基于CSA方法的高校内部控制建设研究

牛星

摘 要：内部控制自我评价（CSA）方法在高等院校内部控制管理领域具有广阔的应用前景，它是识别风险、评价内部控制建设有效性的重要工具，也是增强风险防范能力、提高经营管理效率的有力武器。本文在梳理内部控制以及CSA等相关概念的基础上，将国内某所公立院校作为典型案例，考量CSA的实践情况及实施效果。其中，我们采用指标评分法对内部控制进行基础性评价，通过风险热力图、风险控制矩阵和CSA报告反映控制点的风险状况。最后，根据COSO五要素框架提出内部控制改进措施，并进行思考，希望对CSA在高校领域的推广提供有益参考。

关键词：内部控制；自我评价；评价指标；COSO五要素

文章编号：1004-7026（2018）11-0139-06 中国图书分类号：F234.4；G647.5 文献标志码：A

随着“科教兴国，人才强国”战略的实施，以及教育体制改革的不断深化，我国高等教育事业蓬勃发展，然而，高校经费来源的多样化以及经济活动和体制结构的复杂化也带来风险的增加。近年我国高校在基建、招生、采购、科研经费等环节频频发生经济案件和贪腐事件，造成了国有资产流失、扰乱了正常工作秩序、影响了学校的发展和声誉，究其原因是内部控制关键风险点识别不准、控制措施不当、监督力度不足所致。因此，加强内部控制建设、合理评价内部控制建设水平并有效监督，对建立高校财务风险防御体系、推动各类经济活动健康运转具有重大意义。

1 内部控制的概念及发展

内部控制最早源于企业。1992年9月，美国COSO委员会提出了题为《内部控制——整合框架》研究报告，该框架指出“内部控制是一个过程，该过程受企业董事会、管理层和其他人员影响，并为营运的效率和效果、财务报表的可靠性和对相关法律的遵循提供合理保证”，它包含控制环境（Control Environment）、风险评估（Risk Assessment）、控制活動（Control Activities）、信息与沟通（Information and Communication）、监控

（Monitoring）五个相互协同、关联的要素，这些要素源自管理层经营企业的方式并与管理过程融为一个有机整体，亦能够对外部环境做出动态反应。该框架得到了广泛的认可，为很多国家制定内部控制报告所借鉴。

在2001年—2010年十年间，我国企业内部控制建设稳步发展并走向成熟，企业内部控制规范体系建设目标基本实现。在此之后，行政事业单位内部控制建设步入正轨并日臻完善。2012年11月，财政部下发《行政事业单位内部控制规范（试行）》[1]，要求自2014年1月1日起在全国行政事业单位施行，该规范从国家层面强制要求行政事业单位建立内部控制体系并提供建立标准，是我国全面推动行政事业单位内部控制建设的重要开端，也是加强党风廉政建设的题中之意。2015年12月，财政部下发《关于全面推进行政事业单位内部控制建设的指导意见》[2]，进一步强调“建立内控报告制度，促进内控信息公开”的改革目标以及“加大考评问责力度”的问责机制。2016年6月，财政部下发《关于开展行政事业单位内部控制基础性评价工作的通知》[3]，这是以量化评价为导向，开展单位内部控制基础性评价工作的开端。2016年9月，教育部印发《教育部直属高校经济活动内部控制指南（试行）》[4]，这是我国在教育领域开展内部控制工作的首份纲领性文件，通过在局部领域试点为全面推进高等院校内部控制建设奠定基础。2017年1月，财政部印发《行政事业单位内部控制报告管理制度（试行）》[5]，并于同月要求其报送2016年度内部控制报告，是监督内部控制建设工作有效落实的重要保障并为政府决策提供有用信息。

2 内部控制自我评价概述

内部控制自我评价（Control Self-Assessment，简称CSA）是一种新兴的审计技术和方法。1987年，加拿大的海湾资源公司（Gulf Canada）首创了这种方法对内部控制进行自我评价，极大地推动了该公司内部控制水平的提升。国际内部审计协会（IIA）在《CSA操作手册》中指出，CSA是一个流程，能够检查和评价内部控制的效率和效果并为企业目标的实现提供一定程序的合理保证。[6]在传统审计中，审计人员以检查单据、实施符合性测试程序为导向，常出现监控盲区；而在CSA方法的指引下，审计人员偕同公司管理层、相关部门员工共同进行风险评估并确定关键控制点，提出最佳改进措施，实现了对传统审计方法的发展。[7]

CSA具有一系列特征：①强调参与的全体性，这是最显著特征。它包含两层意思：一是参与成员包括管理层和基层员工；二是参与部门不局限于内部审计部门，还包括其他管理部门和业务部门。审计人员只是发挥协调、引导作用；参与者能够不断被激发灵感献言献策，实现自我价值，体现以人为本。②注重管理的持续性。不仅为目前内部控制中的薄弱环节提供解决方案，如在未来发生问题应随时关注、定期召开研讨会解决。③发挥“硬约束”和“软控制”双重功效。CSA包含传统评价诸如财务报告、归口管理、授权授信、岗位分离、数据处理和传递等“硬约束”；还包含管理理念和领导风格、组织文化、道德品质、胜任能力等“软控制”。[8]④善于运用工具。与风险评估工具相结合，如热力图、风险控制矩阵、内部控制风险评估手册等，直观反映关键控制点内容和风险强弱；与信息管理工具相结合，如电子计票、交由专业软件公司和管理咨询公司共同搭建IT系统平台，实现对内部控制全过程管理电子化，提高管理的效率和效果。

3 K高校内部控制自我评价案例分析

3.1 背景介绍

K高校位于渤海之滨、海河之畔，是一所省属重点建设高校，总占地面积153.32万m2，总建筑面积90.08万m2，固定资产总值16.91亿元。馆藏图书总计254.31万册；教学、科研设备总值4.8亿元；建有较高水平校园网；各项生活设施齐备。建有19个学院（部），拥有60个本科专业；建有1个国家重点学科，4个国家特色专业，7个省部级重点学科和3个“重中之重”学科。现有本、硕、博全日制在校生近27 000人。

3.2 组织实施

继加拿大的海湾资源公司之后，CSA方法在欧美国家的金融、能源、电信等高风险领域以及普华永道、安永等著名会计师事务所的管理咨询业务中广泛应用；在我国，一些大型企业如宝钢集团、上汽集团、中国银行、中国电信等都能成功应用这种方法进行内部控制自我评价并提出改善措施，效果显著。[9]国内普通高校在经济规模、物资水平以及人员结构方面与大型企业集团有诸多相似之处，亦可借鉴其中的先进管理理念和方法工具进行尝试。K高校领导班子对CSA深入了解后认为：加强高校内部控制建设，是完善高校治理结构、提高高校管理水平、建设现代化一流大学的必要保证。在行政事业单位内部控制工作系列文件的指引下，K高校率先走出一步，希望通过尝试CSA方法规范各类经济活动业务流程，提高风险防御能力，采取以下步骤展开实施：

第一步：制定计划

K高校成立内部控制工作领导小组和CSA评价小组。内部控制工作领导小组成员共有3名，其中组长1名，由校长担任，对内部控制工作全面负责；副组长2名，由书记、总会计师担任，对内部控制工作鼎力配合。CSA评价小组成员包括审计处、财务处、设备处、基建处等相关部门的领导和关键岗位员工。该校同时聘请了A会计师事务所作为合作伙伴和技术支持。审计人员对领导小组和评价小组成员有关内部控制建设的目的、程序、方法、内容等进行知识培训，明确成员角色和作用，提高成员的认知水平和评价能力，为CSA开展奠定基础。

第二步：初步确定风险

根据《行政事业单位内部控制规范（试行）》以及《内部控制基础性评价指标评分表》，CSA工作小组确定内部控制的评价范围，通过查阅资料、访谈、穿行测试等方法掌握一手资料，初步识别风险、了解内部控制的薄弱环节，作为研讨会的重要议题。

第三步：召开研讨会

在CSA过程中，K高校定期组织研讨会，每次召开研讨会之前明确会议时间、地点、主持人员、参会人员和讨论议题并提前发放讨论大纲。主持人员具备相关的知识储备、良好的宏观把控能力及沟通协调能力，参会人员会前预览大纲并做好发言准备。会议上，主持人员参照前述对内部控制薄弱环节和对风险的初步了解引导参会人员独立思考、积极表达见解，采用指标评分法（或要素评分法）对K高校内部控制基础性评价指标打分并记录扣分原因（如表1所示）。为确保发表意见的公允性，采取匿名评价方式并对所提意见记录在案。

第四步：撰写CSA报告

CSA评价小组对研讨会讨论结果仔细甄别，分类整理，认真分析。根据评分结果制作风险热力图，从而清晰直观地表达各项指标（要素）的风险程度。由图1可见，在单位层面中，“制度完备”这一项扣分比例达42.86%，风险水平相对较高，应重点关注并予以改进；“建设实施”和“权力制约”两项扣分均为零，风险水平最低，说明这两项内部控制建设状况良好。由图2可见，在业务层面中，“合同管理”扣分比例達100%，风险水平最高，说明K高校合同管理完全失控，需要在制度、组织实施和监督等全方位开展内部控制建设，尽快降低风险。制作风险控制矩阵（Risk ControlMatrix，简称RCM），对风险分类编号、描述并逐一提出控制措施、进行控制归档，表2以“会议费”为例说明这种方法对风险的控制过程。根据以上内容，审计人员撰写了K高校内部控制自我评估报告（简称CSA报告）。[10]这些也是编制内部控制管理手册和风险控制的基础。

第五步：落实整改措施

这是CSA过程中最关键的一步，也是最终目的。我们根据K高校内部控制基础性评价中的扣分情况并借鉴COSO报告中的五要素框架提出如下整改措施：

1、优化内部控制环境

（1）加强培训

审计人员应定期组织专题培训会，内容涵盖国家政策法规，本单位内部控制制度规定、目标、特点、审批流程及实现手段等，提高管理层及教职工对内部控制的认知水平。

（2）开展组织和业务流程再造

根据学校组织架构规划合理设置内部机构，明确部门职责权限及个人分工。根据实际情况定期评估组织结构，并按发展需要适时适当修改。

（3）对不相容岗位与职责进行有效设计

为了实现机构设置科学合理、职责分工清晰简明、人员配备精简高效的最终目标，学校应制定岗位规章制度并以此细化编撰成岗位职责手册，其中包括工作规范、工作程序和方法、胜任标准、职业操守等内容；根据“内部牵制”原则，将业务授权与业务执行、业务执行与审核、业务执行与会计记录、财产保管与会计记录、财产保管与核对数目等不相容岗位实行分离，尤其需关注财务处、实验室与设备管理处、基建处、后勤集团等部门的岗位分工和日常工作管理状况。

2、强化风险管理意识，建立长效机制

风险是一个事项将会发生并给目标实现带来负面影响的可能性。风险评估是辨识和分析与实现既定目标相关风险的过程，它为风险管理奠定基础。K高校风险评估工作由CSA评价小组展开实施，首先应该设定本校内部控制目标，包括战略目标、合规目标、报告目标、经营目标和安全目标；其次应该对本校内外部高危因素在单位层面和业务层面进行识别，并在组织、协调主管部门梳理各项业务流程的基础上分析各类经济活动的风险，确定风险点及内部控制流程；最后根据风险分析结果和风险承受能力选择合理有效的控制措施；风险评估结果形成书面报告及时提交至内部控制工作领导小组。K高校应于每年对学校面临的风险进行识别和应对，建立风险管理的长效机制。

3、开展切实有效的控制活动

（1）预算业务管理

学校在《预算管理办法》中增加绩效评价方面的内容。学校应设立预算管理委员会负责预算审查、批复、监督、分析汇报等管理工作，以书面的形式明确预算管理委员会的组成。学校根据经批复的预算和单位内部各业务部门提出的支出需求，将预算指标按照部门进行分解并报预算管理委员会审批后下达至各业务部门。学校应建立预算执行分析制度，定期编制预算执行分析报告，强化对资金执行进度的监管，为管理层决策提供可靠依据。

（2）收支业务管理

学校应制定收支管理制度，明确各类收入支出业务事项的归口管理部门及职责，实行归口管理；收支业务还应当受到预算约束并进行文字记录，对于重要经济事项应附合同等文件材料。涉及收入的合同，财务处年终检查收入金额与合同约定是否相符，形成书面检查记录。学校为可以举借债务的单位，但应慎重选择债务类型并关注债务风险程度；实行事前论证和集体决策，将债务规模控制在规定范围以内，定期与债权人核对债务余额并及时清理结算；建立严格的债务管理制度以防范财务风险。

（3）政府采购业务管理

学校《招标采购管理暂行办法（试行）》中增加预算与计划、需求申请与审批、验收入库等方面的内容。学校应加强合同管理，采购货物、服务和工程的合同，应形成合同审批表。

（4）资产管理

《资产管理制度》中增加无形资产、资金、银行账户、债权及投资管理办法。学校应对本单位的货币资金、存货、固定资产、在建工程、无形资产、债权和对外投资等各类资产实施归口管理并且有效执行；建立采购及领用资产记录制度、妥善保管实物、规范使用方式、定期核查盘点及报废，做到账实相符；对债权和对外投资项目进行集体决策、实行跟踪管理、建立追责机制。

（5）建设项目管理

学校的《基本建设项目管理规定》中增加项目概算预算、验收与决算方面的内容。学校应按照批复的初步设计方案组织实施建设项目，确需进行工程洽商和设计变更的，建设项目归口管理部门、项目监理机构应当进行严格审核，并且按照有关规定及制度要求履行相应的审批程序。重大项目变更还应参照项目决策和概预算控制的有关程序和要求重新履行审批手续。K高校基建、维修工程预（决）算审计决定书中显示存在重大工程增项，应该进行变更审批。学校应加强建设项目的超概算管理，建立概算的预警机制，K高校有两项工程项目超概算率高于5%，应对产生超概算率的原因进行追查和分析。

（6）合同管理

学校应加强对合同的管理，建立《合同管理办法》，增加合同归档、合同纠纷处理内容。设立合同归口管理部门，明确部门职责与分工；对合同文本应认真审核并形成合同审批表单，对于重大、专业性合同条款的设立需经过法律、技术、财务等严格把关；妥善保存各类合同审批文件和会议纪要。学校应当对合同履行情况实施跟踪检查、定期分析并及时验收，如出现无法按时履约情况应及时向内部控制领导小组报告；对于需要补充、变更或解除合同的情况，应根据法律法规、合同条款或交易习惯按照规定权限和程序办理并进行记录归档。

4、促进信息化建设的高水平发展

内部控制建设的信息化是内部控制工作复杂庞大、全员参与、持续进行的内在要求和互联网、云计算技术快速发展的外部驱动力综合作用的必然结果。借助先进的信息技术手段将内部控制理念、流程、方法等要素固化到内部控制建设和管理中，能够有效控制成本、提高运行效率、推动管理的科学化。K高校决定采用先进的科技手段逐步实现内部控制的信息化管理。该项工作由信息化建设与管理办公室负责，在现有信息系统的基础上，将包含单位层面和业务层面的经济活动及其内部控制规范和流程嵌入本校OA系统，由专人管理维护，未经授权他人不能擅自接触数据信息。该项措施既能促进上下级之间、不同部门和岗位之间实现数据共享、提高办公效率，又能减少或消除人为因素操纵风险、保护信息安全。

5、加强监督力度，完善评价体系

内部控制全過程管理中的重要环节是监督，这是保证内部控制制度有效执行的重要手段，通过监督能够发现内部控制设计和运行中存在的问题，及时整改，减少损失，促进内部控制工作朝着既定方向发展；而评价为部门考核提供依据，它影响着内部控制实施主体的积极性，在推动内部控制主要目标的实现过程中发挥了“指挥棒”作用，因此，建立科学合理的评价体系是内部控制工作有效开展的前提和基础。[11]

K高校审计处具体实施内部控制监督检查工作，应保持足够的独立性，通过运用个别访谈法、实地观察法、重新执行法、穿行测试法等方法，充分收集证据，研究分析内部控制的建立和实施的过程是否规范、结果是否存在缺陷。根据以上信息，CSA评价小组对学校内部控制设计和执行的有效性进行评价，提出合理化建议，并出具CSA报告。内部控制设计是否有效应依据合法性、全面性、重要性和适应性四个原则判断；内部控制执行是否有效应考虑业务控制如何运行、执行是否持续一致、内部控制管理的制度和措施是否严格有效、人员是否具备权限和胜任能力四个方面。CSA报告将提交内部控制工作领导小组，经该校领导班子集体讨论商议后对整改计划和整改措施做出决定，最终推动内部控制体系的完善。内部监督评价结果作为评比依据纳入各个部门年度绩效考核中，并实行奖惩兑现。内部监督和评价的内容包含单位层面和业务层面；方式为定期和不定期，即每年至少一次对内部控制体系建立和执行情况进行全面检查；不定期开展专项检查、抽查等工作。

整改措施运行一段时间后，效果良好，K高校财务处制定了内部控制管理手册和制度汇编；另外，内部控制工作领导小组对实施效果持续跟进，发现并及时指出问题，不断提升该校内部控制管理水平。

4 高校领域推广CSA应注意的问题

4.1 创造良好的内部控制环境是前提

COSO中内部控制环境是内部控制五要素中的基础要素，属于柔性控制要素，是推动组织发展的引擎。它包括诸如治理结构、机构设置和权责分配、内部审计机制、人力资源政策、组织文化等内容。目前国内大多数公立高校实行党委领导下的校长负责制，该组织的特殊性质决定它不是完全的授权型组织，应注意权力制衡并发挥教职工代表大会、学术委员会等民主评议和监督作用；另外，明晰各部门职责权限，尤其保证审计部门的独立性，推动组织结构扁平化，对于提升管理效能，保证信息顺畅流通具有重要作用；选拔CSA人员时注重被选者具有良好的职业道德修养和专业胜利能力，并为之提供培训学习的机会；营造开放、透明、信任、诚实的文化氛围，使参与者树立主人翁意识和强烈的责任感，充满激情，勇于提出意见，不断迸发思想的火花。

4.2 积极发挥人的主观能动性是核心

首先，取得管理层支持，这是推动CSA工作顺利开展的坚实后盾。行政事业单位内部控制建设正处于高速发展并逐步走向成熟的阶段，在落实初期存在诸多阻力，各大高校领导班子尤其是校党委应意识到加强内部控制自我评价是提升学校风险防范能力、提高本校运行效率和管理水平的重要步骤，树立先进理念，发挥舆情向导和统筹全局作用。其次，充分利用各类专业人士的工作技能。审计人员应注意把握CSA管理方法和操作流程，发挥好组织全员参与、宣传CSA理念、引导评价小组成员思考、与各方力量沟通协调、撰写CSA报告、监督评价、经验总结等工作；信息化技术人员在借鉴国内企业集团先进技术方法的基础上，联合优秀的软件公司开发设计适应本校的内部控制管理测评软件，将碎片化工作全面整合；CSA评价小组成员须树立大局意识积极参与评价工作、加强表达和沟通能力、积累有关内部控制和风险管理的相关知识；作为高校主体的教师和学生是发挥外部监督评价作用的重要力量。[12]最后，CSA工作既有宏观又有微观，取得成功的关键在于从领导班子到基层工作人员自上而下在日常岗位上严格遵守制度，认真落实每一项工作并经常内省和反馈。

4.3 考虑成本效益是保障

为确保CSA方法的顺利开展，需要耗费购置计算机硬件设施费、软件开发测试费、聘请专业人员的技术服务费、培训费等经济成本；还会消耗各个部门工作人员学习新知识方法、协调沟通、评价总结等时间成本。需要衡量投入成本和未来取得效益的盈亏平衡问题，根据本学校的人力、物力和财力状况做出是否实施、何时实施及实施程度的合理决定。[13]

结束语

CSA作为一种先进的管理工具，在国内外大型企业集团有着广泛的应用，它是发现内部控制系统漏洞，提升财务管理水平及优化高校治理结构的有力武器。行政事业单位内部控制制度的规范成熟要求高等院校必须将内部控制建设提上日程，高等院校可以借鉴CSA这种方法并结合实际特点推动本校内部控制的建设和发展。本研究介绍了国内某所高校实施CSA的过程并运用COSO五要素框架提出整改措施，强调了内部控制环境的基础作用、人的核心作用和成本效益的辅助作用。在未来的研究中我们可以对CSA在不同类型高等院校的应用效果进行比较分析，寻求分层次、精细化、差异化的管理方法。

参考文献：

[1]财政部.行政事业单位内部控制规范（试行）[Z].2012-11-29.

[2]财政部.关于全面推进行政事业单位内部控制建设的指导意见[Z].2015-12-21.

[3]财政部.关于开展行政事业单位内部控制基础性评价工作的通知[Z].2016-06-24.

[4]教育部.教育部直属高校经济活动内部控制指南（试行）[Z].2016-04-20.

[5]财政部.行政事业单位内部控制报告管理制度（试行）[Z].2017-01-25.

[6]Bruce McCuaig Auditing， assurance&CSA[J].The Internal Auditor.1998，55（03）：43-48.

[7]桑向陽.控制自我评价CSA：企业管理新理念[J].中央财经大学学报，2004，（1）：62-64.

[8]上海市内部审计师协会课题组.企业内部控制自我评估（CSA）的实务研究——基于上汽集团建于IT系统平台之上的CSA实践[J].中国内部审计，2010，（3）：38-43.

[9]刘爱琴.CSA：内部控制评价体系的变革和发展[D].厦门：厦门大学，2008.

[10]张谏忠，吴轶伦.内部控制自我评价在宝钢的运用[J].会计研究，2005，（2）：12-17.

[11]陈留平，魏微，张猛超.论我国高校内部控制建设——基于江苏高校的调查[J].高校教育管理，2014，8（1）：29-35.

[12]魏向阳.我国上市公司实施内部控制自我评价研究[D].厦门：厦门大学，2009.

[13]邓芳.企业实施内部控制自我评价（CSA）方法的意愿及其影响因素研究[D].长沙：湖南农业大学，2013.