持续审计的总体目标是为了实现对被审计单位的实时、动态和持续监控。本文通过中国移动通信集团山西有限公司(简称“山西移动”)在持续审计管理的总体思路、技术实现方法、支撑系统和实施方案等方面的实践,为电信行业乃至上市企业的内部审计管理工作提供有益借鉴。 持续审计(CA)的总体目标是为了实现对被审计单位的实时、动态和持续监控,可以及时发现公司生产运营管理中的问题,将问题消灭在生产运营管理过程中,实时控制和规避公司各种风险。以山西移动为例,该公司积极探索应用持续审计管理,提出了持续审计管理的总体思路,架构了持续审计的技术实现方法和支撑系统,建立了持续审计实施的机制和流程。 (一)持续审计管理的总体思路 为促进公司持续改善经营管理,将公司生产运营过程中存在的问题消除在问题发生当期,实现对公司经营管理的持续监控,进而提升数据质量和审计监控效果,内部审计部门提出公司内部审计工作将围绕“自我防范、月度监控、定期沟通、及时通报”的总体思路开展,即各经营管理单位和业务主管部门要及时监控日常的经营行为,对异常数据要认真分析原因、评估风险,对不规范营销行为要及时纠正和处理;省公司内部审计部门将实施月度监控,根据监控具体情况开展实地审计;在审计过程中充分开展沟通,借助专业部门人员的专业能力,合理定位问题性质,提出有效可行的管理建议;根据总体经营监督审计情况和风险影响程度,及时向各被审计单位和相关管理部门通报审计结果,实时向公司管理层提交审计报告。 总体思路突出专业部门日常自我防范和自我纠正,突出审计监控的实时、动态和持续性,强调了审计意见和结果出具的及时性,与持续审计构内涵一致。 (二)架构持续审计的技术实现方法和支撑系统 选择分离式CA作为持续审计管理的技术实现方法。持续审计的实现方法主要有两类:一类是分离式CA,另一类是嵌入式CA。所谓分离式CA,是指为了完成对被审计系统的持续监控,在被审计系统外设置相应的程序模块,通过该程序模块不断地采集被审计系统中的数据,并把这些采集来的数据传输到审计单位中去,供审计人员进行分析,从而完成对被审计系统的持续监控。分离式CA审计系统是审计单位独立开发和拥有的,与被审计单位没有任何关系,是目前CA研究的主流。嵌入式CA是指为了完成对被审计系统的持续监控,在被审计系统中嵌入相应的程序模块(触发器、智能代理等),通过该程序模块不断地对被审计系统中的数据进行检测,从而完成持续监控。
图1 分离式CA技术实现方式 考虑到嵌入式CA嵌入审计模块不具有通用性,会占用被审计系统的资源,嵌入审计模块设计不合理会对被审计单位系统安全性造成影响等因素,山西移动持续审计管理创新项目采取分离式CA技术实现方式。如图1所示。 架构持续审计管理实施的支撑系统。分离式CA通过计算机辅助审计平台得到了实现。计算机辅助审计平台采用分布式客户端/服务器架构,服务器中部署了windows server 2003操作系统、MySQL关系型数据库软件用来实现对业务数据的储存和数据处理等过程。客户端通过IE浏览器与服务器进行交互操作,实现对业务数据的存储、访问、分析等操作及远程登录。持续审计管理通过计算机辅助审计平台进行系统支撑和实现。 (三)建立持续审计管理的机制和流程 制订持续审计(监控)方案。当年年初,下发持续审计(监控)项目实施方案,明确审计总体思路、审计检查方法、审计范围、审计配合、审计意见落实及考核等内容。 实施月度监控。通过获取公司月度经营数据(包括收入数据、用户数据)、财务报表数据,营销类投诉数据,导入计算机辅助审计平台,通过系统自动比对分析和异常波动预警,确定公司异常数据指标。 下发经营财务数据反馈单。根据月度监控分析结果,向责任单位下发经营数据反馈单,要求责任单位就营销活动开展,投入营销资源、活动效果等内容进行反馈。 核实反馈情况,定位问题性质。根据责任单位反馈情况,内部审计人员进行数据的进一步核实、分析、判断,结合国家、总部和公司的法规、规章制度和管理办法,在与责任单位充分沟通和实施必要实地审计的基础上,合理定位问题性质。 实时出具审计意见或审计报告。根据问题性质和公司管理需要,实时下发审计意见书,要求责任单位编写整改计划并在问题发现当期整改完毕,必要时向公司管理层出具审计报告。