电商模式下信息系统核查要点分析

harry

引言

在数据化时代，平台经济快速发展，交易借助网络平台进行，发货、快递物流、顾客确认收货等整个交易流程的信息均在系统中记录，并以电子化形式存在。因此，电商模式下的会计环境与传统交易相比出现了显著变化，财务报告真实性、准确性和完整性很大程度上取决于信息系统的可靠性和内部控制的有效运行。本文以《首发业务若干问题解答》问题53的相关要求为基础，总结监管机构审核关注的重点方面，进一步提出信息系统审计和大数据分析的要点和方法，以提高审计效率、降低审计风险。

一、IPO对电商企业信息系统核查的要求

证监会《首发业务若干问题解答》问题53要求中介机构对通过互联网取得的营业收入占比或毛利占比超过30%的电商类企业的信息系统可靠性进行专项核查并发表明确核查意见，并分别对电商、互联网信息服务、互联网营销企业以及日常经营活动高度依赖信息系统企业的核查重点进行了规范。

根据监管机构针对问题53的问询，我们注意到，其审核重点主要包括信息系统控制的合理性和有效性；线上收入的真实性、可靠性和完整性；重要运营数据与财务数据的匹配性以及信息系统核查的充分性等四个方面内容。具体如下：


二、典型案例分享

【嘉曼服饰】发行人及保荐机构回复意见

嘉曼服饰 第一轮问询

“30. 关于IT审计
请发行人补充披露：

（1）公司信息技术系统对收入结算数据、采购结算数据、存货管理、电商销售、门店销售、现金交易及资金管理、物流及订单、加盟店的主要控制，相应内部控制、对账机制是否有效。

（2）开展各项业务的信息系统建设情况，与客户、供应商、门店系统（含加盟店）的对接情况、结算数据来源及形式，报告期内信息系统的内部控制是否健全有效，重要运营数据与财务数据是否匹配，运营数据的完整性和准确性等等。

（3）补充披露是否存在单个客户、单门店、某个期间异常大额购买或充值、异常重复购买或充值、运营数据和销售数据大额增长的情形。
请保荐人、发行人律师、申报会计师发表明确意见。请保荐人、申报会计师说明根据《首发业务若干问题解答》问题53的相关规定对发行人的信息系统进行核查的具体情况，并提供专项核查报告。”

嘉曼服饰 第二轮问询

“14. 关于 IT 审计报告

请保荐人进一步完善 IT审计报告的相关内容，具体包括：发行人信息系统一般控制设计及执行情况、信息系统应用控制执行情况、系统收款或交易金额与第三方支付渠道交易金额的一致性、销售金额集中度分析、销售情况地域分析、销售金额分析、用户行为特征分析、销售订单特征分析、买家行为分析等。”

三、电商模式下信息系统审计要点分析

结合审核规定和案例问询及回复的总结，信息系统核查主要包括信息系统一般控制核查、信息系统应用控制测试以及信息系统大数据分析核查等三个方面内容。具体如下：

1.信息系统一般控制（ITGC）

一般控制是从总体上确保企业信息系统控制的有效性，保证计算机系统的正确使用和安全等。会计师在审计时应在了解发行人IT组织机构和制度建设基础上，重点测试及核查信息系统在变更、访问和运维等关键内控流程的有效性。具体核查内容如下：


具体可采用的核查方法：
（1）访谈。访谈管理层以及信息技术部相关人员，以了解IT组织机构、制度建设及相关业务流程。

（2）执行穿行测试。追踪交易在信息系统中的处理过程，在正常运行条件下，将初始数据输入系统流程，穿越全流程和所有关键环节，把运行结果与设计要求对比。

（3）检查。获取并检查上述关键内控流程的相关记录。系统变更列表、每次变更的授权、变更上线的审批记录、管理人员对程序变更的监测记录、程序变更管理流程职责分离情况等；系统的安全设置和密码策略，新增用户账号的审批记录，离职员工用户账号的删除，持有特权账号的人员，公司管理人员对账号权限以及特权账号活动的审阅记录和对数据的修改和审批记录；系统备份记录，系统备份介质的保存方式，系统备份的恢复测试记录和公司管理人员对备份的审阅记录。

2.信息系统应用控制（ITAC）
信息系统应用控制主要是与业务管理政策配合，对程序和输入、处理和输出数据进行适当的控制。基于发行人IT系统一般层面控制的有效性，会计师在审计时还应进一步对各系统进行功能性测试，检查各业务系统是否可以实现设计时的功能，业务及财务数据在各个系统的流转过程中是否真实、准确和完整。
信息系统应用控制的主要核查方法为数据一致性测试，即对比分析重要运营数据与财务系统数据、内部数据与第三方数据之间的差异。包括但不限于以下方面：

（1）系统订单记录数据与财务系统订单记录数据；

（2）商品订单量与第三方物流单量；

（3）推广平台结算金额与财务系统中金额；

（4）用户代币消费金额和余额检验；

（5）产品采购成本和财务系统数据；

（6）业务数据记录情况以及系统间数据流转时记录情况。

通过上述信息系统一般控制和应用控制的核查，审计师基本可以对发行人信息系统控制的可靠性做出基本判断。二者的关系（如下图）可理解为：①良好的信息系统一般控制可以为应用控制的有效性提供有力保障；②由信息系统提供的自动控制优于手工控制；③某些应用控制的有效性取决于一般控制的有效性。

然而，针对电商企业，以上信息系统控制测试远远不够，还需要在整体业务系统评估有效的前提上，验证平台用户的真实性、业务数据的合理性以及业务成长性等。还需要对大数据进行核查分析。

3.大数据核查分析
大数据分析的核心目标是分析发行人运营系统中业务和财务数据的真实姓、准确性和完整性，对主要业务环节的舞弊造假风险和行为进行筛查，验证公司的业绩真实性。实务中，通常采用以下步骤进行数据核查分析：（1）结合企业运营特点设计数据验证方案；（2）了解业务、系统、数据架构；（3）核查数据质量及可用性；（4）对原始数据进行清洗；（5）指标分析及舞弊验证；（6）差异分析。详见下图。


伴随着互联网企业的产业升级，数据造假（如刷单）行为也从传统的后台伪造数据升级为线上线下相结合的全链条伪造数据。例如：①后台伪造用户账号及交易数据，以达到虚增运营指标的目的；②机器人模拟正常用户，进行登录、下订单以提升活跃度；③雇佣网络水军刷单；④利用爬虫技术批量处理评价内容等。
针对上述全链条数据造假行为，建议会计师在审计时可采取如下方法进行核查：

（1）根据各类细分指标进行单点数据趋势及交叉数据趋势分析。如商品交易总额（GMV）、月活跃用户（MAU）、日活跃用户（DAU）等。

（2）对订单数据集中度、异常购买情况、物流发货情况、订单备注、资金流水、电商平台走访以及主管部门合规证明等方面进行核查和测试。具体详见下表。