序，明確對第三方電子函證平臺獨立性、安全可靠性的評價內容要求和評價周期。第三方電子函證平臺通常會聘請具有勝任能力的注冊會計師（或信息安全認證機構等）對第三方電子函證平臺的內部控制有效性出具鑒證報告。

事務所應當判斷是否利用第三方電子函證平臺注冊會計師出具的內部控制有效性鑒證報告來評估其安全性可靠性，并對評價結果定期更新。如事務所不能利用該報告，則應當對第三方電子函證平臺進行直接測試。

如事務所利用內部控制有效性鑒證報告對第三方電子函證平臺進行安全性可靠性評估，則需要執(zhí)行以下程序：

（1）獲取第三方電子函證平臺注冊會計師出具的內部控制有效性鑒證報告及相關資料；

（2）對以下內容進行了解和記錄：

①鑒證工作執(zhí)行的依據(jù)、報告結論以及適用范圍；

②鑒證工作涵蓋的期間及時間間隔；

③鑒證工作的測試范圍、測試過程、取得的證據(jù)及測試的結果（包括互補性控制是否相關且有效）；

（3）評估內部控制有效性鑒證報告中列示的工作是否支持形成第三方電子函證平臺進行安全可靠的結論，判斷是否需要執(zhí)行額外的測試程序；

（4）評估第三方電子函證平臺聘請的信息安全認證機構或專業(yè)人員的勝任能力、專業(yè)素質和獨立性；

（5）了解平臺及其所有者和運營商的組織架構，關注其是否存在被監(jiān)管機構處罰、涉訴等信息，了解鑒證報告出具日期至評估工作完成日期之間平臺控制環(huán)境的變化情況等。

一般情況下，對第三方電子函證平臺的安全認證應當至少每年獲取一次最新的鑒證報告，并在開展審計工作之前獲取。如果最近一次出具的鑒證報告的日期與審計外勤日間隔較長，導致對第三方電子函證平臺的安全性評價所依據(jù)信息或情況已發(fā)生重大變化，注冊會計師應評價對審計工作的影響程度。

3.正確看待在銀行函證平臺中發(fā)出的某些詢證請求未能通過銀行參數(shù)校驗問題

在相關各方共同努力、有序推進下，內地銀行函證工作已經(jīng)可以通過銀行函證電子平臺進行，比如中國銀行業(yè)協(xié)會銀行函證電子平臺、中國互聯(lián)網(wǎng)金融協(xié)會銀行函證電子平臺、中國金融認證中心銀行函證電子平臺，事務所根據(jù)需要自行申請接入使用。

通過銀行函證平臺發(fā)函時，如果詢證請求中的某些參數(shù)不符合相關銀行的校驗規(guī)則時，詢證請求無法通過，發(fā)函失敗可能降低收發(fā)函效率。事務所需要重視該問題，采取應對措施：

一是正確看待問題。對詢證請求進行校驗，是銀行業(yè)金融機構推進銀行函證電子化所采取的安全措施。相比于審計人員采用紙質函證在發(fā)函回函控制中所投入的時間精力、對函證過程相關信息的審核以及等待回函所需的時間，使用銀行函證平臺的效率是明顯的。事務所內部需要就此確定相應的政策和程序，作出相關規(guī)定和要求。

二是事務所負責銀行函證集約化處理的部門或人員，需要及時匯集審計人員在使用銀行函證平臺中可能遇到的、提出的各種問題，第一時間向銀行函證平臺反饋，請求協(xié)調解決，并將確認的問題成因、解決辦法、注意事項及時在全所通報，信息共享。

總      審：邱連強、宋振玲

執(zhí)      筆：張革、蔣玉芳  

意見反饋：楊緋、劉虓、王曉瑞、都蕾

何先琴、韓天佩、胡方勇

校       對：萬思寧