时间:2020-04-09 作者:周卫华 (作者单位:中国财政科学研究院/中央财经大学会计学院)
[大]
[中]
[小]
摘要:
一、行政事业单位内部控制信息化建设要解决的主要问题
(一)内部控制信息化的范围和边界
《行政事业单位内部控制规范(试行)》(下称《单位内控规范》)明确,行政事业单位内部控制的范围包括单位层面内部控制和业务层面内部控制。前者主要是“软”控制,包括职能部门控制、岗位职责分工、职业道德培训等,其不易利用信息系统去落实,而应依靠单位日常管理和文化建设等。后者主要是“硬”控制,包括预算业务控制、收入业务控制、政府采购业务控制、资产业务控制、建设项目控制、合同控制等,其完全可以通过将控制点嵌入到具体业务运营系统实现自动控制。此外,对于《单位内控规范》规定的“评价与监督”,可通过将内部控制评价和监督过程、内部控制自我评价报告、内部控制审计报告等纳入信息系统中实现信息化管理,从而方便管理人员实时跟踪本单位内部控制的评价和整改进程。
(二)内部控制信息化与现有信息系统的关系
在内部控制信息化开始之前,单位已建成并投入使用的业务信息系统(包括总账系统、固定资产系统、政府采购系统等)已在一定程度上实现了部分管理控制的需求。但由于历史原因和技术环境更迭变化,这些系统所采用的信息技术架构...
一、行政事业单位内部控制信息化建设要解决的主要问题
(一)内部控制信息化的范围和边界
《行政事业单位内部控制规范(试行)》(下称《单位内控规范》)明确,行政事业单位内部控制的范围包括单位层面内部控制和业务层面内部控制。前者主要是“软”控制,包括职能部门控制、岗位职责分工、职业道德培训等,其不易利用信息系统去落实,而应依靠单位日常管理和文化建设等。后者主要是“硬”控制,包括预算业务控制、收入业务控制、政府采购业务控制、资产业务控制、建设项目控制、合同控制等,其完全可以通过将控制点嵌入到具体业务运营系统实现自动控制。此外,对于《单位内控规范》规定的“评价与监督”,可通过将内部控制评价和监督过程、内部控制自我评价报告、内部控制审计报告等纳入信息系统中实现信息化管理,从而方便管理人员实时跟踪本单位内部控制的评价和整改进程。
(二)内部控制信息化与现有信息系统的关系
在内部控制信息化开始之前,单位已建成并投入使用的业务信息系统(包括总账系统、固定资产系统、政府采购系统等)已在一定程度上实现了部分管理控制的需求。但由于历史原因和技术环境更迭变化,这些系统所采用的信息技术架构可能不尽相同,因此,内部控制信息化需在兼容现有信息系统的数据结构、技术架构、系统功能的基础上,完成重新改造、升级和整合。
(三)内部控制信息化建设的组织与实施
与大多数企业不同,行政事业单位通常不设置内部控制专门部门,一般归口到财会部门负责。但事实上,内部控制信息化需要财会部门和信息部门共同组织和实施。因此,笔者建议,行政事业单位应组建一个由单位负责人牵头、财会部门和信息部门具体实施、各业务部门共同参与的专门组织,以确保内部控制信息化建设的顺利开展。
二、行政事业单位内部控制信息化的主要思路
从内部控制的理论研究和实践探索来看,其概念外延正逐渐扩大,涵盖的内容已经覆盖到单位管理控制的各个方面。因此行政事业单位内部控制信息化也应从单位管理控制出发,实现全局控制。根据这一理念,笔者构建了行政事业单位内部控制信息系统的应用架构。该系统由采集系统、规则库系统、风险分析系统、控制系统、监督系统、决策系统、数据仓库等组成,通过信息流和控制流与部门预算系统、政府采购系统、固定资产系统、国库支付系统、会计信息系统、办公自动化系统等核心业务系统进行集成。信息化环境由操作平台、信息网络、数据库和计算机设备构成,为内部控制系统提供了实时获取、存储、传递信息的技术环境。
(一)控制对象
内部控制信息系统的控制对象是单位发生的所有经济活动或业务流程。业务流程由业务活动组成,既包括日常管理中的全部活动,也包括单一具体活动如采购材料、资产管理、经费报销、合同审核等。业务流程内嵌于部门预算系统、政府采购系统、固定资产系统、国库支付系统、会计信息系统等核心业务系统中,通过物流和资金流的流动形成对应的信息流。
(二)采集系统
采集系统是收集控制对象行动结果信息的子系统,其基本功能是在单位管理活动中实时采集和获取单位运营过程产生的信息,按照一定的处理规则加工和处理,并按照特定的格式保存在数据仓库中,为风险分析系统提供数据支持。采集系统采集信息的过程是全自动的,既包括会计信息也包括业务信息。由于采集信息的速度和数量直接影响到控制的效率和质量,在信息化环境下应确定采集的内容,以保证采集经济活动信息的深度、广度和及时性。
(三)规则库系统
规则库系统是由内部控制标准、规范、框架和制度所规定的控制指令和程序组成的数据库。按照规则的结构划分,控制规则分为结构化规则和非结构化规则。前者可用结构化语言描述并嵌入信息系统中支持自动控制;后者没有严格的评判标准,不同单位可以有不同的理解,因此控制过程中需要人为参与。
(四)风险分析系统
风险分析系统通过将数据库中提取的反映经济活动的实际信息与规则库系统中的控制标准或控制准则进行对比分析,如果控制对象偏离了既定的准则和标准,则将信息传递至控制系统进而阻止该经济活动继续进行或提示该经济活动已偏离既定的标准和准则。
(五)控制系统
控制系统根据风险分析系统反馈的控制指令,由管理者在其控制权限内对经济活动进行控制。控制指令分为柔性控制和刚性控制,前者是非结构化控制规则的实现,后者是结构化控制规则的实现。在柔性控制情况下,系统通过自动提示的方式提醒管理者参与控制过程,由管理者完成偏差的消除;在刚性控制情况下,系统直接阻止经济活动的进行,以达到自动控制的目的。
(六)监督系统
监督系统负责对内部控制执行过程中产生的数据和结果进行监测和督察,即将单位运营活动的结果与单位战略决策进行比对,并定期将比对结果上报单位管理当局,分析内部控制的效果,以便单位管理当局及时调整内部控制政策,以适应不断变化的内外部环境。
(七)决策系统
决策系统是在监督系统的基础上通过应用数据挖掘(DW)、联机数据分析(OLAP)等辅助决策技术,为单位领导在内部控制决策过程中提供必要的数据支持。决策系统是单位实施战略控制的支撑系统,其通过单位的长期规划和决策指标制定控制标准,并结合实际运行过程中的数据分析及时做出控制标准制定和调整决策。
三、某行政单位内部控制信息系统的建设过程
(一)实施组织与管理
笔者以交通部某行政单位为例,该单位成立了以局长为负责人的项目领导小组及建设小组,由财会部门具体负责,信息部门提供支持,业务部门共同参与,软件公司负责研发。前期项目小组分赴上海、天津、山东、河北等兄弟单位开展调研,内容涵盖预算管理情况、收支管理情况、政府采购管理情况、资产管理情况、建设项目管理情况、合同管理情况等方面。
(二)具体工作过程
首先,初步建立一套内控信息化体系,使单位的部分内控制度、岗位职责、岗位分工、业务流程等内控相关信息能归纳整理录入系统中,并从系统中输出相关标准文档。其次,将已投入使用的预算系统、固定资产系统、总账系统、零余额支付系统等相关业务流程按照内控规范进行梳理,完成业务风险矩阵分析,把经济活动决策、执行、监督相互分离的控制机制嵌入到实际业务流程,并应用到内部控制系统管理中。再次,通过内控系统自动监测经济活动中内控缺陷并对其进行记录和报告,并跟踪和监督缺陷整改进度,督促内控持续改进。最后,利用多种评价方法,按照业务抽取、风险点索引等建立内控自我评价报告制度,使得相关领导或部门可随时查阅内控评价的相关数据和报告。
(三)系统功能结构
根据内部控制信息系统的总体规划和设计,该行政单位的内部控制信息系统功能主要体现在数据资源、业务平台、内控服务、内控生命周期、内控信息管理五个层次:数据资源层的数据来自单位内部和外部,包括结构化和非结构化数据,且需要通过服务总线(ESB)与内部控制服务进行交互。在业务平台层,服务总线(ESB)提供了内部控制服务与数据资源层的实时连接和共享。基于XML的网络服务(WebService)作为标准的分布式调用协议,实现内部控制服务与单位现有系统和数据的统一调度。内控服务层通过一定的逻辑建立了预算控制、报销控制、采购控制、资金控制、固定资产控制、合同控制等控制服务之间的调用关系,实现了粗粒度的服务,使之与单位现有的流程和系统整合,并可适应变化的控制需求。内控生命周期层通过文档电子化和工作流程化的管理方式,按照内部控制计划、内部控制执行、内控缺陷整改、内部控制评价的步骤,实现了内部控制生命周期管理的相应功能,提高了内部控制的整体管理效率。在信息管理层,通过内部控制消息预警、数据查询分析,实现了内部控制相关内容的图形化展现,以辅助内部控制管理者的判断和决策。
责任编辑 李卓
相关推荐