大数据背景下的内部审计信息化建设路径

李德强

近年来，高校审计信息化建设越来越受到审计人员的关注和重视，很多学校都做了一些探索。同时政策也要求通过科技加强审计。这两点是我们对审计信息化讨论的背景。“互联网+监督”在审计领域的具体实践就是审计信息化。对审计信息化的实践探索和理论研究主要基于两个驱动，一是政策驱动，中央成立审计委员会，对审计工作提出了更高的要求，教育部也专门发文要求加强审计信息化建设；二是业务驱动，审计业务发展迅速，而审计理论研究跟不上，导致审计人员在具体实施过程中的缺少理论指导。本文主要是探讨审计信息化基础理论和审计实践的结合问题。

一、什么是内部审计信息化？

什么高校内部审计信息化？它又从哪来？想先从这篇中国内部审计协会的文章——《中国内部审计信息化发展报告》来寻找。文章对内部审计信息化的定义是内部审计机构以促进组织完善治理为目标，运用现代信息技术，变革内部审计业务实施、审计管理以及支持审计决策的过程。内部审计信息化的发展分为四个阶段：单点应用、综合应用、集成应用、战略应用。我认为高校内部审计信息化目前发展到了综合应用阶段，虽然我们已经在探索，但是离后面两个阶段还很远，所以我的基本判断应该属于第二个阶段。但是第二个阶段中，按照“代表性应用系统”，我们目前做到的还远不够。我们现在已经有了一些数据的简单分析平台和知识管理系统。

接下来我想从高校内部审计数字化转型的角度来谈一下审计信息化建设。

什么是数字化转型？我认为有两点。第一个实现所有业务的数字化。对审计从业人员来讲，就是我们所有的过程要在线上进行，所有的资料都能实现数字化，从而实现对整个审计过程的质量控制。另外一个是数字业务化，这才是将来真正要用到的大数据技术，用于风险预警或者说为学校决策提供支撑的数据分析结果。服务对象实际上就是整体的审计对象，也包括我们。这对审计很重要，体现了业务增值。

所以我个人觉得，在目前整个互联网生态已经这么全面的情况下，高校内部审计信息化的定义就是，内部审计机构以促进组织完善治理为目标，将以大数据技术为代表的现代信息技术与审计管理、审计作业、风险预警等审计业务深度融合，实现审计业务数字化和数字业务化的数字化转型过程。

二、高校内部审计信息化建设现状分析

中国内部审计协会的文章中有对于当前现状的判断，文章中说“我国多数行业企业的内部审计信息化处于‘局部应用’阶段，比如教育、铁路和质检等。教育行业，只有部分高校正在尝试远程审计系统”。文章指出企业、金融机构等等在信息化方面都做得挺好，但高校的信息化建设和其智慧知识资源不太匹配，学校是输送知识的，结果其他行业搞的都比我们好。其次，在智慧校园建设过程中，我们的审计对象发展得也都很快，而审计单位现在技术手段还有欠缺、跟不上，这就制约了全覆盖审计要求的推进。我从SWOT四个方面分析一下高校内部审计信息化建设的一些特点。

1.优势方面

（1）制度优势。根据委托代理理论，我们是有制度授权的，所以我们想做事的合法性没有问题。（2）控制优势，内部审计人员应该是对风险点最敏感的，因为我们盯的就是风险点，我们是问题导向的，所以我们对内审信息化建设有控制优势。（3）技术优势。这里的技术优势不是信息技术，因为我们内部目前实际上没有这个优势，除非说内审人员本身是计算机专业出身。我这讲的是我们有发现问题的技术。传统审计的审计技术方法还是有效的，它在运用现代技术分析过程中还是非常有用的。

2.劣势方面，就是人、财、物的问题。（1）人力资源不足。每个审计部门都说内部审计信息化建设缺乏懂行的专业人才，比如计算机人才。（2）数据采集困难。大多数学校的业务系统基本都是孤岛式的，系统数据的整合很困难。信息办在建数据仓库的过程也挺累，因为他要跟不同部门去要不同的数据，对于不同的数据标准又需要不同单位的配合采取。（3）认识偏差规划缺位。信息化建设一定要有计算机人员才能搞吗？我觉得不一定。但它是一个技术活，我觉得可以借助多种平台来做。我认为数据式审计处理的不是大数据，是数据大。所以如果要实现大数据，一定是线上平台才能够实现。因此在认识和规划上面，有很多值得我们进一步做的。

3.机遇方面

（1）审计全覆盖。好的政策给了我们很好的机遇，但要求是很高的，我们能不能做到？真正做到审计全覆盖是很难的。（2）审计质量提升。对现在的审计质量来讲，外部要求越来越高，内部审计规定里要求审计部门对审计结果负责，包括外部社会审计机构做的数据结果也要负责。比如外部社会审计机构的重大错误，如果内审人员没有发现也是要负责的。所以对内部审计整体的审计质量提升要求非常高，对审计部门来讲风险也非常大。（3）智慧校园建设进程加快。我们的审计对象发展也特别快。

4.挑战方面

（1）审计供给不足。业务部门实际上对审计是有需求的，因为他们也知道问题在什么地方，他们也想问审计如何解决好问题。审计被需求，但我们目前的能力跟不上，我们可能和被审计单位一样束手无策。

（2）IT环境的固有风险。固有风险其实就是数据安全。（3）数据错报风险。所有审计对象业务系统中的数据第一次生成的时候，无法判断真假。一些财务数据我们也许可以通过多方对比，但是有的业务数据它在第一次生成的时候没法判断。因此，如果它的基础数据就是不真实的，就会导致最后做出的判断有误。

三、高校内部审计信息化的建设路径

基于我们学校探索的内审信息化建设现状，我觉得要把握以下六个方面，可能还不全面，仅供大家参考。

1.统筹

（1）统筹校内外人力资源。信息化建设不可能完全靠审计部门自己力量，部门可以引进一个人，但你不可能引进很多人，并且这个人也仅仅是懂计算机，要他跟业务结合也需要一个融合的过程。所以，我们在建信息化系统的过程中应该有一个统筹的概念，统筹校内外的人力资源，团队中要有懂业务的人，也要有懂计算机的人。不仅仅是审计部门的人员，还可以跨部门，我们借助了学校信息办、信息学院、理学院等等力量，共同做这件事情，就是希望把它做好。

（2）统筹全校数据资源——业财融合。统筹的过程就是所有数据入库的过程。在审计平台上要实现财务数据和业务数据、结构数据和非结构数据的整合、关联。

（3）统筹平台基础设施。实际上，每个学校的信息中心所建筑的基础资源设施还可以的，尤其部属高校还是不错的。所以，我们建设内审信息化平台的时候不要再另外做一套，一定要用已有的资源。

2.传导

（1）传导数据标准。这个标准需要我们与相关的业务部门沟通告知，审计署已经在向高校收集很多数据了，他们自己也已经在建立数据库。

（2）传导数据入仓。这就是我们要和信息办共同合作，让我们所有业务部门的数据在有了标准之后，让他们的数据能够及时进入我们的数据仓库。

（3）传导数据安全。最后经审计过程形成的所有数据，也是学校数据一部分，对于这部分数据的安全应该归到整个学校的数据安全当中，通过学校整体的防火墙起到保护作用。

3.规则

（1）体现制度文件要求。信息化平台当中一定要体现制度要求，体现出审计依据。（2）体现审计准则要求。审计的过程中，因为控制审计质量，一定要体现每一个环节的准则要求。不同学校要求可能不一样，但将来一定会形成一个统一的基础模型。

（3）体现用户特色要求。用户特色就是审计部门自己的审计规则。

4.技术

（1）平台程序语言的兼容性。程序语言在不断变化，我们最早用的语言在建另外一个模块时可能就要换成另外一个语言。我们要体现不同程序语言的衔接。

（2）数据存储、查询的便捷性。

（3）数据分析技术的复合性。将来肯定是几种技术融合在一起的，会越来越强调复合性。

5.风险

（1）审计活动本身的风险点。要在信息化建设的规则设计中体现出风险点。

（2）学校业务活动的风险点。这就需要我们预警的时候来进行设置。

（3）风险的分级管理。将来要有风险地图，实现风险的分级管理。

6.服务

监督即服务，通过服务的理念去监督，会大大减少审计工作的阻力，因为我们的目的其实都是希望内部管理能更好的。

（1）通过可视化的平台提供风险预警。

（2）通过大数据分析去提供决策咨询建议。

（3）面向审计同行，形成审计生态。审计生态是我想重点说的，审计生态是什么？就是在其中，审计人想做的事、想要的东西都有，可以不依赖外界，当然数据交换是需要的。比如税务数据需要向工商税务等的外部机构获取，还有造价指标等凡是涉及到外部的公共数据可以通过爬虫工具获取。在信息系统中能够形成这样一种生态，它就像有便捷完整的知识库一样，其中还需要所有审计人通过发挥他们的聪明才智而形成的审计模型。除了大家都可以用的，还有一些特色的自定义。

总的来说，我认为有三个词可以概括以上的内容：统传结合、正则控险、融技思服。

（本文系华东理工大学审计处处长李德强于9月6日上午在“互联网+监督”与高校治理研讨会上的演讲）