集团审计建设探索
本文作者:胡靖
一、集团企业信息环境介绍
集团企业具有庞大而复杂的信息化系统。具体来讲,集团企业信息系统一般分为管理支撑系统、业务支
撑系统、运营支撑系统、企业数据架构四类。经过多年的建设与发展,集团企业信息系统基本上均实现
了覆盖关键流程和功能,企业应用整合平台对所有应用实现了跨部门/跨系统的流程整合。同时,集团
企业的信息系统也具有十分鲜明的特点:地域覆盖广、用户规模大;业务复杂、产品种类繁多;流程、
规则复杂,需求多变;运营实时性要求高,需要对海量数据进行动态处理等。由于集团企业业务流复杂
多变,数据流数量庞大,造成集团企业信息化的复杂程度很高,这也对审计信息化建设提出了更高的挑
战。
二、集团企业审计信息化建设情况
基于集团企业信息化的复杂现状,在审计信息化建设的过程中就必须严格以系统论为指导,规划并实施
与企业信息化演进路径相一致的审计信息化建设滚动规划。(1)可以通过搭建审计管理信息系统(综合
管理模块)平台实现审计项目作业和综合管理的规范化、标准化、信息化。(2)可以通过建设审计数据
中心和分析模型,对横跨企业管理、业务、支撑等领域的数据流和业务流进行定期采集和分析,初步实
现对企业核心运营数据和财务数据的日常稽核与持续监控,提升审计对企业关键风险的预警、分析和把
握能力。(3)可以基于审集团企业审计信息化建设策略初探胡靖计信息化平台的数据和模型,通过实施
非现场与现场相结合的审计模式,推进“总体分析、把握重点、精确延伸”的审计思路,从而突出审计
重点、提高审计效率、提升审计效果、规避审计风险。
(一)审计管理信息系统综合管理模块建设思路
集团企业的审计系统建设,首先应该建立健全综合管理模块。综合管理模块应该涵盖财务审计、工程审
计、专项审计调查等审计项目作业,要实现集团企业年度审计项目计划的闭环管理,提供全集团统计报
表的汇总上报与穿透查询分析。此外,综合管理模块还应该具备丰富的审计法规库、方法库、案例库、
人才库以及面向审计管理应用的综合查询模板(见图 1)。这样,集团企业的各项审计作业及日常管理
工作才能全部纳入审计系统管理,才能有力提升内部审计工作的规范化、标准化、信息化水平。
(二)审计管理信息系统业务审计模块建设思路
随着集团企业信息化程度的不断提高以及审计工作的深入发展,传统的围绕财务核算数据开展的审计项
目已经不能满足集团企业对内部审计提出的要求。要实现“防控风险、支撑发展、提升价值”的审计目
标,就必须将审计的触角向企业经营管理的全领域延伸,提升审计对风险的反应和揭示能力,实现审计
工作由外生介入型向内生融入型转变。基于以上要求,集团企业就必须顺势而为,依托企业数据库尝试
开展建设审计管理信息系统(业务审计模块)。审计系统(业务审计模块)的建设可以考虑以下几种模
式:
1.三维审计数据梳理模型
为了确保审计系统(业务审计模块)采集数据的准确性,集团企业在数据采集过程中可以采取三维审计
数据梳理模型以及审计关注数据分层管理架构。具体来讲,就是由于集团企业信息系统数据一般都是按
照主题分别存储在不同的数据集市中,系统升级改造虽然时有发生,但数据储存模式不随企业的改造而
变化。因此,审计系统(业务审计模块)在数据采集的过程中,可以按照企业数据存储域的方式对审计
关注数据进行筛选、清理、关联,建立信息系统审计数据中心。这样,就可以实现将审计需求与复杂的
企业信息系统相隔离,从而提高审计关注数据采集的准确性和易用性(见图 2)。
2.建立审计数据中心
按照三维审计数据梳理模型的建设思路,集团企业可以根据日常审计项目关注的重点构建统一的审计数
据规划,并按照规划的要求着力丰富完善统一标准的信息系统审计数据中心。审计数据中心应基于集团
企业的数据库,以保证审计数据中心采集数据的准确性,降低核心数据的安全风险和日常的维护成本。
对于审计数据中心采集到的原始数据要进行整理、拼接、分类,按照数据的颗粒度以及是否带有审计业
务逻辑,可以把审计数据中心的所有数据表分为三个层级。第一个层级(即基础表)存储由企业核心
IT系统采集的、未经过处理、不含有审计业务逻辑的清单数据表;第二个层级(即中间表)存储按照
审计业务需求进行整理、拼接后的,带有审计业务逻辑,便于审计人员开展项目应用的清单数据表;第
三个层级(即结果表)存储经过按照审计业务需求进行分析处理后的,带有审计疑点的报表性数据表。
3.构建审计分析模型
在构建好审计数据中心以及分层次的审计数据表的基础上,可以通过建设审计数据分析处理平台,针对
审计业务需求,固化和丰富审计分析模型。审计分析模型要体现每一个阶段审计部门关注的重点领域和
关键风险环节。审计模型可以采取二维模型和多维模型的展现形式,系统根据审计分析模型的业务逻辑
每月自动对采集的数据进行分析处理,审计人员在开展审计项目的过程中可以根据项目关注重点针对某
类指标选择不同维度进行分析,也可以选择多个指标同时进行多维度分析,从中寻找指标的异常波动,
从而发现审计问题。此外,审计人员在开展审计项目作业时,也可以利用审计系统提供的可看、可懂、
可用的基础数据表和本地化的审计分析工具,自行开展数据挖掘和分析工作,深入查找审计疑点和线
索。
4.开展联网审计和在线风险预警
在具备审计数据中心以及构建审计分析模型之后,集团企业可以积极开展联网审计,落实“总体分析、
把握重点、精确延伸”的审计模式,进一步强化非现场审计阶段的工作,提高审计工作的效率和效果。
在开展审计项目之前,可以按照审计实施方案的要求,由审计人员结合系统预置的审计模型对被审计单
位的数据进行非现场分析,也可以由审计人员通过 SQL语言对被审计单位的数据进行分析挖掘。在现场
审计阶段,按照非现场发现的疑点问题,进行查证核实,提高审计的效率和效果。除了对审计作业的支
撑以外,集团企业可以通过审计系统建设实现在线风险预警,对被审计单位实现持续监督。具体来讲,
审计人员要结合日常审计项目发现的问题以及集团企业经营发展中带有普遍性和重点性的风险问题梳理
风险预警指标体系,明确风险预警的阀值,并在系统中予以固化。审计系统可以在每月末对审计采集的
数据按照风险预警指标体系进行自动分析,对于超出预警阀值的地域及风险环节进行预警。每半年,审
计系统可以结合预警报告对各个下属子企业从风险预警频度和影响程度进行打分评价并生成风险图谱,
审计部门可以根据预警报告确定审计重点或者触发专题的审计项目(见图 3及表 1)。构建审计信息系
统(业务审计模块)可以为集团企业开展联网审计和在线监控提供支撑平台和分析工具,同时也可以提
升审计对风险的排查和反应能力。但是,由于集团企业 IT系统的复杂性和业务逻辑的多变性,审计信
息系统(业务审计模块)上线后的运行和优化工作将变得十分重要。这一点,也是审计信息系统(业务
审计模块)构建和应用的重要一环。
三、展望
推进审计信息化建设,以计算机审计为依托创新审计方式方法,是推进集团企业审计工作科学发展的必
由之路,是在信息化条件下开展好内部审计工作的必然选择。在实际建设过程中,集团企业要加快推进
审计信息化建设步伐,解决好业务系统庞大复杂与审计方式方法滞后之间的矛盾,尽快建成审计支撑和
日常作业的管理平台,实现审计信息的集中管理和应用,探索对审计对象的动态监控和实时分析,这样
才能更加有效地支撑好审计工作科学发展。
