大变局视域下的公立高校内部审计研究_李亚鲁.pdf

会 计 之 友 2023 年 第 6 期FRIENDS OF ACCOUNTING随着国家治理现代化的推进，审计环境在深刻演化，被审计单位承担着高质量发展的目标任务，监督的政策性和精准性增强。审计标准具有一定程度的不确定性，如自然资源环境审计的非财经法规标准、政治标准、“三个区分开来”、容错纠错机制等，对审计人员执业胜任能力带来严峻的考验 1。时代在变，审计管理思想要与时俱进，但内部审计所具有的监督和咨询的职能不变；信息技术革命催生的审计技术手段在变，但内部审计服务组织目标达成、为组织价值增值服务的评价（确认）和咨询（建议）等职能不变。在“变”与“不变”的思辨中，要明晰基于风险的公立高校内部审计需审视的“事件域”（当然也是动态变化的），这是内审工作的发力点。提质增效是审计发展的必然趋势。变革强调的是信息技术在内部审计工作中的运用，融合强调的是功能的扩展。在实现中国式现代化的进程中，随着“智能财务”（后文对此有述及）、业财融合（无论企业还是行政事业单位概莫如是）的推进，要在“不确定”中探寻“相对确定”的公立高校内部审计“事件域”。一、对风险管理的流变考察以及有关概念的约定（一）风险管理的“COSO 基因”掠影自 1992 年 9 月美国 COSO 委员会（Committee ofSponsoring Organizations of the Treadway Com-mission）发布 内部控制框架 以来，理论界和实务界不断对其提出一些改进建议，强调内部控制整合框架的建立应与企业风险管理相结合。美国立法机构 2002 年颁布的 2002 年公众公司会计改革和投资者保护法案（萨班斯奥克斯利法案）也要求上市公司全面关注风险，加强风险管理，在客观上推动了内部控制整体框架的进一步发展。COSO 委员会意识到 内部控制框架 过分注重财务报告，而没有从企业全局与战略的高度来关注企业风险。2004 年 9 月，COSO 委员会正式颁布了第一版 企业风险管理整合框架（COSO-ERM），该框架脱胎于 内部控制框架，实施过程中两个框架之间关系的话题始终无法摆脱。孙友文 2017 年在“大风控”（微信公众号）有系列相关解读文章（下文相关内容引用参考不再单独说明）。COSO 委员会 2017 年 9 月正式发布的第二版企业风险管理框架（COSO-ERM），使风险管理工作更好地与企业战略和绩效相融合以提升企业的价值（亦即直接从企业治理和管理的角度将风险管理内容嵌入），并声称该框架不仅适用于企业，而且适用于政府及非营利机构。该框架对“三道防线”的相关阐述：风险管理责任落实的【摘要】通过对风险管理的“COSO 基因”和 ISO 风险管理标准的流变考察，认为风险管理文化融入组织治理将拓宽公立高校内部审计视域。阐释了内部审计职能作用已跃升到“治理”层面，设计了内审为组织赋能的 IIA“三线模型”的公立高校实践策略图。以“风险的目标影响性”为逻辑起点，按“内部审计范围”和“风险关注”二维度，从“未来财务管理新世界、经济活动的校之重者、聚焦主责主业的拓展”三视角，搭建了审计“视域”的“样本空间”平台，预设了“舞弊”“合规”“信息系统”“厉行节约”“预算管理”“国资管理规制的贯彻落实”“内部控制机制的运行”“会计规制的执行”“预算绩效管理”“公立高校成本核算实施进程”“内审人员业务培训”等风险关注事项集合，以期在“不确定”中探寻“相对确定”的“事件域”，触发公立高校当下和前瞻性的内部审计关注。【关键词】风险管理；高校；内部审计；事件域；审计范围【中图分类号】F239.45【文献标识码】A【文章编号】1004-5937（2023）06-0126-08大变局视域下的公立高校内部审计研究河南理工大学李亚鲁【基金项目】河南省教育厅教育财务管理科研项目立项课题（教办财 2019 351 号）“新时代河南高校内审制度体系框架研究”（2019C09）【作者简介】李亚鲁（1973），男，山东枣庄人，正高级会计师，河南理工大学审计处副处长，研究方向：高校财务管理与审计审计广角126FRIENDS OF ACCOUNTING第一道防线是核心业务部门（Core Business）即企业管理的前台部门，作为风险管理的第一责任机构；第二道防线是支持职能部门（Supporting Function），所有可以协助一线核心业务部门进行风险管控的职能部门，除风险管理专职部门外还包括法务、合规、财务、人力、质量、安全等职能部门；第三道防线是保证职能部门（AssuranceFunction），主要包括内部审计和外部审计（孙友文认为，还包含中国企业特有的纪检和监察）。在组织价值实现过程中，第一道防线是 Risk Owner（风险所有方，指业务单元或部门），第二道防线是 RiskManagement（风险管理，指风险管理部门），第三道防线是 Risk Assurance（风险保证，主要是指内部审计部门）。各防线分别作为风险制造和初级管控者（也是价值创造者）角色、风险管控协助者（也是价值支持者）角色、风险保证者（也是价值守护者）角色。各业务部门做的是深耕的工作，风险管理人员做的是整合的工作，一个攻点，一个带面，相互配合，各有各的价值。笔者认为，各个角色在客观上都对组织价值实现发挥了价值增值的作用。需要声明的是，笔者持内部审计和风险管理的关系是“有交叉、有融合”的观点（理论和实务界基于不同的视角对二者关系见仁见智）。大道无形，正如内部控制要融入管理全过程一样，风险管理要“去形式而重实质”。“无形而治、润物无声”的风险管理文化将是令人追求的一种境界，这也是 2017 版COSO-ERM 所倡导的理念。（二）国际标准组织的风险管理标准（ISO 31000）择要ISO 31000 提供了风险管理的原则和通用性指南（分为 2009 年版本和 2018 年版本），意在运用该国际标准来协调现有和将来标准的风险管理过程。该标准提供了一个支持其他标准处理特定风险和行业风险的通用方法，而不是取代这些标准。该标准体系涉及有效管理风险的构架（原则、框架和过程），并对风险管理原则、框架、过程之间的关系做了详尽的描述。例如，风险管理应遵循“明晰解决不确定问题、与组织的外部和内部状况及风险状况相匹配、是动态迭代和应对变化的、实现组织的持续改进、创造和保护价值”等原则，框架总则中提出“风险管理的成功取决于将其嵌入整个组织所有层次的基础和安排的管理框架的有效性”，过程总则提出“风险管理过程宜是整合到管理中的一部分、嵌入文化和实践之中、针对组织的经营过程制作”，过程分则中提出“风险评价是风险识别、风险分析和风险评定的总的过程”。该标准体系对风险管理的定义是：针对风险指挥和控制组织的协调活动。拥有良好风险管理能力的组织和较差风险管理能力的组织，其审计风险的高低不言自明。（三）概念约定可以发现，上述有关管理理念殊途同归。大道至简，公立高校在对待风险管理上亦应如此。更重要的是，上述有关管理理念对基于风险的内审工作有很强的指导性。值得警惕的是，国外的研究成果是在国外的社会制度和经济环境中总结提炼出来的，因此，要分清国外经验和研究成果的普适性及独特性，要善于借鉴而不盲从，否则会犯“水土不服”的错误。在我国，随着 2022 年 10 月 1 日生效的 中央企业合规管理办法（国资委第 42 号令）发布，企业大风控体系业已明确。值得关注的是，该办法第二十六条明确“中央企业应当结合实际建立健全合规管理与法务管理、内部控制、风险管理等协同运作机制，加强统筹协调，避免交叉重复，提高管理效能”。其实，通过以上对风险管理的论述不难发现，合规管理体系最后的落脚点还是“风险管理+内部控制”，这就给我们一个启示：要防止各类体系（工具、理念）阻碍组织高质量发展！综上对风险管理理论和实践的粗略考察，笔者对本文有关概念约定如下，以避免“烦琐哲学”。1.风险组织面临内部和外部的、使组织不能确定是否及何时实现其目标的因素和影响，这种不确定性所具有的对组织目标的影响就是“风险”。简言之，风险就是不确定性对目标的影响，抑或将会对目标产生影响的事项发生的可能性。2.“事件域”“事件域”即事件集合（Set of events），属于概率论范畴。先明确下列三组概念：（1）样本空间（Samplespace），试验中所有可能结果的集合（每个结果需要互斥，所有可能结果必须被穷举）；（2）事件集合（Set ofevents）F，是 的一些子集构成的集合（这个集合的每审计广角127会 计 之 友 2023 年 第 6 期FRIENDS OF ACCOUNTING个元素也是集合），并且它必须是-代数（sigma-al-gebra，其实是个集合族系，它保证在这里的集合不管如何交差并补、做何列次，结果都还在这个族系里，这对运算的良定义是很关键的）；（3）概率测度（Probabilitymeasure）P，描述一次随机试验中被包含在 F 中的所有事件的可能性，其值在 0，1 区间。由上可知，事件域中的元素也是样本空间的子集，简单说，事件域就是由样本空间的一些子集构成的集合，事件域中的元素称为随机事件，没在事件域中的样本空间子集不是随机事件，在概率论中不考虑。这就是有了“样本空间”还要建立“事件域”的原因。本文借用概率论中“事件域”，是为了更形象地表达这样一个观点：公立高校的内审关注事项点多面广，尽管不做风险定量分析，但根据有关风险管理原则，如“明晰解决不确定问题、与组织的外部和内部状况及风险状况相匹配、是动态迭代和应对变化的、实现组织的持续改进、保护价值”等，应在“不确定”中探寻“相对确定”的公立高校内部审计“事件域”。因此，本文“事件域”是指“公立高校的风险关注事项集合”，也从属于内部审计视角之内“视域”的“样本空间”平台，这是分别按“内部审计范围”和“风险关注”两个维度予以表达的概念，可以解决“高校风险在哪里、表现在什么方面”等，至于“严重程度如何”等定量研究不在本文讨论之列。二、透视内部审计的监督职能（一）从国家治理中的监督合力构成看审计监督定位党的十九届四中全会通过的中共中央关于坚持和完善中国特色社会主义制度推进国家治理体系和治理能力现代化若干重大问题的决定（下文简称“决定”）将“坚持和完善党和国家监督体系”列为专门一章进行部署，进一步明确了党和国家监督体系在中国特色社会主义制度和国家治理体系中的重要定位，进一步明晰了党和国家监督体系未来的发展方向。由表 1（依据 中国共产党党内监督条例 第九条）与表 2（依据“决定”第十四部分和 中国共产党纪律检查委员会工作条例 第三十条）可看出：以党内监督为主导，内部审计监督属于监督体系中“审计监督”一个重要组成部分。作为公立高校内审人，要认清“教育、科技、人才是全面建设社会主义现代化国家的基础性、战略性支撑”，坚持为党育人、为国育才，办好人民满意的教育，以实际行动忠诚拥护“两个确立”，坚决做到“两个维护”，以高质量审计监督服务助力中国式现代化进程。公立高校内审工作的政治站位业已明了：在党的领导下，拥有组织赋予的权限，履行组织赋予的职责并有效发挥自身的职能作用。（二）内审监督的方位内部审计在国家审计监督体系中“三分天下有其一”。这在 审计法、国务院 关于加强审计工作的意见 及分行业的内部审计指导意见中，都有充分体现，是不容置疑的。内部审计监督贯穿于组织治理全过程，审计结果运用是组织治理的自我革命，是组织治理体系持续优化的“调节器”。审计监督在横向上承担对决策权、执行权的监序号监督主体监督模式1党委（党组）全面监督5党员民主监督2纪律检查机关专责监督3党的工作部门职能监督4党的基层组织日常监督表 1党内监督模式主导贯通、协调党内监督人大监督民主监督行政监督舆论监督司法监督审计监督财会监督统计监督群众监督表 2国家监督体系审计广角128FRIENDS OF ACCOUNTING督，在纵向上承担对下级决策权、执行权和监督权的监督。高校内部审计工作自身要树立“制度先行”理念。正如国务院发布的 关于加快建设全国统一大市场的意见 一样，在全球经济不确定性和经