现代大学风险管理和审计服务研究

赵红卫

摘要：大学风险管理和审计服务是现代大学组织重要的功能要件，在现代大学治理中有着不可或缺的职能和作用。世界高等教育强国著名大学都非常重视构建完善大学风险管理和审计服务体系，并且积累了宝贵的经验可资借鉴。哈佛大学学校层级的法人治理结构和权力制衡构架、部门层级的风险管理组织架构和职能架构，以及丰富人性化的风险管理和审计服务资源策略，是哈佛大学风险管理和审计服务的重要特征。研究哈佛大学的风险管理和审计服务，对于丰富我国大学风险管理和审计服务理念，提升我国大学风险管理和审计服务实践的实效性，具有重要意义。

关键词：哈佛大学；大学治理；风险管理；审计服务

一个运行良好的高等教育系统是经济增长和繁荣的先决条件；反过来，持续的经济增长与繁荣又为高等教育发展提供了源源不断的资源供给。随着我国财政性教育经费支出占国民生产总值4%目标的實现及超越，各级政府对高等教育的资源投入近年来持续大幅增加，教育部直属高校年度决算动辄突破百亿元，地方性普通本科院校年度决算达数亿元亦属正常。以教育部直属高校2015年度决算为例，清华大学205亿元，浙江大学156亿元，北京大学140亿元。[1]尽管如此，我国高等教育资源的供需矛盾仍十分明显，当前高等教育资源的巨额投入与高等学校的强劲需求之间仍存在很大差距。

与此同时，近年来发生在高等学校的经济腐败、资源滥用和资金浪费等现象屡见不鲜，已经公开的相关事件让人触目惊心，为此而受牵连的领导干部和教师学者的遭遇更令人扼腕痛惜。痛定思痛，高等学校作为高等教育资源主要的终端受托者和消费者，理应主动构建完善的风险管理和审计服务体系，有效应对资源配置和资金管理过程中一系列风险和复杂问题，确保高等教育资源的安全、完整、效益、增值。这不仅是高等学校必须面对和急需解决的重大难题，是高等学校义不容辞的责任担当和使命承载，同时也是保障高等教育可持续健康发展，促进实现高等教育治理体系和治理能力现代化应有的理论和实践义项。

世界著名大学历经数百年的历史嬗变，逐步发展形成了一套有效的风险管理和审计服务体系，并根据大学风险管理需要仍在不断修订和完善，积累了丰富的宝贵经验。哈佛大学被公认为是享誉全球最顶尖的高等教育机构之一，同时也是美国历史上第一所高等教育机构，办学资源充盈，资金实力雄厚，2000年以来实现总收入持续增长，从2003/2004学年的26亿美元增长到2015/2016学年的47.8亿美元，2015/2016学年实现总支出47亿美元。[2]面对如此巨额的资金收支，哈佛大学通过不断完善大学法人治理架构，有效构建大学风险管理和审计服务体系，不仅在保障资产安全完整、促进资金效益提升方面显示其突出成效，同时极大彰显了其推动大学可持续发展的自身价值，为世界各国大学树立了典范。

一、大学风险管理和审计服务的组织基础

为应对日益复杂的内外部环境和不断增加的管理运营风险，哈佛大学通过不断完善学校层级的大学法人治理结构和资源权力制衡架构，适时调整部门层级的风险管理组织架构与职能架构，为大学有效制衡权力、应对风险管理奠定了科学合理的组织基础。

（一）大学法人治理结构

科学合理的大学法人治理结构是现代大学治理的重要前提和基础。缺乏这个前提和基础，大学治理将如无源之水、无本之木。

1636年，哈佛大学的前身哈佛学院成立，成为全美第一所高等教育机构。1650年，哈佛大学获马萨诸塞高等法院批准成立法人机构，其后历经近四个世纪的嬗变，形成了现在较为稳定成熟的法人治理结构，如图1所示①。根据哈佛大学特许状，哈佛大学形成两个治理委员会（governing board），分别是哈佛大学法人团（Corporation）和监事会（Board of Oversees），组成哈佛大学的最高权力机构，两个委员会互补互助，共同履行相当于受托董事会的职责。

哈佛大学法人团（Corporation）承担有关大学学术、财务、物质资源及全面声誉的职责，致力于大学长期的战略、政策和计划，以及大学的特殊交易事项。同时，哈佛大学法人团作为校长决策重要事项时最信任的参谋团，还要与各学院院长、副校长等就广泛的项目和计划进行商议，同时批准大学的预算、主要的资金项目、捐赠支出、学费变化等其他事项。自2010年12月开始，根据治理委员会的建议，哈佛大学法人团成员人数从最开始的7人扩增到13人。哈佛大学监事会（Board of Oversees）共32人，由校长、财务主管作为2名当然成员（serve ex officio）和其他经推选的30名成员组成。推选的30名成员中，每年要保证从8名或更多的候选人中推选出5名新成员进入监事会，这样6年完成一轮成员更新循环。监事会成员依靠广泛的经验和专业技术，能够有效影响学校的战略方向。监事会下设50个左右的巡视委员会，旨在能够更多、更全面地发现大学发展中存在的问题，50个巡视委员会受监事会的监察并向监事会报告，完成监事会大部分的监察职责。[3]

（二）资源权力制衡架构

制衡意味着以权力约束权力，以透明保障知情，以制度限制权力，彰显显规则，遏制潜规则，最大限度地减少权力在行使过程中的随意性。该原则贯穿美国大学治理的政策和实践。[4]哈佛大学除了大学法人治理结构外，在学校层级的资源决策配置方面，形成了复杂的资源权力制衡架构。

哈佛大学成立有专门的风险管理和审计服务部门（Risk Management and Audit Servers，以下简称RMAS），在哈佛大学全校组织构架中处于第五个层级（图1中校长层级以下用粗黑线框示）。从图1中可以清楚地看出哈佛大学风险管理和审计部门在整个哈佛大学组织架构中的层级脉络。在风险管理和审计服务办公室之外，同时分设财务战略、战略采购、资助项目、资金管理、投资计划等不同部门，使哈佛大学的财务管理和资金配置权责同时受多个部门的约束制约。同时，通过监事会下设的50个巡视委员会，使得哈佛大学的监管能够渗透到大学日常运营业务内部，起到重要的支撑和保障作用。endprint

（三）调整完善组织架构

除了在学校层面有权责清晰的法人治理结构和资源权力制衡架构外，哈佛大学旗下各职能部门亦非常重视部门层级组织架构的构建，同时根据管理需要进行适时调整和完善，并及时对外发布。哈佛大学风险管理和审计服务（RMAS）部门就于2016年10月10日对外发布了调整完善后的新组织架构，如图2所示②。

首先，从哈佛大学风险管理和审计服务部（RMAS）报告责任看：调整前，哈佛大学风险管理和审计服务部（RMAS）受财务副校长兼财务总监（VFP&CFO）直接领导开展相关工作，向其负责并报告；调整后，哈佛大学风险管理和审计服务（RMAS）同样受财务副校长兼财务总监（VFP&CFO）直接领导，但需要同时向财务副校长兼财务总监（VFP&CFO）、常务副校长（EVP）和监察联合委员会（JCI）负责并报告。通过调整前后对比就可以看出，風险管理和审计服务（RMAS）肩负的报告责任趋向多元化，并且重心上移，突显出该部职能的日趋重要性以及其在哈佛大学整体组织构架中的重要地位。

其次，从哈佛大学风险管理和审计服务部（RMAS）岗位设置看：该部门设置了主任（Director）和执行助理（Executive Assistant）两个部门领导岗位，主任领导和负责本部门的所有工作。调整前，该部门共设置风险战略与保险（RS&I）、信息系统审计（ISA）、财务/业务和合规审计（FOCA）、风险与合规服务（R&CS）四个工作组；调整后，保留了风险战略与保险（RS&I）、风险与合规服务（R&CS）两个工作组；将信息系统审计（ISA）与财务/业务和合规审计（FOCA）两个工作组合并，成立新的内部审计（IA）工作组，突出内部审计组织建设；将原来FOCA中的基建审计独立出来，成立单独的基建审计（CA）工作组。在该部门岗位设置调整前后，可以清楚地了解到每个岗位的上下级关系、员工姓名、职务、职责范围和联系方式等具体详细信息。

（四）整合明晰职能架构

哈佛大学风险管理和审计服务部门通过提供风险战略与保险（RS&I）、风险与合规服务（R&CS）、内部审计（IA）、基建审计（CA）四个职能工作组的服务，促进大学识别、管理和减轻风险。

首先，该部门最新公告的组织架构中，重点整合并突出了内部审计的组织建设。根据美国内部审计师协会（Institute of Internal Auditors， IIA）的定义，内部审计是指一种独立、客观的保证和咨询活动，旨在增加价值和提升组织的运营效率。内部审计师的职责包括监控、评估和分析组织的风险和控制，审核和确认信息与遵守政策、程序和法律。通过与管理部门的合作，内部审计师需提供给董事会、审计委员会和执行人员有关组织的风险状况、治理的效率与效益。如果有改进空间，内部审计师需提出改进的建议。[5]

调整后的内部审计（IA）工作组包括财务/业务和合规审计（FOCA）、信息系统审计（ISA）两个工作小组，是哈佛大学风险管理和审计服务（RMAS）四个工作组中最重要和最大的一个组。合并信息系统审计（ISA）工作组后，工作人员由原来的8名增加到12名。内部审计工作组的职责是保障整个大学的财务和业务控制适当和有效，审计范围包括从小的系部到大的学院，以及特别部门和大学业务流程。审计目标是通过客观和专业的评估，识别低效和控制缺陷，提供改进建议，为大学每一个职员提供有益的服务。信息系统审计（ISA）又称集成审计，是利用控制信息和相关技术目标框架（COBIT框架），将财务和业务控制审计整合为一个审计信息系统。通过整合IT治理、信息系统、整体审计、控制自评和合规审计等过程，能评估大学的活动目标是否恰当地与信息系统相关联，确保信息资产受到保护、可靠、可用，并且遵循大学的政策和规程。其审计范围覆盖大学业务活动的申请、审批、业务和网络系统，体现了国际通行的以信息系统审计为主要手段的内部审计发展趋势。

其次，哈佛大学重点关注五个风险领域：合规风险、财务风险、业务风险、生命安全风险和学校声誉风险。哈佛大学风险管理（RM）整合了风险和合规服务（R&CS）、风险策略与保险（RS&I）两个风险管理工作组，它们在职责分工方面清晰明确、各有侧重，风险和合规服务（R&CS）工作组负责主动识别风险并评估这些风险对大学的潜在影响；风险策略与保险（R&CS）工作组负责采取积极的方法使得大学能在风险发生之前做出明智的业务决策，根据不同的环境，大学可以选择避免风险或承担风险。两个工作组共同履行哈佛大学风险管理（RM）职能，结合内部审计（IA）工作组工作的开展，大大拓展了哈佛大学风险管理的职能边界。

最后，调整后的风险管理和审计服务组织架构，将原来财务/业务和合规审计（FOCA）工作组中的基建审计职能独立出来，成立专门的基建审计工作组，直接向部门主任负责并肩负报告责任，强化对基本建设和维修项目的风险管理，体现了哈佛大学对大额资金运营风险的重点关注。

二、大学风险管理和审计服务的资源保障

哈佛大学风险管理和审计服务资源非常丰富，除了遵循和完善大学内部财务、审计、内部控制等制度体系外，同时提供多种资源渠道，如建立在线服务门户、介绍典范实践项目、开通匿名报告系统、提供教育培训服务等，调动校内教职员工和校外利益相关者积极性，参与哈佛大学民主管理和社会监督。通过这些途径的实施，将大学利益相关者参与大学民主管理和监督的主观积极性转化为有形的现实实践，更好地提升大学风险管理和审计服务的整体水平。

（一）建立在线服务门户

哈佛大学风险管理和审计服务部管理着数个不同的自服务门户，可以为哈佛大学教职员工提供即时的在线风险保险服务。哈佛大学在线自服务风险管理系统包括保险证明、债务请求权、建筑物保险请求、汽车服务请求、财产设备保险请求、职业债务保险、国际保险、收藏展览保险等模块。[6]通过建立在线服务门户，不仅能够主动提供和尽量满足教职员工的风险服务需求，还不断致力于促进哈佛教职员工享受这些服务的权利意识，使哈佛教职员工意识到自己有权使用这些服务和程序。endprint

（二）介绍典范实践项目

哈佛大学风险管理和审计服务的目标之一是促进大学在业务、学术、研究活动中的最佳实践。通过介绍典范实践项目，为哈佛大学提供了在财务、信息技术等方面的一系列政策、环节、指引。

在财务实践方面，哈佛大学典范实践项目几乎涵盖了涉及学生和教职员工资金风险方面的典型范例，包括账户对账、现金收入、采购卡、零用现金、外部审计准备、受限的礼物项目、学生组织财务、旅行和报销等方面。当发生与学校提供的典型范例相同或相关业务时，学生和教职员工可以借鉴这些典型范例的处理方法和程序，减少由于业务陌生而可能引起的潜在财务风险。[7]

在信息技术方面，哈佛大学提供了变化控制、信用卡交易、桌面用户技巧、身份管理、软件许可等方面的帮助。在每一个帮助项目下，都有该项目内容的详细介绍。如通过变化控制项目，可以帮助管理人员识别、证明和批准IT环境变化的程序，从而将信息系统破坏、未经授权修改和错误的可能性降至最低。[8]

（三）建立匿名报告系统

群众的眼睛是雪亮的。群众的眼睛在某种程度上是一种非常重要的风险识别资源，特别是在民主管理与社会监督方面作用更为突出。哈佛大学认为，反映大学价值观念的道德和合规行为，对于为哈佛大学的学生、教师、员工和参观者提供一个安全可靠的环境是非常重要的，对于大学里所有人的幸福和对大学的幸福同样重要。因此，每个人对自己所关注的事情发出声音是献给哈佛大学的一份礼物。

如何对群众的眼睛这一风险识别资源有效地引导并加以利用，一直是相关管理部门面临的一个难题，哈佛大学在解决这一难题方面提供了宝贵的经验。哈佛大学为鼓励每个人表达自己对大学公共事务的关注，为哈佛大学献礼，建立了一个匿名报告热线系统，提供给每个人以匿名的方式报告自己所关注的事件的机会。匿名报告系统用于获取每个人报告各式各样的关于道德的、正直的、安全的、保安的以及合规的等方面的关注事件。任何人都可以使用匿名报告热线，包括但不限于学生、教师、员工、父母、供应商和合同方。匿名报告热线实行7天24小时运行，而且由独立的第三方负责运行，提供完全免费的电话和在线提交报告两种报告方式。匿名报告热线意味着，当你觉得不方便与监察人员沟通或使用其他办法时，就可以通过匿名热线系统提交匿名报告，可以报告的内容包括但不限于以下方面：歧视事件，利益冲突，环境卫生和安全关注，欺诈/盗窃，会计错误，不恰当的病人照护，国际或当地的医药、安全和保安事件，滥用大学的资源/资产，法规遵循，性骚扰或攻击，涉及未成年人的滥用、渎职或其他不恰当行为的哈佛可疑案例，违反法律、合同或大学规章。[9]

（四）提供教育培训服务

哈佛大学的风险管理不仅着眼和服务于当下如何认识和应对风险，更放眼和服务于未来如何预防和缓解风险，注意积累并提供了大量的内部和外部资源，致力于风险教育和培训服务。

该专题覆盖的范围涵盖了一般概念到特殊的风险揭示，以及可选择的缓解风险方法等。比如哈佛大学的风险管理委员会提供一个论坛，用于识别、讨论和解决哈佛大学面临的主要风险，提供的建议内容主要包括：介绍大学是如何确保教师和职员意识到他们作为哈佛大学的一员应有的法律和道德责任；应该采取哪些步骤建立大学的行为规范；如何协调和发布关于培训、失察和内部控制，特别是服务规则的信息等。[10]通过风险教育和培训，帮助处于风险中的人更好地了解他所在组织当前的风险水平和风险管理成熟度。

三、哈佛大学风险管理和审计服务借鉴与启示

（一）大学董事会成员的公益性特征

从哈佛大学治理委员会的成员构成看，与美国其他大学的董事会成员一样，除了校长和财务主管等当然成员（serve ex officio）外，董事会成员均来自大学外部。美国大学董事的角色是外部的内部人（Outside Insides），主要由校外的各界代表组成，代表社会公众利益和州政府高等教育的整体福利。[11]

美国大学董事会成员为大学的非全职人员，不会有薪水，很多董事参加董事会会议甚至没有交通补助。美国大学董事会成员，都深信公立高等教育系统比其他任何类型的组织更能影响下一代人，他们都发自内心地想为大学管理做出自己的贡献，希望通过大学的管理和决策带给社会公益回报，一般都会由衷地将成为大学董事看作是一种很高的荣誉和对知识的承诺，他们乐意与具有同样看法的人一起工作，将自己能参与大学管理作为自己能够服务大学的公共义务。[12]因而，成员参与董事会具有高度的公益性特征。正是因为美国大董事会成员的自觉自愿和不求回报地参与大学管理和决策的公益性，才使得美国大学董事会成员与美國大学之间较少有利益冲突，对大学的管理决策不会受个人或团体利益而左右，保持了大学重大管理决策的客观公正性。更重要的是，这样的公益性和客观公正性为大学的风险管理和审计服务奠定了良好的制度基础。

（二）慎重选聘风险管理和审计服务主管

关键少数对于治理国家和治理大学同等重要，大学的风险管理和审计服务部门负责人无疑对于大学管理属于关键少数。“为政之要莫先于用人”，选人用人工作重要、敏感，涉及面广、影响力大，广大干部群众高度关注。“治天下惟以用人为本，其他皆枝叶事耳”，这句古话，深刻揭示了选人用人在治国理政中的极端重要性。[13]哈佛大学对RMAS主任的人选任用是谨慎并经过精心考察的。2016年9月15日，哈佛大学通过在全国范围内广泛考察，迈克尔·莫纳亨（Michael Monaghan）被选为新的大学风险管理和审计服务部门主任。迈克尔·莫纳富有23年的公、私及政府部门审计和风险管理经验，而且自2004年起一直是哈佛大学风险管理和审计服务部门的关键成员，从2008年开始任财务、运营和合规审计主任，在哈佛任期内，已经与全校关键部门领导建立了强有力的关系，被认为是有助于该部门业务和发展的可信任的合作者。[14]endprint

（三）丰富的风险管理和审计服务资源策略

从哈佛大学与其内、外部利益相关者就风险管理和审计服务的供求关系看，哈佛大学作为风险管理和审计服务资源的供给侧，为内、外部利益相关者参与大学风险管理和审计服务提供了丰富的可资利用的资源策略。一方面，资源策略供给具有数量多的鲜明特征，表现为资源丰富到覆盖了大学学习、生活和工作的各个方面，哈佛大学教职员工和外部利益相关者可能遇到的风险都可以从丰富的资源策略供给中找到规范的指引；另一方面，资源策略供给具有质量高的特征，表现为资源的典范性和便捷性，这些资源包括各类风险的最佳实践典范，以及资源策略的随时供给与获取。如开通免费的7天24小时匿名热线服务，风险管理和审计服务的需求者可以随时使用这些免费资源。

（四）利益相关者的自觉自愿参与和隐私保护

哈佛大学内、外部利益相关者是大学风险管理和审计服务资源策略的需求者和使用者。哈佛大学能够不断提升资源策略的数量和质量，从利益相关者需求侧的内心感受出发，尊重和保障风险管理参与者的隐私，调动利益相关者参与风险管理的积极性和主动性。

大学利益相关者自觉自愿参与大学风险管理，不仅是美国社会个人和团体参与公共管理过程中参与意识和习惯、参与能力和水平的一个体现，同时也是大学为利益相关者提供参与隐私保障能力和水平的重要表征。如果利益相关者缺乏参与大学风险管理的意识和习惯，或参与的能力和水平有限，或参与得不到合法有效的隐私保护，担心参与的不良后果而放弃主动参与，那么即使供给侧供给再多的资源也徒劳而无用。哈佛大学提供的资源策略服务不仅考虑了风险管理参与者的能力和水平，更提供了有效的隐私保障，使风险管理参与者放下思想包袱，不必担心由此可能会产生的不良后果，保护了参与者自觉参与、发现风险、报告风险的主动性和积极性，形成了良性循环。

四、小结

尽管大学治理天然地与民主、政治、文化等较为厚重的理论元素有着密切的联系，不同国家间因政治体制、财政体制、文化传统等方面的不同而造成大学治理结构大相径庭，但大学风险管理和审计服务作为一种治理手段，它自身更突出的特征却是技术性和经验性，是大学治理制度体系中相对具体和操作层面的普适性范式，可资我国高等学校构建风险管理和审计服务体系以借鉴。

我国大学的风险管理和内部审计无论在发展历史的演进，还是制度体系的规范，亦或实践操作的指引等方面都还处于初级阶段，大学利益相关者参与大学管理和决策的民主意识尚未萌发，大学有效治理结构还需要进一步完善，风险管理和审计服务的资源供给仍明显不足，对利益相关者隐私保护的制度措施还不够健全。各级政府、各级教育行政部门和各个高校应结合我国历史文化传统和经济社会发展的现实，积极借鉴世界高等教育发达国家在大学治理、风险管理和审计服务方面的有益经验，着力提升大学风险管理和审计服务水平，进一步推动和实现我国高等教育治理体系和治理能力的现代化。

注释：

①图1根据哈佛大学行政办公室（Administrative Offices）网页信息绘制（http：//www.harvard.edu/about-harvard/administrative-offices）。

②图2根据哈佛大学风险管理与审计服务（RMAS）网页信息绘制（http：//rmas.fad.harvard.edu/pages/about）。2016年9月15日新的RMAS部门主任Michael Monaghan就任后，对原组织架构进行了重新整合：将原来的财务业务和遵循审计组命名为内部审计，将信息系统审计组调整到内部审计组下，将原属于财务业务和遵循审计组下的基建审计调整出来，与内部审计组并列。调整后新的组织架构于2016年10月10日公布于部门主页。

参考文献：

[1]中国教育和科研计算机网.75所教育部直属高校2015年部门决算信息公开[EB/OL].（2016-09-23）[2016-11-18].http：//www.edu.cn/html/e/gxjs/2015.shtml.

[2]Harvard Financial Overview .Annual Financial Report[EB/OL].（2016-11-01）[2016-11-21].http：//finance.Harvard.edu/files/fad/files/vpf_letter_ar_2016.pdf.

[3]Harvard's President & Leadership[EB/OL].[2016-11-21].http：//www.Harvard.edu/about-harvard/harvards-president-leadership.

[4]李奇.美国大学治理的边界[J].高等教育研究，2011（7）：96-101.

[5]IIA.International Standards for the Professional Practice of Internal Auditing[G].Florida：The Institute of Internal Auditors，2011.

[6]Harvard RMAS.Online Risk Management Self-Service[EB/OL].[2016-11-21].http：//rmas.fad.harvard.edu/online-risk-management-self-service.

[7]HarvardRMAS.Finance[EB/OL].[2016-11-21].http：//rmas.fad.harvard.edu/pages/finance.

[8]Harvard RMAS.Information Technology[EB/OL].[2016-11-21].http：//rmas.fad.harvard.edu/pages/information-technology.

[9]Harvard RMAS.Anonymous Reporting Hotline[EB/OL].[2016-11-21].http：//reporting-hotline.harvard.edu/about-hotline.

[10]Harvard RMAS.Education and Training[EB/OL].[2016-11-21].http：//rmas.fad.harvard.edu/pages/education-and-training.

[11]Schick Edgar B，Novak Richard J.Share Vision of Public Higher Education Governance：Structures and Leadership Styles that Work[M].AmerAssn of State Colleges，1992：10.

[12]Richard T.Ingram and Associate， Governancing Public Colleges and Universities：A Handbook for Trustees，ChiefExecutives，and Other Campus Leaders[M].San Francisco：Jossey-Bass Publishers，1993：11.

[13]陳希.坚持正确选人用人导向[N].人民日报，2016-11-24（7）.

[14]Risk Management & Audit Services.New Director of Risk Management & Audit Services[EB/OL].（2016-9-15）[2016-11-21].http：//rmas.fad.harvard.edu/news/new-director-risk-management-audit-services.

（责任编辑陈志萍）endprint