图１ 我国内部审计信息化的典型应用系统一、引言信息技术改变着组织的控制环境、控制活动和信息沟通方式，大力应用信息技术是开展内部审计工作的必然选择。

内部审计信息化是内部审计机构以促进组织完善治理为目标，运用现代信息技术，变革内部审计业务实施、审计管理以及支持审计决策的过程。

内部审计信息化的目标是提升内部审计促进组织改善治理，提高组织风险管理和内部控制能力，保障内部审计为组织战略实现发挥更大价值。

内部审计信息化的建设内容主要包括应用系统、信息资源、网络基础设施、标准规范和信息化管理体制等。

通常来说，应用系统、信息资源和网络基础设施是三大核心建设内容，标准规范和管理体制建设是内部审计信息化健康持续发展的必要保障，五者相互关联，是内部审计信息化的有机组成要素。

近年来，内部审计理念发生了显著变化，　２０１３年修订的《中国内部审计准则》也明确指出“内部审计是一种独立、客观的确认和咨询活动，它通过运用系统、规范的方法，审查和评价组织的业务活动、内部控制和风险管理的适当性和有效性，以促进组织完善治理、增加价值和实现目标”，内部审计理念正在向治理、风险与价值转变，从单纯“查错中国内部审计信息化发展报告◆ 中国内部审计协会纠弊”走向风险防范和增值服务；同时，以云计算、大数据等为代表的新一代信息技术正在蓬勃发展，也为当前内部审计信息化的技术升级注入了全新活力。

新兴信息技术运用和内部审计理念的发展，既是内部审计信息化面临的新挑战，更为它带来新的发展机遇。

２０１３年，中国内部审计协会以“内部审计信息化”为主题开展理论研讨活动，以加强实务工作和理论研究的紧密结合，增进先进经验的总结和交流，这次活动共收到论文２８２篇。

本报告以参与此次活动的研讨论文为样本和案例，同时，也参考了部分国有企业工作经验，归纳总结了我国内部审计信息化应用平台的现状及动态，提炼内部审计信息化的典型应用框架，梳理内部审计信息化的发展演进脉络及发展方向。

二、内部审计信息化应用框架（一）我国内部审计信息化平台的应用状况目前全国内部审计信息化建设发展很快，审计管理软件和各种计算机辅助审计软件得到了广泛使用。

此次主题研讨论文反映了我国内部审计信息化实践的不同方面，从信息化平台角度来看，主要有以下六个方面的特征。

１．内部审计信息化的应用系统主要聚焦于两大领域十个方面。

审计管理和审计业务实施是内部审计信息化的两大应用领域，审计管理的数字化和业务实施的计算机辅助审计化构成了内部审计信息化的基本应用框架。

对论文案例的统计显示，内部审计信息化实践主要聚焦于两大领域十个方面的应用系统建设，如图１所示。

２．各系统普及率存在明显差异，当前内部审计信息化的核心应用是项目管理、现场审计作业、审计分析和持续审计监控系统。

根据来自通信、金融、证券、保险、石油和电力等８个行业的３８家企事业单位提供的内部审计信息化平台经验总结材料，进一步分析发现图１中１０个应用系统的普及率有明显差异，项目管理系统、现场审计工具、审计分析平台和持续审计监控平台这四个系统的普及率超过５８％，它们是当前我国内部审计信息化建设中的核心应用系统。

尤其是项目管理系统和现场审计工具，往往是各内部审计机构信息化建设的切入点。

３．审计业务实施的计算机辅助审计程度正在深化，持续审计监控、智能分析平台越来越受到重视。

计算辅助审计技术（ＣＡＡＴｓ）有两类——面向数据和面向系统。

面向数据的ＣＡＡＴｓ技术通常具有数据采集、查询分析、数据挖掘、数据抽样和持续监控等功能。

目前被广大内部审计机构普遍使用的现场审计作业软件通常具有自动生成底稿、数据采集和查询分析等功能。

随着审计信息化不断发展，非现场审计成为内部审计现代化转型的重要途径，ＣＡＡＴｓ应用正在由简单数据查询走向复杂模型运算和远程监控分析的综合应用。

图２显示，平均约６１％的企业已实施了持续审计监控和智能分析平台，能实现复杂数据模型计算的分析平台，对财务业务风险持续监控系统、嵌入式审计系统等应用有了明显进展。

例如，中国工商银行的审计监测系统，通过监测模型库和监测指标库，可对全行主要机构与核心业务开展定期的常规风险监测，也可有针对性地选择重点机构与重点领域开展不定期专项风险分析。

中国建设银行的非现场审计系统（ＯＡＳ）包括数据调集、派生指标计算、审计分析、审计查询和风险评估等功能模块，基本替代了审计数据的手工查询和分析，为现场审计提供翔实的线索。

此外，中国石油化工集团公司开发的基于ＳＡＰ系统的嵌入式审计系统（ＡＩＳ），可对ＥＲＰ系统各业务模块进行在线查询、对比与分析，开创了ＥＲＰ系统远程审计的先河。

４．关注信息安全和ＩＴ风险，信息系统审计正在起步。

各类信息系统是企业管理和业务经营活动的运行载体，其安全性、可靠性和合规性直接关系到企业正常运营和持续发展。

对ＩＴ密集型企业的内部审计机构而言，开展信息系统审计是控制组织风险的重要工作，但传统审计方法在这方面难有作为，一直以来开展的不太多。

论文案例中有少数企业已开展了多年的信息系统审计工作，主要分布电信企业和石化企业等，部分企业还开发了面向信息系统审计的ＣＡＡＴｓ技术工具。

例如中国移动通信集团浙江有限公司采用ＩＴ技术手段对主机和网络设备的安全配置及漏洞、网络渗透性进行测试；开展主机、应用系统的账户权限安全审计。

此外，广州市地下铁道总公司借鉴ＣＯＢＩＴ标准构建信息系统审计内容框架，并针对ＨＰ－ＵＮＩＸ、ＷｉｎｄｏｗｓＮＴ、Ｏｒａｃｌｅ　ＤＢ、ＳＱＬ　Ｓｅｒｖｅｒ等系统建立标准化审计程序甚至测试脚本，以提高信息系统审计工作的效率。

５．开始关注内部控制的合规性，为内部控制合规审计提供自动化工具。

２０１３年修订的《中国内部审计准则》明确提出内部审计机构“对内部控制设计和运行的有效性进行审查和评价，出具客观、公正的审计报告，促进组织改善内部控制”。

这是现代内部审计理念的要求，也是我国企业遵从国家内部控制规范的需要。

目前形势下，少数企业比如中国移动通信集团浙江、广东有限公司等，为使公司的内部控制记录、测评、审计、报告、披露和归档等方面达到《萨班斯法案》或中国内部控制规范的要求，探索开发了内控测试平台，通过标准化测试步骤、规范测试底稿、组织安排内控测试计划。

６．开始注重风险管理审计，为内部审计评价组织整体风险提供支图２ 各应用系统的普及程度持工具。

中国内部审计协会自２００４年起，大力提倡将风险管理纳入内部审计的工作视野，２０１３年修订的《中国内部审计准则》修订了内部审计定义，增加了对“风险管理的适当性和有效性”的审查和评价，以体现现代内部审计对组织风险的关注。

内部审计机构只有将整体风险纳入视野，才能确保审计关注领域的完整性，才能及时防范风险和提供增值服务。

要站在全局高度对整体风险进行分析与评价，靠单纯项目化的工作模式通常难以实现。

企业经营环境的高度信息化，各业务板块数据的高度集中，为内部审计实现全面风险分析提供了现实可能。

少数电信行业企业对此进行了探索，例如中国移动通信集团浙江、广东有限公司提出常态化内部审计思路，以整个领域为审计对象，构建运营收入和支出全流程框架，采用地图形式直观展示企业全面风险，是对提高内部审计工作的整体性和及时性的有益尝试。

中国电信集团湖北省电信公司提出，要将风险视角从财务领域扩展到更广泛的经营业务领域，打破单一的审计项目管理体制，开展风险预警，按一般风险和重大风险有区别地配置审计资源。

（二）内部审计信息化的典型应用框架综合借鉴各案例企业经验材料，对图１中各应用系统间的相互关系进行分析，本文构建出“１＋２＋１”模式架构的内部审计信息化典型应用框架（如图３所示），以供业界参考。

图３的应用框架包括　１个审计信息集成门户、两大审计系统（分别是审计管理系统和审计作业系统）和１个风险预警平台。

１．审计信息门户。

早期的内部审计信息化带有明显“计算机化”特征，各类计算机辅助审计工具和管理软件得到广泛应用，如何集成管理这些各有用途的工具软件，是审计信息化能否从“计算机化”走向真正“信息化”的关键。

审计信息门户着力于集成管理各种审计管理和作业应用系统，提供审计管理层和审计人员集成化、统一的工作界面。

对内部审计机构来说，该信息门户除提供常见的通知公告、沟通交流、在线考试培训和工作动态等功能外，对内可根据审计人员的不同权限实现对各类审计应用系统的统一访问与应用，对外作为内部审计的集成门户与企业整体信息化体系进行有机衔接。

２．审计管理系统。

审计管理系统有三大核心模块，分别是审计决策支持子系统、审计项目管理子系统和审计知识管理子系统。

审计决策支持子系统通常包括审计人力资源管理、审计项目动态、项目考核管理、审计信息仪表盘和统计报表等功能。

该系统与审计项目管理子系统、风险预警平台等相互衔接，使领导能够更加全面、及时、动态地把握当前审计工作的相关信息，把握企业风险动态情况，为制订审计计划、高效配置审计资源提供决策支持。

审计项目管理子系统以审计项目管理为核心，实现审计计划、审计实施、审计报告到后续审计的全过程管理，实现审计业务档案管理，台账、报表、审计成果等信息的实时生成，加强审计业务的全面质量控制，提高审计业务管理的规范化水平。

审计知识管理子系统通过自图３ 内部审计信息化的典型应用框架动采集和专门构建等方式建设各类审计知识库，如法律法规库、审计成果库、问题线索库、审计方法库、审计案例库、审计对象库、审计专业人才库等，实现对审计知识发现、获取、存储、维护、更新、评价、共享和创新应用的全方位管理，为提高审计人员能力及审计项目效率提供知识支持。

３．审计作业系统。

审计作业系统为审计业务提供计算机辅助审计技术支持，历来是内部审计信息化的重中之重。

伴随审计理念从由“查错纠弊”向防范风险和增值服务转变，审计信息化的不断深入，以及审计数据的可获得性不断提高，除推广应用各种现场审计作业工具（如财务审计、经济责任审计、工程项目审计等）外，数据分析平台的地位与作用已形成共识，成为审计信息化的重要武器。

数据分析平台利用审计专业数据库、财务或业务数据仓库，通过构建专业数据分析模型，实现对财务、业务数据库数据、文本数据、外部网络数据等的深度挖掘与分析，为现场审计提供疑点线索，还能发现相关性、趋势性和隐蔽性问题。

数据分析平台与现场审计工具紧密配合，实现“集中分析＋现场核查”的审计模式，提高审计工作效率，降低现场审计成本。

内部控制审计是相对新兴的审计业务，目前内部审计领域的典型应用不多。

鉴于现代内部审计理念对内部控制的关注，以及国外ＳＯＸ法案、国内《企业内部控制基本规范》及配套指引的要求，加强内部控制审计是内部审计的发展趋势。

内控审计信息系统的主要功能是为内部控制审计准备、实施、报告、归档、缺陷分析和整改跟踪等提供自动化支持。

信息系统审计是保障信息系统安全性和可靠性，提高信息化项目效益的有效手段。