基于業務數據管理的行政事業單位內控信息化建設研究

程幼石

近年來，財政部發布一系列與行政事業單位內部控制相關的文件和通知，包括2014年的《行政事業單位內部控制規范（試行）》、2015年的《財政部關于全面推進行政事業單位內部控制建設的指導意見》、2016年的《關于開展行政事業單位內部控制基礎性評價工作的通知》、2017年的《行政事業單位內部控制報告管理制度（試行）》等。

實施內部控制并非全新工作要求，也非全新研究領域，近年來發布的一系列針對行政事業單位的相關規范與指導性文件，究其原因，一方面是對比于企業界的相關

實踐，行政事業單位內控基礎尚有不足之處和薄弱環節，存在相當程度的風險，或者說無論單位層面的內控環境，還是各業務層面的內控規范方面，均尚不足以支撐健全的內控管理系統；另一方面，如相關規范中明確規定，“各單位應充分運用技術手段加強內部控制，利用信息化提高內部控制的科學性、及時性和有效性?！币簿褪钦f，當前現狀是，大多各單位的內控管理和內控信息化建設尚存在相互割裂，尚未完全做到將經濟活動的主要流程和關鍵環節與內控信息系統進行嵌入式集成，也因此無法達到減少和消除人為因素，以及有效控制風險的目的。因此，亟待開展如何進行行政事業單位內控信息化與業務流程緊密結合的研究。

一、研究現狀及趨勢

內部控制信息化，是將內控理念、控制流程、控制方法等要素通過信息化的手段固化到信息系統中，從而實現內部控制的系統化和常態化。國內外針對行政事業單位的相關研究主要從梳理實現控制的業務流程，以及如何利用這些流程新建信息系統或將相關功能嵌入已有信息系統等方面展開。

程平等（2017）探討面向過程持續跟蹤評價機制和深化大數據技術應用的采購管理，以及建立合同調查對象數據庫和強化合同管理全過程數據分析的合同管理，分別分析了基于財務云平臺的優化內部控制機制。周衛華（2016）認為內部控制信息系統的控制對象是單位發生的所有經濟活動或業務流程。在分析與已有信息系統關系的基礎上，提出構建“通過服務總線（ESB）與內部控制服務進行交互”的模式。丁斯偉（2016）提出，以信息化為依托，實現內控與各部門信息系統的有效對接及數據采集，建立縱向跨單位層級、橫向跨管理部門的財務稽核監督體系是內控管理的重要手段。劉琳（2015）以國庫支付中心的財務內控管理平臺為例，分析嵌入內控機制的信息系統，包括對接國庫支付系統、全流程管理控制，以及包含硬件控制的信息安全等。趙紅衛（2015）分析了高校與其他行政事業單位相同的預算、收支、基建等業務控制活動，以及獨有的學術、教學等，包括學術權力與行政權力等，提出基于此的高校內控信息化建設。劉延平等（2015）認為，精細化管理是科學管理的高級形式，內控信息化建設是精細化管理模式下的一個突出特征。

因管理體制的差異，國外專門針對類似行政事業單位內部控制信息化的研究并不多見，通過對Web of Science檢索發現，相關研究的較多文獻提及2002年頒布的《薩班斯法案（Sarbanes Oxley Act，SOX）》，盡管SOX是美國公眾公司會計監督委員會（PCAOB）制訂，主要面向所謂的公眾公司（Public Company），但也有文獻涉及一些公共部門（Public Sector）的研究，相關研究均借鑒了此法案內容，如 Mark L.Defond 和 Clive S.Lennox（2017）通過對PCAOB審查報告的時間序列和截面數據（both cross-sectional and time-series）的分析，得出報告對機構內部控制質量有促進作用的結論。此外，Young J.Park等（2017）通過對美國三個州人口普查和市政債券發行數據的分析，研究了地方政府市政債券市場的內部控制風險點與借貸成本上升的相關性。Khim Kelly和Hun-Tong Tan（2017）的研究通過對內部控制薄弱點有風險點管理與沒有風險點管理的不同政府部門及非商業機構的對比，分析了各自在信息處理調節機制方面的不同，以及信息化在內部控制管理中所起的關鍵作用。

二、業務數據管理是內控信息化的關鍵

當前內控信息化建設研究大多從業務流程著手，通過開發應用系統，將業務流程按內控標準和規則進行固化，以期達到減少人為操作，通過技術手段降低和消除風險的目的。利用信息技術，機器替代人工操作，充分有效地獲得和使用各種資源，以提高機構運行效率固然重要，但內控信息化建設的根本目的不僅限于此，其本質還在于通過信息化手段，更高效和有效實現風險控制。因此，本文提出，除業務流程管理，以對經濟活動產生的業務數據進行管理為切入點，對經濟活動中產生的業務數據進行集成、轉化和提升，研究基于業務數據管理的內控信息化建設，從業務數據管理角度切入，實現將經濟活動的主要流程和關鍵環節與內控信息系統進行嵌入式集成。

基于業務數據管理的行政事業單位內控信息化建設并不是偏廢業務流程管理，而是從業務數據管理視角，特別是在信息化建設過程中充分利用數據管理的先進技術開展內控信息化建設。此外，技術再先進還只是手段，是工具，利用技術的目的不僅是具體業務的動態控制，根本上還需要實現規范所要求遵循的原則，主要包括以下幾個方面：

首先，借助數據質量管理中“信息完整性”要求，在全面性原則的基礎上，結合數據質量管理的主數據（master data）概念，通過建立內控管理所需的與機構核心實體業務節點與信息化建設的信息系統中業務數據同步并保持一致的視圖描述，滿足關注單位重要經濟活動和經濟活動重大風險要求的重要性原則。

其次，利用數據可溯源技術，一方面在空間維度上刻畫內控信息系統不同節點間數據對象間的連續性，另一方面在時間維度保證同一數據對象歷史版本之間的連續性。從而通過數據間的關聯支持證據鏈管理，滿足在單位內部的部門管理、職責分工、業務流程等方面形成相互制約和相互監督的制衡性原則。

第三，利用數據空間的理論和技術，即數據管理中“現收現付（Pay-as-you-go）”的先有數據，后有數據管理模式，以及數據管理模式可不斷演化拓展的特點，構建內控信息系統數據模型。從而既符合國家有關規定和單位的實際需求，又可隨著外部環境的變化、單位經濟活動調整和管理要求的提高，不斷修訂和完善，滿足適應性原則和可持續發展的要求。

三、基于業務數據管理的實現方式

基于業務數據的管理，需要形成數據是關鍵要素的思維模式，將焦點置于行政事業單位內部控制相關業務數據。

在此基礎上，首先，各級管理部門頒發的行政事業單位內部控制的相關規范和工作指引是內控信息化建設的方向，需要梳理文件中對內部控制工作，特別是內控信息化建設相關的條文。如《行政事業單位內部控制規范》提到，內部控制應遵循的原則，首要位置的就是“全面性原則”，因此，內控信息化建設的目的是實現對經濟活動的全面控制。

此外，參考面向企業實施內控信息化建設的國內外相關規定或指南，結合行政事業單位內部控制工作的特點和實踐需求，梳理行政事業單位基本業務流程，結合對內控情況自查表和自評報告的解讀和實證分析，繼而明確行政事業單位內控信息化建設的基本范疇和框架，以之作為信息化建設的邏輯起點及依據。

信息系統建設過程中還需提煉內控管理各節點的數據對象，厘清各節點間的數據流；結合并充分運用信息技術發展中數據空間技術、數據可溯源技術，以及數據質量管理的理念與實踐，分析數據對象和數據流在符合內控建設規范前提下的相互作用、相互制約的關聯關系和方式，進行抽象和分類，構建基于業務數據管理的內控信息化建設模型。

行政事業單位內控管理所涉及到的主要因素是對控制環境的解析，在此背景下相關節點如下：預決算管理、資產管理、債務管理、收入管理、支出管理、合同管理、采購管理、工程項目管理、科研項目管理等。以上只是對節點進行相關羅列，在實踐過程中，或不僅限于這些，特別是不同的單位，如高等院校與政府機關等也各有不同。

根據以上分析，本文提出基于業務數據管理的行政事業單位內控信息化建設框架。

圖1 基于業務數據管理的行政事業單位內控信息化建設框架

本文認為，基于業務數據管理的建設，如何全面性地提煉系統各節點可能產生的數據對象，以及通過各節點的關聯性，厘清數據流，是難點之一；此外，現有行政事業單位內控管理大多或有初步的基于業務工作操作的信息化建設平臺，這些信息系統如何改造升級，或平滑過渡到基于業務數據管理的信息系統，即當前大多建立于“信息系統-關系型數據庫”的模式，向基于數據空間技術上的網狀結構，以適應內控內外部環境變化的可擴展需求，實現構建符合重要性、制衡性、適應性原則的數據庫模式，是難點之二。

四、結語

內控信息化是通過信息管理平臺建設落實到業務操作的信息化，在管理信息系統設計時，須考慮業務數據流和業務活動各環節實現“流與鏈”的結合，以及通過業務數據統計，特別是數據空間等技術的引入，依托數據流同步生成內控評價報告，真正實現“充分運用技術手段加強內部控制，利用信息化提高內部控制的科學性、及時性和有效性”，從而增強風險應對能力。

本文只提出一個基于業務數據管理的內控信息化建設框架，一方面有待相關技術的進一步完善和成熟，另一方面在實施過程中，除了必須考察所在單位的特定情況，還需要在具體建設過程前，采取模型仿真進行回歸驗證，選取樣本空間展開實驗研究，以及通過跟蹤和實時數據采集，對模型作優化調整和科學論證，切實保證內控信息化建設的有效推進。