淺談高校信息化下的內(nèi)部控制盲點(diǎn)

廖熒坤

摘 要 信息化管理在高校已經(jīng)普遍開展，內(nèi)部控制是信息化管理的重要環(huán)節(jié)。在高校信息化的實(shí)際工作中，仍然存在只重視技術(shù)投入，忽視流程管理的現(xiàn)象。本文試著從一個(gè)高校內(nèi)部控制出現(xiàn)失效的案例出發(fā)，尋找信息化背景下高校內(nèi)部控制的盲點(diǎn)，并探討加強(qiáng)內(nèi)部控制的策略。

關(guān)鍵詞 高校信息化 內(nèi)部控制 流程優(yōu)化

一、高校信息化背景下的內(nèi)部控制的重要作用

目前，不管是企業(yè)還是行政事業(yè)單位，辦公日趨自動(dòng)化，高校也是這樣，基本實(shí)現(xiàn)了信息化管理。其實(shí)高校管理信息化雖然是將信息技術(shù)引入傳統(tǒng)管理模式，但是對(duì)其內(nèi)涵的理解不能僅僅局限于此，如果單純強(qiáng)調(diào)技術(shù)的概念會(huì)將管理信息化的實(shí)踐引入誤區(qū)。高校管理信息化應(yīng)該是“三分靠技術(shù)，七分靠管理”，管理信息化不僅是計(jì)算機(jī)等信息技術(shù)的采用，更是工作流程再造，人力資源潛能充分得以調(diào)動(dòng)的一個(gè)過程。信息管理的反饋控制理論認(rèn)為，管理周期延續(xù)時(shí)間的長(zhǎng)短反映了管理工作效率的高低。因此，要縮短管理周期、提高管理效率，離不開內(nèi)部控制。內(nèi)部控制是管理活動(dòng)的一個(gè)組成部分，是實(shí)現(xiàn)管理目標(biāo)的重要手段。管理活動(dòng)做得好，內(nèi)部控制有效，就能夠?qū)崿F(xiàn)它的管理目標(biāo)，從而保證高校各項(xiàng)活動(dòng)的順利開展，保證高校預(yù)算資金的安全與高效使用?？梢?，內(nèi)部控制是管理的重要手段，也是管理信息系統(tǒng)中的重要環(huán)節(jié)，管理者應(yīng)給予高度重視。

二、高校信息化內(nèi)控失效的案例

下面介紹在信息化背景下某高校內(nèi)部控制失效、給學(xué)校造成經(jīng)濟(jì)損失的真實(shí)案例：

2014年11月，某高校利用從收費(fèi)管理系統(tǒng)中生成的多收學(xué)費(fèi)信息通過銀行進(jìn)行了多收學(xué)費(fèi)的清退工作，共計(jì)退還學(xué)生學(xué)費(fèi)365859.15元，但就在退費(fèi)的當(dāng)天有學(xué)生向老師詢問今天存入自己銀行卡中的是什么款項(xiàng)（該校學(xué)生的各項(xiàng)補(bǔ)助亦是直接存入學(xué)生的銀行卡）？系里的教師隨即向財(cái)務(wù)處詢問，財(cái)務(wù)處回復(fù)說是退還多收的學(xué)費(fèi)，學(xué)生反映說自己沒有多交學(xué)費(fèi)。財(cái)務(wù)人員在進(jìn)行核對(duì)后發(fā)現(xiàn)該學(xué)生確實(shí)沒有多交費(fèi)，收費(fèi)管理系統(tǒng)產(chǎn)生退費(fèi)清單的過程也沒有錯(cuò)誤，最后發(fā)現(xiàn)是系統(tǒng)里的部分學(xué)生的所屬專業(yè)發(fā)生了更改，進(jìn)而收費(fèi)標(biāo)準(zhǔn)也發(fā)生了變動(dòng)，收費(fèi)標(biāo)準(zhǔn)降低從而出現(xiàn)在了退費(fèi)清單之中。在隨后進(jìn)行的內(nèi)部審計(jì)中，發(fā)現(xiàn)上述30多萬的退費(fèi)當(dāng)中有221331.55元是誤退的，涉及學(xué)生114人、11個(gè)班級(jí)，因發(fā)現(xiàn)及時(shí)，又及時(shí)向銀行發(fā)出代扣指令，從而在12月底已追回大部分誤退款項(xiàng)，只余下4271.57元尚未追回。

在這個(gè)案例中，退費(fèi)清單是由操作人員從系統(tǒng)中經(jīng)過條件篩選自動(dòng)產(chǎn)生的，一般情況下得出的結(jié)果是不會(huì)有問題的。案例中的篩選條件是“已收-應(yīng)收>0”，操作人員得知誤退時(shí)對(duì)那名學(xué)生的收費(fèi)記錄進(jìn)行核實(shí)時(shí)發(fā)現(xiàn)符合假設(shè)的篩選條件，卻意外地發(fā)現(xiàn)該名學(xué)生的班級(jí)（專業(yè)）發(fā)生了變化（學(xué)號(hào)信息與專業(yè)信息不一致，而該生并沒有轉(zhuǎn)專業(yè)），相應(yīng)地應(yīng)收學(xué)費(fèi)標(biāo)準(zhǔn)發(fā)生了變化，從原來的6500元/學(xué)年變成了3500元/學(xué)年，從而產(chǎn)生了3000元的應(yīng)退費(fèi)。該生為2014級(jí)新生，從繳費(fèi)記錄可以看出，該生的第一次繳費(fèi)是按6500元/學(xué)年進(jìn)行收取的，而這與他專業(yè)的學(xué)費(fèi)標(biāo)準(zhǔn)是一致的，可以推斷出系統(tǒng)開始的設(shè)置是正確的，這名學(xué)生專業(yè)和收費(fèi)標(biāo)準(zhǔn)的變動(dòng)是后來發(fā)生的。操作人員和軟件開發(fā)人員（因某種原因?qū)W年開始時(shí)的信息由開發(fā)人員進(jìn)行設(shè)置）均表示自己沒有進(jìn)行過相關(guān)的操作，審計(jì)人員試圖從系統(tǒng)的操作日志中得到答案，沒有找到相應(yīng)的操作日志。至此，責(zé)任已不便追究。

三、高校信息化背景下內(nèi)部控制的盲點(diǎn)分析

（一）實(shí)現(xiàn)信息化所采用的管理軟件本身不夠完善

通過梳理，審計(jì)人員發(fā)現(xiàn)上述案例中該校選用的收費(fèi)管理系統(tǒng)是另一所高校自主研發(fā)的，在該校已使用多年，這些年因數(shù)據(jù)量及業(yè)務(wù)內(nèi)容的不斷發(fā)展進(jìn)行了數(shù)次升級(jí)，但還是存在以下一些缺陷，導(dǎo)致案例中工作差錯(cuò)產(chǎn)生之初不易被人察覺：

第一，缺乏完備的操作日志記錄功能。案例中高校選擇的收費(fèi)管理系統(tǒng)不是完全沒有操作日志記錄，審計(jì)人員發(fā)現(xiàn)，凡是在系統(tǒng)維護(hù)界面手工進(jìn)行的一些改動(dòng)都保留有操作日志，但對(duì)于一些從外部批量導(dǎo)入的操作卻是雁過無痕。案例中首先發(fā)現(xiàn)專業(yè)發(fā)生過變動(dòng)的學(xué)生信息后來通過系統(tǒng)維護(hù)手工進(jìn)行了單個(gè)更正，更正信息通過操作日志可以查看到。而這個(gè)變動(dòng)并不是唯一的，該名學(xué)生所在班級(jí)的所有同學(xué)的相關(guān)信息都發(fā)生了同樣的異動(dòng)，這樣的涉及專業(yè)變動(dòng)的有2個(gè)專業(yè)3個(gè)班級(jí)、導(dǎo)致63人的誤退費(fèi)。另外，因教材費(fèi)發(fā)生變動(dòng)的涉及4個(gè)專業(yè)（班級(jí)），導(dǎo)致47人的誤退費(fèi)。在發(fā)現(xiàn)數(shù)據(jù)是成批發(fā)生變化后操作人員對(duì)其進(jìn)行了成批的更正，而這樣的更正在操作日志上沒有留下。可以想見，原來發(fā)生的異動(dòng)也是因?yàn)槭浅膳鷮?dǎo)入而沒有留下改動(dòng)的痕跡。在案例中操作人員沒有主觀惡意，且因?yàn)閷W(xué)生的善良存在，最終沒有造成損失，只是增加了工作量和工作成本，如果這樣的漏洞碰上居心叵測(cè)之人，這個(gè)系統(tǒng)又可以產(chǎn)生發(fā)放補(bǔ)助清單的，將很難保證不發(fā)生損失。而在損失發(fā)生之后，僅靠推測(cè)卻是難以確定責(zé)任主體的。

第二，數(shù)據(jù)庫(kù)缺少必要的加密措施，從外部打開修改很方便。審計(jì)人員發(fā)現(xiàn)上述案例中采用的收費(fèi)管理系統(tǒng)在操作人員在系統(tǒng)維護(hù)界面進(jìn)行學(xué)生專業(yè)、教材費(fèi)等資料進(jìn)行修改（這是一些引起數(shù)據(jù)庫(kù)數(shù)據(jù)發(fā)生變動(dòng)的操作）時(shí)，系統(tǒng)沒有設(shè)置任何提示，也使得案例中誤操作具有一定的不易察覺性。

（二）信息化后缺乏對(duì)工作流程的優(yōu)化

很多高校在信息化后沒有優(yōu)化工作流程，有的甚至讓管理軟件中的崗位牽制功能流于形式。在這個(gè)案例中，審計(jì)人員還注意到誤退費(fèi)產(chǎn)生的過程中：專業(yè)及收費(fèi)標(biāo)準(zhǔn)的變動(dòng)、退費(fèi)清單的篩選均是一個(gè)操作人員進(jìn)行的，但用的是兩個(gè)工號(hào)，即系統(tǒng)在進(jìn)行用戶權(quán)限分配時(shí)規(guī)定一般的用戶是沒辦法在系統(tǒng)維護(hù)界面進(jìn)行諸如收費(fèi)標(biāo)準(zhǔn)的修改的。但該校在實(shí)際工作時(shí)，有可能因?yàn)橄到y(tǒng)管理人員另外擔(dān)負(fù)的工作較多或出于方便、信任把本是系統(tǒng)管理人員的工號(hào)和密碼交由一般的用戶使用，這樣感覺本該是裁判員做的事情也統(tǒng)統(tǒng)都由運(yùn)行員一個(gè)人做了，沒有起到牽制和監(jiān)督的作用。

（三）操作人員過度依賴管理軟件，缺乏職業(yè)敏感度

另外，這個(gè)案例也讓人們反思：是什么造成這次損失的最終發(fā)生？由于銀行代為扣劃與現(xiàn)場(chǎng)繳費(fèi)方式的同時(shí)存在，而且因客觀原因銀行代收的信息目前尚不能實(shí)時(shí)地在學(xué)校收費(fèi)管理系統(tǒng)中得到反映，形成多收費(fèi)是客觀存在的。但案例中的退費(fèi)金額是史上最大的（這次退費(fèi)不是這個(gè)學(xué)期的第1次退費(fèi)），涉及的面也是最廣的（114人，10個(gè)專業(yè)11個(gè)班級(jí)），這足以引起操作人員和復(fù)核人員的重視。還有，仔細(xì)觀察退費(fèi)清單審計(jì)人員還發(fā)現(xiàn)有很多應(yīng)退數(shù)都是整數(shù)（如500、2500、3000），而且有的班級(jí)幾乎全班同學(xué)都多交了學(xué)費(fèi)，也許學(xué)生多交費(fèi)是客觀存在的，但因?yàn)樾聦W(xué)年開始時(shí)銀行代為扣劃的頻率高且不設(shè)下限，而家長(zhǎng)存入款項(xiàng)是有計(jì)劃的，經(jīng)常很多時(shí)候扣到的都是零錢，可以想象這份清單也是存在可疑之處的。對(duì)這些異常，系統(tǒng)操作人員、復(fù)核人員沒有第一時(shí)間察覺，最終導(dǎo)致了誤退學(xué)費(fèi)的產(chǎn)生。

四、高校信息化背景下加強(qiáng)內(nèi)部控制的對(duì)策建議

（一）選擇成熟度、安全性高的管理軟件

在選擇軟件時(shí)，除關(guān)注實(shí)現(xiàn)管理目標(biāo)所需的功能之外，需要關(guān)注以下方面是否也足夠安全可靠：

（1）具備完備的操作日志記錄功能。在進(jìn)行軟件選擇時(shí)，為避免控制盲點(diǎn)的產(chǎn)生，我們應(yīng)該特別關(guān)注其是否具備完備的操作日志記錄功能，以保證軟件的安全運(yùn)行。據(jù)了解，案例中的軟件開發(fā)人員考慮到如果全部的上機(jī)操作均記錄在日志中會(huì)形成龐大的數(shù)據(jù)從而影響系統(tǒng)的運(yùn)行速度，于是只對(duì)他們認(rèn)為重要的部分進(jìn)行選擇性記錄。在事件發(fā)生后經(jīng)過雙方的溝通，軟件開發(fā)方采取了在系統(tǒng)維護(hù)界面進(jìn)行的所有上機(jī)操作均進(jìn)行記錄，為保持系統(tǒng)的高速運(yùn)行定期進(jìn)行日志記錄的備份，問題終于得到圓滿解決。

（2）有適度的數(shù)據(jù)庫(kù)加密保證措施。例如，案例中就算沒有完備的操作日志記錄，但如果在系統(tǒng)維護(hù)界面在操作人員進(jìn)行有可能對(duì)數(shù)據(jù)庫(kù)的數(shù)據(jù)進(jìn)行變更的相關(guān)操作時(shí)（如專業(yè)變更、教材費(fèi)的變更）系統(tǒng)能有一個(gè)像“您的操作會(huì)引起數(shù)據(jù)庫(kù)數(shù)據(jù)的變動(dòng)，您確定需要進(jìn)行嗎？”之類的對(duì)話框進(jìn)行提醒，給一個(gè)操作人員進(jìn)行思考的緩沖時(shí)間，很大程度上能夠避免操作人員的一些因大意而造成的操作失誤。

（二）進(jìn)行工作流程優(yōu)化

在管理信息化環(huán)境下更應(yīng)完善和健全內(nèi)部控制制度，因?yàn)樵谧詣?dòng)化辦公狀態(tài)下，原有手工操作下的內(nèi)部控制制度會(huì)部分喪失作用，而同時(shí)計(jì)算機(jī)數(shù)據(jù)處理易于篡改、舞弊。例如，我們應(yīng)該建立職能分隔制度，系統(tǒng)維護(hù)員、操作員和數(shù)據(jù)管理員應(yīng)合理分工、相互制約、相互監(jiān)督，預(yù)防舞弊事件的發(fā)生；應(yīng)該建立授權(quán)控制制度，各級(jí)人員、每個(gè)工作人員都得到一定的授權(quán)，并以密碼加以控制，防止非法操作和越權(quán)操作。當(dāng)然，最重要的是在實(shí)際工作中避免像案例中的這種形式與實(shí)質(zhì)的不一致，那樣，即使再好的控制制度也只是徒有其表、一紙空文！

（三）加強(qiáng)業(yè)務(wù)學(xué)習(xí)，提高專業(yè)敏感度

操作人員在處理業(yè)務(wù)時(shí)應(yīng)多思考、多檢查。案例中誤退費(fèi)情況的產(chǎn)生，雖然與系統(tǒng)數(shù)據(jù)的異動(dòng)有關(guān)，但如果我們的操作人員和復(fù)核人員在退費(fèi)清單導(dǎo)出后，對(duì)清單多加觀察，就能發(fā)現(xiàn)這么大面積的退費(fèi)而且同一專業(yè)的退費(fèi)金額相同這樣一種現(xiàn)象是一種異?，F(xiàn)象，是與學(xué)生繳費(fèi)的個(gè)體差異性不一致的，就有可能不是只檢查那么一兩個(gè)學(xué)生，也就有可能當(dāng)時(shí)就能發(fā)現(xiàn)問題，從而消除錯(cuò)誤的發(fā)生。

（作者單位為桂林旅游學(xué)院）

參考文獻(xiàn)

[1] 王雯雯.學(xué)會(huì)內(nèi)部審計(jì)的65個(gè)絕招[M].中華工商聯(lián)合出版社，2014.

[2] 柯萍萍.基于高校收費(fèi)流程再造視角的高校收費(fèi)管理系統(tǒng)自動(dòng)化、一體化[J].商業(yè)會(huì)計(jì)，2014（16）.

[3] 梁列芬.淺談高校內(nèi)部控制[J].課程教育研究：學(xué)法教法研究，2015（10）.