审计信息系统立项建议书

1、*公司建设审计信息系统项目立项建议报告为进一步提升我公司内部审计工作水平，实现内部审计工作流程的规范化、管理方式的科学化和技术手段的电子化，提高对公司经验管理过程中面临风险的识别、控制和管理能力，最大限度地发挥内部审计工作在为公司提供增值服务中的建设性作用，监察审计部拟订了*公司立项建议报告，报告分为“审计信息系统基本概念”、“建立审计信息系统的必要性”、“我公司审计信息系统设计思路”、“我公司审计信息系统功能概要”、“我公司审计信息系统建设步骤”四个部分，本报告的目的是为了适时启动我公司的审计信息系统建设。一、审计信息系统基本概念（一）审计信息系统背景介绍当今世界面临着信息化、全球化的两大趋

2、势。计算机和网络技术以前所未有的广度和深度改变着经济管理活动。审计,作为对经济活动进行监督、评价、鉴证的手段,遇到了来自信息技术的挑战。国家机关、企事业单位，尤其是银行、*等金融机构广泛运用计算机、数据库、网络等现代信息技术进行业务操作和企业管理, 传统的审计理念和技术手段正受到强力的冲击和影响，以查账为主的传统审计已不能适应管理信息化的要求。同样，信息技术的应用也将推动现代审计进入一个全新时代。审计对象的信息化,客观上要求审计部门的工作方式必须及时做出相应的调整,不仅要运用传统审计方法,还要结合信息技术,全面检查被审单位的经济活动,发挥审计监督应有的作用。在这种背景下，国内一些大型企事业单位

3、尤其是金融机构，如交通银行、民生银行、华夏银行、浦东发展银行等，已经开始采用计算机和网络传输技术辅助审计管理，并成功建立了独立于公司经营管理信息系统的审计信息系统。审计信息系统建立在公司所有经营管理数据基础之上，包括独立的计算机硬件和运行于其上的软件系统。系统建设意义在于运用科学的方法，根据公司监事会和管理层的要求，以风险为导向，依据监管部门及内控规定的相关政策法规，及时、系统地检查公司财务系统、业务系统以及经营管理各方面信息，对其实施经常性、即时性的审计，实现审计工作的非现场化、实时化和可预警化。（二）审计信息系统建设遇到的挑战计算机技术在审计工作中的运用，尤其是独立于业务处理信息系统的审计

4、信息系统建设，是内部审计工作发展的一个里程碑，是审计技术和手段的一场深刻变革。但从国内外的经验来看，开展系统建设的过程中也遇到许多困难和挑战。这些问题正阻碍和制约着内部审计信息化建设工作的进一步推进。归纳起来主要有以下几个方面：1.传统的思维方式和工作模式，阻碍了审计信息系统的建设进程。首先，存在着用传统思维方式看待审计信息化，缺乏推进审计信息系统的信心和远见。审计信息系统的建设是一项长期的系统性工程，在短期内还未看到成果时，就简单地否定其应用价值。其次，对审计信息系统持观望和等待的态度，认为该系统没什么大的用场，还不如手工审计快，不愿把时间和经费浪费在系统建设上，无暇顾及计算机这一技术问题，

5、自我隔离在信息化之外。其三，存在着技术困难和理念困惑，还没有真正认识到审计信息化必将带来人们思维方式、审计工作方式和作业流程的变革。2.审计业务能力与信息化发展水平不匹配，影响了计算机审计的整体推进。目前，国内企事业单位内部审计部门普遍面临的一个较大的问题是审计业务水平与审计信息化建设和发展的要求不相适应。主要是因为内部审计人员虽然有丰富的财会、业务、审计知识和经验，但由于一些知识结构上的欠缺，还很难提出符合信息化规律的审计需求，将传统的审计技术方法转换为计算机可以操作的语言还不太现实。3.没有形成独立的审计信息系统，影响了审计工作的独立性和客观性。审计工作的独立性和客观性要求审计人员掌握第一

6、手的数据资料，而在现实工作中往往因为缺乏审计信息系统支持，审计人员没有获取原始数据的方法和手段，只能依赖于被审计单位或信息资源掌握者提供的经过加工的数据。在这种情况下，审计人员不仅不能及时掌握经营动态、财务指标和非财务指标，更大的风险在于不能够保证所审查的数据的真实性，以至于在错误的数据基础上做出错误的判断。（三）我公司审计信息化现状目前我公司的各项业务基本上实现信息化，财务、业务等经营管理数据已经在总公司层面进行集中，并且已初步建成了支持经营管理的数据仓库系统。（一）以计算机辅助审计为主我公司内部审计工作还处于内审人员借助计算机进行辅助审计作业阶段，这种计算机辅助审计作业方式不能适应公司经营

7、活动日趋复杂化、规模化、信息化的步伐，存在如下不足：1.不利于及时获取审计所需的原始电子数据，提高审计的时效性。我公司目前已经积累了大量的电子化交易数据，而计算机辅助审计作业方式不能及时利用这些数据，既有的审计成果不能充分共享和转化，不利于提高审计工作对全公司经营管理的增值服务效果。2.不利于审计工作效率的提高，成本的降低。目前我公司的审计工作还以现场审计为主，大量的检查工作仍由手工处理，审计手段相对落后。由于计算机辅助审计作业方式无法充分利用电子化交易数据，审计工作还主要利用到现场翻看账本和档案的方式。在有限的时间和资源条件下，审计广度、深度、力度具有较大的局限性，审计工作效率相对低下且成本

8、较高。3.不利于扩大审计工作的覆盖面，降低审计风险。因为计算机辅助审计作业方式的局限性，有限的审计人员无法对大量的业务和财务数据进行全面的检查，无法充分利用电子化技术对业务流程和管理环节实施全面的监控。审计人员就无法对公司经营管理风险进行全面的掌控，从而将有限的审计资源配置到管理层最为关注及对公司而言风险较高的领域。（二）开展了非现场审计前期工作1.2008年初，公司原监察审计室提出了非现场审计工作构想，初步拟定了非现场监测指标，草拟了非现场审计工作规程。2.2008年7月，公司原监察审计室对公司各营业机构2008年1至6月业务财务情况进行了非现场模拟审计。审计人员对营业机构业务、财务指标监测

9、基础上，通过总体分析、类别分析和个体分析，寻找营业机构经营管理中存在的不足，并通过电话、邮件、传真等方式查找验证了部分审计发现。3.2008年8-9月，原监察审计室根据非现场审计工作开展情况，对原非现场审计工作规程及监测指标进行了修改、补充和完善。4.2008年11月，经公司领导审阅，公司非现场审计工作规程正式印发，成为开展非现场审计工作的重要指导性文件，为审计信息系统研发提供了制度保障。二、建立审计信息系统的必要性（一）是实现内部审计工作电子化、规范化、流程化的关键举措当前，我国的内部审计工作正处于传统审计向现代审计发展的技术转型期和战略机遇期。国际经验表明，利用计算机手段进行审计是现代审计

10、发展的必然趋势。我们应当遵循世界审计的发展规律，不断吸收、借鉴发达国家和国内先进的现代审计经验和做法，跟上世界审计信息化的发展潮流。对此，审计署原审计长李金华曾经作过精辟的论述：“要提高审计工作的科技含量，要把信息化建设，把计算机的推广应用，看成是我们提高审计效率，改善审计手段，提高审计质量，降低审计成本，加强廉政建设的一个重要途径。因此，内部审计部门的信息化建设不仅仅是个方法、手段问题，而且是关系到内部审计事业发展的问题。”目前，在国内利用审计信息系统开展工作的成功典型主要集中在银行业金融机构，各大中型商业银行，甚至小型的城市商业银行，大部分已经成功建立了独立运行的审计信息系统，实现了审计工

11、作的电子化。而纵观*行业，审计信息化的步伐还没有迈开，如果我公司能够引入先进理念，在短时间内启动建设审计信息系统，做为深入推进学习实践科学发展观的有力举措，以体现我公司内部审计水平的进一步提升，将会成为*业审计工作独树一帜的先进典型。（二）是实现审计工作理念转变，实现现代审计目标的必然选择独立的审计信息系统最大亮点在于以风险为导向，确保审计的准确性和高效性，真正实现审计工作的“三大转变”： 从单一的事后审计转变为事后审计与事中审计相结合；从单一的静态审计转变为静态审计与动态审计相结合；从单一的现场审计转变为现场审计与非现场审计相结合。建立审计信息系统既突出了审计重点，又丰富了审计手段。运用计算

12、机的自动预警、筛选、汇总、分析等功能，改变过去手工逐笔分析的做法，使审计思路更为清晰，重点更为突出，发现重大问题线索更为可靠。同时，利用计算机快速、准确的特点，使得全面审计成为可能。其次，审计信息系统拓展了审计空间，提高了审计效率。利用计算机网络技术可把公司财务系统、业务系统以及经营管理各方面信息汇集起来，及时地进行综合和分析，完整地把握被审计对象经济活动的实质，为审计在拓展审计空间、加强风险管理和监督服务等方面构筑有力后盾。（三）是最大限度解放内部审计人员的生产力的有效途径建立独立运行、功能强大、简单易用的审计信息系统，所要达到的目标不仅仅是把审计人员从繁重而低效的手工翻账中解脱出来，同时也

13、是为了使他们不坠入到深涩的技术漩涡中。在能够获取原始数据的审计信息系统基础上，以风险为导向，提炼出宝贵的审计经验模型，提倡以人为本的科学发展观，让计算机自动实现及时、高效、准确的风险监控与预警，从而最高程度地利用审计人员的智慧，最大限度地解放审计人员的生产力，进而科学高效地推进内部审计工作又好又快发展。（四）是提高审计质量和资源利用率的重要手段现代计算机技术使我们可以充分利用软件系统提供的操作权限控制功能，在各审计环节设置控制点，实时监控工作进度和质量，使得审计工作质量的控制更加规范和有效。此外，对审计人员收集的各种电子数据，可以采用数据挖掘技术，高效、准确地进行统计、分析，为领导决策提供及时

14、的信息，最大限度地发挥内部审计部门为公司提供增值服务中的建设性作用。三、我公司审计信息系统设计思路根据以上分析，我公司迫切需要加快审计电子化建设，充分利用先进的信息技术，开发一套以风险管理为导向，以规范管理为前提，以指标体系为依托，以简化操作为基点，以提高效率和有效性为核心，从数据整合、风险分析、流程管理到辅助决策的独立审计信息系统。我公司审计信息系统的设计思路、目标、原则和用户对象是：（一）确立以风险为导向的系统设计思路以风险为导向的审计分析流程通常是（详见下图）：风险监测预警风险查询查证实施审计工作风险评价评级风险统计分析。审计部门在可信的数据源基础上，定期和不定期运用定量或定性的方法对全

15、公司各项业务或各业务部门、各分支经营机构的风险状况进行分析、监测和评价，找出高风险业务领域和高风险部位；以风险为导向制定审计工作计划，对重大的问题和舞弊随时安排重点审计；对被审计对象的风险状况和变动趋势做出准确预警。遵循以上以风险为导向的审计分析流程，确立我公司审计信息系统的主要设计思路是：运用风险为导向的审计分析流程，充分发挥计算机处理数据的优势，将先进的审计思想和复杂的金融工程学理论通过计算机加以融合，改进我公司内部审计手段，同时全面管理审计资源、规范审计过程、提高审计质量，准确评估经营机构的财务、业务风险，以现代信息科技理念深入诠释审计业务流程和管理方式，有效提高公司风险管理水平和风险监

16、控能力，从而防范和化解风险，为公司提供增值服务。我公司的审计信息系统将通过灵活的、可配置的审计模型及规则定制，构筑整体风险评价体系，有效提高审计管理水平和风险管理水平，从而防范和化解经营管理风险。根据业务监控、风险预警、管理规范的要求，整合资源，系统规划、科学设计、严密分析，力求使审计信息系统具有完备的数据平台以及信息分析、风险预警、问题查证、流程管理、统计查询、辅助决策、在线支持等功能。系统基于自动采集的各类业务数据，通过人工或自动运行的程序对数据进行归集、汇总、评价、分析、监测，自动产生各类预警信息，有力地增强对全公司经营、管理风险监控的科学性、严密性、及时性、有效性，避免和防范局部及系统

17、性的经营管理风险。同时，有利于内部审计部门积极利用对各类机构、各项业务风险评估的成果，确定审计重点和审计频率，科学组织和规划年度审计计划，从而将有限的审计资源配置到管理层最为关注及对公司而言风险较高的领域，进而实现审计管理的电子化、信息化、规范化。（二）系统设计目标我公司审计信息系统的具体设计目标包括以下几个方面：一是建设独立的软硬件系统，基于数据仓库技术，实现公司财务、业务等经营管理原始数据的自动采集和存储，不受原有各应用系统的限制,充分实现业务数据的共享；二是建立能反映公司经营管理情况的风险指标体系，实现基于指标体系的全方位、多层次的汇总，横、纵向综合分析以及风险预警； 三是采用参数化设计

18、方法，通过参数驱动管理，实现覆盖各种业务种类、财务流程的审计模型，为审计工作的深入开展提供数据平台和分析指引；四是建立基于数据挖掘与探测的处理平台，提供非现场查询查证功能，为现场审计工作提供强有力的数据支持和技术保障；五是实现简单易用、条理清晰、重点突出的系统用户界面，使审计人员既能够摆脱繁杂的手工操作，同时也不被技术细节所困扰；六是构建审计知识库，应用专家系统技术进行辅助审计，通过资源共享实现智能管理，实现审计业务的流程化控制和统计信息自动积累，使审计业务更加规范、严密和高效，提高审计质量水平；七是构筑体现公司风险趋势的决策支持平台，实现统计自动化，决策科学化，夯实风险管理基础，为公司管理层

19、把握风险、有效经营、科学管理等提供决策依据和信息支持。（三）系统设计原则在设计和开发审计信息系统时要本着“有用、够用、好用”的原则，充分考虑以下设计要求：一是灵活性、适应性和可扩展性。系统的设计充分考虑公司业务发展的需要，充分采用灵活的参数化设计思想，如自定义审计规则（建立审计模型）、自定义数据采集的格式、自由定义分析报表格式等，使系统能够适应审计工作内容的变化和业务发展的需要。同时，随着系统的运行，系统数据量会日益增大，并对系统性能产生影响，为了保证对系统性能的要求，系统在设计时就前瞻地考虑具备较强的扩展性。二是充分保护原有设计投入。系统通过参数驱动，实现用户在业务形式变化的情况下无需修改应

20、用程序，只需重新定义参数即可避免由于程序修改造成的人、财、物等资源的浪费。同时投入的硬件设备尽量可以在功能变动后能继承使用，以保护原有的投资。三是安全性和易用性保证。审计信息是公司的商业机密，系统必须具备完善的安全机制，以保证审计信息的安全，防止重要信息泄漏。对相关的数据进行标准的加密处理，从硬件网络、操作系统、数据库、应用系统四个层次提供可靠的安全机制。用户访问界面根据用户需要提供c/s（客户端/服务器）和b/s（浏览器/服务器）两种模式，易学易用。四是并发性好、处理速度快。系统应具备较强的并发处理能力，以便承受海量数据及多用户执行非现场分析排查、数据查证、工作管理等操作带来的压力。（四）系

21、统用户对象在我公司内部审计实际工作中，从公司领导到现场审计人员等不同类型人有不一样的关注点。一般来说，管理层注重宏观性总体把握，如指标分析、监控与评价、风险趋势等，而操作层更关心现场审计中具体的单项业务，如问题查证、风险预警、审计流程管理等问题。同时，我公司的审计工作重心正在从以合规性审计为主转向合规性审计与风险性、效益性审计并重。据此，要求审计信息系统必须适应公司各层次管理及审计人员各类审计业务的需求。下图展示了审计信息系统面向各类型用户提供的相应功能：四、我公司审计信息系统功能概要我公司的审计信息系统参照国内金融业成功经验，主要实现以下功能：（一）数据自动采集金融风险管理的关键是占有和整合

22、全部业务数据，在此基础上进行分析、预警和风险评价，从而防范和化解风险。审计信息系统就是在原始数据的基础上，为审计工作提供数据源，它解决了审计人员获取数据的问题。系统自动实现审计工作所需各种格式的电子数据的采集导入、转换、整合、存储等功能，这是整个系统的基础（详见下图）。主要实现的功能有：一是原始业务数据的自动采集：主要实现从biz综合业务系统、金蝶k3系统、数据仓库系统以及其他数据源到审计信息系统的自动数据采集功能，系统能够在规定的时间自动批量获取原始数据，保障数据采集的及时有效，无需审计人员手工操作；二是其他数据的定制与采集：该模块主要实现非固定数据源以及临时数据的采集工作，审计信息系统能识

23、别、导入、编辑txt、dbf、excel、access、html等格式的文件；三是汇总生成派生数据：主要实现依据预先设计好的审计需求，自动对原始数据进行清洗、分类、聚集、联合、汇总等工作，以便审计人员对数据的直观查询；四是原始数据分析探测：主要实现对原始数据的查询与挖掘，能够灵活设置通用查询条件，直接对原始数据进行操作，以便审计人员取得原始证据。（二）风险监测预警在实现原始数据的自动采集与存储后，审计信息系统提供灵活方便的图形化工具，可以对原始数据、派生数据、外部数据等数据源进行操作，针对我公司各项业务流程、财务管理的特点，根据审计人员的需要，实现以风险为导向、自动运行的量化监测预警体系（如下

24、图所示）。该模块主要实现的功能有：一是建设审计数据仓库：主要是在数据采集与存储的基础上，利用数据仓库技术，实现数据集中的功能；二是建立风险监测模型：分析我公司业务流程、财务管理中存在的各类风险，通过简单易用的系统工具，抽象成为风险监测模型，体现为“红绿灯”自动监测预警体系（详见下图），实现风险的量化以及灵活的指标管理；三是提供预警规则管理：在风险量化指标的基础上，在系统中实现预警规则的灵活定义和参数化管理；四是实现风险管理流程化：系统提供对业务风险的监测、预警、调查、分析、跟踪、报告等处理的全过程记录，各层次管理人员可方便查询风险情况以及工作进度，实现业务风险排查以及风险案例管理；五是提供风险

25、报告机制：实现对业务风险的分析报告以及处理结果的统计报告，满足业务工作监督与决策分析要求。（三）审计查证分析在实际工作中，无论是预警的处理过程，还是专项审计工作，都需要对业务数据和风险问题进行查询查证。审计查证分析业务模块主要建立在预警模块基础上，实现对具体问题的调查、跟踪与报告（详见下图），主要包括如下功能：一是建设查证模型库：我公司监察审计部员工有着丰富的工作经验，积累了大量的审计查证理论模型，然而由于电子化程度不够，未能以有效的方式积累下来并形成资源共享的工作体系。为了解决这样的困难，审计信息系统要建立统一的审计查证模型库，从而对审计工作达到共享和规范的目标；三是通过制定标准化和可定制化

26、的审计程序，对指定某业务品种或会计科目下的单笔业务，从多个方面和角度，通过不同的审计步骤以及审计事项，进行程序化审计的流程引导，实现自动的业务提示和结论判断，最终生成审计工作底稿；四是利用数据挖掘技术，审计人员可以由最初的审计疑点追踪分析到最细节的原始凭证，从而获取最有力的审计证据。（四）审计项目管理该模块主要是通过电子化的手段，对审计项目流程进行管理与控制，实现审计工作管理的规范化、科学化、系统化，为我公司审计工作的管理和审计成果有效利用提供技术支持。通过审计信息系统，为审计工作人员提供工作底稿、审计报告、项目方案等审计文档文档的编制功能，同时为监察审计部门领导提供对内部审计人员、审计机构、

27、被审计实体、审计项目、审计问题、审计文档等的多角度、多方位的综合管理功能。审计项目管理平台的主要功能包括：一是为审计工作（如：专项审计、经济责任审计、外部检查等）提供立项管理、审计流程管理、项目督办、审计文件查询以及工作进度统计等管理功能，实现项目立项、计划一直到报告形成、归档的全部电子化流程，以实现审计工作的规范管理；二是工作底稿管理：通过程序化审计的标准步骤完成业务工作处理，系统将自动生成工作底稿，实现对工作底稿的手工添加、更新、保存、查询等操作。三是审计成果管理：对审计工作过程中产生的所有信息档案的自动进行归档；四是统计分析：分析审计人员解决的问题数量和问题类型，对工作业绩等进行统计分析

28、，以便更好规划未来的审计方向和重点。（五）内控评价管理根据监管机构要求以及我公司自身风险控制目标，需要建立全公司范围的内控评价体系，通过审计信息系统可以实现灵活制定内控评价规范与标准，自动化实现各个经营机构量化的内控评价，并可以展现全公司的风险分布，以促进全面风险管理目标的实现。内控评价模块的主要功能包括：一是建立评价指标体系：形成覆盖公司全面经营管理活动的内控评价指标体系，以风险为导向，确定各个评价要点的权重与分值；二是评价项目管理：发起评价项目并进行跟踪处理，首先确定评价项目涉及到的机构和内容，然后对评价项目进行跟踪，监控评价项目是否按规定内容和要求时间完成；三是评价结果处理：评价得分主要

29、是评价人员根据审计所发现的问题，对各个经营机构的每个评价要点进行打分，最后得到一个初始的分值和初始的等级，然后评价项目管理人员根据具体情况和工作经验，对初始分数和初始等级进行适当调整而得到最终分数；四是评价项目检索：主要在项目评级归档之后，通过系统授权后的相关人员可以指定检索条件对评价项目及进行查询，以报告形式展示被评级机构的风险分布状况；五是评价配置：主要是建立要素库，建立评价模板，建立机构和业务基础信息库，建立评价等级，对这些信息及参数进行维护的一个过程。（六）系统基础管理基础管理是保证审计信息系统正常运行的必要基础。主要包括以下功能：一是系统管理功能：对用户信息、组织结构、保密等级、角色

30、管理等进行统一管理，实现整个系统在严密的授权体系下运行，做到有章可依；二是系统运行监控：对系统运行情况进行实时监测，利用日志监控等功能，对所有数据操作进行记录，做到有迹可循；三是专家系统：对审计问题、规章制度进行管理,形成知识库共享，做到有案可查。五、我公司审计信息系统建设步骤按照以上工作思路和功能设计方案，我们建议按照“项目立项”、“需求分析”、“项目开发”、“系统测试”、“系统培训”、“系统上线”六个步骤开展审计信息系统项目建设工作。此外，由于我公司的业务不断发展，审计工作的目标与手段也随之变化，所以，在系统建设初步工作完成后，还要根据发展情况进行改进与升级。（一）项目立项阶段（计划完成时

31、间2008年底前）首先，由公司领导审批同意后，进行我公司审计信息系统项目的招投标工作，由监察审计部牵头提出具体项目需求，联合计划财务部、信息资源管理部、法律合规部等部门成立项目招标组，通过公开招标的方式选定具备成功实施经验的系统开发公司开展合作。我部通过了解国内目前成功建设并平稳运行审计信息系统的金融机构情况，考虑我公司的内部审计需求和业务特点，大致了解市场公开报价，根据系统功能的完善程度和模块的不同，建设审计信息系统专项资金投入大约在100万至300万元人民币之间。（二）需求分析阶段（计划完成时间2008年2月底）确定系统开发公司后，由监察审计部协同信息资源管理部及公司人员成立联合项目组，项

32、目组沟通确认开发计划和各个阶段需要提交的产品，形成项目计划书文档，正式开始系统建设工作。系统成功的关键是完善且详细的业务需求，所以，项目组首先要在信息资源管理部的支持下，按照审计信息系统功能概要设计思路缜密探讨业务需求，理清审计思路，深入研究业务品种、财务管理流程中的风险控制点和检查方法。同时，对现有业务数据进行分析，了解“要做什么”和“能做什么”，分析出需求和限制条件的差异，确定可利用的资源与能付出的成本，项目组成员共同探讨解决方案，最终确立正式的需求。该阶段主要工作内容有：一是摸清“数据自动采集”的数据来源;二是设计“风险监测预警”的数据模型;三是确定“审计查证分析”的操作流程;四是提出“审计项目管理”的具体要求;五是出台“内控评价管理”的评分标准;六是完善“系统基础管理”的框架设计。最后，确定各个模块实现目标的时间要求，形成系统需求书文档并由全项目组成员共同确认后形成终稿。（三）项目开发阶段（计划完成时间2008年4月底）根据系统需求书和项目计划书，系统将进入开发阶段。这一阶段主要在信息资源管理部的大力支持与