學校信息體系審計策略討論

前言：本站為你精心整理了學校信息體系審計策略討論范文，希望能為你的創作提供參考價值，我們的客服老師可以幫助你提供個性化的參考范文，歡迎咨詢。

本文作者：唐文杰作者單位：貴州財經學院會計學院

自1999年，我國高校開始實行擴大招生政策以來，90%以上的高校已經實現了會計電算化，形成了賬務系統、收費系統和預算控制為核心的綜合會計系統。高校財務工作從傳統手工記賬到會計電算化，對會計核算環境、控制方式、會計的儲存介質與檔案管理、防范錯弊的控制等方面產生了很大影響，也對信息系統安全性、可靠性的審計提出了更高的要求。為了適應高校信息化的環境，必須加快推進高校信息系統審計活動的開展。加強對高校信息系統審計的研究，以提高高校的審計質量、降低審計成本、提高審計效率，對于確保高校快速、健康發展是十分必要的。

一、國內外信息系統審計研究現狀的簡要回顧

現代審計的主流是以財務報表審計為代表的對信息的檢驗（謝少敏，2006），對信息系統審計研究的文獻極其有限（劉杰，2010）。國外信息系統審計大致經歷了萌芽、發展、成熟和普及四個時期。無論是在審計規范的研究方面，還是在信息系統審計的實踐方面，國外都優于國內，截止到2010年12月，ISACA已經了16項基本準則、41項審計指南和11項作業程序，為信息系統審計人員開展審計活動提供了指引，形成了較為完善的信息系統審計規范體系。與此同時，早在20世紀50年代，IBM公司就對電子數據環境下的內部審計規則進行了闡述，嘗試著開展信息系統審計實踐活動。國內對于信息系統審計理論與實務的研究起步較晚。中國審計協會為了規范組織審計機構及人員開展信息系統審計活動、保證審計質量，于2008年根據《內部基本審計準則》的精神制定并頒布了《審計具體準則第28號———信息系統審計》。20號審計準則是我國第一個真正意義上的信息系統審計準則，也為我國信息系統審計人員開展信息系統審計活動提供了法律依據。莊明來、吳沁紅、李俊（2008）回顧了與信息系統審計相關的規范，發現我國信息系統審計人員開展信息系統審計，主要參考的是ISACA組織頒布的信息系統審計準則和我國審計準則中關于計算機審計的部分，這不適合我國信息化快速發展的現狀，也不適應信息系統審計事業的發展。我國在制定專門的信息系統審計準則應注意準則體系問題、準則制定的方法問題以及信息化相關法規的完善等方面。劉杰（2010）在回顧國外信息系統審計規范的基礎上，以制度經濟學、系統論、控制論等為基礎，提出了我國信息系統審計規范體系的結構，并對我國信息系統審計規范體系的制定問題進行了探討。可見，對于信息系統審計的相關問題，國內外學者都進入了深入廣泛的研究，特別是ISACA頒布的準則、指南和作業程序對于國內外信息系統審計人員開展審計活動有著十分重要的借鑒意義。但與此同時，針對高校的信息系統審計開展研究的文獻基本上處于空白狀態，高校信息系統與企業的信息系統審計存在著一定的區別，有鑒于此，本文對高校信息系統審計策略的研究有著十分重要的理論意義和實踐意義。

二、我國高校信息系統審計存在的問題

1．信息系統審計意識落后。經過十多年的信息化發展，高校對會計審計的重點仍然放在財務審計上面，沒有轉變到對信息系統的審計上來。傳統的審計觀點認為，審計應當是對財務會計信息的審計，往往忽視對信息系統的審計。其對信息系統的審計認識尚不到位，甚至對信息系統審計持懷疑的態度。但信息系統的可靠與否，是財務會計信息可靠與否的重要保障，為保證信息系統所產生財務會計信息的真實可靠性，高校審計人員應當轉變意識，認識到信息系統審計的重要性，這樣才能真正保證財務會計信息的真實、可靠。與此同時，在傳統審計思維的帶動下，絕大多數高校對信息系統審計的資金投入力度不夠，這在很大程度上阻礙和制約著信息系統審計的發展。

2．高校信息系統審計人員匱乏。絕大多數高校的審計人員沿用傳統的財務審計手段與方法對信息系統進行審計，對信息系統審計知識的了解基本上處于空白狀態。造成這種局面的因素主要有以下幾個方面：①現有審計人員中有很大一部分人員是由財務人員轉型搞審計的，沒有接受過系統與專業的審計知識教育，且存在著審計人員年齡大、知識結構老化的現象，對于計算機的運用不感興趣。即使是系統學習過審計知識的審計人員也在計算機方面存在著欠缺，對計算機的知識僅僅停留在基礎應用階段，總體水平偏低。②在現有高校的審計人員中對信息系統審計的認識存在著誤解，認為信息系統審計就是運用計算機對高校的財務狀況進行審計，只要實現了審計辦公的信息化就實現了信息系統審計，這種觀點導致了很多高校沒有開發信息系統審計活動，學校的信息系統安全存在著巨大的隱患。因此，高校信息系統審計過程中由于缺乏必要的信息系統審計人員，或者缺乏系統的信息系統審計專業知識培訓，使得高校的信息系統審計活動難以開展，整個信息系統安全性不高。

3．信息的共享程度低，沒有合適的信息系統審計平臺。對高校的信息系統進行審計，需要構建合適的信息系統審計平臺，但到目前為止，絕大多數高校各個系統之間還未實現真正意義上的共享，很多數據還是處于單機版的共享階段，完整的高校信息資源整合系統尚未建立，高校信息系統仍然是一系列的“信息孤島”。當信息系統審計活動涉及多個系統時，信息系統審計人員往往要花費大量的時間處理相關資料。與此同時，在目前的審計軟件市場上，諸如審計之星、審易以及國外ACL等審計軟件，其開發的目的在于輔助傳統的財務審計，而不是針對信息系統審計的，使得信息系統審計活動的開展缺乏必要的審計平臺。因此，高校信息系統審計的開展還有賴于高校信息系統審計平臺的建立。

4．信息系統審計規范缺失。國外在信息系統審計規范方面有一套成熟完善的體系，如ISACA的準則等，同時為整合信息系統審計領域的審計資源，ISACA于2008年4月了ITAF鑒證框架（InformationTechnologyAssuranceFramework）。此外，國際內審協會為了整合適應信息系統審計的需要，對內部審計人員等進行培訓，專門頒布了GAIT和GTAG，其中GTAG頒布的目的在于：①從主管人員的角度解釋信息系統控制；②解釋在整個內部控制系統中信息系統控制的重要性；③描述組織職責和義務，以確保信息系統控制在整個內部控制系統中得到適當處理；④描述固有風險這一概念以及組織的技術管理；⑤描述首席審計執行官所需了解的基本信息系統控制知識，以確保對信息系統控制實施有效的內部審計評估；⑥描述信息系統控制評估過程中由內部審計提供的相關要素。由此，國外為了配合信息系統審計人員開展信息系統審計活動，頒布了一系列的審計規范。與發達國家相比，我國計算機審計準則缺乏操作層次規范，弱化了實際應用性，內容時效滯后，內控制度過于籠統，審計風險評價乏力，所以重構我國計算機審計準則系統應本著系統性、完整性、實用性原則，科學規劃一般準則和具體審計指南。在借鑒國外先進經驗制定計算機審計準則時，應保持中國特色（汪家常，許娟，2003）。經過幾年的探索，我國在信息系統審計實踐領域已經取得了初步成就，但到目前為止，國家頒布的信息系統審計規范除《內部審計具體準則第28號———信息系統審計》之外，尚缺乏一套完整的信息系統審計規范體系，許多審計人員通常都按照ISACA的信息系統審計準則執行信息系統審計活動。但ISACA所頒布的信息系統審計準則畢竟不是根據我國國情制定的，不能完全適應我國的要求，也不能直接指導高校信息系統審計活動的開展。因此，筆者認為，應該盡快頒布一套適合我國國情的信息系統審計規范，以輔助我國高校的信息系統審計活動。

三、我國高校信息系統審計的策略分析

開展信息系統審計活動可以保證高校遵守必要的財經法規，防止國有資產流失，從而提高高校的資金使用效益。因此，為保證高校信息化建設的進程，對高校信息系統的審計已經勢在必行。

（一）高校信息系統審計的總體策略

1．部分信息系統審計項目外包。信息系統審計活動是一項技術性較強的審計活動，目前在許多高校尚缺乏進行信息系統審計的人才，實行信息系統審計外包也是這些高校的必然選擇。而從實踐來看，信息系統審計項目外包，有以下優勢：①將部分信息系統審計項目外包不僅可以提高高校審計的獨立性，而且還有利于解決高校現有審計人員不足的問題。高校的審計機構隸屬于學校本身，雖然其代表高校實施審計監督的職能，但畢竟是高校內部的機構，與高校各個部門存在著千絲萬縷的聯系，難以從根本上保證其獨立性。如果將部分信息系統審計項目外包，由獨立于高校的審計機構來完成，可以對學校信息系統做一個客觀、公正的評價，防止學校內部機構的人員違反相關法規的行為。②將部分信息系統審計項目外包可以提高高校信息系統審計的質量。民間審計機構在信息系統審計的資源方面優于高校，其掌握了先進的信息系統審計技術與方法，不僅可以彌補高校審計人員不足的現象，也可以提高整個信息系統審計項目的質量。③將部分信息系統審計項目外包也可以起到節約審計費用的作用。當前絕大部分的高校資金并不寬裕，特別相對比較落后的貴州、青海以及云南等西部地區，聘請外部審計參與信息系統審計活動，可以起到審計時間短，審計效果好的功效。這樣相對高校內部審計機構審計而言，可以起到很好的作用。在高校信息系統審計項目是否外包方面，應當取決高校信息系統審計外包所帶來的成本問題，以及高校內部信息系統的機密問題。筆者認為，若高校內部審計人員審計所帶來的成本預算大于將其外包給民間審計機構所帶來的成本預算時，則應當對該信息系統審計項目實施外包，反之，則應當由高校內部的審計機構負責對該信息系統進行審計。在關鍵的信息系統審計項目方面，也應當由高校內部人員進行審計，不應當外包，因為這些信息系統涉及高校的一些機密問題，若將其外包，有可能使部分機密外泄，對高校的聲譽等造成巨大的影響。由此可知，一個信息系統審計項目是否外包，高校的審計機構或相關部門應當對其進行綜合考慮。

2．加快信息系統審計人才的培養。審計歷來發揮著監督的職能。隨著我國高校規模的擴大，以及國家用于高等教育資金支出的增加，審計這種監督職能只能加強，不能削弱，必須定期考核財政用于高等資金支出的績效問題。在高校需要對當前信息系統進行審計的同時，在信息系統審計方面卻存在著審計人員缺乏的難堪境地。為加強信息系統審計人才的培養，高校應從如下幾個方面努力：①為保證高校信息系統審計人才的培養，高校應當給予資金支持。②高校內部審計機構是信息系統審計活動的直接實施者，其信息系統審計行為的成功與否，在很大程度上取決于擁有信息系統審計人員數量以及素質問題，因此，內審機構在發展過程中，應有意識地儲備和培養信息系統審計人員。③轉變現有高校審計人員的觀念。我國高校的現有審計人員觀念落后，缺乏對信息系統審計活動的認識，因此在當前環境下，高校應當加強現有審計人員的觀念轉換工作，使現有審計人員跟上信息時代的潮流。④定期或不定期地對現有審計人員進行培訓，豐富其信息系統審計方面的知識，開展針對高校現有信息系統的培訓活動，將現有審計人員逐步培養成既具有會計知識素養，又具備豐富信息系統相關知識的復合型人才，這樣才能適應信息系統審計發展的需要。

3．努力建設高校審計信息平臺，實現政府審計機關之間的信息資源共享。金審工程是國家電子政務十二個重點業務系統之一，它為全國各類審計部門、各級審計機構的信息化建設提供了一個良好的平臺，在審計署的《2004年到2007年審計信息化發展規劃》中提到的主要任務是：按照國家電子政務建設的規劃，建成審計專網、審計內網和因特網接入網。而在《2008年到2012年審計信息化發展規劃》中提出進一步建設、完善、推廣審計管理系統、現場審計實施系統，積極探索聯網審計和信息系統審計，建設全國審計機關網絡中心、數據中心，擴展網絡應用，保障信息安全，基本形成服務保障體系和標準規范體系。高校審計部門應該充分利用網絡資源，建立暢通高效的信息資源收集渠道和方式，不斷充實、完善、整理和豐富信息資源，逐步實現與其他高校審計部門、各級政府審計機關之間的信息資源共享。在目前審計軟件比較缺乏的情況下，有條件的高校審計部門可嘗試自己開發系統，根據本校信息化建設的實際情況，注重外部力量與內部力量的結合、審計人員與技術人員的結合，最終建成高校審計管理系統、實施系統。

4．完善信息系統審計規章制度，培養信息系統審計意識。實現信息化后，高校審計的管理模式、工作流程等必將發生變化，原有的管理體制或管理制度等將無法適應新的信息化環境。因此，應該通過開展多形式、多渠道、多層次的計算機技術培訓，輔之以人才引進，建立起一支既精通審計業務，又掌握了計算機技術，能勝任審計信息化、形成梯次分布的新型審計人員隊伍，能結合審計工作需要提出軟件設計需求、能編寫程序、通曉審計業務的信息化審計專家。在隊伍的建設中要突出重點、以點帶面。同時，改革現有審計管理體制，建立、健全各項適應審計信息化環境的規章制度。

5．加快信息系統審計規范體系的建設。信息系統審計規范的制定與完善不僅僅是為滿足高校信息系統審計的需要，也是為滿足我國當前信息系統審計實踐的需要。在信息系統審計規范的制定與完善方面，我國可以借鑒ISACA信息系統審計準則，結合我國的國情，制定出適合當前國情的信息系統審計準則。同時，應當加強同國際信息系統審計界的交流與合作，尤其應加強與信息系統審計界的權威組織———ISACA的合作，積極關注ISACA的網站信息、參與有關的國際研討會，邀請有經驗的相關人士到我國介紹經驗。我國還可到先進國家或地區考察，向國外同行學習等。加強對外交流與合作對推進我國信息系統審計的發展及準則的制定工作有很大的幫助，可以使我們少走彎路，借鑒國外的先進研究成果。此外，在加快我國信息系統審計規范體系建設的前提條件下，相關部門應當組織力量，制定適合我國高校特點的信息系統審計具體規則，以推動高校信息系統審計實踐活動的開展。

（二）高校信息系統審計的具體策略

1．信息系統開發階段的策略。信息系統審計不同于傳統的財務審計，其審計活動的開展應當在信息系統開發階段介入，若不在信息系統開發階段介入，則會增加信息系統審計的成本。在信息系統開發階段，信息系統審計人員可以通過三種方式參與其中：①信息系統審計人員作為用戶參與到信息系統的開發過程中。所有處理業務活動的系統在某方面都會影響系統的最終功能。和所有其他用戶一樣，信息系統審計人員使系統專業人員更加明確用戶所需要的問題。②信息系統審計人員作為開發小組的成員參與到系統開發過程中。③信息系統審計人員以審計師的身份參與系統開發過程中。有些信息系統審計技術要求在系統內部設計中嵌入一些特殊功能，審計人員與這種系統有利害關系，讓其參與到這個過程，更有利于高校信息系統審計活動的開展。

2．信息系統維護階段的策略。一旦系統開發完成，便進入了系統維護階段。系統維護涉及修改系統，使之適應用戶需求的變化。維護與最初的開發成本相比，意味著更大的資源開銷。在系統生命周期，其總成本中有80%~90%是在維護階段發生的。信息系統審計人員在這個階段的主要任務是確保對應用程序只進行合法性修改，而且這些修改同樣也在實施之前進行了測試，這些過程共同確保應用程序的準確性，并在檢驗期間保證其完整性。在這個階段，為減少信息系統審計的成本，高校必須培養自己的信息系統審計人員，定期對現有高校信息系統的內部控制、安全、軟硬件、災難恢復計劃等進行審計。高校信息系統審計的目標包括：確定被審計單位的軟硬件維護計劃和政策是否合理；確認軟硬件活動是否經過授權批準；確認軟硬件維護后是否進行測試；確認維護記錄是否完整，并及時更新相關文檔。

信息系統維護審計的程序通常包括如下幾個方面：①獲取被審計單位的信息系統維護計劃與政策；②檢查信息系統維護記錄，查看維護人員對維護情況否給予完整的記錄；③檢查信息系統的維護申請、批準、授權與執行文檔等，確認是否符合信息系統審維護的相關計劃與政策；④審查信息系統維護后的測試與檢驗報告，向相關人員詢問測試情況，確認信息系統是否經過充分的測試；⑤抽查與信息系統維護相關的文件資料，確定是否有維護過的地方，并及時進行更新與歸檔。