IPO案例：IT系统审计

Pincent

关于 IT 系统审计

根据申报材料，发行人存在 CRM 系统、ERP 系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云等信息系统。其中在“信息安全管理和数据访问管理”“信息系统开发、测试和维护”方面，中介机构认为“发现部分控制问题，其影响程度相对较低”。此外，发行人部分设备可能存在已出库并激活的设备退回重置，有部分设备的激活数据已被清除的情况。

请发行人说明：（1）在日常经营、管理、用户使用方面涉及的 IT 系统及其主要作用，上述系统是否信息共享或进行交叉数据核对；上述系统开发方式，是否存在付费使用的情况；（2）报告期内进行 IT 审计的具体情形，包括但不限于审计机构、业务背景、审计的主要内容和审计结论；（3）请说明发行人所使用信息系统的数据安全性、准确性、是否可篡改，以及发行人采取的针对性措施。

请保荐机构及申报会计师说明：（1）对发行人相关 IT 系统核查情况，包括核查方式及过程、是否存在数据删除、篡改、修改、权限异常或其他异常等情况；（2）IT 系统核查中发行的主要控制问题，及其影响情况；（3）结合 IT审计内容，对发行人销售、售后及影响财务报表的业务系统是否有效，业务数据是否存在异常等，发表结论性意见。

一、发行人说明

（一）在日常经营、管理、用户使用方面涉及的 IT 系统及其主要作用，上述系统是否信息共享或进行交叉数据核对；上述系统开发方式，是否存在付费使用的情况

1、在日常经营、管理、用户使用方面涉及的 IT 系统及其主要作用



2、上述系统的信息共享及进行交叉数据核对情况

（1）销售流程：

销售订单由经销商在 CRM 系统中创建，经财务审核通过后，CRM 系统的销售订单信息（包括采购单号、物料编码、物料名称、销售数量、含税单价、联系人姓名和联系人电话等信息）传输至 ERP 系统，且经测试验证传输具有准确性和完整性；销售订单传输至 ERP 系统后进入由业务人员审核的阶段，当业务人员审核通过并进行订单配送时，ERP 系统销售订单信息（包括采购单号、联系人姓名、联系人电话、物料名称和物料数量）传输至仓储系统，且经测试验证传输具有准确性和完整性；当经销商完成收货确认后，财务人员在 ERP 系统中审核并生成应收单，ERP 系统能够根据当月生成的应收单批量确认收入。

（2）售后流程：

终端用户购买续保服务，CRM 系统自动生成延保订单并传输至 ERP 系统，财务人员在 ERP 系统审核通过订单后自动生成延保应收单，由 ERP 系统自动下推订单信息生成发票，并根据发票信息生成收入凭证；维修流程由用户通过保障系统用户端（极飞微信小程序）发起，经经销商接单后，保障系统自动将维修订单信息及经销商选择的维修物料信息同步至 ERP 系统，ERP 系统月末批量生成收入和成本凭证。

（3）其他：

追溯系统主要用于记录每一个设备及其 3-4 级主要零件的唯一编码；在用户使用设备的过程中，用户设置的作业任务记录通过植保运营系统进行记录，而无人机具体飞行数据通过极飞云系统进行记录。

3、上述系统开发方式，不存在付费使用的情况

公司于 2016 年向金蝶软件采购 ERP 系统。公司的 ERP 系统为买断并私有部署，仅当有重大变更等需求时，才会另行付费购买金蝶团队或三方认证服务商的支持服务，在报告期间公司 ERP 系统未发生重大变更。上述除 ERP 系统外，均为公司自研系统。

（二）报告期内进行 IT 审计的具体情形，包括但不限于审计机构、业务背景、审计的主要内容和审计结论；

1、审计机构、业务背景

发行人聘请申报会计师（信息系统审计专家团队提供专业支持）为本次发行上市的 IT 审计机构，IT 审计机构按照中国证券监督管理委员会于 2020 年 6月 10 日发布的《首发业务若干问题解答》第 53 条的要求，对发行人 2018 年至2020 年期间以及 2021 年 1-6 月的 CRM 系统、ERP 系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云等主要系统的可靠性进行专项检查，并出具《广州极飞科技股份有限公司信息系统核查报告》。

2、 审计范围、方法及主要内容

（1）审计范围
本次审计的主要信息系统包括 CRM 系统、ERP 系统、仓储系统、追溯系统、植保运营系统（含微信小程序端和 APP 端）、保障系统、极飞云。

（2）审计方法
根据信息系统的测试内容不同，IT 审计采用了不同的测试方法，包括：现场访谈、观察、文档查阅及系统查询、重新执行、分析程序等。其中，对某一个控制点的测试可能需要结合各种不同的测试方法。具体如下：

①现场访谈：现场与发行人相关人员进行面对面交流，了解信息科技相关检查领域的管理流程、风险及控制现状；

②观察：观察发行人控制的执行情况；

③文档查阅及系统查询：查阅发行人信息科技管理相关的制度、流程、管理策略等文档，验证相关检查领域控制的设计有效性。检查信息科技管理机制下相关领域和管理流程的审批记录、审阅记录、测试记录、配置信息等，测试相关控制的执行有效性。现场查看并抽取系统账号、权限、参数、日志等，测试相关控制的执行有效性；

④重新执行：重新执行程序，验证不同情况下经营数据形成的合理性；

⑤分析程序：对业务数据进行分析，调查异常变动以及重要比率或趋势与相关信息的差异，以发现存在的不合理因素；

⑥细节测试：针对业财数据分析结果，执行进一步的审计和核查程序，包括查看相关销售合同、物流单据、发票等。

（3）审计内容
本次审计内容包括三部分：信息系统一般控制、信息系统应用控制和计算机辅助程序测试与数据分析，具体内容如下：

① 信息系统一般性控制（ITGC）
对信息科技治理、信息安全管理和系统及数据访问管理、信息系统开发、测试和维护、信息科技运维管理等四个信息系统的企业内部控制管理领域，细分多个控制点，以评价信息系统一般性控制设计和运行的有效性；

②信息系统应用控制（ITAC）
信息系统应用控制检查，系对业务相关系统的功能进行测试，以验证系统数据传递过程是否有效、连续和完整。基于对发行人业务模块运营模式的深入理解，以风险为导向，从主营业务运营环节数据一致性、主要收入合理性等对其业务运营、财务报告有较大影响的业务和管理流程出发，通过穿行相关业务及管理流程，对其中支撑重要流程的信息系统功能进行测试分析，梳理主营业务在系统中各环节的数据流转过程，分析可能存在的影响业务、财务报告数据准确性和完整性的风险点，并结合系统功能和管控特点设计相应的应用控制测试点，测试发行人各业务环节中信息系统运营数据的真实性、准确性和完整性。

具体如下：
验证销售订单信息从 CRM 系统传输至 ERP 系统的准确性：审阅 CRM系统订单信息及其传输至 ERP 系统的订单信息，验证其一致性。

验证销售订单经审核后从 ERP 系统传输至仓储系统并生成出库发货单的准确性：随机获取 ERP 系统中一个订单，在仓储系统中根据推送的订单号查询销售订单详情，验证销售订单信息能否准确地从 ERP 系统传输至仓储系统并生成出库发货单。

验证经销商确认收货后，ERP 系统确认收入并生成对应收入凭证的准确性：抽取 2021 年 6 月 ERP 系统的应收单价税合计金额与收入凭证金额比对，验证其一致性。

验证 CRM 系统记录延保订单及 ERP 系统确认收入及生成对应凭证的准确性：随机获取 CRM 系统中一个延保订单，根据合同编号在 ERP 系统中获取对应订单信息。验证延保订单和销售订单中显示的延保合同编号、延保服务价格和延保服务数量是否一致；在 ERP 系统中查询生成对应收入凭证的详情，验证应收单和收入凭证中显示的单据编号、价税合计金额、业务日期和客户名称是否一致。

验证 CRM 系统计算经销商返利，以及返利金额传送至 ERP 系统中生成对应凭证的准确性：随机获取 CRM 系统中冬储返利和 V40 返利各一个订单，重新计算返利金额，验证系统自动计算的返利金额与重新计算的返利金额是否一致。

验证无人机设备在激活前无法使用的控制：使用一部未激活的无人机设备进行测试，验证是否无法进行作业任务设置；输入设备上的序列号并激活设备，查看极飞农服 APP 页面显示的设备序列号与无人机设备上的实际序列号是否一致，并验证激活后是否可进行喷洒设置、航线设置等作业任务信息设置。

验证用户使用信息记录的准确性：在极飞农服 APP 上实际设置无人机作业信息及执行一次飞行任务，并对极飞农服 APP 操作接口进行完整录频，验证在极飞农服 APP 上设置的作业任务信息与植保运营系统中的记录是否一致，无人机设备实际飞行信息与极飞云系统中的记录是否一致。

验证 CRM 系统在保和非在保维修订单对应的维修物料出库单传输至ERP 系统、生成收入确认凭证和成本确认凭证的准确性：通过维修订单中显示的关联出库单号在 ERP 系统上进行查询，验证出库单是否可以准确地从保障系统传输至 ERP 系统。抽取 2021 年 6 月推送至 ERP 系统的出库单价税合计金额与收入凭证金额比对，验证其一致性；抽取 2021 年 6 月推送至 ERP 系统的出库实际成本金额与成本确认凭证金额比对，验证其一致性。

验证无人机设备二次激活的审批流程控制：通过获取已激活的无人机设备，尝试在极飞 APP 中再次激活该设备，并在完成相关审批流程后，再次激活该设备，验证无人机设备是否能多次激活及其相关审批流程是否有效。

③计算机辅助程序测试与数据分析（CAATs & DA）

基于对发行人信息系统的业务数据与财务数据一致性核查结果，选取主要项目计算各项指标并进行数据分析，包括无人机的销量、激活量、飞行记录、激活率、激活时点、用户的年龄、激活地点、销售地域、累计飞行时间、飞行日、飞行时点、飞行率、飞行地点、飞行里程、保障服务的数量、占比、保障服务次数、服务购买地等，并进一步分析各项目的指标数据的波动或整体分布情况，对分析的结果获取发行人提供的合理性解释并检查相关支持性材料。同时，申报会计师结合数据分析的结果，执行了进一步审计和核查程序，以评估发行人业务数据的真实性和合理性。

3、审计结论

通过执行上述信息系统核查工作，我们认为发行人报告期内对主要信息系统的内部控制总体有效，同时综合整体的风险排查和信息系统应用控制测试、业务运营数据及财务数据分析的核查结果，我们认为，财务报告流程中涉及的信息系统数据处理及应用控制总体有效，核查涉及的各项业务数据及相关财务数据未发现明显的异常情形，核查涉及的各项业务运营环节未发现舞弊造假行为。

（三）请说明发行人所使用信息系统的数据安全性、准确性、是否可篡改，以及发行人采取的针对性措施发行人制定的《极飞科技信息系统账号管理办法》对用户账号权限的新增、变更及禁用流程进行规范，申请添加、调整或禁用系统账号权限并获取其所在部门负责人及企业信息部总监的审批，经审批后方可开通。

此外，数据库数据的处理通过 OA 系统的“数据处理申请”流程进行申请，经业务部门主管、内控以及信息部总监审核后方可执行。发行人系统数据的日常录入、审核及修改均保留操作人签名，对每笔数据写入均可追溯相关操作人。报告期，发行人信息系统数据未发生非授权篡改。

发行人采取了以下措施来保证上述信息系统在运行过程中的安全性、准确性、不可篡改性：



二、保荐机构和申报会计师说明

（一）对发行人相关 IT 系统核查情况，包括核查方式及过程、是否存在数据删除、篡改、修改、权限异常或其他异常等情况；

1、核查方式及过程

（1）信息系统一般控制设计及运行情况

对信息科技治理、信息安全管理和系统及数据访问管理、信息系统开发、测试和维护、信息科技运维管理等四个信息系统的企业内部控制管理领域，细分多个控制点，以评估信息系统一般性控制设计和执行的有效性。在一般控制测试过程中使用的方法主要包括现场访谈、文档查阅及系统查询。

（2）信息系统应用控制设计及运行情况

基于对发行人业务模块运营模式的深入理解，以风险为导向，从主营业务运营环节数据一致性、主要收入合理性等对其业务运营、财务报告有较大影响的业务和管理流程出发，通过穿行相关业务及管理流程，对其中支撑重要流程的信息系统功能进行测试分析，梳理主营业务在系统中各环节的数据流转过程，分析可能存在的影响业务、财务报告数据准确性和完整性的风险点，并结合系统功能和管控特点设计相应的应用控制测试点，测试发行人各业务环节中信息系统运营数据的真实性、准确性和完整性。应用控制具体测试点包括：验证销售订单信息从 CRM 系统传输至 ERP 系统的准确性；验证销售订单经审核后从ERP 系统传输至仓储系统并生成出库发货单的准确性；验证经销商确认收货后，ERP 系统确认收入并生成对应收入凭证的准确性；验证 CRM 系统记录延保订单及 ERP 系统确认收入及生成对应凭证的准确性；验证 CRM 系统计算经销商返利的准确性；验证无人机设备在激活前无法使用的控制；验证用户使用信息记录的准确性；验证 CRM 系统在保和非在保维修订单对应的维修物料出库单传输至 ERP 系统、生成收入确认凭证和成本确认凭证的准确性；验证无人机设备二次激活的审批流程控制。在应用控制测试过程中使用的方法主要包括观察、重新执行、访谈。

（3）计算机辅助程序测试与数据分析

对发行人技术人员进行访谈，了解相关系统业务数据中各字段含义，查阅数据库数据的提取脚本，并且在现场观察下提取数据。在对无人机的销售数据与激活数据、飞行记录数据进行核对后，选取主要项目计算各项指标并进行数据分析，包括无人机的销量、激活量、飞行记录、激活率、激活时点、用户的年龄、激活地点、销售地域、累计飞行时间、飞行日、飞行时点、飞行率、飞行地点、飞行里程、保障服务的数量、占比、保障服务次数、服务购买地等，并进一步分析各项目的指标数据的波动或整体分布情况，对分析的结果获取发行人提供的合理性解释并检查相关支持性材料。同时，保荐机构和申报会计师结合 IT 核查的结果，执行了进一步补充审计和核查程序，以评估发行人业务数据的真实性和合理性。

通过审查核查期间数据处理申请记录，未发现大量异常的数据处理记录，信息系统不存在未经授权的数据删除、篡改、修改、权限异常或其他异常等情况。

（二）IT 系统核查中发行的主要控制问题，及其影响情况；

1、信息系统一般性控制测试

信息系统一般性控制测试是针对系统架构设计合理性以及内部控制的有效性的核验，目的是评估信息系统管理水平及主要信息系统对业务运行的支撑能力和存在的风险，确定信息系统运行的稳定性和可靠性，评估财务报表数据的有效性。

基于对发行人信息系统的一般性控制测试，包括信息科技治理、信息系统访问与管理、信息系统开发与变更管理、信息系统运维管理四个维度的测试与核查，保荐机构和申报会计师认为发行人信息系统的一般性控制总体控制有效，未发现重大或重要的控制缺陷。

具体发现及影响情况如下：

（1）发行人未制定完善的信息安全相关制度，未包含权责分离、特权用户管理、密码管理、防火墙和防病毒策略、事件与问题管理、环境隔离等相关内容；发行人通过定期培训进行信息安全知识宣贯，但未对有效保管信息安全知识培训相关记录。

通过询问 2018 年 1 月至 2021 年 6 月期间入职且尚在职的运维人员是否了解发行人信息安全制度，保荐机构和申报会计师了解被询问运维人员均了解公司信息安全制度，且在报告期间未发生由于用户信息安全意识不足不了解公司信息安全相关要求而导致的重大生产事件，因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

（2）发行人未制定权责分离相关政策，在日常运营中亦未建立用户权限配置规则/权限互斥列表作为系统权限配置的依据。员工申请开通/变更账号权限须获取部门负责人及企业信息部总监审批，在账号权限授权环节由相关负责人审阅其申请权限的合理性，降低了敏感权限被不合理授权的风险；在 2020 年已上线 OA 系统，员工通过 OA 系统申请账号权限增删并获取相应审批，相关记录均保存在 OA 系统；通过 ERP 系统、CRM 系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云的用户权限清单并进行抽样检查，保荐机构和申报会计师未发现用户权限互斥的情况，因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

（3）2018 年至 2019 年，员工申请添加、调整或禁用系统账号权限通过发送邮件的方式获取相关负责人的审批，经审批后方可由系统管理员开通，但申请审批邮件未得到妥善保存。

员工申请开通/变更/禁用账号权限须获取部门负责人及企业信息部总监审批，在账号权限授予、变更和禁用环节由相关负责人审阅其申请权限的合理性，降低了不合理维护管理账号和权限的风险；且在报告期间未发生与非授权操作相关的重大生产事件，因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

（4）发行人在实际运营过程中发行人未对 ERP 系统（2018 年至 2019 年）、CRM 系统（2019 年）、仓储系统（2019 年）、追溯系统、植保运营系统、保障系统、极飞云（2018 年至 2021 年 6 月期间）的用户权限进行定期审阅。员工申请开通/变更/禁用账号权限须获取部门负责人及企业信息部总监审批，在账号权限授予、变更和禁用环节由相关负责人审阅其申请权限的合理性，降低了不合理维护管理账号和权限的风险；且在报告期间未发生与非授权操作相关的重大生产事件，因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

（5）发行人未对特权用户的操作进行定期审阅，且未保留完整的操作日志。
根据对报告期间发行人业务财务数据分析，未发现因非授权操作导致的明显异常；且在报告期间未发生因特权用户违规操作而引起的与信息安全相关的重大生产事件，因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

（6）发行人的服务器部署在阿里云，服务器端部署了阿里云云安全中心，但未对客户端电脑统一部署防病毒软件。

ERP 系统、CRM 系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云的服务器部署在阿里云，通过阿里云云安全中心进行病毒防御、进行内外网隔离；根据对报告期间发行人业务及财务数据分析，未发现因非授权操作导致的明显异常；且在报告期间未发生病毒入侵相关的重大生产事件，因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

（7）保障系统的程序变更未实现程序移植人员与开发测试人员相隔离。
根据对报告期间发行人业务及财务数据分析，未发现因非授权操作导致的明显异常，且发行人通过账号权限增删改流程对开发测试人员和生产环境运维人员持有权限进行统一管控，开发测试人员仅拥有生产环境的查询权限，从而避免对生产环境业务数据的影响。因此，保荐机构和申报会计师认为该控制缺陷对财务报表数据有效性、真实性、完整性无影响，对公司财务报表审计影响较低。

ERP 系统、CRM 系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云的服务器部署在阿里云，通过阿里云云安全中心进行病毒防御、进行内外网隔离；根据对报告期间发行人业务及财务数据分析，未发现因非授权操作导致的明显异常；且在报告期间未发生病毒入侵相关的重大生产事件，不影响与财务报表相关的核心数据，因此，保荐机构和申报会计师认为该控制缺陷对财务报表审计影响较低。

（7）保障系统的程序变更未实现程序移植人员与开发测试人员相隔离。
根据对报告期间发行人业务及财务数据分析，未发现因非授权操作导致的明显异常，且发行人通过账号权限增删改流程对开发测试人员和生产环境运维人员持有权限进行统一管控，开发测试人员仅拥有生产环境的查询权限，从而避免对生产环境业务数据的影响。因此，保荐机构和申报会计师认为该控制缺陷对财务报表审计影响较低。

（三）结合 IT 审计内容，对发行人销售、售后及影响财务报表的业务系统是否有效，业务数据是否存在异常等，发表结论性意见。

基于上述信息系统核查工作，保荐机构和申报会计师认为发行人销售、售后及影响财务报表的业务系统总体有效，业务数据不存在明显的异常。