北京注册会计师协会专业技术委员会专家提示——数据资源入表常见问题与审计应对(3):控制设计及关键控制识别(京会协专〔2024〕7号)
发文信息
- 发文机关: 北京注册会计师协会
- 发布日期: 2024-12-11
- 生效日期: 2024-12-11
- 时效性: 现行有效
- 文号: 京会协专〔2024〕7号
- 原文链接: 北京注协
本提示仅供会计师事务所及相关从业人员在执业时参考,不能替代相关法律法规、注册会计师执业准则以及注册会计师职业判断。会计师事务所及相关从业人员在执业中需结合项目实际情况以及注册会计师的职业判断确定,不能直接照搬照抄。
根据《企业数据资源相关会计处理暂行规定》(以下简称《暂行规定》),数据资产目前主要分为两大类:数据资源无形资产、数据资源存货。数据资源入表,从会计准则的角度,则是数据资源计入财务报表的过程,包括相关会计要素的确认、计量、列报和披露等环节。
数据资源入表审计实务,主要审计风险是相关资产高估的风险,对应的审计认定包括权利与义务、存在性和计价分摊准确性等。具体而言,包括确认了不满足资产确认条件的数据资源的高估风险、资本化与费用化时点划分不准确导致的成本高估风险、相关成本归集与结转方法不准确导致的计价高估风险、期末资产减值计提不足的高估风险等。
鉴于数据资源入表会计审计实务具有综合性、复杂性、创新性等特点,为帮助会计师事务所提供高质量的审计业务,规范财务报表审计中与数据资源入表相关的事项,有效防范业务风险和提升执业能力,北京注协专业技术委员会组织专家编写数据资源入表常见问题与审计应对系列提示:准则适用与确认、计量与列报、控制设计及关键控制识别等。本提示为针对数据资源入表之控制设计及关键控制识别常见问题与审计应对的专家提示,供大家在执业中参考。
一、了解被审计单位数据资源入表的业务流程及识别容易出错领域
根据《暂行规定》,被审计单位应当根据数据资源的持有目的、形成方式、业务模式,以及与数据资源有关的经济利益的预期消耗方式等,按照《企业会计准则第6号——无形资产》(“无形资产准则”)和《企业会计准则第1号——存货》(“存货准则”),对数据资源入表进行会计确认、计量和报告。
根据《企业内部控制基本规范》第三条第二款“……内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”《企业内部控制应用指引第8号——资产管理》,被审计单位应在已有无形资产和存货的内部控制基础之上,针对无形资产或存货中的数据资产设计和实施有效控制。
审计实务中,首先应了解被审计单位是否建立了数据资源的管理体系、组织架构、职责分工等相关管理流程。
其次,针对数据资源从形成到入表的相关业务流程(以下示例为6个阶段),重点了解和测试各主要业务流程的容易出错领域中的相关控制的设计和运行情况:
(一)原始数据的获取与加工:被审计单位将开发、外采、运营、授权等方式所获取的原始数据,经过一定的加工形成有价值的数据资源。
此阶段的风险点在获取或控制的原始数据不合法、不合规;需要对数据来源进行合规性审查,确保数据来源合法、合规。
(二)数据资源的形成与管理:被审计单位将所形成的数据资源,通过一系列管理手段,以确保数据资源的正常使用和运行。
此阶段的风险点在数据资源的无法正常使用和运行,存在安全隐患如数据完整性缺陷。需要建立数据资源管理体系,明确数据资源的管理责任;实施数据资源的安全管理措施,如数据加密、访问控制等;定期对数据资源进行维护和更新,确保数据资源的可用性。
(三)数据资产的识别、确认与计量:被审计单位对已形成的数据资源进行识别,以判断是否满足数据资产的确认条件,满足确认条件的,按适用的企业会计准则进行计量,在被审计单位财务报表中列报为数据资产。
此阶段的风险点在数据资产的识别、确认和计量违反企业会计准则的要求。需要建立数据资产识别和确认的标准和流程,对数据资产的成本进行归集和计量,定期对数据资产进行评估,确保其价值的合理性。
(四)数据资产的使用:被审计单位使用数据资产的常见场景包括对外出售和内部使用,需要按照适用的企业会计准则的规定进行确认和计量,并在财务报表中恰当列报。
此阶段的风险点在数据资产未按照适用的企业会计准则对其使用进行确认和计量,并在财务报表中恰当列报。需要建立数据资产使用的业务流程,对数据资产使用的成本、收入(若有)进行确认和计量,确保财务报表的准确性。
(五)数据资产的评估与处理:被审计单位对已入表的数据资产按照适用的企业会计准则的规定做跌价或减值,当可变现净值或可收回金额低于数据资产账面价值时,则考虑进行相应处理。包括及时对数据资源进行更新迭代、处置数据资产、或进行减值计提的账务处理。
此阶段的风险点在已入表的数据资产未按照适用的企业会计准则进行跌价或减值测试,并及时进行相应的处理。需要建立数据资产跌价或减值测试流程,确保财务报表的真实性。对于需要处置的数据资产,建立处置流程,确保资产合规处置。
(六)数据资源的列示与披露:针对暂行规定适用范围内的数据资源,被审计单位需要对于一个会计周期内的该等数据资源情况进行相应列示与披露,包括数据资产的变动情况和会计政策等。
此阶段的风险点未能恰当列示和披露数据资源在一个会计周期内的变动情况和会计政策等信息。需要建立数据资源披露的政策和流程,确保披露的合规性;定期对数据资源的变动情况进行记录和分析,确保披露的及时性;在财务报表中对数据资产的相关信息进行恰当的列示,在附注中对数据资源做出完整披露。
二、识别应对重大错报风险的控制活动
注册会计师在财务报表审计过程中应根据《中国注册会计师审计准则第1211号——重大错报风险的识别和评估》的规定,基于固有风险因素,识别和评估被审计单位与数据资源资产相关的重大错报风险以及涉及的相关认定。在此基础上,结合对被审计单位与数据资源相关政策和流程的了解,识别上述政策和流程中可以用于应对与确认、计量和列报相关的重大错报风险的控制活动包括关键控制活动。
根据《企业内部控制审计工作底稿编制指南》(2011),注册会计师在选取拟测试的控制时,通常不会选取整个流程中的所有控制,而是选择关键控制,即能够为一个或多个重要账户或列报的一个或多个相关认定提供最有效力证据且测试最有效率的控制。每个重要账户、认定和重大错报风险至少应当有一个对应的关键控制。在选择关键控制时,注册会计师需要考虑:
(1)哪些控制是不可缺少的?
(2)哪些控制直接针对相关认定?
(3)哪些控制可以应对错误或舞弊导致的重大错报风险?
(4)控制的运行是否足够精确?
选取关键控制需要注册会计师作出职业判断。注册会计师无须测试那些即使有缺陷也合理预期不会导致财务报表重大错报的控制。
在数据资源入表过程中,同一认定的重大错报风险,可能来源于数据资源入表的不同阶段,同一阶段可能会产生不同认定的重大错报风险,需要注册会计师在实务中,基于对被审计单位数据资源入表流程的了解,从中识别出可能产生重大错报风险的领域。二者之间可能的对应关系举例如下:
序号 | 重大错报风险 | 流程名称 |
---|---|---|
1 | 资产负债表中记录的数据资源是否存在 (“存在”认定) | 原始数据的获取与加工、数据资源的形成与管理、数据资产的识别、确认与计量 |
2 | 资产负债表中记录的数据资源的权属是否 归属于被审计单位(“权利和义务”认定) | 原始数据的获取与加工、数据资源的形成与管理、数据资产的识别、确认与计量 |
3 | 所有应当记录的数据资源是否均已记录 (“完整性”认定) | 原始数据的获取与加工、数据资源的形成与管理、数据资产的识别、确认与计量 |
4 | 由于资本化条件判断不恰当或资本化时点判断不恰当导致的无形资产不存在、不完整或者记录的金额不准确的风险 | 数据资源的识别、确认与计量 |
5 | 由于成本的归集范围不恰当、分摊方法不适当导致的无形资产或存货记录的金额不准确的风险 | 数据资源的识别、确认与计量 |
6 | 由于对数据资产的预期使用年限估计不恰当或者摊销方法选择不恰当导致无形资产记录的金额不准确、摊销费用发生额不准确的风险 | 数据资源的评估与处理 |
7 | 由于对数据资产的减值测试执行不及时、适用的假设或方法不适当导致无形资产或存货记录的金额不准确的风险 | 数据资源的评估与处理 |
8 | 由于未能及时识别并终止确认已经失效的数据资产导致的无形资产或者存货资产负债表日账面价值不准确的风险 | 数据资源的评估与处理 |
9 | 在企业合并过程中产生的数据资产未能准确识别并计量导致的无形资产或者存货资产负债表日账面价值不准确的风险 | 数据资源的交易 |
10 | 对数据资产相关交易的抵消不准确、数据资产分类不适当、信息不完整等导致与无形资产或存货相关的列报与披露被遗漏、不完整或不准确 | 数据资源的列示与披露 |
用于应对这些错报或潜在错报的控制活动,以及根据上述底稿编制指南,识别出可以应对上述重大错报风险的关键控制活动,可能包括:
(一)重大错报风险:资产负债表中记录的数据资源是否存在(“存在”认定)
1.控制目标:确保资产负债表中的数据资源真实存在,防止虚列资产。
2.控制活动:
(1)对存有数据资源的信息管理系统,测试该系统的控制设计和实施,具体可以参考“专家提示——数据资源入表常见问题与审计应对(2):计量与列报”;对数据资源的存储介质进行定期检查,确保数据的物理安全。【关键控制活动】
(2)建立数据资源访问日志,监控数据资源的访问和使用情况。
(3)建立数据资源的变更记录,追踪数据资源的创建、修改和删除。【关键控制活动】
(4)建立数据资源相关的清查管理制度,例如,管理层用以记录和控制数据资源清查的指令和程序(包括清查的范围、计划、时间表和记录等),定期对数据库文件进行访问,检查其操作日志,对数据的数量和质量进行检查。【关键控制活动】
(二)重大错报风险:资产负债表中记录的数据资源的权属是否归属于被审计单位(“权利和义务”认定)
1.控制目标:确保数据资源的权属清晰,归属于被审计单位,避免权属纠纷。
2.控制活动:
(1)建立数据资源权属登记制度,记录所有数据资源的权属信息。
(2)审查和更新数据资源的法律文件,如版权、许可协议和转让文件。【关键控制活动】
(3)对数据资源的获取和使用进行合规性审查,确保权属合法性,包括根据原始数据取得和加工方式,分别制定确定其权属的政策和流程。例如,针对外购原始数据,要求:了解供应商资质;取得供应商数据资源权属证明,如个人数据有自然人授权允许供应商持有、加工、使用;与供应商签约,明确数据权属、加工、使用等的权责、质量保证;由采购、财务、业务部门共同对外购原始数据进行验收。【关键控制活动】
(4)定期进行权属争议的审查和解决,确保权属的准确性。
(5)建立数据资源使用授权机制,明确数据使用权限。
(三)重大错报风险:所有应当记录的数据资源是否均已记录(“完整性”认定)
1.控制目标:确保所有应记录的数据资源均被完整记录,
防止遗漏重要的数据资产。
2.控制活动:
(1)建立数据资源的识别、记录、变更控制的流程,确保所有获取的数据资源及其变更均被记录。
(2)实施数据资源的定期盘点,检查是否有未记录的数据资源。【关键控制活动】
(3)建立数据资源的备份和恢复机制,防止数据丢失。
(四)重大错报风险:由于资本化条件判断不恰当或资本化时点判断不恰当导致的无形资产不存在、不完整或者记录的金额不准确的风险
1.控制目标:确保数据资源资本化的准确性和时点的正确性。
2.控制活动:
(1)制定数据资源支出资本化条件的政策和流程,并进行定期复核。
(2)对符合资本化条件的数据资源进行评估并定期复核,确保其持续符合资本化标准。【关键控制活动】
(3)建立资本化决策的审批流程,确保所有资本化决策均经过适当的审批。
(五)重大错报风险:由于成本的归集范围不恰当、分摊方法不适当导致的无形资产或存货记录的金额不准确的风险
1.控制目标:确保数据资源成本的归集和分摊的准确性。
2.控制活动:
(1)建立成本归集和分摊的政策和流程,定期复核(至少每年一次),包括根据数据资产的类型,制定每类数据资产的成本明细表、归集和分配标准。
(2)对数据资源的成本归集和分摊进行审批,对异常情形进行分析,及时发现和处理成本归集和分摊中的问题,确保成本的准确性。【关键控制活动】
(六)重大错报风险:由于对数据资产的预期使用年限估计不恰当或者摊销方法选择不恰当导致无形资产记录的金额不准确、摊销费用发生额不准确的风险
1.控制目标:确保数据资产的摊销方法和使用年限的适当性。
2.控制活动:
(1)建立数据资产摊销方法选择的标准,并进行定期复核。
(2)定期评估数据资产的使用年限,并根据评估结果调整摊销年限和金额。【关键控制活动】
(七)重大错报风险:由于对数据资产的减值测试执行不及时、适用的假设或方法不适当导致无形资产或存货记录的金额不准确的风险
1.控制目标:确保数据资产减值测试的及时性和准确性。
2.控制活动:
(1)建立数据资产减值测试的标准流程并定期复核,包括测试用的方法、假设、参数。
(2)定期执行数据资产(如使用寿命不确定)的减值测试并复核。【关键控制活动】
(3)对减值迹象进行持续监控,确保及时发现并处理减值问题。
(八)重大错报风险:由于未能及时识别并终止确认已经失效的数据资产导致的无形资产或者存货资产负债表日账面价值不准确的风险
1.控制目标:确保及时识别并终止确认失效的数据资产。
2.控制活动:
(1)建立数据资产有效性监控机制,及时发现失效的数据资产。
(2)对已失效的数据资产建立终止确认的流程。
(3)定期对数据资产的有效性进行评估,确保资产负债表的准确性。【关键控制活动】
(九)重大错报风险:在企业合并过程中应确认的数据资产未能准确识别并计量,导致的无形资产或者存货资产负债表日账面价值不准确的风险
1.控制目标:确保企业合并中产生的数据资产被准确识别和计量。
2.控制活动:
(1)在企业合并过程中,建立数据资产识别和计量的标准流程。
(2)对企业合并过程中产生的数据资产进行独立评估,确保识别和计量的准确性。【关键控制活动】
(十)重大错报风险:对数据资产相关交易的抵消不准确、数据资产分类不适当、信息不完整等导致与无形资产或存货相关的列报与披露被遗漏、不完整或不准确
1.控制目标:确保数据资产相关交易的抵消、分类和信息披露的准确性。
2.控制活动:
(1)建立数据资产交易的分类、抵消、披露的政策和流程,并定期复核。
(2)对数据资产的分类、抵消、披露进行复核。【关键控制活动】
(3)建立数据资产分类、披露、披露的备查记录,记录过程和结果。
三、在数据资源入表审计中利用专家工作
鉴于数据在存储、加工、应用等过程和应用场景中的复杂性;数据资源存在多种特征,比如无形性、权属的复杂性、时效性、依附性、价值易变性、非标准性、非均质化、可复制性、非竞争性与弱排他性等等;在识别、应对数据资产确认和计量的重大错报风险过程中带来了较多的重大不确定性、涉及到大量的职业判断,注册会计师在审计数据资产时很可能需要利用不同领域专家的工作。以下是一些可能需要利用律师、IT专家、估值专家等的场景。
(一)数据资源确权
法律专家在数据资源确权方面提供专业意见,而IT专家则可以协助识别和验证数据的来源。他们可以帮助注册会计师理解数据的采集、存储和处理过程中的法律和技术问题,确保数据资产的合法性和合规性。
(二)数据资源定义
IT专家可以协助定义数据资源的边界和分类,包括识别哪些数据是关键的、敏感的或具有商业价值的。他们还可以帮助注册会计师理解数据的格式、结构和质量。
(三)应用场景确定
在确定数据资源的应用场景时,IT专家可以提供关于数据如何在被审计单位用于决策支持、客户洞察、产品开发等方面的见解。他们还可以评估数据在不同业务流程中的使用效率和效果,帮助注册会计师评估数据资源的经济价值。
(四)数据安全和隐私保护
在数据安全和隐私保护方面,IT专家可以评估被审计单位的数据保护措施是否充分,包括数据加密、访问控制和监控系统。他们还可以帮助注册会计师识别潜在的数据泄露风险,并提出改进建议。
(五)数据治理和内部控制
IT专家可以评估被审计单位的数据治理框架和内部控制机制是否有效,包括数据质量控制、数据生命周期管理和数据合规性监控,帮助注册会计师识别和测试关键控制点,为应对数据资产在准确性和完整性方面的重大错报风险提供必要的控制环境。
(六)数据资产的估值和减值测试
在进行数据资产的估值和减值测试时,IT专家、估值专家可以提供关于数据资产市场价值和使用价值的专业意见。他们可以利用市场数据和行业基准来帮助注册会计师评估数据资产的价值。
如果注册会计师在审计中利用了专家工作,应当遵循《中国注册会计师审计准则第1421号——利用专家的工作》的要求。这包括评价专家的胜任能力、专业素质和客观性,了解专家的专长领域,与专家就专家工作的性质、范围、目标、各自的责任等达成一致意见,以及评价专家工作的恰当性等。
总审:逄俊、邱连强、肖中珂
执笔:芮柏松、张娇、庄峻晖
意见反馈:宋振玲、蒋玉芳、张娟、章娜
校对:万思宁