事业单位内部审计信息化系统设计研究
2020-03-26杨业
杨 业
中国原子能科学研究院 北京 102413
一、会计信息化对事业单位内部审计的影响
1999年4月起, 我国财务软件行业开始研讨和采用会计信息化这一新概念。鉴于审计和会计之间的血缘性联系,会计信息化的革命同样意味着审计从方法到流程的变革[1]。针对事业单位内部审计,随着会计信息化系统的普及,其对内部审计的影响主要体现在以下两个方面:
1.会计信息化对内部审计证据及线索的影响。随着电算化信息系统在会计行业的运用和发展,事业单位在内部控制和会计核算等方面也表现出了与纯手工会计体系不同的特色。在会计信息化模式下,数据的存储介质和形式、数据的生成和传递形式都发生了巨大变化,使得内部审计的证据及线索受到影响[2]。在会计信息化核算中,绝大多数的可见性资料由手工统计转入了计算机内部进行处理,并储存在磁性介质中,由于计算机软硬件与网络技术的快速发展,审计中客观上的可视线索会逐步消失,纸质资料可能变成了计算机里的文档或者网络云端的代码。单纯得依靠以往的手工审计知识与技术已经难以完成工作,这些改变促使新的审计依据产生。同时,由于单位OA、ERP等系统的广泛使用,审批、复核、支付活动均在系统权限设定下进行电子审批,并不会像原先情况下,形成众多的审批纪录,从而也加强了审计线索的隐蔽性。
2.会计信息化对内部审计方法和审计内容的影响。随着会计的发展,审计本身也经历了详查—抽查的方向性变化。具体到每个会计主体,在手工会计处理的条件下,对未经修改的会计记录,内部审计可根据经济业务运用传统绕过计算机审计的方法进行顺查、逆查或抽查。但信息化条件下,对于在磁介质上修改的会计信息,审计人员则无法用传统审计技术直观评价会计资料的安全性、完整性和正确性,而更多的是采用Internet/Intranet技术以及诸如SYBASE、INFORMIX、ORA-CLE等大型数据库,使业务量完全不受限,从而实现跨年度查询,以及结合大数据进行单位整体分析,降低审计风险[3]。
不仅如此,在会计信息化条件下,审计技术方法也随着审计内容的改变而变化。会计信息化系统的固有特点决定了它的固有风险[4]:由于计算机系统的存在安全性与稳定性的隐患,系统对数据的处理和控制能力是其否安全可靠的决定性因素,一旦计算机应用程序遭遇病毒的非法篡改,那么按照既定程序处理会计事项的计算机就会进行错误的操作。因此,审计除了要对内部控制的制度、原始凭证的数据与计算机内部相关资料进行审计外,还需对计算机的系统程序进行审计,且在审计过程中还应该增加对计算机系统和控制功能审查的内容,才能保证系统的安全性、完整性、可靠性。同时在条件允许时,应尽量在软件系统开发阶段进行事先审计,保证审计质量,防止计算机舞弊,保证系统运行后的可靠性[5]。
二、对事业单位内部审计信息化系统设计存在问题的思考
事业单位内部审计与企业内部审计一样,主要是对会计信息的真实性与合法性发表意见, 并对提升单位管理水平和增殖单位价值发挥建设性作用,缺少审计证据的支持,则难以实现审计目标。虽然计算机辅助审计能发挥一定作用,但内部审计信息化建设是指被审计对象运用网络技术进行财务工作和经营时,审计人员为了实现其审计目的,收集必要的审计证据,采取必要的审计程序,对单位的网络信息系统的合规性以及利用计算机和网络生成的财务信息进行审计的工作。可见,内部审计信息化建设同样面临着问题和挑战,具体包括以下几个方面[6]:
1.内部审计观念相对落后。很多内部审计人员的审计理念还局限在传统审计的思维方式方法上,习惯于按部就班,没有认识到审计信息化的更替,是信息时代对单位整体管理的深层次变革[7]。
2.内部审计风险呈现出新特征。内部审计信息化应用可能带来的固有风险主要包括,电子化会计数据存在被滥用、被篡改和丢失的可能性;电子数据存在易于减少或消失审计线索的可能性;原始数据的录入存在错漏的可能性等。控制风险主要包括,权限设置或职责分工导致约束机制失效;网络传输和数据存储故障或软件的不完善,导致会计数据出现异常错误;会计软件对业务缺乏实时有效的控制手段等。检查风险主要包括,会计软件的更新换代增加了历史文件难以提取的可能性;内部控制主要依赖软件本身,增加了难以全面检查测试的可能性等。
3.计算机审计软件研发相对滞后。目前计算机审计软件开发还主要侧重于会计数据采集,与单位业务融合度不高,而凭证抽查、账表通用检查、账务信息查询等模块的设计也仅仅局限于企业内部审计的部分基础工作,对于评价信息系统的管理、信息技术基础设施的安全性、防止信息资产在未经授权的情况下被使用、披露、修改、损坏或丢失等信息系统本身的审计无法涉及。
4.内部审计人员计算机知识良莠不齐。单位内部审计是其内部控制的重要组成部分,在信息系统的开发、实施、维护和操作过程中应进行严格的独立审查,并定期对信息系统加以检查,才能有效弥补信息系统控制中的缺陷。而现阶段单位内部审计人员的计算机知识一般较为局限,特别是对于信息网络系统等较深层次的知识知之甚微。
5.各信息化系统之间数据关联性差。随着计算机管理系统的普及,各系统之间数据关联性差的问题也逐渐凸显,各个系统由于都是独自开发,系统数据间没有建立关联,甚至标准不一,在利用这些数据进行计算机审计以及验证信息系统有效性时时往往难以获得充分的审计证据。
三、事业单位内部审计信息化系统设计的构想
以中国原子能科学研究院为例(以下简称“原子能院”),原子能院系经国务院批准的全额预算拨款事业单位,由中国科学院于1950年5月19日设立,1985年开始隶属于中国核工业部,现在是中核集团有限公司下属的重要科研院所之一。
近年来,原子能院院级宏观调控力度加大,促进了计算机网络及信息技术的发展和普及,院内被审计单位的会计核算、财务管理及业务管理都在逐步地走向电子化、网络化。而与之相对的是,原子能院审计工作还基本上停留在以传统的手工查账为主要查证方式的水平,审计工作方式现代化程度不高。这种手工作业的传统审计方式已经无法实施较为全面的审计工作,难以做到“提升管理,增加价值”的要求。因此,借助信息化手段实施计算机审计,建设审计信息化管理系统,就显得十分必要与迫切。
(一)原子能院内部审计信息化系统设计目标。在国家审计署“金审工程”的带动下,根据《审计署2008
至2012
年信息化发展规划》的要求,原子能院为了有计划、有目的地推进内部审计信息化加快发展,结合实际,提出了以数据建设为关键,审计应用为核心,联网审计为主线,资金、技术、人才为保障,与单位信息化环境相适应为基本思路的信息化设计目标。该设计目标主要内容包括:
1.充分利用院信息化资源,连接院内部各被审计单位的网络系统,实现网络审计;
2.利用院现有OA网信息化平台,实现内部审计办公自动化和信息共享。提高审计计划、统计、档案、公文流转的管理水平和利用效率,建立审计机构与现场信息互动渠道。建立畅通的信息资源收集渠道,实现内部各部门单位之间的信息共享[8];
3.开发推广适用的审计业务和审计管理软件、模块、模型,逐步使计算机成为审计工作的主要手段,逐步提高计算机辅助审计的审计项目数量;
4.基本建立健全适应内部审计业务和管理需要的信息数据资料库,如被审计单位资料、审计成果、审计资料查询、审计专家经验、有关法律法规、审计案例、计算机审计方法、审计疑点、行业宏观经济、业务信息等;
5.积极探索信息系统审计,主要是计算机系统的内部控制审计,逐步积累经验;
6.建立全面风险管理体系,完善单位内部控制系统;
7.建立起一支既精通审计业务,又掌握计算机技术,能够适应在信息化环境下开展审计工作的新型内部审计队伍。
(二)原子能院内部审计信息化系统设计原则。根据以上审计信息化设计目标,原子能院审计信息化设计需遵照以下原则[9]:
1.适用性原则。系统技术架构应充分兼顾单位的基础设施;系统应用功能是在深入研究审计人员工作习惯、思维习惯基础上的经验化计算机功能;应用软件应具有易用性、针对性即个性化的特点;系统可以按照原子能院的业务发展、管理调整、监控范围的变化而及时变化;让信息化系统在作为审计作业和管理平台的同时,也是审计门户平台。
2.经济性原则。系统网络架构设计按照大集中管理模式进行技术设计;系统参照企业的硬件和系统软件环境进行对应设计;系统采用平台/组件化开发技术,不因业务的变化和技术的变化而重新进行系统开发;按照总体规划、分步实施原则,稳步推进,减少系统重复建设。
3.安全性原则。系统在架构设计、应用软件功能设计、系统操作设计各方面,分别从网络权限、系统级权限、数据库权限、数据权限、功能权限、数值权限、操作权限等多方面进行立体的安全设计;同时,在网络结构方面,进行网络入侵、病毒感染、安全日志、身份认证等方面进行措施设计;在数据管理上,进行数据备份、数据传输管理、数据加密等设计;并进行必要的安全制度、安全培训等设计。
4.可扩展性原则。系统网络服务器采用集群式管理技术进行网络搭建,使系统具有良好的可扩展能力;系统应用软件采用组件化/平台化的开发平台和模式,可以自由地插拔应用组件功能,也可以自由地新增应用组件功能;系统具有良好的数据接口规范,公开相关的PKI,同时,系统具有优秀的数据交换能力,使系统能够整合和融合各相关业务系统,具有最优的扩展能力。
(三)原子能院内部审计信息化系统设计总体框架。为实现原子能院内部审计信息化,本文提出了以下解决方案,包括:一个门户、一个信息平台、五大应用系统,简称“511框架”。(如图3.1)
图3 .1 总体应用框架图
其中,一个门户是指整个方案在一个门户上进行内容部署、权限部署、结构部署和单点登陆;一个信息平台是指方案中的所有应用均在该平台机制上运行,同时,所有应用均基于该平台进行功能开发和实施部署;信息平台包括平台框架、工作流引擎、表单设计器、数据交换引擎、数据传输通道、数据挖掘工具、报表平台等核心功能;五大应用系统是指在一个门户平台上,审计管理信息平台提供所有审计软件系统的开发、部署、实施平台,开发各应用系统的具体业务部件,同时,提供各系统之间的内部沟通机制和数据管理机制;并提供系统的二次开发平台和数据接口。借助信息平台基础,具体开发的审计应用系统,包括数据采集转换系统、审计作业工具系统(又区分为现场审计作业工具系统、远程联网审计作业工具系统)、专业审计系统、审计管理信息系统、内控流程平台系统等五大子系统。
在五大子系统中,数据采集转换系统,包括现场采集和远程采集两种模式,同时,对采集的数据能够直接进行条件字段和SQL语句方式查询,并支持数据按照不同格式进行导出的功能。该系统从被审计单位进行包括财务数据、业务数据、管理数据、其他必要的审计及内控数据采集,为审计作业工具系统和专业审计系统提供被审数据;并为审计管理系统提供被审计单位的原始数据,进行数据存储和管理。
审计作业工具系统分为现场审计作业工具系统和远程联网审计作业工具系统两种技术体系产品。其中,现场审计作业工具系统主要支持单机作业和局域网络作业模式,其审计模式为业务审计,具体包括项目管理、审计程序管理、审计辅助工具、专业审计作业Office工具、效益评价体系等功能模块;远程联网审计作业工具的审计模式为数据审计,支持局域网络和广域网络的作业模式,与远程数据采集转换配套,一方面,支持远程前置机自动采集和数据查询功能,另一方面,通过远程数据传输通道,将数据传输到中心服务器,进行包括审计预警、模型设计器、审计模型执行、审计线索处理、远程计算机辅助作业工具的工作。该系统将采集转换的数据按照现场审计和联网审计的模式进行计算机辅助审计,并将审计的过程资料按照审计管理要求传递给审计管理信息系统,同时接受审计管理信息系统对审计作业的指导;在单位建立内控流程平台基础上,从内控流程平台传递内控措施和要求,指导审计作业,审计作业系统将审计结果反馈给内控流程平台,不断丰满内控流程措施;在审计作业工具内部,现场审计作业工具与远程联网审计作业工具相互协作,按照审计作业过程和审计模式进行工具组合运用[10]。
专业审计系统是为特定的审计对象、特定的审计领域进行辅助作业和管理的工具,比如财政审计、金融审计、基建投资审计等,其核心包括项目管理、审计程序、审计预警、评价指标、专业辅助工具、模型设计器、审计模型、审计线索等功能模块。该系统将采集转换的数据进行计算机辅助审计,并将审计过程数据按照管理要求传递给审计管理信息系统;同时,接受内控流程平台关于内控措施的指导,并将审计结果传递内控流程平台,丰满内控措施。
审计管理信息系统是审计主管部门或者审计机关进行内勤审计、审计人员队伍管理、审计工作管理、审计信息管理的计算机信息管理系统,核心包括审计执行体系、审计OA、个人办公、计划管理、项目管理、档案管理、审计台帐、审计成果、审计信息、案例库、法规库、被审单位数据库、审计作业工具与管理系统的数据交互系统、设置引擎、领导查询等功能模块。该系统一方面直接获取采集转换数据;另一方面,通过审计管理体系直接知道审计作业过程,并从审计作业工具系统和专业审计系统获取审计过程数据;同时,根据内控流程的要求,从管理的角度,指导管理内控流程,并从内控流程的执行过程、执行结果丰满审计管理。
内控流程平台是针对现代审计的发展要求,审计作为单位风险管理和内控措施执行监管的职能部门,而专门设计的信息管理系统,其核心包括战略平台、设计平台、实施平台、监管平台等功能模块。该平台除了独立运行与单位的各业务和管理流程外,与审计作业工具系统、专业审计系统进行审计工作协作,指导审计过程、并不断完善内控措施;同时,内控流程平台与审计管理信息系统协作,为单位的审计工作,内部控制措施进行全面和具体的管理。
上述各系统均通过信息门户进入,实现单点登陆;在各系统独立使用时,同时具备系统独立登陆的功能。
四、对完善事业单位内部审计信息化系统设计的建议
事业单位内部审计信息化系统设计是外部大环境的要求,同时也是单位内部战略的需要。对事业单位内部审计信息化系统的设计不能仅仅从框架建设着手,还要从根本上构建单位自身的内部审计信息化生态环境。
首先,应该转变审计观念,提高内审地位。内部审计工作是在单位领导下, 对本单位经济活动进行监督、评价,要想充分发挥其职能和防护性及建设性作用,取得领导的重视是关键。此外为了提高内部审计在本单位的地位,除了加强自身建设外,还要处理好与国家审计机关、单位主管领导、被审计部门、其他业务部门的关系。同时,内部审计工作者必须从根本上转变观念,如果不转换审计观念,将审计目标仅仅局限为查错纠弊,势必将信息系统审计与当前中心工作对立起来。把审计仅仅理解为“查账”,则对信息系统审计的理解也只能停留在计算机辅助审计或辅助审计软件开发及应用的层次上。只有全面树立系统基础审计或风险基础审计的观念,才能理解信息系统审计的重要意义。一个管理完善的、控制良好的系统,应该能够防止、发现或纠正自身存在的问题。审计的任务就是帮助和促进被审计者建立、健全这种机制,而不应该是代替被审计者去履行他们的“管理责任”或“会计责任”。
其次,应该培养适应信息化环境的审计队伍。在会计信息化条件下,审计人员不仅需要会计、财务、审计等方面的知识和技能,还要掌握一定的计算机技术和现代化管理知识以及电算化审计软件的开发适用、维护技术。因此,事业单位审计部门一方面要分阶段、分层次地对现有专职审计人员在计算机知识、会计电算化系统的控制及计算机审计技术等方面加以培训;另一方面也可以引进高层次的计算机软件开发人才加入审计队伍, 对他们进行会计和审计基础知识的培训,积极培养具有复合型知识结构的计算机审计系统开发人员,负担起计算机审计软件开发的任务。
再次,应该通过各种信息技术手段,不断加强内部审计信息的收集工作,并形成信息共享机制。基于信息技术的内部审计的特点是以审计单位和被审计对象的计算机联网系统为载体。审计人员可以实时调取被审计单位有关资料,收集审计有用信息,并对财务报告做出单独审计的过程,使审计结论更为可靠。事业单位内部审计信息化仍然存在有效信息不足以及内部审计信息系统与单位其他信息系统无法很好对接的问题。要从根本上解决这个问题,必须加快单位网络的建设,依靠信息网络技术,实现内部审计系统与其他的有效联接,根据审计监督业务和审计管理需要,使从单位其他信息源取得有用审计信息成为可能。
最后,还应该关注审计软件技术的开发。事业单位要按照以运用促发展的思路,研究目前现有审计信息管理系统在运用过程中出现的新问题,与事业单位发展建设相结合,与事业单位会计电算化相结合,与单位业务活动相结合,使审计的范围在计算机上更广地延伸和渗透到其他信息处理系统。