淺談高校信息化下的內部控制盲點

廖熒坤

摘 要 信息化管理在高校已經普遍開展，內部控制是信息化管理的重要環節。在高校信息化的實際工作中，仍然存在只重視技術投入，忽視流程管理的現象。本文試著從一個高校內部控制出現失效的案例出發，尋找信息化背景下高校內部控制的盲點，并探討加強內部控制的策略。

關鍵詞 高校信息化 內部控制 流程優化

一、高校信息化背景下的內部控制的重要作用

目前，不管是企業還是行政事業單位，辦公日趨自動化，高校也是這樣，基本實現了信息化管理。其實高校管理信息化雖然是將信息技術引入傳統管理模式，但是對其內涵的理解不能僅僅局限于此，如果單純強調技術的概念會將管理信息化的實踐引入誤區。高校管理信息化應該是“三分靠技術，七分靠管理”，管理信息化不僅是計算機等信息技術的采用，更是工作流程再造，人力資源潛能充分得以調動的一個過程。信息管理的反饋控制理論認為，管理周期延續時間的長短反映了管理工作效率的高低。因此，要縮短管理周期、提高管理效率，離不開內部控制。內部控制是管理活動的一個組成部分，是實現管理目標的重要手段。管理活動做得好，內部控制有效，就能夠實現它的管理目標，從而保證高校各項活動的順利開展，保證高校預算資金的安全與高效使用。可見，內部控制是管理的重要手段，也是管理信息系統中的重要環節，管理者應給予高度重視。

二、高校信息化內控失效的案例

下面介紹在信息化背景下某高校內部控制失效、給學校造成經濟損失的真實案例：

2014年11月，某高校利用從收費管理系統中生成的多收學費信息通過銀行進行了多收學費的清退工作，共計退還學生學費365859.15元，但就在退費的當天有學生向老師詢問今天存入自己銀行卡中的是什么款項（該校學生的各項補助亦是直接存入學生的銀行卡）？系里的教師隨即向財務處詢問，財務處回復說是退還多收的學費，學生反映說自己沒有多交學費。財務人員在進行核對后發現該學生確實沒有多交費，收費管理系統產生退費清單的過程也沒有錯誤，最后發現是系統里的部分學生的所屬專業發生了更改，進而收費標準也發生了變動，收費標準降低從而出現在了退費清單之中。在隨后進行的內部審計中，發現上述30多萬的退費當中有221331.55元是誤退的，涉及學生114人、11個班級，因發現及時，又及時向銀行發出代扣指令，從而在12月底已追回大部分誤退款項，只余下4271.57元尚未追回。

在這個案例中，退費清單是由操作人員從系統中經過條件篩選自動產生的，一般情況下得出的結果是不會有問題的。案例中的篩選條件是“已收-應收>0”，操作人員得知誤退時對那名學生的收費記錄進行核實時發現符合假設的篩選條件，卻意外地發現該名學生的班級（專業）發生了變化（學號信息與專業信息不一致，而該生并沒有轉專業），相應地應收學費標準發生了變化，從原來的6500元/學年變成了3500元/學年，從而產生了3000元的應退費。該生為2014級新生，從繳費記錄可以看出，該生的第一次繳費是按6500元/學年進行收取的，而這與他專業的學費標準是一致的，可以推斷出系統開始的設置是正確的，這名學生專業和收費標準的變動是后來發生的。操作人員和軟件開發人員（因某種原因學年開始時的信息由開發人員進行設置）均表示自己沒有進行過相關的操作，審計人員試圖從系統的操作日志中得到答案，沒有找到相應的操作日志。至此，責任已不便追究。

三、高校信息化背景下內部控制的盲點分析

（一）實現信息化所采用的管理軟件本身不夠完善

通過梳理，審計人員發現上述案例中該校選用的收費管理系統是另一所高校自主研發的，在該校已使用多年，這些年因數據量及業務內容的不斷發展進行了數次升級，但還是存在以下一些缺陷，導致案例中工作差錯產生之初不易被人察覺：

第一，缺乏完備的操作日志記錄功能。案例中高校選擇的收費管理系統不是完全沒有操作日志記錄，審計人員發現，凡是在系統維護界面手工進行的一些改動都保留有操作日志，但對于一些從外部批量導入的操作卻是雁過無痕。案例中首先發現專業發生過變動的學生信息后來通過系統維護手工進行了單個更正，更正信息通過操作日志可以查看到。而這個變動并不是唯一的，該名學生所在班級的所有同學的相關信息都發生了同樣的異動，這樣的涉及專業變動的有2個專業3個班級、導致63人的誤退費。另外，因教材費發生變動的涉及4個專業（班級），導致47人的誤退費。在發現數據是成批發生變化后操作人員對其進行了成批的更正，而這樣的更正在操作日志上沒有留下。可以想見，原來發生的異動也是因為是成批導入而沒有留下改動的痕跡。在案例中操作人員沒有主觀惡意，且因為學生的善良存在，最終沒有造成損失，只是增加了工作量和工作成本，如果這樣的漏洞碰上居心叵測之人，這個系統又可以產生發放補助清單的，將很難保證不發生損失。而在損失發生之后，僅靠推測卻是難以確定責任主體的。

第二，數據庫缺少必要的加密措施，從外部打開修改很方便。審計人員發現上述案例中采用的收費管理系統在操作人員在系統維護界面進行學生專業、教材費等資料進行修改（這是一些引起數據庫數據發生變動的操作）時，系統沒有設置任何提示，也使得案例中誤操作具有一定的不易察覺性。

（二）信息化后缺乏對工作流程的優化

很多高校在信息化后沒有優化工作流程，有的甚至讓管理軟件中的崗位牽制功能流于形式。在這個案例中，審計人員還注意到誤退費產生的過程中：專業及收費標準的變動、退費清單的篩選均是一個操作人員進行的，但用的是兩個工號，即系統在進行用戶權限分配時規定一般的用戶是沒辦法在系統維護界面進行諸如收費標準的修改的。但該校在實際工作時，有可能因為系統管理人員另外擔負的工作較多或出于方便、信任把本是系統管理人員的工號和密碼交由一般的用戶使用，這樣感覺本該是裁判員做的事情也統統都由運行員一個人做了，沒有起到牽制和監督的作用。

（三）操作人員過度依賴管理軟件，缺乏職業敏感度

另外，這個案例也讓人們反思：是什么造成這次損失的最終發生？由于銀行代為扣劃與現場繳費方式的同時存在，而且因客觀原因銀行代收的信息目前尚不能實時地在學校收費管理系統中得到反映，形成多收費是客觀存在的。但案例中的退費金額是史上最大的（這次退費不是這個學期的第1次退費），涉及的面也是最廣的（114人，10個專業11個班級），這足以引起操作人員和復核人員的重視。還有，仔細觀察退費清單審計人員還發現有很多應退數都是整數（如500、2500、3000），而且有的班級幾乎全班同學都多交了學費，也許學生多交費是客觀存在的，但因為新學年開始時銀行代為扣劃的頻率高且不設下限，而家長存入款項是有計劃的，經常很多時候扣到的都是零錢，可以想象這份清單也是存在可疑之處的。對這些異常，系統操作人員、復核人員沒有第一時間察覺，最終導致了誤退學費的產生。

四、高校信息化背景下加強內部控制的對策建議

（一）選擇成熟度、安全性高的管理軟件

在選擇軟件時，除關注實現管理目標所需的功能之外，需要關注以下方面是否也足夠安全可靠：

（1）具備完備的操作日志記錄功能。在進行軟件選擇時，為避免控制盲點的產生，我們應該特別關注其是否具備完備的操作日志記錄功能，以保證軟件的安全運行。據了解，案例中的軟件開發人員考慮到如果全部的上機操作均記錄在日志中會形成龐大的數據從而影響系統的運行速度，于是只對他們認為重要的部分進行選擇性記錄。在事件發生后經過雙方的溝通，軟件開發方采取了在系統維護界面進行的所有上機操作均進行記錄，為保持系統的高速運行定期進行日志記錄的備份，問題終于得到圓滿解決。

（2）有適度的數據庫加密保證措施。例如，案例中就算沒有完備的操作日志記錄，但如果在系統維護界面在操作人員進行有可能對數據庫的數據進行變更的相關操作時（如專業變更、教材費的變更）系統能有一個像“您的操作會引起數據庫數據的變動，您確定需要進行嗎？”之類的對話框進行提醒，給一個操作人員進行思考的緩沖時間，很大程度上能夠避免操作人員的一些因大意而造成的操作失誤。

（二）進行工作流程優化

在管理信息化環境下更應完善和健全內部控制制度，因為在自動化辦公狀態下，原有手工操作下的內部控制制度會部分喪失作用，而同時計算機數據處理易于篡改、舞弊。例如，我們應該建立職能分隔制度，系統維護員、操作員和數據管理員應合理分工、相互制約、相互監督，預防舞弊事件的發生；應該建立授權控制制度，各級人員、每個工作人員都得到一定的授權，并以密碼加以控制，防止非法操作和越權操作。當然，最重要的是在實際工作中避免像案例中的這種形式與實質的不一致，那樣，即使再好的控制制度也只是徒有其表、一紙空文！

（三）加強業務學習，提高專業敏感度

操作人員在處理業務時應多思考、多檢查。案例中誤退費情況的產生，雖然與系統數據的異動有關，但如果我們的操作人員和復核人員在退費清單導出后，對清單多加觀察，就能發現這么大面積的退費而且同一專業的退費金額相同這樣一種現象是一種異常現象，是與學生繳費的個體差異性不一致的，就有可能不是只檢查那么一兩個學生，也就有可能當時就能發現問題，從而消除錯誤的發生。

（作者單位為桂林旅游學院）

參考文獻

[1] 王雯雯.學會內部審計的65個絕招[M].中華工商聯合出版社，2014.

[2] 柯萍萍.基于高校收費流程再造視角的高校收費管理系統自動化、一體化[J].商業會計，2014（16）.

[3] 梁列芬.淺談高校內部控制[J].課程教育研究：學法教法研究，2015（10）.