COSO报告视角下高校内部控制建设研究

COSO报告视角下高校内部控制建设研究王茂盛

（南京旅游职业学院,江苏南京211100）

2022年，中华人民共和国财政部颁布《行政事业单位内部控制规范（试行）》（财会〔2022〕21号），要求全国所有行政事业单位自2022年1月1日起执行，该规范的全面实施，为高校全面提升治理水平和治理能力，防范和化解廉政风险，强化高校内部控制机制科学化、体系化建设奠定了基础。党的十八届四中全会通过的《中共中央关于全面推进依法治国若干重大问题的决定》明确提出“对财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设等权力集中的部门和岗位实行分事行权、分岗设权、分级授权、定期轮岗，强化内部流程控制，防止权力滥用”，为高校全面优化内部控制机制和提高内部控制水平明确了方向。2022年，财政部发布《关于全面推进行政事业单位内部控制建设的指导意见》（财会〔2022〕24号），在肯定内控建设成效的同时，又进一步明确了内部控制建设的总体要求、主要任务和保障措施[1]。2022年，财政部又发布了《关于印发〈行政事业单位内部控制报告管理制度（试行）〉的通知》（财会〔2022〕1号），对高校内部控制建设工作又进一步提出了明确要求，对高校内部控制报告的编制、报送及使用等环节提出了进一步规范，要求继续强化和重视高校内控报告编制质量的监督和检查工作，进一步完善高校内部控制建设信息依法公开制度，全面提升高校内部控制报告编制质量，如实反映高校内部控制机制建设质量和水平。江苏省教育厅也发布了有关文件，要求省属院校充分认识全面推进内部控制建设的重要性和紧迫性，全面梳理经济业务流程，建立符合本校实际的内部控制体系，全面推进省属高校的内部治理能力和治理水平现代化。由于高校在办学过程中主要关注教学和科研两个方面，对行政管理方面的重视程度不够，部分高校在科学化、体系化内部控制机制建设方面还没有跟上时代步伐，并没有形成一套完善的内部控制建设工作机制，完整的内控制度规范尚未彻底健全，或虽建立了完善的内部控制制度体系，但因制度执行和落实不到位，内控制度在高校经济活动中的监督和风险防控功能并未得到有效发挥。近年来，随着高校高质量发展的不断深入，办学资金来源呈现多元化趋势，资金管理难度大、绩效考核要求高成为高校财务管理的主要特征，加强高校内部控制建设在新时代背景下变得尤为重要[2]。

1文献综述

“内部控制”一词最早见诸文字，是作为审计术语出现在1936年美国会计师协会发布的《注册会计师对财务报表的审查》文告中。美国职业会计师协会审计程序委员会于1949年第一次提出了“内部控制”的概念。1992年美国COSO委员会公布的报告《内部控制——整体框架》（简称“COSO报告”）中认为，内部控制系为达成某些特定目标而设计的过程，即内部控制是由企业管理层设计并由全体人员执行，其目的是确保企业经营目标的实现和财务报告编制的准确性，确保企业遵纪守法，并规定内部控制包括控制环境、风险评估、控制活动、信息与沟通、监督五个要素。该报告提出了一套适用于各行业的内控评估工具及方法，企业可以在该报告框架的指导下对企业内部控制状况进行评价，评价结果一方面可以帮助企业确立营造积极的企业文化，另一方面还可以借此识别企业可能存在的潜在风险，并在风险识别的基础上健全风险防控体系，确保企业战略目标的达成。国内关于高校内部控制的研究起步稍晚，主要是在2022年以后才有较大发展，尤其在2022年以后，知网相关文献检索量每年均在400篇以上，这也是全国高等学校全面落实执行财政部财会〔2022〕21号、财会〔2022〕24号和财会〔2022〕1号文件有关要求及成效的体现。孙支南、王超辉（2022）分析了内部控制与风险管理的关系，提出了高校内部控制应当与风险管理融为一体，走以风险管理为核心的内部控制之路[3]。欧阳瑞聪（2022）从财务风险管控视角出发，对高校重点领域、重点环节的财务风险进行分类，并针对风险点提出了管控对策。蔡慧（2022）对高校内部控制建设现状进行了深度剖析，系统探讨了高校内部控制精细化管理的思路与方法，尝试对高校内部管理机制做出创新调整[4]。刘耘含（2022）分析了目前高校在内部控制建设方面的成功经验和做法，对高校内控治理方面仍存在的问题进行了阐述，并对进一步规范高校内部控制建设工作阐明了相应的观点[5]。

综合现有的相关研究和分析，高校内部控制方面的研究主要集中在财务控制、内部控制体系建立、风险管理等方面，而从COSO报告五要素角度开展的高校内部控制研究不多。本文以COSO报告为研究分析工具，从控制环境、风险评估、控制活动、信息与沟通、监督五个方面对高校内部控制建设工作情况展开深入剖析[6]。

2高校内部控制建设存在的不足

从财政部对行政事业单位内部控制建设工作提出明确要求以来，各高校在内部控制建设方面逐步规范，高校的管理人员及普通职工的内部控制意识有了一定的提升，内部控制制度逐步完善，取得了一定的成效，但与内部控制建设的标准相比还存在一定差距。

2.1控制环境不完善

与企业重点关注盈利能力目标不同，大多数高校主要关注日常教学、科研及行政管理工作，并未对内部控制建设工作投入过多的关注。高等学校内部控制建设工作是由财政部门主管的，高校内部控制建设有关规定及要求也是通过“财”字头文件下达的。大多数高校的管理层认为内部控制建设工作主要应由财务处来实施，未将内部控制建设目标融入学校中长期事业发展规划中，更未将学校内部控制建设工作上升到大学治理层面来加强研究。高校管理人员对高校内部控制建设与高校治理能力和治理水平的联系认识不足，导致高校内部控制建设工作未能将全体教职工全面动员起来共同参与，这在某种程度上制约了学校内部控制制度的完善及廉政风险防范。宣传动员的不到位，使得教职员工置身内控建设之外，对内部控制建设产生了一定的阻力，部门之间、教职工之间难以形成内部控制协同化机制，更有甚者会误认为内部控制体系建设某种程度上影响了学校教学及科研工作的开展，导致内部控制制度难以得到有效落实。有些高校由于人员编制偏紧，关键岗位并没有实行定期轮岗制度，也并未严格落实不相容职务分离制度，审计、纪检监察部门对内部控制监督的缺位，致使高校内部控制流于形式[7]。

2.2风险评估不到位

部分高校由于对内部控制工作的认识不够充分，没有形成有效的风险管理控制意识，或虽具有风险管控意识，但由于风险意识淡薄，风险管理与评估的覆盖面较小，往往主要针对财务管理工作进行风险评估，而忽视了其他环节经济活动的风险评估。内部控制的风险评估范围应包括学校所有经济活动的所有环节，准确识别经济活动中存在风险的环节，及时进行全面分析并采取适当策略。例如高校的基本建设项目，往往建设周期较长，涉及的资金量较大，风险评估应全面覆盖项目立项、项目评审、项目审批、项目采购、项目验收、绩效目标申报与评价等全过程，但由于风险评估意识缺失或者风险识别能力不足，部分高校并不能实现对基本建设项目全周期的风险评估全覆盖，仅主要关注付款审批环节的授权控制，未能采取有效的内部控制措施对其他环节可能发生的风险进行防范，最终导致国有资产的流失。

2.3控制活动不完备

高校的控制活动主要是对所有经济活动流程进行细化，以文字、表格或流程图的形式呈现出来，达到对经济活动进行控制和监督的目的[8]。有些高校聘请了第三方机构负责内部控制体系建设，但由于第三方机构对于高校历史沿革、现阶段发展特点及未来发展规划理解不充分，内部控制体系的设计往往是粗线条的，很难与高校发展实际相融合，缺乏针对性和灵活性，控制活动考虑不周到或执行起来有困难。例如，实际工作中受人员编制等客观条件的限制，预决算管理、收支业务管理中并不能严格做到不相容职务分离，有些预防性控制活动并未得到有效落实。在高校政府采购执行中，采购业务管理及授权审批机制、采购项目指标设定、供应商评价标准等的控制活动并未完全具体化。在资产管理控制活动中，当申请人提出资产采购申请时，由于选择新购资产或者盘活调拨现有资产的流程标准不够细化，可能导致重复购置，造成国有资产的浪费。在资产验收环节，验收流程看似完备，但由于验收人员缺少必要的专业知识，导致验收控制活动重形式而轻实质。在合同管理控制活动中，对于各类合同的签订，未明确规定学校法律顾问的介入条件，内部控制监督有缺位现象存在。

2.4信息沟通不顺畅

随着信息技术的快速发展，各高校在校园信息化建设方面也加大了资金投入力度。但在内部控制建设过程中，高校也暴露出了信息化水平偏低、信息交互共享程度不高等问题。从近几年的巡视检查情况来看，很多高校都发现了信息化建设方面存在的问题，主要表现在信息化软件功能重叠、信息融合平台整合不到位、存在数据孤岛等。在内部控制体系建设中，部分高校缺乏全局思维，对校园信息化的建设和利用程度不够，在内部控制信息传递及数据共享方面连通性较差，信息数据传递效率低则影响了内部控制风险的防范能力。同时由于信息沟通不畅，需要耗费大量人力整理归档数据信息，导致内部控制的效率较低，还可能存在人为操纵信息的潜在风险。

2.5监督评价不全面

监督评价本身是对高校内部控制制度落实执行质量的评估，以发现内部控制体系的薄弱环节，并及时加以改进。通常情况下，高校通过执行一般审计或者专项审计程序，对校内教学、科研及管理过程中涉及的各项经济活动的所有环节进行评估，避免决策程序不合法、授权审批流程不合规、权力滥用等风险的发生。然而大部分高校的实际情况是内部审计部门很难保持其应有的独立性，部门之间的信息沟通不顺畅也加大了内部控制监督评价的难度。部分高校对内部审计制度建设及审计人员配置方面的不重视，导致审计监督评价主要是完成会计凭证、账簿等的评估检查工作，并未覆盖内部控制的预算管理、合同管理、资产管理、建设项目管理等方面的监督评价，内部监督职能发挥不够充分，存在一定程度的内部监督漏洞和盲区[9]。

3高校内部控制建设问题的原因分析

3.1领导层级缺乏内部控制意识

我国的高等院校有相当一部分属于公办学校，其运营资金主要由政府财政收入承担，并不存在盈利性目标要求。这样就使得高等院校在开展教学、科研及管理活动过程中，对办学资金、国有资产的管理缺乏一定的积极性，高校管理层对内部控制体系的建设意识较为薄弱，进而导致管理工作没有将内部控制建设作为学校的重要工作来抓。在有些高校，虽然已经建立内部控制体系，但往往只是存在于形式上而已，并没有发挥其真正的、应有的内部控制作用，使高校的内部控制建设出现问题。

3.2组织结构限制信息传递时效，导致信息沟通不顺畅

我国的高等院校大多是事业单位，在组织架构方面一般是垂直管理，人员层级较多，这样的组织结构使信息的传递存在层层递进的特点。在信息传递的过程中，难免会出现因层级较多而导致信息失真、传递不及时的问题。此外，同级之间也会因为部门职能及岗位分工界限存在信息沟通不畅的问题，使相关人员不能及时、准确地掌握相关政策信息，一旦问题出现，部门之间、人员之间便会相互推诿，使问题得不到及时、有效的解决，这也是现阶段各高校正加快信息化建设的重要原因，希望借助现代信息技术及智能化手段解决信息不能有效传递的问题。

3.3内部控制的相关制度不够完善

现阶段，部分高校还未形成科学的内部控制制度体系。虽有部分高校已经建成完善的内部控制制度体系，但往往形式大于实质，内控制度的适应性和有效性并不理想，由于缺乏专业机构的指导，使内控制度难以发挥实际的管理意义。当高校面临重大项目需要管理的情况时，不能对实际情况进行有效约束，由于缺乏广泛的实用性，在实际执行过程中，更加容易流于形式。此外，大部分高校在非经济活动的其他管理方面并没有建立相关的内部控制制度。

3.4内、外部监督管理不到位

内部控制建设的目的是对高校各类业务活动进行有效管理，而要让其有效实施的保障是具备一套科学完善的评价监督机制。但由于政府和社会的监督工作存在不到位的问题，导致高校的资产管理和资金预决算等方面都存在问题。同时高校内部的财务审计部门也缺乏监督意识，不能有效发挥其审计监督职能，缺乏必要的独立性使其审计监督作用大打折扣。内部和外部在评价监督管理工作上存在的缺失，必然导致高校财务内部控制方面的效率得不到有效提升，进而出现一些问题。

4加强高校内部控制建设的对策

高校办学中，教学、科研及管理过程涉及的各项经济活动，虽有来自政府各主管部门的监管和各类专项审计监督，但高校内部控制体系建设的科学完备及执行到位，才是强化高校治理、提升办学效益、助力高校实现高质量发展的关键环节。

4.1夯实控制环境

学校党委既要对塑造大学文化和大学精神起决定性作用，又要充分发挥其在学校内部控制建设中的领导作用，真正意识到内部控制在高校治理中发挥的重要作用，重视内部控制建设的顶层设计，大力开展宣传引导，全面提高教职员工的公民道德素质，充分营造人人重视内部控制建设的高校治理文化氛围。学校要成立由党委书记或校（院）长担任组长的内部控制建设领导小组，负责领导内部控制建设工作；明确责任部门，负责对学校内部控制建设工作进行组织和协调；成立由分管校领导、纪检监察、审计等多部门构成的内部控制建设督导组，负责对内部控制建设及实际执行情况进行论证检查。各高校应将内部控制目标融入学校中长期事业发展规划，结合教学、科研及管理实际，构建内部控制战略框架，优化内部治理结构，明确财务、纪检、人事、采购、后勤、资产和审计等部门在内部控制制度设计、执行与评价考核中的责任定位，为内部控制建设夯实良好的内部控制环境。

4.2加强风险评估

风险评估是高校辨认并分析影响学校事业发展规划目标达成的各种不确定因素的工具，是高校识别和分析与实现事业发展目标相关的风险，分析并报告风险发生可能性的高低、风险发生的原因、风险应对的措施等。学校应当建立健全内部风险点制度化评估机制，对教学、科研、管理、服务中各类活动存在的廉政风险进行科学、系统和客观评估，不应仅限于财务工作的风险评估。高校内部控制目标的设定是风险评估的前提，要围绕中长期事业发展规划设定学校层面控制目标和业务层面控制目标，然后对高校内部及外部可能影响控制目标实现的负面事件进行识别、分析，最终采取适当的应对策略。学校层面的风险评估应重点关注内部控制战略规划情况、内部控制组织架构情况、业务活动执行程序规范情况、大学治理能力水平、关键岗位人员廉政风险防控情况、财务信息合法合规情况等。业务层面的风险评估应重点关注预决算管理、收支管理、采购管理、国有资产管理、基建项目管理及合同管理六个方面。高校应加强对风险评估报告的应用，采取切实有效的措施防范风险的发生。

4.3完善控制活动

高校控制活动的完善可以采取目标导向和问题导向相结合的方式进行。目标导向就是从学校中长期事业发展规划目标出发，分析学校层面和业务层面主要经济活动