近年来,内部审计作为公司治理和风险管理的重要手段,其地位和作用日益受到投资者、管理层和监管机构的认可,各界对内部审计的期望不断提高。“工欲善其事,必先利其器”,内部审计人员只有不断学习和借鉴先进的技术手段,才能保持和提升专业胜任能力,为利益相关者增加价值。 内部审计管理是指内部审计机构对内部审计人员和内部审计活动实施的计划、组织、领导、控制和协调工作。因此,内部审计管理目标是为了确保审计目标和公司目标的实现。在内部审计的发展历程中,由于组织内外环境的变化,内部审计目标也在相应的调整变化,以适应组织战略发展的需要。其中,最重要的变化是实现从查错纠弊到增加价值、从事后评价到事前确认的转变,从“经济警察”到“咨询顾问”的转变。由此,内部审计管理范围覆盖内部审计人员为促进组织风险管理、控制和治理程序改善而采取的所有活动。 实施内部审计管理可以通过手工或自动化手段来完成。本文讨论的内部审计管理工具是指内部审计管理的自动化工具。通过对内部审计管理工具的需求、发展、选用及实施等进行综述,以期对内部审计人员有所裨益。 一、内部审计管理对管理工具的需求 1、内部审计机构在努力满足各方面期望的同时,也面临挑战。这些挑战可能增加审计风险,影响审计目标的实现,因而对内部审计管理提出更高的要求。在选择内部审计管理工具时,必须考虑到所面临的诸多挑战以便采取相应的对策。(1)内部审计质量缺乏足够控制。作为管理层决策的重要参考,审计意见和建议的质量是内部审计的生命线。然而,由于经验、资源或技术手段的限制,很多内部审计机构难以实施严格的审计风险和质量控制。例如,审计项目缺乏明确的范围、程序和计划,审计过程未能实现充分文档化,交付件缺乏足够的复核,整改缺乏监督和跟踪等。因此,审计管理工具应协助审计师加强审计过程控制,保证审计质量,规避审计风险,并通过具体技术手段加强审计管理。(2)内部审计部门资源不足。尽管内部审计的地位不断提高,但是审计机构的规模并未得到相应的发展,审计资源限制始终是内部审计的瓶颈。要消除资源瓶颈,除了增加招聘或外包外,也可通过审计管理工具提高项目管理水平,优化资源使用效率。(3)内部审计师个体知识限制。传统的内部审计关注以账簿为基础的财务收支审计,内部审计人员主要以掌握财务会计相关知识为主。如今组织的经济活动日益复杂化,内部审计的范围已经包括财务收支、运营、合规、安全、风险管理等各个方面。根据甫瀚发布的《2008,中国内地与香港内部审计能力与需求调查报告》,内部审计人员的一般技术知识能力普遍偏低。因此,通过内部审计管理工具的运用,加强知识管理和分享势在必行。例如,通过文档化提炼固化知识、通过集中存储访问实现知识共享以及通过网络化消除团队地理和时间限制等,都可以提高协同工作能力。(4)内部审计信息渠道局限。内部审计作为企业风险管理和公司治理的重要工具,其审计范围已经扩展到企业的各个层面和所有流程,但是,内部审计师获取信息仍旧停留在被动的“请求——应答”模式,信息的时效性和质量难以保证。因此,通过内部审计管理工具拓宽信息获取渠道、构筑信息优势非常必要。 表1 部分知名度较高的国际审计管理软件
2、一般而言,企业对内部审计管理工具的需求可概括为以下三类:(1)内部审计项目管理需求。这是所有内部审计机构管理的传统需求,包括企业层面的中长期与年度计划管理、项目层面的项目计划、资源管理、进度跟踪、审计文档管理、审计质量控制、统计分析与报告以及知识管理、协同工作等。(2)治理、风险和合规(Governance Risk and Compliance,GRC)管理需求。内部审计需要将GRC纳入统一的平台进行管理,拓展内部审计的管理范围和信息渠道。(3)计算机辅助审计技术(Computer Assisted Audit Techniques,CAAT)管理需求。CAAT是指在审计项目实施过程中,利用专业技术和工具来获取和评价审计证据,支持审计结论。广义而言,CAAT也可纳入审计管理软件范畴。 表2 部分国际厂商的GRC解决方案
二、内部审计管理工具简介 1、审计项目管理系统。按照审计管理对象不同,可分为企业层面和项目层面的审计项目管理。基于风险基础的审计,两个层面的基本程序都包括风险评估、计划、执行和报告(如图1所示)。
图1 审计项目管理系统功能
图2 GRC平台架构示意图 国外审计项目管理工具(软件)的开发起步较早,发展时间较长,目前已经出现较成熟的商用软件。根据IIA的年度审计管理软件调查,目前知名度较高的审计管理软件如表1所示。这类软件的基本功能都包括风险评估、计划管理、审计程序管理、工作底稿、审计报告、复核、归档等,支持分布式的审计项目管理模式。支持领先的内部审计方法论,实现的主要功能包括:知识共享、年度风险评估、建立审计计划、电子工作底稿、生成最终报告、识别和跟踪问题等。