集成化内部审计报告系统的构建与应用,本文主要内容关键词为:审计报告论文,集成化论文,系统论文,此文献不代表本站观点,内容供学术参考,文章仅供参考阅读下载。
一、引言
当前,内部审计报告有两种发展趋势:一种是严格的标准简式审计报告,即内部审计人员出具标准的简式审计报告,不能随意改动审计报告的格式或内容。另一种是适应不同需求和内容、结构多样、格式和形式多变的内部审计报告体系。多样化内部审计报告体系中,明确规定内部审计人员的责任和理念,而不对内容与形式等做固定的要求,内部审计人员可以根据审计委员会的要求和单位具体情况出具内容和形式适当的内部审计报告。本文针对后者,研究适应当前信息化环境和企事业单位快速发展需要的集成化内部审计报告系统的构建与应用。
二、多样化内部审计报告体系的组成
国际内部审计师协会(IIA)于2009年发布国际内部审计专业实务框架(International Professional Practices Framework,IPPF),其中的职业道德规范、属性标准和工作标准为编制内部审计报告提供了指导。职业道德规范指出了首席审计执行官(Chief Audit Executive,CAE)、内部审计人员在实施内部审计和发布报告时的职责和特性。属性标准和工作标准直接规定了内部审计与董事会、管理层之间的关系和信息交流,明确了内部审计的沟通渠道及信息交流与发布的标准。根据IPPF,内部审计报告的内容是丰富多样的,主要报告内部审计计划执行、内部审计成果、内部审计调查、内部审计问题跟踪、内部审计事务等。
1、内部审计计划执行报告。IIA全球审计信息网络(Global Audit lnformation Network,GAIN)2008年针对约850名CAE所做的“审计委员会报告实践”调查表明:89%的被调查者对照审计计划检查内部审计的执行情况,向审计委员会报告其工作状态。而且审计计划作为内部审计工作的起点,常被用来评估内部审计职能的履行情况。内部审计计划执行报告可以显示审计计划与风险评估方法的一致性、内部审计工作与其他工作(如外部审计小组、风险管理小组、内部控制小组等)的一致性;可以向审计委员会报告资源(包括人员、工具、技术等)的需求与使用,尤其是高风险的事项需要额外的资源;可以揭示内部审计工作的完成率、覆盖率,还可以实现对内部审计工作效率的量化度量。内部审计计划执行报告有多种形式,比较简洁高效的有两种:(1)内部审计计划动态更新表。在内部审计计划动态更新表中分解审计计划的任务,确定每项任务的风险等级及执行状态,此外,还需记录每项任务的开始日期、结束日期及审计发现等。内部审计人员定期检查计划执行情况并更新该表,或者在识别出新的、紧急的风险时更新该表。内部审计计划动态更新表可以动态表现内部审计计划执行情况,并关注风险。(2)焦点列表。内部审计部门基于风险制订审计计划,焦点列表是风险评估的一个结果,焦点列表所列事项应该是内部审计、审计委员会最关注的重大风险点,一般不超过10个,焦点列表与内部审计计划紧密相关。焦点列表中,有的事项是由于以前的审计或调查而使得问题已经显而易见,有的则是由于组织内部或外部变化所引发的风险。如果问题得到解决、处理并进入稳定状态,就可以从列表中删去。焦点列表可以使内部审计预先积极地处理风险,从而有效地增加内部审计的价值。
2、内部审计结果报告。2008年GAIN的调查表明,所有被调查者都以一定的方式向审计委员会报告内部审计结果,但报告方式差异很大。主要方式有:(1)提交所有审计报告的全文。(2)提交重要审计报告的全文,其他则只提交报告的摘要。(3)提交所有审计报告的摘要。(4)提交重要审计报告的摘要,其他则只提交报告的链接。(5)提交所有审计报告的链接。调查显示,规模越小的内部审计部门越倾向于提交所有审计报告的全文。内部审计结果报告是对本单位各部门的工作情况做出客观、公正、准确的结论,并提出及时、合理、有效的改进意见和建议。一般的内部审计结果报告中首先是概要,通常包括审计目标或目的、审计范围及审计重点等,有时还会有背景介绍。报告主体由审计发现问题和建议等组成,应该分析根本原因和系统风险,并提出整改措施。有时,这两部分之间还加入审计方法、审计证据等。总之,内部审计结果报告编制、发布的规范性与合法性必须得到保证。而且,无论采用哪种报告方式,都必须进行阶段评审。
3、内部审计调查报告。大多数内部审计部门都会对调查活动的概况和结果提交报告。在2008年GAIN的调查中,50%的被调查者表示,调查报告包含所有调查活动的基本情况和结果;36%的被调查者则表示,调查报告只包含重要调查活动的状态和结果。调查报告须描述关键问题的调查结果,并注意信息的分类。调查报告常采用表格、图形的形式表达多维的调查结果信息,以增强报告的可理解性。
4、内部审计问题跟踪报告。管理层对审计发现的问题及整改进度、管理层的行动计划及执行情况等都是问题跟踪报告所关注的内容。问题跟踪可以推动问题的解决进程、提高过程控制能力、加强审计监督作用。在2008年GAIN的调查中,78%的被调查者表示对问题跟踪情况进行报告,审计委员会也越来越重视问题跟踪报告。典型的问题跟踪报告内容主要有:未解决的问题、严重度、风险级别、处理过程、业务单位等。除了日常的问题跟踪报告,还可以实施年度问题跟踪报告,关注长周期中的审计问题处理情况与发展趋势。
5、内部审计事务报告。在2008年GAIN的调查中,78%的被调查者表示向审计委员会报告内部审计人力资源和其他资源问题。此外,内部审计人员的工作部署与职业发展也是内部审计事务报告的组成部分。内部审计部门必须维护质量保证与过程改进的工作程序,并对此进行报告,这样才能满足IIA《国际内部审计专业实务标准》(International Standards for the Professional Practice of Internal A uditing)的要求。
6、内部审计对教育和战略的贡献报告。内部审计报告的对象来自不同的层次和部门,其知识结构、专业经验等有一定程度的差异。为了使其更好地执行业务流程、理解内部审计报告,需对审计信息提供必要的注解,并介绍相关的最佳实践、业务环境、公司治理、风险和控制模型等,这对相关部门和人员都有积极的教育意义,内部审计报告中应体现内部审计对组织各部门及其相关人员的教育指导作用。充分发挥内部审计的监督、鉴证和控制职能,可激励组织加强控制和治理,降低风险,促进组织战略目标的实现。例如,很多内部审计部门会帮助组织建立符合《萨班斯—奥克斯利法案》404条款的工作程序,或者帮助组织建立并推动企业风险管理。内部审计报告中应该对内部审计在组织战略目标的确立及实现过程中所做的工作和贡献进行报告。
三、集成化内部审计报告系统的构建
对内部审计报告的编制、审批、发布、跟踪与反馈,可以采用一般的文档管理方式实现。这种方式成本较低,但由于主要依靠人工管理,效率也低,因此,只适用于规模较小、工作流程简单、成本要求较低的组织。在信息化环境下,各企事业单位致力于信息化建设,建立新型的集成化内部审计报告系统,能提升内部审计管理的信息化水平,提高内部审计工作效率,促进内部审计成果的转化。
1、系统架构。首先,内部审计报告系统可采用BlS结构或C/S结构。B/S结构即采用浏览器朋艮务器模式,适用于信息化程度比较高的单位,无论内部审计人员在哪个地点,只要有网络连通,就可以通过浏览器Web页面进入内部审计报告系统阅读各个内部审计报告,并进行内容的增加、修改等操作。C/S结构即采用客户机/服务器模式,适用于信息化程度比较低的单位,内部审计报告系统安装在服务器和内部审计人员所使用的客户机上,实现客户端与服务器端的信息交互。其次,内部审计报告系统采用“推—拉”(PUSH-PULL)双向模式,也就是说,系统可以将报告主动“推送”给相关人员,系统也会主动将相关人员的反馈信息再“推送”给报告发送者或其他责任人;同时,相关人员可以从系统中“拉取”需要查看的报告和关键信息。集成化内部审计报告系统的结构示意图如图1所示。系统核心模块是集成的内部审计报告体系,即包括审计计划执行报告、审计结果报告、审计调查报告、审计问题跟踪报告、审计事务报告、审计教育与战略贡献报告等。整个内部审计报告系统建立在可扩展的审计信息化平台数据库的基础上,既可以选择报告体系中的一部分,也可以继续扩展新的报告子模块。因此,内部审计报告系统可以与审计管理系统、审计作业系统等进行集成。此外,内部审计报告系统还需要权限管理、流程管理等模块的协同工作,实现内部审计报告系统的集成报告功能以及在信息交互、综合分析、知识管理等方面的应用。
图1 集成化内部审计报告系统的结构示意图
2、权限管理。(1)企事业单位内部相关部门共享内部审计信息,有助于各相关业务部门、工作小组以及所有相关人员协同工作、产生凝聚力。需要注意的是,好的内部审计报告系统应该在保证及时有效发布报告的同时,确保访问报告的正确性和安全性,这就需要有严格的权限管理,从而保证不同人员和角色对内部审计报告的访问是合理且安全的。(2)集成化内部审计报告系统的报告对象是多层次的,有审计委员会、高级管理层、各部门负责人、风险管理小组、内部控制小组、各部门相关人员等,再加上内部审计部门本身。权限管理中需要对这些不同的部门、小组和人员设定角色,设计角色权限表,实现统一授权、统一管理。根据“权限最小”原则设置对报告的修改、审批、删除等操作权限,报告阅读权限则可适当放开,便于组织内部共享审计信息,但是,对敏感数据则必须进行保密限制。(3)内部审计报告权限管理还可以采取分级设置策略。在设置总权限的基础上,再针对不同类型的内部审计报告分别设置不同的权限,从而实现更加系统、严密的权限管理。
3、流程管理。流程管理帮助企事业单位进行流程分析、流程定义和重定义、资源分配、时间安排和流程优化等。内部审计报告系统中为报告的编制、修改、审批、发布等规定合理的工作流程,各部门、小组、人员按照流程规定协同运作,在流转的过程中,内部审计报告的内容、状态也随之产生相应的变化。企事业单位可根据自身的组织结构和特点定制内部审计报告流程,所有的内部审计报告可采用相同的流程进行统一管理,也可以分别针对每一类内部审计报告定义特定的工作流程,从而实现复杂的个性化的流程管理。此外,报告流程还需要随着内外部环境、组织结构和目标等的变化而不断优化。
四、集成化内部审计报告系统的应用
集成化内部审计报告系统不仅是一个内部审计报告的存取与发布系统,还是内部审计信息交互渠道、信息分析系统和知识管理基地。对集成化内部审计报告系统的扩展应用,可以充分挖掘内部审计报告的潜在价值。
1、内部审计信息交互。在内部审计报告系统中,通过对工作流程的优化设置可将内部审计信息反馈流程嵌入到日常的报告流程中,并借助于“推—拉”双向报告模式,实现内部审计信息的有效交互。报告系统可将各报告主动“推”给相关人员,还可向他们“拉”反馈信息;各级人员可将报告或反馈信息主动“推”入系统,还可从系统中“拉”出需要的信息。广泛收集对内部审计计划及其执行、内部审计结果、内部审计调查报告、内部审计问题跟踪、内部审计运作以及组织战略等多方面的意见和建议,建立信息化环境下的内部审计信息反馈机制,将高效地获取对内部审计的多角度、多层次的信息反馈,并可作为信息分析和组织决策的基础。
2、内部审计信息的综合分析。报告系统所收集的大量内部审计报告及反馈信息绝不能在系统数据库中“沉睡”,而必须要进行科学的信息处理和综合分析,发掘其所蕴涵的规律和知识,揭示工作中的问题和不足。报告系统在规划设计阶段就需要考虑到对内部审计信息的综合分析,应注意选取合理的信息组织方式,设立信息综合分析模块。报告系统采用结构化的信息组织方式,将内部审计计划执行、内部审计结果等系列报告中的要素进行分解和关联,将关键信息存储到审计信息数据库预先设计好的字段和表中。在此基础上采用信息分析、数据挖掘等技术,实现对内部审计报告信息的及时处理,寻找信息间的内在联系。以往的内部审计报告多是一事一报,在据以提出审计意见和审计决定后就存入档案,故而缺乏对内部审计报告的横向与纵向综合分析。集成化内部审计报告系统可以对报告进行横向与纵向多层次、多角度的综合分析,及时有效地发现普遍性、倾向性的问题并深入剖析,得出的结论更具有宏观性、更有说服力。
3、知识管理与分享。报告系统中所积累的报告包含大量审计数据、审计方法,还包含内部审计从计划、实施、报告到后续审计的所有工作程序,是内部审计人员工作过程与成果的记录,是组织运营与管理的见证,蕴涵着内部审计人员与组织在成长和发展过程中所累积下的宝贵经验与知识。报告系统应该是一个积累并传播内部审计知识和经验的系统,或者成为知识管理系统的一个基础或组成部分。有意识、有计划地借助集成化内部审计报告系统对内部审计知识和经验加以广泛收集、集中管理、充分分享和有效传承,将有利于加强内部审计人员解决问题、分析问题的能力,提高内部审计工作效率,促进组织更加健康快速地发展。
五、结束语
基于审计信息化平台的集成化内部审计报告系统,综合集成了内部审计计划执行报告、内部审计结果报告、内部审计调查报告、内部审计问题跟踪报告、内部审计事务报告、内部审计对教育与战略的贡献报告等,具有信息交互、综合分析及知识管理等多种扩展应用。企事业单位可以根据自身的需求和特点,对报告体系的组成进行调整,设置权限、定制流程,并对系统开展进一步开发和应用。
标签:内部审计论文; 审计报告论文; 审计计划论文; 审计方法论文; 审计目标论文; 流程管理论文; 相关性分析论文; 审计流程论文; 跟踪审计论文; 审计职业论文; 信息集成论文; 审计委员会论文;