浅谈风险导向视角下高校内部控制审计

前言

随着教育体制改革的深入，高校间竞争加剧，高校的资金来源和业务活动都呈现出多元化趋势。一部分高校产生了政府拨款之外的资金来源，越来越多的高校引入中外办学模式，同时承担了更多的社会服务功能，基建、采购等业务也日益复杂化。这些新情况给高校带来了更多的财务和其他风险。如何识别、评估和应对风险、如何建立以风险为导向的内控新模式显得尤为重要，也随之带来了风险导向视角下高校内部控制审计这个新课题。

一、相关概念

2024 年 11 月 28 日，财政部与教育部联合发布了《关于进一步加强高等学校内部控制建设的指导意见》。该意见强调要统筹推进内部控制建设，覆盖所有经济及业务活动。此外，意见还提出风险导向原则，要求针对关键业务和高风险领域建立完善的风险评估体系，并保持动态适应，不断优化以应对新时代的挑战。

风险导向视角下的内部控制审计以风险评估为基础，关注高等学校内部重要业务单位，重大业务事项和风险领域的内部控制，以及外部环境变化对高校发展目标的影响。根据风险发生的可能性和对高校单个或者整体控制目标造成的影响程度，确定内部控制审计的范围和重点，真实、客观地揭示和反映管理中的风险状况，达到高校风险防控的目的【1】。

二、风险导向视角下的内部控制审计目标定位和设计思路

风险导向视角下的内部控制以识别、评价和防范内部控制风险为核心目标，则内部控制审计也应当顺应这种目标的需求，将传统的审查监督功能转变到风险规避和提高管理效能的方向上去，以高校总的治理目标为审计工作总目标，自上而下的设定具体的审计分目标并设计审计工作流程，提高内部控制制度的预警能力，为高校管理目标的实现提供前瞻性和建设性的决策信息。【2】

依据这样的目标定位，高校风险导向视角下的内部控制审计应当遵循“风险点识别和评估 -- -- 高风险点审计 ------- 内部控制优化 -- -- 内控状态和风险再评估”的动态闭环审计思路来进行。

1. 风险点的识别和评估

识别出内控体系中的各风险点后，通过定性和定量的分析方法对风险点进行评估，在这个过程中需要尽量注重全面性。

2. 高风险点审计

根据步骤 1 的评估结果确定关键风险点和高风险点，在此基础上对重要的风险点进行审计程序的设计和执行。在这个过程中，应当注意兼顾成本效益的原则，确定审计重点，节约审计资源。

3. 内部控制优化

在深入分析各风险点漏洞产生原因的基础上，充分利用步骤 2 的审计报告反馈结果，将其转化为针对性的改进建议，优化内控制度以应对和避免未来可能发生的风险、提高管理效能。4. 内控状态和风险再评估

对优化后的内部控制制度和风险情况开展持续性的监测和再评估，为后续的审计工作做好准备，实现风险-- 审计—内控优化—再评估的闭环审计管理模式。

三、目前高校内部控制审计中存在的主要问题

审计流程框架不清晰，未体现风险意识

1. 事前审计缺失

传统的审计方式在高校执行已久，这在领导层甚至审计人员中形成了根深蒂固的审计观念，认为审计就是查账、查错纠弊，是事后的审查监测工作。这种认知的不足加上对审计不够重视等原因，导致从源头上对内控审计缺少风险控制的要求，缺乏风险控制导向的压力和动力，风险控制被边缘化。结果就是很多高校虽然也声称进行了风险内控审计，但事实上风险管控仍流于表面，审计重点不突出或仍然将重点放在事后的查错纠弊上，这样一方面浪费了审计资源，另一方面表现出的作用仍是监督和评价，而不是整体管理效益的提升。

2. 审计报告利用不足，未形成闭环模式

缺乏足够的后续审计。审计并不是最终目的，高校需要通过审计实现对内部控制制度和经营管理的改进。但是现阶段审计工作往往是从审计任务书下达开始，到审计资料归档即为结束，除非查出重大的过错和漏洞，否则各种审计结论和建议并不被重视。审计报告和其他资料被束之高阁，一方面导致内部控制系统仍然保持原样，毫无进益；另一方面，审计结果不能够被持续利用，下一次审计也无法从之前的审计工作中积累到经验，各次审计如同平行线，都是从头开始，这使审计人员的精力和工作被大量浪费。

（二）风险识别的客观性和准确性不足

1．内控系统不熟悉，经验缺乏

准确的在高校内控流程中查找风险点，其前提必须是对高校内部控制管理体系、运行机制和流程的深入了解和熟悉，包括对内部控制各个环节和节点的高分解能力，但是就现状来看，审计人员只专注于财务和审计知识的提高，而对高校内部控制系统熟悉度不够，虽然有时会对相关业务人员做审前调查和咨询，但是仍然无法真正把握业务的实际流程，加上查找风险点的经验还不足，无法精准的分析各个内控业务层面的风险点。

2．风险点识别和评估方法和技术单一

一方面，由于传统审计操作方法的长期影响，审计人员对风险点的识别方法多以审计人员或者所走访调查的业务人员的主观判断和预测为主，表现为各种制度性文件、财务档案和其他资料的观察、分类和手工操作等老方法，对风险要素的评估主要停留在定性分析上，较少结合定量分析模型对风险进行客观量化的分析。

另一方面，当代社会大数据信息化发展飞速，但是这些技术的成熟看起来并没有对高校的内部控制审计产生非常明显的推进作用，内控审计中的数据传递和协同工作往往还是通过书面资料进行。审计人员也未能充分利用现代技术来对各种审计资料进行数据分析，风险点查找效率低下，准确性不足【3】。

( 三) 审计机构和人员缺陷

1. 审计机构不具备独立性

审计机构的专业性首先要体现在职能的独立性上，缺乏独立性即缺乏权威性，审计工作便只能流于形式化、表面化，更无法奢谈专业。现阶段高校各机构设置中，审计机构通常属于二级职能部门，虽然有些高校会将学校领导设为审计部门的负责人，但是往往只是挂名分管，除了审阅审计报告外，并不实际过问审计工作。而审计部门的工作性质决定了审计对象往往是自己的平行部门甚至是上级部门的业务，这导致监督检查工作很难顺利展开，甚至各部门自检自查的报告都不会如实上交，可以想见，这种无法独立于行政权利之外的身份给审计工作带来了巨大的困难，很多高校内审工作无法真正展开，根源便在于此。

2. 审计人员专业性不足

高校审计人员专业集中在财务、审计等方向，且人数较少，结构单一。如前所述，高校的资金来源和业务范围不断多元化，内控环境发生了巨大的变化，审计项目和内容不断增加和扩大，审计人员的专业技能和知识更新明显滞后于这种快速的变化。

另外，虽然高校已经开始将风险导向植入内部控制审计的要求中来，但是审计人员的风险意识并未能真正树立起来。这导致的结果是一方面审计人员并未真正重视和投入到风险管控的工作中去，另一方面他们目前的专业能力也难以精准识别并评估复杂风险，这都进一步削弱了风险导向下内部审计工作的效能。

四、风险导向内部控制审计的改进建议

（一）优化审计流程框架，体现风险管

1. 审计时点前置，实现风险预警

审计时点前置，其本质在于风险预警，是在传统的事后审计基础上增加更为主动的以防范风险为目标的事前事中审计。具体来说，可以通过对现有的内部控制机制进行梳理和分析，结合历史数据和过往案例发现内控机制中重要和关键的风险点，并提出优化的方法，积极主动地帮助高校管理层健全内部控制制度和完善管理；或者在重大决策和业务开始之前，寻求审计人员的帮助和把关，由审计人员参与查找漏洞和风险，提供事前审计建议，如在签订重大采购合同或出包工程合同之前，由审计人员参与合同和工程人员资质审核等，以弱化未来可能发生的风险；最后，还要更加重视审前规划，投入精力用于风险点的分析评估、审前调查等工作，以提高后续的审计效率，实现更佳的审计效果。

2. 加强后续审计，打造闭环流程

第一，反馈和转化。已经完成的风险评估报告和审计报告应当及时、全面和透明地向被审计单位、高校管理层进行反馈，并将报告结果转化为改进内部控制机制的方法和优化措施，就此方法措施进一步征询各方意见，形成具有现实性和可行性的具体方案。

第二，跟踪监测。对各单位的整改情况和内控机制优化的情况进行持续的跟踪监测。具体来说，可以通过对相关人员的后续问卷调查、高校职工和学生的走访调查以及数据情况的分析来进行。

第三，风险再评估。对整改和优化后的内控制度进行持续的风险再评估，重新调整该风险点发生的可能性、影响程度等，决定是否在下次审计中是否仍然纳入重点审计对象，实现审计闭环。在这个过程中，需要关注新情况发生的可能性，以及老业务会不会发生新的风险。

（二）准确进行风险点识别和评估

1. 梳理内部控制业务

要想正确识别内控制度中的的各风险点，前提条件是对高校内控业务机制和流程的准确把握，这要求审计人员对各被审计单位的组织机构、内控制度、人员职责等等实际情况都足够熟悉并对业务流程进行精细化的梳理，这样才能找出各控制和管理环节中相互矛盾、不足或重复的关键风险点。在这个过程中，可以结合以往的不良案例分析，并尽量不要有所遗漏。

2. 定性和定量分析相结合

在现有的各种座谈、经验总结等等主观定性分析的基础上，增加比较分析、回归分析，层次分析、德尔菲法等定量的方法，根据具体情况的不同分析各风险发生的概率、损失金额、权重等等，将风险进行量化再据此评估不同风险点的等级。尤其是在财务风险方面，可以大量采用定量方法，而在部分内控制度遵循与管理方面采用定性的方法，分析事件影响程度，做到定性和定量分析相结合【4】。

3. 充分利用信息技术

定量分析需要使用大量的历史和现有数据资料，因此大数据和信息系统的应用在风险识别和评估以及整个内审业务流程中都显得尤为重要。对此，在已经实现高水平信息共享系统的高校，可以考虑在系统中加上审计模块，或者考虑直接构建高度共享的内部审计数据平台，实现审计部门和其他部门的协同合作、信息公开以及信息数据的互联共享功能，通过信息系统发现大量数据之间可能存在的各种联系。另外，可以通过记录和更新风险数据，形成风险数据库，有利于持续性的风险识别和评估，并实现风险数据自动汇总整理、风险预警报告等各项功能。

（三）审计机构和审计人员的专业性提高

1. 提高审计机构独立性

独立性是保证高校内审工作公正性和专业性的前提。审计机构的独立性需要从三个方面进行，即部门独立、经费独立和人员独立。部门独立可以考虑提高审计部门的机构层次，使其隶属于更高的级别，保证不与其他部门合并办公；人员独立，首先审计部门由高校领导直接分管，负责人可以由高校领导层直接任命，主要审计人员应为专任审计，审计人员与其他部门人员要明确区分开；经费则应单独列支，不能将审批发放的权利交由其他部门掌握。

2. 提高审计人员的专业性

风险视角下高校内部控制审计给审计人员的专业素质提出了更高的要求，除了具备相应的财务、审计知识外，审计人员还应该强化风险意识、熟悉本校内部控制制度和流程、熟知各种法律法规、市场行情、工程建设、采购等专业知识。高校可以考虑在督促审计人员不断提高专业水平、扩展知识领域、加强风险识别评估能力的同时采取以下措施：

（1）专职和兼职结合

在保持主要审计人员为财务审计专业的同时，吸纳更多其他领域的人才，加入兼职的信息人员、法律、工程、采购等专业的相关人员。这些兼职人员可以负责某一项具体的审计业务，也可以仅负责某一项审计业务的某一个流程，甚至只负责对主要审计人员提供咨询和专业帮助。高校本来就有广泛的专业教师基础，这为这种结合提供了可能性。

（2）内审人员和外部人员结合

通过聘用外部审计机构或其他相关中介机构人员参与学校的内审工作，一方面可以弥补内审人员经验不足、专业能力不高的缺点，另一方面内部审计人员还可以参与到外审人员的审计流程中去，从中得到学习和积累。此外，外审人员还可以对内审人员的审计工作进行评估并帮助建立高校内部审计的质量评价体系。

参考文献

[1] 舒孝永 . 基于风险导向的高校内部控制审计探讨 [J]. 湖南工程学院学报，2016（9）：45- 49.

[2] 蔡婷婷 . 风险导向下的高校财会内部控制优化研究 [J]. 财会学习，2024（8）：161-163.

[3] 张敏 . 风险管理视角下高校内部审计优化探究[J]. 投资与创业，2023（2）：174- 176.

[4] 周旭枚 . 基于风险导向的高校内部控制审计模式研究 [J]. 博士论点，2018(7).113- 116.

作者简介1：. 李月（1977 年1 月），女，汉族，江苏徐州人，主要从会计和审计研究。作者简介 2：. 郝晓燕（1974 年 2 月），女，汉族，内蒙古赤峰人，主要从事会计和审计研究

基金项目：科学技术学院 2025 年校级教科研项目、基于风险导向的高校内部控制审计研究、2025B12