一、案例背景 

　　近年来，信息技术的飞速发展对人类社会产生了重大而深远的影响，信息化浪潮更是推动金融行业发生了翻天覆地的变化，同时催生出信息技术审计这一新生事物。信息技术审计是对公司在用的信息系统以及与其相关的信息技术内部控制、流程管理等进行的审查与评价，审计内容主要包括信息技术治理、信息技术合规与风险管理、信息技术安全管理、信息技术应急管理等。信息技术审计的范围较广，对审计人员的专业知识和技能要求较高，特别是涉及数据安全与保护，因而对于大多数公司来说审计难度较大，鉴于此，信息技术审计可以考虑采用审计外包方式进行。 

　　A公司是一家国资背景的证券公司，组织形式为股份有限公司，行业排名中等偏下。A公司治理结构比较规范，内部控制制度完善，决策机制比较健全，根据2021年证券公司分类评价结果，A公司为B类券商BBB级。A公司设立了稽核审计部，作为独立运行机构，在董事会审计委员会的指导下负责公司内部稽核审计工作。 

　　根据证券行业监管要求，A公司每年均会开展一次信息技术专项审计，由稽核审计部实施并出具审计报告，但是由于缺少专业的信息技术审计人才，A公司自行开展的信息技术审计质量一般。 

　　根据中国证券监督管理委员会2018年发布的《证券基金经营机构信息技术管理办法》，证券基金经营机构应当委托外部专业机构开展信息技术管理工作的全面审计，频率不低于每三年一次。2021年A公司信息技术专项审计恰逢3年审计周期，根据监管规定需要委托外部专业机构开展，该审计事项已列入A公司2021年度审计计划。 

　　二、审计流程 

　　（一）建立中介机构备选库

　　为做好2021年信息技术专项审计外包工作，A公司首先建立了内部审计业务外包中介机构备选库。A公司在确定纳入备选库的中介机构时，重点考虑了事务所是否具备从事证券服务业务资格，是否满足《国有金融企业选聘会计师事务所管理办法》（以下简称《办法》）中的相关资质条件，是否拥有金融行业信息技术审计工作经验，事务所综合评价排名等因素。 

　　A公司遴选了2020年度综合评价排名前20名的会计师事务所，通过中国证券监督管理委员会网站发布的从事证券服务业务会计师事务所名单，查询到上述20家会计师事务所均具备从事证券服务业务资格，在此基础上，剔除掉最近3年事务所及所属注册会计师受到处理处罚较多的会计师事务所，最终选取11家会计师事务所组建了A公司内部审计业务外包中介机构备选库。 

　　（二）选择中介机构

　　在选择中介机构的过程中，A公司稽核审计部首先对备选库中的11家事务所进行了电话沟通和初次询价，由于四大会计师事务所的报价普遍较高，在二次询价时A公司重点同其余7家本土会计师事务所进行了沟通，沟通事项主要包括A公司基本情况介绍、信息技术审计范围与内容、审计时间、审计费用、会计师事务派驻的审计小组成员工作经验等情况。 

　　7家事务所的报价普遍没有达到《办法》中规定的招标起点，同时也没有达到A公司招标管理办法中的招标起点，经报请A公司招标管理委员会同意，A公司决定采取竞争性谈判方式选聘会计师事务所。 

　　根据前两轮询价了解的审计意向及相关信息，结合本次审计项目的技术、服务、价格等事项，A公司通过竞争性谈判方式选择了3家报价比较合理、信息技术审计经验相对丰富的会计师事务所。按照《办法》中的决策程序，由审计委员会在3家备选会计师事务所中选定1家，并提交议案给A公司董事会，董事会审议通过，完成了会计师事务所的选定。 

　　（三）签订相关协议

　　在审计业务开展前，A公司同委托外包事务所签订了《审计业务约定书》和《保密协议》。《审计业务约定书》和《保密协议》的相关模板由事务所提供，但在签订之前，上述协议已经A公司法律事务部进行文书审核并对个别条款进行了修改。由于信息技术审计会接触到A公司信息系统中的敏感信息资料，特别是一些具有商业价值的客户资料、证券交易数据等信息，因而除了签订《审计业务约定书》外，A公司同委托外包事务所特别签订了《保密协议》，明确了事务所在审计过程中所获取的一切数据资料，无论何种形式或存放于何种载体，均具有保密性，不得向第三方公开和披露。此外考虑到会计师事务所人员流动性比较大，A公司提出凡是参与此次审计的审计人员均应以个人名义签署《保密承诺书》，A公司法律事务部提供了《保密承诺书》模板。 

　　（四）审计项目质量控制

　　审计项目的具体实施由事务所委派的审计小组负责，但是为了保证审计的效率和效果能够达到既定目标，A公司采取多种方式对本次审计进行了质量控制。首先，在审计项目开展前，A公司稽核审计部和委托事务所共同研究制定了本次审计的审计工作方案，明确了审计范围、审计进度要求、项目组成员工作分工等事项；其次，在审计实施过程中，A公司委派有信息技术专业背景的一位审计人员进入审计小组，全程参与并协调、监督审计实施过程；再次，鉴于整个项目的审计时间周期比较长，A公司提出审计小组需以审计周报的形式对每周工作完成情况进行总结，同时对下一周工作进行计划；最后，在整个项目实施过程中，A公司稽核审计部通过不定期抽查方式对审计工作底稿中个别事项的审计完成情况、审计证据是否相关和充分等进行了必要的检查，针对检查发现的问题，及时同审计小组进行沟通与反馈。 

　　（五）编制与复核审计报告

　　审计报告的编制主要由事务所审计小组负责，审计报告编制完成后，首先按照事务所内部工作流程履行了质量控制程序。提交A公司后，又按照A公司审计报告复核流程再次进行了质量控制。A公司在复核审计报告时，除了关注审计报告的格式、内容、文本等要素外，还对审计报告中的重要描述事项、特别是审计提出的问题进行了研究与论证，对审计工作底稿及所对应的审计证据的关联性和充分性进行了复核与确认。经过双重复核后，A公司按照内部审计工作流程，由稽核审计部将审计报告提交给A公司信息技术部征求意见，此后提交给A公司管理层审阅。 

　　（六）审计底稿归档

　　审计报告完成后，在最终结清审计费用前，A公司督促事务所按照双方的审计业务约定，分类整理完成相应的审计工作底稿，汇总后一并进行了移交，除移交电子版审计工作底稿外，事务所还同时移交了部分纸质审计工作底稿。虽然此次信息技术审计是外包审计项目，但是A公司稽核审计部仍然按照公司审计档案管理办法对这些审计工作底稿进行了归档。 

　　（七）审计发现问题的整改

　　审计报告编制完成后，委托双方的审计业务约定基本达成，审计委托事项终结。针对审计报告中发现并提出的审计问题，为做好后续整改，A公司稽核审计部向相关部门下达了审计整改意见通知书，同时将整改问题列入A公司《审计发现问题整改台账》，由A公司稽核审计部跟踪并检查监督后续的整改落实情况。 

　　（八）评价中介机构工作质量

　　信息技术审计外包项目结束后，A公司组织相关人员对委托中介机构的审计工作质量进行了评价。评价采取列表打分的方式，评价指标共有6项，每项指标赋予不同的权重，具体评价指标包括：审计业务约定履行情况（权重20%）、审计项目质量（权重20%）、审计人员专业胜任能力（权重15%）、审计工作效率（权重15%）、归档资料完整性（权重15%）、信息保密（权重15%）。总体评价结果分为优秀、良好、一般、不合格4个等级，综合得分对应优秀、良好级别的中介机构日后可以续聘同类项目的审计外包业务，综合得分对应一般、不合格的将不得以续聘方式进行同类项目的审计外包。根据评价得分情况，A公司稽核审计部撰写了审计工作质量评价报告，作为A公司以后年度选择和确定委托中介机构的重要参考，报告同时提交给本次审计的委托中介机构。 

　　三、案例启示 

　　在A公司信息技术审计外包案例中，有以下四个方面值得借鉴：一是签署双重保密协议，即A公司同事务所签订保密协议的同时要求参与项目的审计人员签署保密承诺，保密责任主体既包括会计师事务所又包括具体审计人员，不仅可以避免公司敏感信息及商业信息的外泄，而且便于责任追究；二是对审计外包进行全过程的质量控制，A公司通过委派公司内审人员进组，全程对审计工作进行跟踪与反馈，确保了质量控制措施在整个审计项目实施过程中的贯彻与执行；三是针对中介机构的评价管理，有效提升了委托中介机构的审计工作质量，同时为A公司今后开展审计外包积累了相应的工作经验；四是将审计整改事项列入A公司《审计发现问题整改台账》，由稽核审计部切实承担起审计整改的监督责任，有效避免了审计外包发现问题整改不到位以及缺少后续监督的弊端。 

　　四、审计建议 

　　当前对于内部审计人员配备不足、内部审计项目较多的公司来说，审计外包已逐渐成为一种趋势。为规范审计外包的管理，现对委托外包公司提出如下工作建议：一是做好审计外包的制度建设，让审计外包有章可循；二是细化审计外包的工作流程，确保各项工作有效衔接；三是明确审计外包各环节的具体负责人，避免外包管理流于形式；四是做好中介机构的遴选，选择合适并且专业的中介机构，让审计外包实现价值最大化。总之，只有优化、细化审计外包各环节的管控，才能促进公司降本增效。