内部审计信息化建设中供应商“绑架”风险探析.docVIP

内部审计信息化建设中供应商“绑架”风险探析 　　【摘 要】 在内部审计信息化建设中，企业通常需要选择外部供应商协助进行。因此供应商对内部审计信息化建设至关重要。常常出现的一个风险是直到实施过程中企业才发现供应商无法满足企业的需要或者工作质量无法达到企业的要求，而此时企业常常也无法采取措施来“惩罚”供应商。就如同物资采购一样，某种程度上在建设的过程中企业很容易被供应商“绑架”。那么在内部审计信息化建设中如何有效地降低这种被供应商“绑架”的风险呢？文章站在企业（采购商）的角度，通过研究该风险，查找该风险产生的原因，最终探寻出有效措施应对此项风险。 　　【关键词】 内部审计； 信息化； 供应商 　　中图分类号：F239.45 文献标识码：A 文章编号：1004-5937（2014）12-0072-02 　　信息技术已经成为社会各领域变革的推动力，是社会生活不可或缺的、重要的基础产业。以信息化为本质特征的企业新变革在世界范围内早已拉开大幕，信息化在企业管理层面已经“无处不在”。在党的十八大报告中“信息化”一词出现了12次。内部审计信息化也已经在如火如荼地进行中。早在2007年中国内部审计协会就曾以“信息化环境下的内部审计”为主题开展了理论研讨暨经验交流活动。2013年中国内部审计协会更是直接将“内部审计信息化”确定为理论研讨的主题。内部审计信息化建设是信息科技高速发展的要求，也是顺应整体行业发展趋势的必然选择。 　　在内部审计信息化建设中，企业通常需要选择外部供应商，可能是咨询公司，也可能是软件开发服务商或是IT设备供应商与企业自身组成联合的实施团队开展建设工作。因此在建设过程中供应商对整个项目至关重要。常常出现的一个风险是直到实施过程中才发现供应商无法满足企业的需要或者工作质量无法达到企业的要求，而此时企业无法再次冒风险重新选择供应商或者采取某些措施来督促供应商，某种程度上就是我们所说的被供应商“绑架”了。那么在内部审计的信息化建设中如何有效降低这种被供应商“绑架”的风险呢？ 　　一、风险的具体表现 　　在内部审计的信息化建设中，企业通常会聘请外部的业务咨询商和系统实施机构协助企业一起进行建设工作。笔者统一将这些咨询商或者实施机构称为供应商。在内部审计信息化建设过程中，企业被供应商“绑架”的风险具体表现为如下情形： 　　第一，企业在前期选择过程中将供应商价格压得过低，给供应商的利润空间太少。供应商为了保证自己的收益，在实施过程中仅在形式上符合合同的要求，给信息化建设的质量带来风险。比如在系统建设的过程中在一些可选择质量的软件或者硬件的配置上选择了较低水准的配置，这就给内部审计信息系统的质量和未来运营保障带来很大的风险。 　　第二，实施过程中供应商才告诉企业一些风险事项，逼迫企业不得不增加成本。比如在实施过程中才指出配置较低可能风险较大，让企业自己决定是否要选择更高、更好的配置，前提是企业要为这样的升级增加成本。 　　第三，实施中企业发现供应商无法满足自身的需要或者质量、进度上无法满足企业的要求。比如在业务咨询的过程中企业发现供应商对相关业务情况不够熟悉，甚至对某种体制下的内部审计机构工作内容等没有很深入的了解。更为常见的情况是虽然供应商可能对内部审计方面的前沿咨询经验以及最佳行业实践比较了解，但由于对企业的情况了解不够，无法将这些前沿理念、最佳实践与企业实际有效结合，从而也无法提出真正能为企业内部审计信息化建设增加价值的建议。 　　但是在实施的过程中，合同、招投标文件等双方协议中没有能够准确地用来控制此项风险的条款。而这个时候，企业的内部审计信息化建设可能已经进行一半甚至更多，由于项目进度要求等诸多现实的限制，企业不可能在项目进行中再更换供应商。 　　诸如上述种种情形，企业在某种程度上都存在着被供应商“绑架”的风险。 　　二、风险产生的原因 　　笔者试着从内部审计信息化建设的全过程链条即从内部需求确认到供应商选择、合同签订、项目实施过程控制等查找上述风险产生的原因。 　　（一）企业对内部审计信息化建设的定位、目标、内容等不清晰 　　在内部审计信息化建设中，首先企业自身需要对信息化建设的目标、主要内容、可能存在哪些困难和风险等事项有清晰的认识。换句话说，企业需要清楚地知道我要做什么、怎么样才能达到目标、在达到目标的过程中可能有哪些风险和困难。 　　从内部审计的信息化建设来讲，清楚地知道这些事项要求企业对于内部审计业务定位、内部审计未来的长远规划等要有清晰的宏图。因为信息化本身只是手段，不是目的，内部审计信息化建设的目标是要通过固化管理流程和业务流程，以内部审计信息系统平台为依托，为企业提供统一的审计标准和规范、管控手段与工具，促进与提高内部审计工作的效率和效果，实现内部审计更好地履行“确认与咨