（成都理工大学 四川成都610059）

高校会计信息化环境下，信息处理流程、信息存储介质和存取方式、内部控制等方面的变化，使得高校内部审计线索更具隐蔽性、审计环境更为复杂，加大了审计风险。而高校内部审计的信息化建设状况，也使得内部审计的方式、方法等难以适应会计信息化的发展。加强内部审计信息化建设，提高内部审计人员综合素质，充分利用计算机辅助审计技术，以会计信息系统内部控制审计为重点，应该成为会计信息化环境下高校内部审计发展的重要策略。

一、高校会计信息化环境下内部审计面临的问题

（一）会计信息化本身带来的问题。会计信息化的显著特点是使用财务会计软件进行全套有关科目的账、证、表处理，实现项目管理和领导管理意图的具体化。会计信息化条件下，数据处理的效率大大增加，减少了人为错误，从而加强了会计核算流程的可靠性和结果的准确性。但信息化在带来工作效率的同时，也存在技术风险、控制操纵数据风险、篡改调用程序风险、纠错风险和安全风险等。这些风险无疑加大了审计人员的监督难度。

1.会计信息错误与舞弊更加隐蔽，审计风险加大。首先，会计信息化环境下，手工做账已完全被计算机操作取代，审计线索更加隐蔽，风险将高度集中在信息系统上，只要系统中某一个环节出现问题，可能会造成整体的巨大损失。其次，会计软件操作过程中，可能存在某些人员利用业务便利不按操作规程或未经允许上机操作，对会计软件系统进行破坏、恶意修改等行为。最后，会计信息化环境下，各种业务记录采用了数据的集中存储方式，存储主机由于业务需要与其他主体相互联通，未经授权人员接触会计信息的可能性加大。

2.内部审计环境更为复杂。首先，会计信息化环境下，不仅要审会计信息，还要审会计信息系统，审计领域从会计、审计等专业知识领域延伸到信息技术领域。其次，会计人员对信息化系统的操作、管理维护水平参差不齐，可能导致会计信息资料丢失、软件运行故障等，无形中使审计环境更加复杂化。第三，会计信息系统在设计之初可能没有考虑审计的需要，这无疑加大了审计工作获取会计信息、监督会计信息系统运行的复杂度和风险度。

（二）内部审计自身建设的问题。审计和会计的关系，使会计的每一次重大变革都将直接导致审计的重大变革。会计信息化的变革给内部审计带来了新的挑战，迫使内部审计在审计内容、审计手段、审计方式等方面必须发生转变。而内部审计自身建设在会计信息化环境下的不足也更加彰显。

1.内部审计人员计算机素质有待提高。《国际审计准则》第十五条明确指出会计信息化条件下审计人员应当对计算机软硬件有相当程度的了解，并评估电子处理流程对内部控制的影响，掌握计算机辅助审计技术，从而采取正确的应对措施。也就是说会计信息化环境下，审计工作应当将检查风险更多地分配给信息系统审计本身。这对审计人员的计算机素质提出了很高的要求，而目前我国高校内部审计人员的计算机素质有待提高。根据肖薇（2013）对四川高校内部审计机构的调查统计显示，内部审计人员的专业背景中审计、财务专业占比63.6%，金融、财经经济类专业占比9.3%，工程造价、工程管理类专业占比14%，计算机专业占比仅为5.6%。以财经类专业为主的内部审计队伍，计算机日常应用水平普遍较高，但掌握深层次的程序开发、数据挖掘分析等专业技术的人员不到被调查人员的10%。信息技术专业人员的匮乏，使得内部审计信息化建设步伐缓慢，不能与高校会计信息化建设步伐一致。

2.内部审计信息系统建设进程缓慢。审计署于1998年提出了审计信息化建设的意见。高校内部审计经过多年的信息化建设，在思想认识和硬件配备方面，已基本达到审计信息化建设的要求。但是由于对软件的投入较少，相对会计处理的信息化，计算机辅助审计尚处于起步阶段，即便有些高校配备了审计软件，但是对软件的应用程度尚处于初级阶段，加之目前国内审计软件开发的成熟度不够，不能很好地满足实际审计工作需要，在面对海量的财务数据时，大多数高校依然采用近手工的Excel简单模式对数据进行分析处理。

二、会计信息化环境下内部审计的发展策略

会计信息化环境下，内部审计应该实行信息化审计。信息化审计包括两个方面：一是对被审计单位的会计信息系统的安全性、有效性进行审计；二是对被审计单位会计信息系统运行下账项的真实性、准确性、完整性进行审计。如下图所示，实体经济业务的相关信息经过①的输入、处理、输出，最终以会计语言反映出来。在这个过程中，会计信息系统无疑是问题的核心。它的安全和有效是流程②会计信息真实完整准确反映实体经济业务的基础和保障，只有会计信息系统是安全有效的，才有对流程②进行审计的必要。实务中，大多数审计业务的开展都是假设会计信息系统是安全有效的，直接进行会计信息的真实性、完整性、准确性审计，故本文对流程②的审计不做论述。对会计信息系统安全性和有效性的审计，我们首先思考的是“用什么审”和“如何审”的问题。加强内部审计信息化建设和对会计信息系统实行内部控制审计能够很好地解决这一问题，这也是对如何破解会计信息化环境下内部审计所面临困境的回答。

（一）内部审计信息化建设。

1.加强内部审计队伍信息化建设。首先，要提高内部审计的地位。高校内部审计信息化建设是一项复杂的系统工程，仅仅依靠内审部门是不能实现的，需要高校从上到下的重视。高校内部审计部门应通过各种形式，公开内审工作成果，宣传内审工作意义，增强学校高层对内部审计“免疫系统”功能的认识，明确内部审计的根本目的是为学校增加价值、提高内部管理水平服务。学校高层对内审工作的肯定是内部审计信息化建设的有效助推器，是信息化工作开展的有力支撑。其次，选聘具有计算机专业背景的人才。信息化审计要求审计人员是完全意义上的电脑审计人员。因此在高校内审人员的选聘中，应建立科学的具有前瞻性的人才配置，不仅要选拔具有会计、审计专业知识的人才，更要注意选拔具备数据挖掘、数据处理、数据分析能力以及熟练掌握计算机软、硬件知识的信息化人才，充实高校内部审计信息化力量，从源头上来解决问题。第三，注重内审人员的信息化培训与学习。高校大都设有信息化专业，拥有优秀的信息化专业人员，应善加利用自身优势对内审人员进行信息化培训。可以聘请审计软件专家针对学校采用的会计软件、审计软件进行专门培训，也可以通过兄弟院校的交流方式向内部审计信息化建设完善的单位学习，从而培养具备审计知识和业务能力，又具有现代信息技术思维方式和技术技能的复合型人才。

2.加大投入，建设内部审计信息系统。目前，高校内部审计信息系统的建设尚处在初级阶段。高校内部审计主要是对高校科研经费、基建工程、日常行政教学、学生经费等开支进行审计，具有明显的行业以及学校个性特征，市场上现有的审计软件基本不能满足这种审计需求。因此，高校内部审计软件系统不能靠单纯的成品式购买，可以通过定制式开发方式，如业务外包来获取。信息系统业务外包是一种常见的开发模式，此种方式质量相对较高、技术具有优势、短期见效快，但成本较高。高校也可以利用自身优势自行开发，这种方式成本较低，但开发周期过长。软件系统的配备是信息系统建设的必要条件。当然，审计信息系统的建设不仅仅是安装一套审计软件，更在于将各种历史审计信息、财务信息、学校其他审计信息整合在一起，通过数据挖掘技术在大量的审计数据中发现审计业务、数据间的关系，提高审计效率和质量。在具备了各种软硬件条件的前提下，信息的整合才是内部审计信息系统建设的核心，这需要学校自上到下的重视，需要各个部门的协调配合，在“人”和“物”的共同作用下，实现信息资源的整合。内部审计信息系统的建成及深化，为审计工作转型提供了技术支撑，促进了审计监督和管理的关口前移，加快了离线审计向在线审计、事后审计向实时审计的转变。

（二）会计信息系统的内部控制审计。会计信息化环境下，内部审计的着眼点已经由单一的以账项为基础转向了以账项和内部控制两个着眼点为基础。内部控制审计越来越成为高校内部审计的关键步骤和核心基础，是信息化环境下高校内部审计工作的重中之重。良好的内部控制将有利于信息系统的安全与完整，并保证系统所提供信息的真实与可靠。

1.信息系统的安全性审计。信息化环境下，内部控制的最终目标仍然是保证会计数据的真实可靠，保证经营活动的经济、效率和效果并遵守相关法规等，没有发生实质性变化，但是目标实现的方式发生了变化：由对手工业务过程的控制转向对计算机信息系统本身的控制。计算机信息系统的首要目标是安全性和可靠性，因此在系统设计、开发和实施的各个过程中，要建立严格的硬件、软件和数据库安全措施，来保证系统的安全可靠。

审计人员可以从以下几个方面开展审计工作：首先，参与会计信息系统内部控制的前期设计。为了更好地对会计信息系统进行内控审计，高校内部审计部门要参与会计信息系统内部控制制度、方法程序的规划和设计过程，从审计的角度提出设计建议，优化制度，明确风险点，实现内控审计由事后审计向事前审计的转变。其次，开展内部控制的日常性检查工作。审计人员可以采用查看系统建设方案、查阅信息系统操作指南、信息系统验收申请材料、会计信息化管理制度、系统操作人员分工、信息系统自动记录的“操作日志”等信息系统文件，询问会计工作人员以及要求财务部门提供内部控制自我评估报告，通过实地调查等方式，（1）了解财务部门有没有制定适当的口令管理程序、修改程序、网络系统权限等授权控制体系，以防止未经授权接触记录，岗位人员是否按照所授予的权限对系统进行操作；（2）审查是否将系统内不相容职责分离，在数据输出时，对不同密级的数据授予不同的权限；（3）审查会计信息系统的操作是否遵循一定的标准和操作规程：硬件操作规程、作业运行程序、用机时间记录以及操作人员访问系统规程等；（4）审查是否建立了数据安全制度：数据是否定期备份、数据备份人员与系统管理人员是否由不同人承担、备份数据恢复时，是否由具体操作员和主管共同批准；（5）审查是否对信息系统创建人、管理人建立监督制度，避免其凌驾于计算机之上；（6）审查是否建立监控管理报告系统、监控反馈、跟踪处理程序以及对信息技术内部控制的自我评估机制；（7）审查信息系统服务器是否有安全的机房配备、电源是否稳定、是否有防火防盗处理，系统运行设备是否装有杀毒软件、是否有防火墙配置等；（8）根据检查情况对会计信息系统的网络结构、系统容错、安全管理体制和保密技术等内部控制的安全性进行评价，评价时应该考虑到内部控制缺陷单独或累加之后，是否是重要缺陷或实质性漏洞。

2.信息系统的有效性审计。系统运行的有效性，主要表现在系统运行是否提高了经济效率，是否保证了会计数据处理的真实可靠。审计人员可以从以下几个方面开展审计工作：（1）规范相应的审计程序，在充分了解与会计信息系统相关的内部控制之后，选择其内部控制相对比较薄弱的地方，进行重点审计，并根据审计风险考虑实施进一步的细节测试，进行抽样调查。（2）可以在会计信息系统中设立审计控制点，定时与不定时地、成批或实时地收集有关审计数据，以进行审计验证。（3）可以利用计算机辅助审计工具和技术来获取原始数据，形成利用审计软件进行样本抽取、异常项目调查、数据分析与处理的方法体系。（4）可以选择一笔或几笔交易进行穿行测试，观察业务数据在会计信息系统的录入、处理、输出情况，并考虑之前对相关控制的了解，确定信息系统各项制度的执行情况，判断是否在流程中容易发生错报的关键点都被识别出来，评估控制设计的有效性和确认控制是否被实施。（5）可以实施逆向检查，即通过对会计数据进行分析，发现普遍性问题，返回来再寻找内部控制方面的问题。（6）可以聘请信息系统审计专家对信息化程度高、问题复杂的会计信息系统进行审计，审计人员加强对信息系统审计师的监督和管理，保证审计工作的独立性、保密性，审计工作成果符合审计目标的要求。