張小鳳

【摘 要】 在內部審計信息化建設中，企業(yè)通常需要選擇外部供應商協(xié)助進行。因此供應商對內部審計信息化建設至關重要。常常出現的一個風險是直到實施過程中企業(yè)才發(fā)現供應商無法滿足企業(yè)的需要或者工作質量無法達到企業(yè)的要求，而此時企業(yè)常常也無法采取措施來“懲罰”供應商。就如同物資采購一樣，某種程度上在建設的過程中企業(yè)很容易被供應商“綁架”。那么在內部審計信息化建設中如何有效地降低這種被供應商“綁架”的風險呢？文章站在企業(yè)（采購商）的角度，通過研究該風險，查找該風險產生的原因，最終探尋出有效措施應對此項風險。

【關鍵詞】 內部審計； 信息化； 供應商

中圖分類號：F239.45 文獻標識碼：A 文章編號：1004-5937（2014）12-0072-02

信息技術已經成為社會各領域變革的推動力，是社會生活不可或缺的、重要的基礎產業(yè)。以信息化為本質特征的企業(yè)新變革在世界范圍內早已拉開大幕，信息化在企業(yè)管理層面已經“無處不在”。在黨的十八大報告中“信息化”一詞出現了12次。內部審計信息化也已經在如火如荼地進行中。早在2007年中國內部審計協(xié)會就曾以“信息化環(huán)境下的內部審計”為主題開展了理論研討暨經驗交流活動。2013年中國內部審計協(xié)會更是直接將“內部審計信息化”確定為理論研討的主題。內部審計信息化建設是信息科技高速發(fā)展的要求，也是順應整體行業(yè)發(fā)展趨勢的必然選擇。

在內部審計信息化建設中，企業(yè)通常需要選擇外部供應商，可能是咨詢公司，也可能是軟件開發(fā)服務商或是IT設備供應商與企業(yè)自身組成聯合的實施團隊開展建設工作。因此在建設過程中供應商對整個項目至關重要。常常出現的一個風險是直到實施過程中才發(fā)現供應商無法滿足企業(yè)的需要或者工作質量無法達到企業(yè)的要求，而此時企業(yè)無法再次冒風險重新選擇供應商或者采取某些措施來督促供應商，某種程度上就是我們所說的被供應商“綁架”了。那么在內部審計的信息化建設中如何有效降低這種被供應商“綁架”的風險呢？

一、風險的具體表現

在內部審計的信息化建設中，企業(yè)通常會聘請外部的業(yè)務咨詢商和系統(tǒng)實施機構協(xié)助企業(yè)一起進行建設工作。筆者統(tǒng)一將這些咨詢商或者實施機構稱為供應商。在內部審計信息化建設過程中，企業(yè)被供應商“綁架”的風險具體表現為如下情形：

第一，企業(yè)在前期選擇過程中將供應商價格壓得過低，給供應商的利潤空間太少。供應商為了保證自己的收益，在實施過程中僅在形式上符合合同的要求，給信息化建設的質量帶來風險。比如在系統(tǒng)建設的過程中在一些可選擇質量的軟件或者硬件的配置上選擇了較低水準的配置，這就給內部審計信息系統(tǒng)的質量和未來運營保障帶來很大的風險。

第二，實施過程中供應商才告訴企業(yè)一些風險事項，逼迫企業(yè)不得不增加成本。比如在實施過程中才指出配置較低可能風險較大，讓企業(yè)自己決定是否要選擇更高、更好的配置，前提是企業(yè)要為這樣的升級增加成本。

第三，實施中企業(yè)發(fā)現供應商無法滿足自身的需要或者質量、進度上無法滿足企業(yè)的要求。比如在業(yè)務咨詢的過程中企業(yè)發(fā)現供應商對相關業(yè)務情況不夠熟悉，甚至對某種體制下的內部審計機構工作內容等沒有很深入的了解。更為常見的情況是雖然供應商可能對內部審計方面的前沿咨詢經驗以及最佳行業(yè)實踐比較了解，但由于對企業(yè)的情況了解不夠，無法將這些前沿理念、最佳實踐與企業(yè)實際有效結合，從而也無法提出真正能為企業(yè)內部審計信息化建設增加價值的建議。

但是在實施的過程中，合同、招投標文件等雙方協(xié)議中沒有能夠準確地用來控制此項風險的條款。而這個時候，企業(yè)的內部審計信息化建設可能已經進行一半甚至更多，由于項目進度要求等諸多現實的限制，企業(yè)不可能在項目進行中再更換供應商。

諸如上述種種情形，企業(yè)在某種程度上都存在著被供應商“綁架”的風險。

二、風險產生的原因

筆者試著從內部審計信息化建設的全過程鏈條即從內部需求確認到供應商選擇、合同簽訂、項目實施過程控制等查找上述風險產生的原因。

（一）企業(yè)對內部審計信息化建設的定位、目標、內容等不清晰

在內部審計信息化建設中，首先企業(yè)自身需要對信息化建設的目標、主要內容、可能存在哪些困難和風險等事項有清晰的認識。換句話說，企業(yè)需要清楚地知道我要做什么、怎么樣才能達到目標、在達到目標的過程中可能有哪些風險和困難。

從內部審計的信息化建設來講，清楚地知道這些事項要求企業(yè)對于內部審計業(yè)務定位、內部審計未來的長遠規(guī)劃等要有清晰的宏圖。因為信息化本身只是手段，不是目的，內部審計信息化建設的目標是要通過固化管理流程和業(yè)務流程，以內部審計信息系統(tǒng)平臺為依托，為企業(yè)提供統(tǒng)一的審計標準和規(guī)范、管控手段與工具，促進與提高內部審計工作的效率和效果，實現內部審計更好地履行“確認與咨詢”的職能，實現內部審計“促進組織完善治理、增加價值和實現目標”①的目標。

（二）供應商選擇失誤

企業(yè)清楚地知道自己的目標和內容后才會知道需要選擇什么樣的供應商能夠滿足自己的需求。內部審計信息化建設中供應商選擇失誤的原因可能有：

1.供應商組合確定不當

在內部審計信息化建設中，企業(yè)根據情況的不同可能選用以下幾種供應商組合：

（1）僅僅選擇一家供應商，同時承擔業(yè)務咨詢和內部審計信息系統(tǒng)開發(fā)工作；（2）選擇兩家供應商，一家承擔業(yè)務咨詢的工作，另一家主要負責內部審計信息系統(tǒng)的開發(fā)；（3）僅僅選擇一家供應商，主要承擔內部審計信息系統(tǒng)開發(fā)的工作。此外，采用一家供應商總包，再由其分包的方式也是常見的。每一種供應商組合都有其優(yōu)勢和劣勢，具體看企業(yè)真正需要哪一種。

內部審計信息化建設前期必然需要對企業(yè)現行的內部審計制度規(guī)范、審計管理、審計作業(yè)等各個業(yè)務流程有詳細的梳理。此階段需要大量的業(yè)務咨詢工作。如果企業(yè)認為自身內部審計機構專業(yè)人員力量充足，能夠自行完成此階段工作，那么僅需選用內部審計信息系統(tǒng)開發(fā)商即可。endprint

如果企業(yè)希望借助于內部審計信息化建設的契機，對企業(yè)內部審計進行全面診斷和提升，那么很可能需要借助于外部專業(yè)咨詢機構的力量才能夠完成工作。在這種情形下企業(yè)又面臨兩種選擇，是選擇一家咨詢商同時承擔業(yè)務咨詢和系統(tǒng)開發(fā)的工作，還是選擇兩家供應商分別承擔業(yè)務咨詢和系統(tǒng)開發(fā)的工作。從企業(yè)內部來講這很大程度上取決于企業(yè)對于業(yè)務咨詢以及業(yè)務需求梳理工作的重視程度。

2.供應商選擇方式不當

廣泛意義上供應商的選擇可以采用招標、競爭性談判、單一來源采購等方式。通常來講，對于國有控股集團公司來講，招標是必需的。但是在招標中又有公開招標、邀請招標的區(qū)別。公開招標可以吸引盡可能多的供應商進入企業(yè)的視野，為企業(yè)提供更多的選擇。而邀請招標對于企業(yè)來講，可能更具有目標性，一定程度上保證被選擇的供應商能基本滿足企業(yè)的需求。內部審計信息化建設屬于專業(yè)性較強的業(yè)務。如果將內部審計信息化建設當成產品的話，可以說內部審計信息化建設是屬于特異性比較強的產品。無論選擇哪種方式，企業(yè)在確定選擇方式前都需要充分了解內部審計信息化供應商行業(yè)情況，尤其是各主要供應商的情況。這些了解也有助于企業(yè)在進行供應商選擇時使用適當的篩選條件。

3.供應商篩選條件不當

供應商篩選條件是指企業(yè)設置的一些必要條件。這其中供應商一方面要滿足基本的條件，比如供應商的規(guī)模、注冊資金等硬性的表面條件。另一方面，供應商有過同類企業(yè)同類規(guī)模的內部審計信息化建設項目的經驗、熟悉現行的內部審計信息系統(tǒng)在行業(yè)內的使用情況等，甚至包括供應商擬派駐的項目經理、項目成員的履歷情況等。如果這些篩選條件設置不當，可能不合適的供應商會被納入，同時也可能導致一些優(yōu)秀的有潛質的供應商無機會進入。

（三）合同條款約定不到位

合同是約定雙方權利和義務的法律文件，其中詳細列示了企業(yè)的需求和權利，也明確規(guī)定了供應商的義務。

在內部審計信息化建設中，除通常的合同條款外，應該將具體的工作目標、內容、交付物、時間進度、質量要求等關鍵信息以專門的合同附件列示清楚。工作內容、交付物、時間進度諸如此類關鍵要素的約定極大地影響著此后項目實施過程中雙方的權利和義務。假如在實施過程中，企業(yè)需要增加工作內容或者交付物都可能給供應商增加工作量，供應商可能以此“要挾”企業(yè)。

（四）項目實施過程控制措施不足

此處所指的項目實施過程是指合同簽訂后至項目驗收前的整個過程。僅有前期的保障并不夠，真正的實施過程中的控制更是重中之重。企業(yè)不可能放手，任由供應商去干。在內部審計信息化建設實施過程中企業(yè)需要有完善的進度、質量、需求等多方面的監(jiān)控和控制措施，有重點、分階段地對供應商提供的服務和工作進行監(jiān)控才能夠保證供應商按照合同的約定按期保質完成相關工作。比如在工作開始前，詳細的工作計劃、明確的時間點是監(jiān)控項目進度的重要保障，而進行過程中，對供應商提交的相關交付物及時地進行嚴格的質量把關則是質量保障的重要措施之一。

三、降低風險的建議與措施

1.企業(yè)自身要清晰地界定內部審計信息化建設的目標、內容。企業(yè)對內部審計信息化建設要有清晰的認識，對于其中可能的困難以及企業(yè)關注的重點要明確。

2.在內部審計信息化建設目標清晰、任務明確的基礎上，企業(yè)要采取適當的調研方式了解行業(yè)情況包括主要供應商的情況、各自的優(yōu)勢和劣勢等信息，合理確定供應商篩選條件。在此基礎上根據業(yè)務需求確定供應商組合方式，并且在合法合規(guī)的前提下確定恰當的供應商選擇方式。

3.對于內部審計信息化建設工作目標、內容、交付物、時間進度、質量要求等關鍵信息以及企業(yè)和供應商雙方的權利和義務要在合同條款中清晰地界定。尤其對于違約條款和質量控制條款，企業(yè)要充分地做好風險防范的準備。

4.在內部審計信息化具體建設過程中，企業(yè)要采取包括進度、質量、需求等多方面、全方位的過程監(jiān)控和控制措施，及時發(fā)現可能出現的問題，保障內部審計信息化建設按時保質完成。

【主要參考文獻】

[1] 倪明，徐福緣.IT設備供應商信息化服務能力的實證研究[J].經濟問題探索，2006（10）：75-80.

[2] 陶毅，賀凌倩.中國企業(yè)信息化現狀、問題和出路[J].工業(yè)技術經濟，2003（1）：21-23.

[3] 曹燕，常京平.企業(yè)內部審計信息化戰(zhàn)略研究[J].會計之友，2010（28）：52-53.

[4] 陳留平，彭紹進.現代企業(yè)審計信息化建設若干問題研究[C].中國會計學會第四屆全國會計信息化年會論文集，2005：308-316.

[5] 中國內部審計協(xié)會.中國內部審計準則[S].2013.endprint