世界审计组织公共部门内部控制规范及其启示

■/王 慧

世界审计组织公共部门内部控制规范及其启示

■/王 慧

强化内部控制，制约内部权力运行已成为提升我国行政事业单位内部管理、推进国家治理体系和治理能力现代化的必然要求。本文围绕世界审计组织关于公共部门内部控制的规范，特别是对《公共部门内部控制指南》、《内部控制：为政府责任提供基础》进行了研究分析，从中获得在全面推进我国行政事业单位内部控制制度建设过程中值得借鉴的经验启示。

世界审计组织 公共部门 内部控制 行政事业单位

一、研究背景

随着我国服务型、绩效型政府建设的逐步推进，加强我国行政事业单位内部控制建设已成为理论界和实务界共同关注的焦点。继我国财政部2014年1月实施《行政事业单位内部控制规范（试行）》、2015年12月发布《关于全面推进行政事业单位内部控制建设的指导意见》之后，2017年1月又发布了《行政事业单位内部控制报告管理制度（试行）》。该制度要求我国行政事业单位在年度终了时，结合单位实际情况，汇总能够综合反映关于本单位建立与实施内部控制情况的总结性文件，并对内部控制编报工作的组织，内部控制报告的编制与报送，内部控制报告的使用以及监督检查作出了具体规定。这一创新性制度的出台，标志着我国行政事业单位内部控制规范建设迈入了新的发展阶段。

内部控制既是规范内部经济和业务活动、保障组织权力规范有序的有效手段，也是促进组织治理水平不断提高、确保组织目标实现的长效机制。强化行政事业单位内部控制，制约内部权力运行已成为提升政府部门内部管理、推进国家治理体系和治理能力现代化的必然要求。我国关于政府内部控制理论研究方面成果相对较少，已有的研究主要集中在政府部门内部控制的概念解析、政府部门内部控制框架的构建、政府部门内部控制与审计的关系，以及国外政府部门内部控制经验介绍等方面。

对于国外政府部门内部控制的经验介绍则主要是围绕美国的政府部门内部控制建设和美国虚假财务报告委员会下属的发起人委员会（The Committee of Sponsoring Organizations of The National Commission of Fraudulent Financial Reporting，简称COSO）的内部控制框架展开。如：刘玉廷、王宏回顾了美国政府部门内部控制建设的发展进程以及一些具体实践，为我国开展政府部门内部控制建设提供了有益的参考。王光远研究了以美国为代表的国外政府内部控制建设的发展脉络和我国政府内部控制法律法规与制度建设的现状。张国清、李建发以美国联邦政府机构内部控制近年来吸收了COSO框架和SOX法案的精神得以日臻完善为例，从建立政府内部控制法律法规基础、强化政府管理层的内部控制责任、建立恰当的内部控制标准等方面着手构建我国政府机构的内部控制体系。周卫华基于美国政府内部控制的发展经验，提出我国政府内部控制建设应当采取循序渐进、稳步推进的改革策略，逐步建立政府内部控制基础。张庆龙、聂兴凯在评价国内外政府部门内部控制的基础上，提出在我国政府部门内部控制改革中，要加强政府部门内部控制立法，正确界定政府部门内部控制目标，注意与企业内部控制框架的协调，建立健全内部审计机构等建议。本文对世界审计组织关于公共部门内部控制的规范，特别是《公共部门内部控制指南》、《内部控制：为政府责任提供基础》展开分析，获得的经验启示为全面推进我国行政事业单位内部控制制度建设提供有益参考。

二、世界审计组织关于公共部门内部控制的规范

（一）世界审计组织公共部门内部控制规范框架

世界审计组织于1984年成立了内部控制准则委员会，这一委员会针对公共部门的内部控制发布了一系列有关规范，如：1992年发布的《内部控制准则指南》、1996年发布的《测评、报告内部控制有效性指南》、2001年发布的《内部控制：政府责任的基础》、2004年发布的《公共部门内部控制准则指南》、2007年发布的《公共部门风险管理》、2010年发布的《公共部门内部审计的独立性》以及《公共部门内部审计人员与审计机关的合作协调》等规范性文件。其中2004年《公共部门内部控制准则指南》是在吸收了1992年COSO提出的《企业风险管理整合框架》基本理念之后，结合公共部门管理的特点对1992年《内部控制准则指南》进行的更新，也反映了世界审计组织各成员国审计机关对公共部门内部控制概念达成的共识。它既为构建政府部门内部控制框架提供了依据，也可以作为对政府部门内部实施测评的工具，是世界审计组织公共部门内部控制有关规范的关键所在。

（二）《公共部门内部控制准则指南》主要内容

2004年《公共部门内部控制准则指南》由公共部门内部控制的概念与范围、内部控制的要素以及在内部控制中公共部门内部各成员的角色定位与相关责任三部分组成。这一指南明确指出，公共部门内部控制是由公共部门管理层和工作人员针对风险而设置，以保证公共部门履行使命并实现总体目标的过程。公共部门需要实现的总体目标包括四个方面：第一，有序、道德、经济而高效地运作；第二，履行责任；第三，遵守适用的法律法规；第四，维护资源安全，防止资源的损失、滥用和毁坏。内部控制是一个需要不断适应组织机构业务变化的动态过程。管理层和各层级的工作人员都需要参与到这一过程中，以处理风险并为机构履行使命和实现总体目标提供合理的保障。内部控制并非孤立的事项或环境，它设置于公共部门业务处理程序当中，处处制约着公共部门的业务管理，与业务管理的计划、执行和监督融为一体，是公共部门业务处理不可或缺的关键部分。

内部控制由控制环境、风险评价、控制、信息与沟通、监督五个要素组成，每一个要素都与公共部门总体目标密切相关。

控制环境为政府部门设定“基调”，对工作人员的控制意识产生影响，它为内部控制提供秩序和结构，是内部控制其它四个要素的基础。主要涉及管理层和工作人员的个人职业操守和道德价值观（对部门内部控制的支持态度）、对胜任能力的承诺、“高层基调”（如管理理念和经营风格）、组织结构、人力资源政策与实践等。

风险评价则是识别、分析影响部门目标实现的相关风险，以确定相应措施的过程。也就是说，要针对与组织机构的目标有关的涉及组织机构和业务活动的外部风险和内部风险进行全面识别，在对风险的重要性进行估计的同时评估风险发生的可能性，在评估组织机构的风险偏好的基础上，对风险采取相应的措施，如：风险转移、风险容忍、风险处置和风险终结，而风险防控也是恰当的风险控制手段。

控制是为应对风险并实现部门的目标建立起相应的政策和程序，如：授权程序、职责分工等。为了实现有效性，控制必须适当、经济、全面、合理、功能协调，并与控制目标相关。控制存在于整个组织架构、各个层级和所有活动当中，包括了一系列防控活动，如：授权和审批程序、职责分离、对取得资源和记录的控制、验证、对账、业务绩效的评价、业务流程和活动的评价以及对分配、审查和审批等的监督。其中纠正措施是为实现组织目标，对控制活动的必要补充。

信息与沟通对实现所有内部控制目标是非常重要的。信息系统能够形成涉及运营、财务与非财务以及相关合规信息的报告，而这些信息不仅能够用来执行、控制和管理部门运营，还能对决策给予支持。有效的沟通应当是在组织机构中自由地流动，每一个职员都能从高层管理人员了解到控制责任应该认真对待的明确信息，并且能够在内部控制系统中明确自己的角色，以及自身的工作与他人工作有何联系。同时，与外部各方进行有效沟通也是非常必要的。

需要通过定期评价内部控制系统的运行情况对内部控制系统实施监督，包括定期管理和监督活动，以及履行职责时相关人员实施的其它活动。各部门的内部控制框架虽基本类似，但其运用的方式千差万别。内部控制框架的运用取决于部门的性质、组织结构、风险情况、运作环境、部门规模、业务复杂度、业务活动和制度完善程度等因素。

在政府部门内部控制中，每个成员对内部控制都有着各自的责任。第一，管理层对政府部门的所有活动（包括内部控制系统的设计、执行、监督、维护和文件处理）负有直接责任，他们的责任因政府部门的职能和特点而各不相同；第二，内部审计人员通过检查、评价内部控制系统并提出改善建议来促进内部控制持续有效，在有效的内部控制中发挥着重要作用；第三，全体职员在执行内部控制中发挥作用，他们应该报告运行中存在的问题、与行为准则不相符合的情况，以及违反了相关政策的事项；第四，最高审计机关需要促进在政府部门中建立有效的内部控制，内部控制评估对最高审计机关的合规性审计、财务绩效审计非常重要，最高审计机关要向相关利益者告知审计结果和审计建议；第五，在一些国家，外部审计人员可以审计政府部门，他们针对内部控制提出意见和建议；第六，立法者的责任在于建立关于内部控制的制度和规定，应该致力于促进内部控制的共识；第七，其他组织（如受益人、供应商）相互影响，提供关于各自目标实现的信息。

（三）《内部控制：为政府责任提供基础》主要内容

健全有效的内部控制有助于公共部门遵守法律法规和管理指令，促进有序高效的工作以实现预期目标、维护资源安全、防止舞弊与浪费，提供优质的与使命相符的服务、形成可靠的财务和管理信息并及时披露等。为了加深公共部门的管理者对建立和维护有效内部控制重要性的理解，世界审计组织发布了《内部控制：为政府责任提供基础》，对内部控制的相关内容作出了更具体的要求，包括了公共部门内部控制整体框架的建立和维护、内部控制主体以及管理层和审计人员责任的描述、对内部控制的阐述、公共部门是否采取恰当措施以确保内部控制有效的比照清单以及内部控制信息的参考材料等。

1.公共部门内部控制整体框架的建立与维护。公共部门内部控制整体框架的建立与维护包括管理部门建立并维护公共部门内部控制的任务与责任、建立内部审计机构的任务与责任以及一般控制措施等。其中管理部门建立并维护公共部门内部控制的任务与责任，主要是采取能够营造良好内部控制环境的措施、确保职员具备履行相关职责的能力、界定主要权责范围、建立合理的报告渠道、制定管理政策与控制程序、开展年度评估等。建立内部审计机构的任务与责任，主要是保证内部审计保持应有的独立性、确保内部审计人员拥有必需的专业胜任能力、提出风险管理建议、制定内部审计的计划和目标、实施公共部门内部审计、测评公共部门内部的信息系统、针对内部控制的薄弱环节提出改进建议、保证内部控制测评建议的有效执行、与外部审计人员协调与沟通以及建立内部审计质量保证体系等。

2.公共部门管理层的责任。对于管理层而言，应该认识到健全的内部控制是有效控制组织机构、业务活动和资源以实现目标的基础，而设计健全有效的内部控制是公共部门管理层的责任。因此，管理层需要有积极支持的态度，领导必须对建立内部控制负责，并对内部控制进行检查、改进，保持政府部门的内部控制设置健全，执行有效，全体管理人员必须具有诚实正直的品德和良好的职业道德，拥有和维持履行有关职责的能力，以便理解建立、执行并保持公共部门内部控制有效性的重要性。此外，管理部门应设置独立的内部审计机构，这是内部控制的关键所在。内部审计机构需要有明确的审计目标，有经验丰富的领导，足够的审计资源和具有胜任能力的内部审计人员，同时还要保证审计人员与管理层的沟通不受限制。在工作中，管理人员不仅要积极地与内部审计人员配合，确认内部管理的风险、制定降低风险的控制措施，而且还要同内部审计人员定期进行内部控制的测评，在确认存在问题的基础上提出改进建议。

3.公共部门内部审计的责任。内部审计是公共部门内部控制及自我评估体系的组成部分，但需要明确的是，内部控制程序的执行却并非内部审计人员的责任，而是管理层的任务。内部审计的任务是对政府部门内部控制政策、措施和程序进行测评，以确保内部控制健全。管理层可以通过强调独立和客观的内部审计的重要性来支持内部审计，同时还需要检查政府部门内部控制测评建议的整改完成情况，以落实内部审计的意见和建议。

三、从世界审计组织公共部门内部控制规范中获得的启示

整体来看，世界审计组织对公共部门内部控制的理解上呈现出三个突出特点：一是强调了内部控制在公共部门内部管理中的作用；二是提出了风险评估在公共部门内部控制中的重要意义；三是体现了构建公共部门内部控制多层监督体系的理念。这些突出的特点为推进我国行政事业单位内部控制制度建设提供了启示。

（一）加深管理层对内部控制的理解是全面推进行政事业单位内部控制制度建设的基础

行政事业单位内部控制既是规范行政事业单位内部经济和业务活动、强化内部权力制约、防止权力滥用的工具，也是实现组织目标的长效保障机制。行政事业单位内部控制的环境与管理层的态度密切相关，在控制环境中，管理层的对内部控制的态度是行政事业单位内部控制环境的“高层基调”，决定了行政事业单位内部控制的总体氛围。而行政事业单位的控制环境直接关系到内部控制中其他要素作用的发挥。因此，提高管理层对行政事业单位内部控制的认识和建立内部控制的意义，对于营造良好的内部控制环境和行政事业单位的整体道德文化、全面推进行政事业单位内部控制制度建设有着十分重要的意义。

（二）企业内部控制的经验可以为我国行政事业单位内部控制的建设提供借鉴

从全球来看，相比企业内部控制的研究和建设，政府部门内部控制的研究起步较晚。我国也是如此，2008年企业内部控制基本规范及其配套指引的发布成为我国企业内部控制规范体系基本形成的标志，而专门针对政府部门内部控制的相关规范直到2014年《行政事业单位内部控制规范（试行）》才正式实施。虽然财政部相继出台了《关于全面推进行政事业单位内部控制建设的指导意见》、《行政事业单位内部控制报告管理制度（试行）》，但就总体而言，我国政府部门内部控制的建设才刚刚起步。一方面，由于企业内部控制和政府内部控制，在控制计划、方法手段等方面有许多相似甚至相同之处，我国政府部门内部控制规范的建设，可以借鉴企业内部控制的发展经验，在实践探索和经验总结中，酝酿并探索我国行政事业单位内部控制的基本规范、应用规范、实施规范、评价规范以及内部控制的审计规范等；另一方面，可以借鉴世界审计组织的做法，主动关注企业内部控制理论的最新动态、积极吸收企业内部控制最新理念和方法，结合我国行政事业单位内部控制的特点，对行政事业单位内部控制规范展开研究，推动我国政府部门内部控制理论的发展。

（三）建立健全有效的行政事业单位内部控制是一个系统工程，需要部门内各个层级的认可并明确责任主体

政府部门内部控制涉及政府部门业务的各个方面，可以说贯穿于政府部门整个运营和管理的全过程。因此，建立健全有效的行政事业单位内部控制，也不能侧重某一方面或强调某几个内部机构，它是一个系统工程，不仅需要单位内部各层级的认可，确保内部控制对行政事业单位的经济和业务活动全覆盖，贯穿内部权力运行的过程，而且有赖于全员的参与，明确各自的职责所在，将制约内部权力运行嵌入内部控制的各个层级和各个环节。如：《公共部门内部控制准则指南》中“内部控制中公共部门内各成员的角色与责任”部分，公共部门内部控制的责任主体不仅包括了管理层、内部审计人员、全体职员等部门内部责任主体，还将最高审计机关、外部审计人员、立法者和其他组织等外部责任主体也纳入进来。

（四）风险评估是持续改进内部控制的基础

在政府部门内部控制设计阶段，要建立适合本部门实际情况的内部控制，就应全面梳理业务流程、明确业务环节，充分调查和了解内部各岗位的职责，对各岗位的风险点进行评估，对各岗位职责的认定和风险评估结果构成了政府部门内部控制设计的基础性材料。如：世界审计组织的《公共部门内部控制准则指南》中增加“风险评估”，明确风险管理与内部控制之间的关系，并规范了公共部门开展风险评估。对于已经建立并实施内部控制的政府部门，由于控制环境是动态的且政府部门的管理风险也并非是一成不变的，因此，内部控制还需要在实施过程中根据政府部门的风险评估结果持续改进。

（五）内部审计的独立性决定了政府部门内部控制的质量

内部审计属于内部控制的关键环节，但不能将其与内部控制划等号。内部审计作为监督内部控制有效性的工具，有着自身独有的功能。如：世界审计组织发布的《内部控制：为政府责任提供基础》就认为，审计的角色和责任主要包括：保持形式和实质上的独立、确保审计人员专业胜任能力、针对风险领域提出管理建议、建立审计策略的计划和目标、执行经营审计、评价信息技术系统、提出改善经营和加强控制的建议、建议有效执行的跟踪、与外部审计人员的协调，以及实施审计质量保证体系。也就是说，内部审计主要是通过定期评估内部控制设计和运行情况，及时发现内部控制中控制得好的地方和薄弱环节，提供内部控制执行情况相关信息，有针对性地提出改善内部控制的意见和建议。能够独立于管理部门的内部审计能够无偏地开展工作，如实的向管理层提交高质量的报告，进而促进内部控制的质量不断提高；而独立性差的内部审计，可能形同虚设，也就谈不上为政府部门组织目标的实现对内部控制提出有针对性的改进建议了。

[1]周卫华.关于构建我国政府内部控制体系的研究〔J〕.中国管理信息化，2011（03）.

[2]张庆龙，聂兴凯.政府部门内部控制研究述评与改革建议〔J〕.会计研究，2011（06）.

[3]樊行健，刘光忠.关于构建政府部门内部控制概念框架的若干思考〔J〕.会计研究，2011（10）.

[4]刘永泽，张亮.我国政府部门内部控制框架体系的构建研究〔J〕.会计研究，2012（01）.

[5]董小红.我国政府内部控制框架构建的探讨〔J〕.绿色财会，2008（05）.

[6]田祥宇,王鹏,唐大鹏.我国行政事业单位内部控制制度特征研究〔J〕.会计研究，2013（09）.

[7]陈林.基于公共受托责任的政府绩效审计内部控制问题研究〔J〕.经济师，2009（05）.

[8]郑素芬.政府部门内部控制与审计的关系研究〔D〕.开封：河南大学，2010.

[9]张庆龙.审计监督与政府部门内部控制的有效运行〔J〕.中国内部审计，2012（08）.

[10]刘玉廷，王宏.美国加强政府部门内部控制建设的有关情况及其启示〔J〕.会计研究，2008（03）.

[11]王光远.中美政府内部控制发展回顾与评述——兼为《联邦政府内部控制》（中文版）序〔J〕.财会通讯，2009（12）.

[12]张国清，李建发.美国政府机构内部控制的发展及其启示〔J〕.厦门大学学报（哲学社会科学版），2009（04）.

[13]王戍.公共部门内部控制——最高审计机关国际组织内部控制概念的更新〔J〕.中国内部审计，2005（12）.

◇作者信息：中国审计学会秘书处，管理学博士、经济学博士后、副研究员，研究方向：审计理论与方法

◇责任编辑：焦 岩

◇责任校对：焦 岩

F239.44

：A

：1004-6070（2017）04-0065-06

国家社科基金“基于应诉反倾销的会计证据生成及效力维系研究”（编号：13CGL035），湖南省社科项目“应对反倾销会计信息证据效力评价机制研究”（编号：12YBA194）。