一、引言
集团化企业通常是指以集团母公司为核心并由多个不同级别的成员企业组成的多企业集合体,第一级企业为集团本部或总部,其下通常还包括二级企业、三级企业等,有的集团化企业还存在其下属的二级企业也是一个集团化企业,并且具有自身的下属二级企业乃至三级企业的情况。与之相对应的集团化企业所适用的内部审计管理方式,也可以分为集中管理和分部管理两种。纵观国内外发展成熟的集团化企业,由于集团化企业所具备的特性,集中管理形式的内部审计管理模式正被越来越多的集团化企业所采纳。
内部审计信息系统是指通过对企业内部业务部门的各种审计证据、审计信息的收集、分析和总结,为进一步优化审计业务而建立起来的具备多种信息化功能的信息管理系统。企业多层次多领域的发展,为内部审计部门带来了更加严峻的挑战。合理利用集团化企业良好的网络优势,搭建起功能完备的内部审计信息管理系统,并且有效地加以运用,可以进一步加强内部审计的监督职能,更大程度地提高审计工作效率、节约审计成本。
内部审计信息化是指内部审计人员通过有效运用信息技术,以识别企业管理风险、优化企业经营流程为目标,计划、开展、实施审计项目的全部过程,同时对企业各个环节所应用的信息系统能够独立确认和评价。当前企业内部审计信息化主要涵盖两层内容:一是以信息技术为手段展开内部审计工作,也就是利用计算机辅助审计技术(CAATs)开展审计活动;另一种是企业内部专门的审计小组以业务部门信息管理系统为被审计对象,通过风险预警及定期审计等内部控制方式,检验该系统业务数据的精准度、合规性以及效率效果等。
随着国内市场环境的逐渐成熟,各行业企业随着市场经济的发展,也在逐渐做大做强。企业的发展壮大和业务规模的日趋增多,使得对内部审计管理职能的需求也日渐增加。传统的内部审计工作模式早已不能满足企业管理层对于风险管理、流程优化和风险防范等方面的管理需求。但是,如何通过有效的内部审计职能优化来提高审计效率,如何通过内部审计信息化的建设进一步加强内部审计的监督职能,如何寻求最适合企业自身特征的内部审计信息化模式和思路,还是目前诸多企业亟待解决的问题。
二、中石化集团内部审计信息化建设的经验总结
中石化集团是我国能源行业的领军企业,其内部审计信息化建设起步早,体系建设相对完善。对中石化集团的内部审计信息化建设进行分析,能够为其他集团的内部审计信息化建设提供思路,其经验值得借鉴。
(一)中石化集团内部审计架构介绍
中石化集团本部在董事会下设立了审计委员会,审计委员会直接管理审计局本部,并且在北京、南京、广州和武汉分别设立了四个审计分局,各审计分局的组织机构和审计局本部相同。审计局实行垂直化集中管理模式,即由审计局本部垂直向下管理到审计分局,由审计局本部直接派出审计人员的管理机制。此外,各审计分局设立了相应的审计部门或审计科,目前具有审计机构的中石化下属企业单位已经达到了80 多家。
中石化集团审计局为了强化集团内各级企业内部审计的集中管理,于2007 年进行了改革,尝试在集团审计局本部层面构建审计监督权和审计管理权既适当分离,又相互促进的审计体制。中石化集团审计局本部以管理为主,分别成立了综合管理处、计划管理处、审计监督管理处、制度管理处和重大项目管理处五个处室,其中计划管理处主要负责审计计划、项目立项以及内部审计信息化建设等工作。与此同时,中石化集团审计局还实施了审计质量复核及质量控制体系,实行三级审理机制,即审计项目由审计项目组长、审计分局审理岗、审计局本部审理处分别进行审理。
(二)中石化集团审计信息化建设情况
中石化集团审计信息化建设实行由其审计局本部集中管理的模式,即由审计局统一制定标准,并向各级企业的使用单位推广执行。该审计信息系统建设初期是由国际知名咨询公司埃森哲担任咨询顾问,并由石化盈科公司负责审计信息化的具体实施工作。随着审计信息基础架构的逐步完善,后续审计信息系统的具体开发建设全部由石化盈科公司完成。截至2016 年3 月底,中石化集团审计局根据其所在行业生产经营管理的特点,结合自身审计工作的需要,陆续开发了四大各有侧重点的满足审计业务需要的信息系统:ERP 运营环境下的辅助审计信息系统、审计抽样系统、审计信息集成管理系统和审计智能预警系统。
1. ERP 运营环境下的辅助审计信息系统。
(1)情况介绍。ERP 运营环境下的辅助审计信息系统是由中石化集团按照该企业实施ERP 系统的实际情况,以SAP 系统为基础,并根据内部审计的要求及标准化的审计工作方法所设计的,对已经启用ERP 系统的企业各个子模块实现实时查询、分析和比较,由此协助审计小组顺利开展审计工作。ERP运营环境下的辅助审计信息系统由三大部分组成,包括SAP 标准查询程序、SAP 内部审计程序、中石化自建程序,可以涵盖中石化集团SAP 系统的总账、成本费用、投资项目、设备管理和维护、应付款项管理等各大模块。所开发的相关程序涉及中石化集团常见的百条以上的审计问题,内部审计人员可以借助该系统对企业各类业务数据进行实时查询和综合检索。
此外,ERP 运营环境下的辅助审计信息系统还可以执行信息系统层面及业务层面的审计工作。其中,信息系统自动化审计侧重于评价符合性特征,包含审计前的必要检查、信息系统自身配置的审查及内部控制危机测试等。业务层面的审计工作侧重于分析性和实质性审查,主要承担对中石化集团经营性业务及其他相关经济活动的合规性和效益性的分析和检查。
(2)功能作用。由于辅助审计信息系统是基于中石化集团已有的ERP 系统环境进行开发、完善与优化的,因此该系统在数据信息同步、审计范围涵盖、审计证据追查以及审计功能模块的利用等方面具备更加强大而全面的功能。在ERP 运营环境下的辅助审计信息系统的十大模块中,财务审计模块的使用最为频繁,其功能很多,且能够很好地满足企业财务管理人员的需求,笔者以此为例,对该模块的功能进行说明。
在辅助审计信息系统的财务审计模块,依据财务审计基本工作职能分为会计科目审计、账簿审计、会计凭证审计、会计报表审计、财务指标审计、资金管理情况审计六大模块,每个模块均对应不同的实现程序,通过这些程序来实现财务审计模块的各项功能。并且,财务审计模块可以实现与生产经营、财务核算的实时同步,只要是在能够连接互联网和本企业局域网的场所,都可以使用其开展审计工作。
辅助审计信息系统的实施能够为企业的内部审计工作带来诸多新的突破。一方面,该系统能够使得企业内部审计领域范围扩大,促使企业改进内部审计方式,通过该系统实现了物流、资金流、信息流的统一,实现了对企业的财务、资产管理、采购、投资等各环节和流程进行审计;另一方面,使得企业开展审计应用信息化的门槛得以降低。例如:在进行会计信息化系统开发之前,审计人员需要充分掌握ERP 系统中统驭科目和特别总账标志后才能够进行操作,但是由于ERP 系统操作指引中对于这两项内容的解释不清晰,审计人员需要耗费大量的时间学习其中的内涵,以便能够顺利操作系统,而当前中石化集团在ERP 运营环境下开发的辅助审计信息系统屏蔽了统驭科目和特别总账标志,使得操作更加简单、便捷。
此外,辅助审计信息系统还可以针对审计问题进行多层次追踪,针对各类数据进行计算、对比、图形分析等,还具有导出资料的功能,便于各式审计证据的收集。通过该系统,内部审计部门的各模块系统可以实现相互联通,便于内部审计人员发现各式审计问题,调用各类审计信息。
2. 审计抽样系统。
(1)情况介绍。审计抽样系统仍然是基于SAP 系统建立的,是辅助审计信息系统中又一新增模块,该系统主要是针对中石化集团下属各级企业的物资采购业务而建立的。对物资采购业务中的采购订单、交货单、验收报告以及发票等业务单据进行抽样的程序,执行抽样程序时所需要确定的样本数量通常是按照抽样对象的重要性、业务发生频率、固定样本量等信息进行确定。所使用的抽样方法包括随机抽样、系统抽样、发现抽样、分层抽样等几种常用的抽样方法。通过一系列的抽样程序,最终对采购业务流程的符合性、采购业务的真实性发表审计意见.
对于审计抽样环节,审计人员依据事先确定的项目审计要求、审计对象等,运用职业判断来确定抽样范围以及审计主体。而重要性水平一般会按照审计主体在一个会计年度或实际被审计期间内经济业务的发生额或账户期末余额的一定比例确定样本量。除此之外,还可以按重要性确定样本量。具体而言,样本量的确定方法主要包括:按重要性确定样本量、按业务发生频率确定样本量、按固定样本量表确定样本量;抽样方法将包括:随机抽样、系统抽样、发现抽样、分层抽样。
(2)功能作用。审计抽样系统为审计人员开展审计项目提供更多便利的同时,大大提高了审计抽样效率,也为发现审计问题提供了重要保障。首先,该系统不但确定了样本范围、重要性标准、样本量、抽样方法等抽样流程的标准,使得抽样过程更易操作;还提供了随机抽样、系统抽样、发现抽样、分层抽样等多种抽样方法,可以有效提高审计抽样的合理性,便于审计人员根据不同审计目标进行选择。其次,该系统提供了更多可选择的功能,如:通过多条件输入的功能,将审计人员的经验判断和程序自动抽样有机结合;通过抽样程序的嵌入和调用,实现符合性测试和实质性测试的结合。
3. 审计信息集成管理系统。在已经投入使用的审计信息门户、审计工作底稿、审计统计报表等系统的基础上,中石化集团又开发了审计信息集成管理系统。
(1)情况介绍。审计信息集成管理系统包含信息门户和业务工作区两部分内容,下设的子系统有审计计划管理、审计项目管理、审计信息分析、基础信息管理、日常沟通协作、系统配置管理、个人工作助理、信息集成共享八大模块。其中,审计项目管理模块、审计计划管理模块、审计信息分析模块、基础信息管理模块作为应用的主要模块在系统运行中发挥了主要作用,因此本文主要对这几个模块进行介绍。
审计项目管理工作包含三个阶段,即审前准备、审计实施、审计终结,三个阶段由审计实施方案、审计报告、跟踪落实整改情况、审计项目归档等十个环节组成。通过对各环节进行跟踪、监督以及适宜的配置,能够对审计项目的全过程实施良好的管控。
在审计项目管理模块的运行中,设置项目组成员与审计报告是重要环节。从设置项目组成员来看,项目组需设置项目组长或主审,并在系统中选出项目组成员,包括副组长、分组长、分主审等,明确人员职责和分工是保证系统运行的基础。在出具审计报告时,一共需要出具五稿,即初稿、送审稿、审理稿、征求意见稿、终稿,由组长、相关审理人员审稿,经过不断修改后形成审计报告终稿。
基础信息管理模块是审计信息集成管理系统中最为基础且重要的模块。该模块通过收集并提供审计人员信息、被审计单位信息、投资项目信息、模板库、审计规章制度及准则等信息,为审计业务的规范基础信息管理模块与审计计划管理、审计项目管理、审计信息分析模块的关系如图4 所示。基础信息管理模块负责为审计项目管理、审计计划管理和审计信息分析三大模块的运行提供可靠的审计相关信息,以便审计项目的开展、审计计划的制定和发布以及审计信息的随时调用。
审计计划管理模块主要包括四个部分:编制初步审计计划、提交审计计划、发布审计项目的正式审计计划、系统自动生成相应项目框架。在审计计划编制环节需要注意的是,编制内容包括单位年度审计项目初步计划、审计工作管理计划和审计项目正式计划,具体包括项目类型和名称、被审计单位、实施人数、实施时间等多方面内容。
审计信息分析模块主要是对三部分内容进行分析:审计计划、审计人员以及审计项目。其中,审计计划分析是对审计项目计划完成情况和调整情况的分析,审计人员分析包括内部审计人员参与项目情况和相关业绩情况等的分析,审计项目分析主要是分析审计项目各个阶段的进展及完成情况以及各个审计项目所发现的风险点和问题等。
在审计计划管理和审计信息分析两个模块中,审计计划管理模块利用信息化的方式将工作职责与流程进一步进行规范与明确,有利于企业审计资源的合理运用,确保企业审计计划的编制与完成。通过信息化系统进行审计信息分析能减少甚至避免人为因素的影响,对保证信息准确性、提升审计工作效率起到了促进作用。
(2)功能作用。通过在中石化集团各下属企业的审计部门推广使用审计信息集成管理系统,最终实现了审计业务的全流程信息化操作。这不但可以实时反映审计项目的进展情况,还可以满足内部审计信息化管理的要求,进一步提高了工作效率和管理水平。同时,该模块也实现了中石化集团下属各级企业审计部门之间的日常沟通与协作。
一是实现了审计流程和审计文本的标准化。该系统开始使用后,结合中石化集团发布的《审计业务流程》,审计人员必须按照已经设定好的标准流程进行操作,审计部项目管理人员可以实时检查项目执行情况。此外,由于各下属企业的实际业务有所不同,因此审计业务流程模式应针对企业的实际需求设定为相对统一的多种审计模式,企业可以根据自身特点选择其中一种或几种审计模式,这样既可以满足企业实际需要,又能促进审计业务流程的规范、统一。此外,通过参照中石化集团各级企业审计部门发布的制度规范建立各类审计业务文书的模板库,使得审计项目各流程的通用审计文本的使用更加规范、统一。
二是促使了审计依据的规范化。中石化集团的内部审计部门通过参照《中国内部审计准则》、《企业内部控制具体规范》中各项内部审计法规条文,以及中石化集团下各企业审计部门发现的审计问题和所依据的法规条款,进行筛选、收集、整理信息,最终在系统中录入可能涉及的数百条法律法规依据以及相关审计问题,使审计人员在编写和记录审计问题时能够随时调取相关数据,并在对这些审计问题进行定性分析时能够自动关联相关依据,从而在缩短底稿撰写时间的同时,促使审计依据更加规范。
三是提高了审计结果的综合利用率。管理层可以通过该系统随时调阅和查询相关审计项目的审计结果和意见信息。同时,有权限的审计管理人员还可以追溯查询到审计发现问题的具体情况、审计报告等内容,极大地方便了管理人员对各级审计部门审计项目信息的查询及业绩考核,提高了考核的效率和准确性。
总而言之,审计信息集成管理系统按照相关规范与流程来设计与实现,如《审计业务流程》、《中国内部审计准则》、《企业内部控制具体规范》等,在集成丰富的审计信息的同时实现业务流程的信息化。在原有标准上进一步创新、完善审计信息集成管理系统,可对企业审计业务流程的规范和统一起到很大的促进作用。
4. 审计智能预警系统。该系统主要应用于财务和购销等关键领域,主要负责采购环节的预警和分析、销售环节的预警和分析以及综合查询等几个方面。该系统将通过对各企业重点业务数据、信息的整理和分析,时刻监控关键业务中的关键数据或者核心指标的变动,以便能够及时发现和把握重点业务和核心环节的异常情况,为及时决策和监督处理提供有利的参考,在具体的实践中真正实现以风险为导向、以内部控制为主线的方法目标。
(1)简要阐释。自动预警是一种事先设计的系统程序,通过设置相应的预警标准,将日常业务中的各项数据指标与这些标准相比较,对存在异常的流程或者指标对应的业务环节进行监督和核查。自动预警程序能够实现对日常经营业务的合规性随时进行监督和纠正,为事前发现审计问题和控制风险提供保证。同时,还可以通过对预警事项高发领域进行分析和归纳,为有针对性地开展审计调查和审计项目提供有效帮助。
自助预警是将业务环节的信息与审计人员依据审计项目的需要所选择的标准(如预算指标、财务指标、效益指标等)进行比较。自助预警主要用于审计项目的审前调查以及项目开展过程中,可以协助审计人员发现审计问题的潜在线索。
(2)功能作用。审计智能预警系统具有如下功能:一是实现了与集团公司内各大系统的对接。该系统通过与集团公司内不同业务系统的有效对接,使得审计人员能够及时、直接地查询到中石化集团各下属企业的财务报表、预算报表、生产管理系统的进销存情况、物资采购情况以及合同管理系统的合同信息和执行情况等,还能对处于不同系统的相关数据进行关联、对比和分析。此外,通过直接查询各类业务数据,审计人员不但能够进行分析性复核,而且能够进行实质性测试。部分职能预警结果可以关联或推送到ERP 系统,通过辅助审计信息系统进行进一步的查询分析。
二是更好地发挥审计全过程的免疫功能。首先,审计智能预警系统超远程和智能自动的特点,不仅可帮助审计人员及时掌握被审计单位的异常信息,还可以实现相关审计内容的非现场审计工作的开展,进一步降低了审前调查和现场审计的工作时间,提高了审计效率。其次,通过对相关业务各个环节的实时监督或者监控,可以帮助审计人员及时发现审计问题,及时开展审计工作并提出审计意见,从源头上降低管理风险。最后,审计智能预警系统已经覆盖到了各级企业的财务、物资采购、销售业务的各个重要环节和监控点,对于未列入年度审计计划的企业,其监控结果可以作为参考依据,进一步提升了审计成果的利用效率。
三、集团化企业内部审计信息化建设重难点根据对中石化集团企业内部审计信息化建设情况及成效的分析,本文总结出了当前集团化企业内部审计信息化建设的重难点。
(一)内部审计信息化建设的基础环境问题
基础环境的建设是企业内部审计信息化建设的开端,也是最关键的一环,是企业内部审计信息化建设的首要重点和难点。一方面,企业在信息化建设方面的投入要充足、持续,如果企业对审计信息化建设中不同层级、领域的投入不均衡,就会使得系统运营环境达不到要求;另一方面,审计信息化建设需要整体规划,审计信息化建设是一个整体的、变革的、持续的过程,如果企业未能做好整体规划,对信息化建设的意义缺乏深层次的理解,对数据资源缺乏标准化、统一的管理,无法有效利用信息资源,将会对企业内部审计信息化建设造成阻碍。
(二)内部审计信息化建设缺乏指导标准
内部审计信息化建设是一项系统工程,对其中的各个模块和环节均需要运用制度、规范和具体标准来制约,但是当前我国还没有出台相应的指导标准,我国各企业在进行内部审计信息化建设时大多是借鉴已完成内部审计信息化建设企业的经验。并且,在我国当前对于内部审计信息化建设的理论研究中,研究的主要内容数据分析和信息系统安全,对于企业实际进行内部审计信息化建设缺乏指导意义。这些都降低了企业内部审计信息化建设的效率,对建设的成效往往也有不良影响。
(三)内部审计信息化建设面临风险
内部审计信息化建设过程中的风险控制对于企业而言也是一大难点。一方面,在审计信息化建设过程中,数据的保存与追踪至关重要,如操作不当,容易造成非法入侵、数据传输故障,对系统的正常运营产生严重影响;另一方面,被审计单位的内部控制环境也会对系统信息输出的有效性和质量造成影响,由于当前被审计单位的数据信息在使用过程中往往会经过多个不同平台和接口,数据的正确转换、整理也是内部审计信息化建设的一大难点。
(四)缺乏对计算机内部审计的正确认识
内部审计信息化建设过程中人员的作用不可忽视,如果人员缺乏对内部审计信息化的正确认识,会导致操作的偏差,从而影响信息化建设的推进。参与内部审计信息化建设的人员容易存在两方面的误区:一方面,在信息化背景下,人员仍然按照传统的审计方式进行工作,认为信息化仅是纸质材料到电子材料的转换,缺乏对新工作流程的宏观认识,这样容易造成时间和成本的浪费,会大大降低企业内部审计信息化建设的成效。另一方面,人员将内部审计信息化想得过于理想化,完全摒弃了传统审计技术和手段,仅依赖于计算机技术。
内部审计信息化是将传统审计与信息化技术进行有机结合的过程,信息化系统是企业通过计算机提升审计效率和质量的方法与手段,因此企业在进行内部审计信息化时还需加强人员培训,改善人员对此的认知,使审计人员能够将审计思路、基本的审计方法与信息化技术进行有效融合。
四、集团化企业内部审计信息化建设难点突破基于中石化集团的案例启示
(一)集中管理,统一开发推广
由于中石化集团的下属企业众多,同时考虑到各审计分局所开展审计业务的差异,审计信息化建设由集团审计局本部集中管理,由审计局本部统一制定审计标准然后推广至下级使用单位,这样便于审计信息化的集中管理。
采用此种模式进行审计信息化建设,有利于提高信息化建设的效率,统一进行需求调研,统一设计实施方案。审计信息化系统建成并投入使用后,下属审计分局日常审计工作的管理和审计业务的开展将会更加顺利。
(二)充分的需求分析和业务咨询
中石化集团审计局早在审计信息系统的建设初期,就聘请了国际领先的咨询公司担任顾问,全面规划审计信息平台的基础架构,同时进行详细的审计需求调研。待平台运行稳定之后,根据已获知的详细审计需求,逐步完善平台上信息系统各类功能的开发与建设。与此同时,在与审计相关的信息系统的需求规划阶段,审计人员也应充分参与其中,及时提供审计需求,为审计信息系统的有效实施提供无缝集成的保障。
在实施前期进行充分的业务咨询和需求调研,可以促进咨询公司和系统开发人员充分了解企业的审计工作和管理需求。最终投入使用的信息系统才会真正满足审计人员的实际工作需要,符合审计工作的开展要求,避免发生系统建成后与实际需求不符而导致资源浪费的情况。
(三)企业管理层和业务部门的大力支持
在内部审计信息化建设过程中,集团公司高层领导人员对审计工作给予的大力支持也是内部审计信息化建设工作得到顺利开展和完善加强的重要保__证。只有从企业管理层的高度给予审计信息化建设足够的重视,在系统开发建设以及上线推广的过程中给予充分的肯定和支持,并要求可能涉及的各业务部门在需求调研、系统开发和实施过程中给予充分的配合,才能保障内部审计信息化建设工作的顺利展开。
(四)提高审计效率和覆盖率
通过审计信息集成管理系统对审计工作进行规范化、标准化、信息化的管理和建设,使审计人员能够利用规范化的审计作业流程来完成相关的审计工作,进一步提升审计业务信息化管理能力以及审计成果的综合利用效率,从而规范各类审计业务,有效防范审计风险,提高审计效率,最终达到提升审计工作整体质量的目的。
实施审计智能预警系统可以通过对各板块、各企业重点业务数据、资料进行整理和实时分析,对下属企业重点核心业务及高危环节实施监控和对比,并依据审计预警分析结果,对产生预警的业务环节及所属企业进行核查和比对,为后期专项审计工作的立项与开展做好基础准备和技术保障。
(五)集团业务信息化程度较高
内部审计信息化系统通过与集团公司内不同业务系统的有效对接,使审计人员能够及时、直接地查询到各下属企业的财务报表、预算报表、进销存情况、物资采购情况,以及合同信息和合同执行情况等,实现了对不同业务系统各类业务数据的比对、分析和预警。同时,充分利用已经完成信息化的业务部门管理系统,提高业务信息的利用程度,为审计业务的开展提供数据支持。
(六)审计制度健全,审计人员更加专业
中石化集团审计机构在进行审计信息化建设的同时,也进一步明确了审计工作的规划目标,同时推进并提出了内部审计的制度化、规范化、标准化和信息化的四化建设标准,促进内部审计制度规范的编制和发布,使审计工作的开展具备详细的制度标准和执行依据。
此外,根据审计的工作需要,尤其是对于信息系统审计等专业要求较高的审计业务,审计局还设立了首席专家和部门专家等职务,为审计人员提供专业的指导和咨询,提高审计意见和建议的有效性,充分发挥审计机构的监督、管理和咨询功能。
六、结语
若集团化企业想要开展内部审计信息化建设,其可以覆盖的审计业务和业务范围的大小,以及可以通过审计信息系统开展的审计业务的多少,在很大程度上取决于整个企业内部的审计氛围和环境,以及管理层对内部审计工作的重视程度。只有集团化企业管理层充分认识到内部审计工作对于企业经营管理与发展的重要性,各级企业以及各业务部门的管理者对审计工作给予高度的配合,内部审计信息化建设才能顺利进行,才能设计出最适合企业发展需要的审计信息化模式。
集团内部审计信息化建设的推进和发展,取决于集团化企业的经营状况和目前所处的发展阶段。只有详细了解企业目前所处的环境以及各业务领域、业务部门的运作情况,细致掌握各业务流程的优势和弊端之后,才能针对内部控制缺陷和管理风险设计出适合的审计信息化模式,使内部审计信息化建设发挥其最大的功能,产生最好的效果。