内部审计信息系统的架构的模型构建
盖喜发,中国第一汽车集团公司审计部
中国第一汽车集团公司(以下简称集团公司)内部审计信息系统自2001年开始建立至2003年正式使用以来,不断根据内部管理需要进行改进,功能日臻完善,已建立起内部审计初级管理信息系统。笔者在对审计信息系统的构建实践基础上,对集团公司内部审计信息系统的架构及模型进行了全面的研究。
内部审计信息系统架构及模型的搭建应立足于未来集团公司建立现代企业法人治理结构之后而带来的内部审计重新定位的基础上,找到审计监督与内部控制体系的最佳切入口,有机搭接点,才能真正发挥内部审计在集团公司整体管控环境下的监督与服务作用。笔者根据研究分析和多年来企业的审计系统信息化实践认为,审计信息系统建设可按照审计工作管理平台、利用计算机网络进行审计系统管理控制和审计作业系统三个方面进行架构。
一是审计工作管理平台,也就是审计办公自动化系统,即OA(office automatic)系统。能够实现对审计计划管理、员工绩效考核及提供管理技术平台支撑的目的。通过对审计办公自动化系统的应用可以使审计人员从繁杂的手工劳动中解脱出来,是提高工作效率行之有效的一种模式。
二是利用计算机网络进行审计系统管理控制。针对集团公司所属各单位地域分散,总部与所属单位之间管理和沟通不便、不及时的特点而设置,可充分发挥计算机及网络作用进行审计系统内部管理控制,实现系统管理、信息共享、工作计划协调管理、人力资源控制等功能。
三是审计现场作业系统,也就是辅助审计软件,是审计人员在实施现场作业时运用的一种软件工具。通过辅助审计软件,将与企业经营活动相关的信息流、资金流与物资流紧密结合,进行查询、统计、比较、分析,找出存在经营风险的关键部位。审计现场作业系统理论上可以采取直接对在线数据或脱机数据的作业方式,但考虑到审计风险问题,推荐使用脱机数据的作业方式,编制审计辅助软件,实施审计时将与审计项目相关的会计数据等信息拷贝或输入,再由计算机进行汇总、计算、分析,优选重点实施审计。
按照以上的架构设想搭建的审计信息系统,具体功能如下:
一、审计工作管理平台
目前审计部“IT办公”就属于审计工作管理平台,但根据审计工作发展的需要,功能尚需丰富,并应根据集团公司整体发展的需要,适时纳入到职能综合业务系统中。
(一)计划管理
1.年度计划管理。年度计划即审计部、监事会办公室列入集团整体职能计划体系中的项目计划,按照集团公司要求,又细分为“Z、Y、N”三类,每个项目计划有项目子节点,明确项目的详细完工进度和完工标准。审计部、监事会办公室的年度计划与所监督的单位关联度大,通过年度计划管理,可实现计划的分类、汇总查询、计划预警、计划成果跨年度查询、审计文书编号等功能。年度计划管理细分为计划项目的维护、计划的查询、计划的完成维护、计划的统计、计划的有关汇报情况、计划的拖期汇总、计划节点统计、季度重点工作计划完成统计、值得关注的事项提示等功能。具体如下:(1)计划的维护分为导入、增加、修改、删除。(2)计划的查询可按照计划年度、责任科室、关键字、是否带子项展开等分类进行高级查询,并可按照project、主要内容、执行单位、起始日期、结束日期等进行查询。计划查询后的显示界面应包括:一级显示——对应的阶段完工成果完成数、被审计单位、起始日期、截止日期、完成日期;全部显示--按照project形式显示项目及其节点及其完成情况。(3)计划的完成成果维护。对于审计项目的成果,大体分为审计通知书、审计实施方案、审计小结、审计意见书提交复核稿、审计复核意见书、审计意见书征求意见稿、审计意见书征求意见函、审计意见书8个阶段性成果,而其他类型项目则按照文书编号中的有关类型维护。维护过程参见有关的作业指导书,部长签发后自动编号。维护的成果以附件文档的形式保存,维护记录应体现出以下的信息:年度、被审计单位、审计组长、维护人、文书类型、计划节点的ID号、文书编号,以便和工作计划建立起关联,且可以按照维护人或审计组长信息传递给绩效考核模块和人工成本分析模块。(4)计划的统计。每年度按照类型统计或按照部门统计进展情况,列出进度条,并可以有向下层次的展开。(5)计划的有关汇报情况。维护、查询、汇总分析“重点审计工作计划执行汇报情况”,并可以有向下层次的展开。(6)计划的拖期汇总。按照维护时间,搜寻出实际完成时间晚于计划的完成日期的节点,按照部门进行汇总分析,并可以有向下层次的展开。(7)计划节点统计。按照选定的时间区间列示出计划节点及其完成的有关情况,包括节点数、节点完成数、有关节点详细情况等信息。(8)季度重点工作计划完成统计。列示季度重点工作项目数、项目类型及其完成情况。(9)值得关注的事项提示。列示已经进入预警期(7天),尚未完成的项目节点。(10)计划及完成的图表分析。
2.绩效计划管理。绩效计划是对年度计划的二次拆解,是员工的日计划,体现员工每日的工作内容。绩效计划完成后需做完成维护。完备的绩效计划应具备以下特点:(1)绩效计划应与年度工作计划直接挂钩,通过查询项目执行,不但可以查询工作计划及其完成情况,而且可以查询绩效计划的配置及完成情况。绩效计划可以由员工申请并经直接领导批复,也可由领导委托的方式下达。员工日计划应直接、美观,便于使用。可以在周六处写上周工作总结,周日处写下周工作计划。绩效计划根据需要所进行的调整,有关其他人员的计划可以自动调整。由绩效计划的执行情况可生成月工作总结、年工作总结。(2)绩效计划管理具体细分为绩效计划的增加、完成维护,绩效计划的调整,生成总结,查询月绩效计划,查询年绩效计划。具体维护方式方法采用审计部现有的体系,不做调整。
(二)管理技术平台
管理技术平台即将审计工作的作业方法、审计工作的成果不断积累、提升,成为提高审计工作的质量,加强管理的有力手段。具体内容包括完成报告分析、基础作业指导和制度基础框架。
1.完成报告分析。(1)审计发现问题提炼归纳支撑。包括倾向性问题模板的维护、倾向性问题的维护、倾向性问题的输出。(2)季度审计发现的成果维护支撑。包括工程项目审计工作情况统计
表和审计工作完成情况汇总表模板的定义,工程项目审计工作情况统计表和审计工作完成情况汇总表的维护及输出。(3)审计发现问题整改落实反馈支撑。
2.基础作业指导(逐条分析列示)。以基础作业指导书为基础,实现各项作业指导书维护、修改;实现审计实施方案细化,利用数据库生成。
3.制度基础框架(word附件)。可将各项规章制度统一分类列示。此功能综合业务系统已经具备,可直接转化并纳入到综合业务系统中。
(三)员工绩效考核
绩效计划的考核可以由多位领导给一个员工的绩效计划进行月评价,也可以多次评价。各室主任能够管理本部员工的绩效信息(含计划和考核两部分内容),部长能够管理和使用所有员工的绩效信息。普通员工只能管理和使用本人的绩效信息。
绩效考核的具体内容:职能部门关于员工绩效考核目前尚未有一个统一的模板,结合过去对员工绩效考核的经验,提出员工绩效考核方案可包括:(1)项目考核。具体包括:审计组长考核组员、审计复核员考核审计组成员、部领导考核审计组长、被审计单位对审计组的评价。(2)行政考核。可由直接领导考核。(3)参加项目加分。具体包括:参加项目加分、撰写审计报告加分。(4)突出表现加分。
二、利用计算机网络进行审计系统管理控制
审计系统管理具体包括如下内容:(1)系统工作计划。收录并管理审计系统的工作计划。(2)定期汇报(总结)。收录并管理审计系统的总结。(3)定期评价。收录并管理审计运控评价报告。(4)审计论坛。提供审计系统间业务交流的平台(受安全性考虑此模块应独立于主系统)。(5)审计通报。收录并管理审计系统发现的倾向性问题。(6)任职资格管理。收录并管理审计系统专兼职人员信息。(7)系统培训。收录并管理审计系统的培训资源。
三、审计现场作业
审计现场作业目前成熟的软件品种较少,实用性较差,功能比较单一(主要从财务的视角进行审计分析),很难进行二次开发,难以满足审计工作的需要。具体如下:
(一)从未来ERP系统的信息接入
原则上企业所有的信息都在审计的监控范围,都需要给审计预留接口(如给审计预留数据的查询、分析、汇总接口;授予审计可使用整体备份数据的职能)。具体进度将根据集团公司信息系统的建设进程动态提出。
1.财务相关信息的接入。来源:财务控制部。
2.工程项目相关信息的接入。来源:规划部、技术中心。
3.经济责任相关信息的接入。来源:组织部、纪委。
4.其他信息的接入。来源:营销信息、人力资源信息、管理信息、采购信息、生产信息。
(二)具体辅助审计软件的功能
开发的审计软件流程是:获取被审计单位的电子数据;对已获取的电子数据进行转换、生成审计软件自身的账簿、报表;利用审计软件提供的分析查询功能对电子数据进行审计,对查出问题进行记录,生成审计日记、审计工作底稿、审计报告;最终将项目归档及进行审计跟踪。具体流程见图1。
审计人员可以利用审计软件对被审计单位的电子数据进行分析、查询、归类、对比、校验、制作审计日记、审计工作底稿、审计报告等工作。数据准备是指获取被审计单位的电子数据及将获取的被审计单位的电子数据进行转换的过程。
在审计现场作业中,比较重要的环节就是数据准备,其成功与否将直接决定辅助审计的成败。(1)数据获取。运用审计软件进行审计只是针对被审计单位信息化的情况,因此被审计单位的电子数据存储在数据库中,是无形的,而作为审计人员来说又是必须拿到的,否则将无法开展计算机辅助审计工作,因此数据能否成功获取就成为了首要问题。在实际工作中所面临的又一个现实问题是,审计人员对数据库知识了解较少,凭借自身较难实现顺利的获取被审计单位的电子数据这项工作,而针对上述问题再展开相关的专业培训并不现实,因此就需要审计软件提供相应的功能解决这一矛盾。(2)数据获取的模式。通过人工,凭借审计人员自身对数据库知识的了解,直接打开数据库找到所需表格并进行复制;利用审计软件自带功能对被审计单位数据库进行搜索并复制。第一种模式要求审计人员具备一定的数据库知识,应用范围较小可操作性差。目前此种模式仅被政府审计领域或内部审计极少单位中的一小部分审计人员所采用。第二种模式需要审计软件提供此项功能,就目前国内的审计软件而言,能提供上述功能的较少且水平不等,仍处于完善过程中。尽管如此,利用已提供的功能,自动或半自动的获取被审计单位的电子数据已成为可能。(3)存储、获取被审计单位电子数据的途径。就已实现局域网搭建的内部审计单位来说,如果内部协调不存在问题,审计人员可以通过局域网,连接到服务器直接获取数据,可以是被知模式或监控模式。此种途径仅限于已实现了局域网搭建的内部审计部门。除上述情况外,运用最普遍的是,根据被审计单位电子数据的大小,利用U盘、移动硬盘存储已获取的电子数据。此种途径比较方便且购置硬件的成本较小。(4)数据转换。由于被审计单位采用的系统软件种类不同、采用的数据库格式不同,其庞大的数据库中并非所有的表格都是所需的,因此就需要审计软件将不同类型的被审计单位的电子数据进行转换,找出审计人员需要的数据库中的表格,同时将其转换成统一格式的数据库,也就是审计软件自身的数据库格式,只有这样审计软件才能在自身数据库基础上调用、查找、引用、操作相关数据。(5)数据转换的依托。将不同软件的数据库里的相关内容转换成审计软件自身的数据库这一过程需要有个中间媒介,其所起到的作用在于能够识别对方的数据库,从中找出审计人员所需的表格、字段等内容,同时还要能够将其同审计软件相关的表格、字段挂钩,实现一一对应,只有这样才能顺畅地实现数据转换工作。(6)数据转换模板。数据转换模板的制作可以参考2010年6月1日由国家标准化管理委员会颁布的“GBT 24589.1-2010财经信息技术会计核算软件数据接口第1部分:企业”标准确定,该标准明确了会计核算软件的数据转换模板。数据转换的有效性、时效性、可靠性就成了评价一个审计软件成熟与否的重要指标。
辅助审计软件通用功能如下:
1.财务辅助审计。(1)账簿凭证的浏览查询。利用审计软件对总账、明细账、辅助账及相关的记账凭证进行浏览和查询,找出审计线索。这一功能使审计所用的数据与企业财
务软件的数据分开,审计人员可以在时间和空间方面获得很大的操作自由。同时可以保证被审计单位提供账套的唯一性,遏制多套账的发生。(2)辨别账套的真伪。利用审计软件导入相关财务数据,可以重新生成会计报表,与会计电算化系统生成的报表对比,可以验证企业提供电子数据与上报的会计报表数据是否一致,以防止出现“假账真审”的情况。(3)协助审计人员进行统计抽样。计算机辅助审计技术不但能快速方便地进行审计日常抽样的编码工作,而且在决定恰当的抽样方法及规模、选择样本及评价方面都能使审计人员得到帮助。在统计抽样中运用计算机辅助审计技术可达到迅速、客观、公正的目的。(4)异常项目的筛选。通过审计辅助软件的综合查询功能,可以方便地查找到一些异常项目。如重要的不常变动的会计科目,价值超过一定数额的账务记录。这一功能有助于审计人员确定审计重点,降低审计风险。(5)日常会计资料的分析及计算。现代审计要求审计人员对企业的会计资料进行较多的分析,如对企业的应收账款账龄进行分析、对固定资产和材料成本差异的复核等。而这正是计算机辅助审计技术的专长,在以前人工审核需要花费很多时间才能完成的计算,用辅助审计软件可能几秒钟就能完成,大大提高了审计效率,降低了审计人员的劳动强度。(6)财务指标分析。利用辅助审计软件导入财务数据后,可以通过软件系统内置的公式自动计算出相关财务指标,帮助审计人员进行盈利能力、负债能力、变现能力、资产管理等方面的分析。
2.内部控制辅助审计。(1)获取内部控制文件(企业章程、组织机构、内部控制制度、岗位职责、作业指导书、流程图)。(2)内部控制关键节点数据库,可生成有关表单。(3)内部控制执行测试输入、汇总、输出支持。
3.工程辅助审计。(1)工程定额的有关数据库支撑。审计人员可将现场勘察的隐蔽工程量、审查无误的竣工图工作量、材料用量及价格、取费标准等相关数据输入计算机,通过审计软件计算出较合理的工程造价。同时,系统软件自动生成审计工作底稿、台账及统计报表。此外,还有工程跟踪审计软件,利用计算机记录的工程现场作业、大小修等工程动态,跟踪审计,防止舞弊行为,如重复作业及多结算等问题的发生。(2)审计人员对价格信息的采集和分析确认至关重要,借助的重要手段之一就是利用包容大量信息的互联网络。利用网络取得有关建筑材料、设备、机电仪表等价格信息,可计算出较合理的材料差价和工程造价:利用网络获得拟购买的劳务或产品的性能、价格、厂家的资质等经济信息,结合其他审计方法,审计人员即可对采购行为经济与否作出恰当的评价。
四、审计工作平台、审计系统管理与现场作业的结合
对各审计作业单位、部门的具体作业情况、结果实施管理,就要求有一套行之有效的管理系统实施管理,这就需要搭建审计管理平台。如果只有上述平台,而审计现场作业系统的具体情况不能同此平台相衔接,也就失去了管理、协调的意义。只有将其紧密地结合在一起,才能实现通过管理平台对下辖各审计项目的具体情况实施监控、协调、指导,同时审计现场作业人员则能够通过此平台及时地将作业成果上传、从平台上下载各种有关资料通过平台实施协调。
上述系统的结合点具体体现为数据库,其搭建模型如下:
1.管理数据库。(1)业务流程表:编码、流程名称、节点名称、节点等级、节点特性、处理去向、相关文书编码。(2)审计文书表:编码、文书名称(代码表)、报送、主送、抄送、形成日期、审批人。(3)员工管理表:编码、姓名、性别、出生日期等。(4)审计项目表:编码、被审计单位(代码表)、被审计单位名称、审计类别(代码表)、审计时间、审计范围、审计组长(代码表)、审计组员(代码表)。(5)集团公司各单位概况表:编码、单位名称、单位性质(代码表)、职能分工或经营范围、股东名称1、持股比例1、股东名称2、持股比例2、股东名称3、持股比例3、股东名称4、持股比例4、股东名称5、持股比例5、其他股东、持股比例、董事长(代码表)、董事(代码表)、监事(代码表)、经管会成员(代码表)。(6)集团公司各单位财务情况表:编码、单位名称(代码表)、年度、资产总额、负债总额、所有者权益总额、主营业务收入、主营业务利润、营业利润、净利润等。(7)集团公司各单位重大决策情况表:编码、单位名称(代码表)、决策事项年度、决策事项描述、影响现金流额度。(8)内部控制制度列表:(已有,略)。
2.底稿库。底稿库需根据不同底稿类别设计具体的字段。证据的大类需要分为:综合分析类、内部控制分析类、抽样检查类、实物盘点类、记录取证类。(1)综合分析类。审计底稿表:编码、审计项目(代码表)、直接审计员、一级类别(涉及管理领域)、二级类别(涉及内部控制分工)、三级类别(涉及事项性质)、事项描述、审计结论、涉及的法律法规(代码表)。财务指标分析表:编码、审计项目(代码表)、指标名称(代码表)、指标数值、常规数值(代码表)、原因分析。指标参考表:编码、指标名称、计算公式、常规数值、高于常规数值的可能原因、低于常规数值的可能原因。(2)内部控制分析类。控制点分析表:编码、审计项目(代码表)、直接审计员、内部控制分工(代码表)、控制点列表、被审计单位制度是否涵盖、制度名称及相关条款、其他替代控制程序、符合度、内部控制分值。控制点表:编码、内部控制分工(代码表)、控制点名称、控制点描述、权重。内部控制分工表:编码、内部控制分工名称、权重。(3)抽样检查类。抽样底稿:抽样证据表:编码、审计项目(代码表)、直接审计员、取证范围、比例、抽样方式、异常数量、抽样异常率。(4)实物盘点类。库存现金盘点表、银行存款未达账调节表、存货盘点表、固定资产盘点表、应收款项检查表、对外投资检查表、无形资产检查表、其他资产检查表,各表单具体结构略。(5)记录取证类。询证函、座谈记录、调查问卷(应建立文卷问题库),各表单具体结构略。
3.案例库。(1)主表。编码、发生时间、案例类别、具体事项、金额、发现时间、发现人、主底稿代码。(2)案例类别表。编码、一级类别、二级类别、三级类别。(3)法规库。两种设立方式,一是以法规全文作字段,这种形式维护比较方便,但查找时
没有针对性,查找、引用起来有一定的困难。二是以条款作字段,使用起来比较方便,但维护工作量非常大。
以上数据库的建立并未考虑审计体系方面的数据源,在体系资源上还需要考虑不同的数据不同的用途:有些数据可以单向传递至体系,如审计制度及作业指导书;有些数据要单向收集,如体系审计结果及结论;还有一些数据需相互往复传递,如年度审计计划、委托审计相关文书、授权审计相关文书、审计成果交流等。^