孙支南　王超辉



论高校内部控制与风险管理*

孙支南王超辉

高校内部控制与风险管理的主体与客体、过程与要素、职能与目标具有一定的重合性和联系性，但是，重合之处亦有区别。尤其是在组成要素、职能范围与目标体系等方面，高校内部控制与风险管理有着很大的不同。基于内部控制与风险管理的三种关系图式，高校内部控制与风险管理应当融为一体，走向以风险管理为轴的高校内部控制。

高校；内部控制；风险管理；风险控制

随着我国高等教育办学规模的迅速扩大，各个高等院校和教学单位的在校人数也逐渐递增。当前全国各类高等教育在学总规模已经高达3559万人以上，国家财政性教育经费支出也占国内生产总值4%以上。办学规模的变化使得高等教育诸种制度既不适应高等教育发展规律的客观要求，也不能满足于高校管理工作的现实诉求。进而，推进管办评分离，简政放权，落实高校办学自主权等，成为了形塑高校治理新格局的基本态势。尤其是高校在资金筹集、经费使用、财务管理等方面自主权的扩大，使得高校由原来计划经济条件下的低风险简单领导管理转变为市场经济条件下的财务风险管理方式。而财务风险的控制手段之一为单位的内部控制。2012年11月，财政部发布了《行政事业单位内部控制规范(试行)》，为高校内部控制的各种规范提供了有效的指引。2013年12月，教育部关于做好《行政事业单位内部控制规范(试行)》实施工作的通知(教财函[2013]142号)，明确指出了高校实施内部控制规范的主要任务：分析经济活动风险，确定风险点，选择风险应对策略；提高内部控制的信息化水平；建立内部控制评价机制；等等。[1]在此意义上，研究高校内部控制与风险管理成为了我们不得不面对的重要课题。高校内部控制与风险管理的主要内涵是什么，二者具有怎样的关系，高校内部控制的发展态势如何？这些问题的探析将有利于建立健全高校内部控制体系，并使得高校财务风险机制更加完整可靠。

一、高校内部控制与风险管理的内涵

内部控制作为企业管理现代化的产儿，是人类社会经济发展的必然结果。1905年，L.R.Dicksee提出了内部牵制(Internal check)的概念，认为其内涵在于保护现金和资产安全及账簿记录的准确性，具有职责分工、会计记录、人员轮换等特征，并得到了美国注册会计师协会(American Institute of Certified Public Accountants ，简称“AICPA ”)的承认。1949年，AICPA首次提出内部控制的定义，即在内部牵制概念的基础上，增加了管理控制以提高经营效率等内容。1992年，美国反虚假财务报告委员会下属的发起人委员会(The Committee of Sponsoring Organizations of the Tread way Commission，简称“COSO”)提出了著名的《内部控制的完整框架》的研究报告，并于1994年进行了增补。《内部控制的完整框架》认为：“内部控制是受企业董事会、管理层和其他人员影响，为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”[2]2004年，COSO委员会又发布了《企业风险管理的整合框架》。《企业风险管理的整合框架》将“企业风险管理”定义为：企业风险管理是一个过程，它由一个主体的董事会、管理当局和其他人员实施，应用于战略制订并贯穿于企业之中，旨在识别可能会影响主体的潜在事项，管理风险以使其在该主体的风险容量之内，并为主体目标的实现提供合理保证。”[3]

企业单位内部控制与风险管理的理论与概念一经提出，就在许多领域形成了诸多默认与想象的含义，行政事业单位也不例外。而高校作为行政事业单位集合里的一个重要元素，也与内部控制与风险管理发生了联结，最终产生了高校内部控制与风险管理的说法。基于“内部控制”与“风险管理”原始定义的本质性特征，并综合以往研究成果，我们将高校内部控制定义为：为了提升高校经营管理活动的效率、效果和效益，增强财务报告和会计信息的可靠性、准确性和完整性，维持高校资产及其运转的安全性、稳定性和发展性，确保高校经济活动的法制性、责任性和有序性，高校内部的行政管理人员、职能部门领导以及其他人员等共同建构的“一揽子”治理发展战略和治理过程。诚然，高校内部控制的主体是学校内部的行政管理人员、职能部门领导以及其他人员，客体乃是高校内部的教学科研、财务收支、业务管理等活动，主体通过内部控制的一系列制度，最终促进学校经营管理又好又快发展。与高校内部控制不同，高校风险管理则是高校管理者在面对教学科研、财务收支、业务管理等经济活动时，对各种决策带来的潜在性风险和已经发生的事实性风险，进行识别、分析、评价、控制和处理的一连贯的治理方式、治理思路和治理过程。可见，风险管理是规避、化解、降低因高校管理和决策不当，或因高校外部因素冲击所带来消极结果的重要形式。

但是，企业内部控制与风险管理和高校内部控制与风险管理有着本质上的不同，这主要源自于二者“主体”身份悬殊。一方面，企业一般以盈利为目的，是属于典型的盈利性单位，具有明显的竞争性；而高校作为一种重要的公共产品，非盈利性是其价值诉求，非竞争性是其本质属性。另一方面，企业的业务管理和经营活动相对单一，遵循“采集-生产-销售”的连贯性模式，进而内部控制与风险管理较为简单；而高校的教学科研、财务收支、业务管理和经营活动相互交错，关乎基建、涉于采购、承载教学、介入企业，多样性的经济活动增添了高校内部控制与风险管理的复杂性。

二、高校内部控制与风险管理的异同关系

高校内部控制与风险管理的内涵表明，两者之间具有必然的联系，同时也各具有自身的特性。在某种程度上而言，高校内部控制与风险管理的主体与客体、过程与要素、职能与目标具有一定的重合性和联系性，但是，重合并不意味着完全一致，重合之处亦有区别。尤其是在组成要素、职能范围与目标体系等方面，高校内部控制与风险管理有着很大的不同。

1.高校内部控制与风险管理的相同之处

首先，高校内部控制与风险管理都是由高校管理者(行政管理人员、职能部门领导以及其他人员)共同参与实施的，所面对的事务无非是学校内部的教学科研、财务收支、业务管理等经营管理活动。换言之，无论是高校内部控制抑或是高校风险管理，都是将学校经济业务活动作为主要治理对象，进而构建全面、综合、完整的治理体系，最终有利于学校发展战略与规划的如期实现。在此意义上，高校内部控制与风险管理的主体与客体具有一致性。其次，高校内部控制与风险管理都是作为一个动态的、灵活的、多变的治理过程而存在的，两者不是一种静态的、僵化的、单一的系统化过程。高校内部控制与风险管理客体对象的不确定性，决定了二者作为高校内部的常规运转机制，因为这种系统化过程需要处理不断往复、实时更新的信息反馈。而从高校内部控制与风险管理的组成要素来看，(内部的或控制的)环境、风险评估、控制活动、信息与沟通、监督等五个要素是相互重合的。再次，高校内部控制与风险管理的目标与职能具有一定的关联性。关于财务信息的可靠性和准确性之报告类目标，资产运行的效力与效益和避免资源损失与浪费之经营类目标，以及坚持相关法律规则和遵循产业目标导向之依从类目标，是高校内部控制与风险管理共同的意义指向。

2.高校内部控制与风险管理的区别之处

作为保证高校经营管理有秩序地和有效地运行的治理方式，高校内部控制与风险管理虽然有着亲密的关系，但也是以各自独立的表征所存在的，二者的区别之处有以下几点。其一，组成要素并不完全相同。(内部的或控制的)环境、风险评估、控制活动、信息与沟通和监督等五个要素虽然为高校内部控制与风险管理所共同拥有，但这只是风险管理组成要素的一部分。事实上，除了上述五种要素之外，高校风险管理还应包含有目标设定、事件识别和风险反应等三个要素。显而易见，高校风险管理的主要特性在于风险管理内容，即识别、分析、评价、控制和处理内外部风险的一种组织架构。其二，职能范围并不完全相同。检查性控制和纠正性控制是高校内部控制的主要职能，也即是说，高校内部控制主要透过“事中”和“事后”的方式实现自己的治理目标，很少涉及预防性控制和补偿性控制。而高校风险管理则是“事前”、“事中”和“事后”都有所考虑，关乎整个管理过程。尤其是在“事前”的目标设定时，已将“风险”纳入治理体系之中，是一种兼具预防性控制、检查性控制和纠正性控制的高校内部治理模式。由于高校风险管理对风险的识别与应对与内部控制大相径庭，因此，其整个活动范围是明显大于内部控制的。其三，目标体系并不完全相同。经营类目标和依从类目标在高校内部控制与风险管理中皆有所体现，但是其活动范围的不同决定了二者目标体系的差异性。高校风险管理增加了有关学校整体发展和承载使命责任的战略性目标，以及非财务性信息的报告类目标。这在一定意义上丰富了学校经营管理系统的完整性，弥补了过度重视财务收入与支出信息所带来的信息纰漏。

3.高校内部控制与风险管理的关系图式

高校内部控制和风险管理的异同关系勾勒出了一幅相互促进、相互协调且相互独立的图画。那么，高校内部控制与风险管理之间到底是一种怎样的关系，二者形成了一种怎样的关系图式呢？基于企业内部控制与风险管理的关系，大致有三种关系类型。第一，强风险管理论或者说弱内部控制论，即风险管理包含内部控制。内部控制只是风险管理的一种手段，同时也是风险管理不可或缺的重要组成部分。这在COSO委员会发布的《企业风险管理的整合框架》中可见一斑。第二，强内部控制论，亦称弱风险管理论。此种理论将“控制”理解为一个实现单位组织诸多目标的集合体，进而主张内部控制包含风险管理，而风险的识别、评估和应对是内部控制的关键要素。这已被加拿大特许会计师委员会(Canadian Institute of Chartered Accountants，简称“CICA”)所承认和认同。第三，内部控制与风险管理同一论。顾名思义，“同一论”是指将内部控制与风险管理看作可以互换的东西，认为内部控制也就是风险管理，风险管理意味着内部控制。内部控制与风险管理同一之处在于“风险”，“以风险为基础，内部控制与风险管理变化成了交集的一体性”[4]。事实上，内部控制与风险管理同一论得到了国内外众多学者的一致赞同。

基于企业内部控制与风险管理的三种关系图式，我们认为高校内部控制与风险管理应该遵循“内部控制与风险管理同一论”的基本理念，并将两者之间视为相互补充与相互融合的关系。因为“无论是内部控制还是风险管理，都是一个全员全程参与的过程，实施内部控制和参与风险管理的主体是一致的，过程是一致的，它们的最终目的也是一致的。当我们在管理风险时，也正在实施控制，这是一个协调统一的机制。”[5]Matthew Leitch也认为：“理论上风险管理系统与内部控制系统没有差异，这两个概念的外延变得越来越广，正在变为同一事物。”[6]因此，高校内部控制与风险管理应当融为一体，“内部控制扩展为更全面的风险管理”[7]，走向以风险管理为轴的高校内部控制。

三、走向以风险管理为轴的高校内部控制

高等教育大众化的发展使得各个高校面临着生源竞争性问题，全球化在教育领域的侵入也将更加凸显我国高校的办学质量问题。如何维持高校经营管理活动的健康、有序、高效运转，成为衡量高校内部治理系统优良的关键。众所周知，高校内部治理是一个复杂多变的过程，走向以风险管理为轴的高校内部控制，不仅需要高校管理者意识到全面风险管理的重要性，更要构建全面风险管理内部控制组织体系和先进的风险管理信息系统。

第一，树立全面风险管理的核心理念。思路决定出路，观念决定方向，这在一定意义上道出了“意识先行”对于事物改革与发展的重要作用，而“由传统的内部控制向全面风险管理型内部控制转化是目前我国高校的最佳选择”[8]。走向以风险管理为轴的高等学校内部控制，需要大学管理者树立全面风险管理的核心理念。高校内部的行政管理人员和职能部门领导作为管理层，承担着组织单位内部控制的重要责任，是高校经营活动有效运转的领导者和带路人。他们树立风险辨识、分析、评估和应对的核心理念，对于学校内部治理的良性发展起着关键甚至是决定性作用。此外，行政管理人员和职能部门领导应当将全面风险管理理念日常化，即加强对高校内部教职员工、教辅人员的风险意识引导，使得学校内部成员一致认同全面风险管理观念，并将认同落实到日常工作场域中去，形成一种文化新常态。

第二，构建全面风险管理内部控制组织体系。全面风险管理理念的树立，只是走向以风险管理为轴的高校内部控制的第一步。如果我们想要充分满足高校全面风险管理的各项要求，系统性的和全面性的内部控制组织结构设计是必不可少的。首先，建立高校内部的行政管理人员和职能部门领导下的风险组织架构，作为全面风险管理内部控制的决策机构。其次，设置独立于高校内部各个部门的风险管理委员会，研发风险管理发展战略和风险管理信息系统，以此确保全面风险管理内部控制的独立性和权威性。最后，执行全面风险管理内部控制的战略步骤，以横向延伸和纵向管理的方式，涵盖教学科研、财务收支、业务管理和经营活动等所有领域，形成大学内部治理的矩阵式管理。简言之，全面风险管理内部控制组织体系最好构建一种“决策委员会-管理委员会-职能部门-个人领域”的运行机制，形成统一且完整的风险管理内部控制组织体系。

第三，开发先进的风险管理信息系统。风险管理是一种动态管理，高校经营活动的风险也是不确定的。风险管理不仅是控制行为，更重要的是规避风险。因此，开发先进的风险管理信息系统也是必备之举。先进的风险管理信息系统应该包括全面管理信息系统和风险预警分析系统。建立全面管理信息系统，可以实现高校内部的教学科研、财务收支、业务管理和经营活动等经济行为运转的信息化、自动化、数据化管理，进而提供一种全面管理信息的资料库和数据库。在此基础上，财务信息和非财务信息可得到准确、完整、可靠的搜集，为全面风险管理内部控制提供诸多风险辨识信息和预警指标。而建立风险预警分析系统，能够监控风险发生的可能性，提高风险信息反应的灵敏度。对此，高校风险预警分析系统可以通过“设置目标-内外风险-控制目标-控制活动”的程序性监测行为，提供风险预警信息上报相关职能部门，降低风险发生的概率和危害。

[1]中国教育部.教育部关于做好《行政事业单位内部控制规范(试行)》实施工作的通知[2013-12-05][EB/OL].http://www.moe.edu.cn/publicfiles/business/htmlfiles/moe/s7052/201312/161008.html.

[2]COSO.Addendum to Reporting to External Parties，Internal Control-Integrated Framework[R].Jersey City: NJ.COSO, 1994.

[3]COSO.Enterprise Risk Management-Integrated Framework[R].Jersey City: NJ.COSO, 2004.

[4]Page, Mike and Spira, L.Regulation.Disclosure: the Case of Internal Control[J].Journal of Management and Governance，2009 (4) : 409-433.

[5]陆美娟，雒敏，丁新农.试论高校内部控制与风险管理的融合[J].南京医科大学学报(社会科学版)，2011(6)：457-459.

[6]Matthew Leitch.Intelligent Internal Control and Risk Management[M].Burlington: Gower Publishing Limited, 2008:13-18.

[7]周兆生.内部控制与风险管理[J].审计与经济研究，2004(4)：46-49.

[8]沈烈.论高校内部控制的转型与创新[J].高等教育研究，2010(12)：68-72.

(责任编辑刘第红)

2015-09-21

孙支南，广州番禺职业技术学院纪委办公室主任兼监察审计处处长，副编审；王超辉，广州番禺职业技术学院纪委办公室(监察审计处)经济师。(广州/511483)

*本文系广州市教育科学“十二五”规划2014年度课题“基于风险管理视角的高校内部控制研究——以广州市属高职院校为例”(1201431383)以及广州市教育科学“十二五”规划2015年度课题“基于COSO-ERM高校财务风险预警与控制模型探索与研究——以广州市属高校为例”(120153279)的阶段性成果。