我國會計師事務(wù)所信息化的現(xiàn)狀、問題及對策研究

張 瓊

當前，我國互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)等信息技術(shù)飛速發(fā)展，信息化水平不斷提高，在產(chǎn)業(yè)規(guī)模、信息化應(yīng)用效益等方面取得長足進步，已經(jīng)位居全球領(lǐng)先位置。伴隨著信息技術(shù)在政治、經(jīng)濟、文化等領(lǐng)域的廣泛應(yīng)用，注冊會計師的執(zhí)業(yè)環(huán)境也發(fā)生了深刻變化，迫切要求會計師事務(wù)所直面信息革命的挑戰(zhàn)和機遇，融合信息技術(shù)，變革執(zhí)業(yè)理念、方法、技術(shù)與管理，實現(xiàn)業(yè)務(wù)與管理的信息化。

本文對我國事務(wù)所信息化建設(shè)的現(xiàn)狀，存在的主要問題、產(chǎn)生問題的原因進行了研究，并就事務(wù)所信息化建設(shè)的對策進行了探討。

一、現(xiàn)狀概述

我國事務(wù)所信息化建設(shè)起步較晚。近年來，在中國注冊會計師協(xié)會的大力推動下，取得了一定成效，但從總體上看，各事務(wù)所在信息化的廣度和深度上參差不齊，中小型事務(wù)所普遍專注審計作業(yè)信息化，而大型事務(wù)所在審計作業(yè)信息化、內(nèi)部管理信息化和信息化服務(wù)方面都進行了探索。

（一）審計作業(yè)信息化

審計作業(yè)系統(tǒng)（審計軟件）在事務(wù)所的使用越來越普遍，除極少數(shù)事務(wù)所自行開發(fā)或定制開發(fā)審計作業(yè)系統(tǒng)，大多數(shù)事務(wù)所選擇購買市場化的審計軟件產(chǎn)品，運用審計作業(yè)系統(tǒng)采集和導入財務(wù)數(shù)據(jù)，使用賬齡分析、憑證綜合查詢和抽樣、生成詢證函、底稿和報表等模塊，減少數(shù)據(jù)復(fù)制粘貼、計算匯總、數(shù)據(jù)分析、實質(zhì)性底稿生成等大量機械性勞動,提高審計效率。

（二）內(nèi)部管理信息化

部分規(guī)模較大、業(yè)務(wù)和流程復(fù)雜的事務(wù)所為強化內(nèi)部管理，通過自行開發(fā)或定制開發(fā)等方式，部署和實施內(nèi)部管理系統(tǒng)（ERP系統(tǒng)），運用管理系統(tǒng)的客戶管理、項目管理、風險管理、報告管理、人事管理等模塊，實現(xiàn)從項目承接、人員分派和承做到出具報告的線上流程管理，提升內(nèi)部管理水平。

（三）信息化服務(wù)能力

大型事務(wù)所開始注重和提升信息化服務(wù)能力，設(shè)立IT部門，承接承做財務(wù)審計項目的信息系統(tǒng)審計部分、信息化建設(shè)和管理咨詢、信息系統(tǒng)審計等,通過IT審計防范和控制審計風險，指導客戶提高信息化建設(shè)成效和強化IT管控等。

二、問題分析

現(xiàn)階段，我國事務(wù)所信息化建設(shè)存在的主要問題包括：

（一） 對信息化建設(shè)的認識不到位

事務(wù)所信息化是一項技術(shù)工程，更是一項管理工程，它涉及到事務(wù)所的管理模式、組織結(jié)構(gòu)和業(yè)務(wù)流程等諸多方面的變革。在這一變革中，事務(wù)所不僅要投入大量的人力、物力和財力，更需要轉(zhuǎn)變觀念、明確目標，合理定位，使信息化滿足經(jīng)濟技術(shù)法律監(jiān)管環(huán)境的要求，與事務(wù)所發(fā)展戰(zhàn)略相匹配。否則會降低信息化建設(shè)成效，甚至導致項目失敗。如有的事務(wù)所在管理信息化建設(shè)之初，對信息化建設(shè)的目標、必要性、緊迫性、艱巨性等認識不足，盲目上馬，導致信息系統(tǒng)上線后又全部推倒重來，造成極大浪費和損失。

（二）缺乏信息化建設(shè)的制度基礎(chǔ)

從本質(zhì)上說，信息化是事務(wù)所管理機制的一場革命，硬件設(shè)備和技術(shù)不論如何先進，如果不與科學的管理和制度相結(jié)合，就無法發(fā)揮其應(yīng)用的作用。比如事務(wù)所的管理系統(tǒng)主要針對業(yè)務(wù)流程的控制，而績效考評、財務(wù)管理、決策管理等功能并未開發(fā)或遭到棄用，仍然為手工線下操作，究其原因是管理體制、流程和制度未與之配套。

（三）信息系統(tǒng)管理不規(guī)范

信息系統(tǒng)管理不規(guī)范，主要體現(xiàn)在以下兩個方面：

1.開發(fā)管理缺位

信息系統(tǒng)開發(fā)的控制手段主要有事前規(guī)劃、事中監(jiān)理和事后評估。但目前事務(wù)所在自行開發(fā)或定制開發(fā)信息系統(tǒng)時，大多缺乏事前的通盤考慮和整體規(guī)劃，未對需求進行充分調(diào)研；未對系統(tǒng)設(shè)計、開發(fā)、測試、驗收和上線等過程進行事中監(jiān)控；未開展系統(tǒng)實施后評價，即PIR（Post Implementation Review）。國際信息系統(tǒng)審計協(xié)會（ISACA）在《IT Standards, Guidelines,and Tools and Techniques for Audit and Assurance and Control Professionals》（Current as of 1 March 2010）中詳細解讀了G29 PIR，根據(jù)G29的定義，PIR是指由獨立的IS審計人員執(zhí)行的，對IT解決方案和或?qū)嵤┑倪^程，和實施后效果的第一次或后續(xù)審查，以對以下任何一個或全部事項進行評價：

a.是否實現(xiàn)該方案的預(yù)期目標

b.實際成本和收益是否與預(yù)算進行比較

c.實施過程的有效性和恰當性

d.如有超支的時間和或成本、質(zhì)量和或性能等問題，說明原因

e.該方案所帶來的生產(chǎn)力和績效的提升

f.是否實現(xiàn)業(yè)務(wù)流程和內(nèi)部控制

g.實施的用戶訪問控制是否與組織的政策一致

h.用戶是否經(jīng)過適當?shù)呐嘤?/p>

i.系統(tǒng)是否可維護，且今后可進一步提升效果和效率

j.是否遵守與其相關(guān)的法規(guī)要求和組織的政策

k.是否遵守與其相關(guān)的COBIT控制目標和管理指南

l.無論是該方案還是實施過程都有進一步改善的機會。

開發(fā)管理缺位，通常導致系統(tǒng)未滿足功能性需求和非功能性需求、信息資源無法共享等問題，比如審批流程的設(shè)計靈活性差，不能適應(yīng)業(yè)務(wù)發(fā)展的需要；標書制作、質(zhì)量控制復(fù)核、培訓管理、文檔管理等功能存在欠缺或尚待細化,仍為手工操作，降低信息化效果；系統(tǒng)之間未開發(fā)數(shù)據(jù)接口功能，數(shù)據(jù)重復(fù)錄入；系統(tǒng)設(shè)計時對系統(tǒng)用戶和業(yè)務(wù)量估計不足，影響系統(tǒng)響應(yīng)速度和可用性等。

2.機房、備份、運維和安全管理薄弱

事務(wù)所的機房、備份、運維和安全管理通常外包或由內(nèi)部信息技術(shù)部門承擔，由于人員、經(jīng)驗和技術(shù)欠缺，事務(wù)所在機房、運維和安全管理方面較為薄弱，比如未妥善備份數(shù)據(jù)；未對機房環(huán)境、系統(tǒng)和網(wǎng)絡(luò)運行進行實時監(jiān)控；機房進出未登記；防火墻、防病毒、上網(wǎng)行為監(jiān)控、網(wǎng)絡(luò)、系統(tǒng)和數(shù)據(jù)庫訪問控制等安全措施不力；委托外包商承擔運維工作，卻未規(guī)范和監(jiān)督外包行為，對外包服務(wù)質(zhì)量進行考評等，降低信息系統(tǒng)的可用性、安全性和可靠性。

（四）信息化資源投入不足

信息化資源包括人力、物力、財力、經(jīng)驗等，事務(wù)所受限于資源不足，難以利用信息技術(shù)發(fā)展的先進成果,購置或開發(fā)信息系統(tǒng)往往處于較低水平，以解決當前問題為主，后續(xù)升級乏力，信息化效果并不盡如人意。

1.審計作業(yè)系統(tǒng)尚待智能化

（1）未實現(xiàn)將風險評估結(jié)果與審計策略的自動關(guān)聯(lián)

國內(nèi)審計軟件比如鼎信諾、中普、e審?fù)ǖ葍H僅是將手工填制的風險評估底稿錄入系統(tǒng)中，未對風險評估結(jié)果進行智能判斷，自動關(guān)聯(lián)到應(yīng)對策略，存在風險評估結(jié)果與進一步審計程序脫節(jié)的情況；用友CPAS審計信息系統(tǒng)有所改進，增加了對被審計單位內(nèi)部控制的風險進行識別和歸集功能，但國內(nèi)審計軟件整體上還沒有真正貫徹實施風險導向?qū)徲嫷囊蟆?/p>

而國際所，以致同的Voyager審計軟件為例，Voyager審計軟件內(nèi)嵌8個工具協(xié)助審計人員理解企業(yè)及其所處環(huán)境，即:組織架構(gòu)、收入、業(yè)務(wù)概要因素（EPF）、信息技術(shù)概要、綜合性問題、企業(yè)層面控制、會計系統(tǒng)、重要性。審計人員在系統(tǒng)指引下執(zhí)行風險評估程序，根據(jù)執(zhí)行的結(jié)果，勾選系統(tǒng)中預(yù)先設(shè)置的選項和風險指標，這些選項和風險指標自動關(guān)聯(lián)到事項、循環(huán)、風險識別和應(yīng)對措施，最終對應(yīng)到進一步審計程序。

（2）未在系統(tǒng)中建立審計工作流控制

國內(nèi)審計軟件主體上是將底稿模版復(fù)制到系統(tǒng)中，沒有建立在工作流引擎之上的，對審計程序、底稿之間的邏輯性進行檢驗和線上控制的功能，往往導致選擇和實施了不恰當?shù)膶徲嫵绦?、審計程序?zhí)行不到位等問題?！八拇蟆钡膶徲嫵绦蚴且画h(huán)扣一環(huán)的，這個環(huán)節(jié)程序的評估結(jié)果，直接影響下個環(huán)節(jié)執(zhí)行什么程序，不執(zhí)行什么程序，執(zhí)行的簡繁程度如何等，而這些由審計軟件的線上控制流程來實現(xiàn)，其中包括對工作底稿復(fù)核的控制。

（3）未在系統(tǒng)中提供強大的知識庫和專家指引

強大的知識庫和專家指引是提高審計工作質(zhì)量的重要基礎(chǔ)，這些信息一方面來源于網(wǎng)站或經(jīng)濟數(shù)據(jù)庫，另一方面來源于事務(wù)所的實務(wù)經(jīng)驗積累。國際上較為通行的做法是：將知識庫和專家指引內(nèi)置到審計軟件中，并實時更新，幫助審計人員及時獲取執(zhí)行程序的要領(lǐng)、常見問題及解決途徑等，從而規(guī)范審計程序的執(zhí)行和達到預(yù)期效果。

（4）未將審計作業(yè)軟件與事務(wù)所管理系統(tǒng)有機整合

審計業(yè)務(wù)系統(tǒng)和管理系統(tǒng)各自為政、孤立存在，削弱了信息系統(tǒng)的協(xié)同效用，事務(wù)部內(nèi)部控制流程被分割，數(shù)據(jù)無法共享，造成信息孤島問題。

2.數(shù)據(jù)采集工具單一和存在局限

目前，一些國內(nèi)審計軟件提供的數(shù)據(jù)采集工具，僅限于與常用的國內(nèi)標準財務(wù)軟件的對接，如客戶使用定制化的財務(wù)軟件或SAP、ORACLE等國外軟件，則不能采集轉(zhuǎn)換數(shù)據(jù)，無法使用審計軟件。另外，國內(nèi)軟件通常使用了OFFICE組件，受其限制，數(shù)據(jù)量過大則無法正常運行審計軟件。而國外審計軟件相對靈活，可以借助數(shù)據(jù)分析工具，比如ACL、IDEA等進行數(shù)據(jù)采集和處理。

3.信息化服務(wù)能力不足

在信息化服務(wù)領(lǐng)域以及經(jīng)驗積累方面有待提升，總分所信息系統(tǒng)服務(wù)資源未得到有效整合，外部市場競爭力不強，目前仍以為事務(wù)所內(nèi)部財務(wù)審計提供IT服務(wù)為主。此外，信息化服務(wù)人才匱乏、IT審計工具投入不夠等造成信息化服務(wù)能力不足。

開發(fā)管理缺位，通常導致系統(tǒng)未滿足功能性需求和非功能性需求、信息資源無法共享等問題，比如審批流程的設(shè)計靈活性差，不能適應(yīng)業(yè)務(wù)發(fā)展的需要；標書制作、質(zhì)量控制復(fù)核、培訓管理、文檔管理等功能存在欠缺或尚待細化,仍為手工操作，降低信息化效果；系統(tǒng)之間未開發(fā)數(shù)據(jù)接口功能，數(shù)據(jù)重復(fù)錄入；系統(tǒng)設(shè)計時對系統(tǒng)用戶和業(yè)務(wù)量估計不足，影響系統(tǒng)響應(yīng)速度和可用性等。

三、對策研究

（一）目標設(shè)定

信息化的目標是信息化各項工作的導向。事務(wù)所應(yīng)當根據(jù)業(yè)務(wù)發(fā)展的需要和中注協(xié)的要求，因地制宜，制定信息化建設(shè)目標。筆者建議，國內(nèi)大中型所信息化的基本目標可設(shè)定為：在未來5年內(nèi)，以技術(shù)先進、擴展性強、安全可靠、高速暢通的信息化設(shè)施平臺和支撐體系為基礎(chǔ)；以互聯(lián)網(wǎng)、大數(shù)據(jù)、云計算、數(shù)據(jù)挖掘等現(xiàn)代信息技術(shù)為抓手；以形成復(fù)合型人才培養(yǎng)機制為保障，最終實現(xiàn)智能化審計、管理現(xiàn)代化以及信息化服務(wù)能力的提升。

（二）路徑設(shè)計

信息化建設(shè)有其自身的規(guī)律。關(guān)于企業(yè)信息化發(fā)展規(guī)律研究，具有代表性的是諾蘭（Nolan）教授提出的組織信息系統(tǒng)應(yīng)用的經(jīng)典模型。諾蘭將信息化分成六個階段，即：初始階段、傳播階段、控制階段、集成階段、數(shù)據(jù)管理階段和成熟階段。諾蘭認為，任何組織由手工信息系統(tǒng)向以計算機為基礎(chǔ)的信息系統(tǒng)發(fā)展時，都存在著一條客觀的發(fā)展道路和規(guī)律。數(shù)據(jù)處理的發(fā)展涉及到技術(shù)的進步、應(yīng)用的拓展、計劃和控制策略的變化以及用戶的狀況等四個方面。諾蘭強調(diào)，任何組織在實現(xiàn)以計算機為基礎(chǔ)的信息系統(tǒng)時都必須從一個階段發(fā)展到下一個階段，不能實現(xiàn)跳躍式發(fā)展。

根據(jù)諾蘭信息化發(fā)展的階段模型，國內(nèi)所信息化應(yīng)采取“總體規(guī)劃、統(tǒng)籌資源、分步實施、重點突破”的實施路徑。

1.總體規(guī)劃

從發(fā)展戰(zhàn)略的高度，將信息化建設(shè)當成事務(wù)所戰(zhàn)略轉(zhuǎn)型的重要抓手。根據(jù)社會經(jīng)濟發(fā)展的需要和中注協(xié)的要求，結(jié)合自身的特點對信息化建設(shè)作出全面規(guī)劃。

2.統(tǒng)籌資源

將信息化作為資源投入的重點，在整合現(xiàn)有資源的基礎(chǔ)上，進一步加大對事務(wù)所信息化的人力、物力、財力的投入。

3.分步實施

通過摸底梳理，分清信息化實施過程中相關(guān)事務(wù)的輕重緩急，分步實施。

4.重點突破

近期應(yīng)在以下五個方面重點突破：

一是完善信息化基礎(chǔ)平臺。為滿足日益增長的系統(tǒng)用戶數(shù)量、24小時不間斷運行以及集中管理、安全管理等需要，對現(xiàn)有設(shè)施架構(gòu)進行全面梳理和改造，比如，除現(xiàn)有VPN（虛擬專用網(wǎng)絡(luò)）外，引入網(wǎng)絡(luò)專線；將辦公網(wǎng)絡(luò)與業(yè)務(wù)網(wǎng)絡(luò)進行物理或邏輯分離，安裝防火墻、IDS、企業(yè)版殺毒軟件，開啟安全審計日志、安全基線配置檢查等，加強內(nèi)外部網(wǎng)的安全防護措施；提高帶寬和網(wǎng)速，合理配置服務(wù)器、網(wǎng)絡(luò)設(shè)備、存儲設(shè)備和安全設(shè)備等，建設(shè)數(shù)據(jù)中心，打造高可靠、高可用、擴展性強的信息化基礎(chǔ)平臺。

二是優(yōu)化支撐體系。一方面加大對內(nèi)部運維技術(shù)和人員的投入，比如購置監(jiān)控軟件，對系統(tǒng)、網(wǎng)絡(luò)、機房等進行實時監(jiān)控，提前預(yù)警和防范風險；建立ITLL平臺，使問題或事件的收集及處理更加及時和規(guī)范，并全面記錄軌跡。另一方面借助外部專業(yè)機構(gòu)力量，加強外包管理，比如委托外部機構(gòu)進行安全測評和漏洞掃描；運維服務(wù)外包應(yīng)簽訂SLA（Service-Level Agreement）協(xié)議并考評外包服務(wù)質(zhì)量等，進一步優(yōu)化支撐體系。

三是增強數(shù)據(jù)應(yīng)用能力。首先，應(yīng)當摸清事務(wù)所數(shù)據(jù)的類型、來源、責任部門、重要程度、保密級別、數(shù)據(jù)之間的邏輯關(guān)系、數(shù)據(jù)流向等。其次，建立數(shù)據(jù)標準、數(shù)據(jù)交換標準和數(shù)據(jù)字典，比如編碼標準、系統(tǒng)接口標準、數(shù)據(jù)項、數(shù)據(jù)結(jié)構(gòu)、數(shù)據(jù)流、數(shù)據(jù)存儲、處理邏輯、外部實體等的定義和描述。再次，全面實現(xiàn)對總分所人、財、物數(shù)據(jù)的集中管控，統(tǒng)一部署數(shù)據(jù)庫，建設(shè)數(shù)據(jù)倉庫，充實數(shù)據(jù)分析人員，購置數(shù)據(jù)分析挖掘工具，提高數(shù)據(jù)的采集、加工和分析能力，并提供知識檢索和專家支持庫。最后，規(guī)范數(shù)據(jù)庫的訪問、維護、備份等操作。

四是提高應(yīng)用系統(tǒng)使用效果。對新系統(tǒng)的開發(fā)或舊系統(tǒng)的改造，進行充分調(diào)研和可行性分析，明確需求，加強對系統(tǒng)立項、設(shè)計、代碼編寫、測試、上線、驗收等流程控制，確保系統(tǒng)功能的完善和系統(tǒng)有效整合，提升提取數(shù)據(jù)的能力，增加審計流程和管理流程的線上控制、事前、事中和事后控制、智能化判斷、全數(shù)據(jù)測試、系統(tǒng)之間基礎(chǔ)數(shù)據(jù)的自動導入導出等，支持遠程作業(yè)和辦公、移動作業(yè)和辦公，打造內(nèi)部管理和審計作業(yè)一體化云平臺，實現(xiàn)智能化審計和管理現(xiàn)代化。

五是拓寬信息化服務(wù)領(lǐng)域。內(nèi)部培養(yǎng)和外部引進并舉，充實信息化服務(wù)人才；購置WEB安全掃描器、Code auditor、GFI LANguard、日志分析工具、CAATS等信息系統(tǒng)審計工具，對信息化服務(wù)經(jīng)驗和案例進行歸納總結(jié)；在此基礎(chǔ)上，發(fā)現(xiàn)和創(chuàng)造信息化服務(wù)業(yè)務(wù)，為客戶提供IT增值服務(wù)。

（三）機制安排

事務(wù)所信息化機制安排應(yīng)著力于以下四個方面：

1.持續(xù)動力機制

信息化是一個非常復(fù)雜的系統(tǒng)工程，一項長期的任務(wù)，不可能一蹴而就，更不可能一勞永逸。因此，事務(wù)所應(yīng)當通過廣泛宣傳，充分認識到信息化建設(shè)的重要性和緊迫性，將信息化工作情況納入績效考核內(nèi)容，調(diào)動各級員工的主動性，為事務(wù)所信息化建設(shè)營造濃厚氛圍，提供持續(xù)動力。

2.組織保障機制

在事務(wù)所治理層面，設(shè)置信息化委員會，對信息化規(guī)劃和計劃、信息化項目建設(shè)和投資、信息化風險管理效果等進行審議，確保與事務(wù)所發(fā)展戰(zhàn)略相匹配，避免重復(fù)建設(shè)和資金浪費，有效識別和防范信息科技風險等；在事務(wù)所管理層面，設(shè)置專司信息化歸口管理職能的信息化管理機構(gòu)，明確信息化所涉及部門和人員的責權(quán)利，確保信息化工作高效有序地落實和推進；構(gòu)建復(fù)合型人才培養(yǎng)機制，通過引進、內(nèi)部培養(yǎng)、總分所人員整合、外聘專家等多種方式加強信息化服務(wù)隊伍建設(shè)，著力克服信息化服務(wù)人才短板問題。

3.制度保障機制

為了規(guī)范和指導信息化各項工作，還需要建立和健全信息化管理制度，比如信息科技風險管理制度、信息化委員會和信息技術(shù)部工作規(guī)則、信息系統(tǒng)項目管理辦法、信息系統(tǒng)外包業(yè)務(wù)管理規(guī)定、系統(tǒng)運行維護管理辦法、信息系統(tǒng)突發(fā)事件應(yīng)急管理辦法、信息系統(tǒng)連續(xù)性管理辦法、備份與災(zāi)備管理規(guī)定、信息安全管理制度、系統(tǒng)參數(shù)和數(shù)據(jù)維護管理辦法、信息系統(tǒng)用戶及賬號管理辦法、信息化工作檢查考核辦法等，以保障信息化活動有規(guī)可依，違規(guī)必究。

4.檢查評價機制

對信息系統(tǒng)實施后的效果進行審查（PIR）；定期和不定期對IT風險管控、制度執(zhí)行、系統(tǒng)自動化控制等情況進行檢查；對事務(wù)所信息系統(tǒng)進行審計，包括（1）公司層面控制、備份與恢復(fù)管理、開發(fā)/變更管理、機房管理、運維管理、安全管理等一般控制的了解和測試；（2）參數(shù)與數(shù)據(jù)維護管理、權(quán)限及訪問控制、輸入、處理和輸出控制、數(shù)據(jù)控制以及接口管理等應(yīng)用控制的了解和測試，通過評價、檢查和審計，促進系統(tǒng)功能的改進和完善，保障信息系統(tǒng)的連續(xù)性、可靠性、安全性和合規(guī)性，提高信息化管理水平和建設(shè)效果。