事業單位內部審計信息化系統設計研究

楊 業

中國原子能科學研究院 北京 102413

一、會計信息化對事業單位內部審計的影響

1999年4月起， 我國財務軟件行業開始研討和采用會計信息化這一新概念。鑒于審計和會計之間的血緣性聯系，會計信息化的革命同樣意味著審計從方法到流程的變革[1]。針對事業單位內部審計，隨著會計信息化系統的普及，其對內部審計的影響主要體現在以下兩個方面：

1.會計信息化對內部審計證據及線索的影響。隨著電算化信息系統在會計行業的運用和發展，事業單位在內部控制和會計核算等方面也表現出了與純手工會計體系不同的特色。在會計信息化模式下，數據的存儲介質和形式、數據的生成和傳遞形式都發生了巨大變化，使得內部審計的證據及線索受到影響[2]。在會計信息化核算中，絕大多數的可見性資料由手工統計轉入了計算機內部進行處理，并儲存在磁性介質中，由于計算機軟硬件與網絡技術的快速發展，審計中客觀上的可視線索會逐步消失，紙質資料可能變成了計算機里的文檔或者網絡云端的代碼。單純得依靠以往的手工審計知識與技術已經難以完成工作，這些改變促使新的審計依據產生。同時，由于單位OA、ERP等系統的廣泛使用，審批、復核、支付活動均在系統權限設定下進行電子審批，并不會像原先情況下，形成眾多的審批紀錄，從而也加強了審計線索的隱蔽性。

2.會計信息化對內部審計方法和審計內容的影響。隨著會計的發展，審計本身也經歷了詳查—抽查的方向性變化。具體到每個會計主體，在手工會計處理的條件下，對未經修改的會計記錄，內部審計可根據經濟業務運用傳統繞過計算機審計的方法進行順查、逆查或抽查。但信息化條件下，對于在磁介質上修改的會計信息，審計人員則無法用傳統審計技術直觀評價會計資料的安全性、完整性和正確性，而更多的是采用Internet/Intranet技術以及諸如SYBASE、INFORMIX、ORA-CLE等大型數據庫，使業務量完全不受限，從而實現跨年度查詢，以及結合大數據進行單位整體分析，降低審計風險[3]。

不僅如此，在會計信息化條件下，審計技術方法也隨著審計內容的改變而變化。會計信息化系統的固有特點決定了它的固有風險[4]：由于計算機系統的存在安全性與穩定性的隱患，系統對數據的處理和控制能力是其否安全可靠的決定性因素，一旦計算機應用程序遭遇病毒的非法篡改，那么按照既定程序處理會計事項的計算機就會進行錯誤的操作。因此，審計除了要對內部控制的制度、原始憑證的數據與計算機內部相關資料進行審計外，還需對計算機的系統程序進行審計，且在審計過程中還應該增加對計算機系統和控制功能審查的內容，才能保證系統的安全性、完整性、可靠性。同時在條件允許時，應盡量在軟件系統開發階段進行事先審計，保證審計質量，防止計算機舞弊，保證系統運行后的可靠性[5]。

二、對事業單位內部審計信息化系統設計存在問題的思考

事業單位內部審計與企業內部審計一樣，主要是對會計信息的真實性與合法性發表意見， 并對提升單位管理水平和增殖單位價值發揮建設性作用，缺少審計證據的支持，則難以實現審計目標。雖然計算機輔助審計能發揮一定作用，但內部審計信息化建設是指被審計對象運用網絡技術進行財務工作和經營時，審計人員為了實現其審計目的，收集必要的審計證據，采取必要的審計程序，對單位的網絡信息系統的合規性以及利用計算機和網絡生成的財務信息進行審計的工作。可見，內部審計信息化建設同樣面臨著問題和挑戰，具體包括以下幾個方面[6]：

1.內部審計觀念相對落后。很多內部審計人員的審計理念還局限在傳統審計的思維方式方法上，習慣于按部就班，沒有認識到審計信息化的更替，是信息時代對單位整體管理的深層次變革[7]。

2.內部審計風險呈現出新特征。內部審計信息化應用可能帶來的固有風險主要包括，電子化會計數據存在被濫用、被篡改和丟失的可能性；電子數據存在易于減少或消失審計線索的可能性；原始數據的錄入存在錯漏的可能性等。控制風險主要包括，權限設置或職責分工導致約束機制失效；網絡傳輸和數據存儲故障或軟件的不完善，導致會計數據出現異常錯誤；會計軟件對業務缺乏實時有效的控制手段等。檢查風險主要包括，會計軟件的更新換代增加了歷史文件難以提取的可能性；內部控制主要依賴軟件本身，增加了難以全面檢查測試的可能性等。

3.計算機審計軟件研發相對滯后。目前計算機審計軟件開發還主要側重于會計數據采集，與單位業務融合度不高，而憑證抽查、賬表通用檢查、賬務信息查詢等模塊的設計也僅僅局限于企業內部審計的部分基礎工作，對于評價信息系統的管理、信息技術基礎設施的安全性、防止信息資產在未經授權的情況下被使用、披露、修改、損壞或丟失等信息系統本身的審計無法涉及。

4.內部審計人員計算機知識良莠不齊。單位內部審計是其內部控制的重要組成部分，在信息系統的開發、實施、維護和操作過程中應進行嚴格的獨立審查，并定期對信息系統加以檢查，才能有效彌補信息系統控制中的缺陷。而現階段單位內部審計人員的計算機知識一般較為局限，特別是對于信息網絡系統等較深層次的知識知之甚微。

5.各信息化系統之間數據關聯性差。隨著計算機管理系統的普及，各系統之間數據關聯性差的問題也逐漸凸顯，各個系統由于都是獨自開發，系統數據間沒有建立關聯，甚至標準不一，在利用這些數據進行計算機審計以及驗證信息系統有效性時時往往難以獲得充分的審計證據。

三、事業單位內部審計信息化系統設計的構想

以中國原子能科學研究院為例(以下簡稱“原子能院”)，原子能院系經國務院批準的全額預算撥款事業單位，由中國科學院于1950年5月19日設立，1985年開始隸屬于中國核工業部，現在是中核集團有限公司下屬的重要科研院所之一。

近年來，原子能院院級宏觀調控力度加大，促進了計算機網絡及信息技術的發展和普及，院內被審計單位的會計核算、財務管理及業務管理都在逐步地走向電子化、網絡化。而與之相對的是，原子能院審計工作還基本上停留在以傳統的手工查賬為主要查證方式的水平，審計工作方式現代化程度不高。這種手工作業的傳統審計方式已經無法實施較為全面的審計工作，難以做到“提升管理，增加價值”的要求。因此，借助信息化手段實施計算機審計，建設審計信息化管理系統，就顯得十分必要與迫切。

(一)原子能院內部審計信息化系統設計目標。在國家審計署“金審工程”的帶動下，根據《審計署2008

至2012

年信息化發展規劃》的要求，原子能院為了有計劃、有目的地推進內部審計信息化加快發展，結合實際，提出了以數據建設為關鍵，審計應用為核心，聯網審計為主線，資金、技術、人才為保障，與單位信息化環境相適應為基本思路的信息化設計目標。該設計目標主要內容包括：

1.充分利用院信息化資源，連接院內部各被審計單位的網絡系統，實現網絡審計；

2.利用院現有OA網信息化平臺，實現內部審計辦公自動化和信息共享。提高審計計劃、統計、檔案、公文流轉的管理水平和利用效率，建立審計機構與現場信息互動渠道。建立暢通的信息資源收集渠道，實現內部各部門單位之間的信息共享[8]；

3.開發推廣適用的審計業務和審計管理軟件、模塊、模型，逐步使計算機成為審計工作的主要手段，逐步提高計算機輔助審計的審計項目數量；

4.基本建立健全適應內部審計業務和管理需要的信息數據資料庫，如被審計單位資料、審計成果、審計資料查詢、審計專家經驗、有關法律法規、審計案例、計算機審計方法、審計疑點、行業宏觀經濟、業務信息等；

5.積極探索信息系統審計，主要是計算機系統的內部控制審計，逐步積累經驗；

6.建立全面風險管理體系，完善單位內部控制系統；

7.建立起一支既精通審計業務，又掌握計算機技術，能夠適應在信息化環境下開展審計工作的新型內部審計隊伍。

(二)原子能院內部審計信息化系統設計原則。根據以上審計信息化設計目標，原子能院審計信息化設計需遵照以下原則[9]：

1.適用性原則。系統技術架構應充分兼顧單位的基礎設施；系統應用功能是在深入研究審計人員工作習慣、思維習慣基礎上的經驗化計算機功能；應用軟件應具有易用性、針對性即個性化的特點；系統可以按照原子能院的業務發展、管理調整、監控范圍的變化而及時變化；讓信息化系統在作為審計作業和管理平臺的同時，也是審計門戶平臺。

2.經濟性原則。系統網絡架構設計按照大集中管理模式進行技術設計；系統參照企業的硬件和系統軟件環境進行對應設計；系統采用平臺/組件化開發技術，不因業務的變化和技術的變化而重新進行系統開發；按照總體規劃、分步實施原則，穩步推進，減少系統重復建設。

3.安全性原則。系統在架構設計、應用軟件功能設計、系統操作設計各方面，分別從網絡權限、系統級權限、數據庫權限、數據權限、功能權限、數值權限、操作權限等多方面進行立體的安全設計；同時，在網絡結構方面，進行網絡入侵、病毒感染、安全日志、身份認證等方面進行措施設計；在數據管理上，進行數據備份、數據傳輸管理、數據加密等設計；并進行必要的安全制度、安全培訓等設計。

4.可擴展性原則。系統網絡服務器采用集群式管理技術進行網絡搭建，使系統具有良好的可擴展能力；系統應用軟件采用組件化/平臺化的開發平臺和模式，可以自由地插拔應用組件功能，也可以自由地新增應用組件功能；系統具有良好的數據接口規范，公開相關的PKI，同時，系統具有優秀的數據交換能力，使系統能夠整合和融合各相關業務系統，具有最優的擴展能力。

(三)原子能院內部審計信息化系統設計總體框架。為實現原子能院內部審計信息化，本文提出了以下解決方案，包括：一個門戶、一個信息平臺、五大應用系統，簡稱“511框架”。(如圖3.1)

圖3 .1 總體應用框架圖

其中，一個門戶是指整個方案在一個門戶上進行內容部署、權限部署、結構部署和單點登陸；一個信息平臺是指方案中的所有應用均在該平臺機制上運行，同時，所有應用均基于該平臺進行功能開發和實施部署；信息平臺包括平臺框架、工作流引擎、表單設計器、數據交換引擎、數據傳輸通道、數據挖掘工具、報表平臺等核心功能；五大應用系統是指在一個門戶平臺上，審計管理信息平臺提供所有審計軟件系統的開發、部署、實施平臺，開發各應用系統的具體業務部件，同時，提供各系統之間的內部溝通機制和數據管理機制；并提供系統的二次開發平臺和數據接口。借助信息平臺基礎，具體開發的審計應用系統，包括數據采集轉換系統、審計作業工具系統(又區分為現場審計作業工具系統、遠程聯網審計作業工具系統)、專業審計系統、審計管理信息系統、內控流程平臺系統等五大子系統。

在五大子系統中，數據采集轉換系統，包括現場采集和遠程采集兩種模式，同時，對采集的數據能夠直接進行條件字段和SQL語句方式查詢，并支持數據按照不同格式進行導出的功能。該系統從被審計單位進行包括財務數據、業務數據、管理數據、其他必要的審計及內控數據采集，為審計作業工具系統和專業審計系統提供被審數據；并為審計管理系統提供被審計單位的原始數據，進行數據存儲和管理。

審計作業工具系統分為現場審計作業工具系統和遠程聯網審計作業工具系統兩種技術體系產品。其中，現場審計作業工具系統主要支持單機作業和局域網絡作業模式，其審計模式為業務審計，具體包括項目管理、審計程序管理、審計輔助工具、專業審計作業Office工具、效益評價體系等功能模塊；遠程聯網審計作業工具的審計模式為數據審計，支持局域網絡和廣域網絡的作業模式，與遠程數據采集轉換配套，一方面，支持遠程前置機自動采集和數據查詢功能，另一方面，通過遠程數據傳輸通道，將數據傳輸到中心服務器，進行包括審計預警、模型設計器、審計模型執行、審計線索處理、遠程計算機輔助作業工具的工作。該系統將采集轉換的數據按照現場審計和聯網審計的模式進行計算機輔助審計，并將審計的過程資料按照審計管理要求傳遞給審計管理信息系統，同時接受審計管理信息系統對審計作業的指導；在單位建立內控流程平臺基礎上，從內控流程平臺傳遞內控措施和要求，指導審計作業，審計作業系統將審計結果反饋給內控流程平臺，不斷豐滿內控流程措施；在審計作業工具內部，現場審計作業工具與遠程聯網審計作業工具相互協作，按照審計作業過程和審計模式進行工具組合運用[10]。

專業審計系統是為特定的審計對象、特定的審計領域進行輔助作業和管理的工具，比如財政審計、金融審計、基建投資審計等，其核心包括項目管理、審計程序、審計預警、評價指標、專業輔助工具、模型設計器、審計模型、審計線索等功能模塊。該系統將采集轉換的數據進行計算機輔助審計，并將審計過程數據按照管理要求傳遞給審計管理信息系統；同時，接受內控流程平臺關于內控措施的指導，并將審計結果傳遞內控流程平臺，豐滿內控措施。

審計管理信息系統是審計主管部門或者審計機關進行內勤審計、審計人員隊伍管理、審計工作管理、審計信息管理的計算機信息管理系統，核心包括審計執行體系、審計OA、個人辦公、計劃管理、項目管理、檔案管理、審計臺帳、審計成果、審計信息、案例庫、法規庫、被審單位數據庫、審計作業工具與管理系統的數據交互系統、設置引擎、領導查詢等功能模塊。該系統一方面直接獲取采集轉換數據；另一方面，通過審計管理體系直接知道審計作業過程，并從審計作業工具系統和專業審計系統獲取審計過程數據；同時，根據內控流程的要求，從管理的角度，指導管理內控流程，并從內控流程的執行過程、執行結果豐滿審計管理。

內控流程平臺是針對現代審計的發展要求，審計作為單位風險管理和內控措施執行監管的職能部門，而專門設計的信息管理系統，其核心包括戰略平臺、設計平臺、實施平臺、監管平臺等功能模塊。該平臺除了獨立運行與單位的各業務和管理流程外，與審計作業工具系統、專業審計系統進行審計工作協作，指導審計過程、并不斷完善內控措施；同時，內控流程平臺與審計管理信息系統協作，為單位的審計工作，內部控制措施進行全面和具體的管理。

上述各系統均通過信息門戶進入，實現單點登陸；在各系統獨立使用時，同時具備系統獨立登陸的功能。

四、對完善事業單位內部審計信息化系統設計的建議

事業單位內部審計信息化系統設計是外部大環境的要求，同時也是單位內部戰略的需要。對事業單位內部審計信息化系統的設計不能僅僅從框架建設著手，還要從根本上構建單位自身的內部審計信息化生態環境。

首先，應該轉變審計觀念，提高內審地位。內部審計工作是在單位領導下， 對本單位經濟活動進行監督、評價，要想充分發揮其職能和防護性及建設性作用，取得領導的重視是關鍵。此外為了提高內部審計在本單位的地位，除了加強自身建設外，還要處理好與國家審計機關、單位主管領導、被審計部門、其他業務部門的關系。同時，內部審計工作者必須從根本上轉變觀念，如果不轉換審計觀念，將審計目標僅僅局限為查錯糾弊，勢必將信息系統審計與當前中心工作對立起來。把審計僅僅理解為“查賬”，則對信息系統審計的理解也只能停留在計算機輔助審計或輔助審計軟件開發及應用的層次上。只有全面樹立系統基礎審計或風險基礎審計的觀念，才能理解信息系統審計的重要意義。一個管理完善的、控制良好的系統，應該能夠防止、發現或糾正自身存在的問題。審計的任務就是幫助和促進被審計者建立、健全這種機制，而不應該是代替被審計者去履行他們的“管理責任”或“會計責任”。

其次，應該培養適應信息化環境的審計隊伍。在會計信息化條件下，審計人員不僅需要會計、財務、審計等方面的知識和技能，還要掌握一定的計算機技術和現代化管理知識以及電算化審計軟件的開發適用、維護技術。因此，事業單位審計部門一方面要分階段、分層次地對現有專職審計人員在計算機知識、會計電算化系統的控制及計算機審計技術等方面加以培訓；另一方面也可以引進高層次的計算機軟件開發人才加入審計隊伍， 對他們進行會計和審計基礎知識的培訓，積極培養具有復合型知識結構的計算機審計系統開發人員，負擔起計算機審計軟件開發的任務。

再次，應該通過各種信息技術手段，不斷加強內部審計信息的收集工作，并形成信息共享機制。基于信息技術的內部審計的特點是以審計單位和被審計對象的計算機聯網系統為載體。審計人員可以實時調取被審計單位有關資料，收集審計有用信息，并對財務報告做出單獨審計的過程，使審計結論更為可靠。事業單位內部審計信息化仍然存在有效信息不足以及內部審計信息系統與單位其他信息系統無法很好對接的問題。要從根本上解決這個問題，必須加快單位網絡的建設，依靠信息網絡技術，實現內部審計系統與其他的有效聯接，根據審計監督業務和審計管理需要，使從單位其他信息源取得有用審計信息成為可能。

最后，還應該關注審計軟件技術的開發。事業單位要按照以運用促發展的思路，研究目前現有審計信息管理系統在運用過程中出現的新問題，與事業單位發展建設相結合，與事業單位會計電算化相結合，與單位業務活動相結合，使審計的范圍在計算機上更廣地延伸和滲透到其他信息處理系統。