根据申报材料,发行人存在CRM系统、ERP系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云等信息系统。其中在“信息安全管理和数据访问管理”“信息系统开发、测试和维护”方面,中介机构认为“发现部分控制问题,其影响程度相对较低”。此外,发行人部分设备可能存在已出库并激活的设备退回重置,有部分设备的激活数据已被清除的情况。
请发行人说明:(1)在日常经营、管理、用户使用方面涉及的IT系统及其主要作用,上述系统是否信息共享或进行交叉数据核对;上述系统开发方式,是否存在付费使用的情况;(2)报告期内进行IT审计的具体情形,包括但不限于审计机构、业务背景、审计的主要内容和审计结论;(3)请说明发行人所使用信息系统的数据安全性、准确性、是否可篡改,以及发行人采取的针对性措施。
(一)在日常经营、管理、用户使用方面涉及的IT系统及其主要作用,上述系统是否信息共享或进行交叉数据核对;上述系统开发方式,是否存在付费使用的情况
1、在日常经营、管理、用户使用方面涉及的IT系统及其主要作用
2、上述系统的信息共享及进行交叉数据核对情况
(1)销售流程:
(2)售后流程:
(3)其他:
追溯系统主要用于记录每一个设备及其3-4级主要零件的唯一编码;在用户使用设备的过程中,用户设置的作业任务记录通过植保运营系统进行记录,而无人机具体飞行数据通过极飞云系统进行记录。
3、上述系统开发方式,不存在付费使用的情况
公司于2016年向金蝶软件采购ERP系统。公司的ERP系统为买断并私有部署,仅当有重大变更等需求时,才会另行付费购买金蝶团队或三方认证服务商的支持服务,在报告期间公司ERP系统未发生重大变更。上述除ERP系统外,均为公司自研系统。
(二)报告期内进行IT审计的具体情形,包括但不限于审计机构、业务背景、审计的主要内容和审计结论;
1、审计机构、业务背景
发行人聘请申报会计师(信息系统审计专家团队提供专业支持)为本次发行上市的IT审计机构,IT审计机构按照中国证券监督管理委员会于2020年6月10日发布的《首发业务若干问题解答》第53条的要求,对发行人2018年至2020年期间以及2021年1-6月的CRM系统、ERP系统、仓储系统、追溯系统、植保运营系统、保障系统、极飞云等主要系统的可靠性进行专项检查,并出具《广州极飞科技股份有限公司信息系统核查报告》。
2、审计范围、方法及主要内容
(1)审计范围
(2)审计方法
根据信息系统的测试内容不同,IT审计采用了不同的测试方法,包括:现场访谈、观察、文档查阅及系统查询、重新执行、分析程序等。其中,对某一个控制点的测试可能需要结合各种不同的测试方法。具体如下:
②观察:观察发行人控制的执行情况;
④重新执行:重新执行程序,验证不同情况下经营数据形成的合理性;
(3)审计内容
本次审计内容包括三部分:信息系统一般控制、信息系统应用控制和计算机辅助程序测试与数据分析,具体内容如下:
①信息系统一般性控制(ITGC)
对信息科技治理、信息安全管理和系统及数据访问管理、信息系统开发、测试和维护、信息科技运维管理等四个信息系统的企业内部控制管理领域,细分多个控制点,以评价信息系统一般性控制设计和运行的有效性;
②信息系统应用控制(ITAC)
具体如下:
验证销售订单信息从CRM系统传输至ERP系统的准确性:审阅CRM系统订单信息及其传输至ERP系统的订单信息,验证其一致性。
验证销售订单经审核后从ERP系统传输至仓储系统并生成出库发货单的准确性:随机获取ERP系统中一个订单,在仓储系统中根据推送的订单号查询销售订单详情,验证销售订单信息能否准确地从ERP系统传输至仓储系统并生成出库发货单。
验证经销商确认收货后,ERP系统确认收入并生成对应收入凭证的准确性:抽取2021年6月ERP系统的应收单价税合计金额与收入凭证金额比对,验证其一致性。
验证CRM系统记录延保订单及ERP系统确认收入及生成对应凭证的准确性:随机获取CRM系统中一个延保订单,根据合同编号在ERP系统中获取对应订单信息。验证延保订单和销售订单中显示的延保合同编号、延保服务价格和延保服务数量是否一致;在ERP系统中查询生成对应收入凭证的详情,验证应收单和收入凭证中显示的单据编号、价税合计金额、业务日期和客户名称是否一致。
验证CRM系统计算经销商返利,以及返利金额传送至ERP系统中生成对应凭证的准确性:随机获取CRM系统中冬储返利和V40返利各一个订单,重新计算返利金额,验证系统自动计算的返利金额与重新计算的返利金额是否一致。
验证无人机设备在激活前无法使用的控制:使用一部未激活的无人机设备进行测试,验证是否无法进行作业任务设置;输入设备上的序列号并激活设备,查看极飞农服APP页面显示的设备序列号与无人机设备上的实际序列号是否一致,并验证激活后是否可进行喷洒设置、航线设置等作业任务信息设置。
验证用户使用信息记录的准确性:在极飞农服APP上实际设置无人机作业信息及执行一次飞行任务,并对极飞农服APP操作接口进行完整录频,验证在极飞农服APP上设置的作业任务信息与植保运营系统中的记录是否一致,无人机设备实际飞行信息与极飞云系统中的记录是否一致。
验证CRM系统在保和非在保维修订单对应的维修物料出库单传输至ERP系统、生成收入确认凭证和成本确认凭证的准确性:通过维修订单中显示的关联出库单号在ERP系统上进行查询,验证出库单是否可以准确地从保障系统传输至ERP系统。抽取2021年6月推送至ERP系统的出库单价税合计金额与收入凭证金额比对,验证其一致性;抽取2021年6月推送至ERP系统的出库实际成本金额与成本确认凭证金额比对,验证其一致性。
3、审计结论
(三)请说明发行人所使用信息系统的数据安全性、准确性、是否可篡改,以及发行人采取的针对性措施
发行人制定的《极飞科技信息系统账号管理办法》对用户账号权限的新增、变更及禁用流程进行规范,申请添加、调整或禁用系统账号权限并获取其所在部门负责人及企业信息部总监的审批,经审批后方可开通。
发行人采取了以下措施来保证上述信息系统在运行过程中的安全性、准确性、不可篡改性:
1、核查方式及过程
(1)信息系统一般控制设计及运行情况
对信息科技治理、信息安全管理和系统及数据访问管理、信息系统开发、测试和维护、信息科技运维管理等四个信息系统的企业内部控制管理领域,细分多个控制点,以评估信息系统一般性控制设计和执行的有效性。在一般控制测试过程中使用的方法主要包括现场访谈、文档查阅及系统查询。
(2)信息系统应用控制设计及运行情况
(3)计算机辅助程序测试与数据分析
(二)IT系统核查中发行的主要控制问题,及其影响情况;
1、信息系统一般性控制测试
信息系统一般性控制测试是针对系统架构设计合理性以及内部控制的有效性的核验,目的是评估信息系统管理水平及主要信息系统对业务运行的支撑能力和存在的风险,确定信息系统运行的稳定性和可靠性,评估财务报表数据的有效性。
基于对发行人信息系统的一般性控制测试,包括信息科技治理、信息系统访问与管理、信息系统开发与变更管理、信息系统运维管理四个维度的测试与核查,保荐机构和申报会计师认为发行人信息系统的一般性控制总体控制有效,未发现重大或重要的控制缺陷。
具体发现及影响情况如下:
(4)发行人在实际运营过程中发行人未对ERP系统(2018年至2019年)、CRM系统(2019年)、仓储系统(2019年)、追溯系统、植保运营系统、保障系统、极飞云(2018年至2021年6月期间)的用户权限进行定期审阅。
(5)发行人未对特权用户的操作进行定期审阅,且未保留完整的操作日志。
(6)发行人的服务器部署在阿里云,服务器端部署了阿里云云安全中心,但未对客户端电脑统一部署防病毒软件。
(7)保障系统的程序变更未实现程序移植人员与开发测试人员相隔离。
(三)结合IT审计内容,对发行人销售、售后及影响财务报表的业务系统是否有效,业务数据是否存在异常等,发表结论性意见。
基于上述信息系统核查工作,保荐机构和申报会计师认为发行人销售、售后及影响财务报表的业务系统总体有效,业务数据不存在明显的异常。
-END-
-----------------分割线----------------------分割线----------------
实名认证步骤:
1、添加老友干货(ID:laoyouganhuo)或扫描如下二维码添加老友干货为好友;
2、扫描如下二维码登记实名认证信息及入群需求(老友汇干货群分为:#资料共享群#、#财税审计群#、#投资尽调群#、#IPO三板群#、#内控咨询群#)