电网企业在信息环境下现代审计技术探索

摘 要：通过对当前IT 审计工作中的审计组织、工作机制、审计过程和审计架构等方面介绍，对电网企业如何开展IT 审计进行了探讨，探索一条适合我国电网企业发展的IT 审计理论和方法。

关键词：电网企业 IT审计 IT 风险 信息技术

近年来，计算机与网络技术使当今世界进入信息经济时代。Internet与电子商务的迅速发展正使企业的经营环境、经营方式和管理模式发生重大变化。这种环境下，电网企业除了继续加强传统生产管理技术投入，对信息技术投入也越来越大，各种生产、经营管理信息系统的运用极大的满足了企业生产经营的需求，提高了电网企业优质供电服务的能力，也促进了企业经营管理水平的提高。随着企业对信息化运用和依赖程度越来越高，如何保证各种信息系统正确、高效的运行，使得审计面临着新的挑战和任务，引入IT审计技术可加强对信息系统的风险控制。

IT审计与信息技术的发展密不可分。现代化的IT技术已经应用于内部审计之中， 大幅度地提高了内部审计工作的效率， 而且在多个方面对审计的发展产生了广泛的影响[1]。

IT审计在国内外学术界有多种叫法，例如 EDP审计、电算化审计、信息系统审计等。尽管叫法不同，但其涵义基本相同。IT审计与一般审计一样，同样是执行经济监督、鉴证与评价职能。其特殊性主要在两方面：（1）对执行经济业务和会计信息处理的IT系统进行审计，即IT系统作为审计的对象；（2）利用计算机辅助审计，即计算机作为审计的工具。概括起来说，无论是对IT系统进行审计还是利用计算机进行审计，都统称IT审计[2]。

1.电网企业IT审计的目标

为能有效地、恰当地和高效率地开展IT审计，应该明确IT审计的目标。IT审计并不改变审计的目的和职能，只是审计的环境、对象、方法和工具发生变化。电网企业IT审计的目标可概括为通过对企业IT规划、建设、应用、服务以及安全等全方位的审计，评价信息化投入效益，充分识别与评估IT风险，促进完善IT控制措施，提升IT系统的可用性、安全性、完整性、效益性，以达到强化IT内部控制的目的。

2.IT审计的内容[3]

2.1研究、审查与评价IT系统的内部控制

由于应用了电子数据处理技术、网络技术、电子商务技术等等，电算化和网络化带来了许多新的风险。系统的安全、可靠性很大程度决定于系统的内部控制。没有健全的控制，系统的程序和数据可能随时被人篡改，机密的经济信息可能被人窃取，系统可能遭受计算机病毒和黑客的攻击和破坏，等等。为了提高计算机信息系统的合法性、正确性和安全性，研究计算机信息系统的特点和风险，研究应有怎样的控制才能有效地降低这些风险，对系统的内部控制进行审查和评价，审查系统的内部控制是否完善，监督内部控制的有效执行，对控制的弱点和缺陷提出改进的建议，确保计算机信息系统能合法、正确、安全、可靠地处理有关的经济业务，是IT审计的一项重要任务。在电算化和网络化条件下，系统的内部控制包括程序化的控制和要求员工执行的管理制度。程序化的控制编写在系统应用程序中，其审查可在系统功能审计中进行。对管理制度的完善性和有效性进行审计，则类似于传统的内部控制审查。

2.2 IT信息系统开发审计

在网络化条件下，为企业能正常经营、有效管理，必须建立合法、有效、安全的计算机信息系统与企业内部网。一个计算机信息系统，尤其是大型的网络系统，如果问题到正式投入运行后才发现并进行修改，要比在开发阶段发现、改进耗费更长的时间和更高的成本。因此，有必要对计算机信息系统 （如 ERP系统）的开发进行事前、事中的审计。这项审计工作一般由内部审计人员执行。系统开发审计的主要内容包括：①审查系统开发的可行性；②审查系统业务和信息处理功能的合法性和正确性；③审查系统程序控制与管理功能的恰当性与有效性；④审查系统的可审性（即是否留下了充分的审计线索）；⑤审查系统测试的全面性和恰当性；⑥审查系统文档资料的完整性；⑦审查系统的可扩展性。

通过系统开发的事前与事中审计，尽早发现系统的问题，及时提出改进的建议，可以把好系统质量第一关，同时也为审计人员今后对系统的审计打下基础。此外，审计人员在系统分析阶段应根据网络化审计的特点对系统提出审计方面的需求：①在系统中建立监控程序 （又叫嵌入审计程序），以便计算机能对一些敏感和重要环节实行实时监控，发现异常的情况或例外事件自动向审计部门报警或自动记入审计文件，以便审计人员审查。②在信息系统中建立审计子系统或模块，提供审计程序、审计工具和审计档案库，以便审计人员进行网上审计。

2.3 IT信息系统功能审计

在电算化和网络化条件下，经济业务处理或会计核算由计算机系统执行，为了能对计算机信息系统的合法性、正确性和安全性实行有效的监督，IT审计的另一项重要任务就是要对计算机信息系统的功能进行审计。对信息系统功能审计的主要内容包括：①审查验证系统对业务与信息处理的合法性、正确性和可追索性。查明它们能否按现行的会计制度以及有关的财经法规和政策规定进行各项经济业务处理和会计核算，提供合法、正确的经济信息。②审查系统程序控制功能的恰当性和有效性。查明系统能否有效地防止或及时地发现在输入、处理、输出等过程中可能出现的各种差错和舞弊，达到预定的控制要求。计算机系统由硬件设备、系统软件和应用程序组成。只有三者的功能都正确可靠，系统的处理和控制功能才可能正确可靠。因为硬件设备和系统软件是由计算机厂商提供的，其中建立了不少控制，其功能一般来说比较可靠，一旦出现故障也较容易发现。会计核算或经济业务处理是根据系统的应用程序进行的，计算机系统的处理和控制功能是否合法、正确、可靠，很大程度决定于系统应用程序的正确性和安全性。因此，对计算机信息系统功能的审查，常着重于对系统应用程序的审查。对复杂的IT信息系统功能的审计，审计人员应聘请IT专家共同参加审查。

2.4 IT信息系统电子资料审计

审计都要对被审单位的证、账、表及其他反映经济活动的有关资料进行审查。在会计电算化条件下，证、账、表以数据文件的形式存储在电磁介质中，对它们的审计可以利用计算机辅助审计。计算机可以快速准确地完成各种繁复的计算，可以对大量的数据按指定要求进行各种审计处理，利用计算机辅助审计可以加快审查速度、提高审计效率和审计质量。

如果说仅在会计电算化条件下，审计人员还可以绕过计算机，只对打印输出的证、账、表和有关资料进行审计的话，那么，在网络经营与电子商务的条件下，因为没有纸性的审计线索，只有电磁化的电子资料，审计人员不可能绕过IT审计。对经济活动和会计信息的审查，必须利用计算机对有关的电子资料 （包括各种原始单据、合同、记账凭证、账簿、报表等）进行审查取证、汇总分析。对电子资料的审查，是IT审计的重要任务之一。

3.IT信息系统审计的程序

IT信息系统审计的程序与手工会计信息系统审计的程序基本相同，是指审计工作从开始到结束的整个过程，一般包括三个主要阶段，即计划准备阶段、实施阶段和审计完成阶段[4]。

3.1计划准备阶段

计划准备阶段的任务是：根据审计的目标对被审计单位的计算机会计信息系统进行初步调查、组织IT审计小组、发出审计通知书、编制审计计划等。初步调查，了解被审计单位的基本情况。包括：计算机会计信息系统的硬件、软件配置状况；系统总体结构、功能模块划分及各模块之间的关系；系统人员的配备、职责分工、相关规章制度及业务流程；初步评价内部控制制度的执行情况。

组织IT审计小组，根据被审计单位计算机会计信息系统的复杂程度、审计任务的难度及审计人员的素质选择适当的审计人员组成IT审计小组。小组成员可以由经过IT知识培训的审计人员和具有会计、审计知识的IT技术人员共同组成，各自发挥专长。相互配合完成审计工作。

发出审计通知书，执行内部审计时，要对被审计单位发出审计通知书，审计通知书是告知对被审单位进行审计的书面文件，包括：审计机关的名称，审计的目的、范围、重点，审计的时间和要求等。编制审计计划，审计计划由审计项目负责人于现场审计工作开始前起草，基本内容包括：被审计单位的基本情况、审计目的、审计范围及重点、工作进度、审计组人员组成及分工、审计程序、提出审计报告的时间等。

3.2实施阶段

实施阶段是审计全过程的中心环节，其任务是：对被审单位的内部控制的建立及遵守情况进行控制测试，对系统处理功能及处理结果的正确性进行实质性测试。

①控制测试。对内部控制措施的可靠性进行的测试，可分为一般控制测试和应用控制测试。一般控制测试的主要内容是：组织与管理控制、开发与维护控制、硬件和系统软件控制、系统安全控制、系统文档控制等方面的审查与测试。应用控制测试的主要内容是：输入控制、处理控制和输出控制的审查与测试。

②实质性测试。对被审计单位账户余额和发生额进行直接审核，以确认系统信息的正确、真实与可靠。在对会计资料所进行的实质性测试过程中，因为大量的信息都是以机器可读形式存放于一定的介质上，对这些数据文件的测试方法与手工截然不同。具体的测试方法包括以下三种：第一，不处理数据文件的实质性测试方法；第二，处理实际数据文件的实质性测试方法；第三，处理模拟数据文件的实质性测试方法。

上述三种方法与应用程序测试所叙述的方法基本一致。实际上，数据文件的测试可以与应用程序控制测试同时进行，也可以认为是计算机信息系统环境下的“双重测试”。

3.3审计完成阶段

审计完成阶段是实质性审计工作的结束，其任务是：整理、评价收集到的审计证据，复核审计工作底稿，编写审计报告。

①整理、评价收集到的审计证据。审计人员通过分类、计算、比较、综合等方法整理、分析审计证据。

②复核审计工作底稿。通过对审计工作底稿的复核，检验所引用的有关资料是否详实可靠，所获取的审计证据是否充分适当，审计判断是否合理，审计结论是否恰当。

③编写审计报告。审计人员必须正确运用职业判断、综合收集到的审计证据，根据审计准则，形成正确的审计意见，出具审计报告。审计报告除被审单位财务活动及文件编制的合法性、公允性，会计处理方法一贯性发表审计意见外，还应对被审单位计算机会计信息系统的内部控制和处理功能进行评价，并应提出改进建议。

4.IT审计技术及审计软件综述[5] [6]

4.1 IT嵌入式审计技术（一种在线审计技术）

嵌入式审计模块是集成于应用系统的各个环节的代码段， 或者说它是嵌入被审查的系统中的一个程序块， 应用它的主要目的是实现对交易处理等被审计事项的持续监控。嵌入式审计模块根据预先设定的规则对系统中每一项交易进行实时检查， 因此它尤其适用于需要处理大量数据的计算机系统中。嵌入式审计模块对满足预先设定规则的交易， 在该交易被进一步处理前作如下工作： 记录该交易的细节， 实现定期浏览和报告审计日志文件， 为后续审计作准备； 或者只是对交易作标记（ tagging） 以便区分其他交易。

利用嵌入式审计采集审计证据有其独特的优点。其一， 它并不需要内部审计师连续地监控审计模块， 而是只要零星和偶然的监控即可获得有效的结果， 这就大大减少了内部审计师的工作量。实时审

计可以弥补事后审计线索不充分的缺陷。例如： 我们使用客户服务系统（CSS，Customer Service System ）来管理客服功能。基于在线实时环境运行的CSS系统能保证客户服务数据直接由客户端传入系统数据库中， 对这种运行能够进行有效的实时监督的就是嵌入式审计过程。其二， 它可以采集审计所关心的关键数据。如对计算机非正常运行时间处理各项业务的记录， 或对非法调用数据文件处理的记录。嵌入的审计程序本身具有隐蔽性、安全性和稳定性。非审计人员不能看到这些审计程序和自动形成的审计数据。所以， 审计人员应用这些审计程序就能自动记载所要收集的审计证据， 同时还可随时调阅这些证据文件， 并利用这些审计证据适时判断系统运行情况和提出审计建议。

4.2通用IT审计软件（Generalized Audit Software，GAS）

GAS 是专门为审计人员设计的， 是能够直接访问各种数据库平台及平面文件（具有行和列的一维或二维数组的数据表）系统的标准软件。它可帮助审计人员完成基本的审计任务，尤其擅于测试计算机中存在的数据和信息。通用审计软件比较容易使用， 只需要审计人员具有有限的计算机知识， 并不要求有编程方面的专业知识，因此具有适用性强等优点， 是目前计算机审计中最广泛使用的审计工具。其基本结构图如图1所示。

国外著名的通用审计软件有审计命令语句ACL（Audit Command

Language）和IDEA（Interactive Data Extraction and Analysis）。国内的通用审计软件有： 中望软件公司的审易软件、中普软件公司的中岳软件、通审软件公司的通审2000、审计之星、金剑软件等。

在众多审计软件中，由ACL Services Ltd.（）开发的审计命令语句ACL 是使用最广泛的通用审计软件。它允许审计师将个人笔记本电脑与客户机系统相联， 从而下载客户端数据到笔记本电脑中以供后期的处理。它可以针对覆盖所有交易事项的大数据集合进行符合性测试。值得一提的是， 它有审计追踪的功能， 从而审计师可以在任何时候观看他们的文档， 步骤和结论。ACL使用便利、适用范围广和可靠的优点使其在审计公司中非常流行。

4.3EXCEL中的审计工具

Excel是审计人员最常用的一种简单却非常易用的工具。可利用Excel辅助执行的审计工作有：利用Excel辅助审计程序表的编制，编制某些项目的审计表格，编制试算工作底稿与调整后会计报表， 编制集团公司的合并报表， 进行分析性复核。利用Excel辅助审计， 是一种成本低、效率高、灵活方便、实用有效的计算机审计技术。

5.结论

未来计算机审计工具与技术的发展更加要求内部控制制度的加强。传统记账方式下， 可以从字迹上辨认出登记人， 从而明确责任， 但是计算机环境下只能提供统一模式的输出资料。没有记录人的笔迹， 无法从记录上辨认登记人， 审计线索的痕迹不容易追踪，这就需要审计人员对会计部门的内部控制制度、职责的划分情况进行审查和评价。

随着电力行业快速发展，加强IT审计是建设国际一流电力企业的必然需要，也是国资委、工信部、国内外证监会等监管机构外部要求，更是践行“万家灯火、南网情深”企业理念的内生需求，必须通过加强IT审计来保证公司的信息技术应用对各级监管政策、法规的遵从性。因此，开展全面系统的IT审计是企业生存与发展的客观需要，具有重大的现实意义。需要我们以发展的眼光，与时俱进，坚持科学发展观，自主创新，深化研究，消化吸收国外IT审计先进方法、理论和技术，建立完整的、自主可控的信息系统事前、事中、事后多密级、多业务、多系统、多网络综合安全保障体系，为电网企业在各个领域的发展提供坚强后盾和有力保障。

参考文献：

[1]刘炳焕.我国计算机审计的现状与发展对策分析[J].审计文摘，2004（6）

[2]Larry E.Rittenberg，adley J.，Schwieger. Auditing：Concepts for a Changing Envioroment[M]，Jointly published by Peking University Press，2003.

[3]薛鹏.如何在会计电算化环境下实施有效的审计[J].工业会计，2002 （11）.

[4]中国内部审计协会.中国内部审计规定与中国内部审计准则[M]. 北京：中国石化出版社，2004.

[5]王宝庆.现代内部审计[M].上海：立信会计出版社，2007.

[6]理查得·L·莱特里夫等.内部审计原理与技术[M].北京：中国审计出版社，2008.

作者简介：

黄瑾（1980-），女，籍贯：江西省丰城市，就职于安顺供电局，会计师。