淺議信息化經營環境下的企業內部審計創新

丁洪波　全海峰

摘要：信息化環境下企業的運行模式發生了很多重要變化，這種變化一方面促進了企業的管理提升，增強了企業的競爭能力；另一方面卻給傳統的企業內審帶來不少挑戰。面對信息化條件下企業內審面臨的諸多挑戰，中國移動浙江公司積極探索，勇于實踐，取得了不少寶貴經驗。本文主要介紹中國移動浙江公司企業內審創新的實踐和經驗，以期對其他公司改進企業內審提供參考。

關鍵詞：信息化 內部審計 全量審計模式

通信運營商的生產與管理具有全過程、信息化的特征，傳統的賬簿被IT數據庫所取代，業務信息過程的全程變為自動化，證據鏈條更加難以捕捉，傳統內部控制的有效性日益受到挑戰。

針對高度信息化的企業環境，中國移動浙江公司積極開展內審信息化實踐，努力推進內審事務管理信息化，不斷深化計算機輔助審計技術應用，持續探索信息系統審計方法和技術，實現了從傳統審計方法向以IT審計技術為主的全量審計模式轉變，從以項目審計為主的工作模式向無縫偵測、持續審計的方向轉變。

一、著眼內審作業規范化和效能提升，努力推進內審事務管理信息化

（一）構建“內部控制測評管理系統”

為了符合索克斯法案相關條款，公司探索建立了業內第一個內控管理平臺（簡稱ICM系統），內控管理人員可以及時維護公司內控手冊和矩陣，內審人員可標準化測試步驟、規范測試底稿，并在系統中對測試計劃進行安排，實現了企業內部控制機制常態化建設。

（二）開發“工程審計作業管理系統”

通過構建工程審計作業管理系統，實現與合同管理、財務管理、采購管理、工程管理等系統的互聯，規范了全省各級工程審計作業流程，大幅度提高了審計工作質量，保障了2013年超過兩萬個工程審計項目的順利審計，節約投資2.89億元。同時，該系統還實現了系統數據融合，減少了數據重復提取輸入，提高了信息質量，大量高度規范、標準的全流程作業數據的積累也支撐公司初步實現了工程審計的智能化，通過數據分析、標桿測定和風險探針功能，為工程審計提供了快速指引，為持續改進工程建設管理提供了科學依據。

（三）建設內審事務管理平臺，推動內審管理信息化

內部審計事務管理平臺，旨在依托信息化手段來提高內審計劃、組織、指揮、協調、控制與監督等一系列活動的科學性和效益性，實現內部審計工作的規范化，增強了內審業務的統籌計劃性，提升了內審工作質量和效率，促進審計成果信息的共享。

二、積極采用計算機輔助審計技術，努力實現審計方式轉型

現代企業內部審計面臨諸多挑戰，例如：審計領域大幅度拓寬，從賬簿、憑證、現場勘測延伸到計算機數據庫、數據模型、系統程序審計，審計環境更加復雜。中國移動浙江公司努力調整內審工作思路，積極采用計算機輔助審計技術提升審計項目質量、不斷深化審計工作。

（一）實施業務數據庫的深度分析挖掘，有效支撐現場審計

通過多年的探索實踐，中國移動浙江公司現在已經形成了一整套較完備的需求建模、遠程取數、全量比對、特征分析、現場核查的審計項目實施流程，充分利用信息化技術來支撐專項審計、專題調查等工作。實踐證明，采用這種方法，不但能有效實現審計目標，也能大幅度降低現場審計成本，同時還可以最大限度減少對被審計單位正常工作的影響。如在現場流程診斷建模收入保障流程和梳理業務異常特征的基礎上，后臺應用輔助軟件對全量提取的上億條海量話單數據進行統計分析核對，及時發現并跟進堵塞系統間數據不一致等系列問題及漏洞，有效防止了上億元收入的跑冒滴漏。

（二）積極應用計算機輔助審計軟件，不斷提升審計效率和質量

隨著電子信息技術的快速發展，計算機輔助審計軟件和工具不斷涌現，公司與時俱進地推動了計算機輔助審計軟件和工具在項目實施中的應用，成效顯著。例如，應用ACL軟件進行異常會計分錄測試，使用統計分析軟件和模型進行風險評估。同時，結合業務特征，自己設計開發了專用審計程序和作業模塊，進行持續審計的探索和實踐，已取得較好成果。如利用會計分錄測試工具，對大量運營支出數據進行計算機分析、歸類和判斷，快速發現問題所在，及時挽回重復入賬等損失。

三、聚焦信息安全和IT風險，探索信息系統審計新領域

中國移動浙江公司積極探索信息系統審計領域，不斷揭示信息系統在設計、運行、維護和管理中存在的問題與風險，努力保障公司穩健經營與發展。

（一）加強信息安全審計，防范相應風險

推行客戶信息安全管理審計，審計目標是降低客戶信息泄漏、篡改和濫用的風險，有效推動企業信息安全管理的提升。公司實施了業務受理IT風險審計，采用IT技術手段對主機和網絡設備的安全配置及漏洞、網絡滲透性進行測試，對高風險系統日志、賬號使用日志、業務操作日志等進行審計。此外，公司及時揭示了網絡基礎設施和應用系統等存在的系統缺陷，以及管理中存在的薄弱環節，并就具體執行情況深入查錯糾偏，強化安全措施的有效落地，確保企業不發生重大信息安全事件。

（二）實施信息系統賬號權限審計，深化系統訪問風險防控

不斷發展的業務和持續增加的信息系統，使公司各類系統的賬號與權限管理十分復雜，隱藏了管理不善的風險。為此，公司對重要IT系統的賬號權限管理展開審計，識別其賬號權限管理的內控缺陷。

此外，公司還通過數據建模和信息技術審計手段，揭示賬號權限設計缺陷、賬號權限數據失真等執行層面的問題，以此為契機構建自動檢測手段，以信息技術方法來確保系統賬號權限的實時管理。如適時繪制的風險點脈絡圖為公司十八大安全保障工作以及賬號管理工作提供了抓手，業務部門據此對薄弱環節進行了重點整改。

根據項目成果，公司計調部門職責3項，制定或修訂管理制度辦法6項，改造業務系統7個，執行賬號專項檢查9次，整改不合理賬號1217個，推動建立了長效管理機制。

（三）以風險為導向，全面審計監測信息系統

針對公司IT系統快速發展的局面，中國移動浙江公司積極探索開展IT全面風險管理。

一是建立了IT風險評估模型，對所識別的IT固有風險進行評級，對高風險領域進行細化分析，繪制公司IT風險全景電子地圖，分級制定IT審計規劃。

二是開展了軟件全生命周期管理和采購系統信息一致性專題審計，選擇地市分公司試點IT現場審計，進而制定并驗證地市分公司適用的IT審計框架結構內容，推動公司IT審計不斷演進和深化。

上述工作一方面因地制宜地建立了企業IT風險的全覆蓋監測機制，避免了風險盲點的存在；同時增強了風險管理工作的統籌安排，進一步提升了資源利用效率，避免了過度控制和重復投入。

（作者單位：中國移動浙江公司）