电网企业内部审计信息化存在的问题探析
2015-01-02余悠然
余悠然
(国网安徽省电力公司六安供电公司,安徽六安 237006)
随着电网信息化工程的实施,建成了国家电网企业集团级一体化信息系统,实现了信息流、业务流和资金流纵向贯通、横向集成,数据资源共享,支撑集团化运作,促进集约化发展,优化业务流程,实现了“人财物”集约化、精益化管理。计算机信息技术和网络技术已经成为企业内部控制和风险管理体系的重要技术支撑,同时,企业内部审计的环境、对象和审计思维面临着重新定义,信息化环境下的审计风险控制重要性更加突出。这也给计算机技术的应用带来了严峻的挑战,而维护信息系统的安全日益成为信息化建设中关注的重点课题。因此,内部审计必须及时适应日益高技术化、高信息化的审计环境的变化,加快内部审计信息化建设的步伐,提高审计效率,确保审计质量。
一、信息化环境下内部审计遇到的问题
内部审计之父索耶关于内部审计的定义是:对组织中各类业务和控制进行独立评价,以确定是否遵循公认的方针和程序,是否符合规定和标准,是否有效和经济地使用了资源,是否实现了组织目标。内部审计主要包括内部审计信息的收集、内部审计信息的加工整理、内部审计信息的输出、审计信息的反馈四个环节。
传统会计信息系统下,审计人员可直接登录会计信息系统和导出数据,通过查询、审阅、核对、分析和函证会计数据等,确定审计重点,调查取证,作出审计确认、评价。在ERP系统下,企业实现了由财务控制向业务控制和信息流控制的集成,将制度安排、内控程序植入到信息系统中。然而,ERP系统并未完全本土化,专用术语多且生涩,系统结构复杂,技术门槛高,操作界面复杂。审计人员对ERP的思想、理念、原理难以形成感性认识,缺乏对报表、账册数据来源的深刻理解。这些给审计人员在面对ERP众多模块及海量数据时带来了巨大的压力。
(一)审计环境数字化
国网公司信息化的快速发展,各主要经营业务的日常开展均依托信息系统实现,审计面临全新的数字化环境。一方面,审计人员必须利用信息化技术开展审计工作,要求审计人员能熟练操作计算机软件,特别是相关的审计软件;另一方面,信息技术的广泛应用极大地改变了原有业务的处理流程,使审计环境更为复杂。
(二)审计对象电子化、线索隐蔽化
审计对象的载体发生了很大变化,相关大量信息以电子介质存储,不使用专门的信息化审计技术打不开数据库系统,特别是在ERP系统下,审计人员不经过专门培训,将看不懂相关资料。业务数据处理均集成在信息系统中,审计线索更加隐蔽,增加了审计调查取证的难度,特别是通过后台修改相关配置所产生的舞弊风险,识别难度更大。由于信息系统高度集成,要求审计人员跨领域对高度集成的海量数据进行查证、分析,熟悉并掌握系统中多个业务模块功能,这对审计人员的素质提出了更高的要求。
(三)对审计思维方式的影响
随着国家电网公司信息化的应用,信息化、智能化成为电力企业发展的显著特征,电力企业普遍应用计算机和网络信息技术进行管理,审计人员不得不面对海量的电子数据。在传统审计方式下,审计人员一般先分析审计对象的各个部分,再归纳、综合为整体,在海量数据中很难做到全面把握,突出重点。在信息化环境下,审计打破了传统审计思维方式,强调以系统论为核心,要系统把握审计对象,建立审计模型,分析数据,最后作出评价。通过ERP业务审计系统采集、筛选和整理审计数据表,分析各数据表之间的内在关系,建立审计分析模型,把握总体、锁定重点、发现线索、延伸取证。
(四)内部控制授权化、集约化
大量内部控制措施采用系统权限控制、口令管理控制、修改程序控制等方式固化在系统中自动执行,审计人员需要适应这一深刻变化。核心资源通过集中运作能够实现降低成本、高效管理的目标,获得可持续竞争优势;同时集约化管控也要求各项权限上移总部,基层单位在业务执行中的责任难以界定,有时突破了审计的范围。
(五)审计风险多样化
ERP系统下的内部审计会引发新的审计风险。首先,高度集中的控制流程使许多不相容的职责在系统中相对集中,增加了舞弊的风险。其次,由于纵向跨越层级多,审计取证的难度大。再次,由于ERP系统需要计算机技术和网络技术,可能会受到计算机病毒和“黑客”的入侵,从而造成数据的丢失或泄密,给企业造成不可挽回的损失。
二、信息化环境下提升内部审计质量的对策
信息化是现代内部审计的基本特征和发展主流,既是内部审计现代化发展的客观要求,也是内部审计实现现代化的重点标志。利用信息技术改造提升传统审计方式,逐步推广使用计算机辅助审计、网络审计等技术,实现审计手段从手工操作向计算机审计、联网审计的转型,是内部审计信息化建设的重要内容。与传统审计相比,信息化内部审计具有审计时空更为广阔,审计方式更加灵活,审计过程更加隐密,审计工作更加准确高效等优势。审计信息化使审计工作发生三个转变,即从单一的事后审计转变为事后审计与事前、事中审计相结合;从单一的静态审计转变为静态审计与动态审计相结合;从单一的现场审计转变为现场审计与远程审计相结合。这既能提高内审部门的工作效率,又能更好地发挥内部审计的监督作用。
(一)加强审计资源集约化
国网公司资源集约化管理模式不断深化,业务流程再造,打破了职能条块分割,管理层级大大减少,组织呈扁平化,管理数据向总部和省级公司集中,“人财物”省级公司一本账。基层单位自主权大大降低,企业内控体系及其实现方式发生重大变化,审计重点发生转移。审计资源要适应这一变化,不断提升集约化水平。公司总部及分公司已结合“三集五大”体系建设和一体化运作要求,不断完善了总部分部审计一体化管理机制,深化审计工作计划执行、质量控制、业绩考核等管理。省级公司应选调部分业务素质高,操作技能强的审计人员或业务人员充实力量,承担信息系统审计、数据分析、审计建模、审计预警等工作,加强审计资源集约化管理。
(二)应用好内部审计信息系统
国网公司为适应信息化发展,根据ERP系统整体技术架构,以企业的业务、应用、数据、技术架构模型为基础,搭建了审计信息化工作平台,建立了审计综合管理、作业实施、监控预警“三位一体”的审计信息系统。完成了财务管控业务审计系统的设计开发,实现了ERP业务审计系统优化和升级,开展了审计综合管理系统和审计门户应用考核,推动了系统的深化应用。公司基层单位,应以审计信息化深化应用为契机,积极应用ERP业务审计系统各功能模块开展审计项目作业、在线审计,有效克服审计信息化手段缺乏,审计进不了门、打不开账的困境。在审计项目规划与计划、审计项目与作业、成果应用等审计日常管理中,加大审计门户和审计综合管理系统的应用,要求全员操作,加大工作协同,实现审计工作的信息化、标准化;通过实践,改变审计人员的思维习惯和方式,提升内部审计工作水平。通过实践,提高审计人员综合素质和操作能力,为审计信息系统再优化提供更多有价值的建议。
(三)转变内部审计方式
充分发挥ERP业务审计系统“实时反映、实时分析、实时监控”的特点,加强各项业务在线监督和非现场审计,充分发挥审计工作在内部控制中的预防、预警、预控作用,防范和化解企业经营风险,促进公司经营管理目标的实现。这为从单一的事后审计转变为事后审计与事中审计相结合,从单一的静态审计转变为静态审计与动态审计相结合,从单一的现场审计转变为现场审计与远程审计相结合提供了可能。ERP系统中,数据都是从最原始的业务中产生,数据来源实现了唯一性、及时性,为实现事中审计、实时审计提供了极大的便利。在以往审计工作的基础上,总结出具有重要风险提示作用的一些关键指标,对经营管理过程进行实时监控预警,不断提升内部审计效果。
(四)拓展审前调查工作
在审前现场调查工作开展前,审计人员可以通过ERP业务审计系统,初步了解被审计单位的基本情况。通过取得相应的ERP系统权限或利用ERP审计业务系统的数据采集功能,取得大量的审计数据和信息。内部审计人员可以根据职责分工,利用筛选、分类、分组、排序等技术手段,对审计对象进行初步判断,寻找有价值的审计线索,以便在进行现场审计时,理清审计思路,突出重点,调查取证能够有的放矢,缩短现场审计时间,提高审计效率。
(五)实时管控审计项目质量
审计组长可以利用审计综合管理系统,实时掌握每个审计小组、每位审计人员的工作进展和成效。通过查阅、审核系统中审计工作记录和底稿,掌握审计现场的情况,指导和帮助现场审计人员把握审计重点,及时纠正审计过程中出现的重大偏差和误判,确保审计进度和质量。企业要加大对原始数据的实质性审计程序,保证信息系统中业务数据的及时性、准确性和完整性,确保系统程序的正确性和数据处理的可靠性,减少人为舞弊的机会。实际工作中,为了完成有关考核指标,输入ERP系统中的业务数据与实物流有一定差距。审计过程中,审计人员对系统原始数据准确性的审核,特别是对账实符合性的审核,是信息化环境下内部审计的基础。
(六)培养内部审计人员业务技能,适应信息化发展的需要
随着国网公司ERP系统的推广实施,对内部审计人员的业务能力也提出了更高要求,审计人员除应具备财务、审计专业基础知识,熟悉财经法规以及审计规范外,还要掌握计算机技术、网络技术和数据处理技术。公司要加大对审计人员计算机审计培训的力度,使其在实践中将审计知识与计算机技术有机结合,将ERP系统的思想和理念融入到审计实践中;内部审计人员除了要不断更新专业知识、学习先进的审计理念和方法外,还要学习计算机和数据库操作技能,以适应现代内部审计发展的需要。
内部审计信息化的不断完善,有利于审计目标的实现,有利于提高工作效率,有利于适应客体的变化,有利于推动内部审计的发展,因此,要把推进内部审计信息化作为利用信息技术改造提升传统审计方式的重要内容,同时,伴随着ERP系统的成功实施,国网公司的组织形式、管理体制、控制要点等发生了重大变革,内部审计的环境、技术和方式等将随之发生深刻的变化,内部审计可通过深化应用审计信息系统,加强对公司各项业务和审计工作的监督管理,使审计工作融入到业务管理活动中,完善公司内部控制和风险管理体系,最大限度地发挥内部审计的作用。
[1]张 清.计算机辅助审计规范化的作用及设想[J].安徽电力财务与审计,2006(3).
[2]方学智.ERP环境下提高审计工作质量策略探讨[J].中国管理信息化,2012(22).
[3]杨炜杰.ERP系统下内部审计工作探讨[J].现代经济信息,2012(12).
[4]王卿丽.基于风险导向理念的数字化审计[J].新会计,2012(10).