全面風險管理視角下的我國高校內部控制轉型策略研究

季云瑞+李建華

摘 要：文章針對我國高校目前內部控制的現狀以及存在的問題，借鑒ERM模式理論和內部控制整合框架思路對全面風險管理視角下的高校內部控制轉型策略進行研究。旨在為建立一個完善、有內涵、實用于我國高校內部控制的精品建設體系拋磚引玉。

關鍵詞：高校內部控制 COSO ERM 風險管理

中圖分類號：F230

文獻標識碼：A

文章編號：1004-4914（2017）09-210-03

一、引言

（一）ERM概述

全面風險管理（ERM，Enterprise Risk Management）是20世紀90年代由美國幾家最大的銀行和證券公司提出的一種新型的風險管理模式。后由美國COSO委員會（編者注：COSO委員會全稱是美國全國反虛假財務報告委員會下屬的發起人委員會（The Committee of Sponsoring Organizations of the Treadway Commission，簡稱“COSO”）引入企業的內部控制體系，從而受到了各國政府和企業的廣泛重視。COSO（2004）的ERM框架又把內部控制由原來的五個要素拓展細化為內部環境、目標設定、控制活動、事項識別、風險評估、風險應對、信息與溝通和內部監督相互關聯的八個要素，提出了4目標八要素理論，為建立全面風險管理視角下的內部控制體系提供了理論支撐。ERM模式從理論到具體操作方法提供了一整套的內部控制框架。一些國際跨國公司和企業遵循ERM的要求完善自身的內部控制制度，改善了內部管理，取得了預期效果。經過十幾年的去粗取精、去偽存真、實踐檢驗和經驗總結， ERM模式已成為業界普遍公認的一個權威性標準，標志著內部控制已進入了一個嶄新的階段。

（二）我國高校內部控制體系的完善刻不容緩

隨著我國教育事業的蓬勃發展和教育規模的不斷擴大，國家對高校教育經費投入力度的不斷加大、高校在校園建設等方面資金渠道的拓展，使得高校資金流入量大幅度增加。一個由政府撥款、銀行貸款、后勤基建、學雜費等組成的高校資金規模正日益龐大，高校的內外部環境也由此發生了巨大變化。與此同時，高校的經濟犯罪案件也易發多發。高校已成為一些宿舍用品銷售商、教材供應商、設備制造商、校園卡制造商，建筑承建商和其他企業爭奪的對象；高校也成為了腐敗“重災區”，錢權交易、違規收費、利益尋租、挪用教育經費、私設“小金庫”、賬外賬、隱匿收入、濫用套用科研經費、工程項目“暗箱操作”等，這些現象層出不窮，給高校帶來了前所未有的風險和挑戰。這些問題的出現與內部控制體系管理和監控不到位有著直接關聯，不僅損害國家教育的形象，也損害了政府的聲譽。高校內部控制體系運行的好與壞，直接影響到高校的生存和發展，影響到高校教育資金的有效使用和辦學效益；這些存在的問題如得不到有效控制，必將影響我國的教育改革進程。因此，完善高校內部控制體系，解決內部控制過程中存在的諸多問題已到了刻不容緩的地步。

二、我國高校目前內部控制狀況

近年來，高校一直在參照和借鑒企業和行政事業單位的內部控制建設的標準，這些標準對于高校內部控制建設有著非常重要的參照意義，事實證明也取得了一些成效。高校領導對內部控制也很重視，一些高校成立了內部控制建設領導小組，設置了內部控制制度建設和實施辦公室；一些高校將各種文件審批手續嵌入OA流程中，用電子表格方式簡化手續；高校大多能夠對財政收入、支出、預算、資產、政府采購、基礎設施建設、合同等業務層面加強內部控制管理，并能從細節創新，采取一些有用而又有效的控制措施。然而，相比于企業和行政機構，高校的主要業務活動和經營目標有其顯著的特殊性，很難用統一的標準來管理和規范。高校現有的內部控制體系不符合高校自身的特點，重復、繁雜、無效的內容很多，缺乏實用性和針對性、沒有根據其自身發展中出現的新問題、形勢發展的新變化及時制定相應的內部控制制度，這種“制度滯后于變化”的現象及由此產生的控制“真空地帶”引發了新的風險和損失。我國高校目前奇缺的是一個有內涵、可操作、實用于高校內部控制體系建設的權威性的精品標準。

三、我國高校內部控制普遍存在的問題

（一）內部控制環境松散

1.高校近年的快速發展與現階段的內部控制制度不相適應。隨著我國改革深化及高校經濟活動帶來的變化，高校在政府采購、非稅收入直接上繳國庫、國庫集中支付管理、國家財務制度政策變更、多渠道資金籌措、崗位人員的調配等方面，使得高校傳統的辦學體制發生了巨大的變革。然而，面對新形勢下出現的新問題，高校的管理模式和管理理念沒有得到及時更新，傳統的內部控制制度落后于高校的快速發展，而權威性的內部控制精品體系又無從建立，極大地影響了高校的良性運轉和可持續發展。

2.高校內部控制管理意識薄弱。部分高校內部控制管理知識貧乏，以為內部控制就是簡單的規章制度的執行，建章立制即等于建立了內部控制，忽略了工作的目標、具體實施的過程、貫徹落實的時間表。不同的高校領導對內部控制的理解也存在差異，有的高校領導只簡單地把內部控制當作管理的手段，他們凌駕于內部控制之上，使內部控制制度如同擺設、流于形式；高校領導大多偏重科研、偏重教學、偏重效益及學校聲譽，但輕管理，輕防范，問題不成堆就不重視、不解決。在內部控制的實施中，有利可圖就執行，無利可圖就以靈活處理為由不按程序辦理、無視高校反腐倡廉及風險管理，使內部控制失去應有的剛性和嚴肅性。客觀上高校領導任期滿后就面臨換屆，這種情況導致高校領導一般都只重視任期內的短期“眼前利益”、“自掃門前雪”，而不愿意傷精費神花大力氣去建立內部控制這樣的長期制度。高校教師享受的是體制內的待遇，學校業績的好壞與他們的工資薪金收入無直接關聯。因此，他們平常只忙于自己專業的事務，對教學、科研管理、內部控制認知淺顯，不關心學校內部控制的優劣和運行風險。高校內部控制制度沒有形成全員執行、全員參與的局面，限制了內部控制作用在高校的全面發揮。endprint

3.內部控制機構設置不到位、各自為陣、聯動機制不完善。有的高校不按照要求設置專門的內部控制機構，導致內部控制工作沒有牽頭、沒有協調部門、采取各自為陣，極大地限制了整體工作的開展。有的高校內部控制由財務部門牽頭，在實施過程中出現“裁判員兼職運動員”的不合規現象。另外，高校各職能部門聯動機制不健全，關系不順暢，職責不明朗，沒有發揮聯合作戰的作用。

（二）風險評估機制缺失

高校在管理上面臨著越來越高的風險。這些風險囊括了高校各部門的方方面面，包括人力資源、招生、專業設置、設施運行、安全保障、財務管理等。但以目前情況看，高校的管理意識和總體風險控制意識較為薄弱，戰略思維和全局觀念缺失，雖然內部控制已引入學校的經濟活動中，但沒有設置專門的風險管理部門對可能出現的風險進行識別、評估和應對。有的高校嚴重缺乏風險管理人才，風險評估方式太過簡單，評價方法過于落后。個別高校雖然建立了風險管理機制，但形同虛設，不能很好地有效應用和實施。使得高校應對風險的能力極為脆弱，由此所引發的損失也較大。

（三）控制活動不健全

高校的控制活動已涵蓋高校的行政管理、教學、科研、后勤保障等方面，包括業績評價、信息處理、授權、職責分離和實物控制等多方面內容。相比來說，各高校在控制活動方面做得比較好，內部管理基本業務規范且有章可循。但部分高校的內部控制管理和流程存在盲點，有明顯的風險隱患。例如，“三公經費”報銷程序不規范，“三重一大”項目審議處置過程中沒有形成集體的決策；不嚴格使用公務卡結算；沒有形成單獨的合同管理制度，無存檔記錄、無簽單；學生宿舍由學生部門和后勤部門獨立管理，這方面漏洞很大；部分高校資產管理上存在“重買輕管”，只關心政府采購過程是否合理，不對物資進行跟蹤管理和報廢體制的完善，造成非常嚴重的浪費現象；有的高校疏于資產管理，財產清單沒有制度化、盜竊資產、損公肥私、化公為私和人為破壞嚴重，資產的有效使用率低下，安全性無法保障。

（四）信息系統和溝通渠道不流暢

高校的信息系統和溝通渠道方面存在明顯的問題。從縱向看，政府部門許多下發的應該有的政策及政策的執行程序落實不到位，現有的溝通方式單一，領導和基層群眾沒有建立良好的溝通渠道，致使教職工不能很好地了解內部控制的內涵；從橫向看，部門之間缺乏暢通的信息互換交流途徑。雖然高校也建立信息和交流的平臺，在校園里實現了會計電算化、電子化資產管理，教學及其他部門管理也使用專門的軟件，信息化傳遞渠道完善，但各部門自成體系，部門之間的信息資源不能共享。

（五）監督和管理機制不完善

雖然高校大都建立了內部控制制度，但評價和監督機制仍然不完善。表面上看高校內部有工會、教代會、紀檢等組織監督；外部監督有教育行政主管部門和政府審計部門，但實際情況往往兩頭無效。首先，在高校外部力量審計上，財政部門多半偏重于高校資金運作的合規和合法性的監督，往往忽略內部控制執行情況的實質性審查，相關部門檢查發現問題后不追蹤、不隨訪，整改執行落實不到位，使得高校管理層行使權力缺乏有效監督和制約。其次，在高校內部審計上，尚缺乏有效的針對內部控制流程監督的內部審計制度，也未建立經濟責任審計制度，由于經濟責任劃分不明確，所以無法把內部審計責任歸屬于個人。另外，高校信息公開嚴重滯后，公眾普遍關注的問題諸如招生、財務經費預算、科研經費的配置等關鍵信息基本上是一片空白，這在不同程度上影響了公眾和社會的監督。其次，內部審計部門在高校管理層領導下開展工作，其很難把監督落到實處，即使發現問題，對問題的處理也只是“牛尾巴打牛脊背—不疼”。部分高校的內部審計部門的設置是為應付上級部門的檢查而成立的，基本上形同虛設。部分高校內部審計部門任職的人員，其工作的實質主要停留在查錯和防弊階段，不從管理的總體角度來處理、思考、解決問題，沒有認真考慮事前預防和事后控制的應對策略和措施。有的審計人員缺乏專業內部審計知識、采用落后的審計方法和手段難以應付復雜的內部審計工作，也違反了審計的獨立、客觀原則。

四、全面風險管理視角下高校內部控制轉型

我國高校內部控制除了自身機構設置和管理不完善之外，尚缺少風險管理意識。隨著高校經濟效益的實現、風險的增加、教學和科研的加強、教職工的管理、社會聲譽的維系都需要強有力的內部控制作為保障。所以，內部控制的重組、轉型、升級迫在眉睫。COSO提出的《企業風險管理—整合框架》中，最重要的是加入了風險管理的視角，并將風險評估細化為四個要素，為建立全面風險管理視角下的內部控制體系提供了理論支撐。高校應引入全新的內部控制的研究成果，即全面風險管理理論，重新審查、梳理高校內部控制的關鍵環節及風險點，強化風險意識，實現高校內部控制的全面轉型。從客觀上講，高校內部控制主體在整體上素質比較高，在接受先進理念方面，理解領悟深、轉換能力強，推廣應用速度快。這些特質，為高校全面風險管理內部控制奠定了堅實的基礎。

五、全面風險管理視角下的高校內部控制轉型策略

（一）優化內部環境

COSO模式認為內部環境是其它一切要素的基礎和核心，決定了一個單位的價值取向和內部氛圍。內部環境的好壞對風險的產生影響極大。近年來，雖然高校在內部控制思想理論、內涵等方面得到了完善和發展，與經濟目標相關的內部控制制度的建設在范圍上、內容上也日趨廣泛，但由于方方面面的原因，內部控制環境仍然不盡人意。內部控制管理理念仍然欠缺，導致有章不循、違章不究，分工不明、責任不清、從而引發高校貪污腐敗、職務犯罪及國有資產流失等現象發生。

高校行政管理人員要以身作則，自覺接受監督，建立和完善內部控制制度下的實施組織體系，讓有效的風險意識為高校的發展保駕護航。管理者應該努力提高員工的內部控制環保意識和風險意識，促進教職工在平時的工作中貫徹執行內部控制的要求，強化和建立正確內部控制的觀念。在建立風險管理框架中設立專門的風險管理機構，引進專業的風險評估人員。endprint

（二）制定科學的戰略目標

加強高校戰略目標設計規劃的合理性、科學性，是從源頭上避免和防范高校面臨的一系列內外部風險、降低控制力和執行力風險的前提。高校要根據自己的情況和風險容量規劃辦學規模、學生培養、科研、專業建設和校園建設等層次的戰略目標，確定目標、權衡利弊，在收益和相關風險之間選擇最佳平衡。

（三）重塑風險控制模塊

高校應針對內部管理中的風險隱患和薄弱環節，特別是在權力集中的關鍵崗位和重點部位，明確風險評估的要求及控制點，在工作中不斷改進和完善不同的風險評估體系和相應制度。

1.加強風險預警機制，全面識別學校可能面臨的風險隱患。高校應查找自身的風險問題，并根據自身的特點，擬出重點防范原則，定出具體防范措施，比如，制作工作流程圖、建立風險檔案、分析財務報表、展開風險調查等，盡可能對學校易發多發的風險因素進行預測，識別學校可能面臨的風險隱患。

2.評估風險事項。高校應基于已識別的風險，用科學的方法，對風險出現的成因、發生的概率、損失的程度、預計時間進行全面審核，定期進行風險評估及對管理層可接受的風險程度作比以考量風險的水平。

3.積極應對風險。高校應基于風險評估結果，使用一些行之有效的方法加以控制，以杜絕或降低風險的再度發生。建立環境風險控制模塊、控制活動風險控制模塊、合規風險控制模塊、信息和通信風險控制模塊、內部監督風險控制模塊等5大控制模塊，實現教學、科研、專業建設、人力資源、后勤保障、保衛安全、基礎設施、基建物資和學生培養等單元管控制度的有效對接。

（四）強化控制活動

1.加強規范高校內部權力的制衡和運作。高校應實行“分崗設權、分事行權、分級授權、定期輪崗”，加強對內部控制中的關鍵崗位人員：校長、采購人員、財務人員、資產管理人員、工程基建人員等的控制，并實行輪崗及稽查制度。高校中不具備輪崗條件的單位應采取專項審計等控制措施。

2.加強實物資產的控制。高校實物資產金額大、數量多分布于教學、科研、管理、服務、后勤等各個領域。高校應建立有形資產責任制度，對有形資產進行有效控制，保護資產安全，提高資產使用率。

3.做好業務層面和整體層面的內部控制，在控制活動中減少不必要的中間環節，逐步完善高校教學、科研、后勤等管理體系，實行多元化流程，特別應注重基礎設施、采購、預算、招生、科研經費、學生食堂外包等控制活動。

（五）推進信息化建設

高校應建立校園網絡平臺，建立辦公自動化的信息和溝通系統。將控制過程及控制方法等元素嵌入信息系統，逐步擴大“在線查詢系統”、“資產管理系統”、“校園一卡通系統”、“學生收費系統”等，實現內部控制中“機控”操作的便捷性、可靠性，減少或消除人為操縱因素。此外，利用網絡信息技術，加強信息系統鏈接各有關部門的互聯、互通、共享，改善目前的“內控孤島”問題，實現“智能控制”，建立統一的內部控制信息平臺，以確保學校的校務公開、透明，實現教職工與學校領導和部門之間的有效溝通，同時反饋和監督學校進行的各項成果活動。

（六）加強內外部監督聯動機制

強化高校內外部的聯合監督，使政府、高校、社會之間的作用形成監管合力。其一，構建內外部日常管理機制，包括日常監管、自我評估、外部審計相結合的評價和監督，配備德才兼備的兼職或全職的監督評價員，明確職責，分解任務，形成有效的績效評價體系。各級主管部門要加強統籌規劃和監督指導，并爭取得到審計和監察部門的支持，共同促進內部控制制度的有效執行。同時，高校信息公開，鼓勵學生、教職工、社會參與辦學監督，形成內部控制建設的合力。其二，高校必須理順關系，整合監督資源，形成內部審計委員會、監察紀檢、內部審計多方融合的監管模式、加強基礎設施建設和維修，財政收入、支出、預算、決算和內部經濟責任的審計力度，做到事前有預防、事中有監管、事后有評價，提高執行力，加大內部控制制度對執行的控制力度。高校應逐步建立相對獨立、絕對垂直的內部審計，不斷提高內部審計人員的整體素質和創新理念，不斷提高審計的手段，最大限度糾正審計過程中出現的偏差。同時，轉換以往陳舊的內部審計的職能，應從過去簡單的“查錯防弊”轉向全方位防控風險，以價值、增值作為主要目標，完善和建立最有效的高校內部控制體系。

[基金項目：云南省教育科學“十二五”規劃課題任務項目“全面風險管理視角下的我國高校內部控制轉型策略研究”（項目編號：Y15026）。]

參考文獻：

[1] 中華人民共和國教育部.3.88萬億元，2016年全國教育經費總投入再創新高[J].領導決策信息，2017（19）

[2] 林麗，郭兆穎，王智博.我國高校內部控制的現狀、問題及其轉型[J].教育探索，2017（1）

[3] 許以波.高校財務內部控制中的薄弱環節分析[J].西部財會，2017（3）

[4] 方紅星，王宏譯.企業風險管理—整合框架（2004）[M].東北財經大學出版社，2005（9）

[5] 穆勒（美）著，秦榮生，張慶龍等譯.COSO內部控制實施指南（2013）[M].電子工業出版社，2015（2）

[6] Watts A.Internal Control and Audit Program Effectiveness [J].Intermational Business Research，2017（9）

[7] 歐陽瑞聰.財務風險管控視角下的高校內部控制[J].財會學習，2017（2）

[8] 張偉.論新形勢下如何加強高校內部控制審計[J].經濟師，2017（3）

[9] 劉正兵.基于財務風險管控視角的高校內部控制框架體系構建研究[J].蘇州大學學報，2013（2）

[10] 樊啟榮，葛孟荷.基于COSO框架下的高校內部控制問題研究[J].時代經貿，2016（10）

[11] 邵勝華.基于COSO五要素的高校內部控制研究[J].中國內部審計，2016（4）

[12] 趙海霞.COSO框架理論在高校內部控制的應用[J].經濟技術協作信息，2017（13）

（作者單位：昆明醫科大學 云南昆明 650500）

[作者簡介：季云瑞，昆明醫科大學計劃財務處會計師，研究方向：財務管理及教學方法應用研究；通訊作者：李建華。]

（責編：賈偉）endprint