在高校日渐成形的信息化生态环境下，高校的正常运转已经越来越依赖于信息系统，这种变化一方面对传统内部控制理论提出了挑战，另一方面也为高校内部控制体系的构建提供了新的思路。为实现高校内部控制体系的构建与高校信息化生态环境相适应，就必须通过信息的同步集成，将分散的IT系统整合在同一平台，通过IT治理减少或消除人为操作等风险因素，确保各方管理信息的及时、可靠和完整，从而解开信息不对称对内部控制体系潜在的束缚，从根本上提高内部控制体系的效率。

一、IT治理与高校内部控制建设

（一）高校内部控制的信息化瓶颈

信息系统的使用是目前高校控制自身内控风险性价比最高的措施之一，例如财务部门的财务信息化系统可以辅助实施预算内部控制和收支内部控制，资产管理部门的资产登记处理系统可以辅助实施资产内部控制、采购内部控制等。事实上，在《行政事业单位内部控制规范（试行）》发布之前，高校并没有实际意义上的内部控制体系或者组织，信息系统的使用是高校为了应对转型中的资源配置方式而进行的适应性变更，包括财务、国资、基建在内的内部控制工作实际上是由信息系统在逐步推进，因此可以将信息系统视为高校实施内部控制的“助推器”。

然而，当信息系统的数量到达一定程度时，就会出现两个问题：一是如何管理、控制和维护这些系统；二是如何在资源有限的条件下协调这些系统以使它们“往一个方向使劲”。这两个问题没解决好，一来会感觉不到信息系统带来的效率，风险控制的能力也不能完全体现出来；二来由于高校一些核心部门对信息系统已经有很强的依赖性，如果这些系统出现技术故障，正常的教学科研活动就会存在停滞的隐患；再者，如果各个信息系统之间缺乏联系，没有统一的规则将它们串联起来，其结果为多个IT治理中心共存，高校的网络信息部门只是提供技术服务，没有将现有信息化系统和纪委、审计等信息需求部门建立联系，领导层无法通过统一的系统来获取信息并进行严密控制，外界对领导层的决策及决策依据也没有了解的渠道。国外非营利组织IT的年均费用是年度预算的8.4%，国内高校在这方面的投入还远远没有达到这个比例。如果继续只追求各自为战而不注重整合联系，那么相对于高校捉襟见肘的运行经费，巨额的信息化投入很可能继基建之后，成为高校另一个投资黑洞。

（二）IT治理嵌入高校内部控制架构的可能性分析

常见的IT治理机制有三类：一是决策结构，即负责制定信息化决策的组织单元和角色，对于高校而言，可以是级别更高的校级委员会；二是工作流程，即用于保证日常行为和信息化政策相一致，并提供返回到决策单元和角色的输入信息的正式流程，对于高校而言，前者是各个信息化中心设立的初衷，可以得到保证，后者则需要建立一个整合的反馈机制；三是沟通方法，即传播IT治理原则、政策和信息化决策制定流程结果的公告、建议、渠道和培训等，这也决定了高校的IT治理应当是一个自上而下的过程。高校的IT治理机制就是要通过一系列的结构、流程和沟通，对已有的信息化系统进行全面而集中的管理，从而间接整合原本分散的内部控制系统，并且可以实现根据教学、科研、基建等重大核心任务的实际需要，向相关部门提供可计量成本的、可评价实施质量的内部控制信息，以确保正常的高等教育秩序，最终实现高校的职能目标。整合后的IT治理中心将内嵌在新的高校内部控制部门或组织（如预算内部控制、收支内部控制、建设项目内控、资产内部控制及采购内部控制等）当中发挥保障作用。

通过以上分析可知，IT治理的首要和基本作用是变高校信息化系统“分散式”管理方式为“集约式”管理方式，从而整合现有的松散内部控制体系。它可以通过配置管理流程和管理数据库，将高校所有的或者超过一定价值的信息置于全面的监督和控制之下，及时掌握和了解这些信息的状态、出现过的问题、可能会出现的问题和存在的价值。通过变更管理和发布管理，确保这些信息的变动是可控和可靠的。

此外，IT治理能够激发原有信息化中心的积极性，由以前“守住自家一亩三分地”的被动管理，变为利用更多信息实施主动管理，在提高原有信息系统内部控制水平的同时，还可以为验证内部控制部门的观点提供数据支持。新的内部控制部门将会设立统一的沟通渠道，及时有效地接收信息，并根据内部控制的需要进行处理，然后进行相应的变更、配置和发布，最后将内部控制实施过程中的重要信息和处理结果以及得到的经验存入信息库，以便日后参考。整个过程以辅助实施内部控制为目的，倒逼原本独立的信息化中心必须更加注重服务质量以及所提供数据的真实性和可靠性。

在内部控制建设中引入IT治理，最重要的作用就是为高校提供一个经济的、可持续完善的控制框架，提供一个有价值的参照基准，并且可以通过对所有信息化体系的质量及其与内部控制需求的契合程度进行周期性评估等方式，进一步保证其独立性，使得领导层的决策可以基于一个可信的来源。

二、IT治理下高校内部控制体系构建

基于IT治理构建高校内部控制体系，需要一个强有力的执行部门，IT委员会（或类似组织机制）的级别应当等同于内部控制委员会（或类似组织机制）的级别，或者将IT委员会（或类似组织机制）的职能内置于内部控制委员会（或类似组织机制）中，以便沟通和联系的顺畅实现。有了强有力的组织机制驱动，基于IT治理的内部控制体系构建和运行就会得到保障（如图1所示）。

高校内部控制最核心的内容是信息，信息的有效性、经济性、机密性、完整性、合规性及可靠性都必须得到保证，而IT资源提供的数据信息具有内部控制所需信息的上述特质。与IT治理结合的内部控制包含四个域：计划与组织、获取与实施、运行与支持以及监控与评价。

计划与组织包括规划制定和执行两个层面，重点是关注IT如何更好地为实现内部控制有效性做出最大贡献。规划的制定要求高校管理层能够从战略的角度安排内部控制关键控制点，包括确保重要部门岗位的重点监控，通过加强集体决策、弱化自由裁量权过大的职权安排等，避免因机制不健全导致的管理缺位及责任不清等；执行则需要以良好的组织架构和技术设施为基础，其中，良好的组织架构一方面要求各信息化中心与内部控制体系的无缝对接，以便内部控制相应机制能够对IT信息及时地进行分析和反应，另一方面则要体现高校公共部门的属性，在组织安排上将更多的注意力投向公众、透明度和公正性。也就是说，若要将IT治理成功植入内部控制体系，除了依赖领导层之间的伙伴关系和共同决策外，还应更多地使用如高校理事会这样的正式机制。

（二）通过“获取与实施域”整合内控资源

在获取与实施域中，为实现IT战略，首要任务应当是识别、获取（或自行开发）和实施信息化解决方案，并使信息化系统和内部控制流程进行融合。任何IT项目的投入都很大，但大投入带来的技术飞跃并不能保证实施部门取得成功。对企业的研究表明，大部分失败都是因为组织无力采用新的流程，单纯地重视IT治理决策而忽略实施的流程和责任，造成IT与内部控制脱节。因此，在IT治理的实施不断推动内部控制流程标准化和一体化的过程中，IT技术专家和内控业务领导在工作中的相互交叉也越来越紧密，应当将适当的人员安置在内部控制实施流程中，以保证更有效地实施决策。

（三）通过“运行与支持域”维护内控系统

这一部分是针对IT基础设施的稳定性而特殊设立的，IT基础设施是所有业务规划有效IT能力的基础，对内部控制亦是如此。尽管引入IT系统提高了内部控制的效率，但当系统故障或数据处理偏差出现时，会对整个内部控制工作带来系统性风险，因此该域是必要的支持流程，它的范围从传统的安全和可持续性运行一直到培训的各个方面。对于高校而言，通常意义上的基础设施包括计算机、打印机、路由器、数据库软件等，可以通过专项资金逐步解决。但这些技术类的系统组件必须通过知识、技能、标准和经验组成的人性化IT基础设施才能转化成为有用的、共享的信息和服务。而高校的行政人员大多由教学岗转来，或者是无法胜任教学岗的低学历人员，处理信息化技术的综合能力整体较差，如何促成相关人力资源组织的培训和建设是在更大范围内推广IT治理的重点和难点。

高校内部控制最核心的内容是信息，信息的有效性、经济性、机密性、完整性、合规性及可靠性都必须得到保证，而IT资源提供的数据信息具有内部控制所需信息的上述特质。与IT治理结合的内部控制包含四个域：计划与组织、获取与实施、运行与支持以及监控与评价。

（四）通过“监控与评价域”反馈内控效果

追踪信息化项目及其所消耗的资源，IT治理同样也要遵循成本—效益原则。IT系统提供的信息资源可以用于大数据分析，能够及时分析和反馈出内部控制体系中各个控制点的风险程度并进行排序，有利于高校在有限资源下提高内部控制的效率。另外，为了保证IT系统的质量并满足内部控制的需要，所有流程都应当被定期评估，该域要求管理人员对控制过程进行监督，允许将日常经验反馈到战略决策流程中，并通过独立的内外部审计或其他方式对控制过程的完备性提供保证。

（本文系中国矿业大学人才引进项目<2011RC20>和中国博士后科学基金面上项目<2012M510142>的阶段性研究成果）

责任编辑 刘良伟