企業內部審計信息系統的需求分析

[摘要]信息技術(Information Technology ，IT)的飛速發展，企業內部信息化程度的不斷提高，迫使內部審計機構采用先進的工具和方法，實現內部審計的規范化、信息化，從而提高審計工作的質量和效率，降低審計風險。本文通過分析國內計算機審計技術發展與軟件開發使用情況，結合企業在信息技術環境下迫切需要實現內部審計信息化的內在需求，對企業內部審計信息系統進行了需求分析。

[關鍵詞]信息系統;內部審計;需求分析

一、引言

信息技術的飛速發展，促使企業對傳統業務流程進行改造，企業的會計核算、財務管理、業務管理、客戶管理等逐步實現信息化，使得企業運營更加高效，實現了數據的集中管理，企業內部、企業與客戶和供應商之間的溝通更加便捷。數據處理過程的自動化，一些傳統的審計線索消失，審計證據更加隱蔽，加劇了審計風險;各項業務數據和信息的電子化，傳統的賬簿被計算機的存儲介質所取代，增加了內部審計的檢查風險;企業信息數據的高度集中，使得傳統意義上的內部控制的有效性受到挑戰，加大了內部審計的難度。因此，審計工作迫切需要采用現代化技術與方法的審計工具，改變現有的審計作業手段。

隨著信息化程度的不斷提高，企業內部審計機構也需要加快信息系統的開發和建設，努力實現內部審計現代化。正如李金華審計長指出的，“審計信息化是一場革命，能不能在這場革命中掌握主動權，直接關系今后審計事業的發展”。加快內部審計信息化進程，充分發揮信息化在推動內部審計發展中的重要作用，不斷提高內部審計工作質量與效率，是貫徹落實科學發展觀，實現內部審計工作全面轉型與發展戰略目標的重要舉措。

本文以國有大型企業內部審計信息化建設工作為實際背景，在對企業內部審計部門日常工作進行調研的基礎上，對內部審計作業與審計管理工作進行分析和研究，分析企業內部審計信息系統的框架和內容，以期對我國企業內部審計機構信息化建設提供參考。

二、國內計算機審計技術發展與開發情況

審計署自2002年開始實施審計系統信息化建設的重要項目—金審工程以來，解決了審計信息化建設的總體規劃和基礎建設，于2005年11月金審一期工程通過了國家發展改革委員會組織的竣工驗收。作為項目成果之一的現場審計實施系統的投入應用，全面提高了審計監督的綜合能力。金審二期工程項目于2008年開始實施，主要進行審計數據中心的建設，實現單機版向網絡版的升級，開展系統工程聯網審計，實現部門之間、中央與地方之間的信息共享與協同互動。

我國企業內部審計信息化雖然起步較晚，但內部審計信息化研究和實務取得了一定的進展。據調查報告顯示，目前已有企業內部審計機構以計算機輔助審計的方式開展審計工作，審計人員利用電子表格、數據庫、審計軟件進行數據采集轉換和分析核查，在審查舞弊中取得了顯著效果。例如，中國石油化工集團公司啟動了在ERP環境下輔助審計信息系統和審計查證系統的推廣和應用工作，積極督促和引導廣大審計人員充分運用現代化審計手段;中國第一汽車集團公司利用計算機信息系統和網絡平臺，實現了審計信息錄入維護的模板化、日常化、制度化。然而，雖然審計人員能夠充分利用信息技術，開展審計工作，并在實際工作中發揮了一定的作用，但是根據08’中國內部審計協會內部審計發展研究中心調查統計，國有企業的計算機審計，目前尚處于探索和研究階段。

為了適應計算機輔助審計的需要，近年來我國一些單位或公司，開發了一些審計軟件。例如，審計署信息化建設領導小組辦公室、審計署計算機技術中心與北京中軟國際信息技術有限公司合作研制開發的《現場審計實施系統》(AUDITOR OFFICE，簡稱AO)，北京誠創易通科技發展有限公司開發的“易通審計.NET 2006”軟件，上海博科資訊股份有限公司開發的“審計之星V4.0”軟件，北京用友公司開發的“審計作業系統—審易A465”軟件，北京中軟國際信息技術有限公司開發的“中軟審計AE標準版” 軟件等等，審計軟件的研究開發，進一步促進了我國計算機審計事業的發展。

總的來看，這些審計軟件公司開發的審計軟件，基本滿足了審計人員工作的需要。研究開發內部審計信息系統，如何實現審計作業、審計信息管理為一體的審計軟件，如何組織軟件各功能模塊的布局結構，如何設計風險為導向達到風險預警等功能的審計軟件系統，以便更好地滿足審計的需要，這是本文所要探討的問題。

三、企業內部審計信息系統的需求分析

1.內部審計業務描述

企業內部審計機構工作主要包括兩個方面，即內部審計管理和審計作業。

(1)內部審計管理

內部審計管理是指內部審計部門的負責人采取科學系統的技術方法和手段，對內部審計工作進行的計劃、組織、指揮、協調、控制與監督等一系列提高審計行為效率的活動。

內部審計作用的發揮有賴于良好的內部審計管理。我國的《內部審計實務標準》指出:“內部審計執行主管應該有效管理內部審計部門，保證內部審計部門為組織增值”。內部審計管理包括內部審計機構管理、人員管理、審計計劃管理、審計成果管理、審計文書管理等等。審計機構管理主要是實現上級對下級進行政策和程序上的指導，對審計的質量進行監督，宏觀管理審計項目，保證審計質量;人員管理包括內部審計人員的增減變動情況、項目小組人員安排、權限管理等內容;審計計劃管理包括計劃的制定、計劃的上報和計劃的審批等內容;審計成果管理包括審計成果的查詢和統計等;審計文書管理包括文書的下發、文書的制作、文書的保存等內容。

(2) 內部審計作業

在日常審計工作中，內部審計作業通常包括審計的準備階段、實施階段、終結階段三個環節。在有些情況下，為了進一步跟蹤審計決定或建議的落實情況，還要開展后續審計。

審計準備階段也就是內部審計的規劃階段。這階段的主要任務是選擇審計項目，確認被審計事項，確定相關風險因素并評估其重要性程度;委派審計人員，編制項目審計計劃，查閱以往審計檔案，對被審計單位進行初步調查;制定審計實施方案，確定審計目標、內容、方法和程序，向被審計者發出審計通知書。

審計實施階段是審計人員獲取、審查和評估資料的階段。這個階段的主要任務是調查內部控制的建立情況，初步評價內部控制的健全性，確認內部控制風險，對內部控制進行符合性測試，并對內部控制做出評估，據此制定進一步的審計策略。審計人員可進一步擴大測試范圍，以得到審計結果，利用各種審計方法，獲取審計證據，以支持審計結論，并形成審計工作底稿。

審計終結階段的主要任務是編寫并出具審計報告。這階段的工作包括編寫和報送內部審計報告，就內部審計報告的內容和被審計者進行有效的溝通，歸集整理審計檔案。

2.內部審計管理系統的需求分析

內部審計管理系統是企業內部審計部門以實現內部審計目標為中心，由內部審計組織、計劃、人事和監控等方面的具體管理活動所構成的一個有機體系。內部審計管理系統的管理主體是內部審計部門或機構負責人;管理的對象是內部審計部門中的業務程序、人力資源、后勤保障等方面的相關活動;管理的目標是為了能夠有效發揮內部審計機構的組織功能，提高審計工作效率。

完善的企業內部審計管理系統是內部審計工作進行有效管理的保障。在審計業務實施的過程中，制定內部審計計劃是實施審計的重要步驟之一，是內部審計部門在一定時期內對審計工作所做出的統一部署、組織、協調和控制，對計劃進行有效的管理表明內部審計部門注重提高內部審計工作質量，注重審計程序的規劃和設計。因此，內部審計人員應著重把握計劃管理，把計劃管理的工作當作整個審計管理中不可缺少的環節和內容。另外，在審計過程的各個階段，會產生各種審計文書信息，例如，審計通知書、審計證據、審計報告等，對每種文書都有一定的規范和格式要求。為實現內部審計文書的規范化，提高審計工作效率，將這些文書信息可以使用計算機管理。由此可以看出，在內部審計管理中，計劃管理和文書管理是較為關鍵的內容，下面主要分析內部審計計劃管理和文書管理的內容。

(1)內部審計計劃管理

審計計劃是指內部審計機構和人員為完成審計業務，達到預期的審計目的，對一段時期的審計工作任務或具體審計項目做出的事先規劃。制定審計計劃是為了使內部審計人員能夠順利、及時、有效地完成審計業務，以達到預期的審計目的。審計計劃包括年度審計計劃、項目審計計劃和審計方案三個層次。

審計人員在制定審計計劃時應對審計對象進行初步的風險評估，依據以風險為導向的審計方法，分析被審計對象存在的風險，根據風險的高低進行職業判斷，高風險的領域優先列入年度審計計劃。內部審計計劃管理用數據流圖表示如圖1所示。

在圖1所示的內部審計計劃管理的數據流圖中，審計機構和審計人員首先對企業所面臨的各種風險進行全面的風險評估，確定年度審計計劃;然后，審計項目負責人根據年度審計計劃，確定審計項目，并進行項目規劃;最后，針對具體的審計項目，項目負責人制定審計實施方案。

(2) 內部審計文書管理

審計文書包括審計工作方案、審計通知書、審計證據、審計工作底稿、審計報告、審計決定、審計信息專報等，其中要求較為規范、使用較為頻繁的文書有審計通知書、審計工作底稿和審計報告。文書管理系統主要實現審計通知書、審計底稿、審計報告等文書的編輯、保存、修改、下發、上傳等功能。

3. 內部審計作業系統的需求分析

內部審計作業包括審計準備、審計實施、審計終結三個階段。

根據《內部審計具體準則第28號—信息系統審計》的第九條規定，“審計人員應采用以風險為導向的審計方法進行信息系統審計，風險評估應貫穿審計的計劃、實施、報告與后續工作的各個階段”。

(1)審計準備階段

在審計準備階段，內部審計機構和人員在選擇審計項目時，首先對與企業目標相關聯的企業風險進行識別，采用適當的風險評估技術與方法，分析風險發生的可能性以及影響程度，并將其記錄在風險評估矩陣表中，為確定審計目標、范圍和方法提供依據。在審計項目確定后，根據項目需要委派審計人員組成審計組，并合理地進行人員分配，指定審計組長和主審人員。審計項目負責人通過查閱檔案獲取被審計單位的背景資料，為當期審計工作做好審計準備。因此系統可提供對該審計對象各方面歷史資料的查詢功能。

當審計項目較多時，審計準備過程中產生的文檔內容應由系統統一進行管理、分類別列示，同時顯示各文檔的狀態，如“未提交”、“待復核”、“已復核”、“已歸檔”等，以便管理。另外，由于電算化系統區別于手工審計，應該在審計準備階段對所獲取的財務數據的準確性、安全性、完整性進行有效驗證。

(2)審計實施階段

審計實施階段是審計人員獲取、審查和評估資料的階段。以風險為導向的內部審計，審計人員根據初步風險評估結果，檢查并評價內部控制活動的設計和執行的有效性，評估控制風險，更新風險評估結果，并以此對審計程序做進一步的調整。在實施階段的初期，審計人員調查內部控制的建立情況，審計人員使用流程圖、調查問卷等方式描述內部控制系統，初步評價內部控制的健全性，并進行實地考察，進行符合性測試。

在信息技術環境下，審計人員應該充分評估企業業務流程層面各種數據輸入、數據處理和數據輸出環節可能存在的風險，對相應的信息技術內部控制設計有效性和執行有效性進行測試，確保控制活動的設計能夠與風險程度相匹配。

審計人員在實施審計時，根據《審計基本準則》第三章第十四條規定:“內部審計人員可以運用審核、觀察、詢問、函證和分析性復核等方法，獲取充分、相關、可靠的審計證據，以支持審計結論和建議。”在信息技術環境下，考慮到信息系統的特性，根據《內部審計具體準則第28號—信息系統審計》的第二十四條規定，審計人員在進行審計與信息技術相關的內部控制過程中，根據信息技術內部控制的具體情況，應單獨或綜合應用審計方法。例如，驗證系統控制和計算邏輯、登錄信息系統進行系統查詢、實施穿行測試跟蹤交易在信息系統中的處理過程等。

根據《內部審計具體準則第3號—審計證據》的規定，審計人員應根據審計目標選擇最合適的審計程序來獲取審計證據，評估審計證據的可信度，并注重對審計證據的保護和保存。審計人員應把審計證據的收集、分析、解釋和綜合這一系列過程記錄于審計工作底稿上，作為審計結論的依據。

由于審計工作底稿是基于審計人員的職業判斷、測試工作和評估的記載結果，難免存在誤差或片面，所以所有的審計工作底稿都必須經過審核，并形成審核記錄。

(3) 審計終結階段

根據《內部審計具體準則第28號—信息系統審計》的第二十九條規定，“在審計實施結束后，審計人員應以充分、可靠及相關的審計證據為依據形成審計結論與建議，出具審計報告，形成審計結果，追蹤審計建議的落實并執行相應后續審計程序。”在以風險為導向的內部審計的報告和后續階段，審計人員可以基于對內部控制的評價意見，評估剩余風險，形成審計結論并制定后續審計的程序。

依據不同的標準，審計報告有多種類型，例如，財務審計報告、風險管理審計報告等。審計報告初稿完成后，審計機構與被審計單位溝通，征求意見，等收到書面答復并經內部審計部門負責人審核批準后，將內部審計報告報送給被審計單位的管理層，審計部門歸集整理審計檔案。內部審計過程用數據流圖表示如圖2所示。

四、總結

本文從目前我國企業內部審計業務的實際情況出發，對內部審計信息系統進行了需求分析，在這需求分析的基礎上，可再進一步進行系統設計和編碼實現。這樣開發出來的軟件，可以實現審計計劃、審計工作底稿、審計報告等按一定的格式處理，實現內部審計工作的規范化，能使機構領導方便跟蹤審計項目進展情況，實現審計作業的流程化、智能化，從而提高審計工作效率和質量。