张小凤

【摘 要】 在内部审计信息化建设中，企业通常需要选择外部供应商协助进行。因此供应商对内部审计信息化建设至关重要。常常出现的一个风险是直到实施过程中企业才发现供应商无法满足企业的需要或者工作质量无法达到企业的要求，而此时企业常常也无法采取措施来“惩罚”供应商。就如同物资采购一样，某种程度上在建设的过程中企业很容易被供应商“绑架”。那么在内部审计信息化建设中如何有效地降低这种被供应商“绑架”的风险呢？文章站在企业（采购商）的角度，通过研究该风险，查找该风险产生的原因，最终探寻出有效措施应对此项风险。

【关键词】 内部审计； 信息化； 供应商

中图分类号：F239.45 文献标识码：A 文章编号：1004-5937（2014）12-0072-02

信息技术已经成为社会各领域变革的推动力，是社会生活不可或缺的、重要的基础产业。以信息化为本质特征的企业新变革在世界范围内早已拉开大幕，信息化在企业管理层面已经“无处不在”。在党的十八大报告中“信息化”一词出现了12次。内部审计信息化也已经在如火如荼地进行中。早在2007年中国内部审计协会就曾以“信息化环境下的内部审计”为主题开展了理论研讨暨经验交流活动。2013年中国内部审计协会更是直接将“内部审计信息化”确定为理论研讨的主题。内部审计信息化建设是信息科技高速发展的要求，也是顺应整体行业发展趋势的必然选择。

在内部审计信息化建设中，企业通常需要选择外部供应商，可能是咨询公司，也可能是软件开发服务商或是IT设备供应商与企业自身组成联合的实施团队开展建设工作。因此在建设过程中供应商对整个项目至关重要。常常出现的一个风险是直到实施过程中才发现供应商无法满足企业的需要或者工作质量无法达到企业的要求，而此时企业无法再次冒风险重新选择供应商或者采取某些措施来督促供应商，某种程度上就是我们所说的被供应商“绑架”了。那么在内部审计的信息化建设中如何有效降低这种被供应商“绑架”的风险呢？

一、风险的具体表现

在内部审计的信息化建设中，企业通常会聘请外部的业务咨询商和系统实施机构协助企业一起进行建设工作。笔者统一将这些咨询商或者实施机构称为供应商。在内部审计信息化建设过程中，企业被供应商“绑架”的风险具体表现为如下情形：

第一，企业在前期选择过程中将供应商价格压得过低，给供应商的利润空间太少。供应商为了保证自己的收益，在实施过程中仅在形式上符合合同的要求，给信息化建设的质量带来风险。比如在系统建设的过程中在一些可选择质量的软件或者硬件的配置上选择了较低水准的配置，这就给内部审计信息系统的质量和未来运营保障带来很大的风险。

第二，实施过程中供应商才告诉企业一些风险事项，逼迫企业不得不增加成本。比如在实施过程中才指出配置较低可能风险较大，让企业自己决定是否要选择更高、更好的配置，前提是企业要为这样的升级增加成本。

第三，实施中企业发现供应商无法满足自身的需要或者质量、进度上无法满足企业的要求。比如在业务咨询的过程中企业发现供应商对相关业务情况不够熟悉，甚至对某种体制下的内部审计机构工作内容等没有很深入的了解。更为常见的情况是虽然供应商可能对内部审计方面的前沿咨询经验以及最佳行业实践比较了解，但由于对企业的情况了解不够，无法将这些前沿理念、最佳实践与企业实际有效结合，从而也无法提出真正能为企业内部审计信息化建设增加价值的建议。

但是在实施的过程中，合同、招投标文件等双方协议中没有能够准确地用来控制此项风险的条款。而这个时候，企业的内部审计信息化建设可能已经进行一半甚至更多，由于项目进度要求等诸多现实的限制，企业不可能在项目进行中再更换供应商。

诸如上述种种情形，企业在某种程度上都存在着被供应商“绑架”的风险。

二、风险产生的原因

笔者试着从内部审计信息化建设的全过程链条即从内部需求确认到供应商选择、合同签订、项目实施过程控制等查找上述风险产生的原因。

（一）企业对内部审计信息化建设的定位、目标、内容等不清晰

在内部审计信息化建设中，首先企业自身需要对信息化建设的目标、主要内容、可能存在哪些困难和风险等事项有清晰的认识。换句话说，企业需要清楚地知道我要做什么、怎么样才能达到目标、在达到目标的过程中可能有哪些风险和困难。

从内部审计的信息化建设来讲，清楚地知道这些事项要求企业对于内部审计业务定位、内部审计未来的长远规划等要有清晰的宏图。因为信息化本身只是手段，不是目的，内部审计信息化建设的目标是要通过固化管理流程和业务流程，以内部审计信息系统平台为依托，为企业提供统一的审计标准和规范、管控手段与工具，促进与提高内部审计工作的效率和效果，实现内部审计更好地履行“确认与咨询”的职能，实现内部审计“促进组织完善治理、增加价值和实现目标”①的目标。

（二）供应商选择失误

企业清楚地知道自己的目标和内容后才会知道需要选择什么样的供应商能够满足自己的需求。内部审计信息化建设中供应商选择失误的原因可能有：

1.供应商组合确定不当

在内部审计信息化建设中，企业根据情况的不同可能选用以下几种供应商组合：

（1）仅仅选择一家供应商，同时承担业务咨询和内部审计信息系统开发工作；（2）选择两家供应商，一家承担业务咨询的工作，另一家主要负责内部审计信息系统的开发；（3）仅仅选择一家供应商，主要承担内部审计信息系统开发的工作。此外，采用一家供应商总包，再由其分包的方式也是常见的。每一种供应商组合都有其优势和劣势，具体看企业真正需要哪一种。

内部审计信息化建设前期必然需要对企业现行的内部审计制度规范、审计管理、审计作业等各个业务流程有详细的梳理。此阶段需要大量的业务咨询工作。如果企业认为自身内部审计机构专业人员力量充足，能够自行完成此阶段工作，那么仅需选用内部审计信息系统开发商即可。endprint

如果企业希望借助于内部审计信息化建设的契机，对企业内部审计进行全面诊断和提升，那么很可能需要借助于外部专业咨询机构的力量才能够完成工作。在这种情形下企业又面临两种选择，是选择一家咨询商同时承担业务咨询和系统开发的工作，还是选择两家供应商分别承担业务咨询和系统开发的工作。从企业内部来讲这很大程度上取决于企业对于业务咨询以及业务需求梳理工作的重视程度。

2.供应商选择方式不当

广泛意义上供应商的选择可以采用招标、竞争性谈判、单一来源采购等方式。通常来讲，对于国有控股集团公司来讲，招标是必需的。但是在招标中又有公开招标、邀请招标的区别。公开招标可以吸引尽可能多的供应商进入企业的视野，为企业提供更多的选择。而邀请招标对于企业来讲，可能更具有目标性，一定程度上保证被选择的供应商能基本满足企业的需求。内部审计信息化建设属于专业性较强的业务。如果将内部审计信息化建设当成产品的话，可以说内部审计信息化建设是属于特异性比较强的产品。无论选择哪种方式，企业在确定选择方式前都需要充分了解内部审计信息化供应商行业情况，尤其是各主要供应商的情况。这些了解也有助于企业在进行供应商选择时使用适当的筛选条件。

3.供应商筛选条件不当

供应商筛选条件是指企业设置的一些必要条件。这其中供应商一方面要满足基本的条件，比如供应商的规模、注册资金等硬性的表面条件。另一方面，供应商有过同类企业同类规模的内部审计信息化建设项目的经验、熟悉现行的内部审计信息系统在行业内的使用情况等，甚至包括供应商拟派驻的项目经理、项目成员的履历情况等。如果这些筛选条件设置不当，可能不合适的供应商会被纳入，同时也可能导致一些优秀的有潜质的供应商无机会进入。

（三）合同条款约定不到位

合同是约定双方权利和义务的法律文件，其中详细列示了企业的需求和权利，也明确规定了供应商的义务。

在内部审计信息化建设中，除通常的合同条款外，应该将具体的工作目标、内容、交付物、时间进度、质量要求等关键信息以专门的合同附件列示清楚。工作内容、交付物、时间进度诸如此类关键要素的约定极大地影响着此后项目实施过程中双方的权利和义务。假如在实施过程中，企业需要增加工作内容或者交付物都可能给供应商增加工作量，供应商可能以此“要挟”企业。

（四）项目实施过程控制措施不足

此处所指的项目实施过程是指合同签订后至项目验收前的整个过程。仅有前期的保障并不够，真正的实施过程中的控制更是重中之重。企业不可能放手，任由供应商去干。在内部审计信息化建设实施过程中企业需要有完善的进度、质量、需求等多方面的监控和控制措施，有重点、分阶段地对供应商提供的服务和工作进行监控才能够保证供应商按照合同的约定按期保质完成相关工作。比如在工作开始前，详细的工作计划、明确的时间点是监控项目进度的重要保障，而进行过程中，对供应商提交的相关交付物及时地进行严格的质量把关则是质量保障的重要措施之一。

三、降低风险的建议与措施

1.企业自身要清晰地界定内部审计信息化建设的目标、内容。企业对内部审计信息化建设要有清晰的认识，对于其中可能的困难以及企业关注的重点要明确。

2.在内部审计信息化建设目标清晰、任务明确的基础上，企业要采取适当的调研方式了解行业情况包括主要供应商的情况、各自的优势和劣势等信息，合理确定供应商筛选条件。在此基础上根据业务需求确定供应商组合方式，并且在合法合规的前提下确定恰当的供应商选择方式。

3.对于内部审计信息化建设工作目标、内容、交付物、时间进度、质量要求等关键信息以及企业和供应商双方的权利和义务要在合同条款中清晰地界定。尤其对于违约条款和质量控制条款，企业要充分地做好风险防范的准备。

4.在内部审计信息化具体建设过程中，企业要采取包括进度、质量、需求等多方面、全方位的过程监控和控制措施，及时发现可能出现的问题，保障内部审计信息化建设按时保质完成。

【主要参考文献】

[1] 倪明，徐福缘.IT设备供应商信息化服务能力的实证研究[J].经济问题探索，2006（10）：75-80.

[2] 陶毅，贺凌倩.中国企业信息化现状、问题和出路[J].工业技术经济，2003（1）：21-23.

[3] 曹燕，常京平.企业内部审计信息化战略研究[J].会计之友，2010（28）：52-53.

[4] 陈留平，彭绍进.现代企业审计信息化建设若干问题研究[C].中国会计学会第四届全国会计信息化年会论文集，2005：308-316.

[5] 中国内部审计协会.中国内部审计准则[S].2013.endprint