一、信息化视角下高校内部审计风险现状
(一)审计观念落后 笔者对某省22所本科院校调查了解,结果表明:只有一半的高校设立审计部门,这其中有三分之一是与纪检、监察合署办公;审计人员大部分是从财务岗位劝退转型的,一部分审计人员还兼任学校其他管理岗位。调查显示:某些校领导认为公立高校属于全额拨款预算单位,不象企业存在风险问题,内审工作可有可无,没必要设立独立部门和配备专职专业人员。与此同时,由于我国内部审计信息化建设起步较晚,目前,高校绝大多数内审人员思想观念仍然停滞在以纸质资料为基本的传统思路与方法上,甚至审计目标定位仍然是手工作业下的查账找错上。对于网上办公、网上管理、网上教学、网上服务等信息一体化的“数字化校园”处于似曾相识的模糊阶段,与内审相关的服务器运行日志、数据采集、内控评价、管理规定、数据库巡检报告等涉及信息系统以及系统网络拓扑结构、业务流程及电子数据往来传输和应用系统的基本功能与数据接口等技术,更是望而生畏。因此,传统内部审计人员的工作理念仍未能提升到现代信息化审计理念上来。
(二)审计方法滞后 传统审计方法主要是利用账证表之间的勾稽关系,采用抽查、顺查或逆查方式而进行审查。这种审计方式,无法对会计电算化模式下错误与舞弊更加隐蔽的会计行为和电子数据进行及时与有效的监管,内部控制有效性受到很大的影响。这种原始的简单的审计方法适合于传统的制度导向的财务收支审计,根本无法满足现代风险社会和现代科学技术进步对内部审计的基本要求,无法进行涉及各种环境因素的综合风险分析及防范。
(三)审计制度缺失 尽管审计署2007年以来发布了《国家审计数据中心基本准则》和一系列专业审计数据规划,以及2008年通过建立审计方法目录体系和审计方法规范要素而完成了计算机审计方法体系的标准规范工作,而且,2009年更新的《国际内部审计专业实务框架》新增六项审计专业实务标准中涉及信息系统合规合理、信息系统审计风险评估等内容,以及2011年实施的《国家审计准则》包含与审计信息化相关的法律条文。但《内部审计准则》仍处起草及讨论阶段,尤其是计算机审计准则与标准还在探索阶段。信息化背景下内部审计工作环境发生了根本变化,工作中出现的新情况新问题,因计算机审计的范围、目标、程序、技术、方式等缺乏法律法规的明确规定而导致在审计实践中遇到了法律制度的障碍。内部审计工作缺乏统一“有法可依”的法律法规指导。各施各法的内部审计执法行为可能隐藏着会计信息真实性、完整性和审计作业安全性、科学性、审计证据可靠性及审计报告恰当性等背后的各种审计风险。
(四)审计风险前移 计算机在降低传统审计风险的同时也相应带来新的审计风险,并且,内部审计信息化风险存在向前移的趋势。在信息技术普及化、信息交流全球化和信息传输自动化的背景下催生了会计核算电算化以及内部审计信息化。这种背景下内部审计,审计环境更趋复杂化,审计数据采集难度、审计证据的充分性、信息系统(包括会计电算化系统和审计信息化系统)的成熟度与安全性、审计人员掌握计算机专业知识与技能的熟练度等审计因素,均有可能使得审计风险在审计业务发生前就已经产生或存在。比如,系统程序或数据文件加密、隐匿或故意删除某些中间文件等,造成会计信息和电子数据不真实、不完整或不准确,在这种“假账真查”情况下,不但所进行的审计分析和得出审计结论都是错误的,而且存在极高的审计风险。
(五)审计评价复杂 信息化背景下审计范围进一步扩大。不但需验证电子数据真实性、完整性和准确性,而且还需评价产生这些数据的信息系统本身是否存在缺陷(或漏洞)、信息系统是否安全可靠、审计人员在对被审计单位信息系统及其数据进行审计后作出的审计结论与被审计事项实际情况相背离的可能性,以及审计人员不能正确合理地运用计算机审计技术所导致审计结果与事实不相符而发表不恰当的审计意见,等等。加上高校会计信息与内部审计信息存在不对称现象,使得内审信息收集、处理及其质量存在较大不确定性,从而进一步加大了审计评价复杂性。
(六)审计人员欠缺 计算机审计是一门集审计、会计、管理、电子计算机等多学科交叉的边缘性学科,是一种会计、审计技术与计算机技术相结合的高新管理技术。内审信息化包括计算机审计技术和对会计电算化系统的会计信息真实性、完整性、适当性、合法性进行检查评估与监证。目前,高校内审领域能满足上述内审信息化要求的人才非常匮乏,据了解,其比例仅占高校内审人员的20%。内部审计信息化,令传统审计人员处于“打不开账,读不到数”的无奈和尴尬。由于他们缺乏会计电算化、数据库、网络技术等知识与技能,无法运用查询分析、多维分析、数据挖掘等合适的计算机技术来揭露隐藏在会计数据背后的问题和线索,导致风险识别、风险评估或内部控制检查缺失而造成审计结果与事实不符,发表不恰当的审计意见,直接影响审计质量,从而产生审计风险。
(七)审计内涵缺失 笔者调查了解到某省22所本科院校中,由于审计人员综合素质参差不齐和内部审计文化缺失,90%以上的高校内审工作仅局限于传统的财务收支审计以及协助相关部门进行日常物资采购询价、资产验收,绩效审计和风险评估处于空白状态,更无法演绎内部审计的免疫、增值的职能作用。目前高校内部资源配置不合理优化、资产闲置浪费和流失严重、资金使用率不高、绩效评价体系缺失等问题,尤其是政府投入不足与资源铺张浪费、重投入轻管理、巨额债务风险、重复建设、盲目建设、资金使用率低等“隐性消耗”问题突出。这些现象与风险评估和绩效审计理念淡薄、审计内涵缺失无不关联。
(八)审计软件不一 审计软件是信息化环境下审计人员必备的办公工具。随着《2006-2020年国家信息化发展战略》(2006)和《关于全面推进我国会计信息化工作的指导意见》(2009),我国会计事业进入一个崭新时代,推动计算机在各个领域的推广应用,金关工程、金桥工程、金收工程、金文工程等软件系统应运而生。审计信息化成为必然,却遭遇财务软件各异、审计软件不一的尴尬局面。财务软件的统一实施是审计软件规划的前提和必要条件。在挪威,整个国家统一监控于IDEA财务软件。而在我国,没有统一运行的财务软件和审计软件,只有各行各业适合自身行业的软件。而且调查结果表明,目前,学校财务软件缺乏统一性,科学可行的高校内审统一软件仍处研发阶段。
二、治理结构对高校内部审计信息化风险机理的影响
(一)从高校外部治理结构分析 从利益相关者理论和产权论分析,目前,高校法人地位仅是名誉性的无实体内涵的法人代表,高校管理体制和内部运行机制本质上仍然是计划经济的国家统管模式,人、财、物控制权尤其是人员编制、经费投入与使用、财产管理等仍然掌握在政府部门。因此,从外部性看,高校的责、权、利无法相对统一。而且由于市场信息不对称以及高校实行委托代理的管理模式,一旦市场和政府失灵,就会导致社会对高校管理失灵。内控与外监双缺失的情况下,不但利益相关者受损,同时有可能使高校治理结构趋向疲软。此外,现代大学制度要求高校实行二级管理制度,而且财政国库集中支付改革是建立以国库单一账户体系为基础、资金缴拨以国库收付为主要形式的现代国库管理制度。由此,势必造成高校(预算单位)、高校二级管理机构、财政部门、国库支付机构、政府采购部门、代理银行之间信息传输系统存在时间偏离以及信息不对称。上述种种状况,高校治理结构尤其是整个内控过程存在较大风险,特别是当外部监督缺失时,自然而然地给高校内部审计信息化风险管理带来较大影响。
(二)从高校内部治理结构分析 目前,高校普遍存在党政机构重叠,职能权力交叉,政治领导、行政管理和学术管理三者混为一体现象,三者无法在各自区域内合理分离并有效行使职责,这种体制机制所造成的权力失控、决策失误、行为失范、监管失守等内控缺失,对高校会计信息质量和内部审计信息化建设隐藏很大的风险。比如,目前普遍存在高校巨额融资、科研经费使用与管理内控失效,专项资金绩效不明显等问题尤为突出。
三、治理结构视角的高校内部审计信息化风险管理体系构建
(一)更新审计观念 随着信息时代的迅猛发展,内部审计人员的思想观念必须随着内部审计标准、审计方式、审计手段、审计人员素质要求、审计目标等变化而与时俱进,必须从传统的手工作业转变为现代内部审计的广泛应用审计办公自动化系统、审计作业系统、数据采集与分析系统、审计项目管理系统的信息化轨道上来,实现由财务控制逐步向业务控制和信息系统控制转变。只有这样,才能不断提升从传统的查错防弊到现在的价值增值管理服务的内部审计内涵。
(二)创新审计方法 推进审计信息化建设,必须以探索创新信息化环境下审计方式为核心。从审计技术手段上说,审计信息化基于审计信息资源开发利用为核心、以计算机及其软件技术、网络通信技术、集成技术、数据管理为依托的高新技术在审计工作的应用,主要通过借助计算机知识与技能,改进内部审计的方式和手段,不断提升内部审计的科技含量。除了传统取证方式数据采集外,需采取检查、观察、询问、调查、运算、验证、测试、分析甚至重新操作等审计方法获取与信息系统控制相关的配置参数、反映经济业务交易记录的电子数据等获取审计证据。因此,科技知识与技能在创新内部审计方法上的作用越来越广泛。从审计风险质量控制手段和审计工作绩效上说,风险导向审计方法是风险社会环境下现代审计方法的最新发展,是信息化环境下择优的一种先进的审计方式,它要求风险导向贯穿于整个审计工作过程,不仅仅从战术上对高校内部控制制度进行健全性和符合性测试,继而识别风险并进行有效防控,而且它强调审计战略,制定的审计计划不仅应与会计制度有关的因素,而且应考虑高校内外的政治、经济、社会、文化等各种环境因素,同时,强调会计事项的个别风险分析与涉及各种环境因素的综合风险分析有机结合起来,把固定风险、控制风险、检查风险和分析性检查整合起来进行全面的风险评估分析,强调财务审计与绩效审计等多种审计模式融合,经济活动分析、技术经济分析、决策分析、数学分析等多种分析方法及现代管理方法对接起来,以达到审计工作的效率性和效果性。
(三)完善审计制度 国家应尽快研究制订统一的计算机审计准则和标准。这些准则和标准应当包括内部审计工作标准、风险评估、系统评价、内控评价、审计质量、人员资质以及审计技术、信息系统管理、技术基础设施、信息资产安全性、系统流程等方面的法律规范、业务规范和技术规范等具体指导内容。
(四)规避审计风险 根据亚当.斯密(Adam Smith,1776)著名的劳动分工论,高校可以充分利用社会优质的专业审计资源如审计中介机构,将部分风险程度高、力所不能及的业务项目(如大型基建审计项目、巨额融资项目等)或者审计成本高、专业分工强的审计业务实行内部审计外部化,外包给社会专业机构。实行内部审计外部化,不但可以转移和规避审计风险,增强内部审计的权威性和公信力,而且符合“成本-效益原则”,节省信息化成本,提高审计质量与效率,为高校内部审计信息化建设助上一臂之力。
(五)优化审计评价体系 《国家审计准则》要求“评估对内部控制的依赖程度,确定是否及如何测试相关内部控制的有效性;评估对信息系统的依赖程度,确定是否及如何检查相关信息系统的有效性、安全性”。就高校内部审计评价而言,要对高校审计项目的经济性、效率性、效果性、公平性从财务、经济、技术、环境和社会福利(公平)等各方面进行综合评估,坚持定性与定量结合,重点与一般结合和动静指标相佐的原则;就高校内部审计信息化评价而言,应对高校信息化整个内控过程进行综合评价,包括控制环境(包括管理模式、组织结构、责权配置、人力资源制度等)、风险评估(被审对象内部控制目标相关的风险)、控制活动(不相容职务分离控制、授权审批控制、资产保护控制、预算控制、业绩分析和绩效考评控制等)、信息与沟通(收集、处理、传递与内部控制相关的信息,并能有效沟通的情况)、对控制过程的监督(内部控制设计、职责及其履行情况的监督检查)等在信息系统管理、技术基础设施、信息资产安全性、系统稳定程度等方面进行风险评估与绩效评价。
(六)建立健全高校内部审计信息化系统 通过开发审计软件、建立审计信息门户、数据中心和审计网络库,构筑起汇联网查询、远程监控、实时监查、数据采集、审计分析、审计报告、审计管理、资源共享等多功能为一体的高校内部审计信息化平台,并利用该平台,及时采集数据、及时预警分析、及时测试评价、及时督促整改,实现从内部审计计划、实施、报告、后续跟踪等审计全过程模板化、规范化、流程化和信息化。
(七)提高审计人员业务 高校内部审计信息化建设,很大程度上依靠一支综合素质强的内审队伍。培养满足高校内部审计信息化要求的“财审专业知识与实践经验+计算机技能”的复合型内部审计人才尤为重要。“审计机关应当合理配备审计人员,组成审计组,确保其在整体上具备与审计项目相适应的职业胜任能力。被审计单位的信息技术对实现审计目标有重大影响的,审计组的整体胜任能力应当包括信息技术方面的胜任能力”。因此,高校管理层除了按照国家相关法律法规配备相应的内部审计人员外,还必须加大内部审计队伍建设力度,通过多种途径培养和培训内审人员的综合素质与能力,并进行考核评价,尤其是计算机、网络技术和电子商务等知识技能,以适应信息化时代对内审人员的基本要求。只有加大适应信息化需要的内审人才队伍建设力度,才能不断提高内审工作效率、质量和水平,防范高校内部审计信息化风险。
(八)提升审计内涵 在进一步完善高校治理结构的现代大学制度背境下,通过丰富审计实践经验和积极开展审计理论研究,不断提升高校内审内涵建设。一方面,充分发挥内审职能作用,在提高内审人员综合素质的同时,通过不断创新内审手段,引入风险导向审计方法,积极开展绩效审计工作,聚集绩效审计与财务审计、管理审计、环境审计、社会责任审计的协同力,实现审计模式优化组合,把高校人力资源配置、资产、资金、绩效管理、管理责任、管理控制以及治理结构等每个环节的绩效审计评价体系联动起来,促进高校资源优化配置和资金使用率提高及风险防范的整体效应,实现高校内审免疫、增值功能。另一方面,加强审计理论研究及其成果转化,以科研促进审计实践,理论研究指导审计实务,促进审计文化建设;以审计实践提升科研水平,从而达到理论研究与实践经验共同提高的目的。
参考文献:
[1]国家审计署:《国家审计准则》,2011年施行。
[2]刘玉廷:《论我国会计信息化发展战略》,《会计研究》2009年第6期。 (编辑 园 健)