教育信息化2.0背景下的高校內(nèi)部審計探究

方盈月

[摘要]隨著《教育信息化2.0行動計劃》的發(fā)布，各大高校將“互聯(lián)網(wǎng)+教育”業(yè)務(wù)模式引入校園，對高校傳統(tǒng)內(nèi)部審計工作的方式與方法提出新的挑戰(zhàn)。本文以信息技術(shù)內(nèi)部審計為基線，對高校內(nèi)部審計計劃階段、測試階段及報告階段工作的方式方法進行探究。

[關(guān)鍵詞]信息化2.0? ? 行動計劃? ? 高等教育? ? 內(nèi)部審計

教育部2018年4月發(fā)布的《教育信息化2.0行動計劃》指出，要積極推進“互聯(lián)網(wǎng)+”的發(fā)展，希望到2022年基本建成“互聯(lián)網(wǎng)+教育”大平臺。隨著各高校大力發(fā)展并引入“互聯(lián)網(wǎng)+教育”的業(yè)務(wù)模式以及相關(guān)教育業(yè)務(wù)模式和財務(wù)核算數(shù)據(jù)來源的變更，對高校內(nèi)部審計提出新的挑戰(zhàn)。順應(yīng)“教育信息化2.0”發(fā)展潮流，強化內(nèi)部審計在自動化流程中的應(yīng)用顯得尤為重要，內(nèi)部審計的方式方法也應(yīng)作出相應(yīng)調(diào)整。

一、計劃階段

（一）了解學(xué)校信息技術(shù)整體情況

對于新的系統(tǒng)和工作流程，高校內(nèi)部審計人員需先了解相關(guān)信息技術(shù)實施后的整體情況，主要包括：信息化辦公室的主要成員及主要職責(zé);各子系統(tǒng)所處理業(yè)務(wù)的性質(zhì)（如教學(xué)業(yè)務(wù)、學(xué)工業(yè)務(wù)、黨務(wù)業(yè)務(wù)、科研業(yè)務(wù)、財務(wù)業(yè)務(wù)、社區(qū)業(yè)務(wù)等）;主要流程對信息技術(shù)控制的依賴程度;是否存在相關(guān)政策與程序以確保信息技術(shù)控制得以執(zhí)行;信息化辦公室覆蓋的二級學(xué)院、職能處室的數(shù)量等。

（二）進行信息技術(shù)風(fēng)險評估

信息技術(shù)風(fēng)險評估是在內(nèi)部審計人員了解高校各項教育教學(xué)業(yè)務(wù)環(huán)境的基礎(chǔ)上識別并評估實質(zhì)性重大錯報風(fēng)險的流程，主要包括識別業(yè)務(wù)流程、識別風(fēng)險點及識別相關(guān)控制（手工控制和自動控制），具體包括：在自動流程和手工流程中，根據(jù)需要發(fā)起、授權(quán)、記錄、處理和糾正的各業(yè)務(wù)子系統(tǒng)向財務(wù)系統(tǒng)進行傳輸與核對;在高校財務(wù)報告中用于發(fā)起、授權(quán)、記錄、處理及上報業(yè)務(wù)子系統(tǒng)的相關(guān)會計科目記錄;信息輸入信息系統(tǒng)的方式;信息在系統(tǒng)內(nèi)的存儲及訪問方式;信息在歸納、匯總和計算過程中的節(jié)點;人工干預(yù)信息的過程;各教育教學(xué)業(yè)務(wù)流程相關(guān)負(fù)責(zé)人員對信息的審核過程等。

（三）確定測試范圍

內(nèi)部審計人員應(yīng)結(jié)合對高校業(yè)務(wù)的了解和對信息技術(shù)的風(fēng)險評估，確定測試的性質(zhì)、時間及范圍。測試內(nèi)容主要包括以下方面：

1.學(xué)校層面控制。主要包括學(xué)校的控制環(huán)境、風(fēng)險評估、信息、溝通、監(jiān)督等內(nèi)容。具體表現(xiàn)為學(xué)校信息科技發(fā)展規(guī)劃、學(xué)校信息技術(shù)組織架構(gòu)、學(xué)校信息技術(shù)風(fēng)險管理框架等。

2.信息技術(shù)應(yīng)用控制。主要包括系統(tǒng)訪問權(quán)限控制、異常和差錯報告、接口控制、系統(tǒng)配置及科目映射等。

3.信息技術(shù)一般性控制。測試的范圍由信息技術(shù)應(yīng)用控制測試范圍確定，應(yīng)覆蓋應(yīng)用控制涉及的全部系統(tǒng)。高校信息技術(shù)一般性控制的測試內(nèi)容通常包括對程序和數(shù)據(jù)的訪問、程序變更、程序開發(fā)、系統(tǒng)運行四個方面。

4.數(shù)據(jù)分析。主要包括預(yù)測分析、趨勢分析、比率分析、財務(wù)數(shù)據(jù)分析等。

二、測試階段

（一）學(xué)校層面控制測試

學(xué)校層面控制為其他控制活動的有效設(shè)計及運行提供基礎(chǔ)，其識別與評估可能影響后續(xù)控制活動測試的性質(zhì)、時間和范圍。因此，學(xué)校層面控制應(yīng)在審計程序中優(yōu)先考慮。學(xué)校層面控制的測試領(lǐng)域通常包括控制環(huán)境、風(fēng)險評估、信息與溝通、監(jiān)督四個方面。測試方法主要包括訪談和查閱。訪談學(xué)校信息化辦公室負(fù)責(zé)人員，了解學(xué)校在信息技術(shù)發(fā)展規(guī)劃中制訂的中長期發(fā)展規(guī)劃及其更新、重新規(guī)劃和調(diào)整以及總結(jié)機制;對于特定的學(xué)校層面控制，可通過查閱獲取執(zhí)行有效性證據(jù)，如查閱信息技術(shù)戰(zhàn)略規(guī)劃與審批記錄、工作報告等。

（二）信息技術(shù)應(yīng)用控制測試

1.系統(tǒng)訪問權(quán)限控制。通常包括系統(tǒng)訪問權(quán)限控制、職責(zé)分離、授權(quán)與審批，一般要求系統(tǒng)在基于角色與權(quán)限劃分的基礎(chǔ)上，用戶具備一定的系統(tǒng)訪問權(quán)限。同時，在流程中進行控制，即完成某項既定流程需不同權(quán)限的角色用戶進行操作，以實現(xiàn)職責(zé)分離。在測試中，需考慮基于學(xué)校領(lǐng)導(dǎo)崗位的職責(zé)和各項教育教學(xué)業(yè)務(wù)規(guī)則是否對職責(zé)進行適當(dāng)?shù)姆蛛x，并執(zhí)行適當(dāng)?shù)氖跈?quán)與審批。

2.異常和差錯報告。異常和差錯報告主要為系統(tǒng)校驗控制，旨在識別違反設(shè)定標(biāo)準(zhǔn)的情況，如教師報銷的差旅費金額超過學(xué)校《差旅費管理辦法》規(guī)定的上限。測試時需考慮系統(tǒng)是否設(shè)置閾值或校驗標(biāo)準(zhǔn)，對異常和例外情況進行識別;需至少選擇幾種場景進行驗證，即滿足閾值的任意場景、不滿足閾值的任意場景、滿足或不滿足閾值臨界點的場景;報告是如何生成的，若實時異常報警后，業(yè)務(wù)是否停止或進入異常處理流程;若非實時報告，報告的頻率和相關(guān)報告生成的控制;報告是自動生成還是手動創(chuàng)建，若為手動創(chuàng)建，誰可以修改報告。

3.接口控制。接口控制可能存在于應(yīng)用間、數(shù)據(jù)庫間和系統(tǒng)間。進行測試時需重點關(guān)注：接口涉及的系統(tǒng)有哪些？信息是手工控制還是系統(tǒng)自動完成？傳輸頻率是實時還是批量？若涉及手工操作，接口是否涉及人工干預(yù)？是否存在對數(shù)據(jù)的修改權(quán)限？接口控制是系統(tǒng)缺省設(shè)置還是指定設(shè)置？是否為統(tǒng)一標(biāo)準(zhǔn)或個性化定制？接口控制處理哪種類型的數(shù)據(jù)？接口傳輸通過哪些控制實現(xiàn)信息傳輸?shù)耐暾院蜏?zhǔn)確性？獲取接口傳輸上下游系統(tǒng)的數(shù)據(jù)，驗證上游數(shù)據(jù)均在下游系統(tǒng)中進行存儲，下游數(shù)據(jù)中符合上游系統(tǒng)標(biāo)識的數(shù)據(jù)均來源于上游系統(tǒng)，且對應(yīng)字段的數(shù)據(jù)信息一致、不存在偏差等。

4.系統(tǒng)設(shè)置及科目映射。根據(jù)學(xué)校的業(yè)務(wù)規(guī)則，可通過打開或關(guān)閉系統(tǒng)配置控制來保護數(shù)據(jù)免遭不當(dāng)處理。這些控制是基于適當(dāng)?shù)臉I(yè)務(wù)標(biāo)準(zhǔn)設(shè)計的，以強化數(shù)據(jù)的有效性、完整性和準(zhǔn)確性。系統(tǒng)設(shè)置控制及科目映射控制，一般通過參數(shù)表進行業(yè)務(wù)分類或關(guān)聯(lián)。映射關(guān)系是否準(zhǔn)確，需結(jié)合具體業(yè)務(wù)流程或特定監(jiān)管要求來判斷。測試時主要關(guān)注：系統(tǒng)中的參數(shù)設(shè)置是否符合業(yè)務(wù)要求？特別是財務(wù)系統(tǒng)及教學(xué)業(yè)務(wù)系統(tǒng)映射關(guān)系，教學(xué)業(yè)務(wù)最后關(guān)聯(lián)的科目是否準(zhǔn)確？系統(tǒng)中的參數(shù)設(shè)置后是否起到作用？系統(tǒng)中的參數(shù)設(shè)置是否有變動，若變動是否有記錄？是否存在某段時間內(nèi)映射不準(zhǔn)確的情況？

（三）信息技術(shù)一般性控制測試

信息技術(shù)一般性控制測試是一個或多個應(yīng)用控制相關(guān)政策和程序的測試，通過確保信息系統(tǒng)持續(xù)正常運行來支持應(yīng)用控制的有效性。信息技術(shù)一般性控制應(yīng)用于主機、服務(wù)器、終端用戶等計算機環(huán)境，保證信息的完整性和數(shù)據(jù)的安全性。信息技術(shù)一般性控制包括自動化控制、人工控制及含有自動化成分的人工控制，主要涵蓋以下四個領(lǐng)域：

1.對程序和數(shù)據(jù)的訪問。（1）信息安全政策與用戶意識：學(xué)校制定了正式的信息安全政策，為信息安全提供指南，學(xué)校教師、后勤、行政人員等都能明確自身的責(zé)任與義務(wù)。（2）物理訪問：確認(rèn)物理訪問受到適當(dāng)限制，如信息化辦公室相關(guān)人員對學(xué)校機房的訪問要有相應(yīng)授權(quán)及登記等。（3）訪問管理：賬戶及訪問權(quán)限的新增、修改和刪除需經(jīng)分管副校長的審批。（4）身份識別和認(rèn)證：對于網(wǎng)絡(luò)、基礎(chǔ)設(shè)施、應(yīng)用層和數(shù)據(jù)庫等進行密碼設(shè)置，且密碼設(shè)置策略符合學(xué)校規(guī)定，如密碼長度、密碼復(fù)雜程度等。（5）監(jiān)督：信息化辦公室負(fù)責(zé)人員應(yīng)定期對訪問權(quán)限進行審核，識別并清除不符合工作職責(zé)的訪問權(quán)限。（6）超級用戶：特權(quán)用戶僅限于被正式授權(quán)人員，不同系統(tǒng)環(huán)境的特權(quán)用戶應(yīng)當(dāng)實現(xiàn)權(quán)責(zé)分離。

2.程序變更。（1）授權(quán)開發(fā)測試及批準(zhǔn)：程序變更在遷移至教學(xué)業(yè)務(wù)環(huán)境前，需經(jīng)充分測試和驗證，并得到教務(wù)處、二級學(xué)院和信息化辦公室負(fù)責(zé)人員的審批。（2）配置變更：測試、驗證和批準(zhǔn)配置變更，確保得到信息化辦公室負(fù)責(zé)人員的審批。

3.程序開發(fā)。（1）開發(fā)生命周期：實施了正式的學(xué)校教育教學(xué)業(yè)務(wù)系統(tǒng)開發(fā)的生命周期、項目管理辦法、教學(xué)相關(guān)軟件的采購辦法等。（2）授權(quán)開發(fā)測試及批準(zhǔn)實施：系統(tǒng)的開發(fā)、采購需經(jīng)過審批，并在需求分析、詳細(xì)設(shè)計及測試驗證等環(huán)節(jié)采取恰當(dāng)?shù)目刂拼胧＃?）數(shù)據(jù)遷移：明確遷移策略，執(zhí)行數(shù)據(jù)遷移測試，并確保獲得相應(yīng)審批。

4.系統(tǒng)運行。（1）業(yè)務(wù)流程運行：保證各項系統(tǒng)教育教學(xué)業(yè)務(wù)的準(zhǔn)確、完整和處理及時。（2）數(shù)據(jù)備份及恢復(fù)性測試：確定數(shù)據(jù)備份及備份可恢復(fù)。（3）事件及問題管理：事件及問題要進行記錄、上報、管理、跟進和解決。

（四）數(shù)據(jù)分析

通常包括預(yù)測分析、趨勢分析、比率分析、財務(wù)數(shù)據(jù)分析等。進行數(shù)據(jù)分析時，高校內(nèi)部審計人員應(yīng)當(dāng)訪談系統(tǒng)開發(fā)人員，了解系統(tǒng)中需進行分析的數(shù)據(jù)的生成及存儲流程;了解系統(tǒng)中數(shù)據(jù)存儲的方式、數(shù)據(jù)類型、數(shù)據(jù)表類型及數(shù)據(jù)各字段的含義、加工方式;獲取相關(guān)數(shù)據(jù)的說明文檔;按照數(shù)據(jù)分析的類型執(zhí)行分析程序。

三、報告階段

（一）測試結(jié)論及缺陷認(rèn)定

常見的測試結(jié)論分為以下三種：一是結(jié)論有效，未發(fā)現(xiàn)異常。二是結(jié)論有效，存在部分缺陷，但對控制目標(biāo)的實現(xiàn)影響較低提出改進建議。三是結(jié)論無效，無法實現(xiàn)信息系統(tǒng)控制目標(biāo)。若發(fā)生以下情況，應(yīng)當(dāng)認(rèn)定為控制缺陷：控制的設(shè)計不能滿足控制目標(biāo);控制的設(shè)計、實施和執(zhí)行不能防止或不能及時發(fā)現(xiàn)并糾正財務(wù)報告中的錯誤;控制的執(zhí)行未按設(shè)計實施或執(zhí)行人不具備有效能力等。

通常情況下，當(dāng)信息技術(shù)一般性控制存在控制缺陷時，應(yīng)測試其補償性控制，若該控制點無法被補償，則與之關(guān)聯(lián)的信息技術(shù)應(yīng)用控制失效;當(dāng)信息技術(shù)應(yīng)用控制存在控制缺陷無需進行補償性控制時，可直接認(rèn)定為失效。

（二）編制內(nèi)部審計報告

內(nèi)部審計人員應(yīng)在《內(nèi)部審計發(fā)現(xiàn)清單》中詳細(xì)記錄每條審計發(fā)現(xiàn)問題的異常，包括審計發(fā)現(xiàn)問題描述、對應(yīng)用控制的影響分析、補償性措施或其他補償性因素等。并根據(jù)匯總結(jié)果，編寫高等院校內(nèi)部審計報告。內(nèi)部審計報告應(yīng)包括審計目標(biāo)、性質(zhì)、時間、范圍、程序、測試方法、內(nèi)部控制缺陷認(rèn)定、整改情況及相關(guān)建議。

（三）溝通內(nèi)部審計結(jié)論

應(yīng)將內(nèi)部審計結(jié)論及時發(fā)送信息化辦公室相關(guān)負(fù)責(zé)人員，并抄送學(xué)校分管副校長、相關(guān)二級學(xué)院、職能處室等。由分管副校長定時監(jiān)督相關(guān)信息化辦公室負(fù)責(zé)人員進行整改。相關(guān)整改結(jié)果，應(yīng)由信息化辦公室負(fù)責(zé)人員向分管副校長和內(nèi)部審計部門匯報。

在“互聯(lián)網(wǎng)+”快速發(fā)展的時代背景下，系統(tǒng)打通、高效協(xié)作的思路正向教育行業(yè)快速滲透。高校內(nèi)部審計堅持業(yè)務(wù)活動審查與財務(wù)活動審查相結(jié)合、開展財務(wù)審計與業(yè)務(wù)審計相結(jié)合的綜合管理審計，必將帶來內(nèi)部審計方式方法的變更。應(yīng)從信息技術(shù)審計角度出發(fā)，建立更加完善的高校內(nèi)部審計體系。

（作者單位：上海建橋?qū)W院，郵政編碼：201306，電子郵箱：fyy@gench.edu.cn）

主要參考文獻

劉閆鋒.互聯(lián)網(wǎng)背景下高校財務(wù)內(nèi)部控制體系構(gòu)建[J].陜西學(xué)前師范學(xué)院學(xué)報， 2019（9）：121-125

劉玉玲，彭永進，王昌軍等.大數(shù)據(jù)時代高校內(nèi)部審計工作的信息化建設(shè)研究[J].中國管理信息化， 2019（18）：60-61

朱曉峰.高校內(nèi)部控制中存在的問題和治理對策[J].財會學(xué)習(xí)， 2019（29）：248+250