八、内部控制信息化落地

内部控制实现了单位的业务管理与财务管理的有机结合，需要信息系统的支撑。将内部控制嵌入信息系统之中，可以实现内部控制的程序化和常态化，可以改变单位各项经济活动分块管理、信息分割、信息“孤岛”的局面，可以使单位领导的管理方式由传统的日常管理向例外管理转变，集中精力处理重大问题，进一步提高管理效率。

（一）内部控制信息化的必要性

内部控制信息化是将内控理念、控制流程、控制方法等要素通过信息化的手段固化到信息系统中，从而实现内部控制体系的系统化与常态化。

1．内部控制信息化固化了业务流程，减少了人为因素的影响

信息化固化了经济活动业务流程，信息系统自动记录和跟踪业务流程的运行状态，并将不相容岗位相互分离和内部授权审批控制嵌入到信息系统中，使业务流程和管理制度实现自动流转和主动提示。“自动”实现了内部控制对各项经济业务的约束，任何违背内部控制管理规定的行为都能够得到制止，减少了人为因素对管理制度执行的影响。

2．内部控制信息化提高了经济活动信息的准确性

单位经济活动通过信息系统流转，提高了系统信息的准确性，降低了日常工作出错的概率，而且可以使管理人员有更多的精力应对重要的或者突发性事项，提高风险管理的针对性和内部控制的有效性。

3．内部控制信息化提高了经济活动信息的及时性和相关性

信息系统能够及时生成日常管理所需的相关信息，各级管理人员在各自权限范围内，通过可视化界面，得到有关预算执行的各类指标，并动态掌握管理职责范围内的预算安排、可用财力、指标执行等方面的信息，以便做出科学、合理的经济活动决策。

4．内部控制信息化创造了单位信息交互与共享的平台

内部控制信息化为单位创造了信息交互与共享的平台，实现内控信息的程序化、标准化，提高了信息沟通的效率，并减少信息传递过程中人为因素的影响，提高了信息沟通的效果。

（二）完善信息系统管理，加强单位信息化建设

1．通过归口管理，完善单位信息系统

行政事业单位至少应从信息系统开发、运行维护和安全管理三个方面来完善单位信息系统管理，同时加强信息系统建设的统筹规划，将信息系统建设作为“一把手”工程来抓，设置信息系统管理岗位，明确信息系统管理责任，对信息系统实行归口管理，统筹管理信息系统开发、运行和维护等工作。

行政事业单位应重视信息系统在单位内部控制中的作用，根据内部控制相关要求，结合组织架构、业务流程、技术能力等因素，制定信息系统建设总体规划，健全单位信息系统管理程序，有序组织信息系统开发、运行维护，优化单位升级活动流程，防范经济活动中的人为风险，提高单位内部管理水平。

2．信息化建设路径选择

行政事业单位要实现内部控制的信息化，可以通过信息系统的自制和外包两种建设方式。

信息系统自制指的是单位利用自身的人力、财力、物力，建设适合单位自身特点的信息系统。信息系统外包指的是在单位的内部信息资源（信息技术基础设施、信息技术人员等）有限的情况下，以契约的方式将全部或者部分信息系统业务外包给信息技术供应商，从而完成单位信息化建设的一种措施。

在这两种建设方式中，信息系统自制对单位自身的技术实力要求较高，后者较低。一般而言，如果市场有较为成熟且能够满足单位特殊需求的系统或者软件，单位应首选外包；如果市场没有符合单位特殊需求的系统或者软件，单位可以选择自行开发和业务外包；如果自身技术力量薄弱或者出于成本效益考虑，不愿意维持庞大的开发队伍，可以采取业务外包，它能够最大限度地利用信息技术供应商的资金、规模优势、创新能力以及特殊技能，有助于降低单位对于信息系统的建设费用，优化业务流程，提高信息系统的应用水平和质量。需要注意的是，如果涉及某些需要有保密性质的业务，单位要依据相关法律法规，确保系统的保密性、安全性。

此外，外部信息技术供应商可以是专业机构或专业人员。比如，行政事业单位内部控制专业咨询机构、行政事业单位内部控制应用软件开发商、高校专门研究行政事业单位内部控制的教授、研究人员等。