高校风险导向内部审计是高校审计人员通过对高校风险的规划、识别、评价、处理和监控的测试,对风险提出审计评价与建议的一种内部审计模式,目的是对风险程度及管理情况作出专业判断,以实现高校运营目标。
从上世纪90 年代到现在,风险导向内部审计在西方国家的应用已取得了一定的成绩,国内一些高校刚刚运用,但大多高校停留在理论研究层面,仍然采取账项基础审计和制度基础审计,对于风险未予重视,只是等事故发生以后才寻找风险点。我国风险导向内部审计未出台其具体制度规范,高校风险导向内部审计工作也无据可依,无法可循。分析高校风险导向内部审计存在的问题,有效推进风险导向内部审计的应用与发展,成为高校内部审计中的一项重要课题。
一、高校内部审计独立性不足
审计计划制定不合理。根据审计独立性的标准,确定审计范围不应该受外界干扰,审计人员应独立判断,确立审计计划。实际上,大多数高校内部审计机构在确立审计计划时大都听从校领导或者本单位负责人的意见,并未从真正需要和理性分析出发。例如,经济责任审计的计划制定往往并不是领导离任后就进行审计,而是拖了很长一段时间,等校领导指示了再进行审计,这就违背了经济责任审计的初衷。内部审计人员在制定审计计划时完全不能独立地进行判断分析,这给高校的管理也带来了一定的风险。
审计实施不合规定。高校的内部审计机构发出审计通知书,按规定审计通知书发出三日后进行审计。但由于内部审计机构的独立性不足,难以引起被审计单位的重视,往往拖了又拖。在审计过程中,由于对内部审计的不认可,被审计单位配合消极,甚至有抵触情绪,表现在提供资料不及时不全面,回答问题不真实不可靠,这就大大加大了审计的难度,最终导致审计不到位,发现不了问题,也就无法真正发挥审计的作用。
审计建议难以落实。审计结束后,内部审计机构会出具审计报告,其中最为关键的就是审计建议,是审计人员根据审计中发现的问题所提出的审计整改措施。被审计单位拿到审计报告后往往束之高阁,对本单位所存在的问题不会进行整改。内部审计人员的辛苦工作付诸东流,一定程度上削弱了审计人员的积极性,形成了恶性循环。
长此以往,内部审计机构就成了高校可有可无的机构,人们往往不会重视,内部审计机构的独立性就更无从谈起。
有的高校没有审计意识,不设内部审计机构;有的是在财务部门下设审计科,由财务人员兼职审计,职能侧重点在于财务监督; 有的设监察审计处,与纪检、监察部门合署办公,专职审计人员较少,且大部分时间处理纪检监察工作,职能侧重点在于纪检监督; 独立设立受校长直接领导的审计机构不多。人们往往认为审计就是监督,监督就是审计,本着这种观点,使得他们对审计比较抵触,总是把审计与财务监督、纪委监督联系在一起,忽视了审计的评价鉴证职能。我国高校内部审计的职能往往只停留在监督层面。这种内部审计机构的设置是导致内部审计独立性不足的一个内在根本原因,也是一个难以解决的实际问题。
高校内部审计独立性不足也在于其领导体制。财务部门领导直接负责管理,审计科向财务部门领导直接汇报工作,由财务部门领导作出最后的决定,这种模式下的审计毫无独立性可言。校长负责、纪委书记协助管理的领导体制,审计实际工作由纪委书记管理,易使人们认为审计是帮助纪委查处违法案件的助手,对于审计存在抵触情绪,认为审计工作的开展会导致职能部门之间的矛盾并阻碍学校的发展,因此,审计部门开展审计工作时往往会受到排斥,其独立性也会受到影响。校长直接负责的领导体制,审计部门直接向校长汇报工作,其出具的审计报告会直接交由校长审阅,人们对审计部门比较重视,对待审计工作会比较认真并积极配合,这就在一定程度上保护了审计人员,其独立性也得到了一定的保证。但这种领导体制在高校中很少。
高校内部审计独立性不足还在于审计人员缺乏独立性。内部审计人员的人事升迁权、工资福利权及奖惩权都由所在单位掌握。被审计单位是审计部门所在学校的一部分,审计部门的领导往往出于自身和本单位利益考虑,会对审计中发现的问题进行区别对待,干扰审计人员独立客观公正地开展审计工作。而内部审计人员迫于压力,在出具正式审计报告前,通常要向本单位领导汇报相关内容,取得领导的认可,最终的结果就是审计报告只反映最表面的现象,停留在审批手续不完备、报销不合规等问题,真正涉及财务管理问题的往往会被忽略。甚至审计部门的领导会从自身利益出发,直接要求内部审计人员放水。内部审计人员的独立性丧失,不能实现自己的业务价值,其积极性受到了极大的影响,导致对内部审计消极应对。
我国高校内审机制大多实行的是校长领导下的纪委书记负责制,内审部门既对校长负责又对纪委书记负责。在履行职责时,其工作就有可能受到本级领导的干预,其独立性和权威性就会受到削弱,严重影响了内审职能作用的发挥。
改革目前的内审管理模式,要逐步建立完善垂直派驻制。垂直派驻制是指由上级审计机关派驻专业人员到各总机构担任内审人员,分支机构由总机构派驻,一级一级实行垂直领导。内审人员不受本单位行政领导的干预,直接向上级委派机构负责,以保证内审人员执行业务的独立性、权威性。
二、高校风险意识淡薄
我国高等学校大多是事业单位,以国家为投资主体,具有非盈利性,高校管理层往往没有把高校看作是一个独立的法律主体,作财务决定时比较随意主观,往往不会经过仔细评估,而是几个领导碰头就拍板,从而导致了高校的财务风险。近年来,我国许多高校进行大规模扩建,以便扩大招生规模,他们往往不是量力而行,而是盲目地追风。资金不够就四处借款,这就导致了高校的负债风险。我国高校校长执行的是任期负责制,往往一个校长任期内贷款金额较大,没有还清或者没有还,等到另一个校长上任时必须继续还贷款,这就在一定程度上加剧了高校的贷款风险。高校风险意识比较淡薄,其原因在多方面。
管理层风险意识淡薄。我国大多高校属于事业单位,管理层的奋斗目标定位在教学科研上,往往会忽视风险管理。在他们看来,学校无需参与市场竞争,学校做得好与不好都没有多大关系,主要就是要把学生教好,多出科研成果,学校的运作毫无风险可言,除了招生、财务、人事几个关键部门,其余的单位和院系是不可能出问题的,根本不需要大张旗鼓地进行风险管理。更有甚者,觉得高校进行风险管理就是浪费时间,浪费金钱,走走过场就行。高校管理层的这种风险意识直接影响了学校的各个部门及职工,由于学校领导的不重视,职工就不会把风险管理当回事,这就导致了整个学校的风险意识淡薄。目前,我国高校管理层大多没有把风险管理作为全面系统的工作来抓,最多的局限于财务招生等关键部门。全局风险意识很淡薄,这是我国高校风险意识淡薄的一个重要原因。
风险管理文化滞后。2008 年《内部审计实务指南第4 号高校内部审计》规定: 高校内部审计是指高校内部审计机构和人员通过对学校与资源利用有关的业务活动及其内部控制的适当性、合法性和有效性的审查,并进行确认、评价、咨询,旨在促进完善管理控制、防范风险、创造效益,从而促进学校事业目标的实现。这个定义突出了防范风险在高校内部审计中的重要性。组织的文化反映了组织的追求和愿景,良好的文化有利于增强内部凝聚力,影响组织内人员的风险意识和内部控制活动。高校文化是指在一定的历史条件下,高校管理活动所创造的具有高校特色的精神财富,包括文化观念、价值观念、行为准则、高校制度等。其中价值观念是高校文化的重要核心,风险管理是价值观念的一个重要组成部分,构成了高校文化的一部分。而高校风险管理文化的滞后是导致风险意识淡薄的源头。目前,我国许多高校风险管理文化构建滞后,甚至没有风险管理文化,由于没有这种文化氛围,教职工的风险意识就比较淡薄,风险管理也就失去了肥沃的土壤,在一定程度上制约了风险管理的发展。
风险管理体系缺失。就高等院校而言,风险管理体系通常包括偿债风险管理、运行风险管理、盈利风险管理和发展风险管理。具体来说,偿债风险管理主要是选取偿债分析指标进行管理,包括负债比率、利息保障系数、潜在支付比率和收入负债率。运行风险管理主要是选取运行能力分析指标进行管理,包括学费收缴率、预算执行比率、公用支出比率和自筹收入能力比率。盈利风险管理主要是选取盈利能力分析指标进行管理,包括净资产收益率、教学科研性资产收益率和职工人均贡献率。发展风险管理主要是选取发展能力分析指标进行管理,包括总资产规模增长率和净资产增长率[3]。我国大多高校往往不是积极主动地开展风险管理活动,比较被动消极,都是等问题出现了再进行风险管理。风险管理往往一时兴起,想到哪就做到哪,完全凭着个人的主观意识进行,不是按照风险规划、识别、评价等管理程序进行,原因在于我国高校风险管理尚未形成体系,学校各个部门及各个院系未全面展开,仅仅局限于人财物等重要部门,而这些关键部门的风险管理比较零散表面,并没有深入到风险管理的真正层面,往往是出现问题了才开始查找风险点。
针对高校风险意识淡薄的问题,笔者认为必须构建全面风险管理体系。只有对风险做到全面管理,才能准确地找出风险点,并对风险大小进行量化,从而正确地识别风险。在此基础上,拟定科学的风险导向内部审计计划,可以使内部审计工作有条不紊地进行,不再像以前那样盲目。构建全面风险管理体系可分为五个步骤:
第一,收集风险管理基本信息进行风险识别。通过访谈、函件问卷、讨论、调研、收集事件、召开会议、报告交流等方式,明确各部门和各院系的业务流程、岗位职责和风险事件,形成风险事件数据库。风险事件数据库主要由各单位各部门的业务流程图、管理制度汇编和岗位职责综述构成。在此基础上,进行风险的识别,并在全校所有部门和院系展开。
第二,进行风险评估。其评估工作有四项,即填制风险数据库相关信息、做风险矩阵图、编制风险列表和建立风险评估模型。风险矩阵图是根据风险成本( 分为较小、小、中等、大、极大五个级别) 和风险概率( 较低、低、中等、较高、高五个级别) 两个因素制作而成的矩阵图。风险列表是根据风险矩阵图中的风险指数排列编制而成。风险评估模型主要是因果分析模型,按风险成因划分风险事件。
第三,制定风险管理策略。具体工作就是填写风险数据库上的对策一栏。制定风险管理策略应从效益与成本最优化的角度出发,有风险承担、风险规避、风险转移、风险转换、风险对冲、风险补偿和风险控制七种风险管理策略。
第四,制定和实施风险管理指引及解决方案。其主要工作是编制风险数据库中解决方案的内容。解决方案的内容通常包括风险监控指标及报告频率、现有管理措施和改进措施等,其编制要领: 一是对控制风险涉及的面一定要全,二是要执行现有的风险管理制度,没有该制度的高校,要抓紧制定并形成配套制度。
第五,风险管理的监督与改进。监督的对象是风险管理初始信息、风险评估、风险管理策略、风险管理解决方案与关键控制活动,监督的重点是重大风险、重大事项和重大决策、重要管理及业务流程。
三、高校审计技术手段落后
审计技术手段是决定风险导向内部审计工作能否顺利开展的决定性因素。目前,我国内部审计工作仍停留在手工操作上,审计技术手段比较落后,主要表现在:
审计信息技术落后。20 世纪90 年代以来,随着信息技术的高速持续发展,人类社会的信息系统日益复杂化、多样化和网络化,信息和信息技术必将成为风险导向内部审计的主要内容。因此,审计信息技术发展好坏制约着风险导向内部审计的应用。目前,我国大多数高校的内部审计工作运用计算机辅助的比较少,仍然停留在手工操作上。一般来说,内部审计最重要的工作就是搜集审计证据,形成审计工作底稿,以佐证审计结论的准确性。由于国内大多高校没有审计软件,对于审计所需的相关信息没有建立数据库。大多数高校对其下属的各部门和院系实行的是统一拨款、统一管理的制度,即由学校下拨行政经费到各部门和院系,各部门和院系使用经费时要到学校财务处报销登记。高校内部审计工作人员要了解被审计单位的财务状况,必须到学校财务处进行相关的取证,到被审计单位调阅纸质材料进行整理分析。这需要花费不少的时间,降低了工作效率,有时甚至直接影响审计工作的效果。
风险评估体系缺乏。对于风险的衡量,高校缺乏一套科学规范的评估标准和体系,这使得高校内部审计人员在考量风险时,无据可依,往往很难客观定量地评价风险,从而加大了风险导向内部审计工作的难度。高校内部审计人员基本上都是把当前的财务数据与前几年的进行比较,最多算出增长率或者几个财务综合比率,很少对整个财务状况进行深入分析,更不会采用时间序列分析、回归分析法和统计调查规则,这样一来,对风险点的查找只限于主观思考,并不能以有效的分析作为依据。找出风险点后,关于风险大小的衡量更是令内部审计人员头疼的一个重大难题,由于目前我国大多数高校尚未建立起客观的风险评估体系,内部审计人员往往只能将目光投向学校的几个关键部门,即学生处、财务处、国资处等,主观认为这些部门的风险较大,这样就忽略了一些潜在的风险,譬如有些院系也存在着这样或那样的风险,但是往往被忽略了,最后导致问题的发生。
风险导向内部审计流程不清晰。风险导向内部审计的流程框架是风险导向内部审计工作的灵魂,是风险导向内部审计工作能否顺利开展的关键点。我国大多数高校目前尚未开展风险导向内部审计工作,有的学校即使开展了,也仅限于表面,没有建立清晰完整的风险导向内部审计流程。目前,我国对于风险导向内部审计的流程尚未形成统一的标准规范,大多数高校无据可依,仍按照内部审计的一般流程进行,没有考虑风险导向内部审计工作的特点,即风险相关性。对于风险的识别、评估及措施没有很好地体现,这样一来,风险导向内部审计工作就不能很好地开展,影响了风险导向内部审计工作的效果。
在IT 技术彻底变革了传统管理模式的今天,我们应该用IT 技术来完善变革我们的审计模式。通过构筑风险导向内部审计信息技术平台,加快审计信息手段的发展,促进风险导向内部审计的应用。风险导向阶段的内部审计应该突破单纯的、事后的传统方式,逐步实现审计过程的三个转变: 从单一的事后审计转变为事后财务收支审计与事中、事前的管理效益审计相结合; 从单一的静态审计转变为静态审计与动态审计相结合; 从单一的现场审计转变为现场审计与远程审计、非现场审计相结合。
审计信息化手段可以使内部审计人员及时地审查高校的各种信息,并进行随时监控,从而促进评估风险及事前、事中、事后审计的开展。同时,审计信息化手段也可以通过远程操作解决由于高校跨国、跨区域经营导致的地域分散、审计资源难以集中的问题。
要改变审计技术手段落后的问题,应从构筑风险导向内部审计信息技术平台着手解决。我国高校内部审计机构应积极开发和引进审计信息技术,建立高校之间的沟通平台,以实现审计工作的信息化。高校内部审计部门可以配备专门的信息技术人员建立审计数据库,通过网络和学术交流、课题研讨等方式加强审计信息技术的经验交流,构筑审计信息技术的沟通平台。