一、企业集团内部审计信息化的必要性
第一,内部审计信息化建设是适应时代发展、内部审计变革的要求。从整体趋势看来,企业集团数量呈不断增加趋势并在市场中占据着不可替代的重要作用。与传统意义下的内部审计不同,特别是对于企业集团繁多且复杂的业务,从审计方式上看,各种计算机辅助审计技术和工具已成为收集、分析和传递审计信息的重要途径(王道成,2008)。从审计对象上看,信息技术对于企业集团的企业成员之间以及内部经营整体流程进行整合,从而细化了企业的风险和需要严格控制的领域;内审人员不仅要关注业务活动中的错误、舞弊行为,更要警惕和关注信息系统的安全性。从审计重心上看,信息化环境下,内审人员由现场审计向实时审计转变,实现从传统的事后审计逐步转向关注事前和事中的过程审计。因而,在时代发展的要求下,信息技术必然成为内部审计活动的驱动者与协进者。第二,内部审计信息化建设是适应企业集团全面发展的要求。在会计核算、财务管理以及业务流程系统已大范围信息化的前提下,公司治理、风险管理和内部控制需求直接嵌入计算机系统,形成了“制度控制+计算机控制”的管理模式,信息技术已成为企业集团风险管理和内部控制的重要组成部分和技术支撑,成为现代企事业组织赖以生存和发展的基础(王道成,2008)。然而业务种类多样、地域广阔分散的企业集团面临层出不穷的信息化问题,例如计算机舞弊和“信息孤岛”等现象仍普遍存在。严峻的形势要求内部审计必须继续加强信息化建设,以及时适应企业集团日益复杂的内部审计环境。第三,内部审计信息化是企业集团风险管理的要求。自我国加入WTO后,企业集团逐步扩大规模,逐渐走出国门,同时面临着更加严峻的竞争环境。在经营风险程度不断升高的背景下,对于管理层组织健全的风险管理流程是严峻的挑战,同时,信息使用者更关注于未来信息、分部信息以及信息质量的相关性和及时性。所以,通过信息化加强内部审计的敏感度和反应速度,确保组织正确报告相关业务活动、风险和结果,为各利益相关者提供必要的咨询和确认活动。
二、企业集团内部审计信息化发展概述
内部审计信息化是指由组织内部审计机构及人员对信息系统及其相关的信息技术内部控制和流程开展的一系列综合检查、评价与报告活动。
(一)研究现状
从法规角度来看,《审计署关于内部审计工作的规定》(2003)标志内部审计从国家审计的附属中独立出来。随后《内部审计基本准则》(2003)、《内部审计具体准则》(2003—2009),《企业内部控制基本规范》(2008)和《企业内部控制配套指引》(2010)的连续出台,逐步提升了内部审计的地位。《内部审计具体准则第28号——信息系统审计》(2008)对内部审计的信息化作出规范。中国内部审计协会自2012年起,对2003年以来发布的内部审计准则进行了全面、系统的修订,2013年8月20日以公告形式发布了新修订的《中国内部审计准则》(公告第1号),并于2014年1月1日起施行。此外,国际内部审计师协会(IIA)在2009年更新的《国际内部审计专业实务框架》中新增了涉及信息系统审计风险评估、信息系统合规治理的内容。从理念角度来看,审计署前审计长李金华曾强调内部审计的定位应该是“管理+效益”。企业集团在新形势下把握这一定位的重点,就是进一步促进集团内部管理、加强内部审计监督,落实科学发展观的基础上树立构建节约型内部审计机制。为了实现这一目标,应大力发挥企业集团良好的网络优势,建立起一套完善的内部审计信息管理系统(吴飞,2009),绝不能让“不懂计算机将失去审计资格”的情况发生在企业集团内部审计的身上。从一定意义上讲,信息化是内部审计的关键,而信息化的关键在于数字化。因此在审计工作中,必须用数字化带动信息化,用信息化推动审计技术方法创新。从实务角度来看,信息化发展下的科技手段和新技术的使用能有效提高企业集团内部审计效率和效果,在一定程度上改善审计效率与审计风险的关系,以及达到节约审计成本的目的。来自财富100强的首席审计官在华盛顿圆桌会议上,曾讨论“用以降低人工测试次数和增加审计范围的方法,比如自动化操作和逻辑分析的方法”(殷丽丽、李媛媛,2010),体现了增强企业集团内部审计信息化的重要性。基于当前企业集团内部审计活动应转向企业风险管理流程的观点,在审计技术方法创新方面,随着信息系统和网络的普遍运用,应努力向着风险控制与战略支持的连续审计模式方向发展(何卫红等,2011)。有学者将企业集团实行的ERP流程设置与持续审计相结合,讨论在ERP流程下如何加强内部审计的有效性(李永伟等,2007)。也有学者提出应以信息系统保障、控制和安全为研究平台,致力于设计基于风险管理的IS审计流程(胡晓明,2006)。特别是“事件驱动”的会计信息系统出现后,促进了嵌入式并行审计技术在内部审计活动中的运用(梁丽瑾等,2007)。
(二)内部审计信息化发展的制约因素
1.对内部审计和信息化内部审计两个观念的理解存在片面性。在很多企业集团中,内部审计在员工看来仅是“查错防弊”,对信息化内部审计的理解也仅限于计算机辅助审计(CAATs)的开发和应用层次上。王光远(2007)指出,只有全面树立“内部审计是风险管理的确认者、是对风险管理的再管理”的思路,才能理解内部审计信息化的重要内涵。2.内部审计缺乏信息系统专业人才。企业集团内部审计信息化的完善,关键在于审计人员财经法规和审计准则的把握、信息技术与网络技术、会计财务审计知识以及三者相结合的能力。由于人才的缺乏,很多企业集团对这类人才的稳定需求和定位也在发生潜移默化的改变。如何培养高技能的审计人才并稳定审计人员团队,关系到组织内部信息化实施后的成功与否。3.内部审计信息化下的信息系统问题。(1)在硬件方面,企业集团关于会计信息化的硬件设备相对比较完善,但是需要发挥这些硬件条件在内部审计上的适用性,确保审计信息得到及时更新,各个子系统数据是否能进行整合,并保持数据一致性这些问题的解决,仍有很长的路要走。(2)在软件方面,当前企业集团出现的“信息孤岛”现象,许多集团内部审计部门不能及时、全面收集经营信息和财务信息,因而也无法及时反馈审计信息。而我国内部审计软件基本上来源于通用软件,很少有适用于企业集团分散地域下的网络审计软件,再加上审计软件未得到充分应用,因而软件的开发和运用还处于初级阶段。(3)在技术方面,虽然ERP在企业集团已得到普遍运用,但很少有真正实现协调化的ERP系统(毕秀玲,2008)。如何实现审计或者是控制的自动化,如何解决内部审计与组织所处的信息环境的矛盾,仍处在摸索的阶段。(4)在系统安全性方面,信息安全、网络系统中断、计算机舞弊、数据丢失等问题,也给信息化内部审计的应用带来了威胁,为打造兼备安全性和效果性的信息化系统,已成为企业集团内部审计信息化建设中的重要课题。
三、企业集团内部审计信息化的构想
(一)加强信息平台建设,构建功能强大的内部审计信息系统
企业集团内部审计信息化和办公自动化的实现,应建立在企业整体网络信息平台的基础上,并充分利用企业信息化资源和渠道,链接集团内部各单位的网络系统,实现信息化审计。首先,要改良审计软件的运用,使其与企业管理流程相适应,从而弥补通用审计软件的不足。其次,内审部门要利用网络技术实现内部审计与集团各信息系统的潜能,开发集团内部的审计网络系统、内部审计作业系统和业务管理系统以及内部审计网上监控分析系统,目的是将信息化审计打造成集数据信息、查询采集、监控分析、业务流程、管理方式、信息共享等多功能为一体的综合性的内部审计网络,以实现对集团产供销和会计财务的全面联网控制、数据自动采集、远程实时监控、关键点嵌入以及内部审计管理的流程化、规范化和模板化,从而大大拓宽审计的领域和范围,切实扩大集团内审职能,提高审计效率和质量。此外,随着高科技项目投资数量和金额的加大,集团财务数据真实性与可靠性的要求也相应提高,也促进了信息化下内部审计工作领域和职能的扩大。
(二)内部审计的新观念——持续审计和并行嵌入式审计
1.持续审计的提出。
国际内部审计师协会研究中心(IIARF)在2005年将持续审计定义为:“持续审计是在相关被审事项发生的同时或者发生后不久,由独立审计人员提供系列审计人员报告,就被审事项提供书面保证的一种方法”,持续审计重在提供持续的、实施保证的线索和证据。企业集团在当前市场环境下面临多重挑战,采用的应对网络化需求的ERP系统又不能完全无误地制止各个交易中的纰漏。持续审计是对企业集团信息化下内部审计发展更为有利的尝试。因而在每个环节中,唯有自动化和智能化才能起到查错防弊的作用。在实际应用过程中,企业集团内审部门可以通过对信息环境的评估,将开发阶段嵌入系统的程序与业务流程相结合,在交易过程中探明审计人员事先确定的比例、数量、金额的特定交易,以持续性的自动化方式提高信息化系统的质量和效率。
2.并行嵌入式审计的探讨。
随着信息技术的日益更新,特别是会计信息系统中“事件驱动”的出现,并行嵌入式审计逐步提上日程。并行审计技术是指业务发生的整个流程在应用系统中进行处理的同时采集审计证据的技术。目前形成的并行审计技术有:(1)将审计模块嵌入应用系统中,对该系统的交易进行持续监控(结合上文所提的持续审计)。这种方式可以在业务交易的同时检查业务处理的合理性与适当性,并通过监控,及时将预警信息传递给企业决策层。(2)在应用系统处理过程中,追踪或严格记录系统的变化状况,其中比较常见的是快照技术。形象地说,在应用系统的关键发生处嵌入审计模块,在交易发生的时候,利用软件捕捉交易的映像,以供审计人员检验,可有效避免信息化下审计证据的消失和复杂系统的操作带来的繁多路径。并行嵌入式审计对于信息化要求非常高,其应用过程需要和企业信息化进程同步。但是,由于监管严格,细小入微监察的原因,并行嵌入式审计可能在一定程度上会受到集团各部门的排斥,对此,需要研究对策。
(三)内部审计的定位和发展方向
内部审计在很多企业集团中被认为是高管层或董事会的耳目,这种在组织内各单位看来,爱纠错、挑毛病的负面形象极易遭到反感和排斥。一方面,不容置疑的是审计人员专业和技能亟待提升,而另一方面,随着内部审计信息化的大力发展,内审部门与组织内部各单位的矛盾愈发尖锐,因而,内审人员的定位与发展方向已成为很重要的关键。关于内审人员定位的问题,实务中说说容易做起来颇难。内部审计在企业集团中已建立独立的专业信息体系,不仅为集团提供具有竞争优势的管理服务,而且由于内部审计的职能性质决定了其对整个集团的依赖度和忠诚度。所以,加强内部审计的理念营销,使集团内部认识到各单位都存在于一个共同体中,应相互促进、彼此制约,共同促进发展。因此,在信息化内部审计下,积极进行内部审计的营销是种新兴的观点,应努力扮演企业集团变革代理人的战略角色。在2005年IIA召开的内部审计国际会议上,美国通用汽车公司审计部主管Chin就提出,内审人员应努力成为组织变革中“团队合作的主持者、拥护者、促导者和决策成员”。四、结语当前信息化的不断发展为内部审计工作的转型提供了机会,内部审计正面临空前的机遇。正如《萨班斯-奥克斯利法案》中提出的,内部审计应扩展到组织的风险管理和治理流程的战略性领域,在信息化条件下,企业集团更应站在长远的角度,为实现这一目标而努力。高度重视和大力推进内部审计信息化建设,既是站在战略的角度促进和支撑内部审计的转型与发展,更是实现内部审计系统化、规范化、现代化的必然要求。
作者:张迎 单位:中南财经政法大学会计学院
