如何应用内部审计管理工具,本文主要内容关键词为:管理工具论文,内部审计论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
近年来,内部审计作为公司治理和风险管理的重要手段,其地位和作用日益受到投资者、管理层和监管机构的认可,各界对内部审计的期望不断提高。“工欲善其事,必先利其器”,内部审计人员只有不断学习和借鉴先进的技术手段,才能保持和提升专业胜任能力,为利益相关者增加价值。
内部审计管理是指内部审计机构对内部审计人员和内部审计活动实施的计划、组织、领导、控制和协调工作。因此,内部审计管理目标是为了确保审计目标和公司目标的实现。在内部审计的发展历程中,由于组织内外环境的变化,内部审计目标也在相应的调整变化,以适应组织战略发展的需要。其中,最重要的变化是实现从查错纠弊到增加价值、从事后评价到事前确认的转变,从“经济警察”到“咨询顾问”的转变。由此,内部审计管理范围覆盖内部审计人员为促进组织风险管理、控制和治理程序改善而采取的所有活动。
实施内部审计管理可以通过手工或自动化手段来完成。本文讨论的内部审计管理工具是指内部审计管理的自动化工具。通过对内部审计管理工具的需求、发展、选用及实施等进行综述,以期对内部审计人员有所裨益。
一、内部审计管理对管理工具的需求
1、内部审计机构在努力满足各方面期望的同时,也面临挑战。这些挑战可能增加审计风险,影响审计目标的实现,因而对内部审计管理提出更高的要求。在选择内部审计管理工具时,必须考虑到所面临的诸多挑战以便采取相应的对策。(1)内部审计质量缺乏足够控制。作为管理层决策的重要参考,审计意见和建议的质量是内部审计的生命线。然而,由于经验、资源或技术手段的限制,很多内部审计机构难以实施严格的审计风险和质量控制。例如,审计项目缺乏明确的范围、程序和计划,审计过程未能实现充分文档化,交付件缺乏足够的复核,整改缺乏监督和跟踪等。因此,审计管理工具应协助审计师加强审计过程控制,保证审计质量,规避审计风险,并通过具体技术手段加强审计管理。(2)内部审计部门资源不足。尽管内部审计的地位不断提高,但是审计机构的规模并未得到相应的发展,审计资源限制始终是内部审计的瓶颈。要消除资源瓶颈,除了增加招聘或外包外,也可通过审计管理工具提高项目管理水平,优化资源使用效率。(3)内部审计师个体知识限制。传统的内部审计关注以账簿为基础的财务收支审计,内部审计人员主要以掌握财务会计相关知识为主。如今组织的经济活动日益复杂化,内部审计的范围已经包括财务收支、运营、合规、安全、风险管理等各个方面。根据甫瀚发布的《2008,中国内地与香港内部审计能力与需求调查报告》,内部审计人员的一般技术知识能力普遍偏低。因此,通过内部审计管理工具的运用,加强知识管理和分享势在必行。例如,通过文档化提炼固化知识、通过集中存储访问实现知识共享以及通过网络化消除团队地理和时间限制等,都可以提高协同工作能力。(4)内部审计信息渠道局限。内部审计作为企业风险管理和公司治理的重要工具,其审计范围已经扩展到企业的各个层面和所有流程,但是,内部审计师获取信息仍旧停留在被动的“请求——应答”模式,信息的时效性和质量难以保证。因此,通过内部审计管理工具拓宽信息获取渠道、构筑信息优势非常必要。
表1 部分知名度较高的国际审计管理软件
2、一般而言,企业对内部审计管理工具的需求可概括为以下三类:(1)内部审计项目管理需求。这是所有内部审计机构管理的传统需求,包括企业层面的中长期与年度计划管理、项目层面的项目计划、资源管理、进度跟踪、审计文档管理、审计质量控制、统计分析与报告以及知识管理、协同工作等。(2)治理、风险和合规(Governance Risk and Compliance,GRC)管理需求。内部审计需要将GRC纳入统一的平台进行管理,拓展内部审计的管理范围和信息渠道。(3)计算机辅助审计技术(Computer Assisted Audit Techniques,CAAT)管理需求。CAAT是指在审计项目实施过程中,利用专业技术和工具来获取和评价审计证据,支持审计结论。广义而言,CAAT也可纳入审计管理软件范畴。
表2 部分国际厂商的GRC解决方案
二、内部审计管理工具简介
1、审计项目管理系统。按照审计管理对象不同,可分为企业层面和项目层面的审计项目管理。基于风险基础的审计,两个层面的基本程序都包括风险评估、计划、执行和报告(如图1所示)。
图1 审计项目管理系统功能
图2 GRC平台架构示意图
国外审计项目管理工具(软件)的开发起步较早,发展时间较长,目前已经出现较成熟的商用软件。根据IIA的年度审计管理软件调查,目前知名度较高的审计管理软件如表1所示。这类软件的基本功能都包括风险评估、计划管理、审计程序管理、工作底稿、审计报告、复核、归档等,支持分布式的审计项目管理模式。支持领先的内部审计方法论,实现的主要功能包括:知识共享、年度风险评估、建立审计计划、电子工作底稿、生成最终报告、识别和跟踪问题等。
国内审计项目管理工具(软件)开发起步相对较晚,近年来才有一些公司进入审计软件市场,如用友、中审博大等,但所占市场份额较小,尚未形成具有优势的产品和服务品牌。根据2008年中国内部审计协会发布的《国有企业内部审计发展报告》,目前信息技术在我国国有企业内部审计领域的应用尚处在探索和研究阶段。值得关注的是,一些大型国有企业已经开始尝试自行开发审计管理软件,例如,中国石油化工集团公司自2004年开始开发审计信息系统并推广应用;中国第一汽车集团公司利用计算机信息系统实现了审计信息录入维护的模板化、日常化、制度化;宝钢集团有限公司也自主开发了审计管理软件。
2、治理、风险和合规(GRC)系统。GRC强调在企业层面对公司治理、风险以及合规等进行统一管理,以更全面的视野来观察风险、以统一的语言来定义风险、以统一的模型来评估风险,以统一的手段来控制风险。甫瀚(Protiviti)旧金山分公司执行董事Robert Hirth认为,GRC对内部审计人员而言是一个机会,可以开展创新性的工作,甚至扮演领导角色。因此,审计管理工具的一个发展趋势是向集成的GRC平台发展。图2列举了一个GRC系统的架构作为示例。与审计项目管理系统相比较,GRC平台在功能覆盖面与业务集成度等方面均大大提高,内部审计仅是其功能之一,其功能还包括风险管理、合规管理等其他方面;GRC系统用户除了内部审计师之外,还扩展到财务和业务等其他职能部门。
目前较为成熟的GRC解决方案如表2所示。
在GRC领域,国内厂商也纷纷推出自己的产品或解决方案,如用友宣称NC5.5支持内部控制与风险管理解决方案,支持《企业内部控制基本规范》;金蝶ERP产品将集成全面预算管理,支持不同资金管理模式、支持多层面的财务报告体系、支持支出循环内部控制、支持增值循环内部控制等并作为其GRC管控产品的五大关键性应用;办公及管理自动化应用厂商慧点科技也结合自身产品推出GRC方案与工具框架。
三、内部审计管理工具的开发与应用
一般而言,内部审计管理工具的开发应用可简要分为规划、实施和应用三个阶段。以下结合某金融集团内部审计管理工具开发应用全过程作简要介绍。该集团规模庞大,下属多个专业机构,业务覆盖银行、保险、投资等多个领域。该集团内部审计体系采用双轨制,组织机构包括集团审计部和各子公司审计部。集团审计部总体负责审计业务管理。为了提高内部审计管理质量和水平,决定建立内部审计管理平台。
1、规划阶段。集团审计部组建了项目团队,由首席审计官领导,并任命有丰富经验的项目经理。项目成员分为业务组和技术组两个小组,业务组成员为各个机构的审计专业人员,技术组成员由需求分析人员、系统设计人员、开发人员和测试人员组成。规划阶段的主要任务是完成可行性分析和方案论证。可行性分析内容包括审计管理平台的业务可行性、技术可行性和投资效益分析。方案论证工作包括:(1)进行市场调研和国内外同行调研,了解审计管理平台在国内外的发展。(2)项目研究,提出三种方案,A:选择供应商的成品软件;B:审计部独立开发一套审计管理平台;C:在公司现有办公信息系统基础上扩充开发,增加审计管理模块。经过各方面多次论证比较,选择方案C。项目组进一步对方案C进行了细化,明确了项目资源、进度以及预算,进入系统实施阶段。
2、实施阶段。主要完成系统的开发和部署。系统开发,首先需要进行系统的需求分析论证,此工作由业务组和技术组合作完成,经过反复论证后得以确认,形成需求规格说明。系统设计人员根据需求规格说明进行设计,程序员根据设计文档编写代码。代码完成编写后进行单元测试、集成测试,然后提交测试人员进行验收测试。只有达到验收标准才标志着系统开发完成,可以部署到生产环境投入正式使用。系统部署前,业务组和技术组还要进行数据整理和转换,整理所有相关的历史数据并导入到系统数据库。系统部署到生产环境后,由内部审计人员试用一段时间,确认达到设计目标后投入正式使用。
3、应用阶段。为了保证系统应用效果,项目组对审计人员进行各种形式的培训,并提供详细的用户手册和技术支持,审计人员在使用管理平台的过程中遇到任何问题,都可以得到专业人员的帮助。为了保证系统的信息可靠完整,所有相关的内部审计工作必须通过审计管理平台进行管理,包括年度计划、项目计划、审计程序编制、审计程序执行、工作底稿的编制和复核、审计证据、审计报告、审计发现、整改跟踪、项目归档等。
四、内部审计管理工具在应用中需注意的事项
1、应统筹规划内部审计管理工具在企业系统架构中的地位。企业系统架构由多个应用系统构成,如ERP系统、办公系统、决策支持系统等。内部审计管理工具与其他应用系统之间可能进行数据交换,如审计人员需要根据ERP系统中的信息进行风险评估,也需要查阅办公系统中的审批文件,监控系统访问权限情况;管理层在决策时也需要参考审计报告和审计建议。因此,应该在一个整体的、集成的信息系统架构下规划内部审计管理工具,优化信息在系统内以及系统间的流动,避免信息孤岛,增加内部审计价值。
2、应平衡审计管理需求的灵活性与软件功能的局限性。审计人员的工作高度依赖个人经验和专业判断,项目计划较粗、项目执行灵活性大等诸多因素导致流程难以固化。因此,在系统规划阶段应定义合理的期望值和系统的功能边界,明确哪些功能必须通过系统实现,哪些功能可以保留手工。从目前市场主流产品看,系统提供的自动化功能主要集中在审计文档管理、统计报表等方面,而风险评估、计划管理、资源调度、质量保证、整改跟踪等仍以手工为主,系统功能为辅。
3、应充分考虑内部审计管理工具对审计风险的影响并采取控制措施。审计风险是指审计人员对被审计事项发表不恰当意见的可能性,由固有风险、控制风险和检查风险构成。审计人员使用审计管理工具进行风险评估和项目计划、执行、报告等活动,如果应用不当可能增加审计风险,如系统功能缺陷、数据完整性、操作失误等。因此,必须对审计管理工具(软件)的应用进行足够的控制,如选择成熟的技术或解决方案、在正式上线之前进行充分测试、在系统中增加校验功能、加强人工复核等。
内部审计是否成功最根本的决定因素在于审计人员的专业素质,内部审计管理工具只是扮演支持和辅助的角色。但是,功能日益强大的内部审计管理工具在项目管理、文档管理、信息处理、知识管理、协同工作、沟通、质量管理等方面都为审计人员提供有力的支持。可以预见,随着新技术的发展和应用,内部审计管理工具将为内部审计工作的有效开展提供更大的协助与支持。
标签:内部审计论文; grc论文; 审计质量论文; 审计计划论文; 审计软件论文; 审计目标论文; 审计流程论文; 管理审计论文; 工作管理论文;