审计视角下高校内部控制建设存在的问题与建议

高尚国

高校内部控制是指学校为实现办学目标，提高办学效率，有效利用资源，防范和控制风险，在单位内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。近些年高校不断爆出的经济腐败案件拉响了长鸣警钟，同时也暴露了高校内部控制建设方面的不足和缺陷。十八届四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》，明确提出强化内部流程控制，防止权力滥用。财政部印发了关于行政事业单位内部控制建设、评价和报告的文件。教育部发布了《教育部直属高校经济活动内部控制指南（试行）》，为高校实施内部控制建设和评价提供了指导意见。为实现内涵式发展教育目标，提升管理水平，加强廉政风险防控机制，各大高校都纷纷完善自身内部控制建设，制定相关制度，梳理业务流程，管控经济活动，防范经济风险，明确内部管理的职责和权责关系，取得了一定的成效。

内部控制审计指高校内部审计机构对单位内部控制设计和运行的有效性进行审查和评价的活动。近年来，随着内部控制受到更多的关注和重视，高校内部审计工作重心逐渐从传统的财务收支审计向内部控制和风险导向审计过渡，不少高校开展了内部控制审计工作。下面结合高校内部控制审计工作的具体实施，谈谈高校内部控制建设存在的常见问题与有关建议。

一、高校内部控制审计工作的实施

（一）审计目标。高校内部控制审计工作的目标是通过内部控制审计，检查高校内部控制的建立和执行情况，查找薄弱环节和关键风险点并提出改进建议，为高校加强内部控制建设、提高内部管理水平、防范经济活动风险，提供审计信息和决策依据，促进建立长效机制。

（二）审计重点内容。高校内部控制审计重点审计高校建立和执行内部控制的情况，主要包括两个层面：

单位层面。内部控制建设启动情况；内部控制环境建设与完善情况；对关键环节和重点岗位履行职责的制约情况；内部控制制度建设与完善情况；不相容岗位与职责分离情况；内部控制管理信息系统功能建立情况。

业务层面。预算管理控制情况；收支管理控制情况；采购业务管理控制情况；资产管理控制情况；建设项目管理控制情况；合同管理控制情况；各项业务岗位设置情况；业务流程梳理和风险点排查情况。

（三）审计依据。高校内部控制审计主要依据有：《行政事业单位内部控制规范（试行）》（财会〔2012〕21 号）、《财政部关于全面推进行政事业单位内部控制建设的指导意见》（财会〔2015〕24 号）、《关于开展行政事业单位内部控制基础性评价工作的通知》（财会〔2016〕11 号）、《行政事业单位内部控制报告管理制度（试行）》（财会[2017]1 号）、《山东省贯彻〈行政事业单位内部控制规范〉实施意见的通知》（鲁财会〔2014〕4 号）、《教育部直属高校经济活动内部控制指南（试行）》（教财厅〔2016〕2 号）等。

（四）审计程序和方法。高校内部控制审计由高校内部审计机构负责组织实施，内部控制建设与评价的牵头和参与部门配合实施。内部审计机构根据有关规定组成专项审计组，具体开展内部控制审计工作。

召开见面会，发放审计通知书。参会人员为分管校领导和院长办公室、财务、资产、基建、后勤及其他相关部门主要负责人。通过会议传达内部控制审计实施方案及有关要求，参会人员结合本部门工作实际询问需要了解的情况。

了解基本情况。通过访谈、调查表、测评问卷等方式，摸清内部控制建设的大体情况。对内部控制建设方案进行了解和分析，初步评估审计风险，确定审计工作重点。

查阅相关资料，了解内部控制建设情况。查阅内部控制建设相关文件资料、会议纪要、培训材料。检查领导办公会会议制度，“三重一大”管理制度，预决算、财务收支、物资采购、固定资产、建设项目、合同管理等各项管理制度规定；检查部门与岗位职责、组织结构图、业务流程图、风险点清单、业务计划与总结、可行性论证报告、合同与协议、会计账簿与凭证及其他有关资料，了解内部控制制度完备情况、不相容岗位分离情况，以及对具体经济业务活动控制情况。查看内部控制信息系统，了解内部控制信息化建设情况。

通过多种方式对内部控制进行测试。主要采用实地观察作业实施现场、召开座谈会听取部门情况报告、对相关人员进行询问、研究分析相关制度、数据和资料、对管理流程进行穿行测试等方法对内部控制进行测试。

（五）审计分析和评价。针对内部控制五个基本要素，识别和评估存在的风险，对内部控制的建设和执行情况进行评价。并根据风险评估结果，制定风险应对策略，提出改进建议。

控制环境方面。包括“三重一大”事项集体决策机制的建立情况；管理层的授权与分工情况；上级政策的贯彻与执行情况；组织机构、岗位设置与职责建立情况；各项制度与业务流程的建立与执行情况；中长期业务发展规划或目标的制定情况，是否有可行的操作计划；人员招聘、上岗、业务培训与后续教育情况；业绩考核与激励机制、职业道德规范的制定和执行情况；内部审计机制的建立情况。

风险管理情况。对不同的业务风险管理目标制定情况；风险评估机制、风险预警机制和应急机制的建立情况；对具体业务的风险关键点是否有针对性地采取措施、加强管理以预防风险的发生。

控制活动情况。各项具体业务内容控制措施的建立与实施情况；各项措施目标是否清晰，职责是否明确，分工是否科学，方案是否合理，内容是否齐备，程序是否合规，结果是否能达到预期目的等。

信息与沟通情况。重大决策是否形成会议记录，及其规范性、完整性情况；制度装订成册和根据条件变化及时修订情况；管理信息系统建设情况，是否安全可靠，是否数据共享；有关程序设计是否合理；信息系统接触与信息录入、修改、报告（报表）授权情况，业务处理和数据汇总、分析、更新情况；不同部门相关数据能否定期核对；是否按照规定进行了信息公告；特定业务有无畅通的投诉或例外情况报告渠道。

内部监督情况。内部控制评估、监督机制和绩效考核体系的建立和执行情况；是否在考核、检查和评估的基础上进一步改进，形成一种良性循环机制；对于纪检监察、督察督办、绩效考核等部门的处理意见是否能够落实；对于内部审计部门的审计意见和建议是否能够整改到位。

（六）出具审计报告。审计工作完成后，内部审计机构将内部控制审计实施情况、审计评价结果形成专项审计报告，充分肯定内部控制建设成效，同时披露审计发现的问题，提出改进意见和建议。

（七）审计结果运用。对于审计发现的问题和提出的建议，高校决策层及内部相关部门、单位及时分析研究，明确整改第一责任人，制定整改措施并在在规定的期限内落实。梳理、完善相关制度，制定和完善内部控制措施。

二、高校内部控制建设存在的常见问题

（一）学校层面

内部控制管理体制机制不健全。未完全按照内部控制规范建立内部控制建设领导体制、运行机制和经济活动风险定期评估机制，未出台内部控制建设与评估相关规定。许多高校成立了内部控制工作领导小组，但没有设立独立的内部控制工作部门，仅委托财务、审计部门牵头或兼职完成工作任务。财务部门由于职责与业务范围限制，难以承担建设整个学校的内部控制体系任务。审计部门承担内部控制建设工作不符合内部监督应当与内部控制的建立和实施保持相对独立的规定。

内部控制制度协同性不够。由于未建立完善的内部控制体系和机制，学校内部有关机构从实际工作需要出发，按照各自承担的业务职能和职责范围，起草、印发规章制度，制定业务流程。但相互之间各自为政，制度的调研和出台缺少大局观、系统性、协同性和有效联结机制。制度约束力弱化，影响工作效率和效果。

“三重一大”事项集体决策会议记录制度执行不到位。按照规定建立了“三重一大”事项集体决策制度，但在实际工作中执行不严格。比如对于会议记录内容，只记录会议涉及的事项要素、大体决策过程和最终结果，缺少会议发言内容、发言人、赞成或反对态度与人数方面的详细记录，“三重一大”事项虽然采用了集体决策的形式，未完全起到督促尽职履责的作用，事后也难以分清责任。甚至在会议当时不做记录，事后再补，存在着极大的随意性。

绩效考评与培训制度不完善。对于教师有明确、细致的考核、培训办法，但对行政管理人员考核办法较为简单，尚未形成科学有效的绩效考核机制，影响工作人员的工作积极性。

管理信息系统需整合。信息化系统逐步完善，建立了信息化管理平台，采用了OA 办公系统。教学、财务、资产等职能部门各自实现信息化管理，配置了专业信息管理系统，但各个信息系统之间无法实现数据共享、信息传递与信息核对。

（二）财务管理方面

未建立内部机构负责人经济责任制。内部机构负责人经济责任制是确认高校内部机构负责人在履行职责过程中应担负的经济管理责任的制度，它是激励、考核高校内部机构负责人在经济管理方面尽职尽责的重要依据。未建立健全经济责任制，内部机构负责人经办经济管理类业务时不能明确自身职责，内部审计机构对其进行任期经济责任审计时也无直接依据与标准。

项目预算执行缺乏刚性。专项资金项目随意变更预算，随意调整项目支出结构和内容，甚至编制项目预算时并未有成熟论证的规划项目，只是为了争取预算资金，资金拨付后再根据实际需要确定资金用途，临时抱佛脚，预算编制与实际执行两张皮。

（三）物资采购方面

缺少科学统一的采购管理办法和程序。物资采购其中包括政府采购在机构设置、岗位职责、计划实施、采购方式、工作程序、监督检查等方面缺少统一规定，校内采购项目在采购方式选择和程序适用上存在随意性，不利于提高采购效率、规范采购行为。

专业类项目采购无专门规定。基建与修缮、计算机网络设备、专业教学设备、教学单位合作培训等方面的项目采购，专业性强，项目预算编制、招投标、项目实施、合同管理、验收与结算管理带有明显的专业技术特征，高校常将此类项目按照普通采购业务进行管理，未充分考虑专业特点和借助专家力量。

（四）资产管理方面

资产管理规定落实不到位。内部机构所属资产存放地点不固定，借用手续不完备、归还不及时，资产卡片不及时更换，内部机构负责人离任及工作人员岗位变动后相关资产不能及时交接、资产已交接未及时变更使用人等问题给资产的管理和盘点带来了困难，也存在资产流失的风险。

资产使用效益有待提高。教学仪器设备购置缺乏充分的前期调研与科学论证，缺少对教学仪器使用效果方面的研究，盲目申报采购，或追求高大上，导致仪器设备利用率不高。

闲置房屋使用与出租程序不完善。闲置房屋的使用和出租方面审批手续不完善，缺乏科学、统一的管理办法和实施细则。存在不经审批随意调配、擅自改变房屋使用人和使用性质、招租和租金的确定程序不完善、房屋出租合同签订不规范、房屋出租期间修缮保养不到位、出租期满不能到期归还等管理和控制不到位的情况。

（五）合同管理方面

合同管理体制机制不健全。未制定统一的合同管理办法，合同授权、审批和签署权限不明确，合同拟定、审批、执行与登记保管工作无依据。一般情况下高校经济合同管理业务办理权限在招标（采购）办公室或资产管理部门，管理相对规范。但经济以外事项合同的管理各自为政、比较无序，使用部门直接经办经济业务、签署合同，造成合同签署权限和印章管理使用的混乱。有的部门和经办人员不具备合同管理的专业知识，签署的合同存在不少瑕疵和漏洞，给单位带来法律风险。

合同审查程序需进一步规范。为降低合同风险，高校一般都制定有合同会签程序，由采购、财务、审计、法务和项目需求部门审查合同文本，签署修改意见。在合同会签过程中，存在以下常见问题：（1）未规定实施会签的合同范围，有的合同不走会签程序，规避审查；（2）合同会签仅要求提供合同文本，未将有关立项、论证、招投标资料、批复、会议纪要等作为合同审签附件，合同审查不充分；（3）对会签人意见的落实无强制性规定，导致合同会签程序形同虚设。

（六）基建与修缮工程方面

基本建设管理环节未完全理顺。基本建设项目从规划开始至最终计入固定资产止，规划、立项、审批、招投标、合同签订、施工、付款、验收、结算、决算审计、交接、转资等所有环节未完全理顺。有些事项的办理未充分调研，未形成共识，内部管理制度未涉及或规定不合理，导致按照规定必须办理的事情久拖不决。具体表现就是整个工作推进受阻，“卡”在某个环节，难以解决。

验收与移交制度与程序尚需完善。为加强基本建设项目竣工后的运行和管理，高校在工程项目竣工验收后，应组织基本建设、资产管理、安全保卫、后勤管理、使用单位等有关部门进行交接验收。由于有关管理部门和人员未能准确理解和区分工程项目竣工验收和交接验收之间的关系，影响工程项目交接、使用和正常管理。

缺少统一的修缮工程管理办法。由于缺少制度规范，修缮工程项目管理常常存在随意性，指派非专业部门承担施工管理。管理人员缺乏应有的工程管理专业知识、技能与经验，项目管理过程中随意调整工程施工内容和工序，材料采购、工程签证、项目验收、结算管理把关不严，导致虚增工程造价，而且极易产生合同纠纷和法律风险。

三、高校内部控制建设存在问题的原因与完善建议

高校内部控制建设存在上述问题的原因，来自于控制环境、风险管理、控制活动、信息与沟通和内部监督五个方面，其中最为重要的有：（1）领导层不重视，教职员工意识淡薄、认识不到位，未形成良好的文化氛围，缺乏内部控制建设的源动力；（2）内部控制建设组织体系未确立，缺少明确的实施主体和运行机制；（3）风险评估机制未建立，无法识别风险并做出应对策略；（4）管理体制机制或内部控制制度不健全，管理不到位，相关活动无依据；（5）部门之间存在信息壁垒，沟通不畅，影响问题的正常解决；（6）内部监督体系不完善，未充分发挥作用。针对问题和主要原因，提出以下完善建议：

（一）优化内部控制环境。加强领导，从强化内部控制理念意识入手，将内部控制融入日常管理，融入校园文化，融入宣传教育，构建良好的内部控制建设环境。一是要开展学习宣传，使学校管理层和广大教职员工正确认识内部控制，了解内部控制建设的必要性，形成全员支持、参与内部控制建设的氛围。二是要培育积极健康的校园环境文化，强化员工认同意识，促进员工加强自我管理，产生凝聚力，为建立和实施内部控制形成丰厚的土壤。三是要加强反腐倡廉教育，组织学习党风廉政建设理论和党纪政纪法规，运用典型案例开展警示教育。开展社会主义核心价值观教育活动，加强教职员工的诚信道德建设，不断提高整体思想素质。四是要采取多种形式开展内部控制和专业技能培训，强化工作人员的内部控制意识和风险防范意识，提高管理水平，保障内部控制建设的顺利实施。

（二）抓好内部控制建设组织体系建设。根据《行政事业单位内部控制规范（试行）》，参照《教育部直属高校经济活动内部控制指南（试行）》的总体要求，把建立健全内部控制体系提升到完善学校治理结构，促进组织有效运行，帮助组织实现目标的高度上来，把制定内部控制建设计划与方案纳入到学校整体战略和长期规划中来。对现有组织结构和岗位设置进行全面梳理，构建覆盖和联结学校领导层面、管理层面和具体操作层面，系统、科学、立体、完备的内部控制体系，按照规定确立内部控制职能部门或牵头部门，建立各层面、各部门的调研机制、沟通协调机制、问题解决机制和应急处理机制。

（三）建立经济活动风险定期评估机制。高校应根据实际情况，加强风险管理，完善风险管理领导体制，成立学校领导担任组长的风险评估工作小组，建立或指定风险管理部门。建立风险预警机制和风险防范系统，及时、有效识别风险，并尽快做出反应和处理。建立风险分析评估机制，采用科学的风险分析方法，提出详细的风险分析评估报告，确定内部控制关键环节。对于经常性风险，完善制度、明确责任、加强管理，建立常态机制和长效机制。对于偶然性风险，建立风险应急机制，确定合理的应对方案，科学决策，快速处理。建立风险管理评价机制，定期评价风险管理系统的有效性，查找薄弱环节，并不断完善。

（四）提高内部控制建设信息化水平。健全信息沟通机制，完善内部信息报告体系。强化信息内容管理基础性工作，把握信息的时效性，提高信息报告质量。加强组织成员之间信息的传递与管理，完善信息公开制度，提高信息交流透明度。建立信息报告系统定期评估机制，对信息报告系统存在的问题及时完善。构建以信息技术为基础的内部控制网络信息管理体系，将内部控制理念、目标和措施纳入、固化到信息系统，整合财务管理、资产管理、教务管理系统等信息系统模块，做到信息全方位系统化、科学化，保证信息及时有效传递，提高信息管理水平。

（五）完善学校管理体制机制、规章制度。根据《行政事业单位内部控制规范（试行）》要求，建立适合学校情况的内部控制体系。以采购、合同、资产或教学管理活动为主线，梳理业务流程，系统分析活动风险，确定风险点，制定管理措施。按照权责一致原则，成立专项工作领导小组并确定牵头部门，对经济活动实行统一管理，分工负责。重大事项按重要性程度，确定党委会、校长办公会和领导小组的审批权限。在此基础上根据国家有关规定，围绕物资采购、基本建设、修缮项目、合同管理等重点事项，制定统一的管理办法，明确业务归口、职责、分工、流程，并督促认真执行。

（六）强化考核、检查和监督。加强党风廉政建设，签署党风廉政建设责任书。严格按照“一岗双责”和“谁主管、谁负责”的要求落实反腐倡廉建设的责任，构建权责明晰、层层落实的反腐倡廉建设责任体系。加强经济活动重点领域和关键环节的监控，强化责任追究。设立督查督办机制，建立完善的监督检查、落实追踪和复查体系，促使逐级负责、科学分工、有序可控、有效实施，促进重点决策和规章制度的顺利贯彻落实。成立绩效考核组织机构，实施绩效管理。通过绩效管理塑造核心能力，营造文化氛围，促进积极变革。加大内部审计力度，积极推进内部审计全覆盖，整合审计资源，创新审计方式，充分运用审计成果，确保审计部门职能作用的发挥。

（七）针对具体问题类别，制定应对措施。审计过程中发现的业务层面具体问题一般可分为四类：第一类是机制、程序、环节未理顺的问题，这类问题一般涉及多个部门。可建立多部门协商机制，共同学习、研究现有业务规定和政策，梳理业务程序、环节，形成成熟的思路与做法，以流程图或内部制度的形式固定下来，并遵照执行。第二类是缺少内部管理制度和制度规定不完善、不具体的问题。业务主管部门应在熟悉国家有关法律法规的基础上，认真开展调研，结合学校实际，制定和修订有关制度，征求相关部门的意见后印发。第三类是制度规定执行不到位的问题。学校应强化问题分析解决机制、责任落实与追究机制，定期召开校长办公会、财经领导小组会议或其他专门领导小组会议，通报各类业务计划开展情况，研究、分析解决执行过程中存在的问题，提出改进措施，提高执行的有效性。按照制度规定和岗位职责落实相关人员应负的责任，提高责任意识，强化责任追究，确保各业务部门严格按照计划、制度规定和既定程序开展业务。第四类属于历史性、顽固性问题，比如往来款项长期挂账。这种问题原因复杂、时间过长，解决起来特别困难，必要时采取以业务主管部门为主导，纪检、人事、审计、法务等部门共同参与的方式，形成多部门联合办理的合力态势，建立问题解决台账，逐项进行处理。