北京注册会计师协会专业技术委员会专家提示——数据资源入表常见问题与审计应对(1):准则适用与确认(京会协专〔2024〕5号)
发文信息
- 发文机关: 北京注册会计师协会
- 发布日期: 2024-12-11
- 生效日期: 2024-12-11
- 时效性: 现行有效
- 文号: 京会协专〔2024〕5号
- 原文链接: 北京注协
本提示仅供会计师事务所及相关从业人员在执业时参考,不能替代相关法律法规、注册会计师执业准则以及注册会计师职业判断。会计师事务所及相关从业人员在执业中需结合项目实际情况以及注册会计师的职业判断确定,不能直接照搬照抄。
自财政部2023年印发《企业数据资源相关会计处理暂行规定》(财会〔2023〕11号,以下简称《暂行规定》)和《关于加强数据资产管理的指导意见》以来,数据资源入表引发了理论界和实务界广泛关注,各方积极开展相关研究与实践。
根据《暂行规定》,数据资产目前主要分为两大类:数据资源无形资产、数据资源存货。数据资源入表,从会计准则的角度,则是数据资源计入财务报表的过程,包括相关会计要素的确认、计量、列报和披露等环节。
数据资源入表审计实务中主要的审计风险是相关资产高估的风险,对应的认定包括权利与义务、存在性和计价分摊、准确性等。具体而言,包括确认了不满足资产定义的数据资源的高估风险、内部开发数据资源资本化与费用化时点划分不准确导致的成本高估风险、相关成本归集与结转方法不准确导致的计价准确性风险、期末资产减值计提不足的高估风险等。
鉴于数据资源入表审计实务具有综合性、复杂性、创新性等特点,为帮助会计师事务所提供高质量的审计业务,规范财务报表审计中与数据资源入表相关的事项,有效防范业务风险和提升执业能力,北京注协专业技术委员会组织专家编写数据资源入表常见问题与审计应对系列提示:准则适用与确认、计量与列报、关键控制设计与执行等。本提示为针对数据资源入表之准则适用与确认常见问题与审计应对的专家提示,供大家在执业中参考。
一、数据和数据资源含义及特征
根据《中华人民共和国数据安全法》:“数据是指任何以电子或者其他方式对信息的记录。”一些专业研究机构,从业务的角度也对数据做出了不同的界定,比如中国信息通信研究院将数据定义为“对客观事件进行记录并存储在媒介物上的可鉴别符号,是对客观事物性质、状态以及相互关系等进行记载的物理符号或物理符号的组合,是一种客观存在的资源。”
相比于常见的自然资源和社会资源,相关学术研究提出数据资源存在无形性、权属的复杂性、时效性、依附性、价值易变性、非标准性、非均质化、可复制性、非竞争性与弱排他性等。
二、首次执行《暂行规定》注册会计师关注事项
针对首次执行《暂行规定》的被审计单位,注册会计师可能需要关注如下事项:
1.被审计单位是否采用适用准则反映其经营活动,如:软件与数据资源的区别,相关业务适用《暂行规定》、无形资产准则、存货准则,还是其他相关准则。
2.被审计单位数据资源入表是否满足准则规定。具体包括:数据资源的所有权、使用权和经营权是否能清晰界定,“控制”与数据处理活动中各个环节是否对应,内部研发数据资源时研究阶段和开发阶段是否能明确区分,相关成本资本化和费用化的政策应用是否准确,内部使用型(如降本增效)数据资源带来的预期经济利益是否能准确衡量,相关成本是否能合理归集与分摊等。在实务中需关注下列数据资源不应入表的情形:
(1)被审计单位将某数据资源确认为无形资产,该数据资源虽权属清晰、合法合规,但生产的产品或提供服务不存在市场,不能够带来经济利益。例如:被审计单位在生产经营活动中积累了大量原始数据,但这些原始数据在关联性、精确性、及时性等方面存在质量欠缺,无法找到适当的应用场景。
(2)被审计单位将某数据资源确认为无形资产,但该数据资源虽权属清晰、合法合规,存在开发潜力,但尚未构建起清晰的应用场景、无法确认预期能够带来经济利益。
(3)被审计单位将某数据资源确认为无形资产,虽然该数据资源权属清晰、合法合规,能够为企业带来经济利益流入,但是相关成本不能可靠计量。
3.被审计单位数据资产初始确认及后续计量的准确性。包括:资本化时点的判断,成本结转或摊销期限和方法的判断,相关无形资产减值或存货跌价准备计提的方法(考虑数据资源的时效性、易变性、权利限制、技术迭代等影响)等。
4.被审计单位数据资产列报与披露的充分性和适当性。包括:期初数的重分类、评估方法的披露、强制披露与自愿披露情况等。
三、入表的数据资源的审计风险识别和审计应对程序
针对被审计单位的数据资源入表,作为注册会计师,应在充分了解准则适用性与入表确认条件、被审计单位的数据资源的特点以及会计政策等基础上,对与数据资源入表的相关风险进行恰当评估,做好审计应对。
(一)风险评估程序
根据《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》的规定,为识别和评估与数据资源入表相关的重大错报风险,注册会计师在对被审计单位数据资源入表实施相关风险评估程序时应当了解被审计单位及其环境、适用的财务报告编制基础和相关内部控制等方面。
在实施针对入表的数据资源的风险评估程序阶段,注册会计师可以考虑实施的风险评估程序可能包括:
1.了解被审计单位的数据资源分类框架标准,即被审计单位根据相关法律法规要求或行业指引,如何基于不同的数据属性对相关数据资源进行分类,例如,业务类相关的数据资源和技术类数据资源等不同的数据资源细分;
2.了解被审计单位形成数据资源的来源、规模、应用场景或业务模式、对被审计单位创造价值的影响方式,以及与数据资源应用场景相关的宏观经济和行业领域前景等信息;
3.了解被审计单位与数据资产管理体系、组织架构、职责分工的相关管理流程。重点关注被审计单位是否已经建立与数据资源的生命周期相关的管理流程(例如,数据采集、数据传输、数据存储、数据使用、数据交易、以及数据的删除和销毁等周期重要节点),相关部门的部门职责和人员分配,以及被审计单位如何在不同周期节点对相关数据资源进行成本归集和管理、如何入账(包括何时可达到资本化时点);
4.了解被审计单位与数据资产相关的清查管理制度,例如,管理层用以记录和控制数据资产清查的指令和程序(包括清查的范围、计划、时间表和记录等),并观察管理层对制定的数据资产清查程序的执行情况;
5.基于被审计单位数据资源形成的方式(例如,外部采购、自行开发和通过其他方式取得)以及入表的数据资源类型(例如,无形资产、存货和其他资产),询问被审计单位管理层和相关财务人员,了解其对与不同数据资源相关的会计准则要求和具体会计处理方法的理解,是否与会计准则的相关要求保持一致;
6.获取被审计单位董事会就数据资源外购或研发流程相关事项形成的会议纪要,并查看相关信息;
7.针对被审计单位与形成数据资源相关的研发项目,获取管理层编制的研究开发支出按项目列示的清单,并且执行以下程序:
(1)询问管理层各项目的性质以及研发流程(包括所使用的信息系统),了解项目立项、项目预算、项目投入、项目进度、研发成果等基本情况;
(2)获取并检查管理层当期正在进行或已完成的数据资源项目研究开发支出明细表(按项目列示,包括研究阶段产生的费用和开发阶段的支出),以识别是否存在与注册会计师通过上述询问所获取的信息存在重大不一致的情况;
(3)询问并了解管理层对研发人员的界定及人工成本的归集和分配情况,以及其他费用(包括直接费用和间接费用)的性质、范围、归集和核算方法,分析记入与形成入表数据资源的开发支出金额的合理性,关注是否存在将不属于开发支出性质的支出计入开发支出的情况;
(4)对于履行定制化产品客户合同过程中发生的研发支出,了解被审计单位相应的会计政策,区分属于研发项目还是销售项目,判断其会计处理是否合理;
8.了解被审计单位与入表的数据资源相关的信息技术环境及控制体系,进一步识别运用信息技术导致的相关风险,以及被审计单位用于应对这些风险的信息技术一般控制,重点关注以下方面:
(1)询问参与和数据资产业务活动相关的被审计单位人员,了解与数据资产管理相关的信息系统部门的组织架构;(2)询问被审计单位信息系统管理人员,检查数据资产管理制度及政策,了解数据资产数据治理、信息系统管理、信息安全管理、数据资产管理业务流程相关系统控制等;
(3)询问管理层,了解被审计单位数据资产管理系统支撑情况,关键在于深入理解被审计单位如何管理、使用和交易数据资产及其信息技术基础设施,包括网络、操作系统、数据库及相关硬件和软件,包括系统名称、开发人、基本架构、主要功能、应用方式;
(4)询问管理层,了解被审计单位用于管理数据资产相关信息技术一般控制,包括:环境访问权限、程序更改、信息技术环境变化以及信息技术运行的流程。评价控制的设计是否有效,即这些控制能否应对认定层次重大错报风险或为其他控制的运行提供支持;
(5)询问被审计单位内部人员,并实施其他风险评估程序,以确定控制是否得到执行;
(6)获取并检查数据资产全流程数据安全管理机制,了解被审计单位数据资产分类分级原则、网络安全管理、数据资产泄露、损毁、丢失、篡改等预警和应急管理措施;
(7)询问并了解被审计单位使用第三方来存储、处理、维护其数据资产的情况,评估第三方服务的安全性、可靠性和合规性,并确保被审计单位与其之间的合作协议包含了足够的数据保护和隐私条款。
(二)可能存在的认定层次的重大错报风险
注册会计师在财务报表审计过程中应根据《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》的规定,基于固有风险因素,识别和评估与数据资源入表相关的重大错报风险以及涉及的相关认定。其中与确认相关的风险可能包括:
1.资产负债表中记录的数据资源是否存在(“存在”认定);
2.资产负债表中记录的数据资源的权属是否归属于被审计单位(“权利和义务”认定);
3.所有应当记录的数据资源是否均已记录(“完整性”认定)。
(三)审计应对程序
根据《中国注册会计师审计准则第1231号——针对评估的重大错报风险采取的应对措施》的规定,注册会计师应当针对评估的被审计单位与数据资源入表相关的重大错报风险,设计和实施恰当的应对措施,获取充分、适当的审计证据。注册会计师可以实施的应对措施可能包括:
1.控制测试
如果被审计单位建立了与数据资源入表相关的控制,询问管理层和被审计单位内部其他适当人员,以了解和评价相关关键控制的设计和执行,并在必要时测试相关控制的运行有效性。(详见“专家提示——数据资源入表常见问题与审计应对(3):控制设计及关键控制识别”。)
通常情况下,被审计单位需要拥有相关的数据资产管理系统,如果信息系统相关控制失效,则很可能导致入表的数据资源存在重大错报。注册会计师在审计数据资源时需要具有信息技术专业技能的项目组成员参与。以下为与数据资源入表相关的业务流程层面相关信息技术处理控制测试和信息技术一般控制测试的程序实例:
(1)信息技术一般控制测试
鉴于数据资产虚拟特性,通常情况下,信息系统审计检查并评估相关信息技术一般控制的运行有效性,例如:
①系统开发(如适用)、访问逻辑、权限管理、系统变更、系统运维、数据安全、数据备份等流程控制情况;
②重点关注是否存在过度授权,是否存在录入信息系统应用层数据或篡改信息系统后台数据库等数据造假舞弊的风险,是否发生过导致数据异常的重大事件;
③在被审计单位使用第三方服务提供商的产品或服务应用于数据资产采集、存储、开发、交易等环节时,获取并检查可用的服务型组织控制框架服务审计报告(以下简称SOC报告,包括SOC1/2报告),并了解管理层是否有适当的控制措施来审查SOC报告和适当的补充用户实体控制措施。评估SOC报告中的控制措施是否可以充分应对财务报告风险。评估SOC报告出具机构及人员的胜任能力、专业素质和独立性;
④在第三方服务组织参与业务流程且没有SOC报告的情况下,询问并检查被审计单位应对财务报告风险所需的财务报告控制措施与从服务组织获得和/或依赖的信息相关,并有效设计和运行。由于缺乏可用的SOC报告,可能需要进一步的审计程序。在某些情况下,进一步的审计程序可能包括直接联系服务组织以获取相关信息,访问服务组织,执行必要的程序以评估相关控制,或评估执行此类活动的另一审计师的工作。
(2)业务流程层面相关信息技术处理控制测试
了解和评价数据资产全生命周期支撑系统关键信息系统业务逻辑以及系统控制逻辑(设计),检查系统代码或系统配置并评价系统实际执行控制情况(执行),包括:数据采集、数据传输、数据存储、数据使用、数据交易、以及数据的删除和销毁等周期重要节点,例如:
①询问数据资产注册管理访问控制逻辑,获取并检查系统关于数据资产注册控制的程序代码或配置参数,评价系统对于数据资产注册权限控制的有效性;
②询问数据资产权属管理控制逻辑,对于被审计单位入表的来源于外部采购的数据,审计师应获取并检查系统关于外部接口控制机制及系统接口配置。对于被审计单位入表的通过内部研究开发形成的数据资源,检查信息系统对于用户权属授权电子证据的控制逻辑;
③询问并检查数据产品销售流程相关信息系统内权限控制、接口控制、逻辑控制等系统控制逻辑,例如:
A.对外提供销售或服务数据或数据产品,关注用户注册、使用、计费、入账全流程系统控制。
B.内部使用的数据产品,检查数据资源调用、使用情况,完整识别内部数据产品,包括风控模型、营销模型等,核实数据资源记录是否完整、准确。
C.对于认定为存货的数据资源,应检查信息系统数据存货跌价准备计量逻辑。
④询问并检查数据资产计量和分摊(开发阶段)信息系统配置逻辑,明确开发阶段判断时点(可计入研发支出-开发费用),检查系统内对于数据资源采购、处理、人工成本、硬件成本的计量逻辑。以及后续计量摊销/减值的计量与分摊逻辑。
2.实质性程序
(1)获取管理层编制的入表数据资源清单明细表,结合考虑被审计单位对其持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等因素,评价清单明细表中的资产(例如,无形资产、存货或其他资产),是否满足被审计单位会计准则下相关资产的定义和确认条件,以及是否与同类资产类别中的其他项目的会计处理方法保持一致;
(2)对于被审计单位入表的来源于外部采购的数据资源:
①获取被审计单位的数据资源购买协议,检查被审计单位是否已获得与数据资源相关的授权以及相关授权文件中约定的授权范围、权限等信息,确认被审计单位是否已经拥有或控制数据资源,法律上的排他性或使用权等是否清晰;
②询问被审计单位是否已经根据相关法律法规的要求或行业指引,已就其数据资产向相关数据权益登记部门进行了数据资产产权登记,并获取数据资产产权登记证明书(如有),确定被审计单位确认于财务报表中的数据资源权属的清晰性和合法合规性;
③评估与数据资源有关的经济利益是否很可能流入:如果管理层计划利用外购数据资源生产产品或提供服务进行销售的,关注被审计单位是否已开始生产或提供服务,是否存在相应市场及市场规模,是否已有合作协议或在手订单等;如果管理层计划将外购数据资源在被审计单位内部直接使用的,关注被审计单位对该数据资源的使用计划、如何给被审计单位带来收益(例如使用该数据资源可以节约成本费用开支等),这些收益是否可以与其他管理流程带来的收益合理区分,以及是否有证据所支持。
④针对被审计单位作出的关于上述经济利益实现方式的定量测算,评价定量测算的合理性,包括评价测算中使用的方法、重大假设和数据的相关性和可靠性;相关假设和数据的支持性依据是否合理,可靠和相关。
⑤如果被审计单位外购数据资源参与进一步加工整理形成新的用途的,是否参考外购研发支出的判断标准。后续的费用化或资本化的判断是否合理。
(3)对于被审计单位入表的通过内部研究开发形成的数据资源:
①参考可获得的同行业可比信息,识别与数据资源相关的研发费用资本化时点及相关会计政策与同行业的通常做法是否存在差异及其原因(如有),是否符合数据资源产品特点,评价资本化时点的合理性;
②获取研发项目相关的支持性文件,综合评估研发项目是否符合无形资产准则第九条规定的五项资本化条件,考虑管理层的判断是否有内外部证据支持、是否具有谨慎性,可以实施的审计程序包括:
A.检查与关键研发节点相关的内外部证据,评价管理层对研发项目在使用或出售在技术上具有可行性的分析合理性,例如,项目立项和可行性报告、有关部门审批文件(如有)、技术评估报告或评估意见、技术验证说明、技术成熟度和可靠性分析、董事会决议和批准的项目开发预算、新产品的销售合同、在手订单等;
B.评价管理层是否具有完成该无形资产并使用或出售的意图,例如与管理层讨论相关技术的商业应用,并通过搜索公开信息,佐证对管理层开发项目预期经济利益的分析,检查开发立项相关书面决策文件等;
C.评估数据资源产生经济利益的方式:查看与被审计单位处于同一行业中的其他公司的数据资源研发支出资本化情况,以及对是否满足“与该无形资产有关的经济利益很可能流入企业”确认条件的判断,并与被审计单位的情况对比是否存在重大不一致;获取并检查被审计单位签署的销售合同以及实际在手订单;获取被审计单位作出的经济利益实现方式的定量测算,评价定量测算的合理性,包括评价测算中使用的方法、重大假设和数据的相关性和可靠性,例如,未来期间的收入规模、收入增长率、毛利率,或方法中使用的折现率等。
D.与管理层或被审计单位研发部门讨论有关研发项目的资金来源及研发项目后续发展,并获取相关佐证信息,评价管理层对于开发项目及后续生产提供的资金以及技术资源支持计划的合理性;检查研发立项文件、研发工作计划、阶段性成果报告及评审记录等项目进度和支持性文件,评价研发支出资本化项目是否已进入开发阶段,评价数据来源、使用范围和方式是否合法合规;
E.获取研发项目清单以及按项目的费用归集明细表,选取项目并检查相关合同、发票、费用计算表等支持性文件,检查开发支出的归集范围是否恰当,以及开发支出核算的准确性。
(4)了解数据的存储流程,确定数据资源存货的物理存储位置。无论是被审计单位自有的物理设施、被审计单位所有的云存储基础设施,还是第三方云数据中心,都需要关注其物理安全、网络安全和访问控制等方面;获取并检查被审计单位数据资源清单、数据资源地图,评估被审计单位数据资源规模,明确数据资源监盘方案,采用线上数据资源盘点工具进行内部的数据监盘。
总审:逄俊、邱连强、肖中珂
执笔:肖中珂、黎苗青
意见反馈:宋振玲、李丽虹、张娟、章娜
校对:万思宁