方盈月

[摘要]隨著《教育信息化2.0行動計劃》的發(fā)布，各大高校將“互聯(lián)網(wǎng)+教育”業(yè)務模式引入校園，對高校傳統(tǒng)內(nèi)部審計工作的方式與方法提出新的挑戰(zhàn)。本文以信息技術內(nèi)部審計為基線，對高校內(nèi)部審計計劃階段、測試階段及報告階段工作的方式方法進行探究。

[關鍵詞]信息化2.0? ? 行動計劃? ? 高等教育? ? 內(nèi)部審計

教育部2018年4月發(fā)布的《教育信息化2.0行動計劃》指出，要積極推進“互聯(lián)網(wǎng)+”的發(fā)展，希望到2022年基本建成“互聯(lián)網(wǎng)+教育”大平臺。隨著各高校大力發(fā)展并引入“互聯(lián)網(wǎng)+教育”的業(yè)務模式以及相關教育業(yè)務模式和財務核算數(shù)據(jù)來源的變更，對高校內(nèi)部審計提出新的挑戰(zhàn)。順應“教育信息化2.0”發(fā)展潮流，強化內(nèi)部審計在自動化流程中的應用顯得尤為重要，內(nèi)部審計的方式方法也應作出相應調(diào)整。

一、計劃階段

（一）了解學校信息技術整體情況

對于新的系統(tǒng)和工作流程，高校內(nèi)部審計人員需先了解相關信息技術實施后的整體情況，主要包括：信息化辦公室的主要成員及主要職責;各子系統(tǒng)所處理業(yè)務的性質(zhì)（如教學業(yè)務、學工業(yè)務、黨務業(yè)務、科研業(yè)務、財務業(yè)務、社區(qū)業(yè)務等）;主要流程對信息技術控制的依賴程度;是否存在相關政策與程序以確保信息技術控制得以執(zhí)行;信息化辦公室覆蓋的二級學院、職能處室的數(shù)量等。

（二）進行信息技術風險評估

信息技術風險評估是在內(nèi)部審計人員了解高校各項教育教學業(yè)務環(huán)境的基礎上識別并評估實質(zhì)性重大錯報風險的流程，主要包括識別業(yè)務流程、識別風險點及識別相關控制（手工控制和自動控制），具體包括：在自動流程和手工流程中，根據(jù)需要發(fā)起、授權、記錄、處理和糾正的各業(yè)務子系統(tǒng)向財務系統(tǒng)進行傳輸與核對;在高校財務報告中用于發(fā)起、授權、記錄、處理及上報業(yè)務子系統(tǒng)的相關會計科目記錄;信息輸入信息系統(tǒng)的方式;信息在系統(tǒng)內(nèi)的存儲及訪問方式;信息在歸納、匯總和計算過程中的節(jié)點;人工干預信息的過程;各教育教學業(yè)務流程相關負責人員對信息的審核過程等。

（三）確定測試范圍

內(nèi)部審計人員應結合對高校業(yè)務的了解和對信息技術的風險評估，確定測試的性質(zhì)、時間及范圍。測試內(nèi)容主要包括以下方面：

1.學校層面控制。主要包括學校的控制環(huán)境、風險評估、信息、溝通、監(jiān)督等內(nèi)容。具體表現(xiàn)為學校信息科技發(fā)展規(guī)劃、學校信息技術組織架構、學校信息技術風險管理框架等。

2.信息技術應用控制。主要包括系統(tǒng)訪問權限控制、異常和差錯報告、接口控制、系統(tǒng)配置及科目映射等。

3.信息技術一般性控制。測試的范圍由信息技術應用控制測試范圍確定，應覆蓋應用控制涉及的全部系統(tǒng)。高校信息技術一般性控制的測試內(nèi)容通常包括對程序和數(shù)據(jù)的訪問、程序變更、程序開發(fā)、系統(tǒng)運行四個方面。

4.數(shù)據(jù)分析。主要包括預測分析、趨勢分析、比率分析、財務數(shù)據(jù)分析等。

二、測試階段

（一）學校層面控制測試

學校層面控制為其他控制活動的有效設計及運行提供基礎，其識別與評估可能影響后續(xù)控制活動測試的性質(zhì)、時間和范圍。因此，學校層面控制應在審計程序中優(yōu)先考慮。學校層面控制的測試領域通常包括控制環(huán)境、風險評估、信息與溝通、監(jiān)督四個方面。測試方法主要包括訪談和查閱。訪談學校信息化辦公室負責人員，了解學校在信息技術發(fā)展規(guī)劃中制訂的中長期發(fā)展規(guī)劃及其更新、重新規(guī)劃和調(diào)整以及總結機制;對于特定的學校層面控制，可通過查閱獲取執(zhí)行有效性證據(jù)，如查閱信息技術戰(zhàn)略規(guī)劃與審批記錄、工作報告等。

（二）信息技術應用控制測試

1.系統(tǒng)訪問權限控制。通常包括系統(tǒng)訪問權限控制、職責分離、授權與審批，一般要求系統(tǒng)在基于角色與權限劃分的基礎上，用戶具備一定的系統(tǒng)訪問權限。同時，在流程中進行控制，即完成某項既定流程需不同權限的角色用戶進行操作，以實現(xiàn)職責分離。在測試中，需考慮基于學校領導崗位的職責和各項教育教學業(yè)務規(guī)則是否對職責進行適當?shù)姆蛛x，并執(zhí)行適當?shù)氖跈嗯c審批。

2.異常和差錯報告。異常和差錯報告主要為系統(tǒng)校驗控制，旨在識別違反設定標準的情況，如教師報銷的差旅費金額超過學校《差旅費管理辦法》規(guī)定的上限。測試時需考慮系統(tǒng)是否設置閾值或校驗標準，對異常和例外情況進行識別;需至少選擇幾種場景進行驗證，即滿足閾值的任意場景、不滿足閾值的任意場景、滿足或不滿足閾值臨界點的場景;報告是如何生成的，若實時異常報警后，業(yè)務是否停止或進入異常處理流程;若非實時報告，報告的頻率和相關報告生成的控制;報告是自動生成還是手動創(chuàng)建，若為手動創(chuàng)建，誰可以修改報告。

3.接口控制。接口控制可能存在于應用間、數(shù)據(jù)庫間和系統(tǒng)間。進行測試時需重點關注：接口涉及的系統(tǒng)有哪些？信息是手工控制還是系統(tǒng)自動完成？傳輸頻率是實時還是批量？若涉及手工操作，接口是否涉及人工干預？是否存在對數(shù)據(jù)的修改權限？接口控制是系統(tǒng)缺省設置還是指定設置？是否為統(tǒng)一標準或個性化定制？接口控制處理哪種類型的數(shù)據(jù)？接口傳輸通過哪些控制實現(xiàn)信息傳輸?shù)耐暾院蜏蚀_性？獲取接口傳輸上下游系統(tǒng)的數(shù)據(jù)，驗證上游數(shù)據(jù)均在下游系統(tǒng)中進行存儲，下游數(shù)據(jù)中符合上游系統(tǒng)標識的數(shù)據(jù)均來源于上游系統(tǒng)，且對應字段的數(shù)據(jù)信息一致、不存在偏差等。

4.系統(tǒng)設置及科目映射。根據(jù)學校的業(yè)務規(guī)則，可通過打開或關閉系統(tǒng)配置控制來保護數(shù)據(jù)免遭不當處理。這些控制是基于適當?shù)臉I(yè)務標準設計的，以強化數(shù)據(jù)的有效性、完整性和準確性。系統(tǒng)設置控制及科目映射控制，一般通過參數(shù)表進行業(yè)務分類或關聯(lián)。映射關系是否準確，需結合具體業(yè)務流程或特定監(jiān)管要求來判斷。測試時主要關注：系統(tǒng)中的參數(shù)設置是否符合業(yè)務要求？特別是財務系統(tǒng)及教學業(yè)務系統(tǒng)映射關系，教學業(yè)務最后關聯(lián)的科目是否準確？系統(tǒng)中的參數(shù)設置后是否起到作用？系統(tǒng)中的參數(shù)設置是否有變動，若變動是否有記錄？是否存在某段時間內(nèi)映射不準確的情況？

（三）信息技術一般性控制測試

信息技術一般性控制測試是一個或多個應用控制相關政策和程序的測試，通過確保信息系統(tǒng)持續(xù)正常運行來支持應用控制的有效性。信息技術一般性控制應用于主機、服務器、終端用戶等計算機環(huán)境，保證信息的完整性和數(shù)據(jù)的安全性。信息技術一般性控制包括自動化控制、人工控制及含有自動化成分的人工控制，主要涵蓋以下四個領域：

1.對程序和數(shù)據(jù)的訪問。（1）信息安全政策與用戶意識：學校制定了正式的信息安全政策，為信息安全提供指南，學校教師、后勤、行政人員等都能明確自身的責任與義務。（2）物理訪問：確認物理訪問受到適當限制，如信息化辦公室相關人員對學校機房的訪問要有相應授權及登記等。（3）訪問管理：賬戶及訪問權限的新增、修改和刪除需經(jīng)分管副校長的審批。（4）身份識別和認證：對于網(wǎng)絡、基礎設施、應用層和數(shù)據(jù)庫等進行密碼設置，且密碼設置策略符合學校規(guī)定，如密碼長度、密碼復雜程度等。（5）監(jiān)督：信息化辦公室負責人員應定期對訪問權限進行審核，識別并清除不符合工作職責的訪問權限。（6）超級用戶：特權用戶僅限于被正式授權人員，不同系統(tǒng)環(huán)境的特權用戶應當實現(xiàn)權責分離。

2.程序變更。（1）授權開發(fā)測試及批準：程序變更在遷移至教學業(yè)務環(huán)境前，需經(jīng)充分測試和驗證，并得到教務處、二級學院和信息化辦公室負責人員的審批。（2）配置變更：測試、驗證和批準配置變更，確保得到信息化辦公室負責人員的審批。

3.程序開發(fā)。（1）開發(fā)生命周期：實施了正式的學校教育教學業(yè)務系統(tǒng)開發(fā)的生命周期、項目管理辦法、教學相關軟件的采購辦法等。（2）授權開發(fā)測試及批準實施：系統(tǒng)的開發(fā)、采購需經(jīng)過審批，并在需求分析、詳細設計及測試驗證等環(huán)節(jié)采取恰當?shù)目刂拼胧＃?）數(shù)據(jù)遷移：明確遷移策略，執(zhí)行數(shù)據(jù)遷移測試，并確保獲得相應審批。

4.系統(tǒng)運行。（1）業(yè)務流程運行：保證各項系統(tǒng)教育教學業(yè)務的準確、完整和處理及時。（2）數(shù)據(jù)備份及恢復性測試：確定數(shù)據(jù)備份及備份可恢復。（3）事件及問題管理：事件及問題要進行記錄、上報、管理、跟進和解決。

（四）數(shù)據(jù)分析

通常包括預測分析、趨勢分析、比率分析、財務數(shù)據(jù)分析等。進行數(shù)據(jù)分析時，高校內(nèi)部審計人員應當訪談系統(tǒng)開發(fā)人員，了解系統(tǒng)中需進行分析的數(shù)據(jù)的生成及存儲流程;了解系統(tǒng)中數(shù)據(jù)存儲的方式、數(shù)據(jù)類型、數(shù)據(jù)表類型及數(shù)據(jù)各字段的含義、加工方式;獲取相關數(shù)據(jù)的說明文檔;按照數(shù)據(jù)分析的類型執(zhí)行分析程序。

三、報告階段

（一）測試結論及缺陷認定

常見的測試結論分為以下三種：一是結論有效，未發(fā)現(xiàn)異常。二是結論有效，存在部分缺陷，但對控制目標的實現(xiàn)影響較低提出改進建議。三是結論無效，無法實現(xiàn)信息系統(tǒng)控制目標。若發(fā)生以下情況，應當認定為控制缺陷：控制的設計不能滿足控制目標;控制的設計、實施和執(zhí)行不能防止或不能及時發(fā)現(xiàn)并糾正財務報告中的錯誤;控制的執(zhí)行未按設計實施或執(zhí)行人不具備有效能力等。

通常情況下，當信息技術一般性控制存在控制缺陷時，應測試其補償性控制，若該控制點無法被補償，則與之關聯(lián)的信息技術應用控制失效;當信息技術應用控制存在控制缺陷無需進行補償性控制時，可直接認定為失效。

（二）編制內(nèi)部審計報告

內(nèi)部審計人員應在《內(nèi)部審計發(fā)現(xiàn)清單》中詳細記錄每條審計發(fā)現(xiàn)問題的異常，包括審計發(fā)現(xiàn)問題描述、對應用控制的影響分析、補償性措施或其他補償性因素等。并根據(jù)匯總結果，編寫高等院校內(nèi)部審計報告。內(nèi)部審計報告應包括審計目標、性質(zhì)、時間、范圍、程序、測試方法、內(nèi)部控制缺陷認定、整改情況及相關建議。

（三）溝通內(nèi)部審計結論

應將內(nèi)部審計結論及時發(fā)送信息化辦公室相關負責人員，并抄送學校分管副校長、相關二級學院、職能處室等。由分管副校長定時監(jiān)督相關信息化辦公室負責人員進行整改。相關整改結果，應由信息化辦公室負責人員向分管副校長和內(nèi)部審計部門匯報。

在“互聯(lián)網(wǎng)+”快速發(fā)展的時代背景下，系統(tǒng)打通、高效協(xié)作的思路正向教育行業(yè)快速滲透。高校內(nèi)部審計堅持業(yè)務活動審查與財務活動審查相結合、開展財務審計與業(yè)務審計相結合的綜合管理審計，必將帶來內(nèi)部審計方式方法的變更。應從信息技術審計角度出發(fā)，建立更加完善的高校內(nèi)部審計體系。

（作者單位：上海建橋?qū)W院，郵政編碼：201306，電子郵箱：fyy@gench.edu.cn）

主要參考文獻

劉閆鋒.互聯(lián)網(wǎng)背景下高校財務內(nèi)部控制體系構建[J].陜西學前師范學院學報， 2019（9）：121-125

劉玉玲，彭永進，王昌軍等.大數(shù)據(jù)時代高校內(nèi)部審計工作的信息化建設研究[J].中國管理信息化， 2019（18）：60-61

朱曉峰.高校內(nèi)部控制中存在的問題和治理對策[J].財會學習， 2019（29）：248+250