●中國石化集團公司審計局武漢分局 劉文漢

一、內部審計信息化的發(fā)展現狀與趨勢

隨著現代信息技術的發(fā)展，傳統(tǒng)的企業(yè)經營模式、管理模式和核算模式發(fā)生了巨大的變革，與此相適應的內部審計也應有所創(chuàng)新，內部審計信息化應運而生。所謂信息化是將信息技術應用于某一領域，通過改變作業(yè)方式和流程來提高運行效率與處理能力的一個過程。而審計信息化則是通過一個信息化的轉變過程，使審計工作達到最大程度處于體現信息技術、運用信息技術的狀態(tài)。內部審計信息化是應對信息化環(huán)境給審計工作帶來挑戰(zhàn)的有效途徑。

近年來，內部審計所涉及領域的信息化建設迅猛發(fā)展，特別是隨著ERP系統(tǒng)、電子商務的建設，物聯網、云計算等新信息技術的涌現，使得信息的收集、傳遞和處理方式發(fā)生巨變，傳統(tǒng)審計已不能適應發(fā)展的需要，應用信息技術成為內部審計不可逆轉的必然方向。而隨著數據庫技術、網絡技術、存儲技術的發(fā)展，審計信息系統(tǒng)能夠方便地采集、分析被審單位信息系統(tǒng)中的數據，一般審計人員只需掌握查詢檢索等操作技能，即可開展工作，極大地推動了內部審計信息化的發(fā)展。

從內部審計信息化發(fā)展環(huán)境和現狀看，其未來發(fā)展將呈現集成化、智能化、全面化和通用化的趨勢特征。目前內部審計涉及的許多領域都有相應的信息系統(tǒng)，如物資采購系統(tǒng)、人力資源管理系統(tǒng)、資金集中核算系統(tǒng)、ERP系統(tǒng)等，審計信息系統(tǒng)與之高度集成，實現信息共享，實時數據采集、分析，既可提高審計效率，又可前移審計關口，有效降低企業(yè)經營風險；在實現集成化之后，審計信息系統(tǒng)將進一步向智能化方向發(fā)展，能夠對照管理標準自動分析對比、設置參數自動提示風險等，實現智能預警功能。同時，審計信息化將逐步覆蓋審計的各個階段、各個環(huán)節(jié)、各類業(yè)務，實現各個階段、環(huán)節(jié)和業(yè)務的無縫銜接，體現全面化的特征；審計信息化也將更加注重其通用性，做到不僅各級審計部門可用，不同審計項目類別可用，其他監(jiān)督部門也可用，真正實現資源共享。

二、內部審計信息化的基礎與內容

（一）內部審計信息化的基本條件

1.具備信息化的建設環(huán)境。內部審計信息化的前提條件是審計對象的信息化，而且審計對象的信息化程度決定著內部審計信息化的水平。審計對象沒有實現信息化，審計信息系統(tǒng)就會成為“無米之炊”，沒有系統(tǒng)的信息和數據來源，無法發(fā)揮信息技術的優(yōu)勢。

2.具有信息化的硬件基礎。信息化需要硬件投入，沒有硬件裝備的支持，信息系統(tǒng)就會成為“無本之木”、“無牙之虎”。因此，內部審計走信息化之路的基礎性工作，就是要投入適量的資金，配備必要的硬件設施。

3.擁有信息化的軟件系統(tǒng)。計算機軟件是實現人機對話的橋梁和紐帶。內部審計軟件的發(fā)展經歷了從無到有、從簡單到高級的幾個階段，審計工作的信息化也經歷了從公文處理系統(tǒng)到審計查證系統(tǒng)，再到審計集成系統(tǒng)、審計智能預警系統(tǒng)等發(fā)展階段。隨著軟件系統(tǒng)的不斷完善和改進，信息化的功能和作用越來越強大。

4.配備信息化的人力資源。審計人員除了需要運用傳統(tǒng)的審計技術與方法以外，信息化環(huán)境下的審計工作還需要借助信息技術來達到審計目的，這就需要審計人員掌握計算機的基礎知識，并對信息系統(tǒng)有比較深入的了解。

（二）基本原則

1.客觀性原則。每個企業(yè)都有各自的實際情況，實現內部審計信息化要從本企業(yè)審計對象信息化的客觀實際和內部管理的現實需求出發(fā)，既要防止無動于衷，又要防止貪大求全和“一窩蜂”，做到立足現實與長遠規(guī)劃相結合。

2.適用性原則。內部審計信息化作為企業(yè)整體工作的內容之一，也要堅持成本效益原則，根據領導層的風險偏好、其他信息系統(tǒng)的控制能力等，適度開發(fā)適用的審計信息系統(tǒng)，以實現企業(yè)效益和審計效率的最大化。

3.重在應用原則。內部審計走信息化之路的目的是為適應信息化社會的發(fā)展，更好地發(fā)揮職能作用。只有充分將其應用到審計實踐中才能達到這一目的，否則投入再多的軟硬件都是擺設。

4.開放性原則。審計信息系統(tǒng)的全面推廣，是審計信息化工作的統(tǒng)一要求。所有審計人員在審計信息化工作中形成的專家經驗、實用性強的小軟件等成果都應當繼承和大力推廣。只有堅持開放性的思維，鼓勵“八仙過海、各顯神通”，才能不斷完善審計信息化工作。

5.全員參與原則。內部審計信息化涉及全部審計人員，在這場審計技術變革中，從系統(tǒng)需求分析、測試推廣，到實際運用等，沒有人可以作壁上觀，否則就將失去審計資格。

（三）建設范疇

1.風險防范預警的信息化。內部審計的目標之一是防范企業(yè)面臨的各種風險。通過信息系統(tǒng)將企業(yè)日常業(yè)務數據與制度標準進行對比，并將不一致的異常事項預警預報出來，為審計部門全面系統(tǒng)地、及早發(fā)現苗頭性和傾向性問題提供幫助。這種對關鍵控制點進行風險防范和適合條件的邏輯進行預警，可以起到事半功倍的效果。

2.審計查證與分析的信息化。內部審計要發(fā)揮職能作用，及時發(fā)現問題，切實消除“病毒”，審計實施環(huán)節(jié)是關鍵。因此，打造功能強大的審計查證與分析系統(tǒng)，實現審計實施過程信息化，不僅是審計技術創(chuàng)新的關鍵所在，而且是實現遠程審計的必由之路。

3.科學審計管理的信息化。審計管理包括內勤管理和外勤管理，將審計質量的過程控制、審計成果的統(tǒng)計分析、法律法規(guī)的查詢支持、業(yè)務層面的培訓討論等，全面納入系統(tǒng)管理，實現審計管理信息化，從而有效促進審計管理規(guī)范化、標準化。

4.審計辦公的信息化。辦公自動化是審計信息化的重要內容之一。審計部門與其他部門之間、審計部門內部之間實現公文、信息資料的自動傳輸，以及視頻會議系統(tǒng)的建立等，不僅可以提高工作效率，而且可以節(jié)約審計成本和資源。

（四）主要程序。內部審計信息化的工作程序主要包括可行性研究、需求分析、系統(tǒng)設計、系統(tǒng)開發(fā)、系統(tǒng)測試、系統(tǒng)上線、編制用戶手冊、項目驗收、用戶培訓、維護完善等。在整個信息化建設過程中，既要重視信息系統(tǒng)的前期開發(fā)與應用，又要重視后續(xù)完善和相關運維工作，其中“重中之重”的是前期的需求分析和后期的維護完善。在確定系統(tǒng)開發(fā)可行的情況下，對系統(tǒng)需要實現的各個功能進行詳細需求分析，不僅是整個系統(tǒng)項目開發(fā)的基礎，而且關系到信息系統(tǒng)的成敗。在信息系統(tǒng)的日常運維時，要針對系統(tǒng)使用過程中發(fā)現的問題，或管理需求的變化，進一步修補、開發(fā)信息系統(tǒng)，加強后續(xù)完善工作，以滿足信息化發(fā)展的要求。

三.內部審計信息化的案例分析

本文以中國石化集團公司內部審計信息化的為實際案例，著重分析審前、審中、審后三個階段的信息化情況。

（一）審前階段的信息化。主要基于ERP系統(tǒng)及相關數據倉庫開發(fā)能夠自動和自助預警與分析的審計智能預警系統(tǒng)。該系統(tǒng)由若干個程序組成，涉及財務管理、采購業(yè)務、銷售業(yè)務、工程投資等主要業(yè)務流程的關鍵控制點，并對其實現預警預報。主要功能包括自動預警、自助預警、查詢分析、閉環(huán)管理和預警結果分析等五項。

1.自動預警，重點關注“對不對”。能在審前自動將企業(yè)日常業(yè)務數據與制度標準進行對比，并將不一致的異常事項預警預報出來，不僅為審計部門全面系統(tǒng)地、及早發(fā)現苗頭性和傾向性問題提供幫助，而且可減少現場審計時間，減輕企業(yè)迎審負擔。借助閉環(huán)管理功能還可對異常事項進行核實，確保問題或線索及時得到處理；借助預警結果分析功能，審計人員對預警問題進行回溯，圈定問題的頻發(fā)單位、高發(fā)流程及環(huán)節(jié)，為審計立項和現場查證工作提供幫助。例如：

在“采購業(yè)務模塊”中，按照采購業(yè)務流程的關鍵控制點設置部分相關業(yè)務的預警菜單，對接企業(yè)有關信息系統(tǒng)和數據倉庫，對比相對穩(wěn)定的制度標準，自動預警企業(yè)所有信息化單位的采購計劃、采購渠道、采購方式、采購合同和采購付款等環(huán)節(jié)的異常事項，以此風險為導向，可為把握審計方向、選擇立項單位，以及確定審計重點、增強實施方案的針對性提供依據。如：“采購計劃異常菜單”預警企業(yè)無計劃或超計劃采購業(yè)務；“非資源庫供應商菜單”將企業(yè)在ERP系統(tǒng)中維護的供應商主數據與MDM系統(tǒng) （中國石化信息化標準管理系統(tǒng)）進行比對檢查，篩選出非資源庫供應商（包括在MDM中不存在、MDM中被凍結而企業(yè)未凍結、手工維護的供應商三個預警點）；“未通過MDM創(chuàng)建物料菜單”預警超出供應商入選物料范圍的采購業(yè)務；“獨家采購異常菜單”、“采購類型異常菜單”、“應招標未招標采購菜單”預警沒有詢比價、應直（組）采實際自采、未通過電子商務網站及應招標未招標的采購業(yè)務；“采購合同倒簽菜單”預警結算日期、交貨日期早于合同簽訂日期，結算日期早于交貨日期的采購業(yè)務；“采購訂單結算金額異常菜單”檢查三單匹配情況，預警結算金額大于訂單金額。

2.自助預警，重點關注“好不好”。自助預警是將業(yè)務數據與審計人員根據項目需要選擇的標準（如：預算指標、行業(yè)先進指標、風險較大的業(yè)務等）進行比較，并將不一致的事項預報出來，為審前調查和現場查證服務。審計人員對使用的標準有選擇權，通過選擇不同的標準，可以多角度看待問題，利于作出客觀的審計評價。例如：

在“采購業(yè)務模塊”中，針對被審單位的實際情況和容易變動的對比價格，審計人員自主選擇比較標準，設置條件參數，自助預警采購價格方面的異常事項，為確定審計重點提供依據。如：“采購價格超中石化平均價菜單”預警企業(yè)采購價格超過中石化相同物料采購平均價的采購業(yè)務；“同期同企同供采購價格比較菜單”篩選出同一時期同板塊企業(yè)從相同供應商采購同一物料價格差異較大的業(yè)務；“采購銷售價格倒掛菜單”檢查成品油外采價格與銷售價格倒掛的情況。

3.查詢分析，主要用于分析性復核和實質性測試。審計人員根據預警系統(tǒng)提供的可供選擇的條件，自行對審計對象進行查詢并分析（不提供與標準對比功能）。例如：在“采購業(yè)務模塊”中，針對審計項目的實際情況，利用預警系統(tǒng)進一步查詢異常變動事項，分析其變化的合理性。如：“積壓物資動態(tài)分析菜單”、“庫存變動差異菜單”、“3年物資出入庫檢查菜單”等，從多角度、多方面查詢分析庫存物資變化的合理性。

（二）審計實施階段的信息化

1.基于ERP系統(tǒng)，開發(fā)ERP環(huán)境下的計算機輔助信息系統(tǒng)AIS。該系統(tǒng)主要有財務成本管理審計、庫存和采購管理審計、銷售管理審計等模塊。財務成本管理審計模塊，為會計科目、財務憑證、貨幣資金等審計業(yè)務提供分析、查證支持；庫存和采購管理審計模塊為采購計劃、采購業(yè)務、存貨管理等業(yè)務提供分析、查證支持；銷售管理審計模塊為客戶信用、銷售價格、銷售業(yè)務等提供分析、查證支持。另外，AIS系統(tǒng)還具有配置審計功能，可以查詢審計對象的基礎信息、經營管理政策等內容，能夠幫助審計人員遠程了解企業(yè)的基本情況和財務運營狀態(tài)等。

2.基于ERP系統(tǒng)，開發(fā)ERP環(huán)境下的審計抽樣系統(tǒng)。其主要作用是科學地選擇檢查樣本，既為確定審計重點提供支持，又可合理地評估企業(yè)風險。該系統(tǒng)分為財務抽樣、物資管理抽樣、銷售抽樣、項目抽樣等模塊，每個模塊根據不同抽樣總體設置相應的事務路徑，如財務抽樣模塊設置會計科目抽樣、會計憑證抽樣、銀行賬號抽樣等，物資管理抽樣模塊設置供應商抽樣、采購訂單抽樣等。并按照國際通行的抽樣模型，采取隨機抽樣與判斷抽樣相結合的程序和方式進行審計抽樣，首先將大于等于總體數額5%的標的確定為重要事項作為必查樣本，對小于重要性標準的事項采用隨機抽樣的方法選擇樣本，且自動形成樣本清單，供審計人員測試與檢查相關業(yè)務。

例如,針對采購付款方面的預警事項，在審計抽樣系統(tǒng)中，選取財務抽樣模塊的相應事務代碼（ZFIRAIS042會計憑證抽樣或ZFIRAIS041會計科目抽樣），根據審計實施方案確定的審計范圍，設置被審單位公司代碼、樣本時間范圍和會計憑證/科目標識等抽樣條件，顯示樣本總體數據后，再選擇付款總額的5%作為重要性標準，系統(tǒng)自動選出大于等于重要性標準的會計憑證作為必查樣本，對于小于重要性標準的按隨機原則選取，加上預警樣本，構成實質性檢查的樣本清單。然后，運行AIS系統(tǒng)的ZFIRAIS003（憑證抽樣查詢）、ZFIRAIS036（應付款項余額表）等事務代碼，對相關會計憑證樣本進行穿透查詢，并結合線下有關資料進行審計判斷。不僅能合理評價預警事項的代表性，避免“就事論事”、“以偏概全”，客觀評價企業(yè)付款方面存在的風險，而且使抽查樣本更客觀、科學，具有較強的可復核性，抽樣結果易得到被審計單位的認同，能有效控制審計風險。

（三）審計過程控制和后續(xù)管理的信息化。主要基于單位門戶網站，開發(fā)審計信息集成管理系統(tǒng)。該系統(tǒng)集成了審計項目的全過程控制和在線管理、審計成果的統(tǒng)計分析、有關法律法規(guī)的查詢支持、遠程培訓和業(yè)務討論、材料傳遞和考勤管理等多項信息化管理功能。不僅提供了一整套標準化的審計作業(yè)流程，它可以幫助審計新手很快進入角色，防范由于經驗不足導致的審計風險，同樣可以幫助具備一定審計經驗的老手克服單憑經驗的習慣，避免由于未保持必要的職業(yè)謹慎導致的審計風險，而且進行在線控制，實時反饋工作進度和審計成果，使審計工作更加規(guī)范、快捷。

例如,利用“審計項目管理”模塊，將審計查證的付款情況等，在“現場實施”環(huán)節(jié)線上“生成審計工作底稿”（或上載線下審計工作底稿），并設置小組長復核、主審復核、審計組長審核等質量控制節(jié)點，并能留下復核意見、修改痕跡和操作時間。且只有在操作“現場實施完成”程序后，才能進入下一個環(huán)節(jié)——“審計報告”環(huán)節(jié)，依次類推，直至“審計整改情況”、“審計項目歸檔”環(huán)節(jié)，實現審計項目的全過程控制和在線管理。同時，“審計成果統(tǒng)計分析”模塊實時、自動收集并反映該項目的動態(tài)、專項、匯總信息。既能提高審計質量控制的效率，又能為評價考核審計工作績效提供依據。

四、內部審計信息化存在的問題及對策

（一）內部審計信息系統(tǒng)開發(fā)缺乏前瞻性和發(fā)展性。企業(yè)管理的現代化、審計環(huán)境和審計對象的信息化呈現快速發(fā)展趨勢，而有些內部審計信息系統(tǒng)的開發(fā)沒有跟上發(fā)展節(jié)奏，有的系統(tǒng)開發(fā)缺乏前瞻性，推廣投用時就不能適應現實管理（包括內部審計管理）需要及有關信息環(huán)境；有的系統(tǒng)開發(fā)后一勞永逸，沒有適時跟進審計環(huán)境和審計管理的變化而完善相關內容，缺乏發(fā)展性，戴上了“落后”的帽子，影響了內部審計信息系統(tǒng)的運用。為此，在開發(fā)信息系統(tǒng)時，應統(tǒng)籌考慮經營（審計）管理和經濟發(fā)展的需要，提出前瞻性的開發(fā)需求，并預留后期鑲嵌端口，便于更新補充。同時，明確軟件公司的后期服務責任，及時幫助解決問題。

（二）內部審計信息系統(tǒng)與其他信息系統(tǒng)融合不夠。有些企業(yè)的信息化沒有做到一體化，特別是不由一個部門來開發(fā)和利用，存在多種信息系統(tǒng)互不相通、互不相連的問題，在沒有同步開發(fā)審計信息系統(tǒng)的情況下，容易形成信息孤島。如在數據的獲取和轉換方面：一是審計信息系統(tǒng)不能自動完成取數任務。大型企業(yè)集團一般都有若干個事業(yè)部和分子公司，所用的軟件和版本五花八門，在計算機審計的第一步——取數問題上，常常會面臨審計軟件不能自動取數和取數不全等問題。二是審計信息系統(tǒng)轉換數據不成功。衡量數據的成功轉換有兩個標準，即：轉數模版是否已將獲取的數據庫成功轉換成審計系統(tǒng)能夠識別的數據，轉換后的數據是否正確可靠。在審計信息系統(tǒng)未與其他信息系統(tǒng)有效融合的情況下，實際應用時就可能出現不能識別、數據不正確等問題。不能解決上述問題，就會影響審計信息系統(tǒng)的有效運用。為此，在開發(fā)信息系統(tǒng)時，需要通盤考慮，各類信息系統(tǒng)盡量使用相同類型的數據庫，或者在開發(fā)審計信息系統(tǒng)時，要求有關技術人員有針對性地編譯備用轉數模版。

（三）對信息系統(tǒng)的運用存在萬能和無用兩種錯誤觀點。審計信息系統(tǒng)的應用價值主要在于提高審計工作的質量和效率，其優(yōu)勢與作用也是顯而易見的。當然，審計信息系統(tǒng)不可能全部替代審計人員的勞動，更不可能替代審計人員的創(chuàng)造性思維和綜合分析判斷。因此，審計信息系統(tǒng)即使再先進，也要受自身系統(tǒng)開發(fā)技術和需求限制的影響，受其他信息系統(tǒng)兼容情況的限制，也受審計人員操作水平的制約。但在實際應用過程中，容易出現兩種錯誤觀點：一種認為審計信息系統(tǒng)無所不能，能發(fā)現所有問題和風險，審計工作完全依賴、相信審計信息系統(tǒng)，體現絕對有用論的觀點；另一種認為審計信息系統(tǒng)作用不大，只能機械地提供通用數據，進行有限范圍的查詢，針對性不強，也缺乏個性化的判斷標準，準確率不高，體現無用論的觀點。為此，審計人員應正確對待審計信息系統(tǒng)，既不完全依賴審計信息系統(tǒng)，要結合審計人員的專業(yè)技能進行職業(yè)分析判斷；也不完全棄用審計信息系統(tǒng)，要結合審計對象的實際環(huán)境，設置合理的參數、篩選合適的模塊，提高使用效率。

（四）對信息系統(tǒng)的應用效果缺乏科學合理的分析評估。實踐是檢驗真理的唯一標準。審計信息系統(tǒng)應用的效果決定審計信息化工作的好壞。但在實際工作中，缺乏對審計信息系統(tǒng)應用效果進行科學分析評估的程序與方法，當出現閉門開發(fā)、需求不周全，匆忙推廣、應用條件不具備，注重形式、忽視實際應用成效等問題，影響審計信息系統(tǒng)應用效果時，卻沒能及時分析、評估和改進。為此，應采用“質量環(huán)節(jié)控制法”，對審計信息化工作的每個環(huán)節(jié)開展科學評估，進行質量控制，保障應用效果。如在需求分析環(huán)節(jié)，充分聽取各方意見，細化需求內容、深化需求層次；在測試工作環(huán)節(jié)，要深入細致測試每個模塊，完整收集測試信息，不求表面奉承，切實彌補缺陷；在推廣使用環(huán)節(jié)，重視后續(xù)服務，及時修訂補充。

（五）內部審計管理體制和機制不適應信息化發(fā)展需要。沒有體制的保障和機制的配合，就會增加不確定性，單純思想上重視不能保證審計信息化工作的有效發(fā)展。但有些企業(yè)在內部審計大量信息化后，其審計管理體制、人員配置與績效考核機制、管理制度規(guī)范與業(yè)務操作流程等還停留在非信息化階段，不能適應信息化發(fā)展的需要，出現了信息化工作流程沒有制度約束、審計風險的評估標準缺乏等問題。為此，應將內部審計信息化環(huán)境下的體制機制和制度建設納入“一把手工程”，以體制促信息化建設、用制度保信息化發(fā)展。

1.ERP應用教程編委會.2011.ERP財務管理應用教程.立信會計出版社。

2.劉希儉等.2011.企業(yè)信息化實務指南.石油工業(yè)出版社。

3.吳澄.2013.信息化與工業(yè)化融合戰(zhàn)略研究:中國工業(yè)信息化的回顧、現狀及發(fā)展預見,科學出版社。

4.周立云.2013.淺談信息化條件下審計抽樣方法在內部審計中的應用.中國內部審計,4。