高职信息化建设内部控制探索

摘要：信息化建设是一个复杂而庞大的集合，信息化建设的内部控制覆盖信息化建设的各个方面，本文以常州工程职业技术学院为例，通过梳理信息系统建设重要风险、完善信息系统项目建设制度、引入校园信息化建设监理机制，加强信息化建设体系内部控制，提高信息系统的使用效率，推进数字校园信息化建设。

关键词：信息化建设；内部控制；风险点

2016年4月，学院启动内部控制建设，信息服务中心一直按照要求细化信息化建设内部控制具体实施步骤，把好信息化建设的内控关，确保系统运行安全稳定可靠，推进数字校园信息化建设。

一、梳理信息系统建设重要风险，把好重要风险关

（一）规划期风险与控制。信息孤岛风险，在数字校园总体规划下构建校园信息系统，必须充分考虑未来是否可以与学校内其他信息系统共享和交换数据，防止形成更大的信息孤岛;管理理念风险，不重视信息系统的管理内涵，过于强调技术本身，未能充分考虑学校的组织架构、业务流程、管理层观念等因素的影响；预算风险，预算范围不够全面，仅考虑系统软硬件设备预算，未充分考虑基础设施环境改造、接口开发、系统对接等费用。采取的措施：结合学校的教育发展战略，站在全校的整体高度，制定出符合学校数字化校园目标的数字化校园建设总体规划；从组织战略和管理变革出发，把每个信息系统建设当成一个管理工程来落实，对管理人员进行培训，包括信息化规划、项目管理方法等知识；系统预算除了要考虑系统软硬件设备购买的资金来源，还要为系统实施、接口开发、后期运维预留充足预算，以防出现资金短缺，影响系统正常运行与日常维护。（二）实施期风险与控制。系统的实施风险是确认系统各项任务的顺利实施的过程，也是投入最多的人，物和资源的阶段。加强实施过程的风险控制是日后系统成功运行的主要保证。对项目实施采用第三方信息化监理公司监督管理，努力使项目目标在这一阶段按时保质实现。实施组织风险，过分依赖系统供应商的实施，校内没有组织实施团队，忽视了校内其他相关部门的需求，项目实施困难以及学校内部的跨部门协调困难。采取的措施：学校与合作方建立项目实施组织，成员知识结构安排合理，管理部门人员、咨询专家与技术业务骨干等人员构成，保证人员稳定；制定周详的实施计划，包括进度安排、质量标准、沟通方式等，明确部门与团队成员职责，将任务与职责划分到每个人；对实施团队分层次分阶段进行系统技术维护、业务操作等培训，做好系统上线的准备，及时处理试运行出现的问题，合理布置安排前期准备，使系统平稳上线。（三）运维期风险与控制。运行管理风险,平时未建立规范的系统管理制度，缺乏例行检查，备份数据不及时，系统未经审核，随意变更、升级或修改，导致系统运行不稳定；安全管理风险，服务器安全，软硬件损坏，数据安全，数据不完整、信息缺失、错误，管理疏漏；网络完全，遭受网络攻击、病毒破坏、数据窃取和非法篡改；设备安全，设备管理难度大；操作安全，操作人员权限混乱等。采取的措施：明确各部门人员的职责，建立系统运行管理机制，定期检查，跟踪日志记录，及时发现并解决存在问题，确保系统稳定运行，定期备份数据。根据信息的类型和重要级别，进行不同的周期备份，操作程序标准化，建立操作维护工作流程，系统变更执行严格的审批程序。设专用数据中心机房，配置大容量不间断电源，加强对服务器的安全防护，采用双机热备，做好数据备份，做好异地防灾备份。通过加强网络安全，利用系统运维监控平台对网络，终端信息点和信息系统进行监控和告警，及时排除故障。进行登录访问控制，用户分级授权，避免授权不当和越权操作，定期进行业务培训，减少误操作。

二、完善信息系统项目建设制度，筑牢内控制度关

内部控制的制度建设是内部控制工作的基础和保障.信息中心根据确立的风险点和防范举措，进一步修订牵头制定的信息系统建设相关的规章管理制度。首先,制定一套科学、合理、有效的信息系统建设的制度、规定、标准和管理办法，制度层面的系统级文件对于维护学校信息系统建设的安全性，日常运营管理，规范运营商以及操作人员行为具有重要意义。其次，实行职责分离和人员的管理。职责分离主要指系统的开发与操作、输入与审核以及系统操作和文档管理人员之间的权责分离，做好信息化建设内部控制措施。

三、引入校园信息化建设监理机制，严把外部监督关

校园信息化建设是一个覆盖面广、需求多变、技术复杂的信息化工程，需要耗费大量的资源，对于这样一个复杂的工程任务，为了做到事前、事中、事后全方位管控、集预防、监管、评估为一体，达到工程预期建设目标，2015年，学院引入信息工程监理，对项目实施进行规范化管理和科学评估。引入信息系统监理可以弥补学院在校园信息化建设项目的管理技术水平和管理经验方面的不足；可以有效地改善学院和系统集成公司之间的技术沟通；双方在技术服务和合同管理方面的争议可以公平客观地处理。引入专业的信息化系统工程监理，可以为校园信息化项目建设保驾护航。信息系统是学校各个管理部门的业务基础，学校在建设信息系统时应充分考虑信息系统自身的控制，促进信息集成与共享，发挥内部控制作用的同时，正确认识、积极应对、主动防御信息系统建设过程中的风险，降低信息系统建设的风险发生率，更好的实现预期的目标，校园信息化建设将顺利进行，学校教育信息化管理水平将得到全面提升。

参考文献：

[1]张琼.高校信息系统内部控制研究[J];财会通讯,2014(23):76-77.

[2]梁锋,万里程.信息化建设中信息系统工程监理的作用研究[J].建设监理,2017(11):57-58.

作者:赵小芳 单位:常州工程职业技术学院信息服务中心