淺議信息化經(jīng)營環(huán)境下的企業(yè)內(nèi)部審計創(chuàng)新

丁洪波　全海峰

摘要：信息化環(huán)境下企業(yè)的運(yùn)行模式發(fā)生了很多重要變化，這種變化一方面促進(jìn)了企業(yè)的管理提升，增強(qiáng)了企業(yè)的競爭能力；另一方面卻給傳統(tǒng)的企業(yè)內(nèi)審帶來不少挑戰(zhàn)。面對信息化條件下企業(yè)內(nèi)審面臨的諸多挑戰(zhàn)，中國移動浙江公司積極探索，勇于實(shí)踐，取得了不少寶貴經(jīng)驗(yàn)。本文主要介紹中國移動浙江公司企業(yè)內(nèi)審創(chuàng)新的實(shí)踐和經(jīng)驗(yàn)，以期對其他公司改進(jìn)企業(yè)內(nèi)審提供參考。

關(guān)鍵詞：信息化 內(nèi)部審計 全量審計模式

通信運(yùn)營商的生產(chǎn)與管理具有全過程、信息化的特征，傳統(tǒng)的賬簿被IT數(shù)據(jù)庫所取代，業(yè)務(wù)信息過程的全程變?yōu)樽詣踊C據(jù)鏈條更加難以捕捉，傳統(tǒng)內(nèi)部控制的有效性日益受到挑戰(zhàn)。

針對高度信息化的企業(yè)環(huán)境，中國移動浙江公司積極開展內(nèi)審信息化實(shí)踐，努力推進(jìn)內(nèi)審事務(wù)管理信息化，不斷深化計算機(jī)輔助審計技術(shù)應(yīng)用，持續(xù)探索信息系統(tǒng)審計方法和技術(shù)，實(shí)現(xiàn)了從傳統(tǒng)審計方法向以IT審計技術(shù)為主的全量審計模式轉(zhuǎn)變，從以項(xiàng)目審計為主的工作模式向無縫偵測、持續(xù)審計的方向轉(zhuǎn)變。

一、著眼內(nèi)審作業(yè)規(guī)范化和效能提升，努力推進(jìn)內(nèi)審事務(wù)管理信息化

（一）構(gòu)建“內(nèi)部控制測評管理系統(tǒng)”

為了符合索克斯法案相關(guān)條款，公司探索建立了業(yè)內(nèi)第一個內(nèi)控管理平臺（簡稱ICM系統(tǒng)），內(nèi)控管理人員可以及時維護(hù)公司內(nèi)控手冊和矩陣，內(nèi)審人員可標(biāo)準(zhǔn)化測試步驟、規(guī)范測試底稿，并在系統(tǒng)中對測試計劃進(jìn)行安排，實(shí)現(xiàn)了企業(yè)內(nèi)部控制機(jī)制常態(tài)化建設(shè)。

（二）開發(fā)“工程審計作業(yè)管理系統(tǒng)”

通過構(gòu)建工程審計作業(yè)管理系統(tǒng)，實(shí)現(xiàn)與合同管理、財務(wù)管理、采購管理、工程管理等系統(tǒng)的互聯(lián)，規(guī)范了全省各級工程審計作業(yè)流程，大幅度提高了審計工作質(zhì)量，保障了2013年超過兩萬個工程審計項(xiàng)目的順利審計，節(jié)約投資2.89億元。同時，該系統(tǒng)還實(shí)現(xiàn)了系統(tǒng)數(shù)據(jù)融合，減少了數(shù)據(jù)重復(fù)提取輸入，提高了信息質(zhì)量，大量高度規(guī)范、標(biāo)準(zhǔn)的全流程作業(yè)數(shù)據(jù)的積累也支撐公司初步實(shí)現(xiàn)了工程審計的智能化，通過數(shù)據(jù)分析、標(biāo)桿測定和風(fēng)險探針功能，為工程審計提供了快速指引，為持續(xù)改進(jìn)工程建設(shè)管理提供了科學(xué)依據(jù)。

（三）建設(shè)內(nèi)審事務(wù)管理平臺，推動內(nèi)審管理信息化

內(nèi)部審計事務(wù)管理平臺，旨在依托信息化手段來提高內(nèi)審計劃、組織、指揮、協(xié)調(diào)、控制與監(jiān)督等一系列活動的科學(xué)性和效益性，實(shí)現(xiàn)內(nèi)部審計工作的規(guī)范化，增強(qiáng)了內(nèi)審業(yè)務(wù)的統(tǒng)籌計劃性，提升了內(nèi)審工作質(zhì)量和效率，促進(jìn)審計成果信息的共享。

二、積極采用計算機(jī)輔助審計技術(shù)，努力實(shí)現(xiàn)審計方式轉(zhuǎn)型

現(xiàn)代企業(yè)內(nèi)部審計面臨諸多挑戰(zhàn)，例如：審計領(lǐng)域大幅度拓寬，從賬簿、憑證、現(xiàn)場勘測延伸到計算機(jī)數(shù)據(jù)庫、數(shù)據(jù)模型、系統(tǒng)程序?qū)徲嫞瑢徲嫮h(huán)境更加復(fù)雜。中國移動浙江公司努力調(diào)整內(nèi)審工作思路，積極采用計算機(jī)輔助審計技術(shù)提升審計項(xiàng)目質(zhì)量、不斷深化審計工作。

（一）實(shí)施業(yè)務(wù)數(shù)據(jù)庫的深度分析挖掘，有效支撐現(xiàn)場審計

通過多年的探索實(shí)踐，中國移動浙江公司現(xiàn)在已經(jīng)形成了一整套較完備的需求建模、遠(yuǎn)程取數(shù)、全量比對、特征分析、現(xiàn)場核查的審計項(xiàng)目實(shí)施流程，充分利用信息化技術(shù)來支撐專項(xiàng)審計、專題調(diào)查等工作。實(shí)踐證明，采用這種方法，不但能有效實(shí)現(xiàn)審計目標(biāo)，也能大幅度降低現(xiàn)場審計成本，同時還可以最大限度減少對被審計單位正常工作的影響。如在現(xiàn)場流程診斷建模收入保障流程和梳理業(yè)務(wù)異常特征的基礎(chǔ)上，后臺應(yīng)用輔助軟件對全量提取的上億條海量話單數(shù)據(jù)進(jìn)行統(tǒng)計分析核對，及時發(fā)現(xiàn)并跟進(jìn)堵塞系統(tǒng)間數(shù)據(jù)不一致等系列問題及漏洞，有效防止了上億元收入的跑冒滴漏。

（二）積極應(yīng)用計算機(jī)輔助審計軟件，不斷提升審計效率和質(zhì)量

隨著電子信息技術(shù)的快速發(fā)展，計算機(jī)輔助審計軟件和工具不斷涌現(xiàn)，公司與時俱進(jìn)地推動了計算機(jī)輔助審計軟件和工具在項(xiàng)目實(shí)施中的應(yīng)用，成效顯著。例如，應(yīng)用ACL軟件進(jìn)行異常會計分錄測試，使用統(tǒng)計分析軟件和模型進(jìn)行風(fēng)險評估。同時，結(jié)合業(yè)務(wù)特征，自己設(shè)計開發(fā)了專用審計程序和作業(yè)模塊，進(jìn)行持續(xù)審計的探索和實(shí)踐，已取得較好成果。如利用會計分錄測試工具，對大量運(yùn)營支出數(shù)據(jù)進(jìn)行計算機(jī)分析、歸類和判斷，快速發(fā)現(xiàn)問題所在，及時挽回重復(fù)入賬等損失。

三、聚焦信息安全和IT風(fēng)險，探索信息系統(tǒng)審計新領(lǐng)域

中國移動浙江公司積極探索信息系統(tǒng)審計領(lǐng)域，不斷揭示信息系統(tǒng)在設(shè)計、運(yùn)行、維護(hù)和管理中存在的問題與風(fēng)險，努力保障公司穩(wěn)健經(jīng)營與發(fā)展。

（一）加強(qiáng)信息安全審計，防范相應(yīng)風(fēng)險

推行客戶信息安全管理審計，審計目標(biāo)是降低客戶信息泄漏、篡改和濫用的風(fēng)險，有效推動企業(yè)信息安全管理的提升。公司實(shí)施了業(yè)務(wù)受理IT風(fēng)險審計，采用IT技術(shù)手段對主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置及漏洞、網(wǎng)絡(luò)滲透性進(jìn)行測試，對高風(fēng)險系統(tǒng)日志、賬號使用日志、業(yè)務(wù)操作日志等進(jìn)行審計。此外，公司及時揭示了網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)等存在的系統(tǒng)缺陷，以及管理中存在的薄弱環(huán)節(jié)，并就具體執(zhí)行情況深入查錯糾偏，強(qiáng)化安全措施的有效落地，確保企業(yè)不發(fā)生重大信息安全事件。

（二）實(shí)施信息系統(tǒng)賬號權(quán)限審計，深化系統(tǒng)訪問風(fēng)險防控

不斷發(fā)展的業(yè)務(wù)和持續(xù)增加的信息系統(tǒng)，使公司各類系統(tǒng)的賬號與權(quán)限管理十分復(fù)雜，隱藏了管理不善的風(fēng)險。為此，公司對重要IT系統(tǒng)的賬號權(quán)限管理展開審計，識別其賬號權(quán)限管理的內(nèi)控缺陷。

此外，公司還通過數(shù)據(jù)建模和信息技術(shù)審計手段，揭示賬號權(quán)限設(shè)計缺陷、賬號權(quán)限數(shù)據(jù)失真等執(zhí)行層面的問題，以此為契機(jī)構(gòu)建自動檢測手段，以信息技術(shù)方法來確保系統(tǒng)賬號權(quán)限的實(shí)時管理。如適時繪制的風(fēng)險點(diǎn)脈絡(luò)圖為公司十八大安全保障工作以及賬號管理工作提供了抓手，業(yè)務(wù)部門據(jù)此對薄弱環(huán)節(jié)進(jìn)行了重點(diǎn)整改。

根據(jù)項(xiàng)目成果，公司計調(diào)部門職責(zé)3項(xiàng)，制定或修訂管理制度辦法6項(xiàng)，改造業(yè)務(wù)系統(tǒng)7個，執(zhí)行賬號專項(xiàng)檢查9次，整改不合理賬號1217個，推動建立了長效管理機(jī)制。

（三）以風(fēng)險為導(dǎo)向，全面審計監(jiān)測信息系統(tǒng)

針對公司IT系統(tǒng)快速發(fā)展的局面，中國移動浙江公司積極探索開展IT全面風(fēng)險管理。

一是建立了IT風(fēng)險評估模型，對所識別的IT固有風(fēng)險進(jìn)行評級，對高風(fēng)險領(lǐng)域進(jìn)行細(xì)化分析，繪制公司IT風(fēng)險全景電子地圖，分級制定IT審計規(guī)劃。

二是開展了軟件全生命周期管理和采購系統(tǒng)信息一致性專題審計，選擇地市分公司試點(diǎn)IT現(xiàn)場審計，進(jìn)而制定并驗(yàn)證地市分公司適用的IT審計框架結(jié)構(gòu)內(nèi)容，推動公司IT審計不斷演進(jìn)和深化。

上述工作一方面因地制宜地建立了企業(yè)IT風(fēng)險的全覆蓋監(jiān)測機(jī)制，避免了風(fēng)險盲點(diǎn)的存在；同時增強(qiáng)了風(fēng)險管理工作的統(tǒng)籌安排，進(jìn)一步提升了資源利用效率，避免了過度控制和重復(fù)投入。

（作者單位：中國移動浙江公司）