美国大学审计的特点与借鉴

美国大学审计的特点与借鉴

2006年7月22日至8月20日，赴美国参加高校管理知识培训，本次培训以公立大学马里兰大学的管理为蓝本，同时访问美国联邦教育部、马里兰州政府、马里兰州高等教育委员会，并考察了几所私立大学、教会大学和社区大学。深感美国大学的一些审计经验值得我们借鉴。

一、审计所处环境

1、美国的政治体制

美国实行的是联邦制分权的政治模式，中央政府作为政府最高权力中心主要负责国防、外交、社会安全、州际协调等重大事务。州政府和地方政府则拥有广泛的选举权和自治权，在民主原则的指导下实行自治。地方政府自治权的广泛存在，有效避免了中央高度集权的恶果，在一定程度上减少了行政权介入资源分配的机会，从而有效限制了行政权的滥用，最大限度地减少腐败的可能和概率。

美国的联邦制与实行中央集权制的国家相比，它在行政层级监督方面的监督力度会稍显弱些，但作为行政权自我约束的一个重要方面，美国政府的行政层级监督对于维护国家社会稳定，促进政府效能的发挥同样起到了关键性的作用。美国的政府层次上上级官员对下级官员的监督主要基于上级机关对下级机关的监控，包括工作报告计划的审批、地方规章的备案、行政执法的检查和行政违纪违法的处置与惩戒等。在制度上和习惯上，上司有权否决下属官员的意见和支配下属官员的行政行为，只不过在实践中这种上级对下级的否决和支配并不常见。政府首脑对下属官员的监督，一般体现在努力说服上，绝少采取撤职和调职的极端手段。值得关注的是，为了避免上级官员对下级官员的监督流于形式，产生虚监、漏监的现象，美国确立了责任连带制度，以确保上级官员对下级官员的监督落到实处。

2、马里兰大学的管理体制

美国1862年通过《莫里尔法案》，以立法形式确立州政府的办学责任。州政府通常通过教育协调委员会之类组织对大学进行管理，但与大学不是领导与被领导关系，是计划、协调关系，并为高等教育提供支持。

马里兰大学系统是由马里兰11所州立大学、2个独立研究机构、2个区域性的高等教育中心和1个系统办公室组成，类似的大学系统在全美有13个州设立。

大学系统设立董事会，由州长任命。系统校长为首席执行官，直接向董事会报告。各分校校长通过系统校长向董事会汇报。大学系统统一预算和拨款，但招生、教学等具体细节工作每个学校有自已的标准，独立运作。所以，马里兰大学系统是美国联邦政府的缩影。

二、美国审计的特点

1、美国联邦审计总署隶属国会并保持相对独立

美国联邦审计总署是根据1921年的《预算和会计法》成立的美国国家最高审计机关。它属于国会的辅助机构，在国会领导下独立开展工作，直接对国会负责并向国会报告工作。州政府的审计与联邦政府的审计类似，具有很强的独立性。

联邦审计总署的负责人称为主计长，由总统任命，但须经参议院提名和同意，任期十五年，除在任期内囚犯罪被国会两院联合罢免以外，其他机构或人员无权撤销其职务或停止其工作，总统对其没有法律的支配权力，对国会也保持相当的独立性，同时，主计长在政治上保持中立，经费由国会预算委员会直接核实，不受政府的控制，保证审计的独立性。

审计总署总部设在美国首都华盛顿，在全国各大城市及国外欧洲、南美洲和亚洲设有分部，审计总署的工作人员约3300人，除传统的会计师和律师外，还有企业管理、行政管理、经济、保险、数学、工程、电脑以及其他专业人士，会计师的比重仅占15%。

联邦审计总署在国会的各种辅助机关中居于领先的地位，被赋予重大权力，即享有部分的立法、司法和行政三种权力。联邦审计总署的职权范围十分广泛，除中央情报局和总统办公室之外，凡是联邦政府各部门及其所属企业、事业单位与公共开支有关的事项，都可以审计。审计总署的检查权、调查权、建议权和报告权。审计总署每月总结上月所做的工作向国会、国会的专门委员会和议员提交报告，主计长有权对审核中发现的问题不定期地向国会提交专门的报告，同时还有权公开审计结果。

2、联邦教育部设立监察长办公室

1978年美国国会和总统分别通过和签署了《监察长法案》，为联邦政府的重要部门建立监察长办公室。监察长制度的最为重要的特征是它凸显了行政监察的独立性、权威性和综合性。“独立性”是通过法律规定总监察官的任命和撤职的法律条款和强制报告的要求，总监察长由总统提名，国会任命，且与政府换届不同步，在向部长和国会同时报告工作；“权威性”监察长和所在部门的法律总顾问、副部长处于同一行政级别，保证监察长及其监察行为充分的权威；“综合性”是承担了行政法纪监察和行政审计监督这两项监督职能。

美国联邦教育部设总监察长办公室，其主要职责有两个方面：一是负责对政府各部门的公共财政支出进行审计，防止侵吞、诈骗及浪费现象；二是对发现的各种不合理、不合法的财政支出进行调查取证，提出相应的改进建议。

总监察长办公室下设：总监察长直属办公室、分析和督察事务部、调查事务部和审计事务部。其中审计事务部155人，通过开展独立、客观的工作，协助教育部长和国会提高教育经费的使用效益，确保项目得到全面、有效落实，并预防和发现欺诈及滥用教育资金行为。目前的主要工作是对联邦政府每年拨付100多亿美元教育补助资金在各州的使用情况进行审计，对发现的欺诈、滥用等问题进行调查。

3、马里兰大学系统审计委员会

马里兰大学系统设立审计委员会，审计委员会现有六名委员（规定是5－7人），由大学系统董事会成员（非执行董事）担任。

马里兰大学审计委员会的办事机构是审计处（编制18人）。马里兰大学审计章程规定：“马里兰大学行政管理系统中包括一个内部审计的中心办公室，它帮助董事会独立地评价整个学校的行政管理活动，并帮助审计委员会完成董事会的受托责任。内部审计的首要功能是帮助管理层经济有效并高效率的履行他们的责任。为了达到这个目的，内部审计人员要检查财务和经营活动，分析内部控制结构和程序，并向高层管理者和部门负责人提出正确的建议。内部审计部门是行政管理体系中的一员，但是负责纠正行政管理存在的缺点”。

“内部审计对董事会审计委员会负责，并向他们提供审计报告，它是马里兰大学行政管理系统的一部分。为了管理的需要，内部审计部门可以向校长提交报告。为了管理，校长可以和内审部门负责人一起，保证内部审计部门独立性的专业水平以及保证内部审计有足够的资源完成它的使命”。

“为了完成使命，内部审计部门负责人可以全面、自由、不受限制的检查学校系统所有活动，包括记录、报告、资产和人员。不仅如此，内部审计部门负责人还可以直接到审计委员会会谈（包括每年私下会面一次）。内部审计也对各层次的管理者和部门负责人负责。同样，各单位董事长和部门负责人也应保证他们的管理层和经理们在整个内部审计过程中给予配合。而且，各单位董事长和部门经理有责任对每份审计报告提交反馈意见”。

马里兰大学的审计章程明确了审计职责和权限，有很强的独立性和权威性。

4、全方位的教育审计监督

美国的公立大学接受四方面的审计监督：一是州议会审计办公室对学校法定的审计；二是联邦政府对其拨付经费进行审计；三是大学内部审计机构的审计。上述三项每三年要审计一次。另外，在必要时邀请会计师事务所对其有关经济活动进行审计。所以，美国的公立大学分别接受联邦政府审计、州政府审计、内部审计和社会审计全方位的审计监督。

三、马里兰大学内部审计的重点与工作程序

马里兰大学系统依据大学董事会批准的审计章程，审计处重点开展以下几方面的审计工作：

 开展财务收支审计；

 对整个学校计算机系统的安全进行审计；

 对管理情况进行审计；

 对建设工程项目进行审计；

 对科研经费预算和决算进行审计；

 对舞弊事项进行审计，其审计情况在向审计委员会报告的同时，还要直接向州长报告。

马里兰大学系统审计处依据大学董事会批准的审计章程，制定了《马里兰大学内部审计工作程序指引》：

1、内部审计程序概要

审计程序主要阶段

 风险评估

 选择审计范围

 通知被审计单位

 进行初步调查

 评价内部控制环境

 制订审计计划，在审计时它可以为审计人员提供按部就班的指导

 下审计点履行工作，例如：与工作人员谈话，测试交易记录以及现场观察操作情况。

 草拟审计报告和召开审计结束见面会议

 发表最后审计报告

 取得和评价被审计单位对审计报告的书面反馈

 进行后续审计回顾

大部分审计包括以上各个步骤，但有时也会有例外。

2、审计种类

财务审计：在财务审计过程中，审计人员必须确认被审计单位的历史财务信息真实公允的反映了它的财务状况和经营的成果，为了得出结论，审计人员必须调查被审计单位内部控制结构、检查经济事件交易处理是否正确。财务审计人员首要任务不是要刻意的评价被审单位的效益和效率。因此，对于经营情况的评价和建议只是财务审计的副产品而不是主要目标。

经营审计：也叫做业绩审计或管理审计，这些检查目的在于评估经营业务持续性管理的效益和效率。审计目标在于帮助管理层明确并解决问题。为了使得审计成功实施，审计人员必须逐步提出标准管理准则和管理措施。这个程序使得内部审计人员能够分析和评价学校整个系统运作的效率、效果和经济性。虽然财务数据被认为是经常使用的数据基础，审计人员要透过数据为提高被审计单位经营业绩提供帮助。在审计结束的时候，审计部门必须向相关负责的管理部门出具一份书面的审计报告包括审计发现的主要问题和审计建议，以引起他们的注意，从而采取相关的措施。

合规性审计：在合规性审计过程中，内部审计人员要评估一项业务是否与法律规定或与外单位所签订合同相符合的程度。包括对联邦契约和赠与基金以及捐赠信托基金的审计。在合规性审计中还包括评估某个部门遵循相关的联邦国家政策和程序的情况。

调查审计：内部审计在有事实证据表明学校资金、财产和人员可能存在财政财务方面不合规的情况时，要进行调查审计。调查审计不同于其他审计在于它们通常在不通知相关人员（会被审计发现所影响的人）的情况下进行突击审计。

后续审计：内部审计被赋予了对审计报告中提出建议的改正工作进行后续审计的权利，在审计报告发表六个月后，被审计单位负责分管学校财务工作的副校长应向被审计单位写信要求对方提供一份书面的已完成或计划实施整改情况说明。该情况说明的副本应发到审计部门一份，作为审计部门对整改情况进行审计评价之用。在审计复核完成后，内部审计部门要向管理层提交一份评估被审计单位就原审计报告提出问题整改情况的书面报告。

信息系统审计：信息系统审计对我们整个机构与电子信息相关的政策、程序、规定、措施和它们的实施情况进行评估，这些政策、程序、规定、措施是为了保护电子信息不会有丢失、被破坏、被不经意泄漏或被拒绝访问的情况出现而制定的。我们要将对是否有足够的内部控制措施，减轻学校的信息风险情况作出评估，并将结果提供给管理层。审计内容包括：网络安全情况；应用程序安全和控制情况；软件变更管理程序；环境和硬件安全以及灾难恢复程序。

定期开展跟踪审计：约在原审计后6至12个月。有时在审计过程中需要正规的法律分析，在这种情况下内部审计应征询律师的意见。

3、安排审计项目和风险因素的评估

内部审计部门不但要有一个长期的审计计划而且要有一个年度审计计划表，这些审计计划都是经过特别研究后决定的。两个计划均作为分配审计人员工作的首要方案。在审计开始以后，审计组的规模会根据逐渐出现的不同因素的影响扩大或缩小。也是因为这些因素，审计计划表是灵活多变的。

内部审计最初是根据许多风险因素来制定审计计划的，风险因素是客观的且作为一种判断的标准用于判断学校那个部分是受益于内部审计工作最多的部门。

客观因素包括预算和工薪规模；受雇人员的数量；固定资产的价值；资产的流动性；大额赤字或结余的影响；距离上一次审计的时间。判断风险因素包括关系到董事和管理层的区域；不利于信息公开的可能性；处理电子数据系统的范围、性质和可靠性；政府及相关法规的影响；一个小单位对于其他部门的影响和控制。内部审计量化、衡量、总结并分析这些风险因素并把它们作为一个决定审计项目和范围的指导，确定需要最多关注和最急需审计的地方，了解可以完成这些审计的人员是否足够。

董事会下属的审计委员会每年审阅并批准草拟的年度审计计划。内部审计可接受邀请会见一个分部的领导或有兴趣的高层管理人员参与讨论计划的审计项目和过去的审计结果。也倡导高层管理人员建议内部审计部门研究后认为需要审计的其他区域。

4、与外部审计人员合作

学校的外部审计人员包括社会上的独立审计人员和国家法定审计人员。内部审计人员应与外部审计人员合作避免重复审计，并应该尽力补充外部审计人员努力不够的地方。一般来说除了对国家审计的后续审查之外，内部审计计划不应包括外部审计最近审计的项目。

对学校年度财务报表的外部审计合同，是由政府与独立审计人员协商经学校同意委托给他们的。如果需要独立审计人员额外的服务，需要得到校长的批准。

5、审计通知

当计划常规审计时，内部审计部门应在审计前两个星期前通知校长等有关人员。相关的高层管理人员包括负责管理的副校长或负责学校财务的副校长或者其他单位职位相当的人员也应得到审计通知。

6、提供工作场所

内部审计人员应该在被审计部门附近分配到适当大小的独立工作空间。这些空间应该跟被审计单位专业员工的工作空间大致相当。一般来说，这些工作场所应该有较好的照明系统，并装备电话和空调，应该有较好的家具而且比较近电源插座。

7、召开撤点会

在每次审计结束时，在撤点会上内部审计人员草拟一份审计报告，并会见被审计单位领导和其他相关人员。撤点会给部门领导者和经理们一个非正式的场所提供附加信息、相关问题结论或挑战性的结论。最后的报告在这些讨论的基础上进行修改。

一般说来，参加撤点会时只有被审计单位的领导能够允许对审计报告影响最多的人员、更自由更密切地表达他们的意见，并保证审计报告最终的准确性。在审计下点工作最后的阶段完成后，内部审计人员应提供与有关高层或其代表沟通情况简报。这些简报可应管理层的要求提供，或当内部审计人员认为报告能够提高双方对审计结论的认的同口头简报，或者问题需要马上纠正时提供简报。

在审计报告印发前任何时候，如果有新的信息出现，报告可以被修改。但当双方有意见分歧无法消除时，报告仍然可以分发到相关部门，但必须经过相应的修改并反映被审计部门或高层管理人员的立场。并且该意见必须包含在被审计单位对最后的审计报告的书面答复中。

8、发布审计报告

审计经常涉及到财政财务和管理的过程。在审计报告审计范围段，内部审计人员应定义审计的特征并列举审计的功能区域。既然审计人员的作用就是提供建设性的批评意见，那么审计报告的性质必须是批判性的。但是，内部审计报告一般包括被审计单位或部门值得称赞的优点长处，赞扬员工改正了以前的缺点并表示出对高级管理人员的认同。审计报告一般提交给校长。审计报告最终稿副本应该送给相应的管理者，包括负责管理的副校长和负责财务的副校长以及部门领导。审计报告最终稿摘要和被审计单位的意见应每月报送董事会，如董事们要求，完整的审计报告和被审计单位的反馈意见也应该提供。

9、维持审计报告的保密性

因为所有的内部审计报告是保密的，他们必须在“需要知道的”基础上被保护和分发。外部审计人员在做受托审计时可以联系内部审计处长索取审计报告。

10、对内部审计的回应

在发布审计报告后25个工作日，被审计单位的各个部门都要提交书面的反馈意见。反馈意见中必须完整的提交对报告中各个审计所发现的问题及其建议的意见，使得审计人员有足够的信息去评估被审计单位的改进计划；或向审计人员提供足够的证据能说明被审单位所提交的改进措施比审计报告中建议的更有效。每项需要完成的措施必须作出适当的答复。

11、解决对审计结论的意见分歧

在审计报告发布之后，内部审计人员必须持续不断的用尽一切方法解决报告中的审计发现问题及其建议和被审计单位管理层的分歧。但双方的观点持续有分歧无法解决时，被审计单位和审计部门都可以将问题提交给校长或其他相关的高层管理人员作进一步的讨论，以得到相应的解决方案。如果还是没法解决，最后的办法就是被审计单位或审计部门领导将问题提交董事会审计委员会主席做最终仲裁。

12、向董事会审计委员会报告

内部审计部门应对董事会审计委员会的一切要求作出回应。而且所有审计报告的摘要以及被审计单位反馈意见的摘要必须每月报送给审计委员会。应审计委员会的要求，审计报告和反馈意见的全文也要上交。另外，内部审计部门应向委员会报告重大发现或说明学校范围内的发展趋势。说明被审计单位对审计报告的总体回应情况以及提出审计发现的成功率或失败率的统计报告，也要定期提交审计委员会。

13、参加特别工作小组

内部审计部门也可参加开发新系统或修补现有系统的特别工作小组。当内部审计人员参与系统计划和实施阶段的效果明显好于审计人员在系统实施后再参与，内部审计人员应被分配到这些项目开发小组一起参与工作。内部审计人员在这一情况下的作用是：

 当项目开发时检查项目

 建议应采取的措施

 向负责人提供相关信息，保证项目符合有效且高效率管理控制的原则。

为了保证独立性，审计人员不能接受包括直接设计、安装或操作小组开发的系统的工作任务。

14、描述审计标准和审计道德公约

内部审计部门应订阅并支持内部审计专业实施标准和由各个公认的会计审计组织所制定的道德公约。这些组织包括内部审计协会（IIA）、信息系统审计和控制协会(ISACA)、美国审计总署(GAO)以及美国注册会计师协会。这些标准要求审计人员在工作中无论是态度上还是事实上均应保持独立的见解。因此，审计人员无权实现变更或是参与行政实施行为。

15、报告可疑的财政财务违规行为

任何人发现或怀疑一个员工在参与财政财务不规范的行为，应该参考董事会章程处理。

四、马里兰大学系统内部审计工作经验的借鉴

美国高校审计有其独特的特点，就马里兰大学系统的审计工作特点，以下几个方面值得我们借鉴：

 马里兰大学系统审计处受董事会审计委员会领导，独立性强。

 为了完成使命，内部审计部门负责人可以全面、自由、不受限制的检查学校系统所有活动，审计的权威性高。

 重视审计计划的制订，并报审计委员会批准。

 审计章程规定：审计处每月向审计委员会报送审计工作情况，审计工作规范化。

 审计基本职能是监督。强调审计的作用就是提供建设性的批评意见，所以审计报告的性质必须是批判性的。

 马里兰大学的内部审计严格遵守国际内部审计协会(IIA)、国际信息系统审计及控制协会(ISACA)和美国注册会计师协会(AICPA)的相应规定，保证保持审计工作的专业操守。

 审计章程要求审计报告对下列情况应予说明：⑴内部审计部门履行它的职责时未受限制；⑵审计报告中审计发现的问题被审计单位已经采取了适当的措施改正；⑶内部和外部审计人员一起合作防止了重复工作的情况发生。

 重视信息系统审计。对信息系统是否有足够的内部控制措施，减轻学校的信息风险情况作出评估，并将结果提供给管理层。审计内容包括：网络安全情况；应用程序安全和控制情况；软件变更管理程序；环境和硬件安全以及灾难恢复程序等。

 强调审计结果的利用。要求在发布审计报告后25个工作日，被审计单位的各个部门都要提交书面的反馈意见。反馈意见必须完整的提交对审计报告中指出问题及其提出建议的答复，使得审计人员有足够的信息去评估被审计单位的改进计划；或向审计人员提供足够的证据能说明被审单位所提交的改进措施比审计报告中建议的更有效。

 关注后续审计，内部审计被赋予了对审计报告中提出建议的改正工作进行后续审计的权利，在审计报告发表六个月后，负责分管财务工作的副校长，要求被审计单位针对审计报告提供书面的已完成或计划实施整改情况说明，对审计建议每项需要完成的措施必须作出适当的答复，同时抄送审计部门；审计部门对被审计单位就审计报告的总体回应情况以及提出审计建议的成功率或失败率做出报告，并定期报送审计委员会。

 保证的独立性。审计人员不直接参加管理工作，以保持审计的独立性。

五、关于计算机审计的思考

1、我国的计算机审计处于初级阶段

在我国，会计电算化已经开始普及，信息化建设迅速发展，开展计算机审计已经理所当然。但真正的计算机审计尚未开展，其表现：一是从国家层面虽然在抓“金审工程”，但应用范围还比较有限，审计的深度也大多停留在如何利用财务信息开展计算机辅助审计的初级阶段；二是从国家层面尚未制定计算机审计的规范。审计署1996年发布的《审计机关计算机辅助审计办法》仅仅将计算机作为审计的辅助工具；中国注册会计师协会1999年发布的《独立审计具体准则第20号计算机信息系统环境下的审计》只是关注计算机信息系统环境对被审计单位会计信息及内部控制的影响；2000年《国务院办公厅关于利用计算机信息系统开展审计工作有关问题的通知》也只不过侧重于对会计信息系统的数据进行审核。

2、国际计算机审计的发展

国际信息系统审计和控制协会（ISACA）创始于1967年，1969年正式组建为EDP 审计师协会。今天，ISACA在全球100多个国家中有两万八千多名成员，并涵盖众多专业信息技术的相关职业，比如信息系统审计师、顾问、教导员、信息系统安全专家、管理者、首席信息官和内部审计师等。

国际信息系统审计和控制协会（ISACA）于2001年发布信息系统审计指引，要求计算机审计不仅要对信息系统的数据进行审计，还要对信息系统的开发、应用以及信息系统的安全进行审计。

3、美国的计算机审计走在世界的前列

美国于1973年开始制定计算机审计的有关法规，1974年注册会计师协会颁布了《审计标准说明第48号》题为“计算机处理对财务报表的影响，1984年美国EDP审计人员协会发布了一套EDP控制标准－－《EDP控制目的－1984年版》。目前，美国己普遍实行了计算机审计。一方面全面对信息系统的数据进行审计，政府审计机构和大型会计师事务所可以把自己的计算机终端联接到大型计算机网络上，经授权，审计人员在自己的终端上就可以调取被审计单位的有关资料进行审计，实现了审计的动态监控；另一方面许多单位开展对信息系统的审计，或者说是信息系统的安全审计。

4、马里兰大学的计算机审计

马里兰大学的审计已经按照国际内部审计协会(IIA)、国际信息系统审计及控制协会(ISACA)已经美国注册会计师协会(AICPA)审计规范开展计算机审计。他们配备3名计算机方面的专家，全面开展信息系统的安全审计。

5、积极探索安全审计。

Internet的快速发展和信息经济的兴起为信息系统审计带来了许多机会。随着网络技术的发展，传统的计算机审计信息系统所关注的内容已从单纯的对电子数据的处理延伸到对信息系统的可靠性、安全性进行了解和评价，计算机审计的概念已经更多地赋予了网络安全审计的内容。“未来审计行业和审计技术的发展动力将主要来自于信息系统审计的发展”，这一观点已经逐渐成为国外会计、审计界的一个共识。

安全审计是在传统审计学、信息管理学、计算机安全、行为科学、人工智能等学科相互交叉基础上发展的一门新学科。安全审计着重于计算机网络信息安全领域，对安全控制和事件进行审查和评价，包括对系统安全的审核、稽查与计算，即在记录一切（或部分）与系统安全有关活动的基础上，对其进行分析处理、评价审查，发现系统中的安全隐患，追查造成安全事故的原因，并作进一步的处理。它除了监控来自网络内部和外部的用户活动，对与安全有关的活动的相关信息进行识别、记录、存储和分析，对突发事件进行报警和响应，以保证系统的安全。

未来的审计，不仅要对单位财务的真实性审计，还要对单位信息系统的安全进行审计，更要保证单位审计信息系统的准确有效的运行，因此构建一个有效的计算机审计信息系统的安全控制机制是基础，而对信息系统的安全审计更是一个长期的发展方向。

能否开展信息系统的安全审计根本并不是技术问题，而是认识问题！只要审计主管认识到开展信息系统的安全审计属于自己的职责，就有争取领导支持的希望！有了领导的重视和支持，就可以聘请计算机审计的专家，积极探索信息系统的安全审计的新路子！

参考文献：

⑴ The University System of Maryland《Office of Internal Audit Procedural Guidelines》

⑵李胜利．加强教育行政监督保障教育事业健康发展．《国家教育行政学院学报》．2005/3

⑶杨曙光. 管窥美国联邦审计总署.《经济师》． 2006/1

⑶彭作富. 美国IT审计对我国的启示.《工业审计与会计》． 2006/1