企业信息化全生产周期建设中内部审计增值作用的研究
李勤 尹小华 高宏波 中冶赛迪集团有限公司审计部 摘要:中冶赛迪集团有限公司作为国有大型工程技术企业,积极响应“两化融合”号召,推动信息化建设成效显著,已发展成为国内第一家完全数字化的工程技术服务集团。本文以内部审计在中冶赛迪集团信息化全生命周期建设中发挥的“防范风险、提质增效”作用为例,深刻总结了在信息化建设的全生命周期的各个阶段,内部审计应扮演的各种角色及承担的使命,对创新内部审计发展,充分发挥内部审计在工程技术类企业信息化建设中的实效作用,具有一定的借鉴参考意义。 关键词:内部审计;信息化;全生命周期;增值作用 一、引言 2017年,中冶赛迪集团有限公司(以下简称公司)下属信息公司对35家大型工程技术类潜在客户的信息化建设情况进行分析,显示工程技术类企业信息化建设严重滞后,82.85%的企业信息化仍然处在信息化系统分散部署、信息化系统仅能满足独立的业务需求和基础的管理需求的阶段。同时企业信息化项目建设普遍存在投资大、难度高、涉及面广、建设周期长、易失败等特点,因此企业内部审计有必要向信息化建设领域延伸,通过开展前期咨询及跟踪审计等方式为企业信息化建设取得成功保驾护航。 二、企业简介 公司是世界500强中国五矿集团所属中国中冶的核心子公司。公司信息化建设始于2006年,发展历程大致可分为信息化规划、信息化实施(试点实施、内部推广和优化提升),市场推广等三个阶段,依托中冶赛迪核心信息系统(简称CCIS系统)建成了高度融合销售管理、合同管理、项目管理、采购管理、财务管理以及商务智能等为一体的智能化信息化平台,是国内第一家完全数字化的工程技术服务集团。 三、内部审计为信息化全生命周期建设保驾护航 (一)内审咨询职能助力信息化建设顶层设计 信息化规划是对公司的企业管理、业务发展以及信息化建设现状进行分析与评估,在充分理解公司发展战略和现有业务流程的基础上,整体考虑未来信息化建设需求,梳理优化现有业务流程,采用科学的规划方法与步骤,从而对公司信息化建设进行顶层设计,制定明确的行动方向,为信息化平台奠定坚实基础。在此阶段,企业内部审计应大有可为: 1.是作为关键用户积极参与公司信息化建设。内部审计是公司价值链中的重要一环,企业内部审计部广泛调研,明确工作目标,尤其是在当前倡导风险导向审计的潮流下,一方面需梳理审计业务管理流程,更重要的是要梳理审计业务需要关注的关键控制点或风险点,并努力将诉求落地到信息化规划中,更好的用信息化手段开展内部审计工作,强化对关键风险点的管控与监督。在该阶段,赛迪集团审计梳理了审计报告审批流程、审计计划审批流程以及审计问题跟踪整改情况审批流程;同时还提出了诸多数据需求,如各种财务数据报表、分包合同台账等。 2.以内部审计的视角,积极发挥咨询作用。企业信息化规划往往是由外部单位承担的,尽管能以第三方的视角审视和规划公司业务流程,但相比之下,企业内部审计更加熟悉企业自身实际情况及管控需求。故该阶段,企业内部审计除了作为关键用户参与外,还应该积极发挥自身的本土优势,履行咨询职能,对外部单位提供的公司信息化规划、业务流程及整体架构等提出合理化建议,确保信息化建设更加符合公司业务管控的实际。有效规避搭建的信息系统“水土不服”现象。 (二)全过程跟踪审计提升信息化系统建设质量 对于企业来讲信息化系统实施通常伴随着管理变革、业务梳理、流程再造、制度创新和管理创新,推动经营模式转变,全面提升管理水平。因此信息化项目的建设存在投资大、难度高、涉及面广、建设周期长、易失败等特点。针对信息化项目建设的特点,审计部以“促进管理、保障效果”为审计目标,制定了专门的审计方案,在项目建设中先行介入,对于项目建设进行全过程监督,实行动态监督检查,促进信息化项目建设顺利推进。 1.检查招投标、服务商采购和合同履行程序。对招投标、服务商采购和合同履行的过程进行监督和审计。因系统实施采用的是服务商标准条款,重点审查其合同条款的合法性、完备性,对因合同条款约定失误有可能造成的投资增加、突破预算在过程监督中提前预警。 2.检查蓝图设计文件设计深度。信息化系统的蓝图设计深度直接关系到实施质量、后续开发数量,影响信息化系统工期。通过检查蓝图文件设计是否全面,有无缺项、漏项,是否符合信息化顶层规划,是否考虑与已有系统的集成,减少蓝图设计不合理的风险。 3.检查定制化开发需求。企业整体信息化系统的建设,尤其是成熟套件加定制化开发大平台搭建的重大风险之一是定制化需求过多,系统开发量巨大,导致上线拖期,上线后系统稳定性差的风险。通过分析定制化需求,对标同等规模企业使用套件实施的定制化开发量,提出合理的审计建议。 4.检查信息化项目进度。通过清理项目延期的主要次要因素,计算因工期和其他因素造成投资增加进行测算,检查项目部对信息化建设项目进度是否有效控制。 5.定期形成审计情况报告,重大事项及时上报。根据项目的实施情况,审计人员定期撰写审计报告,全面评价一段时间内信息化项目程序的合规性,分析项目潜在风险,包括进度风险、质量风险和成本风险等,重大事项由审计部部长及时上报给董事长,避免造成损失。 (三)信息系统审计展现系统问题全貌,促进系统持续完善提升 随着公司信息化系统的上线并大范围使用,在中国内审协会发布的《内部审计准则2203号-信息系统审计》的指导下,公司审计部确定了信息系统审计目标:对系统安全性、合规性、可靠性、有效性进行审定和评价,发现系统问题,并注重原因分析,提出根本性的审计建议。在这一审计目标下将审计分为系统安全性审计和系统有效性审计两大部分,并分别采取不同的审计方法,摸索适合公司的信息系统审计开展方式,确保审计工作质量,促进公司CCIS系统持续完善提升。 1.系统安全性审计: (1)审计内容:服务器等系统硬件设备使用情况、网络系统的安全性情况、接口转换控制管理、用户权限管理、版本审计情况、系统备份情况、数据存储设计等。 (2)审计方法:比照《CCIS安全与权限制度规定》,检查信息中心对机房、服务器的管理,如门禁管理情况;机房巡检,正式系统与测试系统隔离情况、备份策略执行情况、系统管理和运维人员的权限管理情况。 (3)审计成果:审计发现部分未严格执行《安全权限制度规定》事项,提请信息公司注意,强化系统安全。 2.系统有效性审计: (1)审计内容:从2012年起每年选取信息化子系统进行专项审计,已对ERP系统、BI系统、PWX平台、ECM系统等子系统进行业务支撑情况审计; (2)审计方法: 了解需求部门系统需求,访谈关键用户、查验系统,检查需求部门的信息化需求满足情况。 访谈最终用户,发现系统使用问题,包括系统使用不友好问题和系统部分功能无法使用等问题,就相关问题和信息公司讨论,将问题分类为用户习惯问题或系统问题,并给予不同的建议。 获取异常情况报告、差错报告和运维清单,以此为突破口,发现具有较高风险的系统问题。 (3)审计成果: 调查各子系统应用的广度、深度,分析各子系统对业务的支撑情况,并提出审计建议。信息公司和相关业务部门采纳了部分审计建议,促进各子系统的功能完善和提升: 信息公司通过开发提升用户操作体验,增加系统使用率; 信息公司从技术上遏制费控经理为便于操作任意添加PWX系统物料,导致因无历史数据参考,PWX系统快速报价功能形同虚设的情况; 档案室重新梳理ECM系统使用权限,信息公司根据权限配置,规避项目资料和图纸违规下载情况,保护公司核心技术; 改善部分系统流程设置或取消缺乏制度依据,个别流程审批节点职务与实际审批人员职务不符的情况,确保信息化流程与相关制度一致,确保内控制度在信息化有效落地。 四、几点思考 公司审计部在无工程技术类企业信息化相关审计工作成功经验可借鉴情况下,伴随着公司信息化的建设,积极探索并开展的多种审计业务,取得了较好的成效。笔者总结了相关经验,认为公司审计部是因为做到了以下几点才在公司信息化全生命周期建设中发挥了增值作用: (一)信息化建设规划阶段积极参与,发挥咨询职能 在信息化建设的规划阶段发挥咨询职能,可以促使规划团队完善信息化整体架构,从而使后续信息化的建设更好的支撑企业业务发展需要和风险管控需要。 (二)信息化建设期对项目进行跟踪审计,进行事中控制 建设期通过对项目进行跟踪审计,规范了公司信息化项目立项、需求调研、蓝图设计、开发配置及测试、数据收集、系统上线使用等环节的过程管理及文档管理,对项目进行事中控制,确保了项目目标的实现。 (三)信息化系统投入使用后以风险为导向,确定系统审计范围和重点,并采取合适的审计方法 信息化系统投入使用后,公司审计部牵头多次召开跨部门会议,结合实际情况,充分研讨,探究可能的系统风险及影响程度,确立审计目标;并在审计目标的指引下确定系统审计的范围和重点;探索审计思路和审计方法。由点及面,由浅入深,逐步开展信息系统审计工作,使审计工作深度越来越深、审计范围越来越广、审计质量逐步提高,审计成效显著。 (四)总结提炼,形成信息化审计基本规范 公司审计部总结提炼,发布实施《信息系统审计工作规定》,明确规定了信息化审计工作的基本规定、职责分工、主要内容及审计方法等管理要求。使信息化审计工作可以常态化,从而督使公司信息化建设的持续优化。 (五)重视人才培养 公司高度重视人才培养,6名专职审计人员中有1人具有信息系统的实施经验和项目管理经验,1人具备财务和信息化双重专业背景,每年抽选人员参与中国内审协会组织的有关信息系统审计的专业培训,所有人员均定期参加CCIS系统相关知识培训,从而确保审计人员具备信息化专项审计所需的专业能力。 参考文献: [1]王波,赵玉林.论集团化企业内部审计信息化建设一一以中石化集团为例[J].财会月刊,2017(4). [2]中国人寿保险(集团)公司审计局.突出内审优势 体现信息系统审计价值[J].中国内部审计,2017(2). [3]Adriaan G ISAGA. Information Systems Audit and Control Association[J].Language,2012.08 |