本文作者：唐文杰作者单位：贵州财经学院会计学院

自1999年，我国高校开始实行扩大招生政策以来，90%以上的高校已经实现了会计电算化，形成了账务系统、收费系统和预算控制为核心的综合会计系统。高校财务工作从传统手工记账到会计电算化，对会计核算环境、控制方式、会计的储存介质与档案管理、防范错弊的控制等方面产生了很大影响，也对信息系统安全性、可靠性的审计提出了更高的要求。为了适应高校信息化的环境，必须加快推进高校信息系统审计活动的开展。加强对高校信息系统审计的研究，以提高高校的审计质量、降低审计成本、提高审计效率，对于确保高校快速、健康发展是十分必要的。

一、国内外信息系统审计研究现状的简要回顾

现代审计的主流是以财务报表审计为代表的对信息的检验（谢少敏，2006），对信息系统审计研究的文献极其有限（刘杰，2010）。国外信息系统审计大致经历了萌芽、发展、成熟和普及四个时期。无论是在审计规范的研究方面，还是在信息系统审计的实践方面，国外都优于国内，截止到2010年12月，ISACA已经了16项基本准则、41项审计指南和11项作业程序，为信息系统审计人员开展审计活动提供了指引，形成了较为完善的信息系统审计规范体系。与此同时，早在20世纪50年代，IBM公司就对电子数据环境下的内部审计规则进行了阐述，尝试着开展信息系统审计实践活动。国内对于信息系统审计理论与实务的研究起步较晚。中国审计协会为了规范组织审计机构及人员开展信息系统审计活动、保证审计质量，于2008年根据《内部基本审计准则》的精神制定并颁布了《审计具体准则第28号———信息系统审计》。20号审计准则是我国第一个真正意义上的信息系统审计准则，也为我国信息系统审计人员开展信息系统审计活动提供了法律依据。庄明来、吴沁红、李俊（2008）回顾了与信息系统审计相关的规范，发现我国信息系统审计人员开展信息系统审计，主要参考的是ISACA组织颁布的信息系统审计准则和我国审计准则中关于计算机审计的部分，这不适合我国信息化快速发展的现状，也不适应信息系统审计事业的发展。我国在制定专门的信息系统审计准则应注意准则体系问题、准则制定的方法问题以及信息化相关法规的完善等方面。刘杰（2010）在回顾国外信息系统审计规范的基础上，以制度经济学、系统论、控制论等为基础，提出了我国信息系统审计规范体系的结构，并对我国信息系统审计规范体系的制定问题进行了探讨。可见，对于信息系统审计的相关问题，国内外学者都进入了深入广泛的研究，特别是ISACA颁布的准则、指南和作业程序对于国内外信息系统审计人员开展审计活动有着十分重要的借鉴意义。但与此同时，针对高校的信息系统审计开展研究的文献基本上处于空白状态，高校信息系统与企业的信息系统审计存在着一定的区别，有鉴于此，本文对高校信息系统审计策略的研究有着十分重要的理论意义和实践意义。

二、我国高校信息系统审计存在的问题

1．信息系统审计意识落后。经过十多年的信息化发展，高校对会计审计的重点仍然放在财务审计上面，没有转变到对信息系统的审计上来。传统的审计观点认为，审计应当是对财务会计信息的审计，往往忽视对信息系统的审计。其对信息系统的审计认识尚不到位，甚至对信息系统审计持怀疑的态度。但信息系统的可靠与否，是财务会计信息可靠与否的重要保障，为保证信息系统所产生财务会计信息的真实可靠性，高校审计人员应当转变意识，认识到信息系统审计的重要性，这样才能真正保证财务会计信息的真实、可靠。与此同时，在传统审计思维的带动下，绝大多数高校对信息系统审计的资金投入力度不够，这在很大程度上阻碍和制约着信息系统审计的发展。

2．高校信息系统审计人员匮乏。绝大多数高校的审计人员沿用传统的财务审计手段与方法对信息系统进行审计，对信息系统审计知识的了解基本上处于空白状态。造成这种局面的因素主要有以下几个方面：①现有审计人员中有很大一部分人员是由财务人员转型搞审计的，没有接受过系统与专业的审计知识教育，且存在着审计人员年龄大、知识结构老化的现象，对于计算机的运用不感兴趣。即使是系统学习过审计知识的审计人员也在计算机方面存在着欠缺，对计算机的知识仅仅停留在基础应用阶段，总体水平偏低。②在现有高校的审计人员中对信息系统审计的认识存在着误解，认为信息系统审计就是运用计算机对高校的财务状况进行审计，只要实现了审计办公的信息化就实现了信息系统审计，这种观点导致了很多高校没有开发信息系统审计活动，学校的信息系统安全存在着巨大的隐患。因此，高校信息系统审计过程中由于缺乏必要的信息系统审计人员，或者缺乏系统的信息系统审计专业知识培训，使得高校的信息系统审计活动难以开展，整个信息系统安全性不高。

3．信息的共享程度低，没有合适的信息系统审计平台。对高校的信息系统进行审计，需要构建合适的信息系统审计平台，但到目前为止，绝大多数高校各个系统之间还未实现真正意义上的共享，很多数据还是处于单机版的共享阶段，完整的高校信息资源整合系统尚未建立，高校信息系统仍然是一系列的“信息孤岛”。当信息系统审计活动涉及多个系统时，信息系统审计人员往往要花费大量的时间处理相关资料。与此同时，在目前的审计软件市场上，诸如审计之星、审易以及国外ACL等审计软件，其开发的目的在于辅助传统的财务审计，而不是针对信息系统审计的，使得信息系统审计活动的开展缺乏必要的审计平台。因此，高校信息系统审计的开展还有赖于高校信息系统审计平台的建立。

4．信息系统审计规范缺失。国外在信息系统审计规范方面有一套成熟完善的体系，如ISACA的准则等，同时为整合信息系统审计领域的审计资源，ISACA于2008年4月了ITAF鉴证框架（InformationTechnologyAssuranceFramework）。此外，国际内审协会为了整合适应信息系统审计的需要，对内部审计人员等进行培训，专门颁布了GAIT和GTAG，其中GTAG颁布的目的在于：①从主管人员的角度解释信息系统控制；②解释在整个内部控制系统中信息系统控制的重要性；③描述组织职责和义务，以确保信息系统控制在整个内部控制系统中得到适当处理；④描述固有风险这一概念以及组织的技术管理；⑤描述首席审计执行官所需了解的基本信息系统控制知识，以确保对信息系统控制实施有效的内部审计评估；⑥描述信息系统控制评估过程中由内部审计提供的相关要素。由此，国外为了配合信息系统审计人员开展信息系统审计活动，颁布了一系列的审计规范。与发达国家相比，我国计算机审计准则缺乏操作层次规范，弱化了实际应用性，内容时效滞后，内控制度过于笼统，审计风险评价乏力，所以重构我国计算机审计准则系统应本着系统性、完整性、实用性原则，科学规划一般准则和具体审计指南。在借鉴国外先进经验制定计算机审计准则时，应保持中国特色（汪家常，许娟，2003）。经过几年的探索，我国在信息系统审计实践领域已经取得了初步成就，但到目前为止，国家颁布的信息系统审计规范除《内部审计具体准则第28号———信息系统审计》之外，尚缺乏一套完整的信息系统审计规范体系，许多审计人员通常都按照ISACA的信息系统审计准则执行信息系统审计活动。但ISACA所颁布的信息系统审计准则毕竟不是根据我国国情制定的，不能完全适应我国的要求，也不能直接指导高校信息系统审计活动的开展。因此，笔者认为，应该尽快颁布一套适合我国国情的信息系统审计规范，以辅助我国高校的信息系统审计活动。

三、我国高校信息系统审计的策略分析

开展信息系统审计活动可以保证高校遵守必要的财经法规，防止国有资产流失，从而提高高校的资金使用效益。因此，为保证高校信息化建设的进程，对高校信息系统的审计已经势在必行。

（一）高校信息系统审计的总体策略

1．部分信息系统审计项目外包。信息系统审计活动是一项技术性较强的审计活动，目前在许多高校尚缺乏进行信息系统审计的人才，实行信息系统审计外包也是这些高校的必然选择。而从实践来看，信息系统审计项目外包，有以下优势：①将部分信息系统审计项目外包不仅可以提高高校审计的独立性，而且还有利于解决高校现有审计人员不足的问题。高校的审计机构隶属于学校本身，虽然其代表高校实施审计监督的职能，但毕竟是高校内部的机构，与高校各个部门存在着千丝万缕的联系，难以从根本上保证其独立性。如果将部分信息系统审计项目外包，由独立于高校的审计机构来完成，可以对学校信息系统做一个客观、公正的评价，防止学校内部机构的人员违反相关法规的行为。②将部分信息系统审计项目外包可以提高高校信息系统审计的质量。民间审计机构在信息系统审计的资源方面优于高校，其掌握了先进的信息系统审计技术与方法，不仅可以弥补高校审计人员不足的现象，也可以提高整个信息系统审计项目的质量。③将部分信息系统审计项目外包也可以起到节约审计费用的作用。当前绝大部分的高校资金并不宽裕，特别相对比较落后的贵州、青海以及云南等西部地区，聘请外部审计参与信息系统审计活动，可以起到审计时间短，审计效果好的功效。这样相对高校内部审计机构审计而言，可以起到很好的作用。在高校信息系统审计项目是否外包方面，应当取决高校信息系统审计外包所带来的成本问题，以及高校内部信息系统的机密问题。笔者认为，若高校内部审计人员审计所带来的成本预算大于将其外包给民间审计机构所带来的成本预算时，则应当对该信息系统审计项目实施外包，反之，则应当由高校内部的审计机构负责对该信息系统进行审计。在关键的信息系统审计项目方面，也应当由高校内部人员进行审计，不应当外包，因为这些信息系统涉及高校的一些机密问题，若将其外包，有可能使部分机密外泄，对高校的声誉等造成巨大的影响。由此可知，一个信息系统审计项目是否外包，高校的审计机构或相关部门应当对其进行综合考虑。

2．加快信息系统审计人才的培养。审计历来发挥着监督的职能。随着我国高校规模的扩大，以及国家用于高等教育资金支出的增加，审计这种监督职能只能加强，不能削弱，必须定期考核财政用于高等资金支出的绩效问题。在高校需要对当前信息系统进行审计的同时，在信息系统审计方面却存在着审计人员缺乏的难堪境地。为加强信息系统审计人才的培养，高校应从如下几个方面努力：①为保证高校信息系统审计人才的培养，高校应当给予资金支持。②高校内部审计机构是信息系统审计活动的直接实施者，其信息系统审计行为的成功与否，在很大程度上取决于拥有信息系统审计人员数量以及素质问题，因此，内审机构在发展过程中，应有意识地储备和培养信息系统审计人员。③转变现有高校审计人员的观念。我国高校的现有审计人员观念落后，缺乏对信息系统审计活动的认识，因此在当前环境下，高校应当加强现有审计人员的观念转换工作，使现有审计人员跟上信息时代的潮流。④定期或不定期地对现有审计人员进行培训，丰富其信息系统审计方面的知识，开展针对高校现有信息系统的培训活动，将现有审计人员逐步培养成既具有会计知识素养，又具备丰富信息系统相关知识的复合型人才，这样才能适应信息系统审计发展的需要。

3．努力建设高校审计信息平台，实现政府审计机关之间的信息资源共享。金审工程是国家电子政务十二个重点业务系统之一，它为全国各类审计部门、各级审计机构的信息化建设提供了一个良好的平台，在审计署的《2004年到2007年审计信息化发展规划》中提到的主要任务是：按照国家电子政务建设的规划，建成审计专网、审计内网和因特网接入网。而在《2008年到2012年审计信息化发展规划》中提出进一步建设、完善、推广审计管理系统、现场审计实施系统，积极探索联网审计和信息系统审计，建设全国审计机关网络中心、数据中心，扩展网络应用，保障信息安全，基本形成服务保障体系和标准规范体系。高校审计部门应该充分利用网络资源，建立畅通高效的信息资源收集渠道和方式，不断充实、完善、整理和丰富信息资源，逐步实现与其他高校审计部门、各级政府审计机关之间的信息资源共享。在目前审计软件比较缺乏的情况下，有条件的高校审计部门可尝试自己开发系统，根据本校信息化建设的实际情况，注重外部力量与内部力量的结合、审计人员与技术人员的结合，最终建成高校审计管理系统、实施系统。

4．完善信息系统审计规章制度，培养信息系统审计意识。实现信息化后，高校审计的管理模式、工作流程等必将发生变化，原有的管理体制或管理制度等将无法适应新的信息化环境。因此，应该通过开展多形式、多渠道、多层次的计算机技术培训，辅之以人才引进，建立起一支既精通审计业务，又掌握了计算机技术，能胜任审计信息化、形成梯次分布的新型审计人员队伍，能结合审计工作需要提出软件设计需求、能编写程序、通晓审计业务的信息化审计专家。在队伍的建设中要突出重点、以点带面。同时，改革现有审计管理体制，建立、健全各项适应审计信息化环境的规章制度。

5．加快信息系统审计规范体系的建设。信息系统审计规范的制定与完善不仅仅是为满足高校信息系统审计的需要，也是为满足我国当前信息系统审计实践的需要。在信息系统审计规范的制定与完善方面，我国可以借鉴ISACA信息系统审计准则，结合我国的国情，制定出适合当前国情的信息系统审计准则。同时，应当加强同国际信息系统审计界的交流与合作，尤其应加强与信息系统审计界的权威组织———ISACA的合作，积极关注ISACA的网站信息、参与有关的国际研讨会，邀请有经验的相关人士到我国介绍经验。我国还可到先进国家或地区考察，向国外同行学习等。加强对外交流与合作对推进我国信息系统审计的发展及准则的制定工作有很大的帮助，可以使我们少走弯路，借鉴国外的先进研究成果。此外，在加快我国信息系统审计规范体系建设的前提条件下，相关部门应当组织力量，制定适合我国高校特点的信息系统审计具体规则，以推动高校信息系统审计实践活动的开展。

（二）高校信息系统审计的具体策略

1．信息系统开发阶段的策略。信息系统审计不同于传统的财务审计，其审计活动的开展应当在信息系统开发阶段介入，若不在信息系统开发阶段介入，则会增加信息系统审计的成本。在信息系统开发阶段，信息系统审计人员可以通过三种方式参与其中：①信息系统审计人员作为用户参与到信息系统的开发过程中。所有处理业务活动的系统在某方面都会影响系统的最终功能。和所有其他用户一样，信息系统审计人员使系统专业人员更加明确用户所需要的问题。②信息系统审计人员作为开发小组的成员参与到系统开发过程中。③信息系统审计人员以审计师的身份参与系统开发过程中。有些信息系统审计技术要求在系统内部设计中嵌入一些特殊功能，审计人员与这种系统有利害关系，让其参与到这个过程，更有利于高校信息系统审计活动的开展。

2．信息系统维护阶段的策略。一旦系统开发完成，便进入了系统维护阶段。系统维护涉及修改系统，使之适应用户需求的变化。维护与最初的开发成本相比，意味着更大的资源开销。在系统生命周期，其总成本中有80%~90%是在维护阶段发生的。信息系统审计人员在这个阶段的主要任务是确保对应用程序只进行合法性修改，而且这些修改同样也在实施之前进行了测试，这些过程共同确保应用程序的准确性，并在检验期间保证其完整性。在这个阶段，为减少信息系统审计的成本，高校必须培养自己的信息系统审计人员，定期对现有高校信息系统的内部控制、安全、软硬件、灾难恢复计划等进行审计。高校信息系统审计的目标包括：确定被审计单位的软硬件维护计划和政策是否合理；确认软硬件活动是否经过授权批准；确认软硬件维护后是否进行测试；确认维护记录是否完整，并及时更新相关文档。

信息系统维护审计的程序通常包括如下几个方面：①获取被审计单位的信息系统维护计划与政策；②检查信息系统维护记录，查看维护人员对维护情况否给予完整的记录；③检查信息系统的维护申请、批准、授权与执行文档等，确认是否符合信息系统审维护的相关计划与政策；④审查信息系统维护后的测试与检验报告，向相关人员询问测试情况，确认信息系统是否经过充分的测试；⑤抽查与信息系统维护相关的文件资料，确定是否有维护过的地方，并及时进行更新与归档。