行政事业单位信息化项目内部控制体系构建

郑霞云

摘要：在国家以信息化推进国家治理体系和治理能力现代化的背景下，实现电子政务广泛应用、提高政府信息化水平，使得信息化项目成为行政事业单位的重要工作。本文以A单位信息化项目内控建设为例，介绍了一种基于目标+风险导向的内控建设体系，通过梳理A单位信息化项目流程，确定13个具体流程的内控目标，根据目标识别和评价风险点，最后提出风险应对策略。行政事业单位内部控制建设是一个持续性、全局性的工作，信息化项目内部控制是重要内容之一，通过对这一子集进行有益的探讨，可以对行政事业单位其他方面内部控制提供一种参考。

关键词：内部控制;信息化项目;目标风险导向;风险应对

一、信息化项目和A单位基本情况简介

本文所指的信息化项目，特指基础性、跨部门的大型应用性项目，是以计算机和通信技术为主要手段建立的信息传输、业务处理及应用的信息网络系统，以计算机技术和数据库技术为主要手段建立的信息采集、储存及处理的信息资源开发系统，以及信息应用系统（包括办公自动化系统、管理信息系统、应用集成系统等）项目的新建、续建或升级。对于单位日

常办公用的计算机设备（如电脑、打印机、复印件等）和基础软件（如办公软件和操作系统）购置，不在本文研究范畴。这样的选择基于以下考虑：

一是以数字化、网络化、智能化为特征的信息化在行政事业单位得到广泛应用。《国家信息化发展战略纲要》对行政事业单位的信息化发展作出了配套的重要战略部署，意在提高政府信息化水平，完善政府部门信息共享机制，建立国家治理大数据中心，深化电子政务应用、以信息化推进国家治理体系和治理能力现代化。信息化项目是行政事业单位的重点建设项目，也是基础性项目，在行政事业单位年度预决算中占据重要地位。

二是行政事业单位的信息化项目往往具有建设周期长、预算资金高、专业性强，可参照性少、可比性差、可变性大的特点。信息化项目建设周期通常在一至三年，如果考虑后期运维，项目期限还会更长。部分项目的建设期预算不多，但后期运维时间很长，而且成本非常高。最最重要的是，和行政事业单位传统项目建设不同，信息化项目往往根据具体情况要求进行个性化设计和建设，过程中需要的硬件设备和软件系统都需要专门定制，项目实施效果存在不确定性，导致项目在预算概算编制、合同签订、成本测算、施工建设、竣工验收、资金支付模式等各方面缺少参照或借鉴。行政事业单位和供应商之间的信息不对称不透明和项目建设的专业性，导致寻租空间的产生，造成财政资金的浪费和腐败滋生。

A单位是某市财政全额补助的一类事业单位，成立于1998年，隶属于B单位（市级行政单位），人员编制14人，实有在岗人数10人，除两名负责办公室文员外，其余8位均为信息技术专业人员。A单位主要职能是承担全市“金保工程”建设，并提供技术支持;参与制定本市信息化建设管理规划以及技术规范与技术标准，并负责组织实施。

二、基于目标+风险导向的信息化项目内控机制构建

内部控制可以分为两个层面，即单位层面内部控制和业务层面内部控制。本文研究A单位业务层面的风险控制，具体包括：梳理单位信息化项目业务流程——明确项目环节——描述内部控制目标——分析项目建设风险——确定风险点——选择风险应对策略。

（一）梳理业务流程

A单位信息化项目流程一般包括三个阶段。第一个阶段是前期工作阶段，具体包括按照省厅集中部署或者业务单位具体需求进行项目可行性分析，报经主管部门、经信委、发改委、财政局等有关部门审批立项，纳入年度部门预算，编制招标文件进行公开招投标，与中标单位签订项目合同;第二个阶段是建设实施阶段，包括项目建设过程中的质量控制、资金管理、安全管理、资产管理、设计变更及违约赔偿事宜等;第三个阶段是验收、后期运维阶段和反馈，包括初验、终验、项目运行维护和项目绩效评价等。

（二）基于目標+风险导向的信息化项目内控体系构建

当前行政事业单位内部控制建设实践中，“亡羊补牢式”内控建设屡见不鲜。往往是某类违法违规事件曝光后，单位意识到某方面内控存在缺陷和漏洞。上级部门紧急发文，要求单位进行自查，或者临时成立专项小组进行检查。这种救火式的事后监督很容易流于形式，单位填制检查表（内容往往是“本单位不存在此情况”）后盖章上报有关部门了事，无法真正起到事先防范、降低风险的作用。

因此，本文认为行政事业单位在信息化项目内控建设中应将内控目标前置，根据目标确定业务流程中的关键控制节点，继而确定风险点。以目标导向及时识别和评估风险，反过来又采取有效的风险应对措施来保障目标的实现，建立一个以目标+风险为导向的内部控制体系。

在A单位内控流程控制目标、风险点和风险应对措施表中，我们根据《行政事业单位内部控制规范》对内控目标的定义，将A单位信息化项目控制目标细化为合法合规、防范舞弊和腐败、效率效果、财务信息真实完整、资产安全五个具体目标。

根据问题导向的内部控制基本原则，单位应重点关注重要经济活动和重大风险，提高内部控制的针对性和有效性。A单位用☆数量表示内部管理薄弱环节和风险隐患的大小，☆的数量越多，表示风险越高，单位在评估过程中应充分考虑风险发生的概率、产生的危害，应引起足够的重视，制定合适的风险应对策略。

（三）信息化项目风险应对措施

在将信息化项目划分为13个主要流程的基础上，根据内控目标识别和评价出各流程中的风险点，并对风险大小进行评价和记录，在成本效率的原则下，制定出具体风险应对措施。本文认为做好以下三点尤为重要：

1.强化单位负责人的内控责任意识

我国行政事业单位内部控制建立工作能在较短时间内取得快速发展，很大程度上得益于有关内控制度和规范的强制推行。但内控制度能否真正有效运行，及时识别、防范和应对各种风险，还需要组织内部从上至下深刻认识到内部控制的运作机制和作用原理。领导重视是最主要的影响内部控制制度建立和有效运行的因素。因此，强化单位负责人的意识，将内部控制建设纳入领导干部绩效考评体系中，为内部控制体系建立和完善创造良好的内部控制实施环境，能大大提高行政事业单位内部控制建设。

2.创新内部控制建立模式

目前行政事业单位内部控制建立方式通常有两种模式：一是成立内控部门或小组，负责单位内控建设工作，二是聘请专业机构，将单位内控业务进行外包，两种模式各有优势与不足。聘请第三方机构进行内控建设，可以发挥专业机构的专业优势，建立一个更全面、完整的单位内控体系，缺点是容易导致单位为建立内控制度而建立内控制度，单位内控仅仅停留在纸质的内控制度和内控手册上，可操作性和实用性并不强。

内部控制强调内部性和主动性，是内嵌融合在组织内部的管理方式，是组织自内而外、在日常业务运作中不断健全完善的结果，与组织是一种浑然天成的关系。在肯定第三方机构的专心性的同时，单位亦不可过分依赖外部机构的力量，过分迷信标准化的内控模式。由此本文认为，以单位自建为主导的、适当获取第三方机构专业协助的内部控制建设模式应是更合适的选择，

3.定期进行内部控制评价，将评价结果进行量化，并形成内控评价报告

内部控制评价可以选择单位自评，也可以聘请第三方机构进行评价。和前文中内部控制建设不同，我们更倾向选择专业机构对单位内控建设及运行有效性进行评价，外部人的视角能保证评价工作具有更高的独立性、客观性，同时专业机构往往具有较为科学、全面的评价体系和评价方法，通过他们的评价工作和评价报告中的建议意见可以反过来健全和完善单位的内部控制工作。

参考文献：

[1]田详宇，王鹏，唐大鹏.我国行政事业单位内部控制制度特征研究[J].会计研究，2013 （9）：29-35.

[2]钟礼凤.行政事业单位财务管理信息化建设的问题及对策[J].财务与会计，2018 （16）：43-44.

[3]唐大鹏，王艺博.政府内部控制管理咨询的问题和对策[J].财务与会计，2018 （13）：75-77.