一、绪论
传统意义上的内部控制,是根据业务类型制定相应的管理制度,根据管理制度建立相应的内部控制流程,要求人依据制度而执行流程。在不同的业务之间,流程往往独立于制度,相互之间很难形成嵌套和联动。在执行内控制度的过程中,为了尽可能控制风险,往往需要设定复杂的业务流程和控制节点,来达到控制的有效性。由于流程和节点均由人工控制,又必然会带来管理成本和运行成本的增加,日常重复和规则性的工作量占比高,消耗大量精力和时间。
基于传统内控的内部审计,通常是通过穿透测试和业务抽查,来判断内部控制的有效性,并将内部审计作为管理手段来保障执行内部控制制度。在审计过程中,内部审计的有效性受到审计范围和样本规模的限制,难以做到全面覆盖,成本相对较高,方法也比较单一。内部审计的工作大量依靠有经验的专业人员来完成,其效果与审计人员的专业程度、经验是否丰富等有很大的关系。
二、背景介绍
上海科技大学(以下简称“上科大”)作为2013年建立的一所致力于创建教育、科研、创业深度融合的小规模、高水平、国际化的研究型大学,组织机构高度扁平化、人力资源向教学科研倾斜,行政资源有限。在行政管理人员编制既定的基本条件下,无法按照传统高校模式建立业务流程和制度体系、通过扩大审核和内审岗位数量来保障内部控制。上科大高速发展的过程中,需要在有限的资源条件下有效控制风险,就要在管理手段和具体措施上有所创新。
基于上述背景,我们在内部控制建设初期的思路是,用新的业务框架体系、新的内部控制方法、新的内部审计模式,去解决上科大的制度建设、制度执行和内控管理的问题,加快学校财务管理转型,减少冗余环节、提高核算效率、提升会计信息透明度,实现对业务运作全过程的实时监控与管理,从而推动战略财务、业务财务和共享财务三个维度的协调发展。
三、内部控制要求下的信息化环境建设策略
1.建立线下内控制度和审批流程
在学校建设初期,尚不具备开展信息化建设的基本条件,我们以国家和上级部门的文件为基础制定原则性和框架性的书面制度,设计线下操作流程和表单。在人力资源有限的情况下,针对不同业务流程设计差异化控制要求,并根据学校的发展、外部环境的变化、经济活动的调整和管理需求,不断调整和完善。
管理制度框架和线下业务流程、表单的建立为将来系统流程建设提供业务基础,确保了未来系统流程的可操作性。
2.建立校园服务平台
随着学校的逐步发展,人员和部门逐渐增加,我们首先搭建了一个强大的、可扩展的、可配置的校园服务平台。该平台可以定制不同的业务流程,按需求嵌入各种业务表单。在这个阶段,我们把已有的线下表单和流程迁移到线上,使表单流程和数据电子化,通过业务流程将表单推送到相关的行政部门审批人员,实现了线上提交和线上审核,也使业务表单可追溯和可查询。
比如:设备采购申请表及耗材采购申请表,从线下纸质单据变为线上电子表单,以OA签批的形式加人到校园服务平台上,以工作流程的模式推送待办事项;报销单据,将线下的用款申请单和预付账款单迁移到线上,形成网上报销单的雏形,在未与财务系统打通的状态下,以一个学院和一个研究所作为试点,导人在用的经费项目编号供用户填报单据,并收集用户体验和建议。
这一步,使业务系统里的用户适应了流程由线下向线上迁移的过程。
3.建立综合业务管理系统
经过多次调研、讨论、评估,上科大最终确定以SAP套装软件系统为内核、以BPM(业务流程管理,Business Process Management)系统为用户界面的方式,定制开发具有上科大特色的综合业务管理系统。
该系统通过单点登录的方式与学校的校园服务平台整合,同时与学校的主数据平台、其他专业系统等通过接口的方式实现了流程的贯通与数据的共享,底层数据完全打通。系统覆盖了上科大的预算编制与执行、会计核算、工程管理、采购管理、设备资产管理、科研经费等业务,以流程的方式有机地串联了各项业务与职能部门间的协同,确保业务流程的设置是相互嵌套而不是孤认的。整个系统结合了BPM系统友善的用户界面、灵活而高可配置的流程管理与SAP套装软件系统强大的内核逻辑、完整的业务解决方案,使系统同时兼顾了用户使用体验与业务管理的高效完整。
在系统流程设计的过程中,内部控制能否在信息化环境下得以有效整合成为关键。除了标准化的业务流程外,各业务管理部门均有关键人员参与进来,与信息中心、用户单位,一同协商业务流程的定制,确保了业务流程的可操作性。
业务流程以预算为基础,根据业务场景分别设计,采用项目化管理的思路,以内嵌化的业务流程,全覆盖地建立了上科大的内部控制体系。业务流程均涉及多部门和用户,将业务操作嵌入系统流程中,相关人员在流程中被赋予不同的角色和权限,如项目负责人、业务审批人、预算审批人等,分别起到监督和控制的作用,并由系统记录操作日志。各业务流程之间相互关联,预算数据全流程贯穿,为数据统计分析和钻取、成本核算和管理提供有效的数据基础和依据。
2018年该系统上线后。经办人员不需要检索繁杂的规章制度,只需要简单学习和适应系统流程,按部就班进行每一步操作。对业务管理部门来说,原先需要人工比对和反复判断的,通过系统控制可以完成大部分工作。职能部门工作效率大幅度提高,管理和运行成本大大降低。
如经办人在填写报销单时系统已经进行了预算的校验和冻结,并对资产人库的前置流程进行了关联;财务审核时可以直接核对报销单上显示的经费负责人信息;财务制单根据预算模板的逻辑自动生成财务凭证和预算凭证。系统上线至今,自动完成财务制单的报销单已达7万多张。
四、信息化环境下内部控制的运用策略和管理模式
1.预算管理一全流程冻结、解冻
信息化系统对预算控制的目标是将预算的事前、事中管控及不同业务所对应的财务核算规则交由系统自动管控,将预算的控制通过系统自动集成在业务流程之中,简化日常工作,实现从前端执行到后端核算的一体化集成管理及追溯。
在系统设计过程中,根据上科大综合预算的特点,设计了具有上科大特色的预算申报模块和预算下拨功能。该模块使年度预算申报和审核完成之后,通过配置预算系统逻辑,可以生成新年度分部门经费项目编号并下拨预算。
对20万以上的设备采购,需要在预算模块中进行二次预算细化和评审,确保在审核通过目录内的采购才可申请执行,避免预算申报时与实际采购时存在差异。
在预算执行过程中,对需要进行申请审批的事项,如设备、家具、耗材、工程、服务等,提交采购申请时即将申请的预算冻结,在财务入账后释放该笔预算,对预算控制形成自动化的闭环管理。
2.设备采购与耗材采购
通过系统建设,我们将现有的采购流程和报销制度固化,加强经费预算管理,提供全信息化的系统办公环境。用户在每一个步骤完成后,根据流程图检索,即可知道下一步需要进行的业务,无法自行跳过任何一个必须完成的节点。在需要审批时,会由系统将待办任务推送至配置好的审批人员。
从采购申请、采购执行、采购验收的整个业务链管理,与预算管理、设备资产管理、网上报销全流程无缝集成。其中,设备采购与网上报销以设备人库为关键关联业务;耗材采购与网上报销以耗材验收为关键关联业务。没有完成人库的设备采购和没有完成验收的耗材采购,无法进行最终的报销支付。
3.采购生命周期管理
对经过预算细化通过的大额采购,上科大还设计了采购生命周期管理的模式,通过已有的系统流程节点,对采购过程进行进一步系统控制。如工程项目出库后,应按步骤提交采购申请冻结预算、填写招标申请单启动招标程序、根据采购合同支付工程首付款、根据监理意见支付工程款、根据审价结果支付工程尾款等,由系统进行流程控制和提示,并对超出合理时间的自动预警和提醒。
各业务部门可以根据各自需求,对需要统计和查询的信息进行汇总导出,及时发现和解决采购流程中存在的问题,避免年终大量积压工作。
五、信息化环境下内部控制审计的重点
在信息化建设的过程中,内部审计是全程参与流程设计的,可以从源头上进行把控。
内部审计完全了解上科大各项制度的历史变革过程,了解各业务流程的现状,了解管理的盲点与薄弱点,可以在流程设计中提出需求和建议,在业务流程中体现各部门之间相互控制、相互监督,从而确保各项经济业务的合规,提高经济业务的效益。但系统建设是从需求出发,跨职能部门、业务流程的系统化工作。
在系统上线运行后会不断发现一些问题,我们可以通过内部审计,不断以新的技术来优化流程,提高效率,进一步完善信息化系统的内部控制。
一般问题会出现在以下三个方面:
1.过于信赖信息系统控制,认为系统能自动解决所有问题
在系统运行过程中,有的人会过于信赖信息系统的控制,认为信息系统的程序化控制不会出错,因而降低了复核的认真程度。殊不知系统本身就是由人建设的,不论是系统开发程序还是流程设计本身,都有可能存在漏洞。
实际上,信息系统可以带来便捷的内部控制,但无法完全取代人工审核。在内部审核的实施过程中,可以在后台管理界面将全部数据导出,实现审计数据的全覆盖。还应当定期进行穿行测试,对信息系统的内部控制执行情况进行评价,不断的优化系统控制节点。
2.信息系统的内部控制建设及其管理
信息系统以流程控制的方式将内部控制固化下来,但这不意味着对信息系统就可以不设控制。对信息系统的内部控制审计,还应当关注在应用信息系统过程中的一些人工控制。比如信息系统中的授权规则、不相容岗位设定规则、流程设置规则等都是人工设定,设定的规则都会影响信息系统运行的有效性。
3.信息系统未能全流程参与内部控制,存在例外事项
在系统上线后,按照既定流程启动直至完成的各项业务,通过系统控制了所有的节点,可以认为是完全合规的。但在内部控制执行的过程中,往往有一些特殊的例外的事项,无法按正常的系统流程进行下去。这些事项或许有特殊的控制程序,或许本身就是禁止性的行为。在信息化环境下,业务管理人员有可能根据程序控制规则或漏洞来绕开对例外事项的审查,甚至有可能存在无流程直接通过后台修改数据的情况。因而在审计中应当重点审查和把控该类事项,并通过一定的技术方法将其在信息系统中的执行情况查找出来,分析其发生的原因和结果,并对系统控制进行进一步的完善和优化。
六、案例分析
1.规避系统对采购预算的控制,突破招标金额签订合同
审计人员对设备采购流程节点数据进行全覆盖导出比对后发现疑点,某设备采购申请预算金额为280万元,公开招标中标金额为250万,实际签订合同与付款金额均为270万元。经对系统逻辑进行复核校验后发现,业务系统上仅设置有付款金额不得大于预算金额的逻辑,但未设定合同金额与中标金额之间的逻辑判断。后续紧急对系统逻辑进行修改优化,向供应商追回款项,并追究相关人员责任。
2.仪器共享平台未记录真实数据
审计人员对校内测试中心结算数据进行全覆盖导出比对后发现疑点,某测试项目于12月1日申请,12月2日经费负责人审核通过,12月3日测试完成,记录使用机时1200小时,明显不符合常理。经询问后,该项测试据称于2018年7月至2019年6月之间完成,前后时间长达一年,但未在系统上有任何记录,仅有手工记录单和测试报告为证。这一事项说明该测试中心在信息系统上的数据和流程都是无效的,系统控制形同虚设。
3.规避支付限额和流程
审计人员对供应商支付数据进行全覆盖导出比对后发现,某科研项目在一段时间内多次向同一供应商支付金额为八千元至九千元的测试费。我校内控制度中要求,超过一万元的测试费需签订技术服务合同并由科技处审核,这一做法明显存在规避支付流程的嫌疑。由科技处进一步审核后发现,上述款项中还存在对同一份测试报告重复支付的情况。后续就该事项在学院内通报批评,并由课题组退赔相关费用。
七、思考和突破
1.如何使用户更快的适应系统
系统设计调研时提出的业务需求,需要根据学校的实际情况,用逻辑语言去描述出来,并翻译成程序语言,这并不是一个容易的事情。比如合同条款的设置与管理,包括但不限于预付款条款、质保金条款、开口合同条款等多种逻辑判断。在现实业务中,设计系统时把逻辑嵌入进去还不是最难的,让使用系统的人理解这些逻辑并判断适用的业务场景才是具有挑战性的,不同业务逻辑又往往很难整合到一个流程上。即使提供了供用户理解的说明文档,但仍会因为看不懂、懒得看等原因,选错业务流程。
目前的解决方案是,通过定期定向培训来解决用户初用系统的困惑,以学院财务联络人模式贴近用户进行进一步指导跟踪,配合系统后台客服支持来解决用户使用中遇到的各种问题。
2.内部控制与工作效率如何达到平衡
流程管理不可一味追求效率,也不可一味追求风险控制,把握两者间的平衡是流程管理的精髓。流程效率和内控风险是对立的两面,强化内控必然会影响效率。但如何把握两者间的平衡,一直是管理者头疼的问题。
在系统流程设计的过程中,尽可能将两者的对立统一关系处理好,找到动态的平衡点,减少不必要的重复审核,设置分级审核权限,有效发挥内部控制的作用。
3.如何通过新的技术手段进一步优化内部控制
在网络信息技术发展的过程中,智能化与大数据等新技术受到广泛关注与应用,能够为内部控制工作实施提供技术方面的支持。我们也在不断调研和了解其他高校使用的信息化手段,与学校的实际情况进行匹配,寻求更多的信息化解决方案。
如计划明年上线的报销线上审核和电子签章,将改变传统的报销线下签字模式,将财务接单前的流程也完全以流程节点的形式体现,加快报销流转速度,使用户对报销全流程可追溯查询。还将上线电子回单功能,将银行回单通过技术手段和系统逻辑,自动匹配到报销单和财务凭证上,使用户可以便捷查询到汇款时间和到账情况,使财务报销流程真正形成闭环,也大大减轻了财务处查账的工作压力。
八、结语
在当前信息化为主导的内部控制环境下,内部审计应当利用好信息化管理工具,发挥事前控制和事后审核的作用,认真分析新的审计环境,制定有效的内部控制审计体系,将内部审计工作与信息系统融合在一起。