高校内部控制信息化建设
2015-05-30谢芳
谢芳
高等学校长期以来肩负着推动社会科教文卫体事业发展的重任,同时掌握着大量与其职能相关的社会公共资源,在进行资源和资金的分配过程中,如果缺乏有效的内部控制,极易发生贪腐舞弊行为,造成社会公共资源的极大浪费,损害社会公共利益。随着信息时代的到来,高等学校应该运用信息技术加强内部控制,建立一个将各层面业务进行统一管控的综合体系。文章从高校内部控制信息化的基本模式、现有内控模式所存在问题和解决措施等三个方面进行浅析,以期为高校内部控制信息化建设提供借鉴。
高校内部控制信息化的基本模式
独立信息化模式。独立信息化模式通常见于高校内部控制体系建设初期,由于高校自身的信息化水平不高,通常需将系统开发工作外包给有丰富内部控制管理系统开发经验的第三方软件公司。此时的内部控制系统独立于预算、收支、资产、基建、经济合同等业务管理系统,内部控制信息化无论从理论高度还是实践操作上都还处在起步阶段。
集成信息化模式。集成信息化模式主要是指将与内部控制密切相关的管理系统、业务系统同内部控制信息系统进行集成,纳入一个统一的管控体系。高校在内部控制信息系统中开发流程管理、风险管理、控制点管理、绩效评估管理、内部控制报告等核心模块,并建立与预算、收支、政府采购、资产管理、合同管理、绩效考核等管理业务系统的集成关系,实现内部控制信息系统与其他各类系统的数据共享。
增加功能模式。增加功能模式一般应用于内部控制信息化基础较好,且有较强自主开发能力的高校,该模式是对已有的系统进行升级改造,高校在已有流程管理系统的基础上,增加内部控制管理功能模块。增加功能模式可利用已有的信息技术基础和管理基础上进行,且开发成本不高,但内部控制管理功能模块后续扩展可能会受到原系统架构和现有开发能力的限制。
内部控制信息化建设存在的问题
内部控制信息系统规划设计不合理。高校要建立内部管理系统首先必须要得到领导班子的全力支持和高度重视,没有领导的支持,内部控制要做出客观、公正的评价是很难实现的。有些高校领导层风险意识簿弱,建设校园网络系统时未充分考虑内部控制工作的特点和方便内部审计人员进行监督,使得信息系统缺乏或规划不合理,造成信息孤立或重复建设,导致高校的内部控制管理效率低下。
内部控制信息系统运行缺乏安全环境。内部控制信息系统的运行需通过计算机网络完成,任何人为操作不当都有可能损伤系统硬件,造成数据的丢失,严重地造成系统故障乃至崩溃。高校内部控制信息风险主要体表在两个方面:一是外部技术风险,在当今开放的网络环境下,所有通过网络所传输的数据是有可能被访问到的。黑客通过网络,利用非法手段对系统数据进行篡改、伪造、恶意破坏、窃取等。导致数据信息泄露、篡改、丢失,给高校带来无法估量的损失。二是内部制度设计风险。岗位设置和职责权限设计未分离和相互牵制,内部控制和监管不到位。导致信息系统无法按照规定的程序、制度和操作规范持续稳定运行。
内控机构信息系统人才队伍建设滞后。在实施内部控制系统中,对相应的内控机构人员、系统管理和维护人员的素质提出了更高的要求,既要求其精通网络知识和计算机技能,又要求其具有扎实的内部控制管理理论功底和熟练的业务技能。高校受行政事业单位管理体制和运行机制的限制,没有专门的内部控制专职机构,一般都是由审计部门、财会部门、其他职能部门指定专人成立内部控制工作小组。小组成员虽然积累了丰富的的审计、会计、业务管理经验,但计算机和网络技术知识贫乏。而懂计算机网络的人员,往往因工作时间短,阅历少或不从事内部控制管理工作而缺乏相关的业务知识,这也给日常软件的操作以及维护带来了一定难度。
助力高校内部控制信息化建設的措施
开发科学合理的内控信息化系统。内部控制信息化建设是一把手工程,一把手应强力支持内控的科学化管理,高度重视内控的运行结果,强化风险管控意识,促使各部门规范执行内部控制管理。在开发内控信息系统时应根据信息系统建设整体规划提出项目建设方案,明确建设目标,全面考虑各业务层面及可审计性;同时,给予足够的经费支持,配置安全稳定的硬件设备,保障信息系统建设的进程及后续运行维护。
保证内部控制信息系统安全运行。高校的信息系统运行与维护应该归口由信息技术管理部门负责。首先,信息技术部门应根据内部控制管理要求制定系统工作程序、信息管理制度以及各模块子系统的具体操作规范,及时跟踪、发现和解决系统运行中存在的问题;综合利用防火墙、路由器等网络设备、漏洞扫描、病毒栓测软件技术或远程访问安全策略手段,加强网络安全,防范非法入侵和网络攻击;其次,应当建立用户管理制度,加强对重要业务系统的访问权限管理,定期审阅系统账号,禁止不相容职务用户账号的交叉操作。
提高内部控制机构人员的综合素质。首先,树立现代管理理念,建立以内部控制信息化为核心的现代管理意识,在思想上认识到内部控制信息化建设的必要性和迫切性;其次,提高管理人员信息技术应用能力,有计划地组织内部控制管理人员参加相关职业教育和专业培训,丰富内部控制管理知识,并熟练掌握信息网络技能,为内部控制信息化建设提供助力;再次,加大资金、技术和政策上的支持,改变人才需求目标,大力引进和培养既懂内控管理又适应信息化要求的专业人才,实现人才的一专多能,促进人才队伍的整体提高。
总之,高校在建设与实施内部控制的过程中,应当遵循内部控制的基本原则,全面识别和评估相关业务风险,梳理业务流程,根据风险评估的结果,制定和执行相应的控制措施,尽快实现内部控制信息化,进而保证单位经济活动合法合规、保障单位资产安全高效的运行、保护单位财务信息真实完整、从而有效防范舞弊和预防腐败、提高公共服务水平。
(作者单位:湖南城建职业技术学院)