廖荧坤

摘 要 信息化管理在高校已经普遍开展，内部控制是信息化管理的重要环节。在高校信息化的实际工作中，仍然存在只重视技术投入，忽视流程管理的现象。本文试着从一个高校内部控制出现失效的案例出发，寻找信息化背景下高校内部控制的盲点，并探讨加强内部控制的策略。

关键词 高校信息化 内部控制 流程优化

一、高校信息化背景下的内部控制的重要作用

目前，不管是企业还是行政事业单位，办公日趋自动化，高校也是这样，基本实现了信息化管理。其实高校管理信息化虽然是将信息技术引入传统管理模式，但是对其内涵的理解不能仅仅局限于此，如果单纯强调技术的概念会将管理信息化的实践引入误区。高校管理信息化应该是“三分靠技术，七分靠管理”，管理信息化不仅是计算机等信息技术的采用，更是工作流程再造，人力资源潜能充分得以调动的一个过程。信息管理的反馈控制理论认为，管理周期延续时间的长短反映了管理工作效率的高低。因此，要缩短管理周期、提高管理效率，离不开内部控制。内部控制是管理活动的一个组成部分，是实现管理目标的重要手段。管理活动做得好，内部控制有效，就能够实现它的管理目标，从而保证高校各项活动的顺利开展，保证高校预算资金的安全与高效使用。可见，内部控制是管理的重要手段，也是管理信息系统中的重要环节，管理者应给予高度重视。

二、高校信息化内控失效的案例

下面介绍在信息化背景下某高校内部控制失效、给学校造成经济损失的真实案例：

2014年11月，某高校利用从收费管理系统中生成的多收学费信息通过银行进行了多收学费的清退工作，共计退还学生学费365859.15元，但就在退费的当天有学生向老师询问今天存入自己银行卡中的是什么款项（该校学生的各项补助亦是直接存入学生的银行卡）？系里的教师随即向财务处询问，财务处回复说是退还多收的学费，学生反映说自己没有多交学费。财务人员在进行核对后发现该学生确实没有多交费，收费管理系统产生退费清单的过程也没有错误，最后发现是系统里的部分学生的所属专业发生了更改，进而收费标准也发生了变动，收费标准降低从而出现在了退费清单之中。在随后进行的内部审计中，发现上述30多万的退费当中有221331.55元是误退的，涉及学生114人、11个班级，因发现及时，又及时向银行发出代扣指令，从而在12月底已追回大部分误退款项，只余下4271.57元尚未追回。

在这个案例中，退费清单是由操作人员从系统中经过条件筛选自动产生的，一般情况下得出的结果是不会有问题的。案例中的筛选条件是“已收-应收>0”，操作人员得知误退时对那名学生的收费记录进行核实时发现符合假设的筛选条件，却意外地发现该名学生的班级（专业）发生了变化（学号信息与专业信息不一致，而该生并没有转专业），相应地应收学费标准发生了变化，从原来的6500元/学年变成了3500元/学年，从而产生了3000元的应退费。该生为2014级新生，从缴费记录可以看出，该生的第一次缴费是按6500元/学年进行收取的，而这与他专业的学费标准是一致的，可以推断出系统开始的设置是正确的，这名学生专业和收费标准的变动是后来发生的。操作人员和软件开发人员（因某种原因学年开始时的信息由开发人员进行设置）均表示自己没有进行过相关的操作，审计人员试图从系统的操作日志中得到答案，没有找到相应的操作日志。至此，责任已不便追究。

三、高校信息化背景下内部控制的盲点分析

（一）实现信息化所采用的管理软件本身不够完善

通过梳理，审计人员发现上述案例中该校选用的收费管理系统是另一所高校自主研发的，在该校已使用多年，这些年因数据量及业务内容的不断发展进行了数次升级，但还是存在以下一些缺陷，导致案例中工作差错产生之初不易被人察觉：

第一，缺乏完备的操作日志记录功能。案例中高校选择的收费管理系统不是完全没有操作日志记录，审计人员发现，凡是在系统维护界面手工进行的一些改动都保留有操作日志，但对于一些从外部批量导入的操作却是雁过无痕。案例中首先发现专业发生过变动的学生信息后来通过系统维护手工进行了单个更正，更正信息通过操作日志可以查看到。而这个变动并不是唯一的，该名学生所在班级的所有同学的相关信息都发生了同样的异动，这样的涉及专业变动的有2个专业3个班级、导致63人的误退费。另外，因教材费发生变动的涉及4个专业（班级），导致47人的误退费。在发现数据是成批发生变化后操作人员对其进行了成批的更正，而这样的更正在操作日志上没有留下。可以想见，原来发生的异动也是因为是成批导入而没有留下改动的痕迹。在案例中操作人员没有主观恶意，且因为学生的善良存在，最终没有造成损失，只是增加了工作量和工作成本，如果这样的漏洞碰上居心叵测之人，这个系统又可以产生发放补助清单的，将很难保证不发生损失。而在损失发生之后，仅靠推测却是难以确定责任主体的。

第二，数据库缺少必要的加密措施，从外部打开修改很方便。审计人员发现上述案例中采用的收费管理系统在操作人员在系统维护界面进行学生专业、教材费等资料进行修改（这是一些引起数据库数据发生变动的操作）时，系统没有设置任何提示，也使得案例中误操作具有一定的不易察觉性。

（二）信息化后缺乏对工作流程的优化

很多高校在信息化后没有优化工作流程，有的甚至让管理软件中的岗位牵制功能流于形式。在这个案例中，审计人员还注意到误退费产生的过程中：专业及收费标准的变动、退费清单的筛选均是一个操作人员进行的，但用的是两个工号，即系统在进行用户权限分配时规定一般的用户是没办法在系统维护界面进行诸如收费标准的修改的。但该校在实际工作时，有可能因为系统管理人员另外担负的工作较多或出于方便、信任把本是系统管理人员的工号和密码交由一般的用户使用，这样感觉本该是裁判员做的事情也统统都由运行员一个人做了，没有起到牵制和监督的作用。

（三）操作人员过度依赖管理软件，缺乏职业敏感度

另外，这个案例也让人们反思：是什么造成这次损失的最终发生？由于银行代为扣划与现场缴费方式的同时存在，而且因客观原因银行代收的信息目前尚不能实时地在学校收费管理系统中得到反映，形成多收费是客观存在的。但案例中的退费金额是史上最大的（这次退费不是这个学期的第1次退费），涉及的面也是最广的（114人，10个专业11个班级），这足以引起操作人员和复核人员的重视。还有，仔细观察退费清单审计人员还发现有很多应退数都是整数（如500、2500、3000），而且有的班级几乎全班同学都多交了学费，也许学生多交费是客观存在的，但因为新学年开始时银行代为扣划的频率高且不设下限，而家长存入款项是有计划的，经常很多时候扣到的都是零钱，可以想象这份清单也是存在可疑之处的。对这些异常，系统操作人员、复核人员没有第一时间察觉，最终导致了误退学费的产生。

四、高校信息化背景下加强内部控制的对策建议

（一）选择成熟度、安全性高的管理软件

在选择软件时，除关注实现管理目标所需的功能之外，需要关注以下方面是否也足够安全可靠：

（1）具备完备的操作日志记录功能。在进行软件选择时，为避免控制盲点的产生，我们应该特别关注其是否具备完备的操作日志记录功能，以保证软件的安全运行。据了解，案例中的软件开发人员考虑到如果全部的上机操作均记录在日志中会形成庞大的数据从而影响系统的运行速度，于是只对他们认为重要的部分进行选择性记录。在事件发生后经过双方的沟通，软件开发方采取了在系统维护界面进行的所有上机操作均进行记录，为保持系统的高速运行定期进行日志记录的备份，问题终于得到圆满解决。

（2）有适度的数据库加密保证措施。例如，案例中就算没有完备的操作日志记录，但如果在系统维护界面在操作人员进行有可能对数据库的数据进行变更的相关操作时（如专业变更、教材费的变更）系统能有一个像“您的操作会引起数据库数据的变动，您确定需要进行吗？”之类的对话框进行提醒，给一个操作人员进行思考的缓冲时间，很大程度上能够避免操作人员的一些因大意而造成的操作失误。

（二）进行工作流程优化

在管理信息化环境下更应完善和健全内部控制制度，因为在自动化办公状态下，原有手工操作下的内部控制制度会部分丧失作用，而同时计算机数据处理易于篡改、舞弊。例如，我们应该建立职能分隔制度，系统维护员、操作员和数据管理员应合理分工、相互制约、相互监督，预防舞弊事件的发生；应该建立授权控制制度，各级人员、每个工作人员都得到一定的授权，并以密码加以控制，防止非法操作和越权操作。当然，最重要的是在实际工作中避免像案例中的这种形式与实质的不一致，那样，即使再好的控制制度也只是徒有其表、一纸空文！

（三）加强业务学习，提高专业敏感度

操作人员在处理业务时应多思考、多检查。案例中误退费情况的产生，虽然与系统数据的异动有关，但如果我们的操作人员和复核人员在退费清单导出后，对清单多加观察，就能发现这么大面积的退费而且同一专业的退费金额相同这样一种现象是一种异常现象，是与学生缴费的个体差异性不一致的，就有可能不是只检查那么一两个学生，也就有可能当时就能发现问题，从而消除错误的发生。

（作者单位为桂林旅游学院）

参考文献

[1] 王雯雯.学会内部审计的65个绝招[M].中华工商联合出版社，2014.

[2] 柯萍萍.基于高校收费流程再造视角的高校收费管理系统自动化、一体化[J].商业会计，2014（16）.

[3] 梁列芬.浅谈高校内部控制[J].课程教育研究：学法教法研究，2015（10）.