论集团企业内部审计信息化的顶层设计_内部审计论文

浅谈集团企业内部审计信息化的顶层设计，本文主要内容关键词为：浅谈论文,内部审计论文,集团论文,企业论文，此文献不代表本站观点，内容供学术参考，文章仅供参考阅读下载。

      近年来，集团企业内部审计信息化取得了积极进展，各类集团企业在审计管理、审计作业及实务、审计查证分析到在线审计等计算机辅助审计软件（系统）等方面都出现了一些优秀的成果和好的经验，有力地支持了内部审计工作的管理。但是内部审计信息化也面临一些“瓶颈”、困难和挑战。尤其对于大型集团企业，信息化目标不能仅在于满足审计管理和审计作业这个层面，而是要上升到促进集团企业内部审计体系建设、实现内部审计目标和价值、有效利用集团企业业务信息资源、融入集团企业经营管理信息系统等高度。内部审计信息化在定位与作用、整体规划、体系化建设等顶层设计方面有待进一步研究和加强。

      一、集团企业内部审计信息化顶层设计的原则

      （一）顶层设计的方法论

      从原理上讲，顶层设计是运用系统论的方法，从全局的角度，对某项任务或者某个项目的各方面、各层次、各要素统筹规划，以集中有效资源，高效快捷地实现目标。

      顶层设计的主要特征：一是顶层决定性。顶层设计是自高端向低端展开的设计方法，核心理念与目标都源自顶层.因此顶层决定底层，高端决定低端。二是整体关联性。顶层设计强调设计对象内部要素之间围绕核心理念和顶层目标所形成的关联、匹配与有机衔接。三是实际可操作性。设计的基本要求是表述简洁明确，设计成果具备实践可行性，因此顶层设计成果应是可实施、可操作的。

      （二）内部审计信息化顶层设计的原则

      按照顶层设计方法论，内部审计信息化是一项系统工程，需要遵循以下三个原则：

      1.内部审计信息化应采用自顶向下的设计方法。一是确定内部审计信息化定位和目标。要分析内部审计战略、体系、机制等宏观层面要素，研究确定内部审计信息化在哪些方面能给予支持，目标和定位在哪里。不要一开始只专注于审计业务流程、细节、审计分析的软件等，要从大处着眼。二是分析集团企业整体信息化的环境，明确集团企业信息化的思路、原则和要求，确定内部审计信息化在整体信息化中的位置和关系。内部审计信息化不能脱离集团企业信息化环境，不能简单地照搬外部审计信息化的经验和成果，要紧密结合集团企业本身的实际。三是把内部审计信息化的目标自上而下分解，在整体设计的基础上落实到具体的内部审计信息系统和功能模块中。

      2.内部审计信息化应注重统筹规划和整体设计。一是分析和确定信息化如何支持集团企业内部审计的管理模式和架构，这是实现信息化支持集团企业内部审计战略和机制的基本要求。要把集团总部审计机构的需求与所属单位审计机构的需求结合起来，通过信息化形成一体化的管理系统。二是考虑内部审计信息系统内部的关联性，明确审计管理、审计作业、审计查证分析和审计监督预警之间在工作要求、工作流程、审计数据交互等方面的关系，通过信息化，把四者紧密结合起来，避免造成内部审计信息系统内部的“信息孤岛”。三是强调内部审计信息系统与集团企业其他业务系统的关联性，以实现内部审计与其他经营管理业务互联、互通和互服务为方向。实现与其他业务的“三互”是内部审计信息系统支持内部审计和集团企业经营管理活动的基础。以实现“三互”为方向，是提高内部审计信息化实用水平的重要保证，也是集团企业整体信息化的必然要求。

      3.内部审计信息化的设计应具有可操作性。一是从应用角度，内部审计信息系统的设计应符合内部审计从管理模式到审计业务操作的工作实际，具有可操作性。在整体设计中，要详细调研分析集团企业审计管理、审计作业、审计查证分析、审计监督预警等工作对功能、流程、信息和数据的需求，使内部审计信息系统在审计工作中可用、好用。二是从开发实施角度，内部审计信息系统的设计在技术上具有可操作性。从目前实践看，审计管理和审计作业系统采用的技术和产品比较成熟，不管功能和流程如何复杂，从技术上都可以实现。但对于审计查证分析系统和审计监督预警系统而言，就比较复杂。集团企业各业务系统采用的技术都不一样，审计查证和监督预警的需求、功能、数据能否通过系统接口等技术实现，需要详细论证。应该根据不同企业、不同业务系统的实际情况分析确定，才具有可操作性。

      二、集团企业内部审计信息化顶层设计的基本内容

      （一）明确内部审计信息化的作用和定位

      按照顶层设计的方法论，集团企业内部审计信息化顶层设计首要任务是明确信息化的作用和定位，也就是确定内部审计信息化应该在哪些方面支持集团企业内部审计体系及审计工作，至少应包括以下三个方面：

      1.审计管理体制。集团企业内部审计可以有多种管理体制：一级管理体制（以集团公司审计业务与人员组织为主导、以子公司内部审计自身审计为基础的集中管理模式，中国建设银行股份有限公司已经建立了独立、垂直的新型审计体系，对各级分行审计部门实施垂直管理）；二级管理体制（集团公司审计业务与人员组织的集中领导与分级管理，中国石油集团股份有限公司内部审计也实行“统一管理，分级负责”的二级审计管理体制，强化上对下的垂直监督）；合成型管理体制（集团公司采取上下结合的组织管理方式，致力于实现审计执业与人员组织管理之间相互协调或相互衔接的、有机组合目标，中国石油化工集团股份有限公司建立了审计业务与管理分离、上下结合的新集团公司内部审计管理体制）；权变型管理体制（随着企业内部审计内外环境、基本职能、战略发展目标等方面的变化而在组织管理与业务执行控制方面进行主动调整和变化的一种致力于不断改革与创新的内部审计管理体制，国家电网公司建立了总部与区域分部一体化运作的审计工作新机制，实行统一领导、分级管理、分层负责管理体制）。内部审计信息化应该根据集团企业的实际情况支持以上相应的管理体制，把集团总部、分部及所属单位审计工作集成起来，把统一领导与分级管理结合起来。以统一的审计管理和作业实施工作规范，建设一体化的审计工作平台和系统。

      2.审计运行机制。传统的内部审计只是一个审计报告的生产过程。在新形势下，内部审计要通过自身的流程再造，应对环境变化带来的挑战。内部审计要在熟悉业务流程的基础上，着眼于未来的风险分析、预测报告，建立起一整套事前预防、事中监督和事后审计相结合的全程监控的内部审计模式。内部审计信息化不仅支持传统审计作业的流程和事后的审计监督，还要着眼于支持内部审计在事前预防和事中监督，支持对业务风险预测和经营管理活动的监控。

      3.审计质量控制。加强审计质量控制是内部审计的永恒课题。审计质量包括审计管理质量和审计实务质量。审计管理质量是指审计工作管理和控制的质量，包括审计计划及项目等工作管理的质量和审计质量控制；审计实务质量是指具体审计操作的质量，包括分析审计风险、确定审计范同和内容、采集和分析审计数据、发现审计线索、实施审计查证等。内部审计信息化一方面要强化审计项目质量控制程序和方法。以项目管理为切入点，支持项目组的审计质量控制以及独立于项目组的审计督导；另一方面要支持在信息化环境下保障审计过程符合审计目标、审计关注不偏离脱离焦点、重大问题不疏忽放过，确保审计质量的基本要求。

      （二）明确内部审计信息化在集团企业整体信息化框架中的位置

      1.提升内部审计信息化在集团企业信息化管理框架中的层次。集团企业一般都有信息化的总体规划和框架，其中应该有内部审计信息化的位置。因为内部审计本身是集团企业管理的组成部分，内部审计信息化不能是独立、孤立的体系，必须将其上升到集团企业信息化管理框架的更高层次。要将内部审计信息化发展规划纳入集团企业总体信息化规划中同步实施，逐步使内部审计业务和管理工作与集团企业的信息化环境相适应，最终实现内部审计信息化与集团企业信息化同步发展。

      2.做好内部审计信息系统与其他业务系统结合的筹划。如前所述，内部审计信息化不仅要支持事后审计查证，而且要支持内部审计在事前预防和事中监督预警发挥作用，因此，内部审计信息系统必然与业务系统紧密结合起来。要进一步转变自我建设、独立发展的观念，建设过程中要坚持把握实现与其他业务的互联互通，从根本上杜绝设计的单一性，从业务上保证接口的统一性，使得内部审计信息系统能够与其他信息系统有机地融合，避免建设因业务而异造成信息化建设的重复浪费。这种结合和融合最好在业务系统规划、设计和建设中进行，把审计监督需求纳入业务系统的需求和设计中，一方面使业务系统尽量满足审计监督在业务数据及控制的要求；另一方面为系统间的结合方式和技术实现做好准备。

      （三）确定内部审计信息化应用架构

      在确定了内部审计信息化的定位、在集团企业信息化整体框架中的位置的基础上，制定内部审计信息化的应用架构，即内部审计信息系统的总体架构。

      1.内部审计信息系统总体架构。主要由审计信息门户（信息平台）、审计功能系统、审计数据库、与外部系统接口及基础设施五部分组成（见图1）。（1）对于集团企业，按照“一个平台、两级架构”、“物理集中、逻辑独立”、“集中部署、分级应用”的原则，建立总部审计管理和所属单位审计管理两级信息平台，总部和所属单位共用审计应用系统、数据库及基础设施。（2）审计信息平台是面向有关审计机构和人员，集信息发布管理、综合管理、业务交流等功能为一体的审计综合管理信息平台。用审计信息门户对全系统的审计管理进行集成，提供全集团审计综合管理功能和信息汇总，为领导提供掌握审计工作全局的辅助决策支持服务。（3）审计功能系统是实施审计业务的功能系统，包括审计管理、审计作业、审计查证分析和审计监督预警。其中，审计管理要支持全集团的审计业务管理和协调。审计作业要支持大型审计项目实施方式。实现在同一项目、同一时间、不同区域、不同审计人员之间的资源共享、业务协同，组织管理整体联动，为有效获取和快速传递信息提供了便利；审计作业中要嵌入审计质量控制的具体要求，在标准化审计流程的基础上，支持集团内不同类型和规模企业的不同需求，如审计复核可以是二级、三级或多级复核。可以将审计实务操作固化到作业流程中，指导和规范审计业务；审计查证分析在审计作业流程中，采集相关业务系统的数据或者控制（配置），按照审计分型模型进行分析；在线审计监督及预警是日常与业务系统同步运行，根据设定的审计监督环节的指标自动采集数据进行分析，出现异常，自动报警，实现事中监督。（4）审计数据库包括审计工作数据库和审计对象数据库。其中审计对象数据库是根据审计需要，将相关业务系统中部分业务数据采集过来存储到审计信息系统的数据库中，如所属单位经营管理资料、投资项目信息、资产股权信息等，并且保持与业务系统同步更新。

      

      

      2.内部审计信息系统内外部关联。内部审计信息系统内外部要素关联十分重要，可以说是信息系统的骨干“总线”（见图2）。（1）总部和所属单位各自管理信息平台的信息汇总到集团审计信息系统门户。（2）综合管理信息平台的主要内容来自于四个审计功能系统。（3）总部和所属单位共用四个审计功能系统和数据库，但实现程序和数据的逻辑独立。（4）审计管理与审计作业之间交互审计项目、审计问题、审计报告、审计人员等信息。（5）审计作业和审计查证分析之间交互审计查证的需求和分析结果。如在审计采办业务时，审计作业系统将要查证采办审批信息、采办数据的需求传递给审计查证分析系统；审计查证分析系统将查证分析结果传递给审计作业系统，记入审计工作底稿。（6）审计查证分析系统将查证的业务需求通过系统接口到相关业务系统中采集相应配置或数据（提取、筛选、钩稽、追溯）（见图3）。（7）在线审计监督及预警系统，利用预置的审计模型对被审计单位的数据进行非现场分析。结合日常审计项目发现的问题以及集团企业经营发展中带有普遍性和重点性的风险问题梳理风险预警指标体系，明确风险预警的阀值，并在在线审计预警系统中予以固化。在线审计预警系统可以通过接口定期对审计采集的数据按照风险预警指标体系进行自动分析，对于超出预警阀值的地域及风险环节进行预警。

      （四）内部审计信息化顶层设计需关注的其他内容

      1.内部审计信息系统与业务系统的结合方式。一般来说，内部审计信息系统与业务系统的结合采集数据可以有三种方式：一是把业务系统数据复制到审计数据库中，需要建立庞大的审计数据中心。二是将审计监控模块嵌入企业业务信息系统中，将审计结果传回审计信息系统，需要对集团企业众多的业务系统开发不同的审计模块，且审计模块在业务系统中运行，占用较大的业务系统运行资源。三是建立独立于业务系统，通过接口与业务系统相连的审计查证分析系统，只通过接口采集业务系统数据和配置，在审计信息系统里按照对不同业务的审计分析模型进行分析，不占用太多的业务系统运行资源。采用哪种方式合理，在顶层设计时要明确实现的策略。笔者认为，采取第三种方式更合适。一是集团企业的业务系统数据十分庞大，要再建庞大的审计数据中心，在一定程度上是重复建设和资源浪费。内部审计不同于国家审计等外部审计，应该充分利用企业信息资源。二是审计监控模块嵌入企业业务信息系统中，从理论上看是很好的方式。但是从操作上看，一方面协调难度较大，因为业务系统都是各业务部门主导建设，要统一业务部门的认识，在业务系统中嵌入在线审计监督模块难度较大；另一方面，在业务系统中运行审计监督模块，势必会占用业务系统运行资源，影响业务系统运行效率，业务部门未必愿意。因此，采用第三种方式可以充分共享利用企业的信息资源，又较少地影响业务系统的运行，易于被业务部门接受。从技术上，可以借鉴参考数据挖掘和智能分析软件的思路，通过适当的系统接口抓取数据进行分析。

      

      2.内部审计信息系统开发实施策略。虽然系统开发实施策略更多是技术层面要考虑的问题，但从实践经验看，系统开发实施策略往往成为决定信息系统是否成功的关键要素，需要在顶层设计时一并确定。目前国内外都有一些成品化的内部审计信息系统成品或半成品软件，但对于集团企业复杂的内部审计信息化需求和环境，这些软件不能完全满足集团企业实际需求，需要二次开发。从理论上讲，这些产品都可以二次开发，但实际实施中，针对某个特定集团企业需求的二次开发往往影响这些产品的整体架构，牵一发而动全身，供应商往往不愿意为了特定需求，而调整整个产品的框架和功能，从而使集团企业很多个性化需求得不到满足，导致系统开发实施陷入困境，进退两难；或者已开发的内部审计信息系统不能很好地满足集团企业需求而搁置、废弃，造成浪费。因此，从大多数集团企业的实践经验看，较好的开发实施策略还是要求开发商在具有良好的通用技术开发平台基础上，按照集团企业需求进行定制开发。这样既能更好地满足集团企业实际需求，也有利于未来的系统维护、扩展和深化应用。

      三、中国海油内部审计信息化实践

      （一）内部审计信息化取得了初步成效

      中国海油2007年开始内部审计信息化建设，构建了以审计管理、审计作业和审计分析为主要功能的内部审计信息系统（见图4）。通过几年的应用实践，取得了初步成果。尤其在审计作业及管理系统的开发和应用方面，成效显著。

      审计作业及管理系统进一步细化了审计流程和审计实务操作，提高了审计工作效率和规范性。主要包括：

      1.审计作业流程信息化。内部控制审计、投资项目审计、联合账簿审计等所有项目从审计计划、审计方案、首次会、项目人员管理、审计工作底稿、末次会、审计发现、审计报告、审计整改等全流程在系统中管理。

      

      2.支持审计质量的保障。中国海油经过多年的发展，在内部控制审计、投资项目审计、IT审计、联合账簿审计等积累了较为丰富的审计实践，也建立了较为完善的审计测试流程规范。对审计测试流程进一步梳理，构建审计项目模板库及项目定制程序。通过审计实务模板将公司的内部控制审计、投资项目审计、联合账簿审计的审计指南在系统中固化，规范了审计测试的步骤和要求（见图5）。审计模板库以审计对象、审计流程等维度，系统针对各种审计类型提供信息化支撑环境。程序定制可以参考标准模板，也可以借鉴历史特定项目，以业务流程为主线，自动将公司和审计对象相关的历史审计信息、审计对象资料、流程图、测试程序、经典案例、审计依据等，用于协助审计人员识别风险，确定审计重点。科学、规范的审计质量管理标准体系有效保障审计工作质量，同时提供了较为实时和持续的风险识别支持，为构建风险导向审计模式提供了平台，有效支持和保障审计质量。

      

      3.固化审计管理与作业的既定流程与分级授权系统。首先，系统为各种审计类型的审计流程和程序提供信息化的固化环境，促使审计工作的规范化和标准化。其次，在系统中固化了分级授权的机制，各级审核人、制单人都能够添加修改意见以及备注，并按照流程的流转，列示所有的审核意见。审核意见、修改意见可以在审计步骤中通过链接的方式进行引用，并支持跳转。系统对审计工作底稿、复核意见、修改更新等信息进行记录，从而提高审计信息的可追溯性。最后，实现审计工作底稿的复合编辑，通过链接、嵌入等方式组织和管理各种审计证据，保证审计记录的严肃性和逻辑关系的严谨性。审计作业流程的固化有效提高了审计质量，强化了风险控制。但是在审计分析软件的应用上效果欠佳。当时采用IDEA审计分析软件，通过IDEA与ERP/SAP系统的数据接口（DART格式），将ERP业务数据复制导入到IDEA数据库中，进行分析。由于ERP系统底层数据库表十分复杂，复制的数据要保持复杂的钩稽关系比较困难，再加上IDEA软件需要审计人员根据审计查证经验自行编制查询语句，并关联数据之间的钩稽关系，在实际应用中越来越不可行，因此审计分析软件的应用未达到预期效果。

      （二）全面开展内部审计信息系统整合及深化应用

      在全面评估和总结这几年内部审计信息化经验和教训的基础上，中国海油开始内部审计信息化的顶层设计，对审计信息系统进行整合和深化应用。

      1.制定集团内部审计信息系统整体框架。一是整合集团总部和二级单位内部审计信息系统，实现“一个平台，两级架构”。建立集团统一审计信息门户和应用系统以及集团总部和二级所属单位两级应用平台。总部与二级单位共用审计应用系统和审计业务数据库，但彼此之间实现程序和数据逻辑独立。二是重新梳理和设计内部审计信息系统的内部结构和关系，将审计管理、审计作业、审计查分析、在线审计监督及预警四个组成要素（子系统），按照审计工作流程和需求有机联系起来，形成有序的、一体化的工作流、信息流。

      2.将内部审计信息系统与业务经营管理系统有机结合。在建设好审计信息门户及平台的基础上，全面调研和分析集团主要经营管理系统，把审计需求与业务系统的功能和数据进行匹配，采用适当的接口技术，开发审计查证分析系统和在线审计监督及预警系统。一是结合审计工作特点，汇集审计人员的经验，对涉及财务、采办、销售、工程项目等业务领域的系统，开发包括业务配置（内部控制）和数据追溯、挖掘、分析、对比等功能的审计查证分析系统。二是建设核心业务审计监督及预警系统，从业务部门的核心业务系统（如ERP系统、全面预算、采办管理、装备数据库、工程项目管理、节能减排等系统等）中，实时采集审计关注的数据和控制，进行汇总和分析，及时发现问题；同时设置关键业务预警机制指标，系统自动对偏离正常值的业务报警，提示审计人员关注。通过该系统能真正实现较大程度上的非现场（在线）审计监督及预警。

      推进内部审计信息化建设，以信息技术为依托创新审计方式方法，支持内部审计目标和运行机制是推进集团企业内部审计工作科学发展的必由之路，是在信息化条件下开展内部审计工作的必然选择。在实际建设过程中，对于已有一定内部审计信息化基础的企业，可以采用顶层设计的方法进行评估和梳理、整合和优化；对于尚未开展内部审计信息化的企业，做好顶层设计，将会少走弯路，更快更好地推进内部审计工作信息化的建设。

标签：内部审计论文;  企业流程管理论文;  审计质量论文;  审计计划论文;  审计软件论文;  信息化规划论文;  信息化管理论文;  审计流程论文;  审计目标论文;  业务管理论文;  审计方法论文;  流程优化论文;  管理审计论文;  项目分析论文;  质量监督论文;  项目目标论文;  信息系统规划论文;  业务支持论文;  功能分析论文;  企业内部环境论文;