风险管理在高校内部控制建设研究

摘要：高校内部控制建设遵循《行政事业单位内部控制规范》。基于风险管理理念，对高校自身不同层面的风险点进行分析，并结合风险分析方法，针对性地建设高校内部控制是全文主要框架。文章利用风险矩阵分析方法对高校单位及业务层面进行了风险分析，并提出相应的风险应对策略。

关键词：高校内部控制；风险矩阵；风险管理

一、内部控制与风险管理

1992年，COSO委员会了《内部控制———整合框架》，对内部控制理论和实务操作产生了重大影响。继而，在2004年，COSO在内部控制框架的基础上形成了《企业风险管理———整合框架》，对风险管理理论及其同内部控制间的关系带来新的观点与提升。COSO认为内部控制是风险管理不可分割的一部分。在我国，企业内部控制规范体系将内部控制和风险管理融为一体。内部控制和风险管理均经历了自身的理论体系创新及实务操作发展，内部控制由传统的内部牵制制度逐步发展到以风险为导向的内部控制整合框架，风险管理也由分散的财务、经营、战略风险管理逐步发展为整合风险管理。两者的发展具有高度的倾向一致性，内部控制实施有赖于风险管理技术方法，风险管理离开内部控制这一手段支撑也将流于形式。由此，基于风险管理理念的内部控制制度建设，无论是从战略目标实现的目标导向，还是从过程控制的技术支撑，乃至内部控制机制的管理理念都较脱离风险观念的内部控制制度建设更具优势。

二、企业风险管理理论

在经营管理过程中会遇到各种事件，这些事件可能对企业产生不利影响和有利影响。产生负面影响的事件代表了风险，产生正面影响的事件能抵消不利影响或为单位带来机会。风险管理就是对上述风险和机会的管理。基于风险管理理念的高校内部控制建设主要内容就是分析经济业务活动的风险，识别风险点，然后综合运用风险控制方法。良好的风险管理工作开展，往往以完善的风险评估工作机制建设为起点，按风险评估四步骤目标设定、风险识别、风险分析及风险应对展开，进而构建更有效的内部控制管理制度。企业风险管理过程中对风险识别采用了头脑风暴、SWOT分析、问卷调查等方法，并结合风险发生可能性及严重程度，利用敏感性分析法、行业标杆比较法、VAR法、风险矩阵法等技术手段对风险进行风险分析，给出风险规避、风险降低、风险分担和风险承受四种风险应对策略。风险矩阵分析法将企业面临的风险划分为：高风险高几率的“红灯区”，高风险低几率以及低风险高几率的“黄灯区”，低风险低几率的“绿灯区”。针对不同类别，风险管理理论提出了红灯区风险规避、黄灯区风险降低或风险分担、绿灯区风险承受的应对策略。

三、高校内部控制建设情况

相对企业而言，高等学校内部控制制度建设相对滞后。目前，在我国企业内部控制规范体系由基本规范和配套指引构成，自2008年的《企业内部控制基本规范》以来，针对企业内部控制已了18个应用指引、评价指引和审计指引等。高等学校内部控制可遵循的纲领性文件仅有2012年印发的《行政事业单位内部控制规范（试行）》。因此，从制度建设上，高校内部控制建设工作还相对不够成熟。从内部控制建设范畴来看，高等学校内部控制建设还不够全面。行政事业单位内部控制将控制客体界定为单位经济活动的风险，诸如预算、收支、政府采购、资产管理、建设项目等；非经济活动的风险暂时还未纳入行政事业单位内部控制的范围。从实践应用方面来看，高校内部控制建设工作也不够完善。首先，高校战略管理思维贯彻不够，发展战略研究和规划还不到位；内部的治理结构、机构设置、权责分配、监督机制不能为内控建设提供有效运行的体系。其次，控制方法相对单一，高校内部控制控制方法主要以岗位设置、权限控制、预算控制等以“内部牵制”理念为基础的传统方法，诸如绩效考核控制、分权控制、现代信息控制等方法的运用还不够成熟。最后，高校内部控制建设过程中，风险管理理念及风险分析的意识还不够，作为内部控制未来发展方向基于战略目标的风险管理内部控制建设还没有有效体现。正是由于高校存在诸如上述的战略目标弱化、风险管理意识淡化、控制方法单一等种种不足之处，笔者基于企业内控风险管理理念对高校内容建设提出建议。

四、企业风险管理理念在高校内部控制中的具体应用

（一）风险评估工作机制的建设

高校应成立风险评估工作小组开展经济活动风险评估，风险评估小组由高校主要负责人、主管财务的校级领导担任组长。风险评估小组的日常工作机制应强调多部门间的协作，可以单独设置内控部门，也可以成立跨部门的工作小组。内部控制建设是一个系统工程，高校各职能部门应加强合作联系。动态工作机制，高校外部环境、经济活动、管理要求一般相对稳定，但为更及时发现各类风险，高校也应当建立经济活动风险定期评估机制，对学校自身的经济活动存在的风险进行全面、系统和客观的评估。风险评估动态机制可结合“五年规划”展开全面性评估和局部评估。

（二）风险评估及管理建议

1.建立与学校发展战略目标一致的风险管理目标在明确单位发展战略和内部控制目标的前提下，识别自身潜在的风险是内控建设的基础和起点。因此高校内控建设首先明确战略目标，并在内控建设过程中坚持围绕战略目标。高校作为提供公益性服务的事业单位，充分利用掌握资源，高效率的输送人才和社会服务是其主要职责，也是其战略目标。在履行职责中，因软硬件、历史发展等导致资源差异也会产生诸如国际一流大学、应用技术大学建设的个性化战略目标，这也是基于自身资源而提出的差异性合理战略目标。这些均与行政事业单位内部控制目标“提高公共服务的效率和效果”一致。因此，无论从制度建设角度，还是从实践角度而言，内控建设目标服务于高校自身战略目标均必须的。2.不同层面的风险识别、分析及应对高校可以从单位层面及业务层面两个层次上对自身的内部控制风险进行识别，并利用风险矩阵进行分析。（1）建设高效完整的内部控制架构高校内部控制在制度建设、组织支撑、控制范围、以及工作机制等方面存在一定不足。高校可以借助业已成熟的企业风险管理理念和方法，建立新型的高校内部控制架构，制度层面上充分参照企业风险管理理念下的内部控制制度。组织层面则需要突破想法，高校管理的顶层设计理念是党委领导下的校长负责制。因此，内部控制建设不单单是高校行政部门的事情，议事决策机制、岗位设置、机构设置等均由党委进行顶层设计。在控制范围角度，高校沿用行政事业单位内部控制所关注的经济活动，为提升利用公共资源的效率，高校也应关注影响学校发展战略实现的其他非经济活动，如学科发展规划、专业建设规划、人才建设等。在工作机制方面，高校内部控制应该在时间上强调全过程控制，利用信息化手段，实施过程动态监管，坚持以风险管理为主线实施内部控制。制度建设、组织支撑、控制范围及工作机制是内部控制得以有效实施的重要保障，其中尤以组织支撑更为重要，因为议事决策机制、岗位设置、机构设置均对内控有效实施具有决定性的影响。以当前高校实际情况来判断，当前高校内部控制环境建设中，制度建设、控制范围、工作机制属于低风险低几率的绿灯区，属于可承受范围；而组织支撑则属于高风险低几率的黄灯区，应采取风险降低的策略，重点通过建立相互牵制的岗位设置、监督组织体系来降低风险。。（2）建立针对性强的业务层面风险控制近年来，行政事业单位会计制度建设得到长足发展，高校、医院作为行政事业单位中业务复杂的代表，会计及内部控制改革均走在前列。同时，高校作为人才相对密集的单位，内部控制工作制度建设相对比较完善。但在实际发展过程中，高校内部控制业务层面仍存在一些问题，这些问题不仅仅存在于经济活动方面，非经济活动方面也应投入关注。当前，高校经济活动风险比较突出的业务主要集中在采购招投标业务层面。采购招投标业务即涉及了体量较大的基本建设工程，也涉及到日常大额的资产、服务采购支付。因为涉及的资金较大，寻租空间大，容易滋生腐败，给高校带来的损失也往往比较巨大。因此采购招投标业务建设应作为高校内部控制的重点建设内容。从重要性和实际发生几率来看，采购招投标业务控制属于高风险高几率的红灯区范围，应对策略采用风险规避策略。具体将应严格按照管办分离（采购审批和采购实施分离）、重点岗位轮岗制度、招标业务外包等方式，降低风险进而规避一些实际操作中的风险。高校经济业务比较复杂，既有财政拨款收支，也有带有公益性质的自筹运营收支，因此预算及收支管理业务也是内部控制重点管控对象。高校预算工作主要问题存在于预算执行方面，诸如预算执行进度难以达到预期，项目经费不能做到专款专用，预算超范围开支，预算列支真实性欠缺等。在收支方面，存在的问题主要有：资金结算不符合规定、收入不及时或存在小金库现象、票据开具不规范、存在虚假列支问题等等。在上述收支业务中，对于单位整体而言，上述收支业务给单位带来的损失及几率属于低风险高几率黄灯区范围，应采取风险降低的策略，做好日常规范化管理工作以降低风险。资产管理是高校内部控制中比较薄弱的环节。有的高校还未理顺资产管理组织框架，存在多头管理的问题，有的高校虽已理顺管理框架，但日常管理比较薄弱，主要体现在资产盘点、出入库管理、标准化管理等。高校资产融合教学、科研、对外服务等多方面职能，教师等个体对资产存放有较大的掌控权，因此资产分布情况复杂。很多高校资产盘点受限于传统手段，盘点多以自查结合抽查的方式展开，现场盘点有时流于形式，存在较大的资产流失风险隐患。出入库管理方面，高校库存管理较企业存在较大差距。企业对存货管理从经济效益角度及安全角度均建立了较完善的制度，而我国很多高校的存货管理基本缺失，存货采购忽视效益，无统一的存货管理仓库，出入库流程流于形式。资产标准化管理则主要体现资源效益问题，高校预算管理多采用项目制，项目经费开支由负责人掌控，由此导致资产采购标准差异较大，经费多的采购标准较高，从而造成资源浪费。资产管理业务属低风险高几率业务，应采取加强资产管理措施以降低风险。非经济业务风险主要为决策不能同自身战略目标相结合。高校应结合自身资源及所处宏微观环境，凸显自身优势特点确定符合自身的发展战略，不应盲目地按照专科－教学型本科－研究型本科的传统思路发展，发展战略一定要体现出高校自身发展特色，经过充分论证确定。经论证后，发展战略不应轻易改变，尤其是不受到高校领导层的变更而轻易发生改变，高校的人才发展战略、学科建设方向、专业设置等均应服务于实现战略目标而开展。

综上，风险管理理念侧重发现内部控制过程中的重点关注对象和薄弱点，将该理念应用于高校内部控制建设过程更多是一种理念上的更新，改变传统内部牵制设置的设计理念。正式基于风险管理理念，高校在内部控制建设过程中应加强战略管理、采购和招标管理等重点建设内容，同时针对预算收支、资产管理等建立一个动态的风险评估理念，适时调整控制力度，以更好地建设高效的内部控制制度。

作者:郭长安 单位:宁波工程学

参考文献：

[1]沈烈.论高校内部控制的转型与创新[J].高等教育研究,2010(12).

[2]何文兵.浅谈高校组织层面内部控制的构建和完善[J].教育财会研究,2014(06).

[3]丁友刚,胡兴国.内部控制、风险控制与风险管理———基于组织目标的概念解说与思想演进[J].会计研究,2007(12).