"本书是德勤企业风险丛书的第五辑,主要涉及内部审计方面的最前沿话题。内容有建立风险导向的、与世界一流的能源企业相适应的内部审计体系;内部审计的转型及发展;善用工具,强化战略分析,提升稽核效能;内部审计为企业创造价值——防治于行医问诊间;如何做好银行业IT审计内部审计的定位——独立与增值的均衡;内部审计信息化体系简介;反贿赂和腐败;风险导向稽核体制的建立;自动化演变——如何停止担忧并憧憬制造业的来;关于美国冲突矿产披露制度的供应链调查实务;保险业风险管理小故事——渠道“默契”;企业内部控制实务——固定资产管理,等等。可为企业的内部审计提供理论基础和最佳实践。
本书是德勤企业风险丛书的第五辑,主要涉及内部审计方面的最前沿话题。内容有建立风险导向的、与世界一流的能源企业相适应的内部审计体系;内部审计的转型及发展;善用工具,强化战略分析,提升稽核效能;内部审计为企业创造价值——防治于行医问诊间;如何做好银行业IT审计;内部审计的定位——独立与增值的均衡;内部审计信息化体系简介;反贿赂和腐败;风险导向稽核体制的建立;自动化演变——如何停止担忧并憧憬制造业的未来;关于美国冲突矿产披露制度的供应链调查实务;保险业风险管理小故事——渠道“默契”;企业内部控制实务——固定资产管理,等等。可为企业的内部审计提供理论基础和最佳实践。
钱静波 副总监贺訾承 高级顾问德勤上海事务所企业风险管理服务
内部审计是一种独立、客观的保证工作与咨询业务活动,它的目的是为企业组织增加价值并提高运作效率。全球经济形式不稳定,企业经营模式多元化和组织结构的复杂化发展,面对更加多元化的风险环境,建设信息化内审体系是企业组织应对险峻风险,实现价值,持续健康发展的必由之路。
一、内审信息化背景及驱动因素
(一) 内部审计工作的两大主要矛盾
集团企业发生着史无前例、翻天覆地的深刻变革,企业规模不断扩大。运营范围跨度大、实体分散独立性强、组织结构关系纵横交错;业务领域持续扩张,许多新兴业务已成为集团极具生命力的经济增长点。
在此形势下,内部审计工作的主要矛盾表现为两方面:一是内部审计工作的资源供需矛盾,即内部审计资源的有限性和内部审计需要辐射面的广泛性的矛盾。大多数企业近几年实现了跨越式发展,跨行业、跨地区和跨国发展已成为了企业发展的主要途径。内部审计的对象呈现出点多、面广、战线长、产业多的特点,只有借助信息化的手段开展内部审计,才能实现工作协调统一和内部控制完善的目标。二是内部审计工作的质量供需矛盾,即审计手段技术方法落后和审计质量高要求的矛盾。内审工作的全面转型使审计领域大大拓宽,企业管理层对内部审计工作的要求和期望不断提高。然而,内部审计技术还没有完全实现信息化,审计效率低和质量难以保证的问题广泛存在。
(二) 高度信息化集成的业务运作
随着信息技术的广泛应用,目前几乎所有的企业都已借助信息系统来提升自身的运营效率和管理水平,SAP、Oracle、用友及金蝶等大型ERP厂商的产品或行业解决方案在企业内随处可见,并彻底改变了企业的运作方式:
(1) 系统流程替代了手工流程;
(2) 内部控制点通过系统配置、权限等形式体现;
(3) 业务数据的存在形式不再是纸质单据,而是不计其数的系统数据;
(4) 业务交易更加频繁,更加精细;
(5) 信息在不同系统内流转,传递路径复杂且多样。
这些内部审计对象(业务数据、控制点)的信息化转变给开展内部审计提出了新的课题,要求内部审计方式和思维的转变。
(三) 创新驱动促发展的需要
内部审计的目的是为组织增加价值并提高组织的运作效率。在应对复杂多变的风险环境和面对企业信息化运作所带来的挑战同时,企业应该把握机遇,将建设内审信息化平台视为一项创新举措,这不仅能够解决两大主要矛盾,而且可以满足企业增效、增能的需要,在无形中成为企业价值的新增长点。在新形势下通过信息化创新才能使内部审计真正发挥效用。例如,基于企业良好的信息数据基础,运用非现场审计技术对企业的业务交易进行实时监控,利用预警指标及时预警风险,提醒管理层适时加强内部控制,巩固公司治理。
二、内审信息化平台
通常我们按照内部审计的流程和使用的技术手段(信息系统)等特征,可将内部审计的发展划分为四个不同的阶段。在第三阶段,企业运用信息系统支持审计业务,与使用专业审计软件的第二阶段相比,它支持以风险为导向的自动化内审流程,为企业风险管理的第一、二道防线(业务部门和内审部)提供了协同工作平台,并融入了非现场审计的理念和功能。其作用类似于ERP对企业业务流程的再造和商务智能服务。
从长远来看,建设内审信息化平台是企业构建风控信息化平台,迈入风险智能审计(第四阶段)的必由之路和基础。
运作于信息化平台上的内部审计其审计范围更为广阔,审计方式更加灵活,审计过程更加隐秘,审计工作更加准确高效。信息化使审计工作发生三个显著转变,即从单一的事后审计变为事后与事前、事中审计相结合,从单一的静态审计转为与动态审计相结合,从单一的现场审计转变为现场与非现场审计相结合。这既能加快内审部门的工作效率,又能强化内部审计的监督作用。
根据上述特点,企业在设计规划内审信息化平台时应该包括内审作业系统、内审管理系统和非现场审计系统。
(一) 内审作业系统
内审作业系统是一个提高内审工作自动化率,提供内部审计人员和业务部门员工共同参与内审工作,开展协同风险防范的作业平台。
(二) 内审管理系统
内审管理系统可以帮助企业内审组织合理高效地管理内审工作,应包括计划管理、项目管理、绩效管理和知识管理功能。
(三) 非现场审计系统
在2005年,国际内部审计师协会(IIA)发布了《全球审计技术指引(GTAG)》。在指引中,将非现场审计定义为“审计师为了在一个更持续、更频繁的基础上实施与审计相关的行为所采取的任何方法。它是一系列行为的联合体,这些行为从连续控制评估延伸到连续风险评估”。
非现场审计是对于传统审计模式的强有力补充,非现场审计工作结果可以指导现场审计工作,使之更具针对性。通过信息技术的应用,非现场审计能够突破地域和时间对传统审计工作的限制,促进审计信息获取的及时性和准确性,极大地扩展审计工作的覆盖面(广度 )和精细度(深度)。
三、内审信息化平台建设路线图
结合德勤企业风险管理部以往的内审平台咨询服务经验以及ERP控制服务团队在SAP、GRC实施的知识积累,我们认为企业内审信息化平台建设的路线图应该分为四个阶段。
阶段一:内审方法论及流程梳理
确立内部审计方法论,用于指导后期的工作流、模板、报告等的设计;
设计内部审计流程,明确内审职责定义,作为系统流程设计的铺垫;
制定业务部门与内审部门协同工作方式。
阶段二:内审作业系统建设
在该阶段需要实现内审工作标准化、内审流程自动化和内审文档电子化。
阶段三:内审管理系统建设
在本阶段,企业需要在系统中实现以下内审管理功能:
(1) 计划管理:制定发布年度或季度内部审计计划;与内审作业平台衔接,进行任务分配。
(2) 项目管理:集中管理公司内正在进行的各个内审项目,展示项目执行进度、人员投入等情况。
(3) 绩效管理:建立内部审计或内控自我评估绩效指标,通过收集来自内审管理平台和内审作业平台的数据,建立审计人员维度和审计项目维度的绩效评价体系。
(4) 知识管理:内部审计相关的知识储备和提供,涵盖内审制度、内审方法、内审技术、专项内审工具,等等。
阶段四:非现场审计系统建设
非现场审计平台的技术要素是业务数据和信息化平台,业务要素是风险评估和指标及审计规则定义,流程要素是明确与现场审计工作间各自的职责定义。非现场审计系统的核心功能是数据收集引擎和审计指标规则库。非现场审计系统需要兼容周期性提报和自主数据获取两种信息收集方式,以此从ERP、CRM、SRM、BI等业务系统和数据库获取审计信息及证据;能够依据系统内的审计指标规则库,对各业务条线进行数据指标分析和审计。
推进内审信息化平台的建设,需要做到流程、技术和人才的“三管齐下”。
流程:将内审流程作为内审信息化平台的“业务蓝图”。
技术:将与企业信息化环境相适应作为基本思路,综合运用信息系统实施方法论和各项信息技术,为内审信息系统提供全生命周期的技术支持。
人才:必须培养和配备既精通内部审计业务,又熟练掌握信息技术的内部审计队伍。
四、内审信息化平台总体架构
依照路线图中的建设思路,我们最终设想的内审信息化平台总体架构所示。
平台的总体功能是支持并优化我们的内部审计业务,以现场与非现场审计相结合的模式对业务流程和业务系统进行审计监督。
内审作业系统和内审管理系统构成信息化平台的主体,并作为传统现场审计工作的信息化实现。非现场审计系统是对现场审计工作的补充,借助非现场审计工作可以为现场审计指明方向,提高审计效率;同时现场审计工作开展过程中会产生对非现场审计的需求。
作业、管理和非现场审计,三个系统间互相联系,共同构成了一个信息化的内审体系。
五、结束语
信息化内审体系是内部审计不断发展的必然产物。企业通过部署信息化内审平台可以突破传统内部审计在地域、时间和资源上的瓶颈。内审信息化和内控信息化齐头并进,辅助企业进一步巩固和加强自身的内控体系建设,使风险管理和公司治理得到质的飞跃。
