陈秋云 田晓梅

（中山大学财务处 广东广州 510275）

一、引言

2015年财政部印发了《关于全面推进行政事业单位内部控制建设的指导意见》（财会［2015］24 号），要求行政事业单位全面建立、有效实施内部控制。为全面落实管理要求，2016 年教育部印发《教育部直属高校经济活动内部控制指南（试行）》，全国高校启动了本单位的内部控制体系建设工作。高校内部控制建设经过近几年的发展与完善，基本做到了重要经济业务领域相关活动的覆盖。各部属高校形成了一套自己的内部控制体系，编报内部控制报告成为一项常规性的工作。但随着近年来信息化技术的不断发展和财务智能化的不断推进，传统的内部控制组织方式和方法已逐渐不能适应形势的变化。

我国高校内部控制的建立、执行与评价借鉴了COSO内部控制整合框架，以《行政事业单位内部控制规范（试行）》为理论核心，并以“目标-风险-控制”为循环。内部控制建设以梳理各类业务流程、明确业务环节、建立健全各项内部管理制度并督促相关人员执行的方式开展。高校内部控制建设包括单位层面和业务层面，以各项经济业务活动为切入点，覆盖预决算管理、收支管理、采购管理、资产管理、建设项目管理、合同管理、科研管理等。

随着信息化和财务智能化的发展，内部控制环境发生了较大变化，数据资源应时而生。《国际审计准则第15 号——电子数据处理环境下的审计》指出，“在电子数据处理环境下，计算机的使用改变了财务、信息的处理和存储方式，并可能影响被审计单位为达到有效的内部控制而采用的组织结构和业务程序。”数据资源作为一项新的生产要素，将从根本上改变高校内部控制建设的基础，也将直接影响高校内部控制的建立与执行。基于问卷调查、人员访谈的风险收集方法，人为筛选、比对、排序确定风险等级的传统内部控制组织方式也将得到根本性的升级转变。基于业务环节的风险识别、风险分析和风险控制，必将被以客观数据集成为甄别点的控制手段所取代。风险识别、风险分析和风险控制的改变，将改变高校内部控制建设的组织方式和组织效率。

二、高校内部控制建设存在的问题

目前，我国高校的内部控制仍然存在诸多问题，影响和制约着高校财务治理水平和治理能力的进一步提升。信息化发展的推动，改变了高校的办公模式、信息传递以及经济运行的方式，内部控制体系也必须根据高校内外部环境的变化、经济业务的调整及控制要求的变更而不断改进。内部控制建设是一个长期的系统性工程，现有高校的内部管理及控制手段，已与信息化环境下的内部控制要求不相适应。

（一）不符合全面性原则，存在内部控制建设盲区。《行政事业单位内部控制规范（试行）》要求单位建立和实施内部控制时应当遵循全面性原则，“内部控制应当贯穿单位经济活动的决策、执行和监督全过程，实现对经济活动的全面控制。”现实中，由于高校办学经费来源渠道广泛、经济业务种类繁多，很多高校的内部控制建设尚未实现经济活动全覆盖，特别是各类专项经费的使用，尚未建立相应的制度、流程，财务人员难以准确把握经济开支红线，科研人员更无法高效使用各项经费，甚至出现专项经费混用及各类经费间的挤占挪用等问题。

（二）内部控制建设缺乏系统性和整体性规划。目前大部分高校内部控制已覆盖财务管理、资产管理、采购管理、合同管理等重要业务领域，涉及财务、人事、基建、法务等多个部门，但各业务部门往往只关注于本部门的内部控制措施，导致业务层面的内部控制未能实现各部门间的有效协同，部门间信息沟通交流不畅。各业务部门的管理系统自成体系，信息化建设缺乏统一规划，普遍存在“信息孤岛”现象，系统间基本数据字段设置不匹配、数据采集标准不一、源数据质量较差、无法实现数据的互通互用。此外，预算系统、采购系统、资产系统和核算系统数据不匹配，无法实现有效的整合。预算部门无法掌握预算执行进度、不了解是否存在无预算支出或超预算支出问题，每年年终决算报告需花费大量时间对账调账。资产管理系统与核算系统无法对接，往往因设备销售折扣等问题导致资产报增系统数据与财务支出数据不匹配，财务人员每月通过手工对账在海量的数据中查找细微的差错，造成人力资源的无效投入。

（三）内部控制重建设轻执行。高校内控建设是全员参与的一个过程，需要投入大量的人力物力财力，甚至聘请专业第三方中介机构为高校设计制度框架、流程指引及工作表单，依据不相容岗位分离、内部牵制和分级审批的原则改善经济业务的控制环境，但其执行和实施效果却不佳。主要原因在于内部控制制度缺乏有效的贯彻执行，制度建设部门与制度执行部门沟通不畅，导致制度流于形式，制度执行效果得不到有效反馈与修正。同时制度流程规范与实际业务执行存在差距，实际操作缺乏有效控制，并且绝大部分的经济业务无法实现全生命周期的信息化管理，业务起始端与终止端无法实现有效的闭环控制。此外，线上流转与线下审批同时进行，依靠手工操作的报账行为和“手签”的审批方式，无法避免“内部人控制”及偶然差错等人为因素的影响，导致控制目标无法达成或与目标存在较大偏差。

（四）无法实现内部控制建设效果的自反馈。大部分高校的内部控制组织体系由内部控制领导小组、内部控制工作小组、内部控制实施单位及内部控制评价与监督部门组成，内部控制建设从单位层面到业务层面自上而下推进。内部控制建设部门、实施部门及评价部门间信息沟通不畅，每年内部控制建设成果由各单位自主报送，内部控制建设部门无法获取内部控制实施效果的第一手资料。现有的内部控制建设体系无法实现信息的实时交互共享，无法形成自下而上的风险归集、数据集成和数据应用，导致内部控制建设效果无法实现有效的自反馈。

三、信息化背景下高校内部控制的建设路径

目前我国高校的财务管理和内部控制还处于信息化向智能化迈进的阶段。现阶段，高校内部控制应基于信息化管理要求，将内部控制体系融入信息化系统中，进而提高效率、固化流程、全面提升内控水平。即信息化背景下，高校内部控制建设并不是对现有内部控制体系的推倒重建，也不是建立一个单独的内部控制信息系统，而是结合信息化管理的要求，在现有内部控制和业务系统的基础上进行补充和完善。内部控制信息化是将单位经济活动及内部控制流程嵌入到单位信息系统中，以信息化的方式来实现内部控制的过程。但高校内部控制建设的路径又不仅限于单纯的信息系统建设，还包括内部控制组织体系和组织框架的重构。

（一）内部控制组织体系和组织框架的重构。

1.风险的梳理与重构。目前我国高校一般通过收集相关资料、调研访谈等方式收集初始风险信息，并进行必要的筛选、对比、分类、组合，以达到风险识别的目的。信息化背景下，控制环境发生了根本性变化，其风险表现也与传统内部控制环境下有所不同。具体来说，一是数据信息的安全性风险，即高校财务信息、资产信息、档案信息或师生员工的个人信息等信息的泄露或丢失风险，或因外界入侵导致系统瘫痪、无法执行相关操作等风险。二是数据处理的准确性风险，表现为数据处理不恰当、各类信息无法反映经济业务的真实情况；成本归集不准确，未能客观反映各部门的成本支出，导致绩效评价结果失效，不能有效调节各部门的资源投入；数据分析不充分，无法给高校带来有效的决策支持，或导致高校决策失误。控制环境和风险表现不同必然会导致风险信息收集、风险识别、成因分析方法的重构。

在信息化和智能化的推动下，内部控制风险评估将由主观的业务识别风险转向客观的数据归集风险。基于数据信息的归集应用，能够更加精准、高效地发现、匹配和识别风险点，消除人为识别判断风险的偏差，增加决策判断的科学性。从业务数据中提取相关风险，进而达到风险预警、风险评估、分析诊断和风险报告自动化的目的。

2.业务流程的梳理与重构。信息化条件下，同样的经济业务其风险表现会与传统环境下有所不同。信息化条件下的业务流程和业务环节应该与新的内部控制环境及风险相适应，才能达到内部控制的目的。将业务流程由线下控制转向线上控制，并不意味着直接将现有的流程照搬到线上、直接嵌入信息系统中，而必须要进行业务流程的梳理与重构，否则将会建立一个类似于OA 流转系统的内部控制信息系统，导致大量不符合成本效益原则的非必要控制，形成繁杂的流转过程和大量的信息冗余。业务梳理与重构更重要的目的在于实现业务流、数据流和信息流的统一有序流动和有效整合。只有业务流、数据流和信息流“三流合一”，信息和风险的传递才是有效的，业务、数据及信息的记录、获取、处理和分析才是准确的，相关风险的提示预警及相关控制措施的触发才是有效的。

以采购及付款业务为例，采购及付款业务通常涉及采购实施方、采购管理部门、合同管理部门及财务部门。在传统的内控模式下，采购业务通常由实施方发起，采购管理部门组织采购，合同管理部门审批合同，财务部门根据合同付款条件进行付款，各部门信息独立，上下游之间未形成一套互联互通的数据信息链条，同时在付款环节，财务人员不仅需审核付款条件，还需要对其采购方式、合同签订等前置环节内容进行审核。信息化背景下，上下游之间构建互联互通的信息链条，实施方一旦发起采购程序，提交采购管理部门组织实施采购，相关信息即可流转至合同管理部门，由合同管理部门根据采购信息审核采购合同相关条款，合同拟定后，相关信息流转至财务部门，财务部门根据合同的付款条件进行付款，各个环节均由实施方发起进行触发，各环节信息畅通、相互勾稽，这样可以实现业务流、数据流和信息流“三流合一”。在信息化背景下，固化全业务链的内控流程，各部门各自根据职责审核，对审核事项负责，明晰权责，可以更好地实施全业务链管理，防范采购风险。

3.制度及控制措施的重构。传统的内部控制环境下，内部控制措施的触发往往相对单一。例如单笔付款金额超过100万元、没达到500万元的，由财务处科室主管、业务分管副处长或处长逐级审批。大额资金支付的分级授权审批内部控制，是按照经济业务金额的上限来触发。但在信息数据的获取和采集更加多元、更加便捷的情况下，内部控制的措施触发源可以更加丰富多元、更加直接，触发机制也从人工触发转变为系统自动触发。信息化背景下，内部控制的触发将直接以数据表现为基础，当数据形态达到系统设置的某一触发值时，相关控制措施即可即刻触发，阻断经济业务进入下一步操作，并预警提示相关风险。

另外，信息化的发展催生数据资产管理等相关岗位，各业务流程的岗位控制也从线下转向了线上，与内部控制信息化建设与管理相关的制度及控制措施也将孕育而生。编制内部控制信息系统建设规范、内部控制信息系统操作指引、内部控制信息系统权限指引手册、内部控制信息系统岗位职责手册等，以规范信息系统的建设标准、数据参数、接口设计、系统操作规程，对信息系统的设计、开发、运维、应用，以及对信息系统岗位、系统安全加以控制成为必然要求。

（二）内部控制信息系统建设要点。信息化背景下的高校内部控制建设，根本落脚点在于信息系统的构建。内部控制信息系统建设的要点主要包括以下几方面：

1.加强信息系统整合共享的统筹规划。高校内部控制信息化应加强统筹规划和顶层设计，制定统一技术标准，提高信息化建设的效率和质量。通过业务流程再造或升级改造高校的预算、资产、财务、人事等关键领域的信息系统，将重构过程中的整合共享作为管理信息系统建设的核心内容。遵循业务全生命周期管理原则，从全局的角度对各项经济活动的信息化建设进行整体规划，将系统协同纳入建设范围。通过各业务部门间的沟通，共同确定数据交互和业务系统的相关需求，以达到内部控制建设的标准。通过相关业务系统的重构或升级建设取消手工单据和线下审批，可以减少或杜绝人为操纵因素，提高办事效率。

2.开展数据治理，建立数据交换与共享标准。为消除各信息系统的“信息孤岛”现象，支持内部控制信息系统之间的互联互通、信息共享和业务协同，高校可构建数据中心、统一数据标准、依托数据治理，实现各系统间的数据共享和交互使用。通过建立高校数据治理工作机制和管理架构，依托数据交换平台和数据管理中心，围绕教学、科研、采购、人事、公房等主题构建基础信息库和共享交换库，为数据沉淀、数据统计、数据应用、数据呈现提供基础，实现高校各个业务系统数据的融通，支撑多个跨部门专题应用场景，实现校务服务“一网通办”（见图1）。

图1 基于数据管理中心的信息交换模式

3.加强业务协同，改变业务分块管理的现象。贯彻集约化建设理念，将各项业务的内部控制措施在系统中实现。以预算管理系统为核心，构建“1+N”的内部控制管理平台，实现预算、执行、决算相一致。对内与采购系统、核算系统、资产系统、设备系统、合同管理系统等互联互通，对外与国库集中支付系统、财政部资产系统对接，实现各业务流程的全面梳理重构，以及各系统间数据的有效整合（见上页图2）。将内部控制的制度、流程及控制手段整合嵌入业务流程，固化信息传递路径，实现对权力运行的有效控制。同时推动高校公共平台建设，构建统一门户，实现由一个登录入口进入多个业务系统的功能，促进跨部门业务间的协同。

图2 高校内部控制信息化建设体系

四、结语

加强内部控制是完善高校内部治理结构、建立现代大学制度、加强廉政风险防控机制建设的必然要求，是促进高校依法办学、依法治学的重要途径，对规范人、财、物、权等方面具有重要意义。各高校应根据内部控制的环境变化不断完善自身内部控制建设工作，努力适应信息化和大数据管理带来的革命性变革，持续改进内部控制建设的思维和方式，充分运用信息化管理的相关手段，不断提升主动甄别风险、防范风险和控制风险的能力，以满足高校内外部监管要求、完善内部治理能力和治理能效。高校内部控制在信息化和智能化发展的推动下，也必然走向一个全新的阶段。