来源:《高等教育研究 》 2010年第12期
【摘 要】高校目前直接或间接影响自身发展和目标实现的问题不少,解决这些问题的途径之一在于尽快实现高校内部控制的转型与创新。由传统的内部控制向全面风险管理型内部控制转化是目前我国高校的最佳选择;要成功实现高校内部控制转型必须在高校治理结构、校园文化、风险控制模块和监督体系等方面进行磨合与创新。
【关 键 词】风险管理;内部控制;治理生态
近年来,有关高校的负面新闻几乎不曾间断过,譬如原武汉大学副校长陈某、副书记龙某贪腐案,原中南财经政法大学副校长李某受贿案,原武汉科技学院副校长王某“双规”案,北京吉利大学等25所民办高校曾发生的违规招生案,浙江理工大学曾发生的贪腐串案等都在社会上引起了不小的反响。实际上,目前高校所存在的直接或间接影响其健康发展和目标实现的问题还远非如此,高校校园的安全与稳定问题、教育质量的持续保证问题、学习风气与科研风气问题、重大采购及财务管控问题、后勤服务与食品安全保障问题以及人事与分配管控机制问题等诸多方面也都存在较大隐忧。虽然中纪委、监察部、教育部以及地方各级政府和教育行政管理部门均十分重视,高校本身也为之付出了很大努力,出台并实施了不少政策与措施,但效果仍然欠佳。原因尽管是多方面的,但其根本原因在于高校现行内部控制的观念与方法已陈旧过时,越来越不能适应新的“生态环境”下高校治理与发展的需要。因此,迫切需要尽快实现高校内部控制的全面转型与创新,以化解高校办学风险。
一、高校内部控制的现状
虽然不同地区、不同高校的内部控制建设很不平衡,所呈现出来的问题亦有一定的差异,但共性的问题客观存在,主要包括:第一,控制环境不佳。控制环境不佳包括内部和外部两个方面。外部环境不佳主要表现为与高等教育相关的法律法规及监管机制尚不够健全完善,管理体制及外部治理结构存在缺陷,部分宏观政策导向存在偏差等;内部环境不佳主要表现为高校发展战略的研究与规划不到位,内部治理结构、机构设置及权责分配不合理,校园文化滞后,激励与分配机制的效用不理想、内部监督体系未能有效整合并运转等。第二,风险应对失当。要表现为风险评估及风险警示不及时,常常丧失最佳控制时机;突发重大事件的应对预案针对性不强,反应慢,不能有效控制事态发展;风险应对走极端,要么好大喜功、铤而走险,要么保守怕事,手缩脚。第三,控制方法单一。多以“内部牵制”理念为基础的传统方法的运用为主,而体现“资源”基础和现代全面风险控制理念的内部控制方法,譬如分权控制、运营分析控制、绩效考核控制、矩阵控制和现代信息系统控制等方法的运用则相对较少,或不彻底。第四,信息沟通不畅。信息采集、加工与传递手段、路径与形式落后,日常重要的运转信息不能及时反馈到相关控制主体;校园局域网、BB教学辅助系统、OA办公系统、校园一卡通系统、财务信息系统、教务管理系统、学生学籍管理系统和图书管理系统等主要信息与沟通平台的效用发挥有限,有的仅发挥2-3成;普遍存在倚重现代网络而忽略其他传统而有效的沟通管道的情形。譬如某高校曾有一封举报信在举报箱中沉睡了一年才被发现,等依此信提供的线索调查犯罪嫌疑人时,其已远遁海外了。第五,内部监督乏力。高校目前内部监督的制度安排主要靠党委对行政、纪检监察对党员及党员干部、内部审计对内部各主要部门、项目和岗位的监督组成,应该说也起到了一定的作用,但高校近年来不断发生的违规、乱权、贪腐、低效及群体事件也说明内部监督在合力、层次以及网络体系等方面仍有欠缺,还不能及时防范、发现和纠正高校内部的重大控制缺陷与漏洞。
高校上述内部控制问题不仅客观、普遍存在,而且还呈现出如下特征:第一,“过控”与“失控”并存。一方面一些权力较大的重要部门、关键岗位,存在“为控制而控制”的弄权行为,将许多本来简单的问题复杂化,层层设限,步步设卡,形成“过控”现象;另一方面一些考核弹性大,利益不直接不明显的领域,譬如师生员工的思想政治工作、学风与教风建设、学科建设、课程建设以及校园文化建设等,则漫不经心,得过且过,基本处于“准失控”状态。第二,“控制孤岛”效应明显。教学、科研、组织、人事、资产、学生、网络、安全、卫生、财务、审计以及纪检监察等各领域的分管校领导之间、部门与部门之间缺乏良好的常态化的信息互通与共享、协同配合与整体推进,常常各拿各的方案,各做各的数据,互不干扰,各自为政,因而彼此口径不一,重复与浪费惊人,矛盾冲突不断。第三,控制目标、主体及范围偏低偏窄。目前仅以领导及会计审计人员为控制主体,以防错查弊为控制目标,以事中事后经济事项为控制范围的高校所占比例极高。第四,违规违纪违法案件呈高发、多发及漫延之势。
二、高校内部控制的全面转型
客观地讲,现行高校的一整套内部控制制度曾发挥过很好的历史作用。目前之所以存在上述一系列问题,根本的原因在于现行的内部控制在观念上已趋向僵化老套,在方法上已趋于陈旧过时,不能适应新的“生态环境”下高校治理与发展的要求,迫切需要与时俱进,彻底转型。至于如何转型,目前尚处仁者见仁、智者见智的探究阶段。笔者认为,由传统(现行)的内部控制向全面风险管理型内部控制转化是目前我国高校的最佳选择。
1.全面风险管理型内部控制更具先进性
高校全面风险管理型内部控制是借鉴和吸收当今世界上先进的内部控制理论与实践成果,将业已成熟的企业全面风险管理理念与方法移植和嫁接于高校内部治理和管控之中的新型高校内部控制形态。其内容、框架结构和运行机制等虽然还有待结合高校实际作进一步的探究,但可以肯定的是,其一旦应用于高校,与高校传统的内部控制至少存在四大不同点:一是控制目标不同。传统的内部控制目标主要以查错防弊,合规合法、资产安全和财务报告的真实完整为目标,眼界偏窄,要求偏低,难以起到标杆和引导作用;而转型后的内部控制则在传统目标的基础上增加了合理保证高校办学效率和效果、促进高校实现办学宗旨和发展战略等目标,其视野更开阔,涵盖面更广,更符合科学办学和持续发展的理念与要求。二是控制主体不同。传统的高校内部控制实际上仅将控制主体锁定于学校高中层管理者、纪检监察人员及会计审计人员等,相对于高校面广、点多、复杂的控制对象,力量明显不足,无法应对;而全面风险管理型内部控制将控制主体定位为“全员性”主体,既包括传统主体,还包括每一位师生员工,实际上是将内部控制与反控制的“战争”演变成了一场无所不能、无坚不摧的“人民战争”。三是控制的时空范围不同。传统的高校内部控制在时间上仅集中于事中与事后,在空间上仅集中于重大事项,其结果导致相当比例的事务要么先天控制不足,要么成为控制死角、盲点和空白点。而全面风险管理型内部控制则以“全员性”控制主体为后盾,以成本效益性为原则,在时间上强调全过程控制,在空间上实现全方位控制。四是控制的方略不同。高校传统的内部控制的方法和手段,相对单一、固化;而全面风险管理型内部控制则在传统的方法和手段的基础上,更加强调战略控制、分权控制、授权控制、电子信息技术控制、运行分析控制和绩效考核与奖惩控制等方法的综合运用,取长补短,实现对控制对象的全覆盖。而且在综合运用上述一系列方法的过程中,坚持以风险管理为主线贯穿始终,坚持内部控制的过程就是全面管控风险的过程,风险管控不是一味地回避风险或追求风险最小化,而是将风险控制在控制主体可承受的限度以内等重要理念。在具体风险管控时,坚持依托现实的控制环境去设定特定控制对象的控制目标、识别特定对象的影响因素和风险类型、测度特定对象的风险大小,然后依风险态度和承受能力确定特定对象的风险应对策略,最后据之进行具体的风险控制、评价、考核、监督和奖惩。可见,由“全员性”主体按照这样一套现代公认的风险管理模式,对高校事务进行全方位、全过程、规范化和常态化的控制,较之传统的内部控制更具先进性和长效性,对解决高校目前所存在的内部控制问题更具针对性,一旦成功实现转型,足以达到脱胎换骨、浴火重生之效。
2.高校内部控制原本就应为全面的风险管理
全面风险管理绝对不是企业的“专利”。之所以说高校全面风险型内部控制是对企业全面风险管理理念与方法的移植与嫁接,主要是基于企业已先行实践了全面风险管理,并取得了许多可供借鉴的经验与教训而言的,但这并不意味着全面风险管理仅仅适用于企业。事实上,风险无处不在,无所不有,只要哪里有风险,哪里就存在对风险进行全面管理的需求。
高校本身是一个多风险的集合体。其风险遍布于高校每一工作领域、每一大小事务和每一工作流程之中。所以作为为高校保驾护航的内部控制本应就是一个调动全员力量进行全方位、全过程的风险管控的过程。只是由于过去高校的生存环境远没有企业严峻,使得其内部控制实践落后于企业,一直停留在一个较低级的局部的风险管理层面上,而随着情势的改变,高校内部控制升级换代的紧迫性才日益显现,因此从这个角度而言,向全面风险管理转型实际是高校内部控制的本位回归。
3.高校具备全面实施风险管理的基础与能力
高校是信息集中、智力密集、人才济济之地,在这样一块热土上推行全面风险管理型内部控制,其基础和成功潜力几乎是不容置疑的。首先,高校所聚集的超强的社会责任感和使命感,始终是高校推进先进理念的强大精神力量;其次,高校素有新生事物的“思想库”和“发动机”之称,其接受先进理念快、领会深、转化能力强、推广应用迅速等特质必将为高校推行全面风险管理型内部控制提供重要技术支撑;再次,高校建设全面风险管理型内部控制的起点和基础,尤其是内部控制主体的整体素质、管控技术含量及运用状况等总体上要好于企业,也为高校内部控制全面转型奠定了坚实基础。过去许多企业管理实践(如成本核算、绩效考核与激励控制等)被成功吸收、移植于高校并开花结果就是最好的例证。
三、高校内部控制成功转型之策
1.创新高校治理结构,优化内部控制根基
什么样的高校治理结构决定什么样的高校内部“控制生态”及结果。目前高校所存在的内部控制问题几乎无一例外地与高校欠合理的治理结构与生态相关。因此高校治理结构的创新是内部控制实现转型的首要课题,既要顾及高校,尤其是公立高校现行以党委会、校务会、工会和教职工代表大会为主要架构的传统治理结构的历史与缺陷,又要正视高校筹资渠道及委托代理关系日趋多元化与复杂化的现实,既不能漠视“建立现代大学制度”的要求,又不能简单套用公司制企业以股东大会、董事会、监事会和经理层为主要元素的治理结构与模式。有鉴于此,笔者认为适应中国高校全面风险管理型内部控制的治理结构应为“三会多层结构”。
该治理框架的主要特点与优势是:以“利益相关者代表大会”、“理事会”和“校务会”为权力主骨架,以各“专业委员会”、“职能部门和教学院系”和“学生及其团体”为多个支撑层级,相较于现行治理结构更符合现代大学生态治理的内在要求和高校去“行政化”改革的取向,且内在权力制衡力度更大,更利于控制决策层面风险,防范违规和贪腐事件发生。其中的“利益相关者大会”与高校日趋多元的社会利益主体相对接,并吸纳了企业股东大会的某些合理元素与功用,定位为高校的最高权力组织,决定着高校发展战略、重大事务及理事会的组成与运行规则等。其成员主要由政府教育行政管理部门、出资者、主要捐资者、校友会代表、教职工代表和学生代表等组成;“理事会”对“利益相关者大会”负责。其职权相当于企业的董事会,包括执行“利益相关者大会”的决议,定期或不定期召集“利益相关者大会”并向其报告工作,制订学校年度财务预决算,决定学校内部机构设置,决定聘任或解聘学校校长及其报酬事项,并根据校长的提名决定聘任或解聘学校副校长、总会计师及其报酬事项,建立健全学校内部控制制度等;“校务会”是由校长、副校长构成的行使日常行政管理权的组织。其对校“理事会”负责,主要职权包括组织实施理事会决议、组织实施经批准的年度工作计划和各项方案,贯彻落实各项内部控制制度,决定聘任或解聘教学、科研人员以及行政管理及后勤保障人员等。
2.创新高校校园文化,强化“软控制”的力度
高校的特殊性不仅仅体现在其使命与“产品”形态上,而且还突出地体现在其文化背景和氛围上。不同的文化氛围,对应着不同的风险因素、控制风格、方式、方法和效果。目前世界上比较成熟的全面风险管理型内部控制植根于企业文化基础。那么若要将其成功运用于高校,所面临的关键性问题是“水土”的调适与更新。首先,必须改变过去主要靠刚性制度和强压式、铁腕式的“硬控制”的思维模式,而去寻求控制思维的突破,增加“软控制”的比重,形成“软硬兼施”的格局。其次,将提升“软控制”的关键与重心放在校园文化的建设与创新上,努力在“四倡导与四反对”上寻求突破。一是倡导责任、进取、创新、奉献和团结协作的大学精神,用崇高的精神鼓舞人,用先进的事迹感染人,用榜样的力量带动人,反对功利主义和极端个人主义,进一步增强师生员工的使命感和责任感。二是倡导科学发展、和平发展和和谐发展理念,反对极端冒进或极端保守作风,提高师生员工的风险意识、危机意识和风险识别与应对能力。三是倡导严谨治学、治教和治管,形成行为有规范、工作有程序、考核有标准和执行有力度的局面,反对极端自由主义、机会主义和松散庸懒浮躁风气。四是倡导民主、开放与透明,使教书、管理与育人并重,鼓励网络问政、问教、问学、问事,网络论坛、网络公示、网络举报、校长邮箱,校长博客、校长网络对话室等创新尝试,以形成具亲和力和人性化的管理作风,以及公正、公开、公平的竞争环境,反对将教学、管理与育人相分离,反对专权、封闭和暗箱操作,坚决杜绝“才子加流氓”的教育者与教育“产品”;从校长到一般管理工作者,从学术权威到一般老师,既要体现管理者才智和学术大师的风范,又要展现教育家的情怀和人格魅力,形成良好的大学传承。
3.全面梳理管控思路,重构风险控制模块
创新不意味完全的推倒重来。依托高校原有的一系列管理制度、惯例和做法,按全面风险管理型内部控制的思路与要求,进行全面梳理,有破有立,有保有压,去粗取精、去伪存真,重新洗牌与整合,构建相对独立又互相关联,行之有效的“风险管控模块”,才是高校内部控制转型过程中既符合实事求是、推陈出新的创新精神,又符合“成本与效益”原则的最现实的选择。初步设想应建立“五大风控模块”,以实现与现行的教学、科研、后勤、保卫、政治思想、组织人事、基建、采购及学生等为单元的管控制度的对接。一是环境风险控制模块。将战略目标和战略规划、治理结构、机构设置及权责分配、人力资源(师生员工)政策、政治思想、保卫、校园文化等纳入该模块,视为决定高校内部控制成败的基础和土壤进行规划建设,以控制其风险。二是合规及风险预控模块。此模块属于事前风险控制模块。根据一切事务均是风险的集合,事事有风险、处处有危机的风险理论,该模块需要对控制对象进行风险预评估,并预定出或回避、或降低、或分散,或承受,或兼而有之的风险应对策略,以作为具体控制活动的行动指引和依据。对大多数高校而言,此模块的现有基础特别薄弱,是转型过程中要全面创立的部分。创立时需要突破传统观念,因该模块并不完全形成独立的空间边界,而更多地表现为相关事项原有管控过程的前伸和前置程序的添加与细化,相关技术的构建、信息传递、人员及相应监督措施的配套等。当然,为确保此模块能长期而有效地存在并发挥作用,高校应成立专门的合规及风险控制部门来统筹与协调此模块。三是具体控制活动风险控制模块。即根据上一模块形成的风险控制预案,采取相应的控制措施对具体对象实施控制,以将其风险控制在可承受的限度之内的模块。此模块包罗现行的教学、科研、后勤、基建、采购等常规单元的管控制度及具体实施,既有对过去合理作法的继承,更有对控制细节、程序和方法的重组与升华。四是信息与沟通风险控制模块。信息与沟通风险控制的目的是及时发现问题,纠正偏差。本模块除应包括高校网络信息技术中心、OA系统、财务信息管理系统、教务管理系统和学生学籍管理系统等现代信息技术沟通控制领域外,还应将各部门手工信息系统、举报及举报人保护系统、反舞弊系统及人性化与组织化的沟通方式等纳入其中,按风险控制的要求进行对接、优化与完善。五是内部监督风险控制模块。通过该模块对高校内部控制的建立与实施情况进行监督、检查、评价、考核、预警与缺陷改进,以实现对控制对象及内部控制本身风险水平的控制。该模块的构建与整合在下一部分将系统论及。
4.整合内部监督资源,打造高效的监督系统
其一,整合现有监督资源,理顺关系,形成以内部审计(查)委员会为主导,“审计委员会+纪检监察+内部审计”的监管模式。其中内部审计直接归属内部审计委员会,作为其下属常设机构;审计委员会直接对理事会负责,不受校务会干预;该模式通过实行内部监督的统一组织,合理分工,彻底解决过去多头监管、力量分散、成本高企以及监管空壳化问题。其二,构建“日常监督—定期自我评价—外部审计—责任考核与奖惩”的多层监督评价机制。其中外部审计机构的首聘、续聘及解聘只由内部审计委员会决定,以增强其独立性。“责任考核”的结果应与每个控制主体及其成员的工资、资金、职务职称、福利等的升降挂钩,以增强内在动力性和可持续性。其三,严把监督人员选聘关,确保程序公开、透明,条件成熟的应直接向社会公开招聘。其四,转换内部审计的角色。从过去“内部警察”角色转换为全面关注高校风险、评价和完善内部控制的“评价和建议”角色。超越过去实质性测试为主的查错防弊型内部审计,转换为以战略介入、预防控制为重心,以证实性鉴证为补充,以评价和完善内部控制为手段,以控制高校各类风险为目标的新型内部审计。
作者:沈 烈,中南财经政法大学内部控制研究所所长,教授,管理学博士从