2017年
财会月刊(22期)
改革探索
试析大数据背景下高校信息化内部控制建设

作  者
章雯华(高级会计师)

作者单位
安徽工业大学财务处,安徽马鞍山243002

摘  要

     【摘要】信息技术的发展让内部控制与信息化有效集成成为可能,进而利用云计算和大数据来实施内部控制。从信息化大数据的应用、IT治理理念、业务流程再造三个层面构建信息化内部控制新生态系统,有助于落实高校内部控制,真正发挥内部控制在高校发展和财政运行中的监控作用。
【关键词】大数据;信息化;高校;内部控制
【中图分类号】F647.5      【文献标识码】A      【文章编号】1004-0994(2017)22-0023-5一、问题提出
中央及地方高校巡视反馈显示,各高校出现的问题主要集中在预算管理、资金管理、招生就业、资产管理、物资采购、工程建设等方面,违法违规现象屡见不鲜,可见高校现有的内部控制存在严重缺陷。信息技术的发展催生了大数据的应用,大数据的推广促使高校内部控制管理呈现出一些新情况、新特点,导致其内部控制要素产生重大变化。为了保障高校内部控制的有效性与风险管理决策的效果,在大数据时代如何实现高校内部控制信息化“落地”成为核心问题。
尽管近年来高校信息化与内部控制建设受到理论界和实务界的广泛关注,从风险意识、内部审计、内部控制环境、信息化水平等方面做了若干研究(张强,2011;王恒斌,2013;石艳萍等,2013;解梦珣,2015;李莹等,2015),但是始终没有解决内部控制嵌入业务和信息化“落地”的问题,造成业务与会计、会计与控制“两张皮”的结果,内部控制成为“纸上谈兵”,效果不佳。有的学者虽然提出了内部控制信息化的概念,但缺少可操作的思想,尤其是对于如何面对“大数据、云计算、互联网+”等的挑战,更疏于体现。
信息化技术的发展以及大数据的兴起对内部控制提出了新要求、新挑战,促使企业或组织的组织架构、管理方式、内部控制切入点发生变化,对相关要素产生了深远影响。
1. 推动了高校内外部环境的优化。高校内部控制环境主要包括高校法人治理结构、管理权责分工协作、内部控制及监审设置、教育资源配置政策、校园文化和法制观念等。大数据为信息化内部控制提供了丰富的数据材料,“互联网+”成为信息化内部控制的政策支持和发展导向,信息技术渗透到高校管理活动的每一个环节,使高校治理结构趋于扁平化,管理层次缩减,管理人员的职责发生了变化,在内外部数据可获得的情况下,推动了内部各环节、各层次的信息共享,加强了各部门、各环节的协调性,提高了衡量内部环境各个环节有效性的准确度。高校与外界的信息传递将更加频繁,内部控制的范围从内部的人和制度扩展到高校外部和宏观环境,期望教育平等、开放和自主的诉求得以进一步强化。
2. 提高了风险评估的准确度。来自于高校内部管理、教育发展业务活动以及外部环境方面的大数据,会带来更多的内部控制风险,但同时对提高风险评估的准确性作用显著。基于海量数据和云计算,高校识别风险的能力和水平得以提高,风险管理和控制手段的效果增强。比如,利用大数据可以消除管理层的主观偏好的影响,对“三重一大”事项决策做出风险警示,可以指导高校对学科发展、科研导向、财务运作等方面的风险把控。
3. 增强了控制活动的成效性。控制活动是根据业务流程的节点进行控制,控制对象包括高校业务管理的整个过程,信息化技术及大数据的应用颠覆了业务控制活动的方式,丰富了控制活动的内容。大数据的应用为控制活动的智能化和提高控制活动的灵活性提供了可能,智能化利用海量数据使得控制活动的人为失误率降低,灵活运用全方位数据,适时分析并及时纠偏,可增强管理成效。大数据分析提升数据化透明度,提高了高校识别各种风险的能力,增强了内部控制成效。
4. 增强了信息与沟通的有效性。来自于内部校园网、物联网和外部互联网等的大数据,使高校置身于数据膨胀的海洋,高校管理层、主管部门、师生员工以及外部关联方能够及时掌握相关业务流程的进展情况,获得他们所需要的信息,便捷适时地进行沟通协调,从而使信息的可靠性、及时性和共享性得到提升。
5. 为监督与评价提供了支撑。信息化技术及大数据的应用改变了传统的人工监督与评价模式。在大数据背景下,通过程序化方式,实现实时、全过程的监督与评价,有助于增强内部控制实施的效果,扩大内部控制的范围和内容,监督和评价将更加客观、全面。
根据以上影响和变化,本文以COSO内部控制框架为基础,提出信息化内部控制新理念,即在内部控制与信息化有效集成的基础上,充分利用云计算和大数据来实施内部控制的过程。构建信息化内部控制生态系统的总体思路如下:一是将大数据应用与信息化内部控制相融合,增强对大数据和云计算的应用能力,构建基于高校需求的数据仓库,实施信息捕获和挖掘技术,实现由信息化大数据驱动的信息化内部控制新模式;二是引入IT治理理念,明确高校各层次的权利与责任,将各类信息系统进行整合集成,确保信息的有效性,重塑高校信息化内部控制体系架构;三是实施业务流程再造,依托内部控制规范和信息化技术,以智能化流程管控为手段,固化业务活动风险控制流程,提高高校发展水平和业务处理效率,完成目标绩效,提高信息化内部控制质量和效率。
二、构建大数据应用系统,服务信息化内部控制新模式
为了保障对大数据的应用,高校需要构建数据应用系统,包括基于数据计算和交互的基础架构、基础数据挖掘整合平台、统计分析平台、数据库操作专业团队等。一是搭建数据仓库,加强非结构化数据的整合存储,提升数据处理能力;二是加强高校各类业务对基础数据的支持,增强外部数据的采集能力;三是实现高校各类报表数据自动化生成,深入挖掘和分析数据,推进与各类互联网新技术的对接;四是强化数据服务团队建设,提升数据分析能力。
1. 建设高校数据仓库,满足信息化内部控制对数据的需求。数据仓库作为大数据应用基础架构的核心,作用在于满足高校管理决策的需要。数据仓库应具备完整性、适时性、集成性、稳定性、动态性、共享性等特点。通过建立数据仓库,使高校准确把握数据,为数据挖掘和管理决策提供支持,继而成为信息化内部控制的数据源泉和实施主体。
数据仓库基础平台建设主要包括五个方面:一是数据信息分析,收集学校各个子系统现有的业务数据,对数据进行整理、归纳、剖析和重组,选择具有分析、实用和保存价值的数据作为入库数据;二是建立体系架构,基于数据仓库的系统扩展和性能优化需求,确定严格的设计原则,合理划分相关层次,科学定义相关模块接口的功能;三是设计数据标准,在充分参考高校现有数据标准的基础上,借鉴企业数据标准和国外高校先进的数据标准,制定适应高校数据仓库建设的数据标准框架,该框架要具备稳定性、前瞻性、扩展性等特点;四是设计数据模型,依托数据剖析结果和数据标准,构建数据逻辑模型和物理模型,建立映射关系,从高校的机构、人员、教学、财务、代码等方面规划相应的数据模型;五是数据加工集成,通过提取不同模型的数据,进行数据模式与格式的转换,同步进行数据传输加载,最终产生应用基础数据。
2. 通过数据挖掘与分析,形成以信息为中心的内部控制模式。数据的获取、理解和管理要能够适应对各类型数据挖掘整合和有效应用的要求。一是确定数据整合对象,明确定义相关业务的内部控制风险点,确定数据挖掘目标;二是整合内部数据,丰富内部传统数据库的信息量,如财务数据、人力资源数据、教学科研数据、学工系统数据等;三是整合外部数据,拓展外部动态、实时、有用的大数据,如互联网公开数据、教育系统数据、国内外高校平台数据、教育服务平台数据等;四是分析数据,利用信息化技术,优化结构化数据分析模型,构建非结构化数据分析模型,对相关数据实施关联分析,彻底打破信息孤岛格局,建立以信息化为中心的内部控制模式。
3. 基于数据应用系统,构建信息化内部控制评价与监督系统。信息化内部控制评价与监督系统包括内部控制风险发现与反馈系统、内部控制结果考核与评价系统,其目的是检验信息化内部控制系统的有效性和健全性。一是要利用大数据和信息化技术建立和优化内部控制评价模型,提升内部控制的针对性和实效性;二是要进一步提升内部控制监督数据的自动化水平、相互检验能力以及反馈效率,以达到高校内部控制的终极目标。
三、引入IT治理理念,重塑信息化内部控制体系
IT治理作为单位治理的重要组成部分,其主要任务是通过对IT资源的有效利用,明确权利与责任的划分,杜绝信息传递的不对称性,控制内部控制系统运行风险,实现目标绩效。内部控制最核心的内容是信息,而IT资源所提供的数据信息能够满足内部控制的需要。为提高高校信息化生态环境与内部控制体系的适应性,高校可以引入IT治理理念,将其与内部控制相结合,利用信息技术,对IT环境下的组织系统进行控制;同步集成所有内部控制信息,将分散和低效的信息进行整合,打破信息碎片化,减少人为操作风险,确保内部控制信息的及时性、准确性、可靠性、完整性和对称性,构建新型信息化内部控制体系。
1. 整合分散的内部控制信息,确保信息的对称性。根据高校教学、科研以及社会服务的实际需要,通过结构重塑、流程梳理以及沟通反馈,对学校现有的内部控制信息系统进行集中管理,整合原有的松散的内部控制架构,变分散式管理为集约式管理。通过配置管理流程和管理数据库,打通信息传递渠道,提高信息处理能力,确保信息的对称性,提供内部控制所需要的高质量信息。深度融合信息系统与内部控制,包括全面预算控制、收支管理控制、资产管理控制、项目建设控制以及采购控制等,发挥系统的保障作用,构建完善的内部控制体系。
2. 构建IT内部控制基本框架,保障信息化内部控制的安全性。IT内部控制的内容参考企业相关标准,如组织架构控制、信息系统建设运行维护控制、系统软硬件管理控制以及财务信息化控制等。基于IT治理理念,构建具有科学性、合理性、前瞻性、全局性的IT内部控制体系,提供集成的IT管理模式,制定管理指南,防范由信息技术应用所带来的一系列风险,有效控制IT风险,注重具体信息化环节控制,确保信息化内部控制的安全性。
IT内部控制基本框架主要包括三个方面:一是IT目标控制,要以依托高校教育发展的总体目标为导向,界定信息质量标准,整合IT资源,实现目标驱动;二是IT过程控制,通过分解IT流程,包括系统环境运行、服务支持以及系统检查等,实施IT过程控制,有效控制IT活动、管好IT资源、控制IT风险;三是IT控制的设计与评价,依据信息标准和IT目标考核,生成IT控制报告,以监督IT活动过程、评价IT控制风险,确保IT控制的持续性和有效性。
3. 充分整合IT资源信息,助力信息化内部控制体系建设。IT资源提供的数据信息具有经济性、有效性、完整性、合规性、可靠性等特性,利用IT资源可以协调内部控制环境、维护内部控制系统、整合内部控制资源、反馈内部控制效果。
(1)协调内部控制环境,重视高校发展规划的制定与执行体系的建设。做好高校发展规划的制定与执行,需要关注IT资源对内部控制有效性的贡献度,优化内部控制环境。高校管理层在制定高校发展规划的过程中,从战略的角度做好对内部控制关键点的控制,需要对重要部门和岗位实施重点监督和管控;搭建良好的高校教学与行政管理组织架构和技术设施,包括信息化中心与内部控制体系的无缝对接以及内部控制对IT信息的实时分析反馈机制;在确保坚持集体决策的同时,增加信息的透明度和公正性,同时加强对外部监督机制的利用,比如高校理事会、上级主管部门以及社会关注群体等。
(2)保障控制活动运行,维护信息平台基础支持体系。为了减少信息化建设成本,以及避免系统故障带来的内部控制系统性风险,必须加强对现有学校系统的维护,包括系统的安全性、可持续性以及相关人员技术培训等。所有的IT资源配置必须考虑高校内部控制流程的实施,实现内部控制流程标准化和一体化。
(3)强化监控评价效率,提升内部控制信息反馈效果。利用信息资源和大数据分析,及时反馈分析内部控制体系各个环节的风险程度,能够在节约高校资源的情况下,保障反馈效果,提高高校内部控制效率。
四、实施业务流程再造,提高信息化内部控制效能
业务流程再造作为一种管理方法,是指为了改善单位关键绩效指标,提高单位的经济效益和运行效率,强化运行监控,降低运行风险,从而对业务流程进行彻底改造。大数据和IT治理的应用为高校业务流程再造提供了技术支撑,业务流程再造也是发挥信息技术效用的有效途径,信息化内部控制的有效实施需要从业务流程再造入手,通过畅通信息传递,实现信息共享,构建有效的监控体系,提高信息化内部控制的质量和效率。
具体来说,依据高校教学、科研、社会服务的目标,结合事业单位内部控制规范,对内部控制的基本要素进行分析,从效率性、合理性、需求性、风险性和可行性等方面全面审视原有的业务流程。梳理信息在上下级、部门间传递的路径,检验分析流程监督的有效性,诊断研判关键流程的控制性,对无效的、不理的、存在内部控制风险点的业务流程,逐一进行梳理和评估。在此基础上,结合信息技术,注重流程的整体优化,实现原来以职能为中心的管理模式向以业务流程为中心的管理模式转变,构建新型业务流程导向式内部控制模式,以内部控制需求为导向,缩短流程运行时间,剔除无效运行环节,优化核心活动流程,使新的流程增值最大化,风险最小化。
实施业务流程再造应注意以下几个方面:一是完善业务流程的内部控制环境。通过信息化平台,纵向减少管理流程,横向打通并联重点业务流程,建立扁平化组织结构,建立流程考核机制。二是建立业务流程的风险评估体系。通过风险评估体系设定控制目标,系统、全面、持续、准确地收集相关信息;比对控制目标,精准识别内外部风险,确定风险承受度,实施风险应对策略。三是提高业务流程中控制活动的有效性。结合风险评估结果,采用多种控制模式和措施,将风险控制在可控范围内;控制模式采用信息化控制并结合各种控制制度,控制措施包括岗位的不相容性、授权审批制、预算控制等;建立风险预警和突发事件应急机制,制定预警标准和应急预案,明确人员责任,规范处置程序,确保及时妥善处理风险或突发事件。四是确保业务流程的信息沟通顺畅。信息技术为业务流程再造提供了充分的条件,通过明确相关信息的收集获取、分析处理和实时传递,确保信息沟通及时顺畅和内部控制有效运行。五是强化业务流程的内部监督。通过跟踪研判新流程的有效性,发现缺陷并及时改进;在日常监督的同时,根据高校内外部教育发展环境的变化,及时改进相应的业务流程,保持流程再造的持续性。
五、案例分析
经过近15年的探索和建设,A高校已经建立了较为完善的适合自身高等教育事业发展的信息化内部控制体系,实现了有效的风险防控。
1. 学校大数据应用平台的建设应用。A高校从2002年开始建设数字校园,搭建数据交换和共享平台,同时基于学校中长期发展战略,以服务于管理决策、支撑教学和科研为目标,采取分期建设的模式,积极探索构建完整的数据仓库架构应用平台。目前,学校数据仓库基础体系建设和数据应用体系建设已经基本完成,正在实施数据仓库外延应用体系建设,以进一步支撑数据价值挖掘功能的实现。大数据应用系统为学校内部控制提供了丰富的数据资源,其已经实现的主要功能有:历史数据得以激活,通过数据整合和分析应用提升了数据质量,基本满足了学校管理决策的需要。信息技术的安全利用已经成为学校内部控制的重要保障。学校在建设数据应用平台的同时,充分重视信息技术的安全应用,持续推进信息化系统升级,将所有分散的信息化系统进行集成,实现信息化管理一体化,将内部控制规范嵌入一体化系统之中,使信息化风险得到有效管控。基于信息技术的业务流程再造提升了学校内部控制质量。按照学校教育事业发展这条主线,梳理业务流程,对比内部控制规范以及其他相关规章制度,定位风险点,对重要业务流程持续进行优化再造,目前A高校已经形成比较成熟的业务流程框架。
2. 预算管理信息化内部控制系统建设。A高校于2010年开始开发建设新一代的预算管理信息化平台,平台基于先进的建设理念,通过大数据信息化技术的广泛应用,优化再造业务流程,构建了先进的预算管理信息化内部控制系统(如图所示),充分提高了内部控制的质量和效率。
(1)实施方法和流程设计。其主要是基于“互联网+”智能应用的管理理念,通过利用信息技术,将系统业务流程、财务流程、内部控制流程高度集成,进行扁平化设计,去除无效流程,增强流程的信息化程度,全程嵌入相关财经法规、内部控制规范以及审批办法,将预算管理与风险控制相融合。在预算编制方面,应用大数据自动生成事业收入预算,利用财政预算下达数据生成财政拨款预算,应用大数据和定额标准自动生成基本支出预算,依据中长期规划和年度工作计划中的大数据,从滚动项目库遴选生成年度专项预算,革新了原来“二上二下”的流程模式,所有预算编制一律在系统平台上进行。在预算项目匹配方面,将所有预算实施项目化管理,明确了项目的基础信息、资金来源、功能分类、经济分类以及项目决算分析考核指标等,对所有的预算项目实施全过程闭环式内部控制管理。在预算审核执行方面,取消了原来的网上预约报销流程,师生员工可以全天候在网上自助完成借款、报账以及汇款等业务,各级领导和职能部门按照相应权限实施网上审批,财务部门进行原始单据复核,通过后由财政一体化或银行直接付款;通过信息化系统平台实现了预算审核执行的全网络化,同时基于内部控制规范和审批权限的信息化系统平台嵌入功能,由信息化系统平台自动控制与规避相关内部控制风险。在决算分析方面,能够与决算软件对接,自动生成决算报表,同时可以根据不同用户的需求,自助生成各类个性化分析报表,能够按照内部控制分析指标自动生成风险分析和评价报告。
(2)内部控制功能和实现效果。首先,在预算编制内部控制风险防控方面,通过大数据的应用,实现了学校中期滚动预算新模式,提高了预算编制的效率和质量,增强了预算的科学性和合理性;由于信息一体化的应用,解决了预算编制与执行、预算与资产管理、政府采购与基建管理等相互脱节的问题,使部门间的沟通畅通无阻,提高了全校师生员工的预算意识。其次,在预算审批与执行内部控制风险防控方面,增强了财权与事权的匹配性,预算的刚性和约束性得以保障,预算的执行进度得以把控。最后,在决算与内部控制风险防控方面,由于口径一致,解决了决算与预算脱节的问题,通过将评价监督与预算指标相结合,完善了预算管理的评价监督机制。
(3)预算管理信息化内部控制系统的独创之处和推广应用。一是实现了预算管理和风险控制一体化闭环式管理模式。系统作为大数据应用平台的源系统,也是大数据应用平台的用户,同时又与省财政厅一体化系统以及银行支付系统连接;系统以强化全程安全运行、自我监督评价、风险缺陷整改、控制体系完善的内部控制闭环管理为方向,通过强化内部控制意识,规范内部控制行为,辅以完善的信息系统和相关管理人才梯队,全面控制风险点,实现了预算项目的全闭环式内部控制管理。二是实现了全过程适时预算执行控制模式。系统充分利用先进的信息技术,通过将预算指标项目化,实施项目、任务、经费、资源等多级串联式管理,以精细化管理提升了内部控制风险防范的效率。三是实现了自助式决算分析模式。系统可以生成基于用户个性化需求的各类分析报告,具有自动提醒内部控制风险和报警功能,在实现由信息化系统自动管理和控制的同时,让全校师生员工也参与预算管理和风险控制。目前,该系统已经在省内多所高校推广使用,普遍反映系统操作简便,管理效率有所提升,内部控制效果明显。

主要参考文献:
石艳萍,李萍,刘波.高校会计信息系统内部控制研究[J].会计之友,2013(11).
胡晓明,赵弘,孔玉生.基于IT治理的企业IT控制及其结构关系研究[J].审计研究,2014(2).
杨梅,严冬梅,曹光远.大数据时代高校内部控制的发展趋势[J].中国冶金教育,2015(4).
李康平.大数据时代下信息化审计研究[D].北京:北京交通大学,2016.
杭天竹.大数据环境下的企业信息系统内部控制风险探析[J].中国管理信息化,2016(17).