一、集团企业信息环境介绍 集团企业具有庞大而复杂的信息化系统。具体来讲,集团企业信息系统一般分为管理支撑系统、业务支撑系统、运营支撑系统、企业数据架构四类。经过多年的建设与发展,集团企业信息系统基本上均实现了覆盖关键流程和功能,企业应用整合平台对所有应用实现了跨部门/跨系统的流程整合。同时,集团企业的信息系统也具有十分鲜明的特点:地域覆盖广、用户规模大;业务复杂、产品种类繁多;流程、规则复杂,需求多变;运营实时性要求高,需要对海量数据进行动态处理等。由于集团企业业务流复杂多变,数据流数量庞大,造成集团企业信息化的复杂程度很高,这也对审计信息化建设提出了更高的挑战。 二、集团企业审计信息化建设情况 基于集团企业信息化的复杂现状,在审计信息化建设的过程中就必须严格以系统论为指导,规划并实施与企业信息化演进路径相一致的审计信息化建设滚动规划。(1)可以通过搭建审计管理信息系统(综合管理模块)平台实现审计项目作业和综合管理的规范化、标准化、信息化。(2)可以通过建设审计数据中心和分析模型,对横跨企业管理、业务、支撑等领域的数据流和业务流进行定期采集和分析,初步实现对企业核心运营数据和财务数据的日常稽核与持续监控,提升审计对企业关键风险的预警、分析和把握能力。(3)可以基于审计信息化平台的数据和模型,通过实施非现场与现场相结合的审计模式,推进“总体分析、把握重点、精确延伸”的审计思路,从而突出审计重点、提高审计效率、提升审计效果、规避审计风险。 (一)审计管理信息系统综合管理模块建设思路 集团企业的审计系统建设,首先应该建立健全综合管理模块。综合管理模块应该涵盖财务审计、工程审计、专项审计调查等审计项目作业,要实现集团企业年度审计项目计划的闭环管理,提供全集团统计报表的汇总上报与穿透查询分析。此外,综合管理模块还应该具备丰富的审计法规库、方法库、案例库、人才库以及面向审计管理应用的综合查询模板(见图1)。这样,集团企业的各项审计作业及日常管理工作才能全部纳入审计系统管理,才能有力提升内部审计工作的规范化、标准化、信息化水平。 (二)审计管理信息系统业务审计模块建设思路 随着集团企业信息化程度的不断提高以及审计工作的深入发展,传统的围绕财务核算数据开展的审计项目已经不能满足集团企业对内部审计提出的要求。要实现“防控风险、支撑发展、提升价值”的审计目标,就必须将审计的触角向企业经营管理的全领域延伸,提升审计对风险的反应和揭示能力,实现审计工作由外生介入型向内生融入型转变。基于以上要求,集团企业就必须顺势而为,依托企业数据库尝试开展建设审计管理信息系统(业务审计模块)。审计系统(业务审计模块)的建设可以考虑以下几种模式: 1.三维审计数据梳理模型 为了确保审计系统(业务审计模块)采集数据的准确性,集团企业在数据采集过程中可以采取三维审计数据梳理模型以及审计关注数据分层管理架构。具体来讲,就是由于集团企业信息系统数据一般都是按照主题分别存储在不同的数据集市中,系统升级改造虽然时有发生,但数据储存模式不随企业的改造而变化。因此,审计系统(业务审计模块)在数据采集的过程中,可以按照企业数据存储域的方式对审计关注数据进行筛选、清理、关联,建立信息系统审计数据中心。这样,就可以实现将审计需求与复杂的企业信息系统相隔离,从而提高审计关注数据采集的准确性和易用性(见图2)。
2.建立审计数据中心 按照三维审计数据梳理模型的建设思路,集团企业可以根据日常审计项目关注的重点构建统一的审计数据规划,并按照规划的要求着力丰富完善统一标准的信息系统审计数据中心。审计数据中心应基于集团企业的数据库,以保证审计数据中心采集数据的准确性,降低核心数据的安全风险和日常的维护成本。对于审计数据中心采集到的原始数据要进行整理、拼接、分类,按照数据的颗粒度以及是否带有审计业务逻辑,可以把审计数据中心的所有数据表分为三个层级。第一个层级(即基础表)存储由企业核心IT系统采集的、未经过处理、不含有审计业务逻辑的清单数据表;第二个层级(即中间表)存储按照审计业务需求进行整理、拼接后的,带有审计业务逻辑,便于审计人员开展项目应用的清单数据表;第三个层级(即结果表)存储经过按照审计业务需求进行分析处理后的,带有审计疑点的报表性数据表。 3.构建审计分析模型 在构建好审计数据中心以及分层次的审计数据表的基础上,可以通过建设审计数据分析处理平台,针对审计业务需求,固化和丰富审计分析模型。审计分析模型要体现每一个阶段审计部门关注的重点领域和关键风险环节。审计模型可以采取二维模型和多维模型的展现形式,系统根据审计分析模型的业务逻辑每月自动对采集的数据进行分析处理,审计人员在开展审计项目的过程中可以根据项目关注重点针对某类指标选择不同维度进行分析,也可以选择多个指标同时进行多维度分析,从中寻找指标的异常波动,从而发现审计问题。此外,审计人员在开展审计项目作业时,也可以利用审计系统提供的可看、可懂、可用的基础数据表和本地化的审计分析工具,自行开展数据挖掘和分析工作,深入查找审计疑点和线索。