程幼石
近年来,财政部发布一系列与行政事业单位内部控制相关的文件和通知,包括2014年的《行政事业单位内部控制规范(试行)》、2015年的《财政部关于全面推进行政事业单位内部控制建设的指导意见》、2016年的《关于开展行政事业单位内部控制基础性评价工作的通知》、2017年的《行政事业单位内部控制报告管理制度(试行)》等。
实施内部控制并非全新工作要求,也非全新研究领域,近年来发布的一系列针对行政事业单位的相关规范与指导性文件,究其原因,一方面是对比于企业界的相关
实践,行政事业单位内控基础尚有不足之处和薄弱环节,存在相当程度的风险,或者说无论单位层面的内控环境,还是各业务层面的内控规范方面,均尚不足以支撑健全的内控管理系统;另一方面,如相关规范中明确规定,“各单位应充分运用技术手段加强内部控制,利用信息化提高内部控制的科学性、及时性和有效性。”也就是说,当前现状是,大多各单位的内控管理和内控信息化建设尚存在相互割裂,尚未完全做到将经济活动的主要流程和关键环节与内控信息系统进行嵌入式集成,也因此无法达到减少和消除人为因素,以及有效控制风险的目的。因此,亟待开展如何进行行政事业单位内控信息化与业务流程紧密结合的研究。
内部控制信息化,是将内控理念、控制流程、控制方法等要素通过信息化的手段固化到信息系统中,从而实现内部控制的系统化和常态化。国内外针对行政事业单位的相关研究主要从梳理实现控制的业务流程,以及如何利用这些流程新建信息系统或将相关功能嵌入已有信息系统等方面展开。
程平等(2017)探讨面向过程持续跟踪评价机制和深化大数据技术应用的采购管理,以及建立合同调查对象数据库和强化合同管理全过程数据分析的合同管理,分别分析了基于财务云平台的优化内部控制机制。周卫华(2016)认为内部控制信息系统的控制对象是单位发生的所有经济活动或业务流程。在分析与已有信息系统关系的基础上,提出构建“通过服务总线(ESB)与内部控制服务进行交互”的模式。丁斯伟(2016)提出,以信息化为依托,实现内控与各部门信息系统的有效对接及数据采集,建立纵向跨单位层级、横向跨管理部门的财务稽核监督体系是内控管理的重要手段。刘琳(2015)以国库支付中心的财务内控管理平台为例,分析嵌入内控机制的信息系统,包括对接国库支付系统、全流程管理控制,以及包含硬件控制的信息安全等。赵红卫(2015)分析了高校与其他行政事业单位相同的预算、收支、基建等业务控制活动,以及独有的学术、教学等,包括学术权力与行政权力等,提出基于此的高校内控信息化建设。刘延平等(2015)认为,精细化管理是科学管理的高级形式,内控信息化建设是精细化管理模式下的一个突出特征。
因管理体制的差异,国外专门针对类似行政事业单位内部控制信息化的研究并不多见,通过对Web of Science检索发现,相关研究的较多文献提及2002年颁布的《萨班斯法案(Sarbanes Oxley Act,SOX)》,尽管SOX是美国公众公司会计监督委员会(PCAOB)制订,主要面向所谓的公众公司(Public Company),但也有文献涉及一些公共部门(Public Sector)的研究,相关研究均借鉴了此法案内容,如 Mark L.Defond 和 Clive S.Lennox(2017)通过对PCAOB审查报告的时间序列和截面数据(both cross-sectional and time-series)的分析,得出报告对机构内部控制质量有促进作用的结论。此外,Young J.Park等(2017)通过对美国三个州人口普查和市政债券发行数据的分析,研究了地方政府市政债券市场的内部控制风险点与借贷成本上升的相关性。Khim Kelly和Hun-Tong Tan(2017)的研究通过对内部控制薄弱点有风险点管理与没有风险点管理的不同政府部门及非商业机构的对比,分析了各自在信息处理调节机制方面的不同,以及信息化在内部控制管理中所起的关键作用。
当前内控信息化建设研究大多从业务流程着手,通过开发应用系统,将业务流程按内控标准和规则进行固化,以期达到减少人为操作,通过技术手段降低和消除风险的目的。利用信息技术,机器替代人工操作,充分有效地获得和使用各种资源,以提高机构运行效率固然重要,但内控信息化建设的根本目的不仅限于此,其本质还在于通过信息化手段,更高效和有效实现风险控制。因此,本文提出,除业务流程管理,以对经济活动产生的业务数据进行管理为切入点,对经济活动中产生的业务数据进行集成、转化和提升,研究基于业务数据管理的内控信息化建设,从业务数据管理角度切入,实现将经济活动的主要流程和关键环节与内控信息系统进行嵌入式集成。
基于业务数据管理的行政事业单位内控信息化建设并不是偏废业务流程管理,而是从业务数据管理视角,特别是在信息化建设过程中充分利用数据管理的先进技术开展内控信息化建设。此外,技术再先进还只是手段,是工具,利用技术的目的不仅是具体业务的动态控制,根本上还需要实现规范所要求遵循的原则,主要包括以下几个方面:
首先,借助数据质量管理中“信息完整性”要求,在全面性原则的基础上,结合数据质量管理的主数据(master data)概念,通过建立内控管理所需的与机构核心实体业务节点与信息化建设的信息系统中业务数据同步并保持一致的视图描述,满足关注单位重要经济活动和经济活动重大风险要求的重要性原则。
其次,利用数据可溯源技术,一方面在空间维度上刻画内控信息系统不同节点间数据对象间的连续性,另一方面在时间维度保证同一数据对象历史版本之间的连续性。从而通过数据间的关联支持证据链管理,满足在单位内部的部门管理、职责分工、业务流程等方面形成相互制约和相互监督的制衡性原则。
第三,利用数据空间的理论和技术,即数据管理中“现收现付(Pay-as-you-go)”的先有数据,后有数据管理模式,以及数据管理模式可不断演化拓展的特点,构建内控信息系统数据模型。从而既符合国家有关规定和单位的实际需求,又可随着外部环境的变化、单位经济活动调整和管理要求的提高,不断修订和完善,满足适应性原则和可持续发展的要求。
基于业务数据的管理,需要形成数据是关键要素的思维模式,将焦点置于行政事业单位内部控制相关业务数据。
在此基础上,首先,各级管理部门颁发的行政事业单位内部控制的相关规范和工作指引是内控信息化建设的方向,需要梳理文件中对内部控制工作,特别是内控信息化建设相关的条文。如《行政事业单位内部控制规范》提到,内部控制应遵循的原则,首要位置的就是“全面性原则”,因此,内控信息化建设的目的是实现对经济活动的全面控制。
此外,参考面向企业实施内控信息化建设的国内外相关规定或指南,结合行政事业单位内部控制工作的特点和实践需求,梳理行政事业单位基本业务流程,结合对内控情况自查表和自评报告的解读和实证分析,继而明确行政事业单位内控信息化建设的基本范畴和框架,以之作为信息化建设的逻辑起点及依据。
信息系统建设过程中还需提炼内控管理各节点的数据对象,厘清各节点间的数据流;结合并充分运用信息技术发展中数据空间技术、数据可溯源技术,以及数据质量管理的理念与实践,分析数据对象和数据流在符合内控建设规范前提下的相互作用、相互制约的关联关系和方式,进行抽象和分类,构建基于业务数据管理的内控信息化建设模型。
行政事业单位内控管理所涉及到的主要因素是对控制环境的解析,在此背景下相关节点如下:预决算管理、资产管理、债务管理、收入管理、支出管理、合同管理、采购管理、工程项目管理、科研项目管理等。以上只是对节点进行相关罗列,在实践过程中,或不仅限于这些,特别是不同的单位,如高等院校与政府机关等也各有不同。
根据以上分析,本文提出基于业务数据管理的行政事业单位内控信息化建设框架。
图1 基于业务数据管理的行政事业单位内控信息化建设框架
本文认为,基于业务数据管理的建设,如何全面性地提炼系统各节点可能产生的数据对象,以及通过各节点的关联性,厘清数据流,是难点之一;此外,现有行政事业单位内控管理大多或有初步的基于业务工作操作的信息化建设平台,这些信息系统如何改造升级,或平滑过渡到基于业务数据管理的信息系统,即当前大多建立于“信息系统-关系型数据库”的模式,向基于数据空间技术上的网状结构,以适应内控内外部环境变化的可扩展需求,实现构建符合重要性、制衡性、适应性原则的数据库模式,是难点之二。
内控信息化是通过信息管理平台建设落实到业务操作的信息化,在管理信息系统设计时,须考虑业务数据流和业务活动各环节实现“流与链”的结合,以及通过业务数据统计,特别是数据空间等技术的引入,依托数据流同步生成内控评价报告,真正实现“充分运用技术手段加强内部控制,利用信息化提高内部控制的科学性、及时性和有效性”,从而增强风险应对能力。
本文只提出一个基于业务数据管理的内控信息化建设框架,一方面有待相关技术的进一步完善和成熟,另一方面在实施过程中,除了必须考察所在单位的特定情况,还需要在具体建设过程前,采取模型仿真进行回归验证,选取样本空间展开实验研究,以及通过跟踪和实时数据采集,对模型作优化调整和科学论证,切实保证内控信息化建设的有效推进。