张 琼

当前，我国互联网、云计算、大数据等信息技术飞速发展，信息化水平不断提高，在产业规模、信息化应用效益等方面取得长足进步，已经位居全球领先位置。伴随着信息技术在政治、经济、文化等领域的广泛应用，注册会计师的执业环境也发生了深刻变化，迫切要求会计师事务所直面信息革命的挑战和机遇，融合信息技术，变革执业理念、方法、技术与管理，实现业务与管理的信息化。

本文对我国事务所信息化建设的现状，存在的主要问题、产生问题的原因进行了研究，并就事务所信息化建设的对策进行了探讨。

一、现状概述

我国事务所信息化建设起步较晚。近年来，在中国注册会计师协会的大力推动下，取得了一定成效，但从总体上看，各事务所在信息化的广度和深度上参差不齐，中小型事务所普遍专注审计作业信息化，而大型事务所在审计作业信息化、内部管理信息化和信息化服务方面都进行了探索。

（一）审计作业信息化

审计作业系统（审计软件）在事务所的使用越来越普遍，除极少数事务所自行开发或定制开发审计作业系统，大多数事务所选择购买市场化的审计软件产品，运用审计作业系统采集和导入财务数据，使用账龄分析、凭证综合查询和抽样、生成询证函、底稿和报表等模块，减少数据复制粘贴、计算汇总、数据分析、实质性底稿生成等大量机械性劳动,提高审计效率。

（二）内部管理信息化

部分规模较大、业务和流程复杂的事务所为强化内部管理，通过自行开发或定制开发等方式，部署和实施内部管理系统（ERP系统），运用管理系统的客户管理、项目管理、风险管理、报告管理、人事管理等模块，实现从项目承接、人员分派和承做到出具报告的线上流程管理，提升内部管理水平。

（三）信息化服务能力

大型事务所开始注重和提升信息化服务能力，设立IT部门，承接承做财务审计项目的信息系统审计部分、信息化建设和管理咨询、信息系统审计等,通过IT审计防范和控制审计风险，指导客户提高信息化建设成效和强化IT管控等。

二、问题分析

现阶段，我国事务所信息化建设存在的主要问题包括：

（一） 对信息化建设的认识不到位

事务所信息化是一项技术工程，更是一项管理工程，它涉及到事务所的管理模式、组织结构和业务流程等诸多方面的变革。在这一变革中，事务所不仅要投入大量的人力、物力和财力，更需要转变观念、明确目标，合理定位，使信息化满足经济技术法律监管环境的要求，与事务所发展战略相匹配。否则会降低信息化建设成效，甚至导致项目失败。如有的事务所在管理信息化建设之初，对信息化建设的目标、必要性、紧迫性、艰巨性等认识不足，盲目上马，导致信息系统上线后又全部推倒重来，造成极大浪费和损失。

（二）缺乏信息化建设的制度基础

从本质上说，信息化是事务所管理机制的一场革命，硬件设备和技术不论如何先进，如果不与科学的管理和制度相结合，就无法发挥其应用的作用。比如事务所的管理系统主要针对业务流程的控制，而绩效考评、财务管理、决策管理等功能并未开发或遭到弃用，仍然为手工线下操作，究其原因是管理体制、流程和制度未与之配套。

（三）信息系统管理不规范

信息系统管理不规范，主要体现在以下两个方面：

1.开发管理缺位

信息系统开发的控制手段主要有事前规划、事中监理和事后评估。但目前事务所在自行开发或定制开发信息系统时，大多缺乏事前的通盘考虑和整体规划，未对需求进行充分调研；未对系统设计、开发、测试、验收和上线等过程进行事中监控；未开展系统实施后评价，即PIR（Post Implementation Review）。国际信息系统审计协会（ISACA）在《IT Standards, Guidelines,and Tools and Techniques for Audit and Assurance and Control Professionals》（Current as of 1 March 2010）中详细解读了G29 PIR，根据G29的定义，PIR是指由独立的IS审计人员执行的，对IT解决方案和或实施的过程，和实施后效果的第一次或后续审查，以对以下任何一个或全部事项进行评价：

a.是否实现该方案的预期目标

b.实际成本和收益是否与预算进行比较

c.实施过程的有效性和恰当性

d.如有超支的时间和或成本、质量和或性能等问题，说明原因

e.该方案所带来的生产力和绩效的提升

f.是否实现业务流程和内部控制

g.实施的用户访问控制是否与组织的政策一致

h.用户是否经过适当的培训

i.系统是否可维护，且今后可进一步提升效果和效率

j.是否遵守与其相关的法规要求和组织的政策

k.是否遵守与其相关的COBIT控制目标和管理指南

l.无论是该方案还是实施过程都有进一步改善的机会。

开发管理缺位，通常导致系统未满足功能性需求和非功能性需求、信息资源无法共享等问题，比如审批流程的设计灵活性差，不能适应业务发展的需要；标书制作、质量控制复核、培训管理、文档管理等功能存在欠缺或尚待细化,仍为手工操作，降低信息化效果；系统之间未开发数据接口功能，数据重复录入；系统设计时对系统用户和业务量估计不足，影响系统响应速度和可用性等。

2.机房、备份、运维和安全管理薄弱

事务所的机房、备份、运维和安全管理通常外包或由内部信息技术部门承担，由于人员、经验和技术欠缺，事务所在机房、运维和安全管理方面较为薄弱，比如未妥善备份数据；未对机房环境、系统和网络运行进行实时监控；机房进出未登记；防火墙、防病毒、上网行为监控、网络、系统和数据库访问控制等安全措施不力；委托外包商承担运维工作，却未规范和监督外包行为，对外包服务质量进行考评等，降低信息系统的可用性、安全性和可靠性。

（四）信息化资源投入不足

信息化资源包括人力、物力、财力、经验等，事务所受限于资源不足，难以利用信息技术发展的先进成果,购置或开发信息系统往往处于较低水平，以解决当前问题为主，后续升级乏力，信息化效果并不尽如人意。

1.审计作业系统尚待智能化

（1）未实现将风险评估结果与审计策略的自动关联

国内审计软件比如鼎信诺、中普、e审通等仅仅是将手工填制的风险评估底稿录入系统中，未对风险评估结果进行智能判断，自动关联到应对策略，存在风险评估结果与进一步审计程序脱节的情况；用友CPAS审计信息系统有所改进，增加了对被审计单位内部控制的风险进行识别和归集功能，但国内审计软件整体上还没有真正贯彻实施风险导向审计的要求。

而国际所，以致同的Voyager审计软件为例，Voyager审计软件内嵌8个工具协助审计人员理解企业及其所处环境，即:组织架构、收入、业务概要因素（EPF）、信息技术概要、综合性问题、企业层面控制、会计系统、重要性。审计人员在系统指引下执行风险评估程序，根据执行的结果，勾选系统中预先设置的选项和风险指标，这些选项和风险指标自动关联到事项、循环、风险识别和应对措施，最终对应到进一步审计程序。

（2）未在系统中建立审计工作流控制

国内审计软件主体上是将底稿模版复制到系统中，没有建立在工作流引擎之上的，对审计程序、底稿之间的逻辑性进行检验和线上控制的功能，往往导致选择和实施了不恰当的审计程序、审计程序执行不到位等问题。“四大”的审计程序是一环扣一环的，这个环节程序的评估结果，直接影响下个环节执行什么程序，不执行什么程序，执行的简繁程度如何等，而这些由审计软件的线上控制流程来实现，其中包括对工作底稿复核的控制。

（3）未在系统中提供强大的知识库和专家指引

强大的知识库和专家指引是提高审计工作质量的重要基础，这些信息一方面来源于网站或经济数据库，另一方面来源于事务所的实务经验积累。国际上较为通行的做法是：将知识库和专家指引内置到审计软件中，并实时更新，帮助审计人员及时获取执行程序的要领、常见问题及解决途径等，从而规范审计程序的执行和达到预期效果。

（4）未将审计作业软件与事务所管理系统有机整合

审计业务系统和管理系统各自为政、孤立存在，削弱了信息系统的协同效用，事务部内部控制流程被分割，数据无法共享，造成信息孤岛问题。

2.数据采集工具单一和存在局限

目前，一些国内审计软件提供的数据采集工具，仅限于与常用的国内标准财务软件的对接，如客户使用定制化的财务软件或SAP、ORACLE等国外软件，则不能采集转换数据，无法使用审计软件。另外，国内软件通常使用了OFFICE组件，受其限制，数据量过大则无法正常运行审计软件。而国外审计软件相对灵活，可以借助数据分析工具，比如ACL、IDEA等进行数据采集和处理。

3.信息化服务能力不足

在信息化服务领域以及经验积累方面有待提升，总分所信息系统服务资源未得到有效整合，外部市场竞争力不强，目前仍以为事务所内部财务审计提供IT服务为主。此外，信息化服务人才匮乏、IT审计工具投入不够等造成信息化服务能力不足。

开发管理缺位，通常导致系统未满足功能性需求和非功能性需求、信息资源无法共享等问题，比如审批流程的设计灵活性差，不能适应业务发展的需要；标书制作、质量控制复核、培训管理、文档管理等功能存在欠缺或尚待细化,仍为手工操作，降低信息化效果；系统之间未开发数据接口功能，数据重复录入；系统设计时对系统用户和业务量估计不足，影响系统响应速度和可用性等。

三、对策研究

（一）目标设定

信息化的目标是信息化各项工作的导向。事务所应当根据业务发展的需要和中注协的要求，因地制宜，制定信息化建设目标。笔者建议，国内大中型所信息化的基本目标可设定为：在未来5年内，以技术先进、扩展性强、安全可靠、高速畅通的信息化设施平台和支撑体系为基础；以互联网、大数据、云计算、数据挖掘等现代信息技术为抓手；以形成复合型人才培养机制为保障，最终实现智能化审计、管理现代化以及信息化服务能力的提升。

（二）路径设计

信息化建设有其自身的规律。关于企业信息化发展规律研究，具有代表性的是诺兰（Nolan）教授提出的组织信息系统应用的经典模型。诺兰将信息化分成六个阶段，即：初始阶段、传播阶段、控制阶段、集成阶段、数据管理阶段和成熟阶段。诺兰认为，任何组织由手工信息系统向以计算机为基础的信息系统发展时，都存在着一条客观的发展道路和规律。数据处理的发展涉及到技术的进步、应用的拓展、计划和控制策略的变化以及用户的状况等四个方面。诺兰强调，任何组织在实现以计算机为基础的信息系统时都必须从一个阶段发展到下一个阶段，不能实现跳跃式发展。

根据诺兰信息化发展的阶段模型，国内所信息化应采取“总体规划、统筹资源、分步实施、重点突破”的实施路径。

1.总体规划

从发展战略的高度，将信息化建设当成事务所战略转型的重要抓手。根据社会经济发展的需要和中注协的要求，结合自身的特点对信息化建设作出全面规划。

2.统筹资源

将信息化作为资源投入的重点，在整合现有资源的基础上，进一步加大对事务所信息化的人力、物力、财力的投入。

3.分步实施

通过摸底梳理，分清信息化实施过程中相关事务的轻重缓急，分步实施。

4.重点突破

近期应在以下五个方面重点突破：

一是完善信息化基础平台。为满足日益增长的系统用户数量、24小时不间断运行以及集中管理、安全管理等需要，对现有设施架构进行全面梳理和改造，比如，除现有VPN（虚拟专用网络）外，引入网络专线；将办公网络与业务网络进行物理或逻辑分离，安装防火墙、IDS、企业版杀毒软件，开启安全审计日志、安全基线配置检查等，加强内外部网的安全防护措施；提高带宽和网速，合理配置服务器、网络设备、存储设备和安全设备等，建设数据中心，打造高可靠、高可用、扩展性强的信息化基础平台。

二是优化支撑体系。一方面加大对内部运维技术和人员的投入，比如购置监控软件，对系统、网络、机房等进行实时监控，提前预警和防范风险；建立ITLL平台，使问题或事件的收集及处理更加及时和规范，并全面记录轨迹。另一方面借助外部专业机构力量，加强外包管理，比如委托外部机构进行安全测评和漏洞扫描；运维服务外包应签订SLA（Service-Level Agreement）协议并考评外包服务质量等，进一步优化支撑体系。

三是增强数据应用能力。首先，应当摸清事务所数据的类型、来源、责任部门、重要程度、保密级别、数据之间的逻辑关系、数据流向等。其次，建立数据标准、数据交换标准和数据字典，比如编码标准、系统接口标准、数据项、数据结构、数据流、数据存储、处理逻辑、外部实体等的定义和描述。再次，全面实现对总分所人、财、物数据的集中管控，统一部署数据库，建设数据仓库，充实数据分析人员，购置数据分析挖掘工具，提高数据的采集、加工和分析能力，并提供知识检索和专家支持库。最后，规范数据库的访问、维护、备份等操作。

四是提高应用系统使用效果。对新系统的开发或旧系统的改造，进行充分调研和可行性分析，明确需求，加强对系统立项、设计、代码编写、测试、上线、验收等流程控制，确保系统功能的完善和系统有效整合，提升提取数据的能力，增加审计流程和管理流程的线上控制、事前、事中和事后控制、智能化判断、全数据测试、系统之间基础数据的自动导入导出等，支持远程作业和办公、移动作业和办公，打造内部管理和审计作业一体化云平台，实现智能化审计和管理现代化。

五是拓宽信息化服务领域。内部培养和外部引进并举，充实信息化服务人才；购置WEB安全扫描器、Code auditor、GFI LANguard、日志分析工具、CAATS等信息系统审计工具，对信息化服务经验和案例进行归纳总结；在此基础上，发现和创造信息化服务业务，为客户提供IT增值服务。

（三）机制安排

事务所信息化机制安排应着力于以下四个方面：

1.持续动力机制

信息化是一个非常复杂的系统工程，一项长期的任务，不可能一蹴而就，更不可能一劳永逸。因此，事务所应当通过广泛宣传，充分认识到信息化建设的重要性和紧迫性，将信息化工作情况纳入绩效考核内容，调动各级员工的主动性，为事务所信息化建设营造浓厚氛围，提供持续动力。

2.组织保障机制

在事务所治理层面，设置信息化委员会，对信息化规划和计划、信息化项目建设和投资、信息化风险管理效果等进行审议，确保与事务所发展战略相匹配，避免重复建设和资金浪费，有效识别和防范信息科技风险等；在事务所管理层面，设置专司信息化归口管理职能的信息化管理机构，明确信息化所涉及部门和人员的责权利，确保信息化工作高效有序地落实和推进；构建复合型人才培养机制，通过引进、内部培养、总分所人员整合、外聘专家等多种方式加强信息化服务队伍建设，着力克服信息化服务人才短板问题。

3.制度保障机制

为了规范和指导信息化各项工作，还需要建立和健全信息化管理制度，比如信息科技风险管理制度、信息化委员会和信息技术部工作规则、信息系统项目管理办法、信息系统外包业务管理规定、系统运行维护管理办法、信息系统突发事件应急管理办法、信息系统连续性管理办法、备份与灾备管理规定、信息安全管理制度、系统参数和数据维护管理办法、信息系统用户及账号管理办法、信息化工作检查考核办法等，以保障信息化活动有规可依，违规必究。

4.检查评价机制

对信息系统实施后的效果进行审查（PIR）；定期和不定期对IT风险管控、制度执行、系统自动化控制等情况进行检查；对事务所信息系统进行审计，包括（1）公司层面控制、备份与恢复管理、开发/变更管理、机房管理、运维管理、安全管理等一般控制的了解和测试；（2）参数与数据维护管理、权限及访问控制、输入、处理和输出控制、数据控制以及接口管理等应用控制的了解和测试，通过评价、检查和审计，促进系统功能的改进和完善，保障信息系统的连续性、可靠性、安全性和合规性，提高信息化管理水平和建设效果。