如何建立完善的高校内部控制制度

占 琳

摘要:本文根据《企业内部控制基本规范》的五要素,结合高校内部控制工作的实际情况,对如何建立完善的高校内部控制制度提出意见和建议。

关键词:内部控制制度;《企业内部控制基本规范》;内部控制环境;风险评估;内部监督

中图分类号:G627.2文献标志码:A 文章编号:1002—2589(2009)26—0160—03

内部控制制度是指各单位在内部分工相互制约、相互联系的基础上,采取一系列具有控制作用的方法、手段和措施,并加以规范化、系统化、制度化所形成的一整套严密的控制机制,也称为内部控制系统。财政部、证监会、银监会、保监会及审计署等五部委联合发布的《企业内部控制基本规范》(以下简称《基本规范》),突破了我国将内部控制局限于会计与审计的传统局面,将内部控制嵌入企业生产、人力资源、营销等管理环节。任何一个单位,尽管规模大小不一,单位性质特点不同,都应该根据各自的具体情况建立必要的内部控制制度。虽然《基本规范》是为企业制定的内部控制制度,但它还是有很多地方值得高校学习借鉴。笔者结合工作经验,以内部控制五要素为基础,就如何建立完善的高校内部控制制度谈一点体会。

一、建立内部控制环境

1.内部环境是实施内部控制的基础。高校应当根据国家有关法律法规和学校的规章制度,建立规范的治理结构和议事规则,明确决策、执行、监督等方面的职责权限,形成科学有效的职责分工和制衡机制[1]。例如:规定校长办公室会议、党委会、职工代表大会等议事规则、管辖权限和相应的决策权利。

2.高校应当编制内部管理手册,明确各部门的职责权限,并使职工掌握内部机构设置、岗位职责、业务流程等情况,以便正确行使职权和保障其相应的权利。内部控制系统是由人来设计和实施的,高校中的每位职工都会受到内部控制系统的影响,并通过自身的工作影响着他人和整个内部控制系统。所以要求所有职工都应该清楚他们在高校、在内部控制系统中的位置和角色,才能推进内部控制系统的有效运转。高校设置科学合理的组织机构一定要在考量提高组织效率的同时,注意是否满足了内部相互监督和牵制的需要,即必须在效率、人员成本和控制力度之间做好平衡。不科学的组织机构设置会造成内部控制失效。

3.高校应当成立专门机构或者指定适当的机构具体负责组织协调内部控制的建立实施及日常工作,该机构负责人必须有熟练的专业知识。

4.高校应当加强内部审计工作,保证内部审计机构设置,人员配备和工作的独立性[1]。高校属于事业单位,人员管理实行聘用制,很难保证审计人职工作的独立性。在饭碗都无法保证的情况下,有多少审计人员敢冒顶撞领导的风险?这也是当前管理制度下普遍存在的忧虑。因此单凭严密的管理程序确实无法完全扼杀住领导们的舞弊风险,还需要有其他各种措施的综合使用。所以高校应当规定审计机构必须对内部控制的有效性进行监督检查,审计机构在监督检查中发现的内部控制缺陷,应当按照工作程序进行报告,对于内部控制重大缺陷,有权直接向校长办公室、党委会甚至是上级管理部门报告。同时需要改变当前审计机构只能对相关业务按照现有制度审查其合理性,却没有权利审查已执行制度或正拟定制度合理性的做法。

5.高校应当制定和实施有利于可持续发展的人力资源政策。人力资源控制应包括:

(1)建立严格的招聘程序,保证聘用人员的整体水平。

(2)关键岗位职工的强制休假和定期岗位轮换制度。

(3)建立公平、规范的业绩考核机制,将薪酬、晋升、辞退等公开进行,并做到奖罚分明。

(4)掌握国家秘密职工离岗的限制性规定。

美国货币管理局要求全美的银行雇员每年必须休假一周,在雇员休假期间,安排其他人员接替他的工作,其意图就是防止和发现雇员可能存在的舞弊。通过强制岗位轮换,或者带薪休假,在休假期间工作由别人暂时接替,则舞弊被发现的概率会大大增加,相应地职工舞弊的动机则会大大减弱。

6.高校应当加强文化建设。具有先进的管理理念、优秀的职业道德素养和专业能力、良好的工作氛围,以及充满创新活力、法制观念、公平机制的高校,就是拥有良好文化建设的高校,就是一个具有强大凝聚力的大家庭。

二、积极进行风险评估

1.不是只有从事经营的企业才有风险,可以说风险在高校中也无处不在。例如:人力资源风险、法律风险、社会环境风险、自然环境风险等。高校要学习航天工程管理方面的经验,卫星发射是要求高精确度的行业,一个螺丝的松动就可以摧毁整个发射计划,风险也就自然要高得多。为什么神州系列卫星发射那么成功呢?因为航天人考虑到了从产品设计、组建到发射每一个环节的风险,然后评估风险发生的概率和影响程度,能够修改的就改正,不能的就制定好应对措施。因此高校应该全面系统持续地收集相关信息,结合实际情况,及时进行风险评估。

2.一个风险事件可能造成多米诺骨牌效应形成重大灾难,因此了解事件之间的联系尤为重要。这就意味着不能只深入了解单个风险,应该将所有的风险联系起来。但是人往往只能在其工作领域内发现风险,所以要解决问题就必须倾听每个人的声音,特别是那些基层职工的声音。因为他们从事实际工作,了解工作流程,清楚哪个环节有漏洞。

3.事实上许多风险的发生是有规律的,因此总结经验、吸取教训就特别重要。不能在发生问题后只是调换人员了事,要重新评估是否制度存在漏洞,并进行及时修改,日后才可以避免问题重复发生。任何事情都有轻重缓急,高校在风险评估中也应该执行重要性原则,即内部控制应当在全面控制的基础上,关注重要业务和高风险领域,这样可以将有限的资源运用到最大化。

4.高校应当根据发展战略,针对性、持续性地在未来中寻找风险。事物是不断发展变化的,但是很多高校的财务、人事等制度常常是几十年如一日,没有任何改变。

三、组织有效的控制活动

内部控制就是法治,就是按制度办事。但我国目前外部法治环境不够健全,内部则缺乏基本的法治意识,很多人的观念仍然是“只要有门路,没有办不成的事”,所以需要建立严密的管理程序。除了能规范和提高业务处理的效率外,其实还有控制风险的功效,而且还是让下级可以控制和监督上级的法宝。高校应当结合风险评估结果,采取相应的控制措施来管理风险。控制措施就是管理程序,具体说就是:

1.不相容职务分离控制要求高校全面系统地分析、梳理业务流程中所涉及的不相容职务,实施相应的分离措施,形成各司其职、各负其责、相互制约的工作机制[1]。所谓不相容职务是指某些岗位由一个人担任,容易发生错误和舞弊并且其有机会掩盖舞弊行为。不相容职务分离控制在财务会计领域已经普遍采用,但在采购、基础建设领域也应该采取牵制措施。

2.高校各级管理人员应当在授权范围内行使职权和承担责任,对于重大的业务和事项,应当实行集体决策审批或者联签制度,任何个人不得单独进行决策或者擅自改变集体决策。从理论上说,权力越大的岗位,通常潜在的舞弊风险也大,因此对其权力制衡约束的力度也应该越大。但是当前一个非常普遍的情况就是管理者的地位越高、权力越大,对其约束的力量不仅没有相应加大,反而相对减弱。为此,高校管理体系中应当特别针对中、高层管理人员制订一套完整的内部控制系统。这样的内部控制系统不应该是非常笼统的,而应该是具体列出。例如:规定未经党委会批准,任何人不得指示另外开设银行账户;不得做出对外投资或贷款决定;不得自行撤换中、高层管理人员和财务、审计人员;不得自行调整管理组织机构;不得自行采购安装设备;不得自行对外提供借款或经济担保;不得自行变更会计制度等等。如果权限没有被明确限定,再多的管理程序也是表面和名义上的,并且随时可以被突破,监督人员也就没有具体的制度依据对其进行监督管理。

3.会计系统控制要求高校严格执行国家制定的会计准则,加强会计基础工作,明确会计凭证、会计帐簿和财务会计报告的处理程序,保证会计资料的真实完整[1]。

4.财产保护控制要求高校建立财产日常管理制度和定期清查制度,财务财产记录、实物保管、定期盘点、帐实核对等措施,确保财产安全[1]。高校在进行资产盘点时应先盘点实物,再核对账册,这样可以防止盘盈资产流失的可能性。对盘点中出现的差异应及时进行调查,对盘亏资产应分析原因、查明责任并及时完善相关制度。高校要建立资产档案,对资产增减变动及时全面予以详细纪录,并严格限制未经授权的人员接触和处置财产。高校可以通过财产保险增加受损补偿机会。

5.全面预算是高校财务管理的重要组成部分,高校应当设立预算委员会,组织领导高校的全面预算工作。预算委员会应当确保预算下达并落实相关责任人,监控预算执行的全部过程,分析预算执行结果的差异,根据实际情况对预算进行适当调整,及时对预算执行成绩进行考核。

6.绩效考评控制要求高校建立和实施绩效考评制度。科学设置考核指标体系,对高校内部各责任单位和全体职工的业绩进行定期考核和客观评价,将考评结果作为确定职工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据[1]。虽然事业单位打破了“铁饭碗”实行了聘用制度,但是能够调动工作积极性的多劳多得机制,仍然很少执行。职工的工作成绩应当在其综合报酬中予以合理的体现,有合理薪酬在其进行舞弊行为前的考虑会比待遇较低者有更多的考虑和担忧。简而言之,“高薪养廉”的确是有一定道理。

7.高校应当建立重大风险预警机制和突发事件应急处理机制,明确风险预警标准,对可能发生的重大风险或突发时间,制定应急预案、明确责任人员、规范处置程序,确保突发事件得到及时妥善处理[1]。

8.高校在采购和基础建设付款时要编制付款计划,特别是资金短缺的学校,付款计划应由经办部门编制,经过审计后报财务部门综合全校收支情况,最终报预算委员会审核批准。高校应当严格禁止经办人员为对方单位催款,支付款项时应当由财务部门按照批复的付款计划根据事件进展程度安排,不能由经办人员指定付款对象,这样才能杜绝职工利用职务之便谋取私利。

9.高校虽然已经实行了政府采购制度,但是对于不纳入政府采购管理的专用设备和基础建设等,高校应当通过建立组织牵制对上述业务实行多头介入,同时规定完善的集中采购和公开、公平、公正的招标政策,确保所有采购尽可能集中由设备部负责,这样可以有效降低采购成本,和减少舞弊机会。如果涉及到一些高科技设备,应当由多名专业工程师对采购环节进行审核,重大采购合同需要法律顾问审核。高校应当建立设备质量管理档案,对产品质量和售后服务进行追踪,将不符合要求的产商或供应商列入黑名单。内控人员应该定期访问供应商,直接了解本单位职工是否利用职权向供应商提非法要求,如确有问题该职工要立即调离原工作岗位,绝不能给其日后报复供应商的机会。

10.高校的后勤集团和校办企业应当实施财务委派制度。虽然上述单位大多数属独立法人,但是在人事和财务方面都免不了和高校有业务往来,现在系统性财务舞弊往往采取在主体外造假的做法,如果没有委派会计对其进行监督和管理,它们就有可能成为帮助高校资金体外循环的公司。

四、完善信息与沟通的渠道

随着计算机技术的发展,高校不论是会计电算化还是教学管理等多方面都离不开计算机。因此必须加强对电子信息系统的管理,一方面利用先进的计算机技术提高办事和管理效率,另一方面要更加重视计算机设备、数据、程序、网络、日常使用的安全问题,确保内部控制的有效实施。

1.高校应当建立信息与沟通制度,明确内部控制相关信息的收集、处理和传递程序,确保信息及时沟通,促进内部控制有效运行。高校应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合,提高信息的有用性[1]。

2.高校应当利用信息技术促进信息的集成与共享,充分发挥信息技术在信息与沟通中的作用。高校应当将内部控制相关信息在单位内部与外部之间进行沟通和反馈。信息沟通过程中发现的问题,应当及时报告并加以解决。重要信息应当及时传递给管理层。

3.高校应当加强对信息系统开发和维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制,保证信息系统安全稳定运行[1]。高校不能过于相信电子信息技术的严密性,因为再先进的科学技术也会有被突破的漏洞,而且这样的漏洞更有隐蔽性,危害性也更大。例如:法国兴业银行损失的70亿美元,就是因为交易员曾经负责过后台安全工作,其知道如何规避用于阻止交易员进行大宗交易的高科技安全监测系统。所以不能只依靠电子信息监控系统,还需要有严密的内部控制制度来监管。高校应当注意财务和教务等数据信息的安全,防范数据泄密事件的发生。像笔记本、硬盘与U盘丢失或者被盗;恶意或者游戏性的黑客攻击;前职工的报复行为,都有可能导致信息泄漏。高校应当更多地考虑访问权限,通过软件对用户进行识别与授权,以及将职工岗位与其可以访问的数据进行匹配,主要是解决由于管理和审计权限发生变动而引发的数据泄露。另外数据是否被修改或者移动?何时修改的?改到什么程度?都要引起重视。

4.高校应当建立反舞弊机制,坚持惩防并举,重在预防的原则。明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限,规范舞弊案件的举报、调查、处理、报告和补救程序[1]。

5.高校应当建立举报投诉制度和举报人保护制度,设置举报专线,明确举报投诉处理程序、办理时限和办理要求,确保举报,投诉成为高校有效掌握信息的重要途径[1]。

五、实施强有效的内部监督

一项好的制度,如果贯彻执行实施不力,很难发挥其应有的作用。培根说过:“没有执行的制度,比没有制度更可怕。”

1.高校应当根据内部控制规范及其配套方法,制定内部控制监督制度,明确内部审计机构和其他内部机构在内部监督中的职责权限,规范内部监督的程序、方法和要求。高校的内部审计是内部控制的重要组成部分,是监督高校内部控制是否严格执行的重要手段,是促进内部控制制度不断完善的重要力量。高校要积极开展对内部控制制度的评审,科学合理地组织内部审计,提高审计水平和效率。

2.高校应当制定内部控制缺陷认定标准,对监督过程中发现的内部控制缺陷,应当分析缺陷的性质和产生的原因,提出整改方案[1]。

3.高校可以制订《内部审计等级评比细则》,根据该细则每年评比出优秀部门和优秀管理人员,该结果作为今后晋升职务和年度考核的重要条件,这样可以起到激励和鞭策的作用。

如何改变职工的思维习惯是高校内部控制制度建设中的大问题,许多流程是多年延续下来的,突然重新审视并加以修改,特别是针对某些岗位制定的内部控制制度,最初可能会让职工产生反感,认为是不信任当事人,其实这是在帮助和保护每个人,减少出错和犯罪的可能性。因为没有严格的法律制度约束,在巨大利益面前,没有人会自觉履行责任。对于高校而言,一个完善的内控架构,不仅需要符合相关法律法规的要求,更重要的是要从自身的实际情况出发,充分考虑到效率、成本以及能否操作等问题,探索出最适合自己的体系来。只有最适合自己的,才是最好的。

参考文献:

[1]财政部、证监会、审计署、银监会、保监会.企业内部控制基本规范[Z].2008.

(责任编辑/石银)