内部审计的内容|浅谈内部审计信息化
作者:林颖华
中国内部审计 2015年04期
一、内部审计信息化的发展
根据国际内部审计师协会的定义,内部审计是一种独立、客观的确认和咨询活动,旨在增加价值和改善组织的运营。它通过应用系统的、规范的方法,评价并改善风险管理、控制和治理过程的效果,帮助组织实现其目标。而随着信息技术飞速发展给企业经营管理活动带来的巨大变化,它不但提高了传统业务流程的效率,加强了企业内部、企业与客户、企业与供应商的沟通,也为企业的经营带来新的发展契机。显然,发生这种变化的同时,也给内部审计领域带来新的冲击和挑战。
随着信息技术发展在内部审计领域的运用程度不断深入,内部审计信息化的发展通常按以下三个阶段不断提升(见图1、图2和图3)。
在信息技术最初运用在内部审计工作中时,仅仅是将审计的相关文档,如审计程序、步骤、审计发现、结果以及跟进状态等信息进行电子化记录和归档。审计文档电子化的实现,可以方便内部审计工作的记录、查询、保存和共享,是内审信息化的最早形态。随着计算机的普遍运用,绝大部分企业目前均已实现审计文档的电子化。
尽管审计文档电子化带来了一些便利,但对于内审项目的管理和协同方面仍然存在许多不足,因此一些企业开始实施审计流程管理系统,除了保存审计电子文档外,还可以进行审计项目计划、人员调配、时间安排、执行风险评估,使审计工作流程化、规范化,有助于审计人员的协同工作,以及提高审计工作质量。
随着企业业务运营对信息系统和数据的依赖程度提高,更多的企业开始关注持续性审计,也就是在信息系统建设的基础上,通过数据的抽取、过滤和分析,实现对业务与流程的实时监控和审计,并通过运用多样化的数据分析和挖掘手段,更好地识别数据中所蕴含的价值。通过持续化的审计,内审部门可以及时了解被审计单位的业务流程现状,实现实时审计,大大提高了审计的时效性和效率。为实现审计工作持续化,在本阶段内审部门往往通过运用计算机辅助审计工具、数据统计分析工具,以及借助与业务系统集成的审计信息系统或GRC(治理、风险与控制)系统的实施。
二、内部审计信息化能力与需求趋势
甫瀚咨询连续多年持续对内部审计能力与需求开展调查。根据近几年的调查结果显示,无论企业规模的大小,计算机辅助审计技术(CAAT)及数据分析的重要性都得到持续的关注,成为内部审计职能亟待提升的五个主要领域之一。内部审计师有意加强其在计算机辅助审计工具以及持续审计和监控技术方面的知识水平。同时,内部审计职能部门也打算充分利用一些更高级的数据分析工具来支持风险管理及企业整体业务目标的实现(见图4)。
三、如何实现内部审计信息化
与传统内部审计相比,内部审计信息化的目标是逐步实现以下几方面的转变:一是逐步实现审计管理工作从手工转变为系统化;二是逐步实现从手工查账的审计转变为运用计算机对电子信息数据的审计;三是逐步实现从财务数据的审计到对包括财务和业务数据同步审计,以及信息系统的审计;四是逐步实现从事后审计转变为以在线监控为主,事前、事中和事后相结合的审计。
内部审计信息化建设将重点关注内部审计信息化的两个热点:内部审计信息系统建设和计算机辅助审计工具的使用。
(一)内部审计信息系统建设
1.系统选型和设计原则。内部审计信息系统的建设,是为了更好地履行内部审计职能,提高内部审计工作效率和管理水平,实现内审工作从手工化向信息化、自动化、智能化过渡,更好地服务于企业业务运营、风险管理与防范反舞弊等方面的工作。因此,在进行系统选型和设计时,应充分考虑企业的信息系统建设现状、内部审计工作的需要并结合国内外成熟的IT技术及项目经验。建议考虑的两个基本原则如下:一是业务系统尚不完善时暂不考虑通过系统支持审计持续化。对于信息化程度相对不成熟的企业,如果业务系统的建设尚处于初级阶段,对业务流程和运营的支持力度有较多的提升空间,或者对信息系统的建设将发生较多和较大的变化,建议在审计信息系统选型和设计时优先考虑实施审计流程管理系统,而暂缓考虑系统对审计持续化的支持。否则,一方面业务系统可能无法提供审计工作持续化所需要的信息和数据,另一方面,业务系统未来不断地变化和发展将导致审计信息系统需要不断变化并与之适应,带来巨大的成本。二是业务系统完善并且审计职能有需要时可考虑通过系统实施审计持续化。如现有业务系统环境允许,可根据实际情况考虑实施成熟的GRC系统或开发设计完整的内审系统。一些ERP厂商提供了风险管理、内控和内审相关的产品,例如SAP GRC,它能够与SAP ERP系统整合在一起,方便地实现对业务流程控制的及时监控和风险防范。对于已经实施和使用SAP ERP系统的企业来说,实施SAP GRC可以实现与ERP系统的无缝集成,并极大地减少系统开发和定制的工作量。而对于其他一些企业,如果使用的业务系统种类繁多,可能会需要开发和设计与自身业务系统接口的内审系统以支持持续性审计。
2.审计流程管理系统。在建设审计流程管理系统时,应与现有内部审计业务工作进行无缝对接,满足内部审计工作各环节需求。根据审计业务工作流程,通常审计信息系统至少具备以下基本功能(见图5)。
3.与业务系统集成的持续审计系统。在设计与业务系统集成的持续审计系统时,应充分考虑前瞻性、战略性、可拓展性、具有商业智能,使其向满足实际工作需求、便捷高效、具有强大分析及决策支持功能的、覆盖内审工作各环节的内部审计信息系统。对于其功能可考虑如下方面:一是实现与现有各业务信息系统数据自动抽取和实时交互,利用先进数据仓库、数据挖掘技术,实现内部审计数据来源自动化、实时化、可视化;二是建立拓展性强、部署灵活、配置便捷的内部审计信息系统,更好地适应企业内审实践的逐步优化、变更和完善,打造面向未来的、具有前瞻性、创新性的内部审计信息化解决方案;三是采用先进的信息技术和商业智能工具,打造具有高度智能的、多维度分析与报表展示及决策支持功能的内部审计信息系统(见图6)。
(二)计算机辅助审计技术(CAAT)的运用
在建设与业务系统集成的内审信息系统尚不成熟的情况下,内审部门也可借助CAAT的运用,对业务系统中的数据进行统计分析,提高内审工作的效率。使用CAAT的好处包括:一是在审计的样本测试时可选择全部样本而非抽样进行测试,使审计范围覆盖面更完整,测试结果可靠性更高且提升效率;二是可以用来进行趋势分析、异常分析和对比分析,有助于发现舞弊的危险信号;三是可以从不同角度为管理层提供更有价值的改进建议。常用的CAAT工具有ACL、IDEA、Microsoft Access和Microsoft Excel等。
四、内部审计信息化建设的难点与解决方案
随着企业各项业务信息化程度的提高,企业内部审计职能对于信息化的需求也不断提升,而在内审信息化的过程中也面临着许多难点和挑战,以下是主要难点及解决方案。
1.管理层对内部审计信息化重视不足,使内部审计信息化建设缺乏足够的资源支持。尽管内部审计信息化能够带来很多的好处,如改进内审工作方式,提高工作效率,提升审计质量,但管理层可能尚未意识到这些作用,包括对内审工作本身缺乏重视,因而无法提供足够的资源来支持内审信息化建设,影响了内审信息化的发展。对于此问题,需要从控制环境本身入手,提升管理层对于内审工作的关注,明确内部审计职能的定位,合理设置内审组织架构以确保其独立性、客观性和权威性,并加强对于内审信息化作用的宣贯,从意识层面提高整个管理层对于内审信息化的重视,从而使内审信息化得到管理层的支持。
2.企业信息化建设发展相对滞后,不足以支持内审信息化建设的开展。完整的内审信息化建设强调对不同信息系统的数据采集、分析和鉴证,而一些企业在信息化建设过程中缺乏完整的信息规划,信息系统建设各自为政,使得企业形成许多数据孤岛;或者是系统建设相对落后,无法通过系统提供必要的数据,从而给内审信息化带来困难。这些企业在开展内审信息化建设时应从企业实际情况出发来考虑内审信息化建设。例如:先提升信息系统和数据的建设,再开展内审信息化建设;优先进行审计流程系统化建设,待信息化基础相对完善和稳定时再开展持续性审计;根据实际需要考虑CAAT工具的运用而不是直接进行内审系统的实施。
3.许多企业缺乏具备必要知识与技能的人才来支持内审信息化。内审信息化建设过程中,无论是开发和运用CAAT工具,还是建设内审信息系统,都需要有人员拥有适合的知识与技能来完成开发和建设,同时,在建设完成后内审人员使用时,也对内审人员的知识与技能有着新的要求和挑战。因此,企业在内审信息化建设过程中,可以考虑借助外部工具和系统提供商的经验,并通过各种培训和学习提升内审人员的知识与技能,使之能够应对内审信息化带来的挑战。
作者介绍:林颖华,甫瀚咨询公司
https://m.hy-hk.com/327156.html
