風險導向的高校經(jīng)濟活動內(nèi)部控制框架體系構(gòu)建

韓正民

（蘇州經(jīng)貿(mào)職業(yè)技術(shù)學院，蘇州 215009）

引 言

黨的十八屆四中全會，對行政事業(yè)單位的內(nèi)部控制建設(shè)提出了明確要求。當前，高校經(jīng)濟活動規(guī)模逐漸擴大，經(jīng)濟業(yè)務(wù)日益復雜，面臨的經(jīng)濟風險不斷加大。高校加強內(nèi)部控制體系建設(shè)，提升內(nèi)部控制的健全性和有效性，對于有效防控經(jīng)濟風險，促進學校事業(yè)高質(zhì)量發(fā)展，有著極其重要的意義。

一、內(nèi)部控制的本質(zhì)

把握內(nèi)部控制的本質(zhì)，是做好內(nèi)部控制建設(shè)的前提和基礎(chǔ)。對內(nèi)部控制本質(zhì)的界定，目前有流程觀、措施觀、機制觀和制度觀等主流觀點。要弄清內(nèi)部控制的本質(zhì)，首先要對制度、流程、機制和措施等基本概念加以區(qū)分。制度、流程和機制是管理活動的三大要素，被稱為管理“鐵三角”。其中，制度明確經(jīng)濟活動的規(guī)范，保障經(jīng)濟活動規(guī)范運行；流程明確經(jīng)濟活動的程序，保障經(jīng)濟活動有序運行；機制明確經(jīng)濟活動的規(guī)則，保障經(jīng)濟活動有效運行。而措施是保障經(jīng)濟活動規(guī)范、有序和有效運行的一系列制度、流程和機制的總稱，所以措施包含了制度、流程和機制。

由于預防和管控經(jīng)濟風險是內(nèi)部控制的根本目的，所以本文將內(nèi)部控制的本質(zhì)界定為“經(jīng)濟風險防控措施”，內(nèi)部控制是包括管理制度、活動流程、內(nèi)控機制在內(nèi)的經(jīng)濟風險防控措施的總和。

二、內(nèi)部控制框架體系

內(nèi)部控制框架體系的構(gòu)建，一直是理論界和實務(wù)界非常重視的研究課題。基于“經(jīng)濟風險防控措施”的本質(zhì)定位，內(nèi)部控制框架體系是包括經(jīng)濟活動管理制度、活動流程和內(nèi)控機制等風險防控措施的總和。同時，內(nèi)部控制框架體系不是風險防控措施的簡單加總，而是各個防控措施之間相互作用、相互影響構(gòu)成的有機整體。關(guān)于內(nèi)部控制框架體系，國內(nèi)外的理論和實踐存在著一定的差異。

（一）國外內(nèi)部控制框架體系

國外內(nèi)部控制框架體系中，最具影響力的是COSO《內(nèi)部控制——整合框架》，該框架體系包括控制環(huán)境、風險評估、控制活動、信息溝通和監(jiān)控五個基本要素。COSO內(nèi)部控制框架體系，在全球得到廣泛的應用。

隨著內(nèi)部控制實踐應用和理論研究的不斷深入，COSO內(nèi)部控制框架體系的缺陷也顯露出來。一是局限性，COSO內(nèi)部控制框架體系的主要目的是防控財務(wù)風險和提高財務(wù)報告的可靠性。人們在內(nèi)部控制實踐中逐漸認識到，單位不能僅從財務(wù)管理的角度來防控財務(wù)風險，而應站在單位整體和防控全部經(jīng)濟風險的角度來構(gòu)建內(nèi)部控制體系。二是邏輯性不強，COSO 內(nèi)部控制框架體系五要素之間相互作用、相互影響的邏輯關(guān)系不夠明晰。三是內(nèi)容不明確，COSO 內(nèi)部控制框架對基本要素只是做了概念性的解釋，各要素的具體內(nèi)涵不明確，尤其是控制活動的內(nèi)容不夠明確，可操作性不強。

（二）我國內(nèi)部控制框架體系

自2008 年美國金融危機及2010 年歐洲債務(wù)危機相繼爆發(fā)以來，我國政府對內(nèi)部控制建設(shè)越來越重視。

在企業(yè)內(nèi)部控制建設(shè)方面，財政部于2008 年5 月印發(fā)《企業(yè)內(nèi)部控制基本規(guī)范》，參照美國COSO 內(nèi)部控制框架體系，構(gòu)建起我國的企業(yè)內(nèi)部控制框架體系，基本要素由內(nèi)部環(huán)境、風險評估、控制活動、信息溝通和內(nèi)部監(jiān)督組成。

在行政事業(yè)單位內(nèi)部控制建設(shè)方面，財政部于2012 年11 月印發(fā)《行政事業(yè)單位內(nèi)部控制規(guī)范（試行）》，對行政事業(yè)單位內(nèi)部控制建設(shè)在理論上進行了創(chuàng)新，將內(nèi)部控制分為單位層面和業(yè)務(wù)層面。單位層面內(nèi)部控制從單位整體角度出發(fā)，構(gòu)建單位整體經(jīng)濟風險防控體系；業(yè)務(wù)層面內(nèi)部控制從經(jīng)濟業(yè)務(wù)角度出發(fā)，構(gòu)建具體經(jīng)濟業(yè)務(wù)風險防控體系。

三、高校內(nèi)部控制建設(shè)要求

2013 年12 月，教育部印發(fā)《關(guān)于做好行政事業(yè)單位內(nèi)部控制規(guī)范試行實施工作的通知》，對教育系統(tǒng)行政事業(yè)單位內(nèi)部控制建設(shè)提出總體要求；2016 年4 月，教育部辦公廳印發(fā)《教育部直屬高校經(jīng)濟活動內(nèi)部控制指南（試行）》，要求教育部直屬高校，根據(jù)自身經(jīng)濟活動管理實際，參照內(nèi)部控制指南的具體要求，在2016 年底前完成內(nèi)部控制的建設(shè)任務(wù)。

四、高校內(nèi)部控制框架體系構(gòu)建

財政部2012 年印發(fā)的《行政事業(yè)單位內(nèi)部控制規(guī)范（試行）》，將高校內(nèi)部控制分為單位層面和業(yè)務(wù)層面，要求行政事業(yè)單位根據(jù)自身實際，構(gòu)建符合自身特點的內(nèi)部控制體系。但是，該規(guī)范沒有給出內(nèi)部控制的具體要素，可操作性不強。本文在COSO 內(nèi)部控制框架體系的基礎(chǔ)上，通過優(yōu)化創(chuàng)新，構(gòu)建起高校內(nèi)部控制框架體系。

（一）單位層面內(nèi)部控制框架體系

1.基本要素

本文參照COSO 內(nèi)部控制框架體系，根據(jù)單位層面內(nèi)部控制的基本規(guī)律，以及各要素之間的邏輯關(guān)系，構(gòu)建起高校內(nèi)部控制框架體系，具體包括以下基本要素。

（1）風險防控措施。基于內(nèi)部控制“經(jīng)濟風險防控措施”的本質(zhì)定位，內(nèi)部控制的核心要素是風險防控措施，其他要素都要服從服務(wù)于該要素。高校經(jīng)濟風險防控的主要措施有建立業(yè)務(wù)管理制度、活動流程和制衡機制。

（2）風險評估機制。隨著經(jīng)濟社會的不斷發(fā)展，高校面臨的外部和內(nèi)部環(huán)境不斷發(fā)生變化，相應的風險防控措施也應及時調(diào)整。風險防控措施的制定和調(diào)整，都是以風險評估結(jié)果為基礎(chǔ)的。風險評估機制要求高校明確經(jīng)濟風險評估歸口部門，完善經(jīng)濟風險評估制度，定期開展經(jīng)濟風險評估。經(jīng)濟風險評估結(jié)果應及時報送內(nèi)部控制建設(shè)部門，以利于風險防控措施及時優(yōu)化調(diào)整。所以，風險評估機制是內(nèi)部控制的基本構(gòu)成要素。

（3）監(jiān)督評價機制。高校應建立監(jiān)督評價機制，對內(nèi)部控制體系的健全性和有效性進行監(jiān)督評價。監(jiān)督評價機制要求高校明確內(nèi)控監(jiān)督評價歸口部門，完善內(nèi)控監(jiān)督評價制度，定期開展內(nèi)控監(jiān)督評價。內(nèi)控監(jiān)督評價歸口部門應及時將內(nèi)控評價結(jié)果向內(nèi)控建設(shè)部門報送，以利于風險防控措施及時優(yōu)化調(diào)整。所以，監(jiān)督評價機制是內(nèi)部控制的基本構(gòu)成要素。

（4）統(tǒng)籌建設(shè)機制。高校應建立內(nèi)部控制統(tǒng)籌建設(shè)機制，明確內(nèi)部控制建設(shè)歸口部門，完善內(nèi)部控制建設(shè)制度，持續(xù)推進內(nèi)部控制體系建設(shè)。內(nèi)部控制統(tǒng)籌建設(shè)歸口部門統(tǒng)籌學校內(nèi)部控制體系建設(shè)，根據(jù)經(jīng)濟風險評估報告和內(nèi)部控制評價報告，不斷完善風險防控措施，并保證風險防控措施有效運行。所以，統(tǒng)籌建設(shè)機制是內(nèi)部控制的基本構(gòu)成要素。

（5）內(nèi)控信息系統(tǒng)。高校內(nèi)部控制體系涉及多個職能部門，經(jīng)濟業(yè)務(wù)和防控措施復雜，必須借助信息化手段，才能提高內(nèi)部控制的有效性和及時性。高校應明確內(nèi)控信息系統(tǒng)建設(shè)部門，健全內(nèi)控信息系統(tǒng)建設(shè)制度。內(nèi)控信息系統(tǒng)建設(shè)部門，應持續(xù)推進內(nèi)部控制信息化建設(shè)，將風險防控措施、風險評估機制、監(jiān)督評價機制用信息化手段固化下來，減少人為因素的主觀影響，提升風險防控措施和內(nèi)控工作機制運行的效果和效率。所以，內(nèi)控信息系統(tǒng)是內(nèi)部控制的基本構(gòu)成要素。

2.框架體系

本文構(gòu)建的高校單位層面內(nèi)部控制框架體系如下：

單位層面內(nèi)部控制框架體系中，風險防控措施是核心要素，其余要素都服從和服務(wù)于該要素；風險評估機制是制定和完善風險防控措施的基礎(chǔ)；監(jiān)督評價機制是保障風險防控措施健全和有效運行的必要手段；統(tǒng)籌建設(shè)機制是風險防控措施建設(shè)和完善的必然要求；內(nèi)控信息系統(tǒng)是風險防控措施、風險評估機制和監(jiān)督評價機制有效運行的必要支撐，提高風險防控的效率和效果。單位層面內(nèi)部控制各要素之間相互作用、相互影響，構(gòu)成一個有機整體，形成單位層面內(nèi)部控制框架體系。

（二）業(yè)務(wù)層面內(nèi)部控制框架體系

以往對內(nèi)部控制框架體系的研究，基本上都是站在單位層面，探索如何從整體上構(gòu)建內(nèi)部控制體系，而對業(yè)務(wù)層面內(nèi)部控制建設(shè)的研究很少。對于業(yè)務(wù)層面內(nèi)部控制建設(shè)，可操作性較強的是教育部《教育部直屬高校經(jīng)濟活動內(nèi)部控制指南（試行）》和江蘇省教育廳《江蘇省省屬院校經(jīng)濟活動內(nèi)部控制實施指南（試行）》。這兩個文件都明確了具體經(jīng)濟業(yè)務(wù)的風險防控措施，但未能從內(nèi)部控制的一般規(guī)律出發(fā)，明確業(yè)務(wù)層面內(nèi)部控制的基本要素。

1.基本要素

本文參照單位層面內(nèi)部控制框架體系（圖1），結(jié)合業(yè)務(wù)層面內(nèi)部控制基本規(guī)律，以及各要素之間的邏輯關(guān)系，確定了業(yè)務(wù)層面內(nèi)部控制的基本要素。具體要素包括業(yè)務(wù)管理制度、業(yè)務(wù)活動流程、業(yè)務(wù)崗位職責、風險評價機制和信息管理系統(tǒng)。

圖1 高校單位層面內(nèi)部控制框架體系

（1）業(yè)務(wù)管理制度。對于具體的經(jīng)濟業(yè)務(wù)，其風險防控的根本措施是通過健全業(yè)務(wù)管理制度來規(guī)范管理活動，防范業(yè)務(wù)風險。所以，業(yè)務(wù)管理制度是業(yè)務(wù)層面內(nèi)部控制的核心要素，其他要素都要服從服務(wù)于該要素。

（2）業(yè)務(wù)活動流程。業(yè)務(wù)管理制度是對業(yè)務(wù)活動的規(guī)范，但不夠精準，容易造成各管理環(huán)節(jié)之間的重疊、缺失和沖突。業(yè)務(wù)管理制度需要相配套的業(yè)務(wù)活動流程，有效避免管理環(huán)節(jié)的重疊、缺失和沖突，使業(yè)務(wù)活動路徑更清晰、結(jié)果更穩(wěn)定。業(yè)務(wù)活動流程作為業(yè)務(wù)管理制度的配套措施，是業(yè)務(wù)層面內(nèi)部控制的基本構(gòu)成要素。

（3）業(yè)務(wù)崗位職責。業(yè)務(wù)管理制度和業(yè)務(wù)活動流程都由具體的業(yè)務(wù)人員來執(zhí)行。風險防控的基本原理是內(nèi)部牽制，任何經(jīng)濟業(yè)務(wù)都不能由一個人獨立完成。所以，對于具體的經(jīng)濟業(yè)務(wù)，必須根據(jù)經(jīng)濟業(yè)務(wù)的重點管理環(huán)節(jié)，明確經(jīng)濟業(yè)務(wù)的具體崗位及其職責權(quán)限，實現(xiàn)不相容崗位相互分離，以利于經(jīng)濟風險的有效防控。業(yè)務(wù)崗位職責作為業(yè)務(wù)管理制度的配套措施，是業(yè)務(wù)層面內(nèi)部控制的基本構(gòu)成要素。

（4）風險評價機制。業(yè)務(wù)層面內(nèi)部控制的主體是業(yè)務(wù)管理歸口部門。經(jīng)濟業(yè)務(wù)歸口管理部門應當根據(jù)單位層面經(jīng)濟風險評估的要求，建立業(yè)務(wù)風險評價機制，定期對業(yè)務(wù)管理制度、業(yè)務(wù)活動流程和業(yè)務(wù)崗位職責的健全性和有效性進行定期評價，并將評價結(jié)果及時向風險評估部門進行報送。所以，風險評價機制是業(yè)務(wù)層面內(nèi)部控制的基本構(gòu)成要素。

（5）管理信息系統(tǒng)。基于業(yè)務(wù)層面內(nèi)部控制的要求，具體經(jīng)濟業(yè)務(wù)的管理制度、活動流程、崗位職責，都要由管理信息系統(tǒng)進行固化，以減少人為因素的主觀影響，提高經(jīng)濟業(yè)務(wù)管理和業(yè)務(wù)風險防控的效率和效果。所以，管理信息系統(tǒng)是業(yè)務(wù)層面內(nèi)部控制的基本構(gòu)成要素。

2.框架體系

本文構(gòu)建的高校業(yè)務(wù)層面內(nèi)部控制框架體系如下（圖2）。

圖2 高校業(yè)務(wù)層面內(nèi)部控制框架體系

在高校業(yè)務(wù)層面內(nèi)部控制框架體系中，業(yè)務(wù)管理制度是核心要素，其余要素都服從和服務(wù)于該要素；業(yè)務(wù)活動流程是業(yè)務(wù)管理制度的配套措施，促進業(yè)務(wù)管理制度有效執(zhí)行；業(yè)務(wù)崗位職責是業(yè)務(wù)管理制度的配套措施，促進業(yè)務(wù)管理制度有效執(zhí)行；風險評價機制實現(xiàn)對業(yè)務(wù)管理制度、業(yè)務(wù)活動流程和業(yè)務(wù)崗位職責的定期評價，促進業(yè)務(wù)管理制度、業(yè)務(wù)活動流程和業(yè)務(wù)崗位職責不斷完善和有效執(zhí)行；管理信息系統(tǒng)對業(yè)務(wù)管理制度、業(yè)務(wù)活動流程和業(yè)務(wù)崗位職責加以固化，避免人為因素和主觀因素的影響，提升經(jīng)濟業(yè)務(wù)的效率和效果。業(yè)務(wù)層面內(nèi)部控制各要素之間相互作用、相互影響，構(gòu)成一個有機的整體，形成業(yè)務(wù)層面內(nèi)部控制框架體系。

結(jié) 語

當前，高校面臨的內(nèi)部和外部經(jīng)濟環(huán)境日益復雜，對高校經(jīng)濟風險防控的要求越來越高。高校加強內(nèi)部控制建設(shè)，健全內(nèi)部控制體系并有效執(zhí)行，對于規(guī)范經(jīng)濟活動，制約權(quán)力運行，優(yōu)化內(nèi)部治理，降低經(jīng)濟風險，保障事業(yè)高質(zhì)量發(fā)展，發(fā)揮著極其重要的作用。本文構(gòu)建的單位層面內(nèi)部控制框架體系，以及業(yè)務(wù)層面內(nèi)部控制框架體系，對于創(chuàng)新高校內(nèi)部控制建設(shè)理論，指導高校內(nèi)部控制建設(shè)實踐，具有重要的參考和借鑒意義。