論高校內部控制與風險管理*

孫支南　王超輝

?

論高校內部控制與風險管理*

孫支南王超輝

高校內部控制與風險管理的主體與客體、過程與要素、職能與目標具有一定的重合性和聯系性，但是，重合之處亦有區別。尤其是在組成要素、職能范圍與目標體系等方面，高校內部控制與風險管理有著很大的不同。基于內部控制與風險管理的三種關系圖式，高校內部控制與風險管理應當融為一體，走向以風險管理為軸的高校內部控制。

高校；內部控制；風險管理；風險控制

隨著我國高等教育辦學規模的迅速擴大，各個高等院校和教學單位的在校人數也逐漸遞增。當前全國各類高等教育在學總規模已經高達3559萬人以上，國家財政性教育經費支出也占國內生產總值4%以上。辦學規模的變化使得高等教育諸種制度既不適應高等教育發展規律的客觀要求，也不能滿足于高校管理工作的現實訴求。進而，推進管辦評分離，簡政放權，落實高校辦學自主權等，成為了形塑高校治理新格局的基本態勢。尤其是高校在資金籌集、經費使用、財務管理等方面自主權的擴大，使得高校由原來計劃經濟條件下的低風險簡單領導管理轉變為市場經濟條件下的財務風險管理方式。而財務風險的控制手段之一為單位的內部控制。2012年11月，財政部發布了《行政事業單位內部控制規范(試行)》，為高校內部控制的各種規范提供了有效的指引。2013年12月，教育部關于做好《行政事業單位內部控制規范(試行)》實施工作的通知(教財函[2013]142號)，明確指出了高校實施內部控制規范的主要任務：分析經濟活動風險，確定風險點，選擇風險應對策略；提高內部控制的信息化水平；建立內部控制評價機制；等等。[1]在此意義上，研究高校內部控制與風險管理成為了我們不得不面對的重要課題。高校內部控制與風險管理的主要內涵是什么，二者具有怎樣的關系，高校內部控制的發展態勢如何？這些問題的探析將有利于建立健全高校內部控制體系，并使得高校財務風險機制更加完整可靠。

一、高校內部控制與風險管理的內涵

內部控制作為企業管理現代化的產兒，是人類社會經濟發展的必然結果。1905年，L.R.Dicksee提出了內部牽制(Internal check)的概念，認為其內涵在于保護現金和資產安全及賬簿記錄的準確性，具有職責分工、會計記錄、人員輪換等特征，并得到了美國注冊會計師協會(American Institute of Certified Public Accountants ，簡稱“AICPA ”)的承認。1949年，AICPA首次提出內部控制的定義，即在內部牽制概念的基礎上，增加了管理控制以提高經營效率等內容。1992年，美國反虛假財務報告委員會下屬的發起人委員會(The Committee of Sponsoring Organizations of the Tread way Commission，簡稱“COSO”)提出了著名的《內部控制的完整框架》的研究報告，并于1994年進行了增補。《內部控制的完整框架》認為：“內部控制是受企業董事會、管理層和其他人員影響，為經營的效率效果、財務報告的可靠性、相關法規的遵循性等目標的實現而提供合理保證的過程。”[2]2004年，COSO委員會又發布了《企業風險管理的整合框架》。《企業風險管理的整合框架》將“企業風險管理”定義為：企業風險管理是一個過程，它由一個主體的董事會、管理當局和其他人員實施，應用于戰略制訂并貫穿于企業之中，旨在識別可能會影響主體的潛在事項，管理風險以使其在該主體的風險容量之內，并為主體目標的實現提供合理保證。”[3]

企業單位內部控制與風險管理的理論與概念一經提出，就在許多領域形成了諸多默認與想象的含義，行政事業單位也不例外。而高校作為行政事業單位集合里的一個重要元素，也與內部控制與風險管理發生了聯結，最終產生了高校內部控制與風險管理的說法。基于“內部控制”與“風險管理”原始定義的本質性特征，并綜合以往研究成果，我們將高校內部控制定義為：為了提升高校經營管理活動的效率、效果和效益，增強財務報告和會計信息的可靠性、準確性和完整性，維持高校資產及其運轉的安全性、穩定性和發展性，確保高校經濟活動的法制性、責任性和有序性，高校內部的行政管理人員、職能部門領導以及其他人員等共同建構的“一攬子”治理發展戰略和治理過程。誠然，高校內部控制的主體是學校內部的行政管理人員、職能部門領導以及其他人員，客體乃是高校內部的教學科研、財務收支、業務管理等活動，主體通過內部控制的一系列制度，最終促進學校經營管理又好又快發展。與高校內部控制不同，高校風險管理則是高校管理者在面對教學科研、財務收支、業務管理等經濟活動時，對各種決策帶來的潛在性風險和已經發生的事實性風險，進行識別、分析、評價、控制和處理的一連貫的治理方式、治理思路和治理過程。可見，風險管理是規避、化解、降低因高校管理和決策不當，或因高校外部因素沖擊所帶來消極結果的重要形式。

但是，企業內部控制與風險管理和高校內部控制與風險管理有著本質上的不同，這主要源自于二者“主體”身份懸殊。一方面，企業一般以盈利為目的，是屬于典型的盈利性單位，具有明顯的競爭性；而高校作為一種重要的公共產品，非盈利性是其價值訴求，非競爭性是其本質屬性。另一方面，企業的業務管理和經營活動相對單一，遵循“采集-生產-銷售”的連貫性模式，進而內部控制與風險管理較為簡單；而高校的教學科研、財務收支、業務管理和經營活動相互交錯，關乎基建、涉于采購、承載教學、介入企業，多樣性的經濟活動增添了高校內部控制與風險管理的復雜性。

二、高校內部控制與風險管理的異同關系

高校內部控制與風險管理的內涵表明，兩者之間具有必然的聯系，同時也各具有自身的特性。在某種程度上而言，高校內部控制與風險管理的主體與客體、過程與要素、職能與目標具有一定的重合性和聯系性，但是，重合并不意味著完全一致，重合之處亦有區別。尤其是在組成要素、職能范圍與目標體系等方面，高校內部控制與風險管理有著很大的不同。

1.高校內部控制與風險管理的相同之處

首先，高校內部控制與風險管理都是由高校管理者(行政管理人員、職能部門領導以及其他人員)共同參與實施的，所面對的事務無非是學校內部的教學科研、財務收支、業務管理等經營管理活動。換言之，無論是高校內部控制抑或是高校風險管理，都是將學校經濟業務活動作為主要治理對象，進而構建全面、綜合、完整的治理體系，最終有利于學校發展戰略與規劃的如期實現。在此意義上，高校內部控制與風險管理的主體與客體具有一致性。其次，高校內部控制與風險管理都是作為一個動態的、靈活的、多變的治理過程而存在的，兩者不是一種靜態的、僵化的、單一的系統化過程。高校內部控制與風險管理客體對象的不確定性，決定了二者作為高校內部的常規運轉機制，因為這種系統化過程需要處理不斷往復、實時更新的信息反饋。而從高校內部控制與風險管理的組成要素來看，(內部的或控制的)環境、風險評估、控制活動、信息與溝通、監督等五個要素是相互重合的。再次，高校內部控制與風險管理的目標與職能具有一定的關聯性。關于財務信息的可靠性和準確性之報告類目標，資產運行的效力與效益和避免資源損失與浪費之經營類目標，以及堅持相關法律規則和遵循產業目標導向之依從類目標，是高校內部控制與風險管理共同的意義指向。

2.高校內部控制與風險管理的區別之處

作為保證高校經營管理有秩序地和有效地運行的治理方式，高校內部控制與風險管理雖然有著親密的關系，但也是以各自獨立的表征所存在的，二者的區別之處有以下幾點。其一，組成要素并不完全相同。(內部的或控制的)環境、風險評估、控制活動、信息與溝通和監督等五個要素雖然為高校內部控制與風險管理所共同擁有，但這只是風險管理組成要素的一部分。事實上，除了上述五種要素之外，高校風險管理還應包含有目標設定、事件識別和風險反應等三個要素。顯而易見，高校風險管理的主要特性在于風險管理內容，即識別、分析、評價、控制和處理內外部風險的一種組織架構。其二，職能范圍并不完全相同。檢查性控制和糾正性控制是高校內部控制的主要職能，也即是說，高校內部控制主要透過“事中”和“事后”的方式實現自己的治理目標，很少涉及預防性控制和補償性控制。而高校風險管理則是“事前”、“事中”和“事后”都有所考慮，關乎整個管理過程。尤其是在“事前”的目標設定時，已將“風險”納入治理體系之中，是一種兼具預防性控制、檢查性控制和糾正性控制的高校內部治理模式。由于高校風險管理對風險的識別與應對與內部控制大相徑庭，因此，其整個活動范圍是明顯大于內部控制的。其三，目標體系并不完全相同。經營類目標和依從類目標在高校內部控制與風險管理中皆有所體現，但是其活動范圍的不同決定了二者目標體系的差異性。高校風險管理增加了有關學校整體發展和承載使命責任的戰略性目標，以及非財務性信息的報告類目標。這在一定意義上豐富了學校經營管理系統的完整性，彌補了過度重視財務收入與支出信息所帶來的信息紕漏。

3.高校內部控制與風險管理的關系圖式

高校內部控制和風險管理的異同關系勾勒出了一幅相互促進、相互協調且相互獨立的圖畫。那么，高校內部控制與風險管理之間到底是一種怎樣的關系，二者形成了一種怎樣的關系圖式呢？基于企業內部控制與風險管理的關系，大致有三種關系類型。第一，強風險管理論或者說弱內部控制論，即風險管理包含內部控制。內部控制只是風險管理的一種手段，同時也是風險管理不可或缺的重要組成部分。這在COSO委員會發布的《企業風險管理的整合框架》中可見一斑。第二，強內部控制論，亦稱弱風險管理論。此種理論將“控制”理解為一個實現單位組織諸多目標的集合體，進而主張內部控制包含風險管理，而風險的識別、評估和應對是內部控制的關鍵要素。這已被加拿大特許會計師委員會(Canadian Institute of Chartered Accountants，簡稱“CICA”)所承認和認同。第三，內部控制與風險管理同一論。顧名思義，“同一論”是指將內部控制與風險管理看作可以互換的東西，認為內部控制也就是風險管理，風險管理意味著內部控制。內部控制與風險管理同一之處在于“風險”，“以風險為基礎，內部控制與風險管理變化成了交集的一體性”[4]。事實上，內部控制與風險管理同一論得到了國內外眾多學者的一致贊同。

基于企業內部控制與風險管理的三種關系圖式，我們認為高校內部控制與風險管理應該遵循“內部控制與風險管理同一論”的基本理念，并將兩者之間視為相互補充與相互融合的關系。因為“無論是內部控制還是風險管理，都是一個全員全程參與的過程，實施內部控制和參與風險管理的主體是一致的，過程是一致的，它們的最終目的也是一致的。當我們在管理風險時，也正在實施控制，這是一個協調統一的機制。”[5]Matthew Leitch也認為：“理論上風險管理系統與內部控制系統沒有差異，這兩個概念的外延變得越來越廣，正在變為同一事物。”[6]因此，高校內部控制與風險管理應當融為一體，“內部控制擴展為更全面的風險管理”[7]，走向以風險管理為軸的高校內部控制。

三、走向以風險管理為軸的高校內部控制

高等教育大眾化的發展使得各個高校面臨著生源競爭性問題，全球化在教育領域的侵入也將更加凸顯我國高校的辦學質量問題。如何維持高校經營管理活動的健康、有序、高效運轉，成為衡量高校內部治理系統優良的關鍵。眾所周知，高校內部治理是一個復雜多變的過程，走向以風險管理為軸的高校內部控制，不僅需要高校管理者意識到全面風險管理的重要性，更要構建全面風險管理內部控制組織體系和先進的風險管理信息系統。

第一，樹立全面風險管理的核心理念。思路決定出路，觀念決定方向，這在一定意義上道出了“意識先行”對于事物改革與發展的重要作用，而“由傳統的內部控制向全面風險管理型內部控制轉化是目前我國高校的最佳選擇”[8]。走向以風險管理為軸的高等學校內部控制，需要大學管理者樹立全面風險管理的核心理念。高校內部的行政管理人員和職能部門領導作為管理層，承擔著組織單位內部控制的重要責任，是高校經營活動有效運轉的領導者和帶路人。他們樹立風險辨識、分析、評估和應對的核心理念，對于學校內部治理的良性發展起著關鍵甚至是決定性作用。此外，行政管理人員和職能部門領導應當將全面風險管理理念日常化，即加強對高校內部教職員工、教輔人員的風險意識引導，使得學校內部成員一致認同全面風險管理觀念，并將認同落實到日常工作場域中去，形成一種文化新常態。

第二，構建全面風險管理內部控制組織體系。全面風險管理理念的樹立，只是走向以風險管理為軸的高校內部控制的第一步。如果我們想要充分滿足高校全面風險管理的各項要求，系統性的和全面性的內部控制組織結構設計是必不可少的。首先，建立高校內部的行政管理人員和職能部門領導下的風險組織架構，作為全面風險管理內部控制的決策機構。其次，設置獨立于高校內部各個部門的風險管理委員會，研發風險管理發展戰略和風險管理信息系統，以此確保全面風險管理內部控制的獨立性和權威性。最后，執行全面風險管理內部控制的戰略步驟，以橫向延伸和縱向管理的方式，涵蓋教學科研、財務收支、業務管理和經營活動等所有領域，形成大學內部治理的矩陣式管理。簡言之，全面風險管理內部控制組織體系最好構建一種“決策委員會-管理委員會-職能部門-個人領域”的運行機制，形成統一且完整的風險管理內部控制組織體系。

第三，開發先進的風險管理信息系統。風險管理是一種動態管理，高校經營活動的風險也是不確定的。風險管理不僅是控制行為，更重要的是規避風險。因此，開發先進的風險管理信息系統也是必備之舉。先進的風險管理信息系統應該包括全面管理信息系統和風險預警分析系統。建立全面管理信息系統，可以實現高校內部的教學科研、財務收支、業務管理和經營活動等經濟行為運轉的信息化、自動化、數據化管理，進而提供一種全面管理信息的資料庫和數據庫。在此基礎上，財務信息和非財務信息可得到準確、完整、可靠的搜集，為全面風險管理內部控制提供諸多風險辨識信息和預警指標。而建立風險預警分析系統，能夠監控風險發生的可能性，提高風險信息反應的靈敏度。對此，高校風險預警分析系統可以通過“設置目標-內外風險-控制目標-控制活動”的程序性監測行為，提供風險預警信息上報相關職能部門，降低風險發生的概率和危害。

[1]中國教育部.教育部關于做好《行政事業單位內部控制規范(試行)》實施工作的通知[2013-12-05][EB/OL].http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s7052/201312/161008.html.

[2]COSO.Addendum to Reporting to External Parties，Internal Control-Integrated Framework[R].Jersey City: NJ.COSO, 1994.

[3]COSO.Enterprise Risk Management-Integrated Framework[R].Jersey City: NJ.COSO, 2004.

[4]Page, Mike and Spira, L.Regulation.Disclosure: the Case of Internal Control[J].Journal of Management and Governance，2009 (4) : 409-433.

[5]陸美娟，雒敏，丁新農.試論高校內部控制與風險管理的融合[J].南京醫科大學學報(社會科學版)，2011(6)：457-459.

[6]Matthew Leitch.Intelligent Internal Control and Risk Management[M].Burlington: Gower Publishing Limited, 2008:13-18.

[7]周兆生.內部控制與風險管理[J].審計與經濟研究，2004(4)：46-49.

[8]沈烈.論高校內部控制的轉型與創新[J].高等教育研究，2010(12)：68-72.

(責任編輯劉第紅)

2015-09-21

孫支南，廣州番禺職業技術學院紀委辦公室主任兼監察審計處處長，副編審；王超輝，廣州番禺職業技術學院紀委辦公室(監察審計處)經濟師。(廣州/511483)

*本文系廣州市教育科學“十二五”規劃2014年度課題“基于風險管理視角的高校內部控制研究——以廣州市屬高職院校為例”(1201431383)以及廣州市教育科學“十二五”規劃2015年度課題“基于COSO-ERM高校財務風險預警與控制模型探索與研究——以廣州市屬高校為例”(120153279)的階段性成果。