中国内部审计信息化发展报告

图１ 我国内部审计信息化的典型应用系统
一、引言
信息技术改变着组织的控制环境、控制活动和信息沟通方式，大力应用信息技术是开展内部审计工作的必然选择。

内部审计信息化是内部审计机构以促进组织完善治理为目标，运用现代信息技术，变革内部审计业务实施、审计管理以及支持
审计决策的过程。

内部审计信息化
的目标是提升内部审计促进组织改善治理，提高组织风险管理和内部控制能力，保障内部审计为组织战略实现发挥更大价值。

内部审计信
息化的建设内容主要包括应用系统、信息资源、网络基础设施、标准规范和信息化管理体制等。

通常来说，应用系统、信息资源和网络基础设施是三大核心建设内容，标准规范和
管理体制建设是内部审计信息化健康持续发展的必要保障，五者相互关联，是内部审计信息化的有机组成要素。

近年来，内部审计理念发生了显著变化，　２０１３年修订的《中国内部审计准则》也明确指出“内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实
现目标”
，内部审计理念正在向治理、风险与价值转变，从单纯“查错
中国内部审计信息化发展报告
◆ 中国内部审计协会
纠弊”走向风险防范和增值服务；同时，以云计算、大数据等为代表的新一代信息技术正在蓬勃发展，也为当前内部审计信息化的技术升级注入了全新活力。

新兴信息技术运用和内部审计理念的发展，既是内部审计信息化面临的新挑战，更为它带来新的发展机遇。

２０１３年，中国内部审计协会以“内部审计信息化”
为主题开展理论研讨活动，以加强实务工作和理论研究的紧密结合，增进先进经验的总结和交流，这次活动共收到论文
２８２篇。

本报告以参与此次活动的研讨论文为样本和案例，同时，也参考了部分国有企业工作经验，归纳总结了我国内部审计信息化应用平台的现状及动态，提炼内部审计信息化的典型应用框架，梳理内部审计
信息化的发展演进脉络及发展方向。

二、内部审计信息化应用框架
（一）我国内部审计信息化平台的应用状况
目前全国内部审计信息化建设发展很快，审计管理软件和各种计算机辅助审计软件得到了广泛使用。

此次主题研讨论文反映了我国内部审计信息化实践的不同方面，从信息化平台角度来看，主要有以下六个方面的特征。

１．内部审计信息化的应用系统主要聚焦于两大领域十个方面。

审计管理和审计业务实施是内部审计信息化的两大应用领域，审计管理的数字化和业务实施的计算机辅助审计化构成了内部审计信息化的基本应用框架。

对论文案例的统计显示，内部审计
信息化实践主要聚焦于两大领域十个
方面的应用系统建设，如图１所示。

２．各系统普及率存在明显差异，当前内部审计信息化的核心应用是项目管理、现场审计作业、审计分析和持续审计监控系统。

根据来自通信、金融、证券、保险、石油和电力等８个行业的３８家企事业单位提供的内部审计信息化平台经验总结材料，进一步分析发现图１中１０个应用系统的普及率有明显差异，项目管理系统、现场审计工具、审计分析平台和持续审计监控平台这四个系统的普及率超过５８％，它们是当前我国内部审计信息化建设中的核心应用系统。

尤其是项目管理系统和现场审计工具，往往是各内部审计机构信息化建设的切入点。

３．审计业务实施的计算机辅助审计程度正在深化，持续审计监控、智能分析平台越来越受到重视。

计算辅助审计技术（ＣＡＡＴｓ）有两类——面向数据和面向系统。

面向数据的ＣＡＡＴｓ技术通常具有数据采集、查询分析、数据挖掘、数据抽样和持续监控等功能。

目前被广大内部审计机构普遍使用的现场审计作业软件通常具有自动生成底稿、数据采集和查询分析等功能。

随着审计信息化不断发展，非现场审计成为内部审计现代化转型的重要途径，ＣＡＡＴｓ应用正在由简单数据查询走向复杂模型运算和远程监控分析的综合应用。

图２显示，平均约６１％的企业已实施了持续审计监控和智能分析平台，能实现复杂数据模型计算的分析平台，对财务业务风险持续监控系统、嵌入式审计系统等应用有了明显进展。

例如，中国工商银行的审计监测系统，通过监测模型库和监测指标库，可对全行主要机构与核心业务开展定期的常规风险监测，也可有针对性地选择重点机构与重
点领域开展不定期专项风险分析。

中国建设银行的非现场审计系统
（ＯＡＳ）包括数据调集、派生指标计
算、审计分析、审计查询和风险评估
等功能模块，基本替代了审计数据
的手工查询和分析，为现场审计提
供翔实的线索。

此外，中国石油化工
集团公司开发的基于ＳＡＰ系统的嵌
入式审计系统（ＡＩＳ），可对ＥＲＰ系
统各业务模块进行在线查询、对比
与分析，开创了ＥＲＰ系统远程审计
的先河。

４．关注信息安全和ＩＴ风险，信
息系统审计正在起步。

各类信息系
统是企业管理和业务经营活动的运
行载体，其安全性、可靠性和合规性
直接关系到企业正常运营和持续发
展。

对ＩＴ密集型企业的内部审计机
构而言，开展信息系统审计是控制
组织风险的重要工作，但传统审计
方法在这方面难有作为，一直以来
开展的不太多。

论文案例中有少数企业已开展
了多年的信息系统审计工作，主要
分布电信企业和石化企业等，部分
企业还开发了面向信息系统审计的
ＣＡＡＴｓ技术工具。

例如中国移动通
信集团浙江有限公司采用ＩＴ技术手
段对主机和网络设备的安全配置及
漏洞、网络渗透性进行测试；开展主
机、应用系统的账户权限安全审计。

此外，广州市地下铁道总公司借鉴
ＣＯＢＩＴ标准构建信息系统审计内容
框架，并针对ＨＰ－ＵＮＩＸ、Ｗｉｎｄｏｗｓ
ＮＴ、Ｏｒａｃｌｅ　ＤＢ、ＳＱＬ　Ｓｅｒｖｅｒ等系统
建立标准化审计程序甚至测试脚本，
以提高信息系统审计工作的效率。

５．开始关注内部控制的合规
性，为内部控制合规审计提供自动
化工具。

２０１３年修订的《中国内部
审计准则》明确提出内部审计机构
“对内部控制设计和运行的有效性进
行审查和评价，出具客观、公正的审
计报告，促进组织改善内部控制”。

这是现代内部审计理念的要求，也
是我国企业遵从国家内部控制规范
的需要。

目前形势下，少数企业比如
中国移动通信集团浙江、广东有限
公司等，为使公司的内部控制记录、
测评、审计、报告、披露和归档等方
面达到《萨班斯法案》或中国内部控
制规范的要求，探索开发了内控测
试平台，通过标准化测试步骤、规范
测试底稿、组织安排内控测试计划。

６．开始注重风险管理审计，为
内部审计评价组织整体风险提供支图２ 各应用系统的普及程度
持工具。

中国内部审计协会自２００４年起，大力提倡将风险管理纳入内部审计的工作视野，２０１３年修订的《中国内部审计准则》修订了内部审计定义，增加了对“风险管理的适当性和有效性”的审查和评价，以体现现代内部审计对组织风险的关注。

内部审计机构只有将整体风险纳入视野，才能确保审计关注领域的完整性，才能及时防范风险和提供增值服务。

要站在全局高度对整体风险进行分析与评价，靠单纯项目化的工作模式通常难以实现。

企业经营环境的高度信息化，各业务板块数据的高度集中，为内部审计实现全面风险分析提供了现实可能。

少数电信行业企业对此进行了探索，例如中国移动通信集团浙江、广东有限公司提出常态化内部审计思路，以整个领域为审计对象，构建运营收入和支出全流程框架，采用地图形式直观展示企业全面风险，是对提高内部审计工作的整体性和及时性的有益尝试。

中国电信集团湖北省电信公司提出，要将风险视角从财务领域扩展到更广泛的经营业务领域，打破单一的审计项目管理体制，开展风险预警，按一般风险和重大风险有区别地配置审计资源。

（二）内部审计信息化的典型应用框架
综合借鉴各案例企业经验材料，对图１中各应用系统间的相互关系进行分析，本文构建出“１＋２＋１”模式架构的内部审计信息化典型应用框架（如图３所示），以供业界参考。

图３的应用框架包括　１个审计信息集成门户、两大审计系统（分别是审计管理系统和审计作业系统）和１个风险预警平台。

１．审计信息门户。

早期的内部审计信息化带有明显“计算机化”特
征，各类计算机辅助审计工具和管
理软件得到广泛应用，如何集成管
理这些各有用途的工具软件，是审
计信息化能否从“计算机化”走向真
正“信息化”的关键。

审计信息门户着力于集成管理
各种审计管理和作业应用系统，提
供审计管理层和审计人员集成化、
统一的工作界面。

对内部审计机构
来说，该信息门户除提供常见的通
知公告、沟通交流、在线考试培训和
工作动态等功能外，对内可根据审
计人员的不同权限实现对各类审计
应用系统的统一访问与应用，对外
作为内部审计的集成门户与企业整
体信息化体系进行有机衔接。

２．审计管理系统。

审计管理系
统有三大核心模块，分别是审计决
策支持子系统、审计项目管理子系
统和审计知识管理子系统。

审计决
策支持子系统通常包括审计人力资
源管理、审计项目动态、项目考核
管理、审计信息仪表盘和统计报表
等功能。

该系统与审计项目管理子
系统、风险预警平台等相互衔接，使
领导能够更加全面、及时、动态地
把握当前审计工作的相关信息，把
握企业风险动态情况，为制订审计
计划、高效配置审计资源提供决策
支持。

审计项目管理子系统以审计
项目管理为核心，实现审计计划、审
计实施、审计报告到后续审计的全
过程管理，实现审计业务档案管理，
台账、报表、审计成果等信息的实
时生成，加强审计业务的全面质量
控制，提高审计业务管理的规范化
水平。

审计知识管理子系统通过自图３ 内部审计信息化的典型应用框架
动采集和专门构建等方式建设各类审计知识库，如法律法规库、审计成果库、问题线索库、审计方法库、审计案例库、审计对象库、审计专业人才库等，实现对审计知识发现、获取、存储、维护、更新、评价、共享和创新应用的全方位管理，为提高审计人员能力及审计项目效率提供知识支持。

３．审计作业系统。

审计作业系统为审计业务提供计算机辅助审计技术支持，历来是内部审计信息化的重中之重。

伴随审计理念从由“查错纠弊”向防范风险和增值服务转变，审计信息化的不断深入，以及审计数据的可获得性不断提高，除推广应用各种现场审计作业工具（如财务审计、经济责任审计、工程项目审计等）外，数据分析平台的地位与作用已形成共识，成为审计信息化的重要武器。

数据分析平台利用审计专业数据库、财务或业务数据仓库，通过构建专业数据分析模型，实现对财务、业务数据库数据、文本数据、外部网络数据等的深度挖掘与分析，为现场审计提供疑点线索，还能发现相关性、趋势性和隐蔽性问题。

数据分析平台与现场审计工具紧密配合，实现“集中分析＋现场核查”的审计模式，提高审计工作效率，降低现场审计成本。

内部控制审计是相对新兴的审计业务，目前内部审计领域的典型应用不多。

鉴于现代内部审计理念对内部控制的关注，以及国外ＳＯＸ法案、国内《企业内部控制基本规范》及配套指引的要求，加强内部控制审计是内部审计的发展趋势。

内控审计信息系统的主要功能是为内部控制审计准备、实施、报告、归档、缺陷分析和整改跟踪等提供自动化支持。

信息系统审计是保障信息系统
安全性和可靠性，提高信息化项目
效益的有效手段。

目前内部审计领
域开展信息系统审计实践的不多
见，技术手段不足是原因之一。

信
息系统审计工具软件主要为信息系
统安全审计、信息化项目审计、系
统业务控制审计等提供自动化支
持手段，提高信息系统审计的工
作效率。

４．风险预警平台。

近年来，伴
随风险导向审计理念的不断实践，持
续审计预警系统和风险管理审计系统
成为内部审计信息化的重点领域。

持
续审计预警系统，梳理主要业务及
重点环节的风险控制点，建立风险
监测指标库和监测模型库，依据风
险预警规则实现跟踪审计，实现内
部审计从事后审计走向事中、实时
审计。

风险管理审计系统，将风险识
别、梳理、定级、维护与审计计划制
定、审计实施、审计发现和问题整改
紧密结合，提高内部审计人员识别
复杂风险、关联风险和综合风险的
敏感性，为内部审计评价整体风险
提供信息化支持，体现风险导向内
部审计理念。

三、我国内部审计信息化的
发展模型及方向
一般情况下，学术界和业界认
为内部审计信息化发展划分为绕过
计算机审计、穿过计算机审计、利用
计算机审计和网络审计四个阶段。

这种划分更多的是反映计算机审计
模式的演变。

本报告以主题研讨论
文案例经验为基础，从代表性应用
系统等角度出发构建内部审计信息
化发展阶段的演进模型，对我国内
部审计信息化发展阶段进行总体分
析与判断，并明确内部审计信息化
的三个未来发展方向。

（一）内部审计信息化发展阶段
的演进模型
横向比较来自不同行业的内部
审计信息化实践，并借鉴经典内部审计信息化的发展阶段及特征
Ｍｉｓｃｈｅ，Ｂｏａｒ和Ｓｙｎｎｏｔｔ提出的信息化阶段模型，我们从代表性ＩＴ应用、应用集成程度和信息作用的角度，提炼出信息技术在内部审计中应用的四个阶段演进模型，并界定不同阶段的特征，如表１所示。

１．单点应用阶段。

在单点应用阶段，信息技术开始引入到内部审计工作中，应用领域大致有两类：项目管理和现场审计作业。

项目管理系统通常包括自动生成审计底稿，审计档案管理等功能，现场审计作业系统则主要用于辅助财务审计。

该阶段的审计数据库通常以开展审计项目的形式实现数据积累，审计人员需要掌握计算机应用操作和基础数据分析为主的技能，可以说，此阶段内部审计信息化主要解决审计项目管理与实施的基础装备问题。

２．综合应用阶段。

随着ＩＴ应用的逐渐推广，内部审计信息化由围绕审计项目向审计综合管理、非现场审计领域扩展；审计数据的价值也日益凸显，审计人员的数据分析能力得到不断强化。

审计管理领域，基本能实现审计业务全流程管理，比如审计决策、计划管理、项目实施、质量考核管理和审计成果利用等环节都得到信息化支持。

审计业务领域，一方面计算机辅助审计的范围得到延伸，工程审计、经济责任审计、固定资产审计、内控审计和信息系统审计等都开始得到计算机手段支持；另一方面非现场审计与现场审计优势结合成为内部审计的主要工作模式，利用非现场审计分析系统持续收集、整理被审计对象业务经营管理的数据和资料，开展复杂查询、对比分析与挖掘发现，为现场审计提供线索，通过“集中分析，分散核查”提高审计工作效率。

该阶段审计数据的价值日益凸
显，除通过审计项目积累数据外，内
部审计机构开始着手定期或实时地
采集整理各种业务和财务数据，逐
步建立包含各业务板块数据的审计
数据库，以及项目动态、法规库、案
例库、问题库和项目档案库等管理
数据库。

３．集成应用阶段。

“集成”是该
阶段主要特征，包括系统集成和数
据集成两个方面。

系统集成，主要表
现为内部审计信息化各组成系统能
实现有机衔接，审计信息化体系与
企业整体信息化体系相互整合，比
如非现场审计系统直接嵌入企业关
键业务领域的信息系统等。

非现场
系统采集的数据质量有很大提升，
风险监测指标库和监测模型库更为
科学有效，内部审计从事后走向事
中、实时审计。

数据集成，依托企业
现有数据仓库，将来自各业务领域
的各类结构化和非结构化信息全面
梳理，形成跨业务、跨区域的整合信
息，建设高效能、高共享的审计专用
数据集市。

处理非结构化信息的软
硬件体系得到突破，影像读取、文本
分析、知识库搜索等数据挖掘技术
得到更大范围的审计应用。

４．战略应用阶段。

该阶段突出
特征是信息化不再只是内部审计工
作的工具，开始对内部审计“增加组
织的价值和改善组织的运营”具有
战略价值。

普华永道预测，持续审
计、风险管理审计和反舞弊审计将
是内部审计机构未来的三大职责。

内部审计机构通过风险管理审计为
企业风险管理的有效性提供客观保
证（确认）和提供建议（咨询），对
于内部审计机构从控制监督角色转
向管理层的战略合作者具有重要意
义。

关注组织经营的未来风险，对风
险管理进行全程全面审计，是对内
部审计管理模式的变革。

比如如何
在持续审计监测与全面风险评估的
基础上，配置审计资源并整体规划
审计项目，将审计发现与整改结果
反馈到风险管理流程中，根据审计
成果作出年度企业风险综合评价报
告等。

相应地，该阶段的信息技术也
不只是运用于点和局部，与审计管
理系统、持续审计监测和审计数据
分析平台有机整合的全面风险管理
审计系统，是内部审计信息化应用
重点。

信息采集与分析方面，内部的
业务财务数据，以及与审计事项有
关的外部数据，共同打破了“内外信
息壁垒”；以高级分析技术与工具、
高级数据可视化技术（ＡＤＶ）、实时
仪表盘和非结构化数据分析技术为
代表的大数据分析技术，从技术上
为整体趋势分析与预测提供了质量
保障。

（二）我国内部审计信息化发展
阶段的总体判断
运用单点、综合、集成和战略应
用的四阶段演进模型，我们对征文
企业的内部审计信息化发展阶段进
行总体分析，可以发现：与所在行业
信息化整体水平密切相关，不同行
业企业的内部审计信息化处于不同
阶段。

横向比较不同行业内部审计
信息化的当前实践，我们的基本判
断是：
１．多数行业企业的内部审计信
息化处于以审计项目管理软件和现
场审计作业系统为主的局部应用阶
段。

我国多数行业企业的内部审计
信息化处于“局部应用”阶段，比
如教育、铁路和质检等。

教育行业
只有部分高校正在尝试远程审计系
统；铁路企业审计信息系统包括审
计项目管理，现场财务审计查证功
能，还没有扩展到材料、固定资产
审计等领域；质检行业的内部审计信息化应用也是以现场审计作业系统为主。

２．通信、银行和石油行业企业的内部审计信息化水平相对较高，处于“综合应用”向“集成应用”过渡的阶段。

通信行业企业具有较高的ＩＴ密集度，整体信息化程度高，各类信息系统如ＢＯＳＳ、　ＣＲＭ、ＥＲＰ和经营分析系统等种类繁多，结构复杂，数据量巨大。

在这样的环境中，通信企业的内部审计信息化水平也水涨船高，审计管理系统、现场审计、持续审计、数据分析平台、风险预警系统和内控合规审计系统建设，以及信息系统审计工作都走在前列，正在向“集成应用”阶段迈进。

部分企业如浙江移动等还探索开发了电子地图形式的风险管理审计系统。

银行业信息化既是银行业务运营的技术大动脉，也是现代金融服务创新的主要源泉。

我国国有商业银行基本完成了数据大集中工程，正在将独立发展的业务系统集成到新一代综合业务系统。

在这样的环境下，中国工商银行、中国建设银行和中国农业银行的审计管理系统、现场审计、非现场审计等系统建设起步都相对较早，审计数据分析和审计监控系统的应用较成熟，可以认为银行业的内部审计信息化正走向“集成应用”的发展阶段。

石油行业企业信息化的建设重点是企业资源管理系统（ＥＲＰ）、办公自动化、生产管理控制、供应链管理和客户关系管理等系统。

石油行业的内部审计信息化具有明显的ＥＲＰ环境下计算机审计特征。

部分企业如中国石油化工集团公司开发应用了审计管理集成门户实现对审计业务的全流程综合管理，以及嵌入式ＥＲＰ系统审计
软件等，体现了一定的内部审计
信息化的集成度。

（三）我国内部审计信息化发展
的三个方向
根据“集成应用”和“战略应
用”发展阶段的特征，以及通信、金
融和石油等行业企业的先进实践经
验，可以发现，我国内部审计信息
化的发展方向是集成化、智能化和
远程化。

集成化，一是应加强审计信息
化与企业整体信息化的统筹规划，
实现财务、业务系统数据的审计再
利用，解决审计分析的数据壁垒问
题，为内部审计获取数据和开展数
据分析创造条件；二是要解决各种
审计应用系统各自为政的分割局面，
充分整合发挥审计信息化的整体协
同作用，避免形成审计信息化内部
“信息孤岛”。

智能化是指内部审计应不断提
高分析式审计能力。

基于大数据分
析的智能审计技术是新兴的审计技
术，它将带来内部审计革命性的变
化。

内部审计机构应不断扩大信息
来源，多渠道获取内、外部的审计相
关信息；除获取结构化数据外，还要
汇聚更直观、更原始的非结构化数
据和网络数据；还要积极探索和掌
握基于大数据的分析技术，提高分
析式审计能力，从问题导向式审计
分析走向相关性分析、趋势分析和
潜在规律分析，使内部审计能在全
局、整体层面发挥建设性、预防性的
增值作用。

远程化是指促进内部审计从事
后审计走向事中、事前审计。

企业
信息化带来的数据集中化和网络
化，为内部审计机构不间断收集、整
理和分析相关的财务、业务数据和
资料，查找存在的疑点和异常，开
展远程审计提供了条件。

远程审计
具有时效性强、工作效率高、审计
成本低等优势以及隐蔽性、威慑力
等特征，与现场审计紧密结合可使
内部审计从事后审计走向事中、事
前审计。

有条件的行业企业，还可
尝试将审计模块直接嵌入业务财务
应用系统中，依据审计预警规则自
动触发风险报警，进一步提高内部
审计的实时性。

四、提升内部审计信息化发展
阶段的策略
从单点应用的初级阶段走向综
合应用、集成应用，直至战略应用的
成熟阶段，这是一条我国内部审计
信息化发展演变的清晰脉络。

为推
动内部审计信息化的持续深入发展，
本报告从建设内容和新技术运用等
方面提出若干发展策略。

（一）遵循发展规律，促进内部
审计信息化建设不断前进
如前所述，我国多数企事业单
位的内部审计信息化处于“单点应
用”和“综合应用”阶段，而“集成
化、智能化和远程化”是未来的发展
方向。

下述五个方面的信息化建设
内容将有利于提升我国内部审计信
息化发展阶段。

１．探索建设审计信息门户，提
高审计信息系统的集成水平，发挥
内部审计信息化整体协同作用。

梳
理审计决策、项目管理、知识管理、
计算机辅助工具、审计分析平台和
风险预警平台之间的业务流程、数
据流程和接口关系，建设审计统一
信息门户，使各子系统处于相互关
联的、统一和协调的大系统之中，实
现数据共享、资源整合，发挥系统协
同效应。

２．加强审计分析平台建设，进。