高校优化经济活动内部控制体系路径探析
——基于Z 大学内控评价视角

●王 典 武 云

中共中央办公厅、国务院办公厅印发了 《关于进一步加强财会监督工作的意见》，对新时代高校健全财会监督体系、 完善内部运行机制作出了顶层设计，提出了具体要求。 高校经济活动内部控制体系作为规范权力运行与强化监督的重要抓手， 是合理配置高校公共资源及提升治理效能的内生动力。 《行政事业单位内部控制规范（试行）》明确要求单位每年应至少开展一次内部控制评价， 而内部控制评价具有及时查找内控缺陷的属性， 能通过以评促改，以评促建，为优化高校内部控制体系提供可操作性方案。 在深化财会监督要求背景下， 结合单位发展实际， 高校应高度重视经济活动内部控制评价，坚持以评价结果为指挥棒，及时梳理发现经济活动运行中的重大风险点，有效应用内部控制基本方法，切实规范业务授权审批， 倒逼学校健全权力运行制衡与监督机制， 以合理统筹配置各类资源， 着力推进高校治理能力现代化建设。 本文以Z 大学为例，全面梳理学校开展经济活动内部控制评价的具体做法、评价反馈学校内部体系建设现状、并对发现内部控制运行中存在的问题及原因深入分析的基础上提出优化学校内控体系路径。

一、Z 高校经济活动内部控制评价具体做法

Z 高校是一所隶属于部委的综合性大学， 一直以来学校高度重视经济活动内部控制体系建设和评价工作，把完善内控运行机制作为规范业务流程和提升学校管理效能的关键环节，经过多年实践探索， 分阶段推进经济活动内部体系建设， 并坚持对学校内部控制基础情况开展全面、客观评价，已经形成了一套较为完善的经济活动内部控制体系。 本部分以Z 高校开展经济活动内部控制评价的具体做法为抓手， 以标准化流程评估学校内控体系建设情况。

（一）明确学校经济活动内部控制体系建设框架

根据财政部下发的《行政事业单位内部控制规范（试行）》和每年的《年度行政事业单位内部控制报告编报工作的通知》 中关于填报体例要求，Z 高校内部控制活动主要从单位层面和业务层面两级实施。 其中单位层面包括学校发展规划、组织架构、决策机制、审计监察、关键岗位设置等控制环境，以单位层面内部控制推进相关归口管理部门间、人员间联通和牵制，实现学校规范化、高效化、有序化运行的目标。 业务层面依据必要评价的六大方面， 结合Z 学校业务实际，主要从预算、收入、支出、财务报告、政府采购、资产、建设项目、合同、科研项目、 信息系统等十个方面涉及的主要业务流程和关键控制点、具体控制要求、责任主体全面梳理。

（二）针对Z 高校经济活动内部控制体系开展风险评价，明确重点关注领域

Z 高校风险评估工作以学校经济活动内部控制框架体系为基础， 对单位层面和业务层面具体业务活动关键控制点实际运行进行综合研判分析，梳理形成学校风险数据库。并通过对校领导层级、相关部门主要负责人、业务主管人员等开展问卷调查等方式， 从目标设定、风险识别、风险分析和风险应对四个阶段开展风险评估， 形成学校年度风险排序结果，并识别当前经济活动中的重大风险点，合理确定应对策略， 以明确内控评价重点关注方向。

在目标设定阶段，Z 高校风险评估目标包括识别当前阶段学校面临的风险并排序，确定完善学校内控体系重点。 通过分析重大风险成因对学校制定风险应对策略提供指引，坚持培育风险管理文化，提升学校各级管理和责任人员对于风险的关注度与管控意识。通过强化人的思想意识，以撬动人的行为的主观能动性推进完善学校内部控制体系。

在风险识别阶段， 学校根据内外部控制环境和业务运行实际， 通过收集外部监管信息、查阅内部资料及业务运行样本数据、开展调研访谈等方式收集第一手资料。 其中收集监管信息包括梳理上级主管部门对高校经济业务活动的监管要求作为识别学校风险的上位法。 查阅内部资料及业务运行样本数据包括学校组织架构、机构职责、经济业务活动相关制度、 重要发文等机制设计类文件及实际业务中的抽样数据， 掌握学校经济业务活动管控方式和当前内控运行情况。 调研访谈是通过对学校治理层、业务部门主要负责人、关键岗位人员等开展走访座谈， 获取学校层面及业务层面关于机制建设、 内部风险控制及以往发生的风险案例等信息。 在对第一手资料汇总基础上，Z 高校对数据反复核实、互为验证，确保资料本身真实可靠。 同时，通过筛选、提炼、对比、分类和组合等手段，梳理单位层面及经济活动业务层面的风险点， 形成《Z高校年度风险数据库》，明确业务风险领域及子风险。

在风险分析阶段，Z 高校以 《风险数据库》为基础，结合制度建设、职责权限划分、业务流程运行等开展评估并提出初步评价结果。 同时针对总体排序在前的风险领域及相应子风险，再次面对面访谈、实地调研，听取相应人员对风险的理解及形成原因陈述，结合风险识别阶段积累的案例数据， 确定重大风险领域。

在风险应对阶段， 结合其他高校已有实践和运行现状， 针对重大风险点制定应对策略。

（三）Z 高校经济活动内部控制风险评估结果

根据上述经济活动内控评价框架， 结合风险评估调查问卷回收结果， 汇总获取学校风险领域排序表。 经综合研判，Z 高校风险领域主要集中于评价与监督风险、 信息化管理风险、无形资产风险、固定资产风险、合同管理风险五个方面。 这说明学校整体认为业务执行中上述风险发生的可能性较大， 需要引起治理层及业务部门的重点关注。

二、Z 高校经济活动内部控制体系建设现状

针对Z 高校经济活动领域内部控制开展评价坚持以风险为导向， 以风险评估识别的高风险领域作为评价重点， 对单位层面及业务层面具体事项管控现状进行评估。 经梳理发现Z 高校将内部控制嵌于业务管理全过程，建立起了一套较为标准化的、动态的、具有可操作性的学校经济活动全面风险管理和内部控制体系， 但在单位层面及业务层面几个领域仍存在部分缺陷。

（一）Z 高校经济活动内部控制体系主要成效

Z 大学高度重视经济活动内部控制的建设和评价工作， 将经济活动内部控制深度嵌于管理全流程，并以评价为抓手，推进学校优化控制环境，强化业务各环节控制活动，以进一步规范权力运行制衡机制， 提升学校经济活动风险防控及管理效能。

1.在组织领导方面，注重顶层设计，强化工作机制。 学校根据业务实际将经济活动内部控制体系分为建设和完善两个阶段， 在建设阶段， 成立专项建设领导小组并制定工作方案强化组织领导和内外协调， 确保内部控制建设工作落到实处。在完善阶段，内部体系由学校财经委员会领导小组协同业务部门制定完善工作方案，组织专项工作会议、专题培训， 持续推进学校经济活动内部控制机制进入长效化运行轨道。

2.在内控体系完善方面，着力推进标准体系建设。 学校通过聘请专业机构构建标准化流程完善经济活动内部控制体系建设，为经济活动风险防控能力提供专业化支撑。 同时第三方咨询机构协助资料梳理、 风险评估及问卷访谈等形成了学校层面和业务层面经济活动标准化流程指南等系列操作手册，在推进部门间业务流程衔接的基础上更对各项改革任务下学校强化经济活动风险防控关键点达成了共识。此外，学校依托预算管理一体化系统内嵌内部控制流程， 助力提升学校经济活动风险防控能力及流程标准化和科学化水平， 更为学校预算管理一体化建设奠定了更坚实的管理基础。

3.在强化内控应用上，以案例分享培训，筑牢经济活动风险防控机制。 学校聘请专业机构围绕资产管理、合同管理、验收管理和工程管理等业务层面凸显的管理难点给出专项内控建议方案。 专业机构以其他同类高校的内控管理成熟经验进行案例分享，并给出专业化补充建议。 学校以内控专题培训方式在推进经济活动各环节管理部门间业务交流的基础上，更凝聚各方共识，建立起了一套较为系统的学校经济活动内部控制管理体系范式。

（二）Z 高校经济活动内部控制体系主要问题

经风险评价结果呈现，Z 高校经济活动内部控制体系单位层面内部控制缺陷主要在监督评价方面， 业务层面内控缺陷主要分布在合同管理、固定资产管理、无形资产管理、信息系统管理等四个方面。

1.单位层面内部控制存在主要问题。 根据评价结果显示，Z 高校内控评价发现单位层面内部控制缺陷主要在评价与监督方面。开展内控评价主要是指学校针对自身经济活动内控体系的建立和执行有效性开展评价，得出评价结论等一系列过程。 开展内控监督是指上级主管部门、财政、审计、纪检监察、巡视等外部监管部门及内部审计、 纪检监察等内部监督机构， 对学校内控建立和实施情况开展检查， 发现问题清单并出具整改报告的过程。具体来讲，学校经济活动内控评价监督缺陷主要集中于以下几个方面。

在内部控制评价方面， 一是未按政策要求建立定期经济活动内控自我评价机制。 尽管学校聘请独立第三方开展了内部控制评价，对一定时期内内控执行有效性精确把握，但业务事项发生始终处于动态波动中， 风险点发生变化的可能性亦存在。 虽然学校将内控评价嵌入各年度经济责任审计， 但未做到定期开展专项内控评价， 未及时更新风险数据库， 这在一定程度上会影响学校对于内部控制执行有效性和风险领域的把握。 二是评价结果应用程度有限。 目前尚未形成内控实施情况实质性问责机制， 评价结果与下一年资源分配挂钩程度也不大。

在内部控制监督方面， 因内部控制贯彻于学校经济活动决策、执行及监督全流程中，内控监督与外部巡视巡查、 专项检查等外部监督及学校内部财会监督、审计监督、纪检监察监督等各类监督均密切相关， 将各类监督综合运用形成常态化协同监督机制即是对内控控制的有效监督，但目前发现，各类监督大多独立发挥效用未形成协同贯通监督机制，相应地未对内部控制实行全流程、 常态化监督。

2.业务层面内部控制主要问题。一是在合同业务领域， 主要风险点包括合同管理制度仍需优化， 制度中未明确学校层面合同主管部门。 且由于高校业务多且范围广，涉及合同类型繁杂，对各类合同的归口管理部门也未在制度中固化。 对于不同类型合同管理标准及规范也需进一步精细。 合同承办单位对合同履约情况的跟踪、监督流程也不明确。

二是在固定资产领域， 主要风险点体现在资产盘点程序不规范， 资产交接手续办理未及时情况仍占一定比例。 资产闲置情况仍存在， 且固定资产登记台账也存在更新不及时。

三是在无形资产领域， 主要风险点体现在管理制度不完善上， 各类无形资产对应归口管理部门及职责权限不明确， 无形资产制度建设，管理范围、内容和程序等方面都需进一步明确及流程化。 这也是在大量调研中高校无形资产管理普遍存在的风险领域。

四是在信息系统领域， 主要风险点在尚未形成具有集成互动且标准统一的网络管理一体化平台。 目前学校信息系统由多个相对独立的系统组成， 且子系统均有自身运行规则。 一方面信息安全及独立系统特有的工作模式阻碍了各类业务信息间的流转与共享，另一方面系统产生数据冗余占用了较大存储空间，造成了信息资源浪费及工作效率降低。

三、问题的原因分析

通过对发现问题梳理， 可以将内控缺陷归属于职责权限类、 制度建设类及机制流程类三个维度， 其中机制流程和制度建设方面内控缺陷占比较高。 从学校事业发展运行内容角度挖掘问题产生的原因， 可以概括为以下四个方面。

（一）“全员参与、人人有责”的内控意识亟须深化

高校内部控制体系关乎单位整体层面和业务运行的各重要环节，在新要求下，更应在全校范围内树立“我要内控”的主动意识及自上而下全员参与的内控环境。 对学校开展的访谈及问卷调查结果显示， 目前校级治理层对内控重要性已入脑入心， 但仍有部分业务主管部门管理层及业务骨干单纯认为内控是财务工作， 这一认识带来的直接影响是在日常风险识别管控上主动性不足， 未将业务活动关键管控环节固化入制度和运行机制，同时工作方式也存在流于形式的现象。 这也是内控评价发现在机制流程和制度建设方面缺陷占比较高的原因。 全员有责内控环境氛围不深入， 在很大程度上影响了学校内控流程执行、 全面风险管理的效果及内控评价工作的推进。

（二）对内部控制运行情况的监督和评价机制亟待流程化

在监督评价手段上， 针对内部控制运行情况的协同监督常态化机制未完全执行，没有从全局性考虑， 以各类监督协同发力为抓手明确内部控制监督程序。 经梳理目前内控监督评价主要依赖于以下渠道， 一是在内部监督中， 审计部门将内部控制执行情况纳入年度经济责任审计内容开展检查； 二是在外部监督中， 体现在财政监督重点关注资金内控，纪检监察、巡视监督重点关注在管党治党责任履行及腐败问题查找， 涉及内部控制针对权力制衡机制运行的监督。

在监督评价结果的应用上， 对内部控制建设完整性及执行效果常态化考核未完全执行，且考核结果运用程度不足。 调研发现内部评价和内控监督结果对预算安排、 资源统筹分配的指导力和约束力较为有限， 且评价结果对部门及干部考核的影响关联不大。 这也是部分单位在完善内控体系建设上的主动性和积极性动力不足的原因。

（三）问责机制内嵌于内部控制体系的力度亟须强化

根据评价反馈学校目前已建立了较为完备的内部控制制度体系，评价结果发现的大部分问题并不是缺乏制度约束，更多是制度落实不到位，甚至是没有执行。 如何把经济活动内部控制的制度约束力转化为学校管理效能，需要依靠人这一主体对具体业务的执行。 问责机制通过对个体行为正向激励和处罚约束，正负约束叠加效应推进个体强化对制度执行的行为动力，因此可以将问责制置于学校内部控制各重要环节，通过对个体的双重约束带来的传达效应推进内部控制制度的落实。

（四）内部控制业务执行数据集成对接仍有较大难度

学校实行全面风险管理，提升内部控制管理效能必须做到“流程可观、过程可控、结果可溯”， 必然要有清晰的系统处理流程和节点数据为支撑。 学校通过统一信息系统平台建设实现将重要业务系统数据集成并形成业务活动数据库，数据间的对接和自动化分析结果一方面能提升流程执行力度，降低风险发生概率及管理成本，另一方面可以克服信息传递不对称、工作程序繁琐冗余等风险内控常见问题。 而现阶段学校信息化系统由多个独立系统组成的碎片化状态，在客观上造成了数据接口、信息集成难度均较大，更无法在短期内实现自动抓取业务执行数据助力提升内控管控效能。

四、优化Z 高校经济活动内部控制体系建设的路径

推进学校内部控制体系建设应站在推动学校治理体系和治理能力现代化的高度，着眼于规范权力运行和公共资源合理分配，着力于以解决内部控制单位层面和业务层面存在问题及原因为切入点、 有针对性采取应对策略， 推动完善学校经济活动内部控制体系建设， 持续推进将内部控制运行效率转化为学校治理效能。

（一）深化全员风险意识，提升风险防控的内驱力

学校内控建设关乎全局，必然要求要培养全员风险风控意识，凝聚全员有责的风险防范共识，应积极推进内控文化建设。 必要时可以聘请财政、审计、纪检监察、风险管理领域专家和学者开展政策解读和实务案例分享，以调动教职工的主观能动性，推进个体结合岗位实际探索适宜的内控工作方法，提升学校各级人员的风险意识和底线思维。同时在日常可以通过利用公众号、小视频等动态化、 形象化载体加大风险案例宣讲，增强职工风险识别能力并内嵌于工作中，以营造风险防控常态化氛围，逐步适应“我要内控”的目标，让风险防控入脑入心，并将内控建设外化为推进廉洁自律、风险防控的内生驱动力。

（二）健全学校内部控制体系专项评价协同监督机制，推进完善内控体系建设常态化刚性约束力

学校应定期开展风险评估， 动态调整更新风险数据库。 在形成年度风险数据库基础上，明确风险评估频率，定期或发生重大变化时对关键控制点中风险发生的可能性及其重要程度开展评估， 并有针对性地制定应对策略， 确保将风险控制在合理范围内。

推进硬化监督评价结果运用的刚性约束力。 学校应逐步推进内部控制评价结果与资源分配实质性挂钩机制，将风险防控责任压实到部门主要负责人，要求其定期提交风险管理情况报告，对风险评估发现问题挖掘原因，建立整改机制。 实现风险管理情况、整改成果运用与预算分配和年度考核挂钩，倒逼部门主要负责人提升风险管控动力。

认真编制年度内部控制报告，强化报告在日常管理中的运用力。 应严格按照上级要求及时上报年度内部控制报告，将学校层面和业务层面内控建设情况、信息系统内部控制建设情况全面梳理，及时发现并认真分析与年度内部控制建设相关的风险，重点关注上下年对比分析及重大偏差，强化报告发现问题整改落实，真正将年度学校内控报告嵌入日常风险防范。

（三）推进内部问责与外部问责联动机制建设，提升学校内控体系运行效用力

问责制包括内部问责制和外部问责制，其中内部问责是指学校领导层对业务部门垂直问责及业务部门间的平行问责，强化学校履职行为及提升内控体系实施效率；外部问责是指上级主管部门、纪检监察、外部审计等监管机构的垂直问责及公众等利益相关者的社会问责，推进完善学校内控体系建设。

从本质上讲， 内控体系执行效果由人控制， 学校引入内部问责制内嵌于内部控制运行中，通过强化决策层对部门的垂直问责，对个体激励和约束机制以加强业务部门对单位内部控制体系的重视程度， 推进个体更进一步明确履职要求、行为规范和风险管控。部门间的平行问责强化沟通协调， 正向推进学校内部控制运行效率提升。 同时内部控制作为规范权力运行的重要抓手， 对于防范廉政风险具有重要推动作用，引入外部问责制，来自于外部监管机构的垂直问责和公众的社会问责等多重压力驱动下倒逼学校推进自身内部控制体系完善。

（四）推进信息融通及数据共享，夯实学校内控体系运行的保障力

学校应尽快建立统一数据标准体系，数据标准化一方面打通了系统设置壁垒， 运行规则统一化是推进信息融通和数据共享的基础和关键环节， 学校应结合业务系统运行现状，优化财务、资产、采购、合同、建设项目、科研项目等数据标准， 逐步推进系统对接和数据互联， 以统一数据库系统支持对关键业务环节的常态化监督， 以数据库强化对学校风险领域管控。

同时应将学校层面及业务层面关键控制点、审批流程、管控规则等内嵌于统一数据系统中，用数据记录业务产生数据，并整合于统一数据库，实现业务系统互联互通、数据库动态监控、全程留痕。并通过设置自动触发重点业务节点的风险识别、分析、预警等手段，实时诊断内控风险发生可能性， 逐步推进经济活动内控向自动化转化。 在提升风险管理效率、 精细化管控流程的基础上缩小人为裁量空间，规范权力运行。

五、结语

高校经济活动内部控制体系建设作为提升学校治理能力的重要一环， 是一项需凝聚人力、财力、智力、技术等多方资源的系统工程，并长期处于修正和完善动态变化中。高校应牢固树立全员参与、 人人有责的主动内控意识，引入双重问责机制，以信息化为抓手进行全面风险管理，并通过定期风险评估、动态调整风险数据库， 及时识别重大风险并采取应对措施开展专项内控评价与协同监督，以构建“内外推进力+智能化”的高校内控体系运行机制规范权力运行、 提升全面风险防控能力及治理效能。