信息技术改变着组织的控制环境、控制活动和信息沟通方式,大力应用信息技术是开展内部审计工作的必然选择。内部审计信息化是内部审计机构以促进组织完善治理为目标,运用现代信息技术,变革内部审计业务实施、审计管理以及支持审计决策的过程。内部审计信息化的目标是提升内部审计促进组织改善治理,提高组织风险管理和内部控制能力,保障内部审计为组织战略实现发挥更大价值。内部审计信息化的建设内容主要包括应用系统、信息资源、网络基础设施、标准规范和信息化管理体制等。通常来说,应用系统、信息资源和网络基础设施是三大核心建设内容,标准规范和管理体制建设是内部审计信息化健康持续发展的必要保障,五者相互关联,是内部审计信息化的有机组成要素。 近年来,内部审计理念发生了显著变化,2013年修订的《中国内部审计准则》也明确指出“内部审计是一种独立、客观的确认和咨询活动,它通过运用系统、规范的方法,审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性,以促进组织完善治理、增加价值和实现目标”,内部审计理念正在向治理、风险与价值转变,从单纯“查错纠弊”走向风险防范和增值服务;同时,以云计算、大数据等为代表的新一代信息技术正在蓬勃发展,也为当前内部审计信息化的技术升级注入了全新活力。新兴信息技术运用和内部审计理念的发展,既是内部审计信息化面临的新挑战,更为它带来新的发展机遇。 2013年,中国内部审计协会以“内部审计信息化”为主题开展理论研讨活动,以加强实务工作和理论研究的紧密结合,增进先进经验的总结和交流,这次活动共收到论文282篇。本报告以参与此次活动的研讨论文为样本和案例,同时,也参考了部分国有企业工作经验,归纳总结了我国内部审计信息化应用平台的现状及动态,提炼内部审计信息化的典型应用框架,梳理内部审计信息化的发展演进脉络及发展方向。 二、内部审计信息化应用框架 (一)我国内部审计信息化平台的应用状况 目前全国内部审计信息化建设发展很快,审计管理软件和各种计算机辅助审计软件得到了广泛使用。此次主题研讨论文反映了我国内部审计信息化实践的不同方面,从信息化平台角度来看,主要有以下六个方面的特征。 1.内部审计信息化的应用系统主要聚焦于两大领域十个方面。审计管理和审计业务实施是内部审计信息化的两大应用领域,审计管理的数字化和业务实施的计算机辅助审计化构成了内部审计信息化的基本应用框架。对论文案例的统计显示,内部审计信息化实践主要聚焦于两大领域十个方面的应用系统建设,如图1所示。
2.各系统普及率存在明显差异,当前内部审计信息化的核心应用是项目管理、现场审计作业、审计分析和持续审计监控系统。根据来自通信、金融、证券、保险、石油和电力等8个行业的38家企事业单位提供的内部审计信息化平台经验总结材料,进一步分析发现图1中10个应用系统的普及率有明显差异,项目管理系统、现场审计工具、审计分析平台和持续审计监控平台这四个系统的普及率超过58%,它们是当前我国内部审计信息化建设中的核心应用系统。尤其是项目管理系统和现场审计工具,往往是各内部审计机构信息化建设的切入点。 3.审计业务实施的计算机辅助审计程度正在深化,持续审计监控、智能分析平台越来越受到重视。计算辅助审计技术(CAATs)有两类——面向数据和面向系统。面向数据的CAATs技术通常具有数据采集、查询分析、数据挖掘、数据抽样和持续监控等功能。目前被广大内部审计机构普遍使用的现场审计作业软件通常具有自动生成底稿、数据采集和查询分析等功能。随着审计信息化不断发展,非现场审计成为内部审计现代化转型的重要途径,CAATs应用正在由简单数据查询走向复杂模型运算和远程监控分析的综合应用。 图2显示,平均约61%的企业已实施了持续审计监控和智能分析平台,能实现复杂数据模型计算的分析平台,对财务业务风险持续监控系统、嵌入式审计系统等应用有了明显进展。例如,中国工商银行的审计监测系统,通过监测模型库和监测指标库,可对全行主要机构与核心业务开展定期的常规风险监测,也可有针对性地选择重点机构与重点领域开展不定期专项风险分析。中国建设银行的非现场审计系统(OAS)包括数据调集、派生指标计算、审计分析、审计查询和风险评估等功能模块,基本替代了审计数据的手工查询和分析,为现场审计提供翔实的线索。此外,中国石油化工集团公司开发的基于SAP系统的嵌入式审计系统(AIS),可对ERP系统各业务模块进行在线查询、对比与分析,开创了ERP系统远程审计的先河。
4.关注信息安全和IT风险,信息系统审计正在起步。各类信息系统是企业管理和业务经营活动的运行载体,其安全性、可靠性和合规性直接关系到企业正常运营和持续发展。对IT密集型企业的内部审计机构而言,开展信息系统审计是控制组织风险的重要工作,但传统审计方法在这方面难有作为,一直以来开展的不太多。