全面风险管理视角下的我国高校内部控制转型策略研究

2017-10-30季云瑞李建华

经济师 2017年9期

关键词：风险管理

季云瑞+李建华

摘要：文章针对我国高校目前内部控制的现状以及存在的问题，借鉴ERM模式理论和内部控制整合框架思路对全面风险管理视角下的高校内部控制转型策略进行研究。旨在为建立一个完善、有内涵、实用于我国高校内部控制的精品建设体系抛砖引玉。

关键词：高校内部控制 COSO ERM 风险管理

中图分类号：F230

文献标识码：A

文章编号：1004-4914（2017）09-210-03

一、引言

（一）ERM概述

全面风险管理（ERM，Enterprise Risk Management）是20世纪90年代由美国几家最大的银行和证券公司提出的一种新型的风险管理模式。后由美国COSO委员会（编者注：COSO委员会全称是美国全国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，简称“COSO”）引入企业的内部控制体系，从而受到了各国政府和企业的广泛重视。COSO（2004）的ERM框架又把内部控制由原来的五个要素拓展细化为内部环境、目标设定、控制活动、事项识别、风险评估、风险应对、信息与沟通和内部监督相互关联的八个要素，提出了4目标八要素理论，为建立全面风险管理视角下的内部控制体系提供了理论支撑。ERM模式从理论到具体操作方法提供了一整套的内部控制框架。一些国际跨国公司和企业遵循ERM的要求完善自身的内部控制制度，改善了内部管理，取得了预期效果。经过十几年的去粗取精、去伪存真、实践检验和经验总结， ERM模式已成为业界普遍公认的一个权威性标准，标志着内部控制已进入了一个崭新的阶段。

（二）我国高校内部控制体系的完善刻不容缓

随着我国教育事业的蓬勃发展和教育规模的不断扩大，国家對高校教育经费投入力度的不断加大、高校在校园建设等方面资金渠道的拓展，使得高校资金流入量大幅度增加。一个由政府拨款、银行贷款、后勤基建、学杂费等组成的高校资金规模正日益庞大，高校的内外部环境也由此发生了巨大变化。与此同时，高校的经济犯罪案件也易发多发。高校已成为一些宿舍用品销售商、教材供应商、设备制造商、校园卡制造商，建筑承建商和其他企业争夺的对象；高校也成为了腐败“重灾区”，钱权交易、违规收费、利益寻租、挪用教育经费、私设“小金库”、账外账、隐匿收入、滥用套用科研经费、工程项目“暗箱操作”等，这些现象层出不穷，给高校带来了前所未有的风险和挑战。这些问题的出现与内部控制体系管理和监控不到位有着直接关联，不仅损害国家教育的形象，也损害了政府的声誉。高校内部控制体系运行的好与坏，直接影响到高校的生存和发展，影响到高校教育资金的有效使用和办学效益；这些存在的问题如得不到有效控制，必将影响我国的教育改革进程。因此，完善高校内部控制体系，解决内部控制过程中存在的诸多问题已到了刻不容缓的地步。

二、我国高校目前内部控制状况

近年来，高校一直在参照和借鉴企业和行政事业单位的内部控制建设的标准，这些标准对于高校内部控制建设有着非常重要的参照意义，事实证明也取得了一些成效。高校领导对内部控制也很重视，一些高校成立了内部控制建设领导小组，设置了内部控制制度建设和实施办公室；一些高校将各种文件审批手续嵌入OA流程中，用电子表格方式简化手续；高校大多能够对财政收入、支出、预算、资产、政府采购、基础设施建设、合同等业务层面加强内部控制管理，并能从细节创新，采取一些有用而又有效的控制措施。然而，相比于企业和行政机构，高校的主要业务活动和经营目标有其显著的特殊性，很难用统一的标准来管理和规范。高校现有的内部控制体系不符合高校自身的特点，重复、繁杂、无效的内容很多，缺乏实用性和针对性、没有根据其自身发展中出现的新问题、形势发展的新变化及时制定相应的内部控制制度，这种“制度滞后于变化”的现象及由此产生的控制“真空地带”引发了新的风险和损失。我国高校目前奇缺的是一个有内涵、可操作、实用于高校内部控制体系建设的权威性的精品标准。

三、我国高校内部控制普遍存在的问题

（一）内部控制环境松散

1.高校近年的快速发展与现阶段的内部控制制度不相适应。随着我国改革深化及高校经济活动带来的变化，高校在政府采购、非税收入直接上缴国库、国库集中支付管理、国家财务制度政策变更、多渠道资金筹措、岗位人员的调配等方面，使得高校传统的办学体制发生了巨大的变革。然而，面对新形势下出现的新问题，高校的管理模式和管理理念没有得到及时更新，传统的内部控制制度落后于高校的快速发展，而权威性的内部控制精品体系又无从建立，极大地影响了高校的良性运转和可持续发展。

2.高校内部控制管理意识薄弱。部分高校内部控制管理知识贫乏，以为内部控制就是简单的规章制度的执行，建章立制即等于建立了内部控制，忽略了工作的目标、具体实施的过程、贯彻落实的时间表。不同的高校领导对内部控制的理解也存在差异，有的高校领导只简单地把内部控制当作管理的手段，他们凌驾于内部控制之上，使内部控制制度如同摆设、流于形式；高校领导大多偏重科研、偏重教学、偏重效益及学校声誉，但轻管理，轻防范，问题不成堆就不重视、不解决。在内部控制的实施中，有利可图就执行，无利可图就以灵活处理为由不按程序办理、无视高校反腐倡廉及风险管理，使内部控制失去应有的刚性和严肃性。客观上高校领导任期满后就面临换届，这种情况导致高校领导一般都只重视任期内的短期“眼前利益”、“自扫门前雪”，而不愿意伤精费神花大力气去建立内部控制这样的长期制度。高校教师享受的是体制内的待遇，学校业绩的好坏与他们的工资薪金收入无直接关联。因此，他们平常只忙于自己专业的事务，对教学、科研管理、内部控制认知浅显，不关心学校内部控制的优劣和运行风险。高校内部控制制度没有形成全员执行、全员参与的局面，限制了内部控制作用在高校的全面发挥。endprint

3.内部控制机构设置不到位、各自为阵、联动机制不完善。有的高校不按照要求设置专门的内部控制机构，导致内部控制工作没有牵头、没有协调部门、采取各自为阵，极大地限制了整体工作的开展。有的高校内部控制由财务部门牵头，在实施过程中出现“裁判员兼职运动员”的不合规现象。另外，高校各职能部门联动机制不健全，关系不顺畅，职责不明朗，没有发挥联合作战的作用。

（二）风险评估机制缺失

高校在管理上面临着越来越高的风险。这些风险囊括了高校各部门的方方面面，包括人力资源、招生、专业设置、设施运行、安全保障、财务管理等。但以目前情况看，高校的管理意识和总体风险控制意识较为薄弱，战略思维和全局观念缺失，虽然内部控制已引入学校的经济活动中，但没有设置专门的风险管理部门对可能出现的风险进行识别、评估和应对。有的高校严重缺乏风险管理人才，风险评估方式太过简单，评价方法过于落后。个别高校虽然建立了风险管理机制，但形同虚设，不能很好地有效应用和实施。使得高校应对风险的能力极为脆弱，由此所引发的损失也较大。

（三）控制活动不健全

高校的控制活动已涵盖高校的行政管理、教学、科研、后勤保障等方面，包括业绩评价、信息处理、授权、职责分离和实物控制等多方面内容。相比来说，各高校在控制活动方面做得比较好，内部管理基本业务规范且有章可循。但部分高校的内部控制管理和流程存在盲点，有明显的风险隐患。例如，“三公经费”报销程序不规范，“三重一大”项目审议处置过程中没有形成集体的决策；不严格使用公务卡结算；没有形成单独的合同管理制度，无存档记录、无签单；学生宿舍由学生部门和后勤部门独立管理，这方面漏洞很大；部分高校资产管理上存在“重买轻管”，只关心政府采购过程是否合理，不对物资进行跟踪管理和报废体制的完善，造成非常严重的浪费现象；有的高校疏于资产管理，财产清单没有制度化、盗窃资产、损公肥私、化公为私和人为破坏严重，资产的有效使用率低下，安全性无法保障。

（四）信息系统和沟通渠道不流畅

高校的信息系统和沟通渠道方面存在明显的问题。从纵向看，政府部门许多下发的应该有的政策及政策的执行程序落实不到位，现有的沟通方式单一，领导和基层群众没有建立良好的沟通渠道，致使教职工不能很好地了解内部控制的内涵；从横向看，部门之间缺乏畅通的信息互换交流途径。虽然高校也建立信息和交流的平台，在校园里实现了会计电算化、电子化资产管理，教学及其他部门管理也使用专门的软件，信息化传递渠道完善，但各部门自成体系，部门之间的信息资源不能共享。

（五）监督和管理机制不完善

虽然高校大都建立了内部控制制度，但评价和监督机制仍然不完善。表面上看高校内部有工会、教代会、纪检等组织监督；外部监督有教育行政主管部门和政府审计部门，但实际情况往往两头无效。首先，在高校外部力量审计上，财政部门多半偏重于高校资金运作的合规和合法性的监督，往往忽略内部控制执行情况的实质性审查，相关部门检查发现问题后不追踪、不随访，整改执行落实不到位，使得高校管理层行使权力缺乏有效监督和制约。其次，在高校内部审计上，尚缺乏有效的针对内部控制流程监督的内部审计制度，也未建立经济责任审计制度，由于经济责任划分不明确，所以无法把内部审计责任归属于个人。另外，高校信息公开严重滞后，公众普遍关注的问题诸如招生、财务经费预算、科研经费的配置等关键信息基本上是一片空白，这在不同程度上影响了公众和社会的监督。其次，内部审计部门在高校管理层领导下开展工作，其很难把监督落到实处，即使发现问题，对问题的处理也只是“牛尾巴打牛脊背—不疼”。部分高校的内部审计部门的设置是为应付上级部门的检查而成立的，基本上形同虚设。部分高校内部审计部门任职的人员，其工作的实质主要停留在查错和防弊阶段，不从管理的总体角度来处理、思考、解决问题，没有认真考虑事前预防和事后控制的应对策略和措施。有的审计人员缺乏专业内部审计知识、采用落后的审计方法和手段难以应付复杂的内部审计工作，也违反了审计的独立、客观原则。

四、全面风险管理视角下高校内部控制转型

我国高校内部控制除了自身机构设置和管理不完善之外，尚缺少风险管理意识。随着高校经济效益的实现、风险的增加、教学和科研的加强、教职工的管理、社会声誉的维系都需要强有力的内部控制作为保障。所以，内部控制的重组、转型、升级迫在眉睫。COSO提出的《企业风险管理—整合框架》中，最重要的是加入了风险管理的视角，并将风险评估细化为四个要素，为建立全面风险管理视角下的内部控制体系提供了理论支撑。高校应引入全新的内部控制的研究成果，即全面风险管理理论，重新审查、梳理高校内部控制的关键环节及风险点，强化风险意识，实现高校内部控制的全面转型。从客观上讲，高校内部控制主体在整体上素质比较高，在接受先进理念方面，理解领悟深、转换能力强，推广应用速度快。这些特质，为高校全面风险管理内部控制奠定了坚实的基础。

五、全面风险管理视角下的高校内部控制转型策略

（一）优化内部环境

COSO模式认为内部环境是其它一切要素的基础和核心，决定了一个单位的价值取向和内部氛围。内部环境的好坏对风险的产生影响极大。近年来，虽然高校在内部控制思想理论、内涵等方面得到了完善和发展，与经济目标相关的内部控制制度的建设在范围上、内容上也日趋广泛，但由于方方面面的原因，内部控制环境仍然不尽人意。内部控制管理理念仍然欠缺，导致有章不循、违章不究，分工不明、责任不清、从而引发高校贪污腐败、职务犯罪及国有资产流失等现象发生。

高校行政管理人员要以身作则，自觉接受监督，建立和完善内部控制制度下的实施组织体系，让有效的风险意识为高校的发展保驾护航。管理者应该努力提高员工的内部控制环保意識和风险意识，促进教职工在平时的工作中贯彻执行内部控制的要求，强化和建立正确内部控制的观念。在建立风险管理框架中设立专门的风险管理机构，引进专业的风险评估人员。endprint

（二）制定科学的战略目标

加强高校战略目标设计规划的合理性、科学性，是从源头上避免和防范高校面临的一系列内外部风险、降低控制力和执行力风险的前提。高校要根据自己的情况和风险容量规划办学规模、学生培养、科研、专业建设和校园建设等层次的战略目标，确定目标、权衡利弊，在收益和相关风险之间选择最佳平衡。

（三）重塑风险控制模块

高校应针对内部管理中的风险隐患和薄弱环节，特别是在权力集中的关键岗位和重点部位，明确风险评估的要求及控制点，在工作中不断改进和完善不同的风险评估体系和相应制度。

1.加强风险预警机制，全面识别学校可能面临的风险隐患。高校应查找自身的风险问题，并根据自身的特点，拟出重点防范原则，定出具体防范措施，比如，制作工作流程图、建立风险档案、分析财务报表、展开风险调查等，尽可能对学校易发多发的风险因素进行预测，识别学校可能面临的风险隐患。

2.评估风险事项。高校应基于已识别的风险，用科学的方法，对风险出现的成因、发生的概率、损失的程度、预计时间进行全面审核，定期进行风险评估及对管理层可接受的风险程度作比以考量风险的水平。

3.积极应对风险。高校应基于风险评估结果，使用一些行之有效的方法加以控制，以杜绝或降低风险的再度发生。建立环境风险控制模块、控制活动风险控制模块、合规风险控制模块、信息和通信风险控制模块、内部监督风险控制模块等5大控制模块，实现教学、科研、专业建设、人力资源、后勤保障、保卫安全、基础设施、基建物资和学生培养等单元管控制度的有效对接。

（四）强化控制活动

1.加强规范高校内部权力的制衡和运作。高校应实行“分岗设权、分事行权、分级授权、定期轮岗”，加强对内部控制中的关键岗位人员：校长、采购人员、财务人员、资产管理人员、工程基建人员等的控制，并实行轮岗及稽查制度。高校中不具备轮岗条件的单位应采取专项审计等控制措施。

2.加强实物资产的控制。高校实物资产金额大、数量多分布于教学、科研、管理、服务、后勤等各个领域。高校应建立有形资产责任制度，对有形资产进行有效控制，保护资产安全，提高资产使用率。

3.做好业务层面和整体层面的内部控制，在控制活动中减少不必要的中间环节，逐步完善高校教学、科研、后勤等管理体系，实行多元化流程，特别应注重基础设施、采购、预算、招生、科研经费、学生食堂外包等控制活动。

（五）推进信息化建设

高校应建立校园网络平台，建立办公自动化的信息和沟通系统。将控制过程及控制方法等元素嵌入信息系统，逐步扩大“在线查询系统”、“资产管理系统”、“校园一卡通系统”、“学生收费系统”等，实现内部控制中“机控”操作的便捷性、可靠性，减少或消除人为操纵因素。此外，利用网络信息技术，加强信息系统链接各有关部门的互联、互通、共享，改善目前的“内控孤岛”问题，实现“智能控制”，建立统一的内部控制信息平台，以确保学校的校务公开、透明，实现教职工与学校领导和部门之间的有效沟通，同时反馈和监督学校进行的各项成果活动。

（六）加强内外部监督联动机制

强化高校内外部的联合监督，使政府、高校、社会之间的作用形成监管合力。其一，构建内外部日常管理机制，包括日常监管、自我评估、外部审计相结合的评价和监督，配备德才兼备的兼职或全职的监督评价员，明确职责，分解任务，形成有效的绩效评价体系。各级主管部门要加强统筹规划和监督指导，并争取得到审计和监察部门的支持，共同促进内部控制制度的有效执行。同时，高校信息公开，鼓励学生、教职工、社会参与办学监督，形成内部控制建设的合力。其二，高校必须理顺关系，整合监督资源，形成内部审计委员会、监察纪检、内部审计多方融合的监管模式、加强基础设施建设和维修，财政收入、支出、预算、决算和内部经济责任的审计力度，做到事前有预防、事中有监管、事后有评价，提高执行力，加大内部控制制度对执行的控制力度。高校应逐步建立相对独立、绝对垂直的内部审计，不断提高内部审计人员的整体素质和创新理念，不断提高审计的手段，最大限度纠正审计过程中出现的偏差。同时，转换以往陈旧的内部审计的职能，应从过去简单的“查错防弊”转向全方位防控风险，以价值、增值作为主要目标，完善和建立最有效的高校内部控制体系。

[基金项目：云南省教育科学“十二五”规划课题任务项目“全面风险管理视角下的我国高校内部控制转型策略研究”（项目编号：Y15026）。]

参考文献：

[1] 中华人民共和国教育部.3.88万亿元，2016年全国教育经费总投入再创新高[J].领导决策信息，2017（19）

[2] 林丽，郭兆颖，王智博.我国高校内部控制的现状、问题及其转型[J].教育探索，2017（1）

[3] 许以波.高校财务内部控制中的薄弱环节分析[J].西部财会，2017（3）

[4] 方红星，王宏译.企业风险管理—整合框架（2004）[M].东北财经大学出版社，2005（9）

[5] 穆勒（美）著，秦荣生，张庆龙等译.COSO内部控制实施指南（2013）[M].电子工业出版社，2015（2）

[6] Watts A.Internal Control and Audit Program Effectiveness [J].Intermational Business Research，2017（9）

[7] 欧阳瑞聪.财务风险管控视角下的高校内部控制[J].财会学习，2017（2）

[8] 张伟.论新形势下如何加强高校内部控制审计[J].经济师，2017（3）

[9] 刘正兵.基于财务风险管控视角的高校内部控制框架体系构建研究[J].苏州大学学报，2013（2）

[10] 樊启荣，葛孟荷.基于COSO框架下的高校内部控制问题研究[J].时代经贸，2016（10）