基于现代信息技术的内部审计方法体系建构研究

夏一铭（广东财经大学华商学院 广东广州511300）

一、引言

管理信息系统是现代企业的神经中枢，它支撑着企业经营活动的开展和各项管理职能的履行。内部审计是为了确保企业管理信息系统正常运作，经济决策信息正确生成和传递，并防止因营私舞弊而有意制造虚假信息的经济纠察系统。现代信息技术的迅速发展，使内部审计技术发生了一系列变化，如电子数据的获取、筛选和舞弊疑点的侦查与鉴证，均需要借助现代审计技术予以保证，基于现代信息技术的内部审计制度和方法应运而生。

党的十九大报告提出，要“全面增强执政本领，善于运用互联网技术和信息化手段开展工作。” 2018年5月，***总书记在中央审计委员会第一次会议上指出，“要坚持科技强审，加强审计信息化建设，积极推进大数据审计；要加强对内部审计工作的指导和监督，调动内部审计的力量，增强审计监督合力。”有关学者对信息技术与内部审计的关系也进行了研究。王永生（2014）认为，在审计作业中，有必要将计算机技术充分利用起来，对传统内部审计流程进行优化和改变。陆明会（2017）认为，在信息化、数字化、财会电算化环境下，内部审计面临着前所未有的挑战， 确保审计对经济的正常监督， 让经济活动随时随地受到审计监督， 确保其健康运行，是全社会共同的责任。陈伟（2016）认为，随着被审计单位信息化趋向普及，审计对象的信息化使得审计信息化成为必然。魏昭（2019）认为，随着未来计算机行业的发展，智能化审计也会随之发展。由此可以看出，现代信息技术的发展，使审计环境和审计技术发生变化，这就要求我国大中型企业必须要强化内部审计部门的信息化建设，合理利用现代企业良好的互联网优势，搭建起功能完备的信息化审计方法体系，让内部审计发挥应有的监督、评价作用。

二、现代信息技术环境下内部审计面临的问题

现代信息技术，包括计算机应用技术和通讯技术的广泛应用，解除了信息获取、解析和应用的种种限制，使经济信息实时传输、快速处理和全方位共享成为可能，并极大地降低了经济信息的获取和传输成本，对企业的经营管理产生了重要影响，同时也使内部审计面临着一些新的问题。

（一）信息技术可靠性评价未能引起足够的重视

信息技术包括计算机硬件、软件、网络传递及保密技术。近年来，随着信息技术的广泛应用，企业日常账务处理的实时性、正确性和可靠性大幅提高，人为干预因素大大降低。然而，由于计算机硬件、软件及网络技术本身存在着一些脆弱性和易受攻击性，如易受电脑病毒感染、易遭受恶意侵害和攻击等，使得会计信息的获取技术、加工技术和传输技术本身应成为内部审计关注的重点和被审计对象，但是目前，信息技术的可靠性评价并未引起足够的重视。因而在制定内部审计程序时，必须密切注意这些薄弱环节或关键点，并制定相应的事中保护程序和事后审计程序。

（二）穿行测试程序通常不被视为内部审计的必要环节

信息技术的使用，提高了内部审计的覆盖面，保证了审计证据采集的独立性，并提高了数据分析的可靠性，从而极大地提高了审计工作的效率，但在当前信息技术条件下，审计信息均存储于磁性介质上，有可能会遭受人为的毁损或更改，或因黑客攻击而变形，也可能会因为操作失误而丢失。为防止这些问题的发生，必要的穿行测试程序必不可少，也就是说，在正式审计工作开始前，应将已知结果的经济数据输入计算机数据处理程序，然后将数据处理结果与已知输出标准加以对比，据以审查数据加工程序的正确性和可靠性。然而目前，穿行测试程序并没有被视为内部审计的必要环节。

（三）熟悉现代审计方法的内部审计人员相对缺乏

当前，我国缺乏既掌握现代审计方法，又精通计算机技术的新型复合型内部审计人才。究其原因，一是我国内部审计人员大都由财会专业人员构成，所掌握的知识体系较为单一，虽然他们的会计、审计知识较为丰富，但是计算机应用知识和技能常常达不到应有的水平，也不熟悉会计信息系统的特点和风险所在，难以适应信息化环境下内部审计的要求，难以发挥审计软件应有的作用。二是现有的内部审计软件大都是由计算机人员开发的，他们缺乏系统的财务、会计、审计业务知识，开发出来的内部审计软件的专用性强，但实用性和可操作性较差，有些内部审计软件甚至只能针对特定业务进行审计，难以对被审计单位的经济活动进行全面的审查和整体判断。

（四）适应现代信息技术的内部审计方法规范体系尚未形成

现代信息技术的广泛使用，改变了内部审计的流程和方法，急需建立适应新信息技术环境的指引性内部审计规范，但在我国现有的内部审计法规体系中，却缺乏国家层面的相关法律、法规或其他制度规范。如《审计法》及《审计法实施条例》中，没有将开展信息化审计的要求和技术正式列为内部审计规范的基本内容；没有对信息技术环境下内部审计的地位、适用范围及操作方法做出明确的规定；没有根据内部审计环境的变化对内部审计的法规进行相应的配套改革；在审计署关于内部审计工作的有关规定中，也没有制定信息技术环境下的内部审计实施细则，更没有具体可操作的工作规章。

三、现代信息技术环境下内部审计的程序与方法

（一）现代信息技术条件下的内部审计工作程序

基于本单位及所属分支机构的计算机辅助审计，目前已成为国内外内部审计领域中的一个重点问题。2014年12月，我国审计署专门增设了相应的管理部门——电子数据审计司，其主要职责为：组织开展审计业务电子数据的采集、验收、整理和综合分析及利用，从而为我国大中型企业基于电子数据开展内部审计工作奠定了基础。审计人员在利用计算机辅助审计技术开展内部审计时，为了不影响本单位会计信息系统的正常运行，保持内部审计的独立性，应将所需的被审计内部单位的相关电子数据采集到内部审计专用的计算机中，然后利用内部审计软件对其执行审计分析程序，其基本原理如图1所示。

图1 计算机辅助审计条件下的内部审计工作程序

（二）远程联网条件下的内部持续审计

在传统的内部审计方式下，大中型企业内部审计部门通常会根据审计业务的需要，派审计人员到被审计单位现场获取相关电子数据，然后对这些数据进行预处理并开展数据分析，以获得相关审计证据，这种审计方式通常被称之为现场电子数据审计。随着信息技术的飞速发展，内部审计逐步向实时、持续、动态的方向发展，远程联网持续审计（ContiunousAuditing，CA）成为内部信息化审计的一个重要发展方向。远程联网持续审计通常指内部审计机构通过审计系统与财务管理信息系统（FMIS）或ERP系统实现系统对接，然后利用通用或专用内部审计软件对被审计单位或部门信息系统的相关数据进行检查，据以独立、实时、远程、高效地收集相关审计信息，并按照预定的审计目标、审计方案访问和分析数据，查找审计线索，报告审计情况，最终实现对被审计单位系统和数据的综合评价。其原理如图2所示。

图2 联网（持续）审计实现原理

（三）内部审计数据的可视化技术

现代信息技术的发展促进了可视化技术的应用，通过可视化界面有助于对大量复杂数据进行分析。现代信息技术环境下所采集的审计数据无论在数量上还是在复杂程度上都远远超过传统审计数据。可视化审计分析有助于将审计数据的内涵或基本规律直接呈现在审计人员的眼前，并通过图表形式描绘隐藏在审计数据背后的基本规律。一般情况下，采用可视化手段进行信息数据分析的流程如下：（1）通过某种可视化软件将被审计数据转化为审计人员可以分析观察的图形和图像。（2）审计人员结合自己的背景知识，通过视觉系统对可视化的图形和图像进行分析、观察并认知，从总体上理解和分析被审计数据的内涵和特征。（3）审计人员交互地改变可视化软件的设置，改变输出的可视化图形和图像，从不同角度对被审计信息数据进行分析，最终实现全面、系统地理解被审计数据的目的。具体流程见图3。

图3 审计信息数据可视化分析流程

四、基于现代信息技术的内部审计方法体系的建构

基于现代信息技术的内部审计方法体系应建立在现代大中型企业内部治理及风险监控体系的基础之上。现代信息技术及其监控体系包括内部控制评价、审计数据收集、审计数据处理、可视化数据分析和内部审计报告五个子系统。各个子系统的关系如图4所示。

图4 基于现代信息技术的内部审计方法体系

（一）网络安全监测分析审计系统

负责检查信息系统的安全性、稳定性和有效性，具体包括：鉴别非授权操作及其目的；将非授权操作信息及时反馈到内部审计管理中心予以鉴定；对非授权操作所引起的操作结果进行恢复。

（二）内部审计部门信息数据采集系统

审计数据采集系统主要负责实时采集被审计单位或部门的经济管理、财务与会计等各项经济业务现场数据信息，并按数据交换固定的格式汇总到内部审计部门网络数据中心机进行分析。具体包括：（1）审计基础数据，如内部单位的组织结构、人员配备及其基本职责等情况，以及各内部单位业务数据的组织、存储及传输情况。（2）审计数据采集，包括审计数据接口、应采用数据库访问技术和数据采集技术等。（3）数据存储技术，包括数据整理、转换、验证、排列和存储技术等。（4）数据分析技术，包括结构化查询语言（SQL）及审计软件应用技术等。（5）内部审计报告，包括确定内部审计报告的审计对象，并根据不同审计报告对象的职责、权利和对审计信息的不同需求选择内部审计信息的报告内容和形式。

（三）内部审计部门网络中心信息数据处理系统

审计数据处理系统主要包括5个子系统：（1）企业内部控制符合性测试子系统。主要负责采集被审计单位内部控制制度是否科学、合理和完善，即企业内部控制是否符合企业生产经营的实际需要和国家法律法规的相关要求；内部控制程序是否合理有效等。并将样本数据按规定格式传输到网络数据中心，然后将所生成的数据与真实结果进行对比检查，据以测试数据获取程序的正确性和各项业务数据的符合程度。（2）会计指标监控子系统。主要负责对本单位财务状况、经营成果和现金流量的基本情况进行实时监控，并将相关数据通过内部网络传送给内部审计人员和经授权可查看的管理人员，增加审计监督力度。（3）审计风险分析预警子系统。建立一套敏感性较强的实时监控指标和风险预警指标，通过网络系统对现场和非现场进行监控，并对所取得的企业内部管理的各项财务数据进行监控。（4）监管监督指标体系子系统。主要负责审计关键指标、审计风险检测指标、实时监控指标、日报指标、旬报指标、月报指标、季报指标、年报指标、审计风险评价标准以及国际上公认的各种量化监督指标的监管，防范审计风险。（5）审计综合信息查询子系统。将各种通过内部审计采集到的静态和动态信息，经过整理后及时提交到备查信息库，以便让信息使用者根据自身的需要及时获取相关审计信息。

（四）可视化信息数据分析子系统

主要负责对已经采集到的各项信息数据转化为内部审计人员可以分析观察的图形和图像，并进行交换处理，向上传输数据，向下或同级接收和反馈数据，并进行数据分类汇总处理等，建立起完备的历史数据库和实时数据库站，供审计人员更快、更准确地从被审计数据中发现审计线索。

（五）内部审计报告系统

负责生成内部审计证据信息、内部审计结论和内部审计建议。其中，内部审计证据信息是审计报告系统的基本支撑，也是得出内部审计结论的主要依据；内部审计结论是内部审计报告系统的核心，是审计证据分析结果的自然延伸；内部审计建议是内部审计结论的补充，是内部审计人员在对被审计单位或部门经济活动的合法性、合规性和效益性做出鉴定意见后，向单位管理者提出的管理改进建议；同时也是内部审计人员表明自己已经恪尽职守的重要证据。

五、现代信息技术环境下内部审计工作的展望

随着现代信息技术的不断发展，内部审计技术也随之快速进步，因此，内部审计人员应迅速适应内部审计环境的变化，及早掌握并积极探索适应新的经济环境的内部审计技术和方法。

（一）内部审计环境的变化呼唤新的内部审计指引出台

随着“大、智、移、云、物”现代信息技术的发展，我国大中型企业的内部审计环境随之发生了一系列变化，进而要求有利于单位开展内部审计工作的审计规范、审计程序、审计方法和审计重点也应随之改变。目前我国内部审计指引大都是基于传统的审计环境和审计对象制定的，往往无法适应现代审计环境下的内部审计需要，因而迫切要求依据新的审计环境制定新的内部审计指引，以便为随着技术进步而不断变化的审计工作提供法律依据，同时为审计人员在信息技术环境下运用信息技术实施具体审计业务提供操作指导。

（二）内部审计重点的改变要求及时改变审计程序和方法

面对大中型企业以电子数据为主要载体的会计信息，内部审计人员必须熟悉电子数据的采集、验收、整理和综合分析等手段；面对企业整体及分支机构提供的经济活动资料，内部审计人员应能对相关数据进行独立、实时、远程、高效的审计和评价；面对企业内部提供的可视化审计资料，内部审计人员应能通过图表形式揭示并描绘隐藏在审计数据背后的基本规律。

（三）内部审计对象的改变要求构建全新的内部审计方法体系

内部控制评价内容的改变，要求构建全新的网络安全检查子系统、内部控制设计合理性测试子系统；审计数据来源和表现形式的变化，要求建立全新的审计数据采集子系统；审计对象的电子化和数据化，要求建立全过程会计指标监控子系统、审计风险分析预警子系统和审计综合信息查询子系统；可视化技术的进步和广泛应用，要求内部审计人员能够广泛利用可视化技术监测本单位经济运行的合法性、合理性和有效性；随着第五代移动通信技术（5G）的出现，内部审计技术方法、审计程序也会随之改变，新的信息技术、内部审计方法将构建企业内部集中统一、全面覆盖、权威高效的内部审计监督体系，为企业经济保值增值保驾护航。