●中国石化集团公司审计局武汉分局 刘文汉
随着现代信息技术的发展,传统的企业经营模式、管理模式和核算模式发生了巨大的变革,与此相适应的内部审计也应有所创新,内部审计信息化应运而生。所谓信息化是将信息技术应用于某一领域,通过改变作业方式和流程来提高运行效率与处理能力的一个过程。而审计信息化则是通过一个信息化的转变过程,使审计工作达到最大程度处于体现信息技术、运用信息技术的状态。内部审计信息化是应对信息化环境给审计工作带来挑战的有效途径。
近年来,内部审计所涉及领域的信息化建设迅猛发展,特别是随着ERP系统、电子商务的建设,物联网、云计算等新信息技术的涌现,使得信息的收集、传递和处理方式发生巨变,传统审计已不能适应发展的需要,应用信息技术成为内部审计不可逆转的必然方向。而随着数据库技术、网络技术、存储技术的发展,审计信息系统能够方便地采集、分析被审单位信息系统中的数据,一般审计人员只需掌握查询检索等操作技能,即可开展工作,极大地推动了内部审计信息化的发展。
从内部审计信息化发展环境和现状看,其未来发展将呈现集成化、智能化、全面化和通用化的趋势特征。目前内部审计涉及的许多领域都有相应的信息系统,如物资采购系统、人力资源管理系统、资金集中核算系统、ERP系统等,审计信息系统与之高度集成,实现信息共享,实时数据采集、分析,既可提高审计效率,又可前移审计关口,有效降低企业经营风险;在实现集成化之后,审计信息系统将进一步向智能化方向发展,能够对照管理标准自动分析对比、设置参数自动提示风险等,实现智能预警功能。同时,审计信息化将逐步覆盖审计的各个阶段、各个环节、各类业务,实现各个阶段、环节和业务的无缝衔接,体现全面化的特征;审计信息化也将更加注重其通用性,做到不仅各级审计部门可用,不同审计项目类别可用,其他监督部门也可用,真正实现资源共享。
(一)内部审计信息化的基本条件
1.具备信息化的建设环境。内部审计信息化的前提条件是审计对象的信息化,而且审计对象的信息化程度决定着内部审计信息化的水平。审计对象没有实现信息化,审计信息系统就会成为“无米之炊”,没有系统的信息和数据来源,无法发挥信息技术的优势。
2.具有信息化的硬件基础。信息化需要硬件投入,没有硬件装备的支持,信息系统就会成为“无本之木”、“无牙之虎”。因此,内部审计走信息化之路的基础性工作,就是要投入适量的资金,配备必要的硬件设施。
3.拥有信息化的软件系统。计算机软件是实现人机对话的桥梁和纽带。内部审计软件的发展经历了从无到有、从简单到高级的几个阶段,审计工作的信息化也经历了从公文处理系统到审计查证系统,再到审计集成系统、审计智能预警系统等发展阶段。随着软件系统的不断完善和改进,信息化的功能和作用越来越强大。
4.配备信息化的人力资源。审计人员除了需要运用传统的审计技术与方法以外,信息化环境下的审计工作还需要借助信息技术来达到审计目的,这就需要审计人员掌握计算机的基础知识,并对信息系统有比较深入的了解。
(二)基本原则
1.客观性原则。每个企业都有各自的实际情况,实现内部审计信息化要从本企业审计对象信息化的客观实际和内部管理的现实需求出发,既要防止无动于衷,又要防止贪大求全和“一窝蜂”,做到立足现实与长远规划相结合。
2.适用性原则。内部审计信息化作为企业整体工作的内容之一,也要坚持成本效益原则,根据领导层的风险偏好、其他信息系统的控制能力等,适度开发适用的审计信息系统,以实现企业效益和审计效率的最大化。
3.重在应用原则。内部审计走信息化之路的目的是为适应信息化社会的发展,更好地发挥职能作用。只有充分将其应用到审计实践中才能达到这一目的,否则投入再多的软硬件都是摆设。
4.开放性原则。审计信息系统的全面推广,是审计信息化工作的统一要求。所有审计人员在审计信息化工作中形成的专家经验、实用性强的小软件等成果都应当继承和大力推广。只有坚持开放性的思维,鼓励“八仙过海、各显神通”,才能不断完善审计信息化工作。
5.全员参与原则。内部审计信息化涉及全部审计人员,在这场审计技术变革中,从系统需求分析、测试推广,到实际运用等,没有人可以作壁上观,否则就将失去审计资格。
(三)建设范畴
1.风险防范预警的信息化。内部审计的目标之一是防范企业面临的各种风险。通过信息系统将企业日常业务数据与制度标准进行对比,并将不一致的异常事项预警预报出来,为审计部门全面系统地、及早发现苗头性和倾向性问题提供帮助。这种对关键控制点进行风险防范和适合条件的逻辑进行预警,可以起到事半功倍的效果。
2.审计查证与分析的信息化。内部审计要发挥职能作用,及时发现问题,切实消除“病毒”,审计实施环节是关键。因此,打造功能强大的审计查证与分析系统,实现审计实施过程信息化,不仅是审计技术创新的关键所在,而且是实现远程审计的必由之路。
3.科学审计管理的信息化。审计管理包括内勤管理和外勤管理,将审计质量的过程控制、审计成果的统计分析、法律法规的查询支持、业务层面的培训讨论等,全面纳入系统管理,实现审计管理信息化,从而有效促进审计管理规范化、标准化。
4.审计办公的信息化。办公自动化是审计信息化的重要内容之一。审计部门与其他部门之间、审计部门内部之间实现公文、信息资料的自动传输,以及视频会议系统的建立等,不仅可以提高工作效率,而且可以节约审计成本和资源。
(四)主要程序。内部审计信息化的工作程序主要包括可行性研究、需求分析、系统设计、系统开发、系统测试、系统上线、编制用户手册、项目验收、用户培训、维护完善等。在整个信息化建设过程中,既要重视信息系统的前期开发与应用,又要重视后续完善和相关运维工作,其中“重中之重”的是前期的需求分析和后期的维护完善。在确定系统开发可行的情况下,对系统需要实现的各个功能进行详细需求分析,不仅是整个系统项目开发的基础,而且关系到信息系统的成败。在信息系统的日常运维时,要针对系统使用过程中发现的问题,或管理需求的变化,进一步修补、开发信息系统,加强后续完善工作,以满足信息化发展的要求。
本文以中国石化集团公司内部审计信息化的为实际案例,着重分析审前、审中、审后三个阶段的信息化情况。
(一)审前阶段的信息化。主要基于ERP系统及相关数据仓库开发能够自动和自助预警与分析的审计智能预警系统。该系统由若干个程序组成,涉及财务管理、采购业务、销售业务、工程投资等主要业务流程的关键控制点,并对其实现预警预报。主要功能包括自动预警、自助预警、查询分析、闭环管理和预警结果分析等五项。
1.自动预警,重点关注“对不对”。能在审前自动将企业日常业务数据与制度标准进行对比,并将不一致的异常事项预警预报出来,不仅为审计部门全面系统地、及早发现苗头性和倾向性问题提供帮助,而且可减少现场审计时间,减轻企业迎审负担。借助闭环管理功能还可对异常事项进行核实,确保问题或线索及时得到处理;借助预警结果分析功能,审计人员对预警问题进行回溯,圈定问题的频发单位、高发流程及环节,为审计立项和现场查证工作提供帮助。例如:
在“采购业务模块”中,按照采购业务流程的关键控制点设置部分相关业务的预警菜单,对接企业有关信息系统和数据仓库,对比相对稳定的制度标准,自动预警企业所有信息化单位的采购计划、采购渠道、采购方式、采购合同和采购付款等环节的异常事项,以此风险为导向,可为把握审计方向、选择立项单位,以及确定审计重点、增强实施方案的针对性提供依据。如:“采购计划异常菜单”预警企业无计划或超计划采购业务;“非资源库供应商菜单”将企业在ERP系统中维护的供应商主数据与MDM系统 (中国石化信息化标准管理系统)进行比对检查,筛选出非资源库供应商(包括在MDM中不存在、MDM中被冻结而企业未冻结、手工维护的供应商三个预警点);“未通过MDM创建物料菜单”预警超出供应商入选物料范围的采购业务;“独家采购异常菜单”、“采购类型异常菜单”、“应招标未招标采购菜单”预警没有询比价、应直(组)采实际自采、未通过电子商务网站及应招标未招标的采购业务;“采购合同倒签菜单”预警结算日期、交货日期早于合同签订日期,结算日期早于交货日期的采购业务;“采购订单结算金额异常菜单”检查三单匹配情况,预警结算金额大于订单金额。
2.自助预警,重点关注“好不好”。自助预警是将业务数据与审计人员根据项目需要选择的标准(如:预算指标、行业先进指标、风险较大的业务等)进行比较,并将不一致的事项预报出来,为审前调查和现场查证服务。审计人员对使用的标准有选择权,通过选择不同的标准,可以多角度看待问题,利于作出客观的审计评价。例如:
在“采购业务模块”中,针对被审单位的实际情况和容易变动的对比价格,审计人员自主选择比较标准,设置条件参数,自助预警采购价格方面的异常事项,为确定审计重点提供依据。如:“采购价格超中石化平均价菜单”预警企业采购价格超过中石化相同物料采购平均价的采购业务;“同期同企同供采购价格比较菜单”筛选出同一时期同板块企业从相同供应商采购同一物料价格差异较大的业务;“采购销售价格倒挂菜单”检查成品油外采价格与销售价格倒挂的情况。
3.查询分析,主要用于分析性复核和实质性测试。审计人员根据预警系统提供的可供选择的条件,自行对审计对象进行查询并分析(不提供与标准对比功能)。例如:在“采购业务模块”中,针对审计项目的实际情况,利用预警系统进一步查询异常变动事项,分析其变化的合理性。如:“积压物资动态分析菜单”、“库存变动差异菜单”、“3年物资出入库检查菜单”等,从多角度、多方面查询分析库存物资变化的合理性。
(二)审计实施阶段的信息化
1.基于ERP系统,开发ERP环境下的计算机辅助信息系统AIS。该系统主要有财务成本管理审计、库存和采购管理审计、销售管理审计等模块。财务成本管理审计模块,为会计科目、财务凭证、货币资金等审计业务提供分析、查证支持;库存和采购管理审计模块为采购计划、采购业务、存货管理等业务提供分析、查证支持;销售管理审计模块为客户信用、销售价格、销售业务等提供分析、查证支持。另外,AIS系统还具有配置审计功能,可以查询审计对象的基础信息、经营管理政策等内容,能够帮助审计人员远程了解企业的基本情况和财务运营状态等。
2.基于ERP系统,开发ERP环境下的审计抽样系统。其主要作用是科学地选择检查样本,既为确定审计重点提供支持,又可合理地评估企业风险。该系统分为财务抽样、物资管理抽样、销售抽样、项目抽样等模块,每个模块根据不同抽样总体设置相应的事务路径,如财务抽样模块设置会计科目抽样、会计凭证抽样、银行账号抽样等,物资管理抽样模块设置供应商抽样、采购订单抽样等。并按照国际通行的抽样模型,采取随机抽样与判断抽样相结合的程序和方式进行审计抽样,首先将大于等于总体数额5%的标的确定为重要事项作为必查样本,对小于重要性标准的事项采用随机抽样的方法选择样本,且自动形成样本清单,供审计人员测试与检查相关业务。
例如,针对采购付款方面的预警事项,在审计抽样系统中,选取财务抽样模块的相应事务代码(ZFIRAIS042会计凭证抽样或ZFIRAIS041会计科目抽样),根据审计实施方案确定的审计范围,设置被审单位公司代码、样本时间范围和会计凭证/科目标识等抽样条件,显示样本总体数据后,再选择付款总额的5%作为重要性标准,系统自动选出大于等于重要性标准的会计凭证作为必查样本,对于小于重要性标准的按随机原则选取,加上预警样本,构成实质性检查的样本清单。然后,运行AIS系统的ZFIRAIS003(凭证抽样查询)、ZFIRAIS036(应付款项余额表)等事务代码,对相关会计凭证样本进行穿透查询,并结合线下有关资料进行审计判断。不仅能合理评价预警事项的代表性,避免“就事论事”、“以偏概全”,客观评价企业付款方面存在的风险,而且使抽查样本更客观、科学,具有较强的可复核性,抽样结果易得到被审计单位的认同,能有效控制审计风险。
(三)审计过程控制和后续管理的信息化。主要基于单位门户网站,开发审计信息集成管理系统。该系统集成了审计项目的全过程控制和在线管理、审计成果的统计分析、有关法律法规的查询支持、远程培训和业务讨论、材料传递和考勤管理等多项信息化管理功能。不仅提供了一整套标准化的审计作业流程,它可以帮助审计新手很快进入角色,防范由于经验不足导致的审计风险,同样可以帮助具备一定审计经验的老手克服单凭经验的习惯,避免由于未保持必要的职业谨慎导致的审计风险,而且进行在线控制,实时反馈工作进度和审计成果,使审计工作更加规范、快捷。
例如,利用“审计项目管理”模块,将审计查证的付款情况等,在“现场实施”环节线上“生成审计工作底稿”(或上载线下审计工作底稿),并设置小组长复核、主审复核、审计组长审核等质量控制节点,并能留下复核意见、修改痕迹和操作时间。且只有在操作“现场实施完成”程序后,才能进入下一个环节——“审计报告”环节,依次类推,直至“审计整改情况”、“审计项目归档”环节,实现审计项目的全过程控制和在线管理。同时,“审计成果统计分析”模块实时、自动收集并反映该项目的动态、专项、汇总信息。既能提高审计质量控制的效率,又能为评价考核审计工作绩效提供依据。
(一)内部审计信息系统开发缺乏前瞻性和发展性。企业管理的现代化、审计环境和审计对象的信息化呈现快速发展趋势,而有些内部审计信息系统的开发没有跟上发展节奏,有的系统开发缺乏前瞻性,推广投用时就不能适应现实管理(包括内部审计管理)需要及有关信息环境;有的系统开发后一劳永逸,没有适时跟进审计环境和审计管理的变化而完善相关内容,缺乏发展性,戴上了“落后”的帽子,影响了内部审计信息系统的运用。为此,在开发信息系统时,应统筹考虑经营(审计)管理和经济发展的需要,提出前瞻性的开发需求,并预留后期镶嵌端口,便于更新补充。同时,明确软件公司的后期服务责任,及时帮助解决问题。
(二)内部审计信息系统与其他信息系统融合不够。有些企业的信息化没有做到一体化,特别是不由一个部门来开发和利用,存在多种信息系统互不相通、互不相连的问题,在没有同步开发审计信息系统的情况下,容易形成信息孤岛。如在数据的获取和转换方面:一是审计信息系统不能自动完成取数任务。大型企业集团一般都有若干个事业部和分子公司,所用的软件和版本五花八门,在计算机审计的第一步——取数问题上,常常会面临审计软件不能自动取数和取数不全等问题。二是审计信息系统转换数据不成功。衡量数据的成功转换有两个标准,即:转数模版是否已将获取的数据库成功转换成审计系统能够识别的数据,转换后的数据是否正确可靠。在审计信息系统未与其他信息系统有效融合的情况下,实际应用时就可能出现不能识别、数据不正确等问题。不能解决上述问题,就会影响审计信息系统的有效运用。为此,在开发信息系统时,需要通盘考虑,各类信息系统尽量使用相同类型的数据库,或者在开发审计信息系统时,要求有关技术人员有针对性地编译备用转数模版。
(三)对信息系统的运用存在万能和无用两种错误观点。审计信息系统的应用价值主要在于提高审计工作的质量和效率,其优势与作用也是显而易见的。当然,审计信息系统不可能全部替代审计人员的劳动,更不可能替代审计人员的创造性思维和综合分析判断。因此,审计信息系统即使再先进,也要受自身系统开发技术和需求限制的影响,受其他信息系统兼容情况的限制,也受审计人员操作水平的制约。但在实际应用过程中,容易出现两种错误观点:一种认为审计信息系统无所不能,能发现所有问题和风险,审计工作完全依赖、相信审计信息系统,体现绝对有用论的观点;另一种认为审计信息系统作用不大,只能机械地提供通用数据,进行有限范围的查询,针对性不强,也缺乏个性化的判断标准,准确率不高,体现无用论的观点。为此,审计人员应正确对待审计信息系统,既不完全依赖审计信息系统,要结合审计人员的专业技能进行职业分析判断;也不完全弃用审计信息系统,要结合审计对象的实际环境,设置合理的参数、筛选合适的模块,提高使用效率。
(四)对信息系统的应用效果缺乏科学合理的分析评估。实践是检验真理的唯一标准。审计信息系统应用的效果决定审计信息化工作的好坏。但在实际工作中,缺乏对审计信息系统应用效果进行科学分析评估的程序与方法,当出现闭门开发、需求不周全,匆忙推广、应用条件不具备,注重形式、忽视实际应用成效等问题,影响审计信息系统应用效果时,却没能及时分析、评估和改进。为此,应采用“质量环节控制法”,对审计信息化工作的每个环节开展科学评估,进行质量控制,保障应用效果。如在需求分析环节,充分听取各方意见,细化需求内容、深化需求层次;在测试工作环节,要深入细致测试每个模块,完整收集测试信息,不求表面奉承,切实弥补缺陷;在推广使用环节,重视后续服务,及时修订补充。
(五)内部审计管理体制和机制不适应信息化发展需要。没有体制的保障和机制的配合,就会增加不确定性,单纯思想上重视不能保证审计信息化工作的有效发展。但有些企业在内部审计大量信息化后,其审计管理体制、人员配置与绩效考核机制、管理制度规范与业务操作流程等还停留在非信息化阶段,不能适应信息化发展的需要,出现了信息化工作流程没有制度约束、审计风险的评估标准缺乏等问题。为此,应将内部审计信息化环境下的体制机制和制度建设纳入“一把手工程”,以体制促信息化建设、用制度保信息化发展。
1.ERP应用教程编委会.2011.ERP财务管理应用教程.立信会计出版社。
2.刘希俭等.2011.企业信息化实务指南.石油工业出版社。
3.吴澄.2013.信息化与工业化融合战略研究:中国工业信息化的回顾、现状及发展预见,科学出版社。
4.周立云.2013.浅谈信息化条件下审计抽样方法在内部审计中的应用.中国内部审计,4。