丁洪波　全海峰

摘要：信息化環(huán)境下企業(yè)的運(yùn)行模式發(fā)生了很多重要變化，這種變化一方面促進(jìn)了企業(yè)的管理提升，增強(qiáng)了企業(yè)的競(jìng)爭(zhēng)能力；另一方面卻給傳統(tǒng)的企業(yè)內(nèi)審帶來不少挑戰(zhàn)。面對(duì)信息化條件下企業(yè)內(nèi)審面臨的諸多挑戰(zhàn)，中國(guó)移動(dòng)浙江公司積極探索，勇于實(shí)踐，取得了不少寶貴經(jīng)驗(yàn)。本文主要介紹中國(guó)移動(dòng)浙江公司企業(yè)內(nèi)審創(chuàng)新的實(shí)踐和經(jīng)驗(yàn)，以期對(duì)其他公司改進(jìn)企業(yè)內(nèi)審提供參考。

關(guān)鍵詞：信息化 內(nèi)部審計(jì) 全量審計(jì)模式

通信運(yùn)營(yíng)商的生產(chǎn)與管理具有全過程、信息化的特征，傳統(tǒng)的賬簿被IT數(shù)據(jù)庫(kù)所取代，業(yè)務(wù)信息過程的全程變?yōu)樽詣?dòng)化，證據(jù)鏈條更加難以捕捉，傳統(tǒng)內(nèi)部控制的有效性日益受到挑戰(zhàn)。

針對(duì)高度信息化的企業(yè)環(huán)境，中國(guó)移動(dòng)浙江公司積極開展內(nèi)審信息化實(shí)踐，努力推進(jìn)內(nèi)審事務(wù)管理信息化，不斷深化計(jì)算機(jī)輔助審計(jì)技術(shù)應(yīng)用，持續(xù)探索信息系統(tǒng)審計(jì)方法和技術(shù)，實(shí)現(xiàn)了從傳統(tǒng)審計(jì)方法向以IT審計(jì)技術(shù)為主的全量審計(jì)模式轉(zhuǎn)變，從以項(xiàng)目審計(jì)為主的工作模式向無縫偵測(cè)、持續(xù)審計(jì)的方向轉(zhuǎn)變。

一、著眼內(nèi)審作業(yè)規(guī)范化和效能提升，努力推進(jìn)內(nèi)審事務(wù)管理信息化

（一）構(gòu)建“內(nèi)部控制測(cè)評(píng)管理系統(tǒng)”

為了符合索克斯法案相關(guān)條款，公司探索建立了業(yè)內(nèi)第一個(gè)內(nèi)控管理平臺(tái)（簡(jiǎn)稱ICM系統(tǒng)），內(nèi)控管理人員可以及時(shí)維護(hù)公司內(nèi)控手冊(cè)和矩陣，內(nèi)審人員可標(biāo)準(zhǔn)化測(cè)試步驟、規(guī)范測(cè)試底稿，并在系統(tǒng)中對(duì)測(cè)試計(jì)劃進(jìn)行安排，實(shí)現(xiàn)了企業(yè)內(nèi)部控制機(jī)制常態(tài)化建設(shè)。

（二）開發(fā)“工程審計(jì)作業(yè)管理系統(tǒng)”

通過構(gòu)建工程審計(jì)作業(yè)管理系統(tǒng)，實(shí)現(xiàn)與合同管理、財(cái)務(wù)管理、采購(gòu)管理、工程管理等系統(tǒng)的互聯(lián)，規(guī)范了全省各級(jí)工程審計(jì)作業(yè)流程，大幅度提高了審計(jì)工作質(zhì)量，保障了2013年超過兩萬個(gè)工程審計(jì)項(xiàng)目的順利審計(jì)，節(jié)約投資2.89億元。同時(shí)，該系統(tǒng)還實(shí)現(xiàn)了系統(tǒng)數(shù)據(jù)融合，減少了數(shù)據(jù)重復(fù)提取輸入，提高了信息質(zhì)量，大量高度規(guī)范、標(biāo)準(zhǔn)的全流程作業(yè)數(shù)據(jù)的積累也支撐公司初步實(shí)現(xiàn)了工程審計(jì)的智能化，通過數(shù)據(jù)分析、標(biāo)桿測(cè)定和風(fēng)險(xiǎn)探針功能，為工程審計(jì)提供了快速指引，為持續(xù)改進(jìn)工程建設(shè)管理提供了科學(xué)依據(jù)。

（三）建設(shè)內(nèi)審事務(wù)管理平臺(tái)，推動(dòng)內(nèi)審管理信息化

內(nèi)部審計(jì)事務(wù)管理平臺(tái)，旨在依托信息化手段來提高內(nèi)審計(jì)劃、組織、指揮、協(xié)調(diào)、控制與監(jiān)督等一系列活動(dòng)的科學(xué)性和效益性，實(shí)現(xiàn)內(nèi)部審計(jì)工作的規(guī)范化，增強(qiáng)了內(nèi)審業(yè)務(wù)的統(tǒng)籌計(jì)劃性，提升了內(nèi)審工作質(zhì)量和效率，促進(jìn)審計(jì)成果信息的共享。

二、積極采用計(jì)算機(jī)輔助審計(jì)技術(shù)，努力實(shí)現(xiàn)審計(jì)方式轉(zhuǎn)型

現(xiàn)代企業(yè)內(nèi)部審計(jì)面臨諸多挑戰(zhàn)，例如：審計(jì)領(lǐng)域大幅度拓寬，從賬簿、憑證、現(xiàn)場(chǎng)勘測(cè)延伸到計(jì)算機(jī)數(shù)據(jù)庫(kù)、數(shù)據(jù)模型、系統(tǒng)程序?qū)徲?jì)，審計(jì)環(huán)境更加復(fù)雜。中國(guó)移動(dòng)浙江公司努力調(diào)整內(nèi)審工作思路，積極采用計(jì)算機(jī)輔助審計(jì)技術(shù)提升審計(jì)項(xiàng)目質(zhì)量、不斷深化審計(jì)工作。

（一）實(shí)施業(yè)務(wù)數(shù)據(jù)庫(kù)的深度分析挖掘，有效支撐現(xiàn)場(chǎng)審計(jì)

通過多年的探索實(shí)踐，中國(guó)移動(dòng)浙江公司現(xiàn)在已經(jīng)形成了一整套較完備的需求建模、遠(yuǎn)程取數(shù)、全量比對(duì)、特征分析、現(xiàn)場(chǎng)核查的審計(jì)項(xiàng)目實(shí)施流程，充分利用信息化技術(shù)來支撐專項(xiàng)審計(jì)、專題調(diào)查等工作。實(shí)踐證明，采用這種方法，不但能有效實(shí)現(xiàn)審計(jì)目標(biāo)，也能大幅度降低現(xiàn)場(chǎng)審計(jì)成本，同時(shí)還可以最大限度減少對(duì)被審計(jì)單位正常工作的影響。如在現(xiàn)場(chǎng)流程診斷建模收入保障流程和梳理業(yè)務(wù)異常特征的基礎(chǔ)上，后臺(tái)應(yīng)用輔助軟件對(duì)全量提取的上億條海量話單數(shù)據(jù)進(jìn)行統(tǒng)計(jì)分析核對(duì)，及時(shí)發(fā)現(xiàn)并跟進(jìn)堵塞系統(tǒng)間數(shù)據(jù)不一致等系列問題及漏洞，有效防止了上億元收入的跑冒滴漏。

（二）積極應(yīng)用計(jì)算機(jī)輔助審計(jì)軟件，不斷提升審計(jì)效率和質(zhì)量

隨著電子信息技術(shù)的快速發(fā)展，計(jì)算機(jī)輔助審計(jì)軟件和工具不斷涌現(xiàn)，公司與時(shí)俱進(jìn)地推動(dòng)了計(jì)算機(jī)輔助審計(jì)軟件和工具在項(xiàng)目實(shí)施中的應(yīng)用，成效顯著。例如，應(yīng)用ACL軟件進(jìn)行異常會(huì)計(jì)分錄測(cè)試，使用統(tǒng)計(jì)分析軟件和模型進(jìn)行風(fēng)險(xiǎn)評(píng)估。同時(shí)，結(jié)合業(yè)務(wù)特征，自己設(shè)計(jì)開發(fā)了專用審計(jì)程序和作業(yè)模塊，進(jìn)行持續(xù)審計(jì)的探索和實(shí)踐，已取得較好成果。如利用會(huì)計(jì)分錄測(cè)試工具，對(duì)大量運(yùn)營(yíng)支出數(shù)據(jù)進(jìn)行計(jì)算機(jī)分析、歸類和判斷，快速發(fā)現(xiàn)問題所在，及時(shí)挽回重復(fù)入賬等損失。

三、聚焦信息安全和IT風(fēng)險(xiǎn)，探索信息系統(tǒng)審計(jì)新領(lǐng)域

中國(guó)移動(dòng)浙江公司積極探索信息系統(tǒng)審計(jì)領(lǐng)域，不斷揭示信息系統(tǒng)在設(shè)計(jì)、運(yùn)行、維護(hù)和管理中存在的問題與風(fēng)險(xiǎn)，努力保障公司穩(wěn)健經(jīng)營(yíng)與發(fā)展。

（一）加強(qiáng)信息安全審計(jì)，防范相應(yīng)風(fēng)險(xiǎn)

推行客戶信息安全管理審計(jì)，審計(jì)目標(biāo)是降低客戶信息泄漏、篡改和濫用的風(fēng)險(xiǎn)，有效推動(dòng)企業(yè)信息安全管理的提升。公司實(shí)施了業(yè)務(wù)受理IT風(fēng)險(xiǎn)審計(jì)，采用IT技術(shù)手段對(duì)主機(jī)和網(wǎng)絡(luò)設(shè)備的安全配置及漏洞、網(wǎng)絡(luò)滲透性進(jìn)行測(cè)試，對(duì)高風(fēng)險(xiǎn)系統(tǒng)日志、賬號(hào)使用日志、業(yè)務(wù)操作日志等進(jìn)行審計(jì)。此外，公司及時(shí)揭示了網(wǎng)絡(luò)基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)等存在的系統(tǒng)缺陷，以及管理中存在的薄弱環(huán)節(jié)，并就具體執(zhí)行情況深入查錯(cuò)糾偏，強(qiáng)化安全措施的有效落地，確保企業(yè)不發(fā)生重大信息安全事件。

（二）實(shí)施信息系統(tǒng)賬號(hào)權(quán)限審計(jì)，深化系統(tǒng)訪問風(fēng)險(xiǎn)防控

不斷發(fā)展的業(yè)務(wù)和持續(xù)增加的信息系統(tǒng)，使公司各類系統(tǒng)的賬號(hào)與權(quán)限管理十分復(fù)雜，隱藏了管理不善的風(fēng)險(xiǎn)。為此，公司對(duì)重要IT系統(tǒng)的賬號(hào)權(quán)限管理展開審計(jì)，識(shí)別其賬號(hào)權(quán)限管理的內(nèi)控缺陷。

此外，公司還通過數(shù)據(jù)建模和信息技術(shù)審計(jì)手段，揭示賬號(hào)權(quán)限設(shè)計(jì)缺陷、賬號(hào)權(quán)限數(shù)據(jù)失真等執(zhí)行層面的問題，以此為契機(jī)構(gòu)建自動(dòng)檢測(cè)手段，以信息技術(shù)方法來確保系統(tǒng)賬號(hào)權(quán)限的實(shí)時(shí)管理。如適時(shí)繪制的風(fēng)險(xiǎn)點(diǎn)脈絡(luò)圖為公司十八大安全保障工作以及賬號(hào)管理工作提供了抓手，業(yè)務(wù)部門據(jù)此對(duì)薄弱環(huán)節(jié)進(jìn)行了重點(diǎn)整改。

根據(jù)項(xiàng)目成果，公司計(jì)調(diào)部門職責(zé)3項(xiàng)，制定或修訂管理制度辦法6項(xiàng)，改造業(yè)務(wù)系統(tǒng)7個(gè)，執(zhí)行賬號(hào)專項(xiàng)檢查9次，整改不合理賬號(hào)1217個(gè)，推動(dòng)建立了長(zhǎng)效管理機(jī)制。

（三）以風(fēng)險(xiǎn)為導(dǎo)向，全面審計(jì)監(jiān)測(cè)信息系統(tǒng)

針對(duì)公司IT系統(tǒng)快速發(fā)展的局面，中國(guó)移動(dòng)浙江公司積極探索開展IT全面風(fēng)險(xiǎn)管理。

一是建立了IT風(fēng)險(xiǎn)評(píng)估模型，對(duì)所識(shí)別的IT固有風(fēng)險(xiǎn)進(jìn)行評(píng)級(jí)，對(duì)高風(fēng)險(xiǎn)領(lǐng)域進(jìn)行細(xì)化分析，繪制公司IT風(fēng)險(xiǎn)全景電子地圖，分級(jí)制定IT審計(jì)規(guī)劃。

二是開展了軟件全生命周期管理和采購(gòu)系統(tǒng)信息一致性專題審計(jì)，選擇地市分公司試點(diǎn)IT現(xiàn)場(chǎng)審計(jì)，進(jìn)而制定并驗(yàn)證地市分公司適用的IT審計(jì)框架結(jié)構(gòu)內(nèi)容，推動(dòng)公司IT審計(jì)不斷演進(jìn)和深化。

上述工作一方面因地制宜地建立了企業(yè)IT風(fēng)險(xiǎn)的全覆蓋監(jiān)測(cè)機(jī)制，避免了風(fēng)險(xiǎn)盲點(diǎn)的存在；同時(shí)增強(qiáng)了風(fēng)險(xiǎn)管理工作的統(tǒng)籌安排，進(jìn)一步提升了資源利用效率，避免了過度控制和重復(fù)投入。

（作者單位：中國(guó)移動(dòng)浙江公司）