高校内部审计信息化相关问题浅析

冯国富

2017年12月，教育部印发了《关于推进直属高等学校内部审计信息化建设的意见》(教财【2017】10号，以下简称“《意见》”)，提出了当前和今后一段时期高校内部审计信息化发展的总体要求、基本原则、主要任务和保障措施。《意见》印发后，各高校积极探索，认真落实，审计信息化取得了明显进展。但在推进过程中，各高校也遇到一些共性问题，涉及审计信息化的发现方向与实施路径。笔者结合自身相关工作经历，探析高校内部审计信息化建设过程常见问题。

一、当前推进审计信息化建设的重点是什么？

《意见》提出了审计信息化建设的五项主要任务，包括健全数据采集机制、推进数字化审计方式、完善审计管理系统、逐步开展信息系统审计和创新审计业务组织模式。其中数据采集是数字化审计的基础，而深化数字化审计是创新审计业务组织模式的基础和关键。

五项任务中，数字化审计方式直接作用于审计实务，可以极大拓展审计深度和广度，能够快速提升审计效率和质量。在当前审计任务繁重、审计资源有限、审计要求不断提高的背景下，推进数字化审计方式具有必要性和紧迫性，是审计信息化建设的重中之重。

二、什么是数字化审计？

数字化审计与当前数据式审计、计算机审计、计算机辅助审计等概念相似，其核心思想是全面掌握并充分利用学校营运过程产生的各种业务数据和财务数据，服务于审计取证、审计结果和审计结论。

数字化审计价值主要体现在三个方面：一是全方位数据能够全面提升审计发现、审计判断和审计取证的能力、效率和准确度；二是信息技术能够全面提升审计分析和数据处理的效率；三是信息技术自动化、可重复性等特点能够全面改善审计知识积累和审计成果复用效果。

审计实务过程对数据的利用形式主要包含但不限于以下四种：

（1）通过结构分析、趋势分析、比率分析、指标排序等方式，对审计问题聚焦或发现审计线索疑点。如，校园停车收费周末流量远高于平时，当周末流量骤降，可能存在收费记录完整性问题。

（2）批量验证交易数据之间本应具有勾稽依赖关系的存在性，判断数据记录真实性。如，学生月度生活津贴申报明细应该与在籍学生明细具有一致性，如果违背该一致性关系，表明申报数据是不真实的。

（3）批量复核交易数据对业务规定的遵循性，判断合规性。如，基于教职工年度考核结果和教职工年度工资薪级变动数据，可以确认对“年度考核结果为合格及以上等级的教职工，第二年工资薪级增加一级”规定的遵循性。

（4）通过结构分析、比率分析、趋势分析、横向比较、指标分析、目标比较等方式开展绩效评价和咨询服务。如，对离职人员数量、年龄、学科、薪资等因素综合分析，可以提出人事管理、薪资管理等方面的问题现象或咨询建议。

三、审计信息化建设就是开发或购置审计软件吗？

高校目前开发购置的软件，大部分属于审计管理软件，少部分属于审计分析软件。

审计管理软件属于办公自动化范畴，主要包括审计项目生命周期的项目管理、资料管理、文件报送等功能。工作模式和工作流程的固化、自动化是审计管理软件的重要特征。审计管理软件对规范工作程序、完善资料管理、促进数据共享等方面具有意义。

需要强调的是，审计管理软件不能自发对审计管理起到规范性作用，它仅仅是对管理工作效果具有强化作用，包括优点，也包括不足。所以，审计管理软件建设一定要因地制宜、管理先行。当前内部审计正处于转型期，如果没有前瞻、科学的规划，审计管理软件非但不能达到预期效果，反而还有可能会阻碍审计工作开展。

审计分析软件是能够为审计工作中发现疑点、审计取证、审计定性等审计活动提供有效支撑工具、方法、知识、指南的综合性服务平台。审计分析与可用资料、被审计业务密切相关。鉴于业务和数据具有多样性和动态性，可用、易用、通用的审计分析软件在目前尚存在一定难度。一般适用于较为稳定的特定业务领域，而且定制软件更为常见。当业务或业务系统发生变更后，审计分析软件一般也需要相应变更。

所以，软硬件开发购置属于审计信息化建设的内容，但需要注意区分审计管理软件和审计分析软件，需要明确建设目标、辨别可行性。

四、目前所在部门没有计算机技术人员，数字化审计能搞吗？

数字化审计首先是一种从数据视角观察业务，充分利用数据服务于审计的理念和意识。所以，搞数字化审计，存在数据利用程度的区别，不存在能与否的区别。

其次，为了更加有效的理解数据、分析数据、驾驭数据，学习掌握Excel, SQL等一定的技术工具，对审计人员来说是必要的。

第三，计算机专业人才并不能一下子解决数字化审计的根本问题。熟悉审计、业务、数据也需要花费很大的时间和精力，需要不断学习总结积累。

最后，在开展数字化审计条件不够理想的情况下，建议循序渐进、逐步推进，如从大家熟悉的财务数据、从业务软件前台导出的规范数据、从大家熟悉的Excel工具等方面入手。

同时需要强调，各高校要不断加强数字化审计人才的培养，尤其是数字化审计骨干带头人的培养，而不是寄希望于软件公司开发的软件。

五、数字化审计发挥作用的关键有哪些？

数字化审计要想发挥作用，首先要转变审计定位。高校内部审计不限于财务，也不限于发现问题，而是全口径、全流程、全覆盖的，兼有监督、预防、咨询多种职能。高校内部审计应立足于学校根本目标和长足健康发展，从不同层次和角度去解析各种现象和问题，这是数字化审计充分发挥作用的前提。

数字化审计发挥作用的第二个关键是实现三个意识转变，即财务意识到业务意识转变、(纸质)资料意识到(电子)数据意识转变、事件意识到流程意识转变。三个转变的本质是要求审计人员具有探根寻源的精神，具备系统性和联系性审计思维。

以应收学费为例，是由新生实际入学数据，老生在册数据，退学休学复学数据，基于学分减免、身份减免、评审减免等制度决定的，进而由相关的教务学分、学籍身份、学务评审、减免决议、会议纪要、评定公示等数据决定的。这说明，财务、业务、数据都是联系的，不是孤立的。

数字化审计发挥作用的第三个关键是熟悉业务、熟悉数据。高校事业是由业务组成的，数据记录反映业务，又驱动后续相关业务。以上述应收学费为例，学分、学籍既是教务业务的记录，又是学分减免业务的驱动。业务决定审计要做什么，数据决定审计能做什么。只有熟悉业务，方能确定审计事项；只有熟悉数据，方能澄清事实，理顺因果。

审计人员首先要对校内部门岗位、职能职责、业务线条做全面梳理，了解信息系统及其所承载业务，熟悉业务过程和信息系统所产生数据，全面掌握可用的基础数据和业务数据，作为进一步审计分析或审计取证的基础。这是当前学校内审人员迫切需要加强的方面。尽管目前高校信息系统存在一些不足，但充分挖掘利用，足可以全面提升当前审计的效率和效果。

六、现阶段如何做好电子审计数据采集与管理工作？

首先需要清楚电子审计数据的来源和存在形式。审计数据在各个部门业务过程产生，以最终态或中间态的形式存在于数据库、Excel、 word等文件。一般说来，数据库数据最为完整、准确、一致，应是审计人员关注的重点。

其次是审计平台搭建。审计平台一般是装有数据库管理系统的PC服务器，集数据存储、管理、分析使用为一体。PC服务器要注意安全管理，一般要与审计部门外部网络物理隔离，要具备密码管理、摄像监控等必要的安全措施。有条件的高校，也可以由网络信息中心为审计人员配置虚拟服务器。

第三，审计数据管理通常采用Oracle。或SQL Server：系统，鉴于学校数据规模和易用性因素，建议高校采用SQL Server。

第四，基于数字化审计所处阶段和水平，可以因地制宜采用不同的数据采集形式。对于起步阶段高校，可以考虑多采集Excel传递的过程数据，或由业务部门从系统前台把数据导出为Excel。对于水平较高的高校，可以尝试从业务系统后台数据库采集数据，由被审计部门导出备份文件，审计人员再还原到审计平台。对于oracle、 DB2等大型异构数据库数据采集，建议寻求对方部门、开发商或第三方单位技术支持。在审计项目结束之后，注意对员工、学籍等时效性不敏感数据的规范整理和存档工作，以备后续项目使用。

我们之所以更强调后台数据库结构化数据，是因为信息系统覆盖业务全流程，其数据更加全面、准确，便于实现基于数据准确定性的审计效果。习惯于传统审计的人员，更倾向于利用合同协议、会议纪要等非结构化数据。这些数据虽然重要，但不全面、不准确，现有计算机技术尚未做到对非结构化数据语义的准确理解，难以达到直接通过数据定性的效果，主要用作审计辅助。

七、如何理解高校信息系统与数字化审计的关系？

高校信息系统数量较多。但就数字化审计而言，审计人员关注的是系统承载的业务以及产生的数据，而不是系统本身。

根据数据对数字化审计的作用形式，高校信息系统粗略分为以下四类：

（1）财务管理类

财务管理类主要包括财务会计系统、支付系统、报税系统，包含会计、工资、劳务、网银、公务卡、票据、纳税等数据。

基于财务管理类数据，可以通过限定科目、项目、部门、摘要、借方、贷方等信息灵活筛选符合某些会计特征的交易活动，可以批量追踪项目资金来去，可以对财务收支按不同口径统计，便于结构、比率、趋势分析聚焦审计重点，能够全面提高财务会计审

计效率和效果。

（2）信息登记类

信息登记类系统的特点是没有业务流程的概念，如人事系统、学籍管理系统、固定资产系统、科研成果登记系统等。

信息登记类系统承载业务很少，但数据会对其他业务活动产生重要影响，需要关注数据完整性、准确性、及时性，需要关注数据可靠性对财务和其他业务的影响。

（3）业务营运类

业务营运类信息系统的特点是，承载业务具有较为明显的资金流和信息流以及物流，业务数据与财务衔接，数据相对更加准确。

典型的业务营运信息系统包括：校医院HIS系统、校园一卡通系统、出版管理系统、培训管理系统、网络远程教学管理系统、停车收费系统、体育馆计费系统等。

业务营运类系统较为适合开展数字化审计，适合全流程跟踪信息流和资金流，便于开展真实性、合规性审计。

（4）业务管理类

业务管理类流程明显，但没有资金流。业务管理类系统承载核心业务，数据也较为准确。

典型业务管理类系统包括教务管理系统、招生系统、图书管理系统、后勤服务系统等。

业务管理类系统适合结合放管服和流程优化开展绩效审计，系统产生的大量业务数据往往也是其他数字化审计事项的基础依据。

八、什么是信息系统审计？

信息系统审计原则上是指，以信息系统为审计对象的审计活动，包括信息系统规划、建设、维护，也包括硬件、软件、数据、管理、治理。信息系统审计的主要内容包括：

（1）评价信息系统是否设计并执行有效的控制，确保数据真实、业务可靠；

（2）评价相关部门是否设计并执行有效的控制，预防技术风险；

（3）评价业务过程是否实现基于网络技术和数据共享的流程优化与业务协同。

原则上讲，高校信息系统相比金融、电信、税务等在线营运系统面临的信息技术风险小很多。评估并促进信息系统数据完整性、准确性、及时性，结合放管服要求评估信息系统数据共享程度、对业务支持程度，确定每个信息系统的边界和责任主体并提高数据安全保密责任意识，是目前高校信息系统审计的三个重点任务。

笔者不建议审计人员直接介入到技术管控具体事务，而是督促责任主体履行好本职工作。如在被审计部门自评和自评报告基础上开展审计。

九、如何理解《意见》中提出的创新业务组织模式？

数字化审计，表面看仅仅是审计分析过程对信息技术工具的采纳利用，但由于信息技术具有速度快、自动化、可重复等特点，信息技术会对传统审计模式产生深刻影响。例如，传统制度基础、风险导向等审计模式受审计力量制约，倾向于评估发现经营管理中的弱点，提高审计抽样有效性。而数字化审计借助信息技术克服人力局限、超越抽样审计，倾向于描述审计标准后交给计算机开展详细审计。数字化审计第一次组织会耗时较长，但后续审计可显著减少投入。这一特点会影响审计项目立项模式。具体以部门式立项模式与专题式立项模式为例：

目前高校多属于职能型组织架构，每个部门担负一定职能，设立一定岗位。从管理控制角度，也往往倾向于把一项独立业务分解到不同部门或岗位。所以，传统审计从部门、岗位角度立项较为自然。

但是，具体任务执行往往是一个流程，是由一系列部门配合完成的。部门式立项会把业务流和数据流人为切断，审计人员就不能或者不便于搞清楚事情的来龙去脉、前因后果，达不到审计应有的广度和深度。

专题式立项模式的内在价值在于：其一，使得利益相关者、业务流程、数据流程保持完整；其二，就数字化审计而言，厘清业务、理解数据是关键，对业务量本身不敏感；其三，经系统化梳理的流程、知识、数据、代码具有良好的积累、重用效果。

各高校可因地制宜，选择适合自己的审计信息化发展路径和组织模式。

本文受教育部教育财务管理研究课题和江苏省审计信息工程与技术协调创新中心开放课题资助。