COSO内部控制框架视角下高校内部控制建设思考

［摘 要］内部控制是高校治理体系和治理能力建设的重要方面，健全和完善的内部控制制度是高校健康发展的重要基础。随着我国高等教育事业的迅速发展，高校经济业务日趋复杂，内部控制面临新的挑战。文章首先阐述高校加强内部控制建设的重要意义，然后结合美国反虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of the Treadway Commission，COSO）内部控制框架五要素，分析当前高校内部控制建设存在的问题，探讨高校内部控制建设的思路，以期提高高校风险防范能力和综合治理能力，促进高校高质量发展。

［关键词］高校；内部控制；COSO框架

doi：10.3969/j.issn.1673 - 0194.2024.14.017

［中图分类号］G647 ［文献标识码］A ［文章编号］1673-0194（2024）14-00-03

1" " "高校加强内部控制建设的重要意义

随着国家对教育科研的重视程度越来越高，近年来财政教育投入大幅增加，高校的教育经费规模逐年增长，经济业务风险不断加大，管好、用好教育经费的任务更加突出，内部控制的重要性更加凸显。

1.1" "加强内部控制建设是全面依法治国的要求

全面依法治国要求加强对权力运行的制约和监督，明晰权力边界，强化权力制约，规范工作流程，强化内部流程控制，防止权力滥用。这就要求高校加强内部控制建设，形成科学有效的权力制约和协调机制，把权力关进制度的笼子里，用制度管权、管事、管人，确保按照法定的权限和规定的程序行使权力。

1.2" "加强内部控制建设是财会监督的要求

2023年中共中央办公厅、国务院办公厅印发的《关于进一步加强财会监督工作的意见》中要求各单位加强对经济业务、财务管理、会计行为的日常监督，建立内部财会监督机制和内部控制体系，加强横向协同，构建横向协同工作机制。内部控制是财会监督的重要手段。高校通过内部控制建设加强对业务流程和风险环节的监管，实现对学校经济活动的全面监督。内部控制建设还能防止舞弊，提高高校会计信息的质量，为财会监督打好基础。

1.3" "加强内部控制建设是高校内部管理的需要和高校高质量发展的重要保证

内部控制是防范和阻挡风险的防护墙。通过加强内部控制建设，确保学校经济活动合法合规、资产安全，有效防止舞弊发生。做好内部控制建设有利于提高风险防御能力，促进高校党风廉政建设，帮助学校科学决策，做到资源优化配置，实现学校管理目标，是高校健全治理体系、提高治理能力和高质量发展的必然要求。不完善的内部控制容易导致资源浪费，滋生腐败等问题［1］。

2" " "高校内部控制要素

《行政事业单位内部控制规范（试行）》中的单位内部控制目标和COSO提出的内部控制目标在本质上是相同的。COSO内部控制框架认为内部控制包括控制环境、风险评估、控制活动、信息与沟通、监控等5个要素。各项要素之间是一个有机的、多维的相互联系、相互影响、相互作用的整体，共同构成实现内部控制目标的体制机制和方式方法［2］。基于COSO内部控制框架分析，高校的内部控制要素主要包括以下内容。

2.1" "高校内部控制的控制环境

高校的内部控制环境包括学校组织架构、学校内控制度和体系建设、校领导对内控建设的重视程度、高校人员对内部控制的认识和态度，以及学校文化等。

2.2" "高校内部控制的风险评估

高校内部控制的风险评估主要是针对经济活动所涉及的风险，具体包括部门岗位设置和经济活动业务的流程管理等。

2.3" "高校内部控制的控制活动

高校内部控制活动包括单位层面和业务层面的控制，主要有与各类经济活动相关的事前评估，可行性论证，“三重一大”决策机制，采购、资产、财务等各部门的业务活动审核和监督机制等。

2.4" "高校内部控制的信息与沟通

信息与沟通主要涉及学校信息化建设和沟通协调机制方面。通过学校信息系统的建设，加强学校各部门之间数据和信息互通，确保信息及时、可靠、完整。

2.5" "高校内部控制的监控

高校内部控制监控主要是相关职能部门在业务办理时进行的日常监督审核，以及审计、巡察和纪检等专项监督检查。

3" " "高校内部控制建设现状及存在的问题

3.1" "内部控制环境较为薄弱

3.1.1" "风险防范意识淡薄

除财务、审计和资产等相关职能部门外，高校其他部门对内部控制建设了解不多。大部分人员对内部控制的重要性认识不足，认为内部控制建设主要是财务部门的工作，与自己无关，缺乏风险防范意识，对经济业务活动中存在的风险不够重视，风险点排查流于形式，往往出现问题后才去补救。

3.1.2" "内部控制制度不健全

高校内部控制建设开展较晚，学校管理层重视程度不够，体系建设不完整，片面地认为内部控制就是学校议事规则和财务审核，内控制度不够全面，缺乏顶层设计和整体规划，部门监督机制不完善，部门之间存在监管空隙。

3.2" "风险评价体系不完善

风险识别能力不足，风险评估内容不全，风险分析不够科学合理，风险点有遗漏，风险预警能力较差。往往等到财务报销或内部审计、巡察时才发现问题，未进行事前和事中风险识别和风险评估。

3.3" "流程控制不全面

职能部门没有全面梳理各项业务的目标、范围和内容，没有将业务中涉及风险点的决策机制、执行机制和监督机制融入业务流程中的每个业务环节，控制规则设计不够合理，业务流程中可能存在漏洞，控制效果不好。

3.4" "信息化水平不够高，信息交流与沟通不足

一是没有充分利用数字化技术和信息技术。将内部控制规则完全嵌入业务系统，各个业务系统之间数据互相独立，无法联动审核，部分审核复查工作主要还是靠人工完成，系统做不到自动校验和风险预警。软件的开发水平有限，无法利用大数据和人工智能等技术进行分析，没有做到内部控制信息化、标准化、规范化。

二是部门之间的交流沟通不足，发现问题不及时。职能部门对于日常业务办理过程中发现的不规范情形不够重视，没有与相关部门及时进行沟通和讨论，没有预防问题产生，时常等到财务报销时才发现问题。

3.5" "监督力度不够，考核和评价机制不完善

日常监督主要依靠财务报销，专项监督主要依靠审计和巡察，都是对结果进行检查，都具有滞后性，缺乏对控制过程的监管。对内部控制的有效性评估不足，对内控的执行情况不够重视，没有将内部控制的执行情况和效果纳入学校整体的考核体系，致使内部控制制度落实不到位。

4" " "高校内部控制建设思路

2023年5月，习近平总书记在中共中央政治局第五次集体学习时强调，要建设中国特色社会主义教育强国，统筹推进育人方式、办学模式、管理体制、保障机制改革，全面提高教育治理体系和治理能力现代化水平。内部控制建设作为高校治理体系的一个重要组成部分，不能只局限于当前《行政事业单位内部控制报告》要求填报的范围，而要加强内控体系建设，扩大风险评估和内部控制范围，提升高校风险防控和应对能力。结合COSO内部控制要素来看，应从以下5个方面持续加强建设。

4.1" "重视内部控制环境的建设

一是强化认识，提升全员对内部控制的重视程度。通过加强对内部控制相关政策和财经相关纪律的学习，提高政治站位，强化对内部控制建设重要性的认识，增强风险防范意识，自觉将内部控制与部门各项业务工作结合起来，梳理工作流程，排查风险点，做到全员参与，打造良好的内部控制环境，逐步形成重视风险防范、依法依规治校的学校内部控制文化理念。

二是完善内部控制制度。严格落实相关法律法规和财经纪律的要求，结合实际制定出内容全面、流程完善、权责明确、切实可行的内部控制制度。以风险为导向，全面梳理各项业务工作流程要点，聚焦经济活动所面临的各种风险，合理设置岗位和权限，制定风险防范措施，保证经济活动合法合规、财务信息真实完整以及资产安全，防止舞弊和腐败发生。必要时可以借助第三方机构进行评价，改掉内部控制的缺陷，完善内部控制制度。

4.2" "加强风险评估，关注重点领域和重大风险

一方面，进行全面风险评估，建立风险数据库。结合学校实际，全面梳理经济活动业务的流程和相关部门的岗位设置，对业务流程和环节进行风险识别、评估和分析，确定风险点，汇总并形成风险数据库［3］。通过开发风险管理工具和评估模型，对风险数据库中的项目进行分级分类管理，做好对风险的监控和预警。

另一方面，加强对重点领域和重大风险的评估和管理。重点针对资金规模较大、业务模式较新、廉政风险较高的项目进行风险评估，做好风险应对措施，防范重大风险。

4.3" "加强全流程管控，增强控制活动的有效性和针对性

首先，科学合理地设计控制规则，确保控制实施有效。根据风险评估结果，具体分析风险环节的控制方法，做好控制规则的设计，确保控制结果达到预期。做好对控制过程的监管，及时发现控制中的薄弱环节，完善控制措施。

其次，扩大控制的范围，防范风险。运用预防性控制与发现性控制相结合的方法，充分发挥内部控制的全流程监督作用，结合经济活动的开展情况，从源头进行管控、审核。加强项目经费的事前、事中和事后管理，将制衡机制、授权审批等控制措施有效嵌入单位日常管理活动中，实现“控制关口”前移，尽早发现问题，纠正偏差。

最后，提高针对性，加强对重点业务及高风险环节的内部控制管理。对高风险项目加大审核和监督力度，特别是对财务预算管理、收支核算管理、设备物资采购、国有资产管理，以及基本建设项目管理等重点业务的流程、岗位权限、审核规则等进行分析与完善，重点加强对控制执行的过程管理和执行结果的审查。

4.4" "加强信息化建设及部门之间的协作和人员沟通，提升内部控制水平

第一，做好信息化建设整体规划，提升信息化水平。高度重视内部控制信息化建设，加强信息的集成与共享，建立起多部门联动、数据互通的标准化、数字化、规范化内控评价指标体系和智能化内控管理系统［4］。随着数字化技术和信息技术的发展，内部控制工作也要趋向信息化、智能化，要将内控信息建设纳入学校整体信息化建设中，做好规划设计。使用数字化技术，消除“数据孤岛”，提高数据信息的互通能力，

做好事前、事中和事后的信息沟通，加强对业务流程的管理和监督，提高对数据的分析能力，做到系统自动监控和预警风险，提高控制效率和准确性。

第二，各部门之间加强沟通交流与协作。财务、设备、后勤、资产、基建等相关职能部门建立定期交流机制，聚焦履行职能时所面临的各种风险，以及业务开展和监督过程中发现的问题，对出现的风险和问题进行探讨，规范业务流程，提高内控监督和审核的准确性与及时性。各职能部门还要加强与纪检、审计、巡察办等部门的沟通，了解最新的监督要求，把好业务审核关。

第三，坚持重在预防的原则，建立举报投诉制度和反舞弊机制。确保教职工在发现内控中出现的问题时，除了向相关部门领导汇报，有其他举报或投诉的渠道。注重收集教职工关于内控制度的意见，明确问题举报或投诉处理程序，让教职工的反馈和举报投诉成为学校掌握信息的重要途径之一。

第四，强化信息反馈和运用。全面分析收集到的各种内控相关信息，发现隐藏的风险和问题，及时反馈给相关部门，修改、完善内部控制制度或措施。

4.5" "加大监控力度，加强对内部控制执行情况和效果的考核与评价

持续做好日常监督，强化对内部控制执行情况的评价和监管［5］，将内控制度的执行情况和执行效果纳入部门工作考核和个人年度考核，确保内部控制制度能落到实处。充分运用好专项监督的检查结果，发现问题及时整改，通过监督不断强化内部控制建设。

5" " "结束语

随着高校改革的深入，高校内部控制在经济业务活动管理、风险防控、党风廉政建设等方面的作用越来越明显。高校要将内部控制建设作为一项长期性的系统工程，持续完善、改进内部控制体系，将内部控制与高校管理制度有机融合，进而提升高校的综合治理能力，助力高校高质量发展。

主要参考文献

［1］廖青，黄明.高校内部控制体系建设研究：基于厦门大学内部控制建设实际经验［J］.教育财会研究，2019（2）：49-55.

［2］许新霞，何开刚.内部控制要素的缺失与完善：基于内部控制和风险管理整合的视角［J］.会计研究，2021（11）：149-159.

［3］唐建纲，陆美芳.行政事业单位内部控制何以“落地生根”：构建基于风险数据库管理的实施机制［J］.会计之友，2023（14）：106-112.

［4］牟小丽.“大智移云物区”背景下财会实践教学研究［J］.中外企业家，2021（10）：208.

［5］赵叶灵，胡永波，潘俊.高校内部控制优化的框架构建与路径选择：基于《行政事业单位内部控制报告》实施驱动视角［J］.财会通讯，2023（10）：19-24.