丁洪波　全海峰

摘要：信息化环境下企业的运行模式发生了很多重要变化，这种变化一方面促进了企业的管理提升，增强了企业的竞争能力；另一方面却给传统的企业内审带来不少挑战。面对信息化条件下企业内审面临的诸多挑战，中国移动浙江公司积极探索，勇于实践，取得了不少宝贵经验。本文主要介绍中国移动浙江公司企业内审创新的实践和经验，以期对其他公司改进企业内审提供参考。

关键词：信息化 内部审计 全量审计模式

通信运营商的生产与管理具有全过程、信息化的特征，传统的账簿被IT数据库所取代，业务信息过程的全程变为自动化，证据链条更加难以捕捉，传统内部控制的有效性日益受到挑战。

针对高度信息化的企业环境，中国移动浙江公司积极开展内审信息化实践，努力推进内审事务管理信息化，不断深化计算机辅助审计技术应用，持续探索信息系统审计方法和技术，实现了从传统审计方法向以IT审计技术为主的全量审计模式转变，从以项目审计为主的工作模式向无缝侦测、持续审计的方向转变。

一、着眼内审作业规范化和效能提升，努力推进内审事务管理信息化

（一）构建“内部控制测评管理系统”

为了符合索克斯法案相关条款，公司探索建立了业内第一个内控管理平台（简称ICM系统），内控管理人员可以及时维护公司内控手册和矩阵，内审人员可标准化测试步骤、规范测试底稿，并在系统中对测试计划进行安排，实现了企业内部控制机制常态化建设。

（二）开发“工程审计作业管理系统”

通过构建工程审计作业管理系统，实现与合同管理、财务管理、采购管理、工程管理等系统的互联，规范了全省各级工程审计作业流程，大幅度提高了审计工作质量，保障了2013年超过两万个工程审计项目的顺利审计，节约投资2.89亿元。同时，该系统还实现了系统数据融合，减少了数据重复提取输入，提高了信息质量，大量高度规范、标准的全流程作业数据的积累也支撑公司初步实现了工程审计的智能化，通过数据分析、标杆测定和风险探针功能，为工程审计提供了快速指引，为持续改进工程建设管理提供了科学依据。

（三）建设内审事务管理平台，推动内审管理信息化

内部审计事务管理平台，旨在依托信息化手段来提高内审计划、组织、指挥、协调、控制与监督等一系列活动的科学性和效益性，实现内部审计工作的规范化，增强了内审业务的统筹计划性，提升了内审工作质量和效率，促进审计成果信息的共享。

二、积极采用计算机辅助审计技术，努力实现审计方式转型

现代企业内部审计面临诸多挑战，例如：审计领域大幅度拓宽，从账簿、凭证、现场勘测延伸到计算机数据库、数据模型、系统程序审计，审计环境更加复杂。中国移动浙江公司努力调整内审工作思路，积极采用计算机辅助审计技术提升审计项目质量、不断深化审计工作。

（一）实施业务数据库的深度分析挖掘，有效支撑现场审计

通过多年的探索实践，中国移动浙江公司现在已经形成了一整套较完备的需求建模、远程取数、全量比对、特征分析、现场核查的审计项目实施流程，充分利用信息化技术来支撑专项审计、专题调查等工作。实践证明，采用这种方法，不但能有效实现审计目标，也能大幅度降低现场审计成本，同时还可以最大限度减少对被审计单位正常工作的影响。如在现场流程诊断建模收入保障流程和梳理业务异常特征的基础上，后台应用辅助软件对全量提取的上亿条海量话单数据进行统计分析核对，及时发现并跟进堵塞系统间数据不一致等系列问题及漏洞，有效防止了上亿元收入的跑冒滴漏。

（二）积极应用计算机辅助审计软件，不断提升审计效率和质量

随着电子信息技术的快速发展，计算机辅助审计软件和工具不断涌现，公司与时俱进地推动了计算机辅助审计软件和工具在项目实施中的应用，成效显著。例如，应用ACL软件进行异常会计分录测试，使用统计分析软件和模型进行风险评估。同时，结合业务特征，自己设计开发了专用审计程序和作业模块，进行持续审计的探索和实践，已取得较好成果。如利用会计分录测试工具，对大量运营支出数据进行计算机分析、归类和判断，快速发现问题所在，及时挽回重复入账等损失。

三、聚焦信息安全和IT风险，探索信息系统审计新领域

中国移动浙江公司积极探索信息系统审计领域，不断揭示信息系统在设计、运行、维护和管理中存在的问题与风险，努力保障公司稳健经营与发展。

（一）加强信息安全审计，防范相应风险

推行客户信息安全管理审计，审计目标是降低客户信息泄漏、篡改和滥用的风险，有效推动企业信息安全管理的提升。公司实施了业务受理IT风险审计，采用IT技术手段对主机和网络设备的安全配置及漏洞、网络渗透性进行测试，对高风险系统日志、账号使用日志、业务操作日志等进行审计。此外，公司及时揭示了网络基础设施和应用系统等存在的系统缺陷，以及管理中存在的薄弱环节，并就具体执行情况深入查错纠偏，强化安全措施的有效落地，确保企业不发生重大信息安全事件。

（二）实施信息系统账号权限审计，深化系统访问风险防控

不断发展的业务和持续增加的信息系统，使公司各类系统的账号与权限管理十分复杂，隐藏了管理不善的风险。为此，公司对重要IT系统的账号权限管理展开审计，识别其账号权限管理的内控缺陷。

此外，公司还通过数据建模和信息技术审计手段，揭示账号权限设计缺陷、账号权限数据失真等执行层面的问题，以此为契机构建自动检测手段，以信息技术方法来确保系统账号权限的实时管理。如适时绘制的风险点脉络图为公司十八大安全保障工作以及账号管理工作提供了抓手，业务部门据此对薄弱环节进行了重点整改。

根据项目成果，公司计调部门职责3项，制定或修订管理制度办法6项，改造业务系统7个，执行账号专项检查9次，整改不合理账号1217个，推动建立了长效管理机制。

（三）以风险为导向，全面审计监测信息系统

针对公司IT系统快速发展的局面，中国移动浙江公司积极探索开展IT全面风险管理。

一是建立了IT风险评估模型，对所识别的IT固有风险进行评级，对高风险领域进行细化分析，绘制公司IT风险全景电子地图，分级制定IT审计规划。

二是开展了软件全生命周期管理和采购系统信息一致性专题审计，选择地市分公司试点IT现场审计，进而制定并验证地市分公司适用的IT审计框架结构内容，推动公司IT审计不断演进和深化。

上述工作一方面因地制宜地建立了企业IT风险的全覆盖监测机制，避免了风险盲点的存在；同时增强了风险管理工作的统筹安排，进一步提升了资源利用效率，避免了过度控制和重复投入。

（作者单位：中国移动浙江公司）