基于“控审一体化”理念的内部审计信息化模式构建

刘颖（博士/正高级会计师）（华中科技大学 湖北武汉 430074 河南省胸科医院 河南郑州 450008）

近几年来，随着计算机技术突飞猛进的发展，大数据、云计算、人工智能、区块链、计算机认知等技术逐渐成熟起来，医院的管理水平也逐步得到了提升和完善，积累了海量的管理、财务、业务数据，医疗大数据的格局逐渐形成。2018年5月，习近平总书记在中央审计委员会第一次会议上指出，“要坚持科技强审，加强审计信息化建设”，这为内部审计的创新发展指明了方向。内部审计作为医院管理的再管理，同时也是内部控制的再控制，其信息化建设水平的高低将直接影响审计效率和质量。而常规的、传统的审计工作模式，已无法满足医院目前的内部审计工作需要，这就需要借鉴当前主流的大数据、云计算、人工智能等技术，通过信息化手段去提升内部审计的工作效率、丰富内部审计的技术方法、创新内部审计的工作手段，充分发挥内部审计的作用，更好地履行审计监督职责。同时，为了全面落实财政部《关于全面推进行政事业单位内部控制建设的指导意见》《关于印发〈行政事业单位内部控制报告管理制度（试行）〉的通知》等文件精神，不断提升公立医院治理能力的现代化水平，进一步强化廉政风险防控机制建设，依据内部审计“审、帮、促、提”的整体工作思路，要把内部控制工作与内部审计监督相结合，构建基于“控审一体化”理念的内部审计信息化模式已势在必行。

一、“控审一体化”理念

“控审一体化”理念是指为了保证医院各项活动的有序进行，以经济效益和社会效益的双重提高为目的，将医院内部审计和内部控制手段进行有机结合，采取的各种监督服务措施和相关办法的统一。它是在内部审计的实践过程中逐渐产生和发展起来的，通过运用内部审计的专业技术优势和先进工作方法，把内部控制的监督、评价和服务做细、做实、做全。同时，以内部控制监督评价的结果，作为内部审计工作的切入点和抓手，进而再用内部审计的结论去优化医院管理的内部控制流程，从而构建起先控后审、控审结合的一体化、闭环式监管服务模式。其核心就是用制度管人、管权、管事、管钱，同时接受内部审计的监督、评价、服务和建议，不断完善和防范风险，具体表现为“三分一流程”，即：要分事行权、分岗设权、分级授权，强化业务流程的监督控制。

基于“控审一体化”理念的内部审计信息化模式，管理理念先进，数据覆盖全面，业务流程规范，参数配置灵活，从内容和方式上实现了内审监督的“三个转变”：第一，从单一的事后审计转变为事前控制、事中监管和事后审计相结合；第二，从单一的静态审计转变为动态的财务监控预警与静态审计相结合；第三，从传统的现场审计转变为远程的监督控制审计与现场审计相结合。其具有系统性、开放性、实用性、灵活性、预见性、规范性、全面性、时效性等八大特点，主要目的是实现对经济活动的监督与风险防范，明确工作规程，构建管控有效的单位风险防范机制，形成配套的内部审计方法体系。

建立拥有一套标准统一业务流程的内部审计信息化管理平台，用于管理内部审计部门的日常审计工作，包括审计计划、审计立项、审计实施、审计沟通、审计报告、结果监控、审计人员、审计档案等的管理，满足不同类型的审计业务，如工程审计、财务审计、专项审计等的需要，为提升医院管理提供有力的机制保障和数据支撑。改变原有经济业务活动独立、分散管理的传统模式，大量的日常事务性工作由计算机进行数据处理，解决审计部门原来存在的内审人员不足、工作效率低下等问题，打通跨部门、跨岗位业务交叉，实现数据共享，通过对数据的综合分析、纵向和横向数据对比，为医院的领导决策提供一定的决策依据。

二、基于“控审一体化”理念的内部审计信息化模式构建

内部控制是医院管理的重要核心内容之一，内部审计可促进内部控制的可持续发展。同时，内部审计是医院业务活动和经济运行监督的重要手段，内部控制可为内部审计提供业务和财务数据基础，进一步促进和推动医院内部审计的有序、有效开展。构建基于“控审一体化”理念的内部审计信息化模式（见图1），形成“以内部控制制度梳理为基础，以业务工作流程再造为前提，以内部审计标准操作为抓手，以审计作业实施信息化为手段，以动态预警监督服务为导向”的数字化审计方式，推进审计离线作业与后台数据分析一体化，提高利用信息化手段和技术核查、评价、判断、分析实际问题的能力，包括“审计作业实施”“审计监控预警”“审计风险管理”“审计内控评价”“审计决策分析”和“审计综合管理”等六大系统，有效推进内部审计监督服务的深入发展，切实发挥大数据审计成效。

图1 内部审计信息化模式构建

（一）作业实施系统。作业实施系统是内部审计人员进行具体审计工作的平台，主要是以项目作业管理为核心，严格遵循审计准则，通过对采集的财务数据、业务数据和其他数据进行自动预警分析，提供账证查询、科目分析、报表指标等多种表单、账证检查方法，及时发现审计线索，利用作业实施系统中的辅助审计工具，自动化、智能化地落实数据疑点、编制工作底稿、出具审计报告，对审计作业实施系统采取过程控制实时化、审计方法规范化、审批流程标准化、审计成果可视化和审计文书模板化的“五化”管理模式，提高内部审计的工作效率，控制和有效提升内部审计工作质量，共享审计经验和方法，实现审计项目从准备、实施、终结、整改的全过程管理与监控，从一定程度上降低和防范内部审计工作风险（见图2）。

图2 作业实施系统工作平台

整个作业实施系统包括财务收支、工程、合同、招投标、科研经费、重大资金、八项规定和其他专项八大业务模块，按照各个具体业务的作业流程进行设计，并内置相应的标准作业底稿模版。底稿模版采用半开放式的设计，同时可以兼容Word及Excel格式的工作底稿，系统内可对工作底稿的格式进行自定义设计，变量信息、取数范围、取数方式等可根据具体工作需要进行调整，从而满足不同审计项目之间普遍性和特殊性的最大化融合。在审计作业实施的过程中，可随时调用开展审计业务所对应的模版，通过系统自动取数并生成审计项目的工作底稿，有效地控制和规范了审计作业流程，提高了项目作业质量。

（二）监控预警系统。监控预警系统通过系统提供的灵活预警模型构建功能，针对单位经济运行所涉及的主要风险点和业务实施过程中的关键控制点，利用系统建模引擎，构建预警指标，建立预警模型，通过预警规则引擎执行，充分发挥系统的审计数据校验检查功能。一方面，对采集的各项、各类、各个期间的审计数据进行准确性、完整性、规范性的交互式检查，包括账户的平衡性校验、凭证的准确性和合规性校验、各个年度和期间的结转校验、设置和使用科目的连续性和系统性检查、损益类科目的冲销校验等；另一方面，对采集的各项、各类、各个期间审计数据的组成结构、发展趋势、纵横对比、区间分布等进行三级穿透查询分析，通过复算生成各种报表，将其中不符合审计规则的数据逐一查出，以图形和数据相结合的直观方式提供给审计人员。审计人员通过对预警数据的再分析和调查取证，最终将确定为审计疑点的预警数据加入系统的数据疑点库，为制定内部审计计划提供依据。

监控预警系统可以将针对审计舞弊行为的各种查账分析方法设置成系统的智能查账方案，通过对疑点执行快速的自动化和智能化排查，将在排查过程中发现的各种疑点自动生成智能查账工作底稿，并按照审计问题的具体分类，自动地引入相关联的法规和制度依据，实现对疑点问题的及时发现、同步记录、电子取证的智能审计排查功能。主要包含数据变更预警（数据结构和数据记录的新增、修改、删除）、业务异常预警（不符合法律、法规或审计人员经验的业务）和指标异常预警（业务环节的超指标数据）三个方面，有利于审计人员监控恶意的篡改数据，及时控制风险。

（三）风险管理系统。风险管理系统利用信息化的技术手段集成业务系统，将制度、内控、风险进行有效的关联，推动三者循环改善，形成一体化风险管控平台，固化风险管理工作的流程、工具、方法和模版，构建统一的风险管理框架和业务运行过程，力求做到风险管理的标准、规范。以风险管控为核心，依据《行政事业单位内部控制规范》，从风险的识别、分析、应对和预警四个方面出发，去评价风险评估范畴是否全面、结果是否有效和风险应对策略是否科学，整理和记录在内部审计过程中所形成的各种风险案例。建立符合单位自身业务特性的风险库、风险评估标准、风险案例库、风险管理规章制度和内控缺陷认定标准，通过将风险管理与各个业务流程之间进行全面、深度的融合，以满足不同业务间的风险分类和分级管理需求，实现“操作有程序、过程有监控、风险有监测、工作有评价、责任有追究”的全面风险管理体系，为及时发现风险、应对风险、降低风险、减少损失、确保将风险控制在可承受的范围内提供保障。

整个系统包括风险识别、风险评估、风险应对、风险报告、统计分析五大功能模块，流程可根据自身个性化需要进行自定义，灵活的架构设计可以满足平台扩展需求，内置多种分析工具和报告模版，提供多样化、可视化的统计分析图表，智能展示KPI（关键绩效指标）风险和事件，相关分析指标还可穿透追查到明细账和凭证等。以风险导向为流程的风险识别与风险评价按照内置风险评估流程（见图3），识别评估对象所面临的各种风险和可能带来的各种负面影响，实现风险管理从初步业务活动到风险评估结果汇总、从进一步审计程序到实质性测试程序的完整评估，快速生成调查表、评估底稿等相关文档。

图3 风险评估流程图

（四）内控评价系统。依据国际通用的COSO框架，参考《企业内部控制配套指引》，以《行政事业单位内部控制规范》为基础，以单位层面内部控制评价为核心，以业务层面内部控制评价为重点，以采购、工程、资产、资金全过程风险评估为主线，实现以“内部控制环境、风险评估、控制活动、内部控制信息和沟通、内部监督制度”五要素组成的内控评价体系，形成各项评价业务单元互联互通和资源信息共享。

通过系统将内控手册电子化，做好内部控制审计与内控监督评价具体测试步骤和工作成果的有效衔接，实现内部控制测试与评估的全流程化管理，内部控制缺陷与整改进度的科学统一管理，达到内部控制评价系统的表单化、流程化、标准化、实时化、协作化和一体化，通过持续监督评价和内控自我评价，判断实施内部监督的程序、方法、目的等要求的科学性和有效性，完成监督评价的工作底稿以及缺陷汇总，形成整个内部控制评价报告。

（五）决策分析系统。随着“控审一体化”平台的建设和应用，大量的业务和监督数据在平台积累，逐步形成行业法规库、制度库、流程库、监督方法库，同时平台将利用爬虫技术、大数据技术，不断从网上获取各类行业数据对平台进行补充，不断提升“控审一体化”的应用效能，自动对内部控制措施进行补充和完善，不断修正和完善内部审计方法，自动对各类管理漏洞和内控风险进行预警，对单位内部的各项经济和管理活动、规章制度、业务流程等的执行情况从宏观和微观层面进行分析，为单位领导做出重要决策提供依据。

决策分析功能是审计信息系统的高级应用，通过对医院管理、运营过程中形成的数据，进行多条件、精确到模糊、简单到复杂的高级综合查询和分析，按照管理要求智能汇总，动态分析，及时、高效形成相应的数据汇总分析报告，采取多种输出格式，为单位管理层集体决策提供强有力的数据支持。其主要功能包括数据采集接口、数据综合管理、审计方法体系、多维数据分析、预警分析、疑点管理、审计底稿管理、审计知识库等功能。

（六）综合管理系统。审计综合管理系统覆盖了整个内部审计管理的基本需求，是整个审计信息系统的框架，以所有项目为对象，将审计计划、立项、实施和审计档案、台账等功能利用控审平台进行统一管理，对所有审计资源，包括审计方案资源、审计案例资源、审计专家资源、法规库资源以及在审计过程中许多方案模型、风险评估模型的积累，进行适时共享、统一调度，为内部审计工作的开展提供支撑，有效提升工作便利度。

综合管理系统是所有审计业务的开端，从审计项目管理的日常工作出发，拟定计划、项目立项、作业实施、档案归集、形成台账，将审计项目的全过程进行统一的标准化、规范化分类归口管理，形成内审人员固化的审计作业操作模式，以达到全面提升单位审计工作质量的目的。同时，综合管理系统以简单、便捷、易操作的工作平台为基础，大大降低了人为操作失误的审计风险，提高了审计工作效率。

三、建设成效

（一）搭建全方位立体管控的内部审计信息化平台。医院组织审计、信息中心以及外聘专家等人员组成单位内部审计信息化项目实施技术团队，对内部审计信息化建设方案进行可行研究和设计，科学编制项目的具体推进落实计划和步骤，搭建了一个平台、六大系统的、全方位立体管控的内部审计信息化应用系统，使单位内部审计管理及作业实施全面进入到信息化的时代，从而加强了内部审计工作的决策、组织、指导和管理。

（二）构建有序规范的内部审计信息标准作业体系。医院要从主要业务风险点和内部控制关键环节入手，逐项、逐类、分块梳理各项业务制度和规范流程，通过“控审一体化”信息系统，固化整个审计业务操作流程和审计模板，建立制度库、资源库、专家库等，形成易操作、标准化、系统化的内部审计作业应用平台，并可根据医院实际进行个性化设计。

（三）打破信息孤岛壁垒，提高审计线索挖掘能力。通过建立“控审一体化”信息系统，消除信息孤岛，打通各部门、各个岗位间的信息壁垒，实现财务、业务信息共享共用。同时，利用各类数据的综合管理，纵向、横向进行数据对比分析，深度挖掘审计线索，利用信息系统解决大量人工操作，有效解决审计人力资源短缺不足、效率低下等问题，为医院领导集体决策提供强有力的数据支撑和分析依据。

（四）培养复合型的人才，提升审计队伍履职能力。紧紧抓住审计信息化应用机遇，在“控审一体化”体系平台建设过程中，利用平台建设合作单位，锻炼、培养、打造出一批善于信息化操作的、敢于审计信息化创新、精通审计信息系统运用、掌握指导和培训技能的高端复合型审计人才，以期为推动审计信息系统的深化应用助力。

（五）单一审计多元性转变，实现作业网络化管理。审计作业改变原有单一现场审计的方式，形成符合新时代审计特色的现场和非现场、线下和线上相结合的多元审计模式，所有审计项目的实施，都要通过统一的信息系统操作和完成，使整个内部审计作业形成网络化管理，达到信息高度共享、资源充分交互，既有效提高了审计项目实施的协同作业效率，又有利于领导对审计项目的实时指导和监督。

（六）解决审计对象转变问题，降低各种系统风险。通过系统数据的采集和转换处理，将医院财务、业务等相关系统数据进行抓取和转化后形成审计数据和依据，审计人员可在正式进现场前，在不通知、不定时的情况下通过数据采集工具进行数据采集，有效规避被审计部门进行系统数据修改和推脱搪塞上报数据的可能，审计人员要专注审计管理信息系统的应用与提高，才能高质量地完成审计工作。

综上所述，通过加强“控审一体化”建设，在医院内部建立起一个分工合理、互相协调、运转顺畅的运行机制，进一步提高了医院资金的使用效率，强化了制衡与监督机制，提升了单位管理水平，使单位内部管理风险防范以及保护资产安全的能力日趋增加。