专家说 | 美国公众公司会计监督委员会（PCAOB）检查结果总结专题

背景

近期，美国公众公司会计监督委员会（PCAOB）陆续发布了针对不同国家、不同会计师事务所的2024年度检查结果。根据检查结果，我们总结了PCAOB检查人员在近几年关注的领域以及发现的问题。

《专家说》推出一系列文章讨论PCAOB检查人员关注且与中概股公司审计相关的重点领域。本文是该系列文章的第三篇，主要介绍PCAOB在2024年针对美国四大会计师事务所（安永，普华永道，德勤和毕马威）对以下重点领域的检查问题总结:信息系统审计 (Information Technology Audit)。

重点领域及问题–信息系统审计

发现问题1——测试总体的完整性缺陷

举例说明：

在测试变更管理控制时，会计师事务所未对用于抽样测试的变更总体的完整性进行控制或实质性测试。

在测试上市公司将系统变更实施至生产环境之前的相关测试和批准控制时，会计师事务所未将某些类型的变更纳入测试总体，且未对所选样本所属项目总体的完整性进行测试，也未对任何相关控制进行测试。

对上市公司的提示：

上市公司应确保变更管理样本总体的完整性，建立并实施变更总体的完整性验证机制，确认总体涵盖无遗漏、无重复，避免因遗漏或人为筛选导致总体偏差。上市公司在进行系统变更时，应明确变更申请、审批、测试、发布等环节的信息归集流程，确保变更记录的完整性和可追溯性。

发现问题2——权限复核缺陷

举例说明：

在测试用户访问权限控制时，会计师事务所未评估控制负责人是否对用户申请生产环境权限的合理性执行了复核程序，且未检查记录留存情况。

在测试特权账号管理控制时，会计师事务所未核实管理层是否定期清理某些特权账户。

上市公司使用IT系统发起、处理和记录与收入和其相关账户（包括应计销售折扣和冲回）有关的交易。会计师事务所测试了上市公司通过管理用户访问权限对该IT系统变更进行复核的控制，但是未对控制负责人评估用户在获得访问权限时是否采取了适当措施而执行的复核程序进行评估和测试。

会计师事务所对系统的用户访问权限进行了控制测试，但是没有评估控制负责人复核访问权限的合理和适当性所执行的程序。

对上市公司的提示：

上市公司应建立权限申请的复核机制，明确控制负责人需评估权限需求与岗位职责的匹配性，并留存书面记录；对特权账户实施定期复核，清理长期未用或离职人员权限；对关键系统设置数据修改授权限制，并记录操作日志，确保权限使用合规。

发现问题3——系统变更的控制设计缺陷

举例说明：

在测试系统变更权限控制时，会计师事务所未核实是否存在用户同时拥有“代码开发”和“上线实施”权限，也未测试“配置变更权限”是否仅限于授权用户（如系统管理员），权责分配风险未被识别。

会计师事务所选择了某些IT系统变更的开发和实施能力相关职责分工控制进行测试，但是未对可更改代码的用户是否也可开发这些变更进行测试。此外，会计师事务所也未测试是否仅限授权用户可实施配置变更。

在测试系统数据访问控制时，会计师事务所未识别管理层是否限制用户未经授权修改关键数据的权限，也未测试相关控制措施的有效性。

对上市公司的提示：

上市公司应加强开发与实施人员的职责分离，严防“开发-审批-部署”由一人兼任。应建立明确的权限划分机制，确保开发、测试、审批与生产环境部署等关键环节由不同人员或角色负责，避免权限集中带来的舞弊或操作风险。

每次程序变更在部署前须经过独立代码审阅，且审阅人不得为原开发人员。所有配置变更权限应仅授予经授权的系统管理员或其他指定人员，并通过系统日志检查复核。

发现问题4——其他信息系统审计相关缺陷

举例说明：

在测试收入及递延收入系统时，会计师事务所未发现ITGC缺陷，而直接依赖系统报告验证自动化控制，导致测试结果不可靠。

在测试收入系统与总账数据传输时，会计师事务所未评估在数据传输过程中工具导出逻辑是否存在异常，以及抓取情况是否完整、准确。

在测试保险负债相关依赖IT的手动控制时，会计师事务所未测试相关控制的底层设计逻辑，无法证明相应控制设计的有效性。

对上市公司的提示：

上市公司应加强信息系统控制的验证，确保数据生成规则、接口配置等底层逻辑有效，避免直接依赖系统报告结果；对自动化工具（如数据传输、报表生成）需建立导出逻辑完整性和抓取准确性的验证机制。

结语

我们预计PCAOB的检查人员在今后检查中将持续关注上述问题，重点在以往高频出现缺陷的信息系统审计领域。我们希望上市公司能够持续提升内部控制质量，强化关键领域的复核机制，以有效应对监管要求的不断提升。

供稿人介绍

王定威是安永会计师事务所美国资本市场部合伙人，于2004年加入澳大利亚悉尼的安永会计师事务所，曾在安永悉尼及纽约所从事审计工作。王定威于2010年加入安永会计师事务所，为跨行业的上市和拟上市公司提供在融资、并购、投资、重组等交易中常见的复杂会计和财务报表问题有效解决方案，以及提供国际财务报告准则 (IFRS)、美国公认会计原则（US GAAP）、美国公众公司会计监督委员会（PCAOB）准则、美国证券交易委员会（SEC）法案和美国萨班斯法案（SOX）的审计和会计技术咨询服务。王定威是美国注册会计师协会（AICPA），香港会计师公会（HKICPA）及澳洲及新西兰特许公认会计师公会的注册会计师。

王定威

业务合伙人，专业业务部

安永会计师事务所

+852 2849 9351

Bruce.Wong@hk.ey.com

周卉是安永华明会计师事务所（特殊普通合伙）美国资本市场部高级经理，在中国和美国两地拥有超过15年的专业经验。她为跨行业的美国上市和拟上市公司提供有关美国公认会计原则（US GAAP）、国际财务报告准则（IFRS）和资本市场的解决方案，精通美国公众公司会计监督委员会（PCAOB）审计准则，美国证券交易委员会（SEC）法案和美国萨班斯法案（SOX）。周卉为美国威廉玛丽学院会计硕士，美国注册会计师。

周卉

高级经理，美国资本市场部

安永华明会计师事务所（特殊普通合伙）

+86 21 2228 3066

hui.zh.zhou@cn.ey.com

孟子佳是安永华明会计师事务所（特殊普通合伙）美国资本市场部的高级审计员，拥有丰富的美国审计从业经验。她主要为大型建筑及零售行业的客户提供专业服务，并具备破产重组相关审计项目的实战经验。她熟悉美国公认会计准则（US GAAP）、国际财务报告准则（IFRS）以及美国公众公司会计监督委员会（PCAOB）规定的审计准则。孟子佳毕业于丹佛大学，获会计学硕士学位，并于约翰斯·霍普金斯大学取得风险管理硕士学位，同时持有美国注册会计师专业资格。

孟子佳

高级审计员，美国资本市场部

安永华明会计师事务所（特殊普通合伙）

alison.meng1@cn.ey.com

本文是为提供一般信息的用途所撰写，并非旨在成为可依赖的会计、税务、法律或其他专业意见。请向您的顾问获取具体意见。

如欲转载本文，务必原文转载，不得修改，且标注转载来源为：安永中国海外投资业务部官方微信公众号。如需修改内容，需要获得安永的书面确认。