一、实施在线审计的必然趋势
二、对在线监控审计的认识
三、在线监控审计系统应具备的基本功能
四、在线监控审计在电网企业的应用
五、构建在线监控审计的几个关键问题
六、实施在线监控审计应注意的问题
内 容 摘 要
信息技术的飞速发展给内部审计带来了很大的挑战,经济活动的不确定性和经营风险加大,经济活动周期和交易周期缩短,相关信息的瞬息万变,促使审计信息化和普及和应用成为当前审计工作的重点,利用计算机进行辅助审计及创新审计手段成为当前审计工作的热点,作者通过分析实施在线监控审计的必然趋势,通过对在线监控的认识,明确在线监控审计概念的基础上,结合电网企业实际,提出在线监控审计的应用及应注意的问题。
对在线监控审计的探讨
信息技术的飞速发展给内部审计带来了很大的挑战,经济活动的不确定性和经营风险加大,经济活动周期和交易周期缩短,相关信息的瞬息万变,促使审计信息化和普及和应用成为当前审计工作的重点,利用计算机进行辅助审计及创新审计手段成为当前审计工作的热点,如何将审计的监督职能融入信息管理系统或利用计算机信息技术优势对业务系统进行追踪或同步审计,无论对审计的时效性、审计质量的提高还是促进和完善内部控制系统,都具有十分重要的意义。
一、实施在线监控审计的必然性
实施在线监控审计的必然性随着经济的发展的经济和社会的进步,审计的职能早已超越了查账的范畴,涉及到对各项工作的经济性、效率性和效果性的评价。这就需要与之相配套的审计信息化产品不再局限于财务收支审计,而应拓展到对各类业务数据的审核。在美国安然公司“Enron”和世通公司“Worldcom”财务欺诈案爆发后,2002年国出台了萨班斯法案(SOX),审计得到了政府、企业和行政机关单位的高度重视,成为企业内控、信息系统治理、安全风险控制等的不可或缺的关键手段。
(一)在线监控审计是审计技术创新的最重要方面。从免疫过程看,发挥免疫作用的前提条件是免疫识别。审计要发挥免疫功能,首先要进行审计免疫识别。而审计免疫识别离不开先进的审计技术方法。就如同传统“望、闻、问、切”诊疗方法发展到现在的各种高科技诊疗方法一样。随着信息技术的快速发展,传统手工条件下的审计技术遇到了来自计算机技术的严竣挑战。审计对象化要求审计手段必须信息化,否则审计人员面临时“进不了门、打不开账”的无奈局面。因此,当前对审计技术创新而言就是如保创新审计工作手段,如何走好审计信息化之路。否则面对病毒,免疫系统无法识别、确认,其监督功能也就无法发挥。
(二)在线监控审计的固有优势与免疫系统功能的特点相吻合。审计真正发挥免疫功能,其产生的作用与常规监督性审计的作用是有区别的,集中体现在三性上,一是宏观性,传统审计关注的都是某个具体的受托责任关系,而审计免疫系统关注的则是整个社会经济系统中的受托责任关系。通过解剖麻雀,对审计发现问题产生直接原因的深层次原因全面进行分析,提出针对性强、操作性强的建议,为领导宏观决策提供依据。信息化审计则突破了原有手工条件的束缚,对单位大量业务和财务数据,包括信息化系统本身进行分析、审查、显然更有利于从宏观层面进行分析;二是预见性,免疫系统的最大功能就是在病毒入侵时,就能及时识别、确认、并将其清除,而不是等病毒扩散之后处理,体现了预见性,在线监控审计很好契合了这一点,一方面工作效率极在提高,另一方面一些新的技术,如联网审计,可以使审计关口前移、事先介入,随时跟踪,及时发现存在的问题,并以解决;三是建设性,审计工作建设性的作用是审计作为经济社会运行一个免疫系统的基本要求,要在全面认识的基础上科学分析,努力揭示体制、机制上原因,从根本上提出建设性意见,促进国家经济平稳、健康运转。而建设性与宏观性是相辅相成的,在线监控审计做到了微观与宏观的有机结合,特别是实现了数据的宏观分析,有利于提出建设性意见。
(三)“十一五”期间作为中央企业的南网电网公司信息化建设有长足进步,“十二五”又到了一个关键时刻。在南方电网公司“十二五发展战略,促进公司一体化管理”论坛上,公司在发展方向上提出一体化管理、集团化运作的战略转型,战略规划要以客户为中心,以供电可靠性为核心,可持续地推动发展,到更高的层次就是以人为本,这是科学发展观的核心,信息化战略与“十二五”规划在发展理念上要实现从业务驱动型转向战略驱动型、从分散建设向集中建设、从部门级应用向企业级应用“三个转变”,在管理理念上要贯穿以资产生命周期管理、全方位客户服务管理、资源集约化管理“三条核心管理主线”,在管理模式上达到统一管理、统一规划设计、统一标准、统一建设“四统一”,在技术路线上要建设以集成、共享、协同为目标的“一体化应用体系”,在研发、建设和运行维护上,走出自主开发、拥有自主知识产权的系统建设和运维路子。南方电网公司“一体化”系统全面倡导内部审计转型的大背景下,积极开展以监督和评价内部控制体系运行的有效性为导向的“在线监控审计”成为内部审计工作的趋势。
在线审计系统是南方电网公司用于对其他业务信息系统实施在线审计的应用系统,该系统可实现与其他业务信息系统的联接和审计在线监控、预警和智能分析、形成审计疑点等并且与审计管理信息系统高度集成,构成一体化的协同平台,实现与审计信息信息系统之间的信息共享和工作协同。通过在线实时监督,评价和改进财务会计控制、经营管理控制和信息系统控制的有效性,促进提高内部控制能力和水平,帮助组织实现目标。
良好的内部控制体系是以完善的公司治理结构和先进的内部控制为基础,以准确的风险识别和完备监测评估体系为前提,以健全的内部控制制度和严密的控制措施为核心,以严格的审计监督和客观的评价体系为保障,以强大的信息系统和畅通的沟通渠道为支撑的诸多要素构成的一个有机整体。这就要求我们对内部控制实施审计的时候,不能仅仅局限于对各个功能要素进行孤立的审计,而要站在全局和系统的高度,对各个要素之间的关联活动和相互作用的效果进行审计,要从总体上对内控能力进行动态、系统的审计评价。这样,只有依托信息化条件,通过在线监控审计,审计人员才可以利用计算机快速、准确的特点,积极开展事前审计、事中审计和效益审计,扩大审计面,提高审计质量和效率,使得内控审计成为可能。因此,实现内部审计全面转型与发展,审计手段必须从手工操作向信息化、自动化转变。这是内部审计工作发展的内在需要,也是内部审计实现现代化的重要标志。
二、对在线监控审计的认识 从近两年企业审计的实际应有用来看,在线监控审计实质就是在线连续审计。加拿大注册会计师协会联合发布的一份研究报道对连续审计作了如下阐述:连续审计是指一种由独立的审计人员使用的,在一系列审计报告的基础上为一个由企业管理当局承担责任的项目提供书面保证的技术。这些审计报告是由审计人员发布的一系列与这个项目提供书面保证的技术。并且其发布时间与事件发生的时间是同步或者紧随其后的。连续审计定义为,有关事项发生同时或稍后进行审计的审计类型。实施连续审计,一般应具备两方面技术条件,一方面是被审计系统完全自动化。即会计信息能够以电子格式记录和存储,另一方面是相关事件或结果能够即时被审计人员提取。而对内部审计来说,在线监控审计使审计更及时,更全面、更精细、成本更低。相对传统财务报表审计,更能充分地发挥审计的作用,并在审计的深度和广度上实现进一步跨越,因此可显著改善审计质量。
三、在线监控审计系统应具备的基本功能
(一)预警功能。主要依据被审计对象的特点或根据实际情况要建立适当的监控模型,如依据被审计对象的综合经济运行指标或对被监控数据设立预警线等。并在设置自动审计报警同时,将自动审计预警发现在疑点列入审计疑点库。
(二)监控功能。主要是针对重点业务或经常性业务流程,运用信息技术对被审计对象系统进行同步追踪或持续监督审计。电网企业主体业务具有标准化程度高的特点,应当能够对经营性业务流程及相关基础数据和控制点制定相关控制流程和选取基础标准数据,对被检测对象按确定的同期进行扫描和测试,对异常情况进行筛选分析,并将流程执行过程中已确认的缺陷转入正常的审计程序。
(三)评估分析功能。主要是对各期数据建立相应的数学模型。根据各周期控制点缺陷出现的频率或性质进行汇总分析,对被监控业务系统风险的控制水平进行评估,对被监控业务系统风险的控制水平进行评估,并对周期性审计数据进行分析筛选,并将确定的重点问题转入审计程序。
四、在线监控审计在电网企业的应用
南方电网公司在线审计系统主要包括财务在线审计、营销在线审计、工程在线审计、生产在线审计、人事在审计等,各系统的建设应随各业务信息系统的建立和完善逐步研发,并在实际应用中不断修改和完善。 当前,电网企业迅速将上升对战略的高度,全面建设以特高压电网为骨干网架、各级协调发展的坚强电网为基础,以信息化、数字化、自动化、互助化为特征的统一坚强智能电网计划已全面启动并开展电网智能化规划工作。
在电网管理方面,早在数年前便探索和启动项目的规模和建设,以财务、物资、工程项目和人力资源管理、营销管理为重点,以优化业务流程和电网典型设计模板差异化为基础,通过项目建设全面提升电网精益化管理水平。电网企业的发展,对于电网企业的内部审计工作质量、时效性,特别是对内部控制系统运行状况的评估,风险控制等都提出新的、更新的要求,审计信息化建设在线监控审计,初步设想是:由内部审计人员对被审计信息系统通过计算机实时采集数据,在被审计事项发生的同时或在事项发生后的较短时间内。对被审计业务流程或事项进行分析,建立相关控制标准和流程、由审计系统进行测试,和比较分析,对异常情况进行预警,初步确认或由内部审计人员对在相应时限内连续监控审计的数据进行二次分析,处理后,按相应程序执行审计流程。
审计的在线监控,也对审计管理提出了新的要求。信息化条件下的审计管理主要是利用审计项目管理软件,完成对审计项目的管理、对审计成果的管理、对审计人员绩效考核的管理等功能。在线监控审计从审计项目的立项到审计项目的实施再到审计项目的终结和归档,审计管理系统都可以进行全程跟踪,实时监控。对于审计成果,审计管理系统能够方便的进行存储、检索和维护。审计信息化管理还可以对审计人员的工作量、审计项目完成的情况等进行考核。在线监控审计成为内部审计发展的必然趋势。
五、构建在线监控审计的几个关键问题
(一)选取适当的软件平台。在实施在线监控审计前,可以考虑选用中普审计软件等作为计算机辅助审计软件,通过对财务系统凭证准确性、财户平衡的检验和科目余额分析等方法辅助审计。在考虑对软件的熟悉程度和适用性的前提下,研制财务系统在线监控方案并组织开发在线监控审计系统。
(二)建立数据安全协议。为保证在线监控审计的数据安全,要制定建立数据安全协议办法,要求按协议下载被审计业务子系统数据在实时审计系统数据库中,自动转换成内部审计所需数据,对数据有异常的业务进行分类汇总,同时用审计分析系统的穿透及索引功能,提取相应凭证,实时获取电子证据。
(三)建立相应的规章制度及工作流程。审计实时监控系统管理办法、审计在线监控管理规定,审计在线监控管理规定、审计实时监控系统数据及档案管理办法等相关制度,对系统的运行、维护、安全管理、在线监控和审计档案管理等做出规定。同时,制定审计在线监控流程,规范审计流程,一般情况下,基本监控流为:(1)根据年度工作计划或工作需要拟监控计划。(2)根据拟定的监控计划选择监控单位和监控期间。(3)实施监控并对监控结果进行分析和筛选,找出监控疑点。(4)根据确定的疑点向被监控单位发出通知,要求其做出诠释。(5)被监控单位通过提交相关资料对可疑点做出合理解释说明。(6)对被监控单位提交的说明进行审核并报送相关领导审批。(7)部门领导审批后认为解释合理的,直接出具监控分析报告,不合理的要求被监控单位再次做出解释说明。第二次提交的说明仍然不合理的,下发现审计通知书,进行现场审计。(8)审计组到被监控单位对可疑点进行现场审计。(9)审计组完成现场审计后,出具初步审计报告书。(10)审计组根据监控结果出具监控分析报告并向领导汇报,同时向监控单位反馈监控结果。(11)审计组将审计结果和审计数据报送相关部门,由相关部门对所显示问题进行整改、处理。(12)审计组将监控相关的资料(进行现场审计,包括对现场审计的初步审计报告书)进行整理。(13)整理资料、装订成册,按照档案管理的相关要求存放和管理。
(四)在线监控审计成果运用。为充分运用在线监控审计成果,对在线监控审计成果进行后处理,即二次加工。如对各子公司同一业务子系统连续数个周期的审计数据进行分析,根据问题出现的频率和性质对业务系统运行状态进行评估。
(五)建立联防机制。内部审计与各被审计业务子系统建立风险联防机制,对在线审计所发现问题,除重大异常问题执行审计程序外,一般性缺陷问题反馈给相关部门限时整改,保证内部控制系统的健康运行。
六、实施在线监控审计应注意的问题
(一)统一认识。由于在线监控审计持续深入到被审计单位对象系统内部,各系统几乎处于完全透明状态,因此,需要各系统分管部门站在公司战略高度,借助、配合在线监控审计评估,完善内部控制系统,促进内部控制系统的健康运行。
(二)持续完善在线审计监控审计软件及方案。首先,应当完善包括信息收集系统、信息分析系统和信息反馈系统的应用软件。其中信息收集系统应当加强系统对信息的识别和采集能力,能够在客户纷繁复杂的信息系统中获取所需资料,并传送到实时审计系统充数据库;能够将收集的财务信息与非财务信息转换成计算机自行处理的数据,根据预设的审计标准或控制标准鉴别和报告异常事项。同时,在线监控审计监控软件应进行定期或不定期升级改造,以造应企业信息系统不断发展变化的需求。其次,要深入研究业务流程,设置准确的审计和控制标准及相应方案库,并尽量在测试中利用各种组合条件、边界条件确定问题所在,使其结论唯一,而非仅提出疑点,这是在线监控审计区别一般辅助审计的关键。
(三)确保在线监控审计信息的安全性。由于在线监控审计工作是在企业信息系统内运行,不会涉及代理服务器系统信息和虚拟专用网系统的安全问题。信息安全主要是审计系统向各业务子系统采集、存取数据的方式及后续数据处理问题,应根据在线监控审计业务的需求,采取内部协议或制定相应制度进行管理。(4)加强高素质、复合型内部审计人员人才的培养。尽管在线监控审计系统能够以审计和控制标准库为依据自动对交易事项进行判断,但是前提是设置高水平的审计方案,设置理想的边界条件,这依赖于内部审计人员的专业素质,特别是跨专业的知识结构。因此,要加强高素质、复合型内部审计人才的培养。
在线监控审计不只是个技术方法的问题,它对审计工作的方式、程序、质量和管理,乃至审计人员的思维方式和自身素质都会带来深刻的影响。也就是说,创新审计技术与创新审计模式是互为前提、互相推动的一体两面。加快在线监控审计的内部审计信息化建设既是实现内部审计转型的一项重要任务,更是开展以风险控制为导向管理审计的重要技术支撑。必须要把推进内部审计信息化作为利用信息技术改造提升传统审计方式的重要内容,纳入到推进内部审计实现全面转型与发展的总体部局之中,统一规划,整体推进。
参 考 文 献
1、内部审计信息化研究与应用 2007年 陈震含
2、内部审计信息化:未来战略制高点 2007年 邓冰
3、内部审计职业界面临的挑战机遇 2007年杨荣美 中国时代经济出版社
4、网络安全中安全审计与监控系统的设计与实现 2004 年 中国石化工厂出版社 作者:陈亮
5、内部审计理论与实务 中国内审协会 2004年
