行政事业单位内部控制建设要点探析

【摘要】行政事业单位因其单位性质和功能有别于企业，其内部控制的目标和主要内容也呈现出独有的特点。基于国家相关要求和实践经验，文章简要总结了行政事业单位和企业内部控制建设的主要区别，提炼了行政事业单位内部控制建设的框架，包括目标、原则、重点业务领域、方法和步骤、主要基础、表现形式等。同时，也提出了内部控制建设过程中应当关注的几个重点问题，包括单位文化建设、内部控制的评价与审计、内部控制与其他管理体系的融合等，以供读者参考和借鉴。

【关键词】行政事业单位；内部控制；风险管理

【中图分类号】F275.5

行政事业单位作为国家履行其职能的重要机构和组织，其内部控制的建设和完善程度直接影响着国家的综合治理水平。财政部自2012年发布《行政事业单位内部控制规范》（试行）后，又分别于2015年和2016年陆续发布了《关于全面推进行政事业单位内部控制建设的指导意见》和《关于开展行政事业单位内部控制基础性评价工作的通知》。这些文件对于指导行政事业单位开展内部控制建设工作发挥了重要作用。但是，相对于企业而言，行政事业单位内部控制体系建设起步晚、基础差，加上上述文件没有相应的实施细则作支撑，导致实务中常常出现不同的问题。基于此，有必要借鉴企业内部控制体系建设经验的基础上，结合国家相关要求，及时总结行政事业单位内部控制体系建设的经验和教训，以便持续完善。

一、行政事业单位与企业内部控制的主要区别

内部控制作为一种管理工具在各种组织中都是适用的，对于行政事业单位与企业而言，只是其应用场景不同罢了。行政事业单位的总体目标是实现社会价值最大化，同时兼顾效率与公平，即行政事业单位主要是作为非盈利组织而存在。而企业通常的目标是价值最大化，实现盈利是其最为基本的目标之一。在此目标设定下，二者的资金来源和管理形式也不同。具体而言，行政事业单位的资金主要来源于财政预算收入，而企业的资金则主要来自于股东和债权人；行政事业单位的组织形式通常遵循国家的编制要求，相对比较固定，而企业则根据运营需要而采用灵活的组织和管理形式。最后，从产权关系的明晰程度而言，行政事业单位由于公民概念的不确定性，导致其产权界定相对模糊；而企业的产权关系由于股东的原始投入和持续经营中各种合同关系而显得非常清晰。

无疑，行政事业单位和企业上述的区别也影响到各自的内部控制体系。最为突出的差异体现在内部控制目标的不同，而目标的差异也体现在二者对内部控制定义的不同，具体目标差异将在下文中涉及。故此，在内部控制目标的具体指引下，行政事业单位也需要结合自身特点建立符合单位要求的内部控制体系。

二、行政事业单位内部控制建设的框架

基于国家现行规定以及业务实践，总结出行政事业单位内部控制体系建设框架（见图1）。

现将图1所示的主要内容简述如下：

（一）一个规范

财政部发布的《行政事业单位内部控制规范（试行）》作为行政事业单位内部控制建设的纲领性文件，明确了行政事业单位内部控制的定义、主要目标、基本原则、主要内容、业务环节、评价与监督等。其中，重点强调了风险评估和控制的主要方法，以及单位层面和业务层面内部控制的重点内容。就具体业务而言，则分别明确了收支业务、政府采购业务、资产控制、建设项目控制、合同控制等管理的主要内容。

（二）两个基础

虽然《行政事业单位内部控制规范》（试行）并未明确提出单位建立内部控制的基础，但是，笔者认为风险矩阵和分级授权是有效建立和实施内部控制的重要基础。

1.风险矩阵

风险矩阵主要是为了实现单位内控目标，评估和识别及防范存在的风险。行政事业单位应结合其具体职能和业务分析每项职能（业务）而应达到的具体目标、存在的主要风险点、主要控制措施、主要负责部门、具体的经办程序以及规章制度依据等。很明显，这为建设基于风险管理理念下的内部控制体系奠定了良好的基础。

2.分级授权

分级授权则有利于提升管理的效率，主要解决了集权和分权的平衡。除了“三重一大”（指重大事项决策、重要人事任免、重大项目安排和大额资金使用）需要集体决策并实现党委（或类似机构）的前置审批以及按照单位政务公开原则公开以接受群众监督外，其他方面应结合金额或业务性质不同而设计出相应的分级授权体系，实现责权利的统一，进而提升管理效率，效率的提升势必会增强实施内部控制体系的效果。

（三）三个层次

内部控制建设的工作思路可以概括为：管理制度化、制度流程化、流程表单化、表单信息化。在实际工作中，行政事业单位工作人员接触最多的是规章制度、业务流程和操作手册。

1.规章制度

规章制度以文字的形式描述了管理的目的、适用范围、部门分工、具体要求、相关的表单和制度依据等。这也是行政事业单位常见的管理方式，但是，其效果却常常不如预期。究其原因，主要在于规章制度的体系性和逻辑性较差，未能说明为何要如此规定。同时，鉴于文字的丰富含义，在实际执行中也常常引起歧义。最后，规章制度未能根据内外部环境的变化及时更新而被大家所忽视。

2.业务流程

业务流程则是办理相关业务时需要遵循的具体流程及需要填制的各类表单，实际上是业务办理过程留下的痕迹要求。从业务实践而言，最好的管理方式是业务流程化，业务流程设计的明晰程度在很大程度上决定了内部控制的效率。故此，业务流程和单位的管理模式相关，也会对其管理模式产生相应的影响。

3.操作手册

操作手册则是出于知识管理的目的，整合了单位的风险矩阵、分级授权、业务流程、各类表单和规章制度而形成的工作手册。由于操作手册的集成性，相关内容发生变化时，操作手册也需要适时更新，不管是全部更新还是以补充规定的形式。考虑到操作手册的复杂性，行政事业单位可以根据其需要决定是否编制操作手册。对于功能和业务相对简单的单位，由于规章制度和业务流程已经相对明确，则没有必要再編制操作手册。

（四）四項原则

这是指行政事业单位在建立与实施内部控制时，应当遵循的四个原则：全面性、重要性、制衡性和适应性，这四个原则看其字面意思便很容易理解其内涵。需要说明的是，相比企业内部控制的要求而言，缺少了“成本效益”原则，这并非说明行政事业单位在建立内部控制体系时不需要权衡其实施成本和与其效益。由于行政事业单位的资金通常来源于预算，其成本实际上也是需要提前申报的，而其实施成效通常也需要进行绩效评价，也即在实际工作中已经体现了“成本效益”原则。

（五）五个目标

行政事业单位的内部控制目标包括五个方面：合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实可靠、有效防范舞弊和预防腐败、提高公共服务的效率和效果。而财政部发布的《企业内部控制基本规范》将企业内部控制的目标界定为：合理保证企业经营合法合规、合理保证资产安全、合理保证企业财务报告及相关信息真实完整、提高经济效率和效果、促进企业实现发展战略。由此可见，在合法合规、资产的安全、财务信息真实性之外，行政事业单位更为看重公共服务的效率和效果以及舞弊和腐败的预防，这主要是基于行政事业单位的定位而设置的。

（六）六大业务

一般而言，行政事业单位的经济活动主要体现在以下六大业务：预算业务控制、收支业务控制、政府采购业务控制、资产控制、建设项目控制和合同控制。分析可知，行政事业单位内部控制的特点主要在于以预算管理为主线，以资金管控为核心，通过从单位层面和业务层面的双重管控，达到内部控制的五个目标。一般行政事业单位的内部控制模块可以参考表1。

（七）七个步骤

行政事业单位为了建立适合本单位实际情况的内部控制体系，一般要完成以下七个步骤：梳理单位各类经济活动的业务流程、明确业务环节、系统分析经济活动风险、确定风险点、选择风险应对策略、建立健全单位各项内部管理制度、督促相关工作人员认真执行。

需要提示的是，在这七个步骤之前，为了摸清本单位内部控制现状，行政事业单位通常还需要开展内部控制基础性评价工作，通过对单位层面和业务层面内部控制的现状进行客观的评价，明确单位完善内部控制的重点内容，客观上也可以实现“以评促建”的效果。

（八）八种方法

在开展内部控制活动时，常见的八种方法为：不相容岗位相互分离、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制和信息内部公开等。实际上，这些方法可以交叉适用，也并非涵盖了日常管理的全部方法，单位可以根据自己的实际情况选择合适的方法，切不可削足适履。

三、应关注的几个重要问题

众所周知，相对完善的内部控制体系对于实现单位的内部控制目标固然有益。但是，内部控制并非万能的，内部控制失效的常见原因为：受到成本效益的影响而无法设计全面深入的内部控制体系，管理层越权，内部勾稽，人为错误，未随内外环境的变化而适时调整。但是，我们不能因噎废食，因内部控制固有的局限而忽略内部控制建设。在实务中，行政事业单位在建设内部控制体系时，除了关注前文提及的内容外，还需要注意以下几个方面：

（一）单位文化对内部控制的影响

单位文化是无形的生产力，也是行政事业单位内部控制环境的重要组成部分，它不但体现为单位领导的风格，更体现在单位对诚信和道德价值观的承诺。同时，在“以人为本”的管理理念下，单位文化还体现在如何吸引、发展和留住优秀的人才。最为关键的是，既然行政事业单位所从事的事业一般具有公共产品（服务）的属性，因此对于其内部控制设计和执行的有效性，需要有严格的考核评价制度，以达到奖惩分明的社会示范效应。

（二）内部控制的评价和审计

1.内部控制评价

为了评估行政事业单位内部控制设计和执行的有效性，单位可以由内部专业的部门（如审计部）或者委托第三方中介机构（如会计师事务所或咨询机构）进行评估并出具内部控制风险评估报告，以促进自身的内部控制建设及完善。

对于设计的有效性，一般围绕内部控制的目标进行。同时还需要重点关注权利制衡与运行机制，即是否实施分事行权、分岗设权、分级授权以及定期轮岗，能否有效监督。而对于执行的有效性而言，则通常包括：第一，相关控制程序在评价期内如何运行？第二，相关控制是否得到了持续一致的运行？第三，实施控制的人员是否具备必要的权限和能力，权力如何运用？

评价通常所采用的方式为现场测试，可以综合采用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法，在充分收集相关材料的基础上，如实填写评价工作底稿，研究分析内部控制缺陷，进而提出相应的改善措施。

2.内部控制审计

内部控制审计，是指会计师事务所接受委托，对特定基准日内部控制设计与运行的有效性进行审计。注册会计师可以单独进行内部控制审计，也可将内部控制审计与财务报表审计整合进行。引入内部控制审计，不但可以评估内部控制设计和执行的有效性，还可以对行政事业单位的管理人员起到绩效评价的作用。

（三）内部控制与其他管理工具的融合

从管理学角度而言，内部控制是风险管理的一部分，而风险管理又是组织治理的重要组成部分。基于此，凡是对组织治理有效的工具都可以适当引入行政事业单位的日常管理中，以便与内部控制协同发挥作用。如国家质检总局和国家标准委联合印发的系列社会责任标准（包括《社会责任指南》《社会责任报告编写指南》《社会责任绩效分类指引》），更对组织的社会责任进行了全方位多角度的描述和要求，对行政事业单位更具有很强的指导性。在建设内部控制体系时，社会责任应当作为其内容之一，这也是现代国家治理不可或缺的重要组成部分。

主要参考文献：

[1]COSO.内部控制——整合框架[M].财政部会计司组织翻译.北京：中国财政经济出版社，2014.

[2]张庆龙.新编行政事业单位内部控制建设原理与操作实务[M].北京：电子工业出版社，2017.

[3]罗胜强，赵团结，李培辉等.企业内部控制精细化设计与实务案例[M].上海：立信会计出版社，2018.

[4]罗伯特·R·穆勒著.新版COSO内部控制实施指南[M].秦荣生等译.北京：电子工业出版社，2019.

[5]赵团结，孙嘉钰.助推中小企业内部控制建设的123体系[J].财务与会计，2016，（21）：52-54.

[6]赵团结.关于伦理学与企业内部控制的研究[J].财务与会计，2019，（6）：48-52.