梁丽洪
(新昌县人民医院(温州医科大学附属新昌医院)浙江 新昌 312500)
行政单位的内部控制主要是对职权滥用、徇私舞弊、资源浪费以及管理不当等行为进行控制,确保公共受托责任的有效履行(唐大鹏等,2015)。信息技术的不断发展为行政单位的内部控制信息化创造了良好条件,通过信息化平台能够将规则制度、业务流程以及岗位职责等固化,提升内部控制的集约化和科学化水平,有效保证行政单位各项活动的合规化、程序化和可控化。目前行政单位的内部控制信息化尚处于起步阶段,部分行政单位虽然逐步构建了审批系统、财务管理系统、资产管理系统等,但各系统之间相互独立、缺失连接和数据交互,例如财务管理系统和采购系统之间尚未实现数据交互,导致预算执行不到位、采购控制管理不严格。此外,内部控制系统存在缺项,导致行政单位内部控制存在缺失,缺少必要的内部控制流程,信息流、业务流无法有效整合,业务审批、经济活动监管存在滞后和效率低下的问题。
《行政事业单位内部控制规范(试行)》(以下简称《内部控制规范》)提出的内部控制包含单位层面和业务层面:在单位层面单独设置内部控制职能部门,建立健全内部控制关键岗位责任制,充分运用现代科学技术手段加强内部控制;在业务层面主要对预算业务、收支业务、采购业务、资产管理、建设项目以及合同管理开展控制。行政单位的内部控制信息化平台构建应基于上述两个层面的内部控制内容开展,借助信息技术实现行政单位全业务、全流程内部控制。
行政单位内部控制信息化平台的需求主要包含功能性需求、业务流程管理需求两个方面:功能性需求主要是内部控制信息化平台的管理服务功能、业务交互功能;业务流程管理需求主要是业务程序编制、业务流程监管、业务流程评估。
(一)功能性需求。行政单位内部控制信息化平台在功能方面需要满足内部控制职能部门监管活动的开展,首先需要实现管理服务功能,为内部控制职能部门提供平台全面监管权力。内部控制信息化平台的管理服务需要实现用户管理、后台管理、权限管理以及业务事项监督等功能。其中业务事项监督功能需要实现综合查询,内部控制人员能够通过平台查询各职能部门的业务状况、个人业务状况、专项业务状况,具体针对业务的申请、审批、进度以及后果进行监督(王国平和徐冰,2021)。业务交互功能是将信息化平台与财务管理系统、采购业务信息系统、资产管理系统等进行连接,实现业务数据的共享,例如与财务管理系统连接,获取预算科目的信息数据,对其编制和管理开展监督,与审批系统连接,获取业务的申请表、审批单、进度流程等信息,对各项业务的申请、审批进度开展监督。
(二)业务流程管理需求。内部控制信息化平台的核心是对行政单位各项业务的合规性开展管理,需要对各项业务开展程序编制、流程监管以及流程分析。业务程序编制是根据各项业务的重要环节编制监管程序,在信息化平台中通过业务监管程序收集数据库中的相关信息数据并开展合规性分析。业务流程监管需要对各项业务在系统中运行的流程数据、操作日志以及异常活动开展监管,控制业务人员的合规性操作。业务流程分析需要根据业务程序和业务流程管理获取的信息数据分析各项业务的合规性。由此,通过信息化平台可以对行政单位各项业务开展有效的信息数据收集、分析以及控制。
行政单位与企业单位的内部控制存在较大差异,更加侧重于对各项业务开展监管,由此,内部控制信息化平台的构建需要以各项业务流程为基础,借助信息技术实现各项业务流程的信息化,同时将内部控制流程、控制方式融入到信息化平台,监督和控制各项业务流程。
(一)行政单位内部控制信息化平台构建思路。行政单位的内部控制信息化平台是以各业务信息系统作为支撑,通过综合平台实现内部控制信息化,对行政单位的经济活动和业务活动进行规范和约束。《内部控制规范》在业务层面规定了预算业务、收支业务、采购业务等具体业务,由此,行政单位业务信息系统构建应从《内部控制规范》的相关内容开展,由多项业务信息系统构成信息化平台的业务层。在信息化平台的应用层,为内部控制人员、财务人员、职能部门负责人提供负责业务信息系统的接入端口,保证业务信息系统的操作流程在信息化平台的监控下开展。应用层的接入端口需要在电脑端和手机端共同实现,保证各项业务能够摆脱时间和空间的限制,在任何时间和地点均能顺利开展,尤其是负责人在出差期间可以通过手机进行业务审批,保证业务的运行效率。数据层的构建主要通过信息技术收集各业务信息系统产生的业务数据和操作日志,为内部控制分析提供数据支撑。分析层则是运用自动化分析技术,按照《内部控制规范》的指引对行政单位内部控制的有效性开展分析。
(二)行政单位内部控制信息化平台整体设计。通过上文对构建思路的分析,内部控制信息化平台应包含应用层、业务层、数据层以及分析层四个层面,行政单位内部控制信息化平台整体构架如图1所示。
图1 行政单位内部控制信息化平台整体构架
在应用层以内部控制端口为核心,内部控制人员通过身份认证可以进入到各项业务信息系统查询业务流程状况,各业务端口分别由对应职能部门人员凭借身份认证进入开展流程操作。通过应用层的各项端口为内部控制的执行和监管提供信息化途径,而且各端口的进入可以通过电脑端和手机端实现。信息化平台在业务层与多个业务信息系统进行连接,实现全过程监管,而且各业务信息系统的流程根据《内部控制规范》的相关规定编制,保证各项业务的操作流程符合内部控制规范。财务管理信息系统、采购业务信息系统、资产管理信息系统等业务系统实现业务的信息化流转,保证各项业务的流程运行和操作过程控制在系统内,信息化平台可以实时监控各业务的状况。数据层通过数据库收集各项业务信息系统产生的业务数据和操作日志并实现共享,避免各业务之间出现信息闭塞,操作日志主要提供给内部控制部门,对业务运行的合规性开展监管。分析层通过各种自动化分析程序为内部控制人员提供各项业务的表单,主要从业务进度、业务合规性两个方面报告业务运行状况。
信息化平台的运行根据整体构架设计和实现,以满足内部控制人员和职能部门人员的操作需求。信息化平台的软件开发采用基于Java的Eclipse可扩展开发平台,在其框架和标准插件组的开发环境下,服务器采用响应HTML页面访问请求的Tomcat,数据库采用关系型和结构化的SQL Server,操作系统采用Windows 7。
(一)信息化平台应用层运行。在信息化平台的应用层首先需要为内部控制人员和职能部门人员提供业务信息系统端口的登录界面,在用户登录时采用SSO单点登录技术,用户通过安全验证后,再访问其他应用中的受保护资源时,不再需要重新登录验证。由于信息化平台仅限于行政单位内部人员使用,需要授予用户登录信息和权限。各职能部门人员登录业务信息系统端口,进行具体业务的操作。内部控制人员登录内部控制端口,可以查询各项业务信息系统的运行状况。通过内部控制端口能够及时获取各业务信息系统中关键环节操作存在的异常状况,该信息数据的通知运用消息推送技术实现,UniPush消息推送技术可以将关键环节操作异常的消息及时推送至信息化平台客户端,内部控制人员和职能部门负责人员可以及时获知业务流程中可能存在的操作问题。当电脑客户端或手机APP在线时推送消息会在系统内提示,当离线时会以短信的形式推送至负责人员的手机上,有利于对相关业务事项的及时处理。此外,在内部控制端口定期生成各业务的内部控制表单,为内部控制人员提供业务运行信息。
(二)信息化平台业务层运行。业务层各项业务信息系统的运行是整个信息化平台的关键,各业务信息系统的构建一方面是根据《内部控制规范》的相关规定将各项业务流程进行规范化,通过电子化系统将相关人员的操作行为标准化、规范化,实现业务源头的内部控制,另一方面及时上传各业务的信息数据和操作日志,有助于内部控制监督工作的高效开展。
1.财务管理信息系统。在财务管理方面的内部控制包含预算业务和收支业务。预算业务的内部控制需要将预算编制、审批、执行、评价等不相容岗位相互分离。在财务管理信息系统的预算流程中需要明确各岗位的负责人,按照业务流程由岗位负责人逐步操作。预算业务流程的内部控制通过制定控制标准与规则对费用申请、财务审批、财务报销等具体事项操作的合规性进行监督,及时发现预算业务流程中存在的操作问题。收支业务的内部控制需要明确内部审批、审核、支付、核算和归档等支出各关键岗位的职责权限,在财务管理信息系统的收支流程中加强对内部审批权限、程序和责任的控制,保证支付业务的审批在规定的权限范围内,同时,加强支出审核,对审核单据和支出凭证的真实性、审批手续的完整性开展审核。在财务管理信息系统中采用电子报账流程并与银行账务系统连通,对员工的费用审批、决算审批以及财务报账等业务进行监控。
2.采购业务信息系统。在政府采购业务中的内部控制主要包含采购业务内部审批、招标文件审批、招标业务开展、合同签订、验收与保管。采购业务信息系统通过规范采购业务流程形成电子化实施监控。采购业务信息系统的流程主要是“采购业务预算→采购业务审批→采购业务招标→合同签订→采购支付→验收与管理”,系统模块主要包含:采购业务审批(根据财务预算和业务需求对采购业务计划进行审批)、招标业务(对招标文件、投标文件、评标文件进行审批)、采购合同(审查采购合同与招投标文件的一致性)、采购支付、验收与管理(根据合同内容验收采购物品并登记在案)。通过采购业务信息系统可以将整个采购业务流程透明化,内部控制人员可以通过系统了解采购业务的审批、招标、供应商、资产等状况。
3.资产管理信息系统。在资产管理业务中的内部控制主要包含货币资金管理、银行账户管理、实物资产和无形资产管理、对外投资管理,资产管理信息系统主要针对上述四个方面的资产制定管理模块。货币资金管理模块主要包含收入、支出和债务的登记,会计档案稽核和保管,登记管理、出纳等工作应分别设置岗位,严格执行审批流程和岗位分责制,避免一人多责出现违规甚至舞弊情况。在银行账户管理模块,定期查询银行存款余额,核对账单真实性,账账相符、账实相符,及时发现账务问题。在实物资产和无形资产管理模块,首先建立资产台账明确各项资产的管理责任和使用责任,定期清查盘点资产,其次制定资产调剂、租借的审批流程,最后建立资产信息报告机制,对各项资产状况进行统计、分析和报告。在对外投资管理模块,对外投资需要进行可行性评估、决策、执行与监督,可行性评估和决策需要领导班子集体研究表决,对外投资项目的执行与监督需要及时准确记录投资收益和价值变动状况。
4.建设项目信息系统。在建设项目业务中的内部控制主要包含建设项目的决策、审核、招标、资金支付、档案管理。在建设项目信息系统中,建设项目决策模块主要是对决策机制进行监管,将决策过程中产生的各方面意见形成书面文件。建设项目审核模块主要对项目建议书、可行性研究报告、概预算、竣工决算报告等进行审核,在审核过程中需要委托专业中介机构参与并出具评审意见。建设项目招标模块主要审核建设项目的招标工作,对招标文件的保密性、招标过程的公平性进行审核。建设项目资金支付模块按照建设项目的施工进度进行资金支付,一方面审核资金的专款专用,另一方面在审核建设项目的施工进度和施工质量后才能批复资金支付。建设项目档案管理模块是将建设项目整个过程的决策报告、可行性报告、招标文件、竣工文件等相关资料整理归档,便于后续建设项目的审查。
5.合同管理信息系统。在合同管理业务中的内部控制主要包含合同的授权签署、签订条件、履行监控和档案管理。在合同管理信息系统中,授权签署模块主要是明确合同签订的权限,行政单位负责人应在规定的权限内签署合同,而且需要对合同专用章进行妥善管理,避免违规合同签订。签订条件模块是在重大合同签订时,应委托法律、会计等专业人员参与合同的商议和谈判,并记录和保管重要事项的商议和谈判结果。履行监控模块主要是对签订合同的后续履行情况进行监管,对于无法按时履约的情况及时制定应对措施,对于合同的补充、变更或解除应按照相关规定开展,在合同履行过程中的价款结算、账务处理应由财务部门负责人和相关职能部门负责人共同审批。档案管理模块是将合同签订、履行状况等进行汇总整理和记录。
6.审批管理信息系统。审批管理信息系统是对行政单位的申请和审批进行信息化管理,包括对于公务接待、劳务支出、出差等事项的申请和审批。审批管理信息系统的流程如下:第一,申请人员填写申请表并通过系统上传资料文件。第二,系统自动审核,若申请事项满足系统制定的审核标准则直接上传至负责人审批,否则交由相关人员对资料文件进行审核。第三,由相关人员审核相关资料文件无误后,交于负责人员审批,否则发回申请人员重新填写申请表。审批管理信息系统的核心是文件资料检测识别和自动审核,主要利用的是图片预处理技术、文字检测与识别技术。申请人员上传的申请表和资料文件通过图片预处理技术分别提取文字和印章,文字检测首先运用CNN技术输出热力图并通过人工设置的阈值二值化热力图,然后运用DBNet技术将二值化操作融入到模型的训练过程中,文字识别首先用CNN技术提取图像特征序列;然后用RNN技术分别预测特征序列的类别并整合,输出文字识别结果。智能审核是将提取的文字和印章与标准模板进行对比,运用Agent技术能够实现基于标准模板的分布计算,判断申请事项是否满足审批条件。
(三)信息化平台数据层运行。数据层主要是通过信息化技术及时收集各业务信息系统的相关数据并进行标准化、规范化处理,为内部控制决策提供有效支撑,各业务信息系统的数据收集采用的是RPA技术。RPA机器人流程自动化技术,是一种能够模拟人类来执行重复性任务的新型技术,通过图形方式显示的计算机操作界面对RPA软件进行动态设定即可。RPA技术的数据收集方式是通过录制或编制执行脚本模拟内部控制人员的操作,实现24小时重复执行既定操作,收集各业务信息系统的相关信息数据。运用RPA技术模拟内部控制人员在信息化平台中的端口登录、搜索、复制、粘贴等操作,将收集到的信息数据存储到数据库。
在数据库中以form表单的形式存储各业务的内部控制相关数据,form表单主要根据业务流程和具体任务设计,一个表单对应业务流程中的一个或多个任务。首先创建form格式文件,然后根据任务给form表单各节点属性赋值,运用Activiti业务流程引擎提供的表单设计功能可以快速生成form表单,并进行相关数据的存储。运用Activiti业务流程引擎可以按照业务流程和逻辑关系从数据库中提取相关信息数据生成业务表单,而且可以根据内部控制人员的需求设计特定的内部控制表单。内部控制人员通过查询数据库中的表单可以直观审核各业务是否存在违规行为。以申请表单、报销表单为例进行说明,具体如表1所示。
表1 申请表单和报销表单
(四)信息化平台分析层运行。分析层主要实现两个功能,一是实时收集各业务流程信息,挖掘业务信息系统中的不合规操作,二是通过收集的各业务流程信息数据对整个业务的合规性进行评估。分析层的两项功能运用BI商业智能实现,BI商业智能综合运用数据挖掘技术、联机分析处理技术对业务数据进行分析。BI商务智能的数据建模通过相同的字段在多个分析所需的表单之间建立表间关系,分析各个表之间的逻辑关系和业务关系,可以从不同的角度分析业务状况。
业务信息系统不合规操作的实时控制运用数据挖掘技术、联机分析处理技术实现。数据层运用RPA技术实时收集各业务信息系统的操作数据并上传至数据库,当数据库的信息数据更新时,分析层的数据挖掘技术从数据库中挖掘更新信息数据以及相关判断标准,由联机分析处理技术对更新信息数据的合规性开展判断,若不合规需要立即将该事项消息推送给内部控制人员。整个业务的合规性评估是根据数据库中各表单的勾稽关系制定各种规则程序对数据库中的信息数据开展分析,运用联机分析处理技术对各项表单进行层次划分,对表单中的信息数据开展切片、切块、旋转以及钻取等操作,挖掘业务流程中存在的不合规事项,并生成内部控制报告。
行政单位内部控制信息化平台的构建和运行首先需要增强员工对内部控制的重视程度,其次各业务信息系统是内部控制信息化平台的重要支撑,部分行政单位在构建信息化平台之前已经构建了业务信息平台,为了保证信息化平台的顺利运行需要提升内部控制信息化整体水平,此外,还需要注重信息化平台的网络安全和运维安全。
第一,增强员工对内部控制的重视程度。内部控制信息化是一个复杂的体系,涉及到各职能部门和业务流程,任一业务流程的中断或重大失误、任一职能部门的不配合均会影响信息化平台的运行。行政单位应由内部控制职能部门通过会议和内部自媒体宣传内部控制信息化的重要性,增强单位人员对内部控制的认知和重视程度。完善内部控制制度,根据《内部控制规范》和自身业务特性全面梳理各业务内部控制流程,发现业务流程中的风险点并针对其制定识别方法和应对措施,将风险防范“刻入”业务流程,要求员工遵从内部控制规定。
第二,提升内部控制信息化的整体水平。行政单位内部控制信息化平台的顺利运行需要各业务信息系统的支持,在财务管理信息系统、采购业务信息系统、资产管理信息系统等建设完成后才能奠定良好的运行基础,行政单位需要提升内部控制信息化的整体水平。应根据《内部控制规范》对各业务信息系统的业务流程进行调整,或重新构建业务信息系统,在调整和构建时注意与信息化平台的兼容性,而且需要预留连接端口,便于信息化平台后续可能采用的嵌入式数据收集方式。
第三,保障信息化平台安全性。内部控制信息化平台获取的信息数据均来自各业务信息系统,如果行政单位的业务信息系统存在安全性问题,则信息数据的真实性、完整性以及可靠性可能会出现问题,因此需要定期对业务信息系统开展安全审计。信息化平台的网络安全审计主要是对网络安全、操作系统安全、数据库安全、设备安全开展审计并设置高等级的防火墙,保证信息系统始终处于安全状态,避免企业信息数据被窃取和篡改。信息化平台的操作安全审计主要是对业务信息系统操作人员和运维人员工作的合规性以及各业务信息系统的业务功能实现开展持续性审计,避免因人为操作失误或系统软件故障导致信息数据出现错误、缺失等情况。