中国内部审计信息化发展报告

图１ 我国内部审计信息化的典型应用系统

一、引言

信息技术改变着组织的控制环境、控制活动和信息沟通方式，大力应用信息技术是开展内部审计工作的必然选择。内部审计信息化是内部审计机构以促进组织完善治理为目标，运用现代信息技术，变革内部审计业务实施、审计管理以及支持

审计决策的过程。内部审计信息化

的目标是提升内部审计促进组织改善治理，提高组织风险管理和内部控制能力，保障内部审计为组织战略实现发挥更大价值。内部审计信

息化的建设内容主要包括应用系统、信息资源、网络基础设施、标准规范和信息化管理体制等。通常来说，应用系统、信息资源和网络基础设施是三大核心建设内容，标准规范和

管理体制建设是内部审计信息化健康持续发展的必要保障，五者相互关联，是内部审计信息化的有机组成要素。

近年来，内部审计理念发生了显著变化，　２０１３年修订的《中国内部审计准则》也明确指出“内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实

现目标”

，内部审计理念正在向治理、风险与价值转变，从单纯“查错

中国内部审计信息化发展报告

◆ 中国内部审计协会

纠弊”走向风险防范和增值服务；同时，以云计算、大数据等为代表的新一代信息技术正在蓬勃发展，也为当前内部审计信息化的技术升级注入了全新活力。新兴信息技术运用和内部审计理念的发展，既是内部审计信息化面临的新挑战，更为它带来新的发展机遇。

２０１３年，中国内部审计协会以“内部审计信息化”

为主题开展理论研讨活动，以加强实务工作和理论研究的紧密结合，增进先进经验的总结和交流，这次活动共收到论文

２８２篇。

本报告以参与此次活动的研讨论文为样本和案例，同时，也参考了部分国有企业工作经验，归纳总结了我国内部审计信息化应用平台的现状及动态，提炼内部审计信息化的典型应用框架，梳理内部审计

信息化的发展演进脉络及发展方向。二、内部审计信息化应用框架

（一）我国内部审计信息化平台的应用状况

目前全国内部审计信息化建设发展很快，审计管理软件和各种计算机辅助审计软件得到了广泛使用。

此次主题研讨论文反映了我国内部审计信息化实践的不同方面，从信息化平台角度来看，主要有以下六个方面的特征。

１．内部审计信息化的应用系统主要聚焦于两大领域十个方面。审计管理和审计业务实施是内部审计信息化的两大应用领域，审计管理的数字化和业务实施的计算机辅助审计化构成了内部审计信息化的基本应用框架。对论文案例的统计显示，内部审计

信息化实践主要聚焦于两大领域十个

方面的应用系统建设，如图１所示。

２．各系统普及率存在明显差异，当前内部审计信息化的核心应用是项目管理、现场审计作业、审计分析和持续审计监控系统。根据来自通信、金融、证券、保险、石油和电力等８个行业的３８家企事业单位提供的内部审计信息化平台经验总结材料，进一步分析发现图１中１０个应用系统的普及率有明显差异，项目管理系统、现场审计工具、审计分析平台和持续审计监控平台这四个系统的普及率超过５８％，它们是当前我国内部审计信息化建设中的核心应用系统。尤其是项目管理系统和现场审计工具，往往是各内部审计机构信息化建设的切入点。

３．审计业务实施的计算机辅助审计程度正在深化，持续审计监控、智能分析平台越来越受到重视。计算辅助审计技术（ＣＡＡＴｓ）有两类——面向数据和面向系统。面向数据的ＣＡＡＴｓ技术通常具有数据采集、查询分析、数据挖掘、数据抽样和持续监控等功能。目前被广大内部审计机构普遍使用的现场审计作业软件通常具有自动生成底稿、数据采集和查询分析等功能。随着审计信息化不断发展，非现场审计成为内部审计现代化转型的重要途径，ＣＡＡＴｓ应用正在由简单数据查询走向复杂模型运算和远程监控分析的综合应用。

图２显示，平均约６１％的企业已实施了持续审计监控和智能分析平台，能实现复杂数据模型计算的分析平台，对财务业务风险持续监控系统、嵌入式审计系统等应用有了明显进展。例如，中国工商银行的审计监测系统，通过监测模型库和监测指标库，可对全行主要机构与核心业务开展定期的常规风险监测，也可有针对性地选择重点机构与重

点领域开展不定期专项风险分析。

中国建设银行的非现场审计系统

（ＯＡＳ）包括数据调集、派生指标计

算、审计分析、审计查询和风险评估

等功能模块，基本替代了审计数据

的手工查询和分析，为现场审计提

供翔实的线索。此外，中国石油化工

集团公司开发的基于ＳＡＰ系统的嵌

入式审计系统（ＡＩＳ），可对ＥＲＰ系

统各业务模块进行在线查询、对比

与分析，开创了ＥＲＰ系统远程审计

的先河。

４．关注信息安全和ＩＴ风险，信

息系统审计正在起步。各类信息系

统是企业管理和业务经营活动的运

行载体，其安全性、可靠性和合规性

直接关系到企业正常运营和持续发

展。对ＩＴ密集型企业的内部审计机

构而言，开展信息系统审计是控制

组织风险的重要工作，但传统审计

方法在这方面难有作为，一直以来

开展的不太多。

论文案例中有少数企业已开展

了多年的信息系统审计工作，主要

分布电信企业和石化企业等，部分

企业还开发了面向信息系统审计的

ＣＡＡＴｓ技术工具。例如中国移动通

信集团浙江有限公司采用ＩＴ技术手

段对主机和网络设备的安全配置及

漏洞、网络渗透性进行测试；开展主

机、应用系统的账户权限安全审计。

此外，广州市地下铁道总公司借鉴

ＣＯＢＩＴ标准构建信息系统审计内容

框架，并针对ＨＰ－ＵＮＩＸ、Ｗｉｎｄｏｗｓ

ＮＴ、Ｏｒａｃｌｅ　ＤＢ、ＳＱＬ　Ｓｅｒｖｅｒ等系统

建立标准化审计程序甚至测试脚本，

以提高信息系统审计工作的效率。

５．开始关注内部控制的合规

性，为内部控制合规审计提供自动

化工具。２０１３年修订的《中国内部

审计准则》明确提出内部审计机构

“对内部控制设计和运行的有效性进

行审查和评价，出具客观、公正的审

计报告，促进组织改善内部控制”。

这是现代内部审计理念的要求，也

是我国企业遵从国家内部控制规范

的需要。目前形势下，少数企业比如

中国移动通信集团浙江、广东有限

公司等，为使公司的内部控制记录、

测评、审计、报告、披露和归档等方

面达到《萨班斯法案》或中国内部控

制规范的要求，探索开发了内控测

试平台，通过标准化测试步骤、规范

测试底稿、组织安排内控测试计划。

６．开始注重风险管理审计，为

内部审计评价组织整体风险提供支图２ 各应用系统的普及程度