摘要:内部审计与内部控制作为高校内部治理的重要手段,在推动新时代高校治理体系和治理能力现代化中具有重要作用。本文结合实践工作,从高校内部控制的内涵和特点入手,剖析了高校内部控制建设中存在的问题,分析共性原因和规律;深入分析了内部审计与内部控制关系,提出内部审计与内部控制从加强顶层设计、确立合理组织方式、健全内控制度等六方面进行融合、发挥作用。
关键词:高校;内部审计;内部控制;融合
一、高校内部控制的内涵及特点
(一)高校内部控制的内涵
《教育部直属高校经济活动内部控制指南(试行)》对高校内部控制的定义如下:学校为实现办学目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。
(二)高校内部控制的特点
(1)内控内容复杂化。高校资金来源多元化,除财政拨款外,还有学杂费收入、贷款、捐赠、校办企业收入等来源,使得资金监管挑战大。会计核算内容复杂化,高校主体业务核算按照《政府会计制度》执行,校属企业按照《企业准则》执行。这些因素使得内控内容复杂化。(2)内控目标多元化。高校根本任务是培养人才,除围绕人才培养开展的经济活动外,还涉及招生管理、教学管理、学生事务、就业管理等业务活动。高校内控建设应涵盖经济和业务活动,活动多元化使得内控目标多元化。
二、高校内控建设中存在的问题
(一)上级对内控建设指导不够
(1)上级对高校缺乏针对性指导。最初高校按照行政事业内部控制规范推进内控建设,2016年《教育部直属高校经济活动内部控制指南(施行)》是首个针对高校经济活动出台的内控指导文件。地方主管部门尚未根据管辖范围内的地方高校特点制订出台内控建设和评价文件。如北京市属高校内控评价按照《北京市行政事业单位内部控制基础性评价指标评分表》开展,该体系中并未针对北京市属高校业务活动特点设计评价指标。(2)上级对高校风险评估要求不明确。行政事业内部控制规范对行政事业单位内控评价工作做出具体要求,但是对风险评估的牵头部门未做出明确规定,高校风险评估工作缺少政策依据,推进难度较大。
(二)内控建设的内部环境薄弱
(1)内控建设顶层设计存在不足。高校内控建设起步较晚,高校比较重视人才培养、科学研究和社会声誉等,对内控建设不够重视,多数高校内控建设停留在学校层面和经济活动范围内,注重学校层面内控体系建设,但未做到横向到边、纵向到底。多数高校是围绕经济活动开展内控建设,个别高校内控建设已向业务活动扩展,进程缓慢。其次,高校对校内二级部门内控建设重视不够,未做出统一部署,仅依靠二级部门负责人和领导班子的风险防控意识推进内控建设,未能有效防范校内学部制改革、综合改革等带来的风险。(2)对风险评估的重要性认识不足。风险评估是内控建设的基础,风险评估识别的风险,结合实际情况,建立有效的防控措施,防范和降低风险。目前,多数高校对风险管理认识不够,风险管理机制不健全,平时工作中业务部门未主动对风险定期进行识别、评估和应对。个别高校制定、修订学校内控手册前未进行风险评估,而是根据经验做法修订手册,导致手册实用性差。(3)对内控制度建设的理解不够。学校层面的内控制度比较健全,但向二级部门纵向延伸不够,二级部门内控制度不完备情况突出,高校未建立完备的内控制度体系。如:业务部门制定的制度主要从自身主业出发,对学校全局思考不够,使得出台的部分制度间存在冲突;个别制度不符合上级要求,未根据环境变化及时修订等。(4)内控建设组织方式不够合理。多数高校未单独设置内控管理部门,缺少内控管理专业人才,主要由财务部门牵头推进,财务人员对学校宏观层面和其他业务活动不够熟悉或不够全面,这不利于推进内控建设工作。聘请中介机构开展内控建设,中介机构对高校业务活动的了解不够深入,多数参照企业内控和行政事业内控规范制定高校内控手册,缺乏针对性,实用性较差,无法满足组织目标需要。
(三)对内控信息化不够重视
高校内控建设最终要实现内控信息化,实现“机控”。高校内控信息化起步较晚,未充分认识到内控信息化的必要性和重要性,未完全将信息化技术手段有效嵌入到内控建设中。业务信息系统建设时考虑业务活动较多,对内控考虑不足,或者仅考虑内控基本原则,存在较大风险隐患;已实现信息化的业务系统自成体系,系统间不能实现信息共享,形成孤岛,无法充分发掘和利用数据进行风险预警和识别。
三、高校内部审计与内部控制的关系
内部审计与内部控制作为高校内部治理的重要手段,两者既有区别,又有紧密联系,目标高度一致、内容相辅相成、作用相互促进。完善高校内部管理,有效防控和降低风险,提升高校治理水平,促进实现高校教育事业发展是内部审计与内部控制的共同目标。同时,内部控制是高校内部审计监督的重要内容之一,有效的内部控制有利于促进内部审计职能转型。四、高校内部审计与内部控制融合作用的路径
(一)内部审计和内部控制融合的必要性
1.内部审计和内部控制融合有助于提升高校治理水平。内部审计作为高校内控体系的重要组成部分,在内控建设中发挥着重要作用。内部审计通过对内控建设和执行情况进行监督和评价,发现缺陷,提出改进建议,促进完善内控体系建设。对内控监督和评价,转变“重建设、轻执行”的认知理念,提升高校对内控的重视程度和执行力度。内部控制作为高校治理的第一道防线,具有重要作用。科学、合理、有效的内控体系能有效防控和降低经济活动风险、廉政风险等。完备健全的内部控制有利保护干部,维护社会声誉,提升办学治校的能力和水平。
2.内部审计和内部控制融合有助。于提升工作效率效果内部控制是高校内部审计监督和评价的重要内容之一,完善的内部控制可以实现事前控制、事中控制,有效降低人为操作的风险,有效防控因管理疏忽引起的“屡审屡犯”问题;完善的内部控制可为内部审计提供良好的环境,内部审计在基础上开展以风险为导向的审计,利用信息化技术手段,通过大数据审计方式进行宏观分析、精准定位,挖掘出隐蔽性较强的问题,提高工作效率,提升工作效果。内部审计对内部控制进行监督和评价,及时发现内控建设和执行中的问题和薄弱环节,提出针对性较强的改进建议,督促学校和校内部门进行改进和完善,防范学校面临的潜在风险,有效化解风险,提升管理水平,促进实现目标。除开展学校内控评价外,高校在开展其他审计项目时也将学校和校内部门的内控情况作为重点审计内容。如:开展预算执行审计时要关注学校财务管理等方面内部控制情况,检查学校财务管理方面的制度完备情况、制度是否及时更新、是否存在制度不一致的情况等内控建设情况;同时还要审查学校制度执行情况,如审查学校财经决定是否按照学校“三重一大”制度规定进行集体决策。对审计中发现的问题,提出审计建议,助力完善内控体系建设,提升学校内部治理水平。
(二)内部审计与内部控制融合作用的路径
1.加强内部审计与内部控制的顶层设计。(1)上级主管部门出台系列指南和评价指标体系。内部控制建设是一个长期、不断优化的过程。近年来高校内部控制建设的外部环境和学校内部环境发生了重大变化,上级主管部门应根据国家新要求新变化及时更新对高校内控的指导文件,特别是对不明晰的内容进行完善,充分考虑高校行业特点,针对经济活动和业务活动分类制定翔实的内控建设指南,有助于高校立足于新发展阶段,贯彻新发展理念,逐步构建内控建设新发展格局。上级主管部门需配套出台高校内控建设评价指标体系,利于根据评价指标体系客观、公正地开展内控评价,发现缺陷和不足,完善内控体系。(2)高校加强内控建设顶层设计。内控建设作为高校实现治理体系和治理能力现代化的重要利器,要切实加强内控建设顶层设计,从宏观和微观层面做出统一部署和安排。学校和校内部门同时推进内控建设,相辅相成、有机结合、上下贯通,逐步形成一套制度完备、流程齐备、执行规范的学校内控建设体系,有效防范和控制“双一流”建设、校内深化改革等新工作带来的风险,将潜在风险化解在萌芽期,推进高校事业持续健康发展。
2.健全完备的内部控制制度体系。高校建立健全完备的内控制度体系,是推进内控建设的首要任务,是内控建设体系的重要组成部分。新情况新问题不断涌现,原有部分制度已经不能覆盖所有环节,制度盲点的出现,将会影响或减弱其执行力,完善的制度体系是防范经济活动风险和廉政风险的关键,是治标治本的有力保障。高校要及时根据上级部门的政策要求和自身发展需要,梳理内控制度,对不适合高校改革发展实际需要的制度要及时废止或修订,对于现行的工作流程和管理制度缺失的部分,要尽快补充、修改、完善,对于制度不一致的情况,要及时进行综合研判和修改,真正做到用制度来管人管事管权。通过健全内控制度,从源头和机制上堵塞管理漏洞,降低和防范风险,达到“治已病防未病”的效果。
3.内控建设合理的组织方式。开展高校内控建设,首先需要确定合理有效的组织方式,明确牵头部门。目前组织方式主要包括:单独成立内控部门、由规划部门牵头组织、由财务部门牵头组织等。实际中,除单独设置独立内控部门外,大部分高校由财务部门牵头组织内控建设,审计部门负责进行内控评价。推进高校内控建设时,必须将内控的建立和评价有效分离,坚决避免既是“运动员”又是“裁判员”的情况,真正达到“以评促建”的良好效果。高校应该结合行业和业务活动特点,确定科学合理的组织方式。
4.持续推进、优化内部控制信息化建设。新时代高校大力推进信息化建设,利用信息化技术手段固化学校内控建设成果。内控建设与学校信息化建设要协调推进。高校在制定信息化建设中长期规划应充分考虑内控信息化建设内容,并做出明确要求,信息化部门作为学校信息化建设的牵头部门,进行统一部署、统一安排,校内各业务部门在开发信息管理系统时,要将经济活动和业务活动的流程和内控手段嵌入到系统中去,利用信息系统控制取代手工控制,对嵌入系统各业务流程的关键步骤、关键环节及相关岗位的信息进行记录,便于查证与监督,有效防范舞弊行为发生。如国资部门的“电子采购平台系统”、财务部门的“全面预算管理系统”、科研管理部门的“科研项目管理系统”等,让信息跑路,节约人力和时间成本,提高工作效率和管理水平,提升师生员工的幸福感和满意度。以信息化技术作为控制手段可以防范人为干扰风险,从人防到技防,执行力得到增强。高校的各个系统会涉及校内多个部门、多个角色,通过信息系统对部门和人员按照各自职责分别授权,将申请、审批等不相容岗位有效分离,实现分事行权、分岗设权和分级授权,实现系统控制目标,能够保证各系统信息真实、准确、完整,降低人为破坏风险,突出内控的“硬约束”。加大对主要业务或关键环节的信息化监督和自动预警力度,做到早提醒、早发现、早防范,提升重大风险化解能力。高校在内控信息化建设中应关注部门间、系统间数据共享,应建设学校数据统一平台,实现数据交互共享。目前高校各部门根据分管领域尤其是主要业务部门都建立了业务信息管理系统,各系统的数据格式和数据接口要求都不尽相同。信息化建设牵头部门在建设数据统一平台时,要对学校现存的各个部门信息系统进行摸排梳理,对各个系统情况进行分析梳理,制定数据格式、数据接口等标准,对于能够与统一数据平台对接、能够实现数据交互共享的信息系统保留,将相关数据接入学校数据统一平台;对不能接入数据统一平台的信息系统要根据不同情况采取不同策略;对于新建的信息系统要纳入学校信息化建设规划,高校要修订完善信息化建设方面的制度,健全管理机制,保证新建的系统数据与数据统一平台实现对接、实时共享。内部审计信息系统纳入学校数据统一平台管理,高校内部审计利用信息技术在学校数据统一平台上采集财务、资产等相关业务数据,以风险为导向,进行综合分析、整体研判、精准定位,锁定疑点、发现隐蔽性较强的问题,将风险点定期预警,助力学校和二级部门完善管理,提高工作效率。高校根据内部审计建议或环境变化及时对学校内控系统和业务流程进行修订完善时,应将更新的部分内容及时嵌入信息系统中,确保各业务流程和控制措施及时适用。
5.加强对内部控制的监督检查。高校要健全对内控的监督检查机制,完善内控评价管理办法,从制度层面对内控监督检查工作做出要求。除接受上级主管部门对内部控制的外部评价外,高校也要定期对内控进行监督检查,全面提升内控成效。高校开展内控自评工作时,可以采用学校审计人员与中介机构人员成立联合项目组,充分发挥双方优势,提升内控评价质量,促进学校内控建设不断优化,更好地发挥内控作用。高校要立足新发展阶段,贯彻新发展理念,重视内控建设和内部审计工作,做到“两手抓、两手硬”,不断拓展两者融合作用的路径,提升高校治理水平,有效防范和化解重大风险,促进高校治理体系与治理能力现代化建设,推动高校事业高质量发展。
作者:廖宏伟 卞艳
