风险导向的高校经济活动内部控制框架体系构建

韩正民

（苏州经贸职业技术学院，苏州 215009）

引 言

党的十八届四中全会，对行政事业单位的内部控制建设提出了明确要求。当前，高校经济活动规模逐渐扩大，经济业务日益复杂，面临的经济风险不断加大。高校加强内部控制体系建设，提升内部控制的健全性和有效性，对于有效防控经济风险，促进学校事业高质量发展，有着极其重要的意义。

一、内部控制的本质

把握内部控制的本质，是做好内部控制建设的前提和基础。对内部控制本质的界定，目前有流程观、措施观、机制观和制度观等主流观点。要弄清内部控制的本质，首先要对制度、流程、机制和措施等基本概念加以区分。制度、流程和机制是管理活动的三大要素，被称为管理“铁三角”。其中，制度明确经济活动的规范，保障经济活动规范运行；流程明确经济活动的程序，保障经济活动有序运行；机制明确经济活动的规则，保障经济活动有效运行。而措施是保障经济活动规范、有序和有效运行的一系列制度、流程和机制的总称，所以措施包含了制度、流程和机制。

由于预防和管控经济风险是内部控制的根本目的，所以本文将内部控制的本质界定为“经济风险防控措施”，内部控制是包括管理制度、活动流程、内控机制在内的经济风险防控措施的总和。

二、内部控制框架体系

内部控制框架体系的构建，一直是理论界和实务界非常重视的研究课题。基于“经济风险防控措施”的本质定位，内部控制框架体系是包括经济活动管理制度、活动流程和内控机制等风险防控措施的总和。同时，内部控制框架体系不是风险防控措施的简单加总，而是各个防控措施之间相互作用、相互影响构成的有机整体。关于内部控制框架体系，国内外的理论和实践存在着一定的差异。

（一）国外内部控制框架体系

国外内部控制框架体系中，最具影响力的是COSO《内部控制——整合框架》，该框架体系包括控制环境、风险评估、控制活动、信息沟通和监控五个基本要素。COSO内部控制框架体系，在全球得到广泛的应用。

随着内部控制实践应用和理论研究的不断深入，COSO内部控制框架体系的缺陷也显露出来。一是局限性，COSO内部控制框架体系的主要目的是防控财务风险和提高财务报告的可靠性。人们在内部控制实践中逐渐认识到，单位不能仅从财务管理的角度来防控财务风险，而应站在单位整体和防控全部经济风险的角度来构建内部控制体系。二是逻辑性不强，COSO 内部控制框架体系五要素之间相互作用、相互影响的逻辑关系不够明晰。三是内容不明确，COSO 内部控制框架对基本要素只是做了概念性的解释，各要素的具体内涵不明确，尤其是控制活动的内容不够明确，可操作性不强。

（二）我国内部控制框架体系

自2008 年美国金融危机及2010 年欧洲债务危机相继爆发以来，我国政府对内部控制建设越来越重视。

在企业内部控制建设方面，财政部于2008 年5 月印发《企业内部控制基本规范》，参照美国COSO 内部控制框架体系，构建起我国的企业内部控制框架体系，基本要素由内部环境、风险评估、控制活动、信息沟通和内部监督组成。

在行政事业单位内部控制建设方面，财政部于2012 年11 月印发《行政事业单位内部控制规范（试行）》，对行政事业单位内部控制建设在理论上进行了创新，将内部控制分为单位层面和业务层面。单位层面内部控制从单位整体角度出发，构建单位整体经济风险防控体系；业务层面内部控制从经济业务角度出发，构建具体经济业务风险防控体系。

三、高校内部控制建设要求

2013 年12 月，教育部印发《关于做好行政事业单位内部控制规范试行实施工作的通知》，对教育系统行政事业单位内部控制建设提出总体要求；2016 年4 月，教育部办公厅印发《教育部直属高校经济活动内部控制指南（试行）》，要求教育部直属高校，根据自身经济活动管理实际，参照内部控制指南的具体要求，在2016 年底前完成内部控制的建设任务。

四、高校内部控制框架体系构建

财政部2012 年印发的《行政事业单位内部控制规范（试行）》，将高校内部控制分为单位层面和业务层面，要求行政事业单位根据自身实际，构建符合自身特点的内部控制体系。但是，该规范没有给出内部控制的具体要素，可操作性不强。本文在COSO 内部控制框架体系的基础上，通过优化创新，构建起高校内部控制框架体系。

（一）单位层面内部控制框架体系

1.基本要素

本文参照COSO 内部控制框架体系，根据单位层面内部控制的基本规律，以及各要素之间的逻辑关系，构建起高校内部控制框架体系，具体包括以下基本要素。

（1）风险防控措施。基于内部控制“经济风险防控措施”的本质定位，内部控制的核心要素是风险防控措施，其他要素都要服从服务于该要素。高校经济风险防控的主要措施有建立业务管理制度、活动流程和制衡机制。

（2）风险评估机制。随着经济社会的不断发展，高校面临的外部和内部环境不断发生变化，相应的风险防控措施也应及时调整。风险防控措施的制定和调整，都是以风险评估结果为基础的。风险评估机制要求高校明确经济风险评估归口部门，完善经济风险评估制度，定期开展经济风险评估。经济风险评估结果应及时报送内部控制建设部门，以利于风险防控措施及时优化调整。所以，风险评估机制是内部控制的基本构成要素。

（3）监督评价机制。高校应建立监督评价机制，对内部控制体系的健全性和有效性进行监督评价。监督评价机制要求高校明确内控监督评价归口部门，完善内控监督评价制度，定期开展内控监督评价。内控监督评价归口部门应及时将内控评价结果向内控建设部门报送，以利于风险防控措施及时优化调整。所以，监督评价机制是内部控制的基本构成要素。

（4）统筹建设机制。高校应建立内部控制统筹建设机制，明确内部控制建设归口部门，完善内部控制建设制度，持续推进内部控制体系建设。内部控制统筹建设归口部门统筹学校内部控制体系建设，根据经济风险评估报告和内部控制评价报告，不断完善风险防控措施，并保证风险防控措施有效运行。所以，统筹建设机制是内部控制的基本构成要素。

（5）内控信息系统。高校内部控制体系涉及多个职能部门，经济业务和防控措施复杂，必须借助信息化手段，才能提高内部控制的有效性和及时性。高校应明确内控信息系统建设部门，健全内控信息系统建设制度。内控信息系统建设部门，应持续推进内部控制信息化建设，将风险防控措施、风险评估机制、监督评价机制用信息化手段固化下来，减少人为因素的主观影响，提升风险防控措施和内控工作机制运行的效果和效率。所以，内控信息系统是内部控制的基本构成要素。

2.框架体系

本文构建的高校单位层面内部控制框架体系如下：

单位层面内部控制框架体系中，风险防控措施是核心要素，其余要素都服从和服务于该要素；风险评估机制是制定和完善风险防控措施的基础；监督评价机制是保障风险防控措施健全和有效运行的必要手段；统筹建设机制是风险防控措施建设和完善的必然要求；内控信息系统是风险防控措施、风险评估机制和监督评价机制有效运行的必要支撑，提高风险防控的效率和效果。单位层面内部控制各要素之间相互作用、相互影响，构成一个有机整体，形成单位层面内部控制框架体系。

（二）业务层面内部控制框架体系

以往对内部控制框架体系的研究，基本上都是站在单位层面，探索如何从整体上构建内部控制体系，而对业务层面内部控制建设的研究很少。对于业务层面内部控制建设，可操作性较强的是教育部《教育部直属高校经济活动内部控制指南（试行）》和江苏省教育厅《江苏省省属院校经济活动内部控制实施指南（试行）》。这两个文件都明确了具体经济业务的风险防控措施，但未能从内部控制的一般规律出发，明确业务层面内部控制的基本要素。

1.基本要素

本文参照单位层面内部控制框架体系（图1），结合业务层面内部控制基本规律，以及各要素之间的逻辑关系，确定了业务层面内部控制的基本要素。具体要素包括业务管理制度、业务活动流程、业务岗位职责、风险评价机制和信息管理系统。

图1 高校单位层面内部控制框架体系

（1）业务管理制度。对于具体的经济业务，其风险防控的根本措施是通过健全业务管理制度来规范管理活动，防范业务风险。所以，业务管理制度是业务层面内部控制的核心要素，其他要素都要服从服务于该要素。

（2）业务活动流程。业务管理制度是对业务活动的规范，但不够精准，容易造成各管理环节之间的重叠、缺失和冲突。业务管理制度需要相配套的业务活动流程，有效避免管理环节的重叠、缺失和冲突，使业务活动路径更清晰、结果更稳定。业务活动流程作为业务管理制度的配套措施，是业务层面内部控制的基本构成要素。

（3）业务岗位职责。业务管理制度和业务活动流程都由具体的业务人员来执行。风险防控的基本原理是内部牵制，任何经济业务都不能由一个人独立完成。所以，对于具体的经济业务，必须根据经济业务的重点管理环节，明确经济业务的具体岗位及其职责权限，实现不相容岗位相互分离，以利于经济风险的有效防控。业务岗位职责作为业务管理制度的配套措施，是业务层面内部控制的基本构成要素。

（4）风险评价机制。业务层面内部控制的主体是业务管理归口部门。经济业务归口管理部门应当根据单位层面经济风险评估的要求，建立业务风险评价机制，定期对业务管理制度、业务活动流程和业务岗位职责的健全性和有效性进行定期评价，并将评价结果及时向风险评估部门进行报送。所以，风险评价机制是业务层面内部控制的基本构成要素。

（5）管理信息系统。基于业务层面内部控制的要求，具体经济业务的管理制度、活动流程、岗位职责，都要由管理信息系统进行固化，以减少人为因素的主观影响，提高经济业务管理和业务风险防控的效率和效果。所以，管理信息系统是业务层面内部控制的基本构成要素。

2.框架体系

本文构建的高校业务层面内部控制框架体系如下（图2）。

图2 高校业务层面内部控制框架体系

在高校业务层面内部控制框架体系中，业务管理制度是核心要素，其余要素都服从和服务于该要素；业务活动流程是业务管理制度的配套措施，促进业务管理制度有效执行；业务岗位职责是业务管理制度的配套措施，促进业务管理制度有效执行；风险评价机制实现对业务管理制度、业务活动流程和业务岗位职责的定期评价，促进业务管理制度、业务活动流程和业务岗位职责不断完善和有效执行；管理信息系统对业务管理制度、业务活动流程和业务岗位职责加以固化，避免人为因素和主观因素的影响，提升经济业务的效率和效果。业务层面内部控制各要素之间相互作用、相互影响，构成一个有机的整体，形成业务层面内部控制框架体系。

结 语

当前，高校面临的内部和外部经济环境日益复杂，对高校经济风险防控的要求越来越高。高校加强内部控制建设，健全内部控制体系并有效执行，对于规范经济活动，制约权力运行，优化内部治理，降低经济风险，保障事业高质量发展，发挥着极其重要的作用。本文构建的单位层面内部控制框架体系，以及业务层面内部控制框架体系，对于创新高校内部控制建设理论，指导高校内部控制建设实践，具有重要的参考和借鉴意义。