2012-05-24 02:54:16
| [摘要]本文从新时期企业审计新任务、新要求入手,指出现阶段企业审计要发挥国家治理的作用,必须紧密关注信息化条件下企业生产经营管理状况。企业生产经营信息化对企业审计是挑战,但更是机遇。全面掌握信息化条件下企业生产经营状况、进一步发挥企业审计国家治理作用,就必须建设统一的数据分析平台,加大数据分析的应用力度;大力开展信息系统审计,重点关注信息系统的内部控制状况及过程。同时要注重“人、法、技”建设,推动企业审计信息化更好地发展。 [关键词]信息化;企业审计;国家治理 正如余效明副审计长在2011年企业审计视频培训班上讲话所指出的那样,在计算机审计应用上企业审计起步最早,但目前并没有走在行业审计的最前列。如何充分运用以计算机技术为代表的审计信息化技术,大力推动企业审计不断上更高层次和水平,更好地发挥国家治理的作用,是我们现阶段必须思考和着手解决的问题。 一、国家治理:企业审计新的更高的要求 企业审计开展以来,逐步探索出一条符合中国国情、行之有效的企业审计路子,逐步积累了一套企业审计的成功做法和经验,确立企业财务状况、重大经济决策、内部管理、领导人员廉洁自律、贯彻落实国家宏观政策等5大审计工作重点,出现了大庆油田、中石油集团“领导任期经济责任审计”等高端产品,为审计事业的发展做出了重要贡献。但随着经济形势的不断发展以及审计在宏观经济决策、执行的作用日益凸显,需要我们不断提升企业审计的层次与水平,发挥其在国家治理方面的作用。 刘家义审计长2011年7月8日在中国审计学会第三次理事论坛上阐述国家审计与国家治理关系时指出,现阶段转变经济发展方式、促进经济又好又快发展这一国家治理的着力点,要求审计机关关注中央宏观调控政策的落实情况和实施效果,关注经济发展的质量和效益,关注经济结构的战略性调整情况和效果,关注国家经济安全问题,为党和政府科学决策提供及时、可靠的信息。 中办、国办颁布的《党政主要领导干部和国有企业领导人员经济责任审计规定》明确,要把履行国有资产出资人经营管理和监督职责情况,作为国有企业领导人经济责任审计的主要内容。 《国民经济和社会发展第十二个五年规划纲要》也明确了“十二五”期间深化国有企业改革、完善国有资产管理体制的具体内容和措施,提出了转型升级、提高产业核心竞争力,具体包括改造提升制造业、推进重点产业结构调整、优化产业布局、加强企业技术改造、引导企业兼并重组和促进中小企业发展;培育发展战略型新兴产业,具体包括推动节能环保、新一代信息技术等重点领域跨越发展、实施产业创新发展工程等目标和要求。 这些都要求我们必须更加全面关注企业生产经营情况,全面加强对国有企业贯彻执行国家战略型结构调整、发展战略性新兴产业、提升核心竞争力、增强自主创新能力、实施节能减排、振兴规划等重大决策部署和宏观政策措施情况的审计,促进国家方针政策和相关法律法规的贯彻落实。 但从目前审计实践看,国有企业重大决策、重要人事任免、重大项目安排、大额度资金运作等“三重一大”事项,经过审计人员持续、深入的探索,已经基本形成一套行之有效的审计方法体系;而企业生产经营情况,则由于企业生产点多、面广,数据分散以及审计手段不足、难以适应企业生产经营管理模式变化等原因,审计广度与深度不够,难以对包括生产结构、核心竞争力、自主创新能力、落实国家产业政策等内容在内的生产经营状况发表科学而客观的评价意见,提出有价值、具备可操作性的改进建议,一定程度上影响了企业审计国家治理作用的发挥。 二、新形势:企业审计面临的考验与机遇 运用信息化手段开展生产经营管理已成为企业尤其是国有大型企业的共识,成为其发展方向。从审计实践看,目前大型国有企业生产经营管理的信息化水平较高,如2011年昆明办开展领导人任期经济责任审计的某集团,已经建成主要经营管理平台、生产运行管理平台、办公管理平台等三类平台;生产、经营数据基本实现全国大集中;日常生产、经营都通过相应平台开展、完成,生产经营管理基本实现信息化。 这对企业审计来说,则面临着企业生产经营信息化的巨大考验:一是尚未开展集中的生产经营数据分析,不能通过生产经营数据分析,全面掌握企业生产经营过程中在结构调整、提升核心竞争力、自主创新能力、节能减排和执行国家相关政策方面存在问题、不足;二是对生产经营系统的内部控制缺乏有效的审计手段,往往通过简单的询问、观察、调查方式进行,对系统的内部控制审计缺乏规范、有效的审计手段,审计风险不容忽视。目前这问题的产生原因多方面,既有企业审计面对的都是大型国有企业集团,行业特色鲜明、业务和财务数据量巨大、软硬件环境复杂等客观原因,也有积极运用信息化手段开展企业审计的思想准备不够充分、认识不到位等主观原因,导致运用企业审计运用信息化手段开展审计方面“起步最早,但目前并没有走在行业审计的最前列”。 但企业经营管理信息化,从一定意义上来说,更是企业发挥国家治理作用的机遇。企业经营管理涉及的点多、面广,呈现出综合性、系统性、复杂性等特点,以当前的审计力量不可能做到面面俱到、事事深入,企业经营管理实现信息化后,审计可以以信息化的手段,通过分析数据、审查系统等手段,全面掌握企业经营管理情况,从而更好地发挥企业审计国家治理的作用。 三、信息化:企业审计进一步发挥国家治理作用的必然选择 “工欲善其事,必先利其器”, 进一步发挥企业审计国家治理作用,就必须通过全面了解企业的信息化状况,全面掌握信息化条件下企业生产经营状况。这就要求我们: 一是进一步做好企业信息化建设的审前调查工作;二是大力推进企业审计数据集中分析平台建设,加大数据审计分析的力度;三是大力开展信息系统审计,重点关注信息系统的内部控制状况及过程。通过上述的努力,最终形成信息化条件下企业审计方法体系。 (一)做好企业信息化建设情况审前调查工作。 “没有调查就没有发言权”。要做好企业审计信息化工作,就必须认真做好企业信息化建设情况审前调查工作,为下一步工作奠定基础。通过审前调查,主要掌握以下内容:一是企业信息化建设总体情况。如企业信息系统建设总体设计、架构、信息化建设和管理制度等情况,各信息系统的主要用途、建设开发、数据存储、灾难备份情况等。二是计算机系统情况。主要了解企业计算机的软件配置情况,包括操作系统和常用软件,从而方便数据的采集和转出。三是业务操作系统情况。主要是了解计算机业务系统的名称、版本、开发商、功能等内容,特别是业务系统自身是否具备业务数据导出功能,如能导出可导成什么数据格式。四是数据库系统情况。了解企业业务系统所使用的数据库系统的基本情况,包括数据库系统的名称和版本,数据库系统本身的数据格式,数据库系统本身可导出的数据格式。五是数据库结构情况,通常在一个数据库中会有很多数据表,各表之间根据不同的情况会存在一些必要的关联关系,以降低冗余。但在实际应用中只有很少的表是我们工作中要用到的,所以要了解哪些表是我们所需要的,并要了解各表之间存在什么样的关联关系以及各表的结构。六是业务流程情况。要详细了解企业整个业务从头至尾每个环节的具体操作方式和目的,并根据了解的情况绘制业务流程图,使审计人员有一个初步的审计思路,更好的设计切实可行的审计方案,同时初步确定数据采集的范围。七是业务操作准则情况。了解企业业务中所使用的会计准则,包括国家制定各种规定和企业内部制定的各种守则,方便为审计中发现问题查找依据。八是信息系统内部控制情况,重点了解企业相关信息系统的一般控制、应用控制的管理制度以及实际执行情况、效果等。 (二)大力推进企业审计数据分析平台建设。1.积极建立企业审计数据集中分析平台。从审计实践看,“总体分析、发现疑点、分散核查、系统研究”为特征的总体分析审计方式,是适应企业数据大集中客观现实的必然要求,能提高审计的“精确打击”能力和工作效率。但大型国有企业不同于金融企业,行业特色鲜明、业务品种繁多、软硬件环境复杂差异较大,这给企业集中数据进行带来较大的难度。但客观地看,审计关注的企业财务状况、生产经营状况和重大经济决策、内部管理等内容都具有同质性,可要求被审计单位提供规范的审计数据(直接明确各类业务需要的规范字段)进行数据集中分析,如国有企业销售业务,审计需要的字段不外乎销售时间、计量单位、单价数量、销售金额、税款、购货单位、结算方式等。 针对国有企业数据结构不同,数据组织方式不同,数据集中程度各有差异和应用系统众多等特点,要根据以往审计经验和国有企业的实际情况,从众多的应用系统中选择与审计目标密切相关的重要系统,与企业技术人员、外单位系统开发人员一起逐表、逐字段地对这些系统的数据结构进行取舍、合并,提出相对比较统一的国有重点企业审计数据规范,存放到专门的服务器中,供审计人员通过客户端进行查询、访问、关联和检索,从而建立起相对规范的企业审计数据分析平台。 另外,在实现数据集中分析时,可考虑分步实施:第一步,要求被审计的某户或某几户企业按照审计需求,提供规范、转换后的数据,供审计组在被审计单位总部层面开展数据分析,确定审计重点,为审计实施“精确打击”创造条件;第二步,根据不同企业主营业务特点,分类提出审计数据规范,实现分类开展总部数据分析的目标;第三步,综合前两步的经验,综合提出重点审计对象的规范审计数据需求。当第二、第三步数据分析实现时,我们已经拥有多种数据、信息来源,应注意企业数据间相互比较,如对于具备可比性的不同企业同类业务,要注意分析成本、利润构成、比例情况。 2.注重企业数据分析开放性。审计工作不是一个封闭的系统,必须增强开放性和兼容性,企业数据分析也是如此:一是利用数据分析,加强对企业经营的动态监管,促进企业加强内部控制和规范管理;二是与财政、国有资产管理、金融机构等其他国有企业监督管理部门建立经常性的联系机制,实现数据共享;三是增强与其他专业审计工作的协同作战能力,相互配合协作、共享数据资源。如企业生产经营数据中很大一部分为资金收付数据,而资金收付要通过银行进行,因此可以在合适情况组织实施企业、金融数据的对接,对资金去向、分配一追到底,为更好地发挥数据分析的作用创造条件。 3.积极探索和实施联网审计。企业审计数据平台建立后,审计机关可以积极探索和实施联网审计,要求被审计企业定期(按月或按季)向其传输数据,通过及时采集数据、及时分析预警、及时督促整改的审计方式,提高审计的及时性和有效性,有效防范重大违法违规和腐败现象。 (三)积极探索开展企业信息系统审计。 1.开展企业信息系统审计的必要性。随着计算机及通讯技术的发展,大型企业核心业务越来越依赖于信息系统、管理手段日趋网络化、数据化和系统化,这就迫使我们必须对承载具体业务的信息系统进行审计。因为只有信息系统是有效的、安全的,才能确保审计所分析的数据是真实、完整、可靠的。 2.现阶段企业信息系统审计需要把握的几个问题。大型企业的信息纷繁庞杂,审计资源相对有限,在信息系统审计中如何突出重点,有的放矢,也是审计必须考虑的问题,结合近年来我们信息系统审计实践,个人认为应把握以下方面的问题: 一是选准审计对象。选择开展审计的信息系统时,除综合考虑信息系统与审计总体目标的关联程度、审计资源的充分程度和被审计单位对业务系统的依赖程度外,还要考虑系统使用是否成熟,数据规范性,数据质量以及所支撑的业务是否具有重要地位等因素。 二是选准审计切入点。根据ITIL、COBIT、BS7799、PRINCE2等常用IT治理标准及实践看,信息系统审计主要包括内部控制系统审计、系统开发审计、应用程序审计和数据审计。但现阶段应选择内部控制有效性作为审计切入点,因为内部控制尤其是应用控制情况,直接决定信息系统质量以及其支撑的业务的真实性,是信息系统审计的关键与核心。内部控制包括总体控制、一般控制和应用控制,但具体审计实践中,应根据审计资源配备情况,以及不同审计项目的特点、目标与要求,在审计项目中有所侧重,不一定每次都对上述所有内容实施审计。比如,在审计时间紧、任务重,且需要重点对业务违规违纪问题进行核查的情况下,可以考虑主要对信息系统的内部控制有效性尤其是应用控制有效性实施审计;而在对信息系统的安全体系建设情况进行评估时,则可以考虑重点检查涉及信息系统安全的控制事项。 三是选准审计方式。信息系统审计虽然有其相应的审计目标、内容和流程,但现阶段它还是审计技术方法,不能作为一个独立的审计种类对待,所以实施信息系统审计时,需要大力推广采取“结合式”的审计方式,即围绕信息系统业务流程,以系统内部控制测评为基础,将财务收支审计、数据审计和系统审计相结合,由此及彼、互为支撑,完成对重要审计事项的核查,扩大业务审计成果。从审计实践看,取得丰硕成果的信息系统审计采取的都是“结合式”审计模式,这也印证了这种模式的生命力。具体来说,第一,要紧密结合业务数据分析。数据是系统内部控制情况的客观反映,大力开展数据分析,并与审计人员职业判断相结合,能有效地发现系统内部控制缺失问题,从而准确、迅速锁定核查重点。第二,另一方面,鉴于目前系统接口控制缺失较为突出的现状,要强调以系统接口控制审计为重点,着重揭示业务系统与财务系统接口控制缺失,造成重大财务舞弊的问题。最后,鉴于企业系统规模庞大而审计人力、时间相对有限,要突出系统的核心控制点的审计,以求取得事半功倍的效果。 此外,还要关注信息系统建设的经济性。近年来,大型企业纷纷加大对信息系统建设投入,建设经济性也是审计必须关注的重点。信息建设经济性审计,在暂时缺乏对其建设效率、效果进行整体评价的依据和技术力量的情况下,可选择信息系统建设的招投标合规性,作为系统建设经济性审计的切入点,2011年昆明办以此为切入点,探索开展了A集团系统建设经济性审计,取得了良好的效果。 (四)加强“人、法、技”建设,进一步推动企业审计信息化工作。企业审计信息化,涉及面广、复杂程度高,要做好此项工作必须突出专业性,进一步加强“人、法、技”建设。 1.建立专业化的团队。首先,在审计系统内部很有必要建立企业计算机审计专家团队,经过一定的专业资格认证后从事此项工作。此团队的人员组成要结构合理,充分考虑计算机、企业审计业务两方面因素,人员可以相对较多,审计机关可以视不同审计项目的特点、需要,从中有针对性选择人员,以便更好地开展工作。其次,鉴于企业审计信息化工作,尤其是系统审计专业性强、内容复杂,可以考虑按不同企业类型建立计算机审计专家库,视工作需要选择不同类型的专家寻求咨询等服务。 2.进一步完善相关法规建设。法律法规不完善、缺乏审计依据,是目前企业审计信息化工作,尤其是信息系统审计面临的一个困境。一是电子证据如何取证、保存,并取得法理上的效力,需要加以研究;二是信息系统审计发现的问题缺乏定性与评价法规的状况,已经影响了其进一步深入开展;三是信息系统审计指南尚未出台,不利于信息系统审计工作规范化。这就要求我们在工作中,要重视和加强企业审计信息化法律法规建设,为企业审计信息化工作创造一个良好的法律环境;法制审理部门也要积极研究解决现实中的困难,从更高层次上指导该项工作的开展,并提供一个适度宽松的环境,“呵护”该项工作逐步成长壮大。 3.积极借鉴、采用先进技术。目前,国内外从事IT审计的机构、公司已经开发了不少诸如X-SCAN、NESSUS等软件用于扫描系统、网络漏洞,不但取得较好的效果,而且大大提升了审计效率。企业审计应该积极借鉴、采用先进技术,进一步提升提供企业审计信息化的技术含量,进一步发挥技术在企业审计信息化方面的支撑作用。 总之,企业审计信息化是企业审计更好发挥国家治理作用的必然要求,是发展方向。现阶段,企业审计要认清形势,找准切入点,以审计信息化为助推器,结合企业审计信息化发展现状,在积极推广、大力应用已有的技术方法的同时,注重探索和创新,努力形成信息化条件下企业审计方法体系,不断推动企业信息化工作上更高层次、更高水平。 参考文献: 1.刘家义:《国家审计与国家治理》,2011年7月8日在中国审计学会第三次理事论坛上的讲话。 2.审计署科研所:《“国家审计与国家治理”专题研讨会发言摘要》,《审计工作动态通讯》2011第14期。 3.余效明:《认清形势 明确任务 深化企业审计促进经济发展方式加快转变》,2011年5月31日在2011年企业审计视频培训班上的讲话。 4.审计署科研所:《国家治理内涵及其与国家审计基本关系的辨析》,审计研究简报2011第23期。 5.《计算机审计审前调查指南―计算机审计实务公告第8号》。 |
| (本文内容仅为作者个人观点,不代表任何审计机关和本网站的观点,未经许可,不得转载) |
