2 高校内部控制建设理论基础
2.1 内部控制理论
内部控制理论是依据控制论和经济控制论的一般原理建立起来的,是用控制论和经济控制论的科学方法分析研究每个具体经济组织内部经营管理过程的理论,它研究每个具体经济组织如何发挥其管理职能,如何对其经营管理过程进行有效的调节和控制。
2.1.1 内部控制的概念
本文在参考相关理论文献及 COSO 报告和我国 2008 年最新颁布的基本规范等基础上将内部控制定义为是为合理保证单位经营活动的效益性、财务报告的可靠性和法律法规的遵循性,而自行检查、制约和调整内部业务活动的自律系统。包括控制环境、风险评估、控制活动、信息与沟通和监督活动等要素,并受企业董事会、管理阶层及其他人员影响。依据企业内部控制的概念,将高校内部控制的概念定义为,高校为了保证各项运行管理的有效运行,保护学校资产的安全完整和有效运用,防止、发现和纠正错误、舞弊与欺诈行为,保证会计信息和其他相关信息的真实、完整,控制各种风险,提高高校管理水平和效益,为实现高校管理目标而制定并实施的一系列控制方法、措施和程序的总称。它是一个能实现自我检查、自我调整和自我制约的系统。
2.1.2 内部控制的目标
高校内部控制的基本目标有健全和完善高校会计行为准则,保证会计资料真实、连续、可靠和完整;堵塞漏洞、消除隐患,预防并及时发现、纠正错误及舞弊行为,确保高校资产的安全、完整;认真贯彻和执行国家法律法规和学校内部控制规范;按照风险控制识别要求,科学、细致、全面的对学校的各项运行管理风险进行有效识别,特别要关注重大工程项目、重大决策以及筹资和投资等各个关键环节的风险识别,确保高校能有效防范风险,以增强高校在日趋复杂的运行环境中抵御风险的能力,这也是高校内部控制的重要目标;发挥高校内部审计的职能作用,对高校的各项运行管理目标进行监督。
2.1.3 内部控制的发展
迄今为止,国外内部控制理论的发展大致经历了五个阶段:
萌芽期:内部牵制阶段(Internal Check)。20 世纪初西方资本主义经济得到了较大发展,股份制经济规模不断扩大,竞争也不断加剧。在此背景下,美国一些企业按照经营者的主观设想逐步摸索并建立起了一套内部牵制制度雏形。1936 年美国会计师协会在《由独立的会计师执行的财务报表检查》将内部控制定义为:为保护公司现金和其他资产,检查簿记事物的准确性而在公司内部采用的手段和方法。并提出审计师在审查时,应审查企业内部牵制和控制。由此内部控制进入了内部牵制阶段。内部牵制主要通过人员配备和职责划分、业务流程、簿记系统等来完成。
发展期:内部控制制度阶段(Internal Control)。20 世纪 40 年代至 70 年代,内部控制的发展进入内部控制制度阶段。1949 年,美国会计师协会的审计程序委员会为内部控制提出了更为全面的定义,即“内部控制是指内部控制组织制定为保护企业的财产、检查会计信息的准确性和可靠性,提高经营效率,以及促使遵循既定的管理方针等所采取的方法和措施” 。1958 年,审计程序委员会发布了《审计程序公告第729 号》重新表述了内部控制定义,将其划分为会计控制和管理控制两部分。这一阶段是内部控制的发展阶段,不仅对内部控制制度给出了权威的定义,还对企业内部控制对象进行了初步的划分。
过渡期:内部控制结构阶段(Internal Control Structure)。1988 年美国注册会计师协会在《审计准则公告第 55 号》中第一次用“内部控制结构”代替了“内部控制制度”,公告中指出:“企业内部控制结构包括为提供达到企业特定目标合理保证而建立的各种政策和程序” 。公告把控制环境作为一项重要内容与企业会计系统和控制程序一起纳入内部控制结构之中,并且不再区分内部会计控制和内部管理控制。内部控制结构是内部控制理论发展史的一个重大突破,标志着内部控制已经发展成为一种较成熟的理论,此外其还较为完整的提出了控制程序包含的内容,为后来 COSO 报告的控制活动的概念的提出奠定了基础。但是,此时内部控制依然被当作是从企业管理中抽象出来为外部审计服务的一个工具,仍旧没有从风险的角度来考虑内部控制系统结构的构成。
成熟期:内部控制整体框架阶段(Internal Control Integrated Framework)。进入20 世纪 90 年代的 1992 年,美国 COSO 委员会发布了一份报告《内部控制一一整体框架》。COSO 报告首次提出了内部控制框架结构,其结构由控制环境、控制活动、风险评估、信息与沟通和监督活动五个要素构成。两年后 COSO 委员又对其报告进行了修改和补充,提供了一个更为完善的内部控制框架结构。COSO 报告标志着内部控制进入了整体框架阶段。这一阶段的丰富和发展了企业的内部控制,引入了风险评估、信息与沟通,这种架构不仅有利于企业构建更为适合的内部控制,还对企业有效的控制风险提供了可靠的理论保证。
深化期:全面风险管理阶段(Enterprise Risk Management)。2004 年 9 月,COSO委员会在 COSO 报告的基础上,根据《萨班斯一一奥克斯利法案》的要求进行扩展研究,颁布了新的报告《全面风险管理一一整体框架》(简称 ERM 框架),定义:“全面风险管理整体框架是一个在战略决策以及在整个企业中贯穿实施的过程,用于识别影响企业的潜在事件,将风险控制在企业风险偏好的范围内,并为企业目标的实现提供合理的保证。上述过程受到企业董事会、管理层及其他人员的影响” 。ERM 框架是在内部控制整体框架的基础上向风险管理领域的拓展,并没有完全取代内部控制整体框架,而是将内部控制整体框架纳入了其中。
完善期:进入 21 世纪的 2011 年 12 月美国 COSO 委员会发布了新修订的 COSO新框架。新框架提出了全球经济背景下企业健全内部控制的原则和属性,进一步发展和丰富了内部控制目标的内涵;完善了企业内部控制实施的范围,提出了内部控制应从组织内部扩大到提供外包服务的机构和组织;新框架还对 1992 年以来内控技术的演变进行了研讨和论述,更深入的讨论了运用多种现代化控制技术来构成控制活动,包括多种技术的分类方法和差异。新框架的新思想和新理论为企业健全和完善内部控制提供了新方法和新指导。
我国内部控制的建设与发展主要是在上世纪九十年代开始,我国政府根据国内企业在经营管理中出现的典型问题在借鉴国外先进内部控制经验的基础上,当时进行了科学和深入的相关研究之后,相继出台了许多关于建立和加强内部控制的规范和制度。
其集中体现了国内学术界在内部控制方面的研究成果。
1997 年 1 月国家审计署颁布实施的《中华人民共和国国家审计基本准则》;同时中国注册会计师协会也颁布实施的《独立审计具体准则第 9 号一一内部控制与审计风险》,对注册会计师审查企业内部控制做出了明确规定。
1997 年 5 月,中国人民银行颁布实施的《加强金融机构内部控制的指导原则》,这是我国第一个关于金融机构内部控制的行政规定。
2000 年 7 月财政部颁布的《会计法》首次以法律的形式对企业内部会计控制做出相应的规定。
2001 年 2 月证监会颁布的《证券公司内部控制指引》,并于 2003 年进行了修订。该指引首次对证券公司的内部控制做出了详细的、可操作性的规定。
2002 年 9 月中国人民银行颁布的《商业银行内部控制指引》,这一指引了为健全和完善国有商业银行的内部控制体系建设提出了切实可行方法。
2006 年财政部颁布的《企业内部控制规范—基本规范》和《企业内部控制规范—货币资金》、《企业内部控制规范—固定资产》、《企业内部控制规范—工程项目》等。
这些权威的规范进一步丰富和发展了国内企业的内部控制建设,为企业内部控制发挥有效作用提供了强有力的保证。
2008 年 6 月我国财政部等五部委在我国国情的基础上借鉴 COSO 的内部控制报告发布的《企业内部控制基本规范》。
2012 年财政部颁布的《行政事业单位内部控制规范(试行)》要求,对健全和完善行政事业单位内部控制的建设提供了规范指引,结束了行政事业单位内控建设没有国家统一、规范的文件指导的历史,标志着行政事业单位内控建设的发展进入了新的历史阶段,该规范的内控架构更科学合理,可操作性更强。
综上所述,国外发达国家内部控制理论发展的比较早,国家的内部控制指导规范也比较完善,企业、高校等各行各业的单位内部控制都可以依据这些规范来进行建设和实施,内部控制建设比较完备。相对于国外,我国内部控制理论发展的就比较晚,国内的专家学者对内部控制理论的研究一方面来源于借鉴国外的内控理论,另一方面来源于从管理学的角度来进行的分析和研究,将内部控制和公司的管理两者结合起来。
截止目前,我国国内尚未有专家学者或者组织机构正式提出过权威性很高的内部控制框架理论。但是,我们已经可喜的看到国家越来越重视内部控制理论的研究和建设,从《企业内部控制-基本规范》再到《行政事业单位内部控制规范(试行)》,我国从国家的角度颁布了一系列内部控制建设的指导性规范和要求,填补了我国内部控制建设领域的多项空白。目前我国企业、行政事业单位等各行各业的内部控制建设都是依据我国的法律法规和现行颁布的行业控制规范和要求来进行的。
2.2 行政事业单位内控理论
2.2.1 行政事业单位的内涵及发展演进
我国行政事业单位是行政单位和事业单位的统称,行政单位是按照一定程序建立的行使国家权力,受理国家事务的部门和单位;事业单位是国家为了社会公益目的,由国家机关举办或者有其他组织利用国有资产举办的,从事教育、科技、文化、卫生等活动的社会服务组织,是我国特有的政治体制下的公共职能部门。伴随着我国经济社会发展的历史进程,作为国民经济和社会发展的重要领域,中国行政事业单位经历了产生、发展和改革的过程。行政事业单位产生于计划经济体制时期,发展初期实行“定员定额,统一配置”的管理阶段,突出的是参与国家管理的管理职能阶段;十一届三中全会以后,行政事业单位的发展已经滞后,不能在发展社会主义市场经济和改革开放中发挥高效的作用,从八十年代初期开始,行政事业单位就进入改革发展阶段;行政事业单位经过近 30 多年的改革发展,逐渐从侧重管理职能上转变成侧重于社会服务职能上,通过改革机构、人员配置、部门和单位职能等方面来不断的适应市场经济和改革开放的发展需要。2013 年党的十八届三中全会审议通过的《中共中央关于全面深化改革若干重大问题的决定》,对事业单位改革进行了一系列部署,使其真正成为提供公共服务的主体,事业单位的正向效应才会完全体现出来,这无疑是事业单位改革的破冰之举。去行政化与过去铺就的历史长轨告别,事业单位驶入新的发展轨道。
2.2.2 行政事业单位内部控制建设的理论依据及内部控制规范要求
目前我国行政事业单位内部控制建设的主要目的是为了保证公共服务的效率和效果,而不是经营方面的。这是由于其作为公共服务部门,行政事业单位属于非营利的公共组织,其职能就是对社会公众提供无偿服务,其业务活动主要以实现社会效益为目的而不是经营效益最大化。其内部控制是借鉴美国 COSO 报告的框架理论,从控制环境、控制活动、风险评估、信息与沟通和监督活动这五个方面对我国行政事业单位的内部控制进行设计和建设的。这五要素是其内部控制建设的核心内容,对每个要素均应重点关注。行政事业单位的内部控制建设要遵循重大决策集体参与、权利均衡分配相互制衡、风险评估科学全面、不相容职务相分离、信息沟通流畅化等和内外审计监督并举等原则来设计内部控制的具体目标。
行政事业单位内部控制规范要求全国各级行政事业单位应按《行政事业单位内部控制规范(试行)》的要求健全和完善单位内部控制。按照职能和部门的属性,财政部门、审计部门和纪检监察部门应当承担行政事业单位内部控制实施的主要监督责任。
财政部门作为公共资金预算使用的审批者和分配者,有义务对预算资金的使用效能进行监督和复核;审计部门有责任对预算资金使用的合理、合规性进行审查,对相关部门和岗位受托责任的履行结果进行审计;纪检监察部门则对预算资金使用的违法违纪情况进行监督、调查和惩处。这些内部控制中具有监督职能的监督部门,要对其单位内控监督的有效实施提供必要的指导、评价及结果处理,在事前和事中监督、在事后评价、将评价结果进行阶段总结,促进行政事业单位内部控制建设不断的健全和完善。
具体包含以下几个方面:
控制内容:货币现金控制、往来资金控制、收入控制、支出控制、结余控制、实物资产控制、政府专项支出控制、政府采购控制、项目支出控制、其他支出控制、财务报告控制、信息化控制、内部审计控制、人力资源管理控制。
控制目标:管理和服务活动的合规合法、财务报告相关信息的真实和完整、资产安全、公共服务管理的效率和效果、有效的风险防范,保证单位实现发展战略。
控制原则:全面性原则、重要性原则、制衡性原则、适应性原则、成本效益原则。
控制因素:内部控制环境、风险评估、控制活动、信息与沟通、监督活动。
控制措施:重大项目和政策的集体决策、“问责”、预算的审计和监督、专项的授权批准、风险评估的应对措施、财产保全的责任细化、信息技术的沟通使用。