浅谈内部审计信息化

作 者:

作者简介:
林颖华,甫瀚咨询公司

原文出处:
中国内部审计

内容提要:


期刊代号:V3
分类名称:审计文摘
复印期号:2015 年 04 期

关 键 词:

字号:

      一、内部审计信息化的发展

      根据国际内部审计师协会的定义,内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。而随着信息技术飞速发展给企业经营管理活动带来的巨大变化,它不但提高了传统业务流程的效率,加强了企业内部、企业与客户、企业与供应商的沟通,也为企业的经营带来新的发展契机。显然,发生这种变化的同时,也给内部审计领域带来新的冲击和挑战。

      随着信息技术发展在内部审计领域的运用程度不断深入,内部审计信息化的发展通常按以下三个阶段不断提升(见图1、图2和图3)。

      在信息技术最初运用在内部审计工作中时,仅仅是将审计的相关文档,如审计程序、步骤、审计发现、结果以及跟进状态等信息进行电子化记录和归档。审计文档电子化的实现,可以方便内部审计工作的记录、查询、保存和共享,是内审信息化的最早形态。随着计算机的普遍运用,绝大部分企业目前均已实现审计文档的电子化。

      尽管审计文档电子化带来了一些便利,但对于内审项目的管理和协同方面仍然存在许多不足,因此一些企业开始实施审计流程管理系统,除了保存审计电子文档外,还可以进行审计项目计划、人员调配、时间安排、执行风险评估,使审计工作流程化、规范化,有助于审计人员的协同工作,以及提高审计工作质量。

      

      

      

      随着企业业务运营对信息系统和数据的依赖程度提高,更多的企业开始关注持续性审计,也就是在信息系统建设的基础上,通过数据的抽取、过滤和分析,实现对业务与流程的实时监控和审计,并通过运用多样化的数据分析和挖掘手段,更好地识别数据中所蕴含的价值。通过持续化的审计,内审部门可以及时了解被审计单位的业务流程现状,实现实时审计,大大提高了审计的时效性和效率。为实现审计工作持续化,在本阶段内审部门往往通过运用计算机辅助审计工具、数据统计分析工具,以及借助与业务系统集成的审计信息系统或GRC(治理、风险与控制)系统的实施。

      二、内部审计信息化能力与需求趋势

      甫瀚咨询连续多年持续对内部审计能力与需求开展调查。根据近几年的调查结果显示,无论企业规模的大小,计算机辅助审计技术(CAAT)及数据分析的重要性都得到持续的关注,成为内部审计职能亟待提升的五个主要领域之一。内部审计师有意加强其在计算机辅助审计工具以及持续审计和监控技术方面的知识水平。同时,内部审计职能部门也打算充分利用一些更高级的数据分析工具来支持风险管理及企业整体业务目标的实现(见图4)。

      

      三、如何实现内部审计信息化

      与传统内部审计相比,内部审计信息化的目标是逐步实现以下几方面的转变:一是逐步实现审计管理工作从手工转变为系统化;二是逐步实现从手工查账的审计转变为运用计算机对电子信息数据的审计;三是逐步实现从财务数据的审计到对包括财务和业务数据同步审计,以及信息系统的审计;四是逐步实现从事后审计转变为以在线监控为主,事前、事中和事后相结合的审计。

      内部审计信息化建设将重点关注内部审计信息化的两个热点:内部审计信息系统建设和计算机辅助审计工具的使用。

      (一)内部审计信息系统建设

      1.系统选型和设计原则。内部审计信息系统的建设,是为了更好地履行内部审计职能,提高内部审计工作效率和管理水平,实现内审工作从手工化向信息化、自动化、智能化过渡,更好地服务于企业业务运营、风险管理与防范反舞弊等方面的工作。因此,在进行系统选型和设计时,应充分考虑企业的信息系统建设现状、内部审计工作的需要并结合国内外成熟的IT技术及项目经验。建议考虑的两个基本原则如下:一是业务系统尚不完善时暂不考虑通过系统支持审计持续化。对于信息化程度相对不成熟的企业,如果业务系统的建设尚处于初级阶段,对业务流程和运营的支持力度有较多的提升空间,或者对信息系统的建设将发生较多和较大的变化,建议在审计信息系统选型和设计时优先考虑实施审计流程管理系统,而暂缓考虑系统对审计持续化的支持。否则,一方面业务系统可能无法提供审计工作持续化所需要的信息和数据,另一方面,业务系统未来不断地变化和发展将导致审计信息系统需要不断变化并与之适应,带来巨大的成本。二是业务系统完善并且审计职能有需要时可考虑通过系统实施审计持续化。如现有业务系统环境允许,可根据实际情况考虑实施成熟的GRC系统或开发设计完整的内审系统。一些ERP厂商提供了风险管理、内控和内审相关的产品,例如SAP GRC,它能够与SAP ERP系统整合在一起,方便地实现对业务流程控制的及时监控和风险防范。对于已经实施和使用SAP ERP系统的企业来说,实施SAP GRC可以实现与ERP系统的无缝集成,并极大地减少系统开发和定制的工作量。而对于其他一些企业,如果使用的业务系统种类繁多,可能会需要开发和设计与自身业务系统接口的内审系统以支持持续性审计。

相关文章: