行政事业单位内部控制建设标准模板研究

（云南大学财务处云南昆明650091）

一、引言

《行政事业单位内部控制规范（试行）》发布后，各省、市单位按照要求积极开展行政事业单位内部控制的建设，进行了广泛的宣传、动员和培训。目前，行政事业单位内部控制建设的方式主要有两种：一是将本单位的内部控制交由专业的咨询公司或会计师事务所进行建设；二是由单位自行建设，单位内部成立内部控制建设领导小组，单位领导担任组长，相关职能部门负责人组成领导小组成员，按归口管理的要求进行建设。到目前为止，仍有相当一部分行政事业单位的内部控制尚未建立健全，或者建设进展缓慢，单位仍未按要求形成一套科学、并且行之有效的内部控制体系，各项业务流程仍未得到有效梳理、重塑，单位风险意识薄弱，未能识别出单位可能面临的风险并采取有效的防范措施。

究其原因主要有以下几个方面：一是行政事业单位建立健全内部控制的动力不足，积极性、主动性不够，风险意识薄弱；二是单位内控人才、流程专家缺乏，没有能力推进和完成内部控制体系建设；三是没有统一的内控标准模板提供给单位作为参考，单位不知道如何建、建到什么程度才能满足内部控制的要求。此外，尽管不同的行政事业单位运营情况不尽相同，在建立内部控制体系的细节上会有所差异，但是，行政事业单位在主体性质、部门设置、内控目标、风险类别等方面较为相近。例如，在建设项目管理、合同管理、采购管理等内部控制方面，无论是机关、学校、科研机构还是医院所面临的风险几乎是一致的。因此，统一行政事业单位内部控制建设的标准模板，有助于避免单位内部之间各自为政、各行其是，而是按归口管理的要求，由各归口管理部门按统一的标准模板来建设各自的内部控制文档，这是把内部控制嵌入单位信息系统中的前提，同时，对于行政事业单位的内部控制建设来说具有重要的参考、借鉴作用。统一内部控制建设标准模板就如同财务报告披露标准模板一样，它不但能提供规范、标准的建设内容，而且还可降低内控建设难度，加快内控建设的速度，便于将来按统一的标准对单位内部控制进行评价。

需要说明的是，内部控制建设标准模板这一理念，主要围绕《行政事业单位内部控制规范（试行）》和《财政部关于开展行政事业单位内部控制基础性评价工作的通知》的要求，按四个层次来建设内部控制标准模板：即内部控制基本规范——单位层面、内部控制应用指引、内部控制手册和其他内部控制配套制度。

二、借鉴COSO框架模式，构建单位层面内部控制标准模板

单位层面的内部控制是整个内部控制的 “基本准则”与“概念框架”，起着统领驾驭的作用。单位层面内部控制建设标准模板应当借鉴COSO框架，按控制环境、风险评估、控制活动、信息与沟通和监督活动等五个要素来构建内部控制基本规范——单位层面。采用COSO框架来构建单位层面的内部控制，从内容上来说，可以涵盖《行政事业单位内部控制规范（试行）》等文件对于单位层面的内部控制建设要求，并使单位层面更加全面合理，也更加具有逻辑性。

控制环境标准模板至少应当包括以下内容：单位的诚信和价值观；机构设置及权责分配；吸引、培养和留用人才的人力资源政策；实现绩效的衡量、激励和奖励机制；单位安全及社会责任等。

风险评估标准模板至少应当包括以下内容：明确单位运营、报告和合法合规三大具体目标；及时识别、分析业务活动中与控制目标相关的风险，并采取相应的风险应对策略；确定相应的风险承受度，单位应当至少每年进行一次风险评估，并提交风险评估报告。

控制活动标准模板至少应当包括以下内容：在确定内部控制目标和风险之后，结合风险评估的结果，通过手工控制和自动控制相结合的方法，在单位各个层级、业务流程的各个环节中实施具体的控制活动，这些控制活动可以是预防性的，也可以是发现性的，采取相应的控制方法和措施，将风险控制在可承受范围内；设立预警机制和应急机制，明确预警标准，确保能够及时妥善处理重大风险和突发性事件。

信息与沟通标准模板至少应当包括以下内容：制定信息传递制度，明确内部控制信息收集点、信息处理程序和传递渠道，确保内部控制信息的及时性和有效性，对内部控制的运行进行监测和促进；运用信息技术促进信息的集成和共享，注重信息的保管与安全；在信息与沟通中，明确建立反舞弊机制，通过规范舞弊事项的举报、调查和处置程序，明确反舞弊工作的重点领域、关键环节，同时疏通举报渠道，保护举报人相关信息，确保举报这一重要的有效信息来源的畅通。

监督活动标准模板至少应当包括以下内容：单位建立内部控制监督制度，明确内部审计机构的职责权限，以及内部监督的要求、程序和方法；通过日常监督和专项监督，进行自我评价，形成自评报告；分析发现的内部控制缺陷（包括设计缺陷和运行缺陷）的性质和产生原因，提出整改方案；通过持续评估、单独评估或两者相结合，以确定内部控制的五大要素是否存在并持续运行。

需要说明的是，在《行政事业单位内部控制规范 （试行）》中，有部分业务活动并未包含在内。行政事业单位应当结合自身的业务特点，在单位层面的标准模板中增加行政审批权控制、人力资源控制、单位安全及社会责任和反舞弊机制等内容，使得整个单位层面的内部控制更符合行政事业单位的运营特点。

三、业务层面内部控制建设标准模板

在单位层面内部控制标准模板的基础之上，对业务层面的经济活动要进行全面梳理和整合，结合单位自身业务活动的特点，分别编写内部控制应用指引，形成全面完整的内部控制指引体系，为内部控制手册的编写提供支持。在构建业务层面内部控制标准模板前，首先需要结合行政事业单位的运营特点，对六大业务进行适当拆分，细化业务类型，将业务活动延伸至非经济活动，实现业务活动全覆盖。

（一）对六大业务进行适当拆分

1.业务拆分是细化风险管理的需要。《行政事业单位内部控制规范（试行）》在业务层面提出了内部控制六大经济业务，主要考虑是以预算为主线，以资金管控为核心，通过对资金管控延伸至其他业务部门。然而，行政事业单位无论是在单位类型、服务内容和业务类型上均存在差异，有的业务对单位来说非常重要，例如，在高校、医院和科研机构涉及资金需求、贷款规模以及科研经费数额较大，业务风险程度高，内部控制如果只有六大业务是很难防范上述风险的，因此，需要将支出业务进行拆分，单独建立筹资管理、科研经费管理等业务应用指引，使之更符合单位内部控制的需要。同理，决算业务在《行政事业单位内部控制规范（试行）》中，是通过预算管理来进行规范的，但按照《政府会计基本准则》的要求，单位需要分预算维度和财务维度核算并分别提供决算报告和综合财务报告，这无疑将为报告使用者提供更多的财务信息，但同时也加大了业务的难度和风险。预算管理的流程、风险点与财务报告不尽相同，且规模大，下设多个附属单位的，对需要纳入合并财务报表范围的单位，编制难度大，程序复杂，除了预算管理内部控制应用指引外，还需要形成单独的财务报告内部控制应用指引，以防范财务报告风险。

2.业务拆分是归口管理的要求。在资产管理中，货币资金管理、固定资产管理分属不同的归口管理部门（财务部门和资产管理部门），分开由归口管理部门来建设更具有可操作性，况且，行政事业单位的结账基础是收付实现制，大部分业务均涉及货币资金，货币资金是最容易发生舞弊的事项之一，将货币资金管理从资产管理中分离出来，单独作为一项内部控制业务，使整个内控建设更符合行政事业单位的实际需求，更能反映行政事业单位管理的特点。

需要说明的是，货币资金作为一项单独的内部控制应用指引，由于其与收入和支出存在对应关系，在建设标准模板时，就需要协调其与收入和支出内部控制的侧重点，避免风险矩阵数据库重复或遗漏。货币资金内部控制主要侧重于资金计划、银行账户管理、现金及银行存款管理、备用金管理、网银管理、资金结算管理、票据和印章管理等，而收入内部控制主要侧重于收入不入账或设置账外账、非税收入采用收支两条线管理、合同协议收入管理、收入退回管理和收入会计处理等，支出内部控制侧重于支出审批权限管理、单据审核管理、“三公经费”支出管理、资金支付管理、支出的会计处理等。

3.业务流程图完全不同，需要分类管理。在收支业务中，收入和支出业务流程图完全是相反的，管理方式也不同，混在一起不利于流程图的绘制，也不利于分类管理。因此，应将收入和支出分别建立内部控制应用指引。根据行政事业单位的特点，对六大业务进行适当的拆分，将有助于防范各业务环节风险，实现内部控制的目标。

六大业务拆分后，业务层面控制标准模板至少应当包括以下内部控制应用指引：财务报告、预算管理、筹资管理、货币资金管理、收入管理、支出管理、存货管理、固定资产管理、无形资产管理、投资管理、政府采购管理、建设项目管理、合同管理、信息系统管理、科研管理、人力资源管理、安全和社会责任管理、单位文化管理等。

（二）内部控制应用指引标准模板

在明确了业务层面标准模板要构建的各业务指引后，接下来就是要确定内部控制应用指引标准模板的内容，各业务活动应用指引标准模板至少应当包括以下内容：各业务应当关注的风险、岗位职责及授权审批和各业务具体控制方法。

各业务应当关注的风险，根据业务类型不同，风险各不相同。例如，收入管理应当关注的风险有：（1）未按收费许可证规定的项目和标准收取非税收入，存在违规收费的风险。（2）非税收入的收取未执行收支两条线规定，导致截留、挪用应上交财政专户资金的风险。（3）收入收取业务分散在各个业务部门，缺乏统一管理和监控，导致收入金额不实、应收未收或者私设“小金库”的风险。（4）收入记录错误或会计处理不正确，可能造成收入会计信息不真实。

岗位职责及授权审批标准模板主要包含各业务不相容岗位以及如何授权审批。例如，预算管理不相容岗位一般包括：（1）预算编制（含预算调整）与预算审批。（2）预算审批与预算执行。（3）预算执行与预算考核。预算管理授权审批包括：单位对预算管理工作建立严格的授权批准制度，明确审批人的授权批准的方式、权限、程序、责任和相关控制措施，规定经办人的职责范围和工作要求。审批人根据预算管理工作授权批准制度的规定，在授权范围内进行审批，不得超越审批权限。经办人在职责范围内，按照审批人的批准意见办理预算业务。对于审批人超越授权范围审批的预算事项，经办人有权拒绝办理。

各业务具体控制方法，根据业务的不同，控制方法也不尽相同。例如，合同管理中合同纠纷的具体控制方法包括：需要仲裁或法律诉讼程序解决的合同纠纷，由单位法律事务办公室召集业务承办部门、合同管理部门、财务部门、监察审计部门和法律顾问组成处理小组，研究确定该合同纠纷解决的具体方案、报单位负责人批准，并组织相关部门参与该纠纷的协商、调解、仲裁或者诉讼活动。纠纷处理过程中，未经授权批准，相关经办人员不得向对方做出实质性答复或承诺。

四、内部控制手册标准模板

内部控制不仅是风险的“防御系统”，更是规范各项业务流程的“说明书”。按照《行政事业单位内部控制规范（试行）》要求，单位一方面需要梳理、再造业务流程，另一方面，需要把流程标准化、程序化，识别出流程节点可能存在的风险，针对这些风险所采取的应对措施，以及实施防范风险的证据。单位应当根据内部控制基本规范——单位层面和各内部控制应用指引为依据来编写内部控制手册，内部控制手册标准模板至少应当包括以下内容：××单位内部控制手册——××：（1）适用范围。（2）控制目标。（3）控制职责。（4）内部控制业务流程图。（5）内部控制风险矩阵数据库。（6）表单控制格式。其中：内部控制业务流程图和内部控制风险矩阵数据库是手册中最重要的部分。

（一）内部控制业务流程图标准模板

单位在梳理业务过程中所涉及的关键环节，可采用直线流程图方式来绘制，使手册使用者能直观地了解业务过程，并明确过程中的责任部门、岗位的不相容情况，为相关岗位的人员在工作时提供清晰的控制标准和控制措施，将内部控制真正落到实处。

以货币资金管理内部控制手册为例，货币资金业务流程图按照业务类型可分为：货币资金收款业务流程、银行存款管理业务流程——付款管理、现金管理业务流程——付款管理、银行账户管理业务流程——开户管理、银行账户管理业务流程——销户管理、银行账户管理业务流程——日常使用管理、备用金管理业务流程、网银管理业务流程、公务卡管理业务流程、印章管理业务流程和票据管理业务流程等。在货币资金的业务流程中，以资金的流向为线索，侧重于资金的管理。

表1为货币资金收款业务流程图。在流程图中，明确了货币资金收款的五个步骤；对应每一个步骤，明确主要的责任部门与支持部门，以及责任部门中不相容岗位职责，制定防范风险的监督检查方法，并列明这些控制措施的依据。

表1 货币资金收款业务流程图

需要说明的是，业务流程图主要分为由上而下的直线流程图和跨功能区流程图，其中，跨功能区流程图在呈现业务时，依据各单位的职责划分，能够清晰提供某个部门在开展业务活动时，承担什么工作内容，部门与部门之间、岗位与岗位之间的工作内容和走向，但也存在绘制难度大的问题，业务人员不容易阅读，更重要的是大多数业务包含多个业务类型，岗位流程差异明显，且是相对独立的。就货币资金管理中票据管理流程和银行账户管理流程而言，均属于独立的业务流程，将其作为一类业务来绘制流程图是不现实的，也不具有可操作性。因此，行政事业单位业务流程图标准模板建议分业务按直线流程图来绘制，这样既简单，也容易掌握，同时，每类业务包含多个业务流程图，能够细化业务流程，从而为下一步识别出流程节点存在的风险和风险矩阵数据库提供了可靠的保证。

（二）风险矩阵数据库标准模板

根据业务层面规范中各业务的风险控制点，形成风险矩阵数据库。在数据库中，根据业务流程、控制目标，识别关键风险点，并针对每项关键风险点制订相应的风险应对措施。同时，明确风险责任主体、实施证据以及控制模式。风险矩阵数据库标准模板至少应当包括以下内容：控制编号、控制点名称、控制目标、关键风险描述、风险应对措施、责任部门、实施证据和控制模式等。

表2为货币资金管理内部控制风险矩阵数据库中有关网银管理的风险矩阵数据库。在网银管理中，财务管理部门是有效防范风险的责任部门，针对网银管理中有效授权和网银安全两个控制目标，识别出可能阻碍该控制目标实现的三个关键风险点，并提出相应的风险应对措施。这些应对措施通过网络安全日志、网银支付交易记录被记录，成为将来内部控制评价、审计等检查的关键证据。

表2 货币资金管理内部控制风险矩阵数据库

五、其他内部控制配套制度标准模板

行政事业单位内部控制除了以上三个层次外，为了确保单位内部控制目标的实现，内部控制体系还应当包括以下配套制度：行政事业单位章程、单位审批流程及权限指引、风险评估实施办法、内部控制评价方案、重大经济事项和集体决策程序指引、专家论证和技术咨询制度指引、反舞弊机制指引和关键岗位说明书等。这一系列的配套制度与内部控制上述标准模板协同一致，使得行政事业单位在行政审批权控制、风险评估、内部控制评价、“三重一大”、专家论证和反舞弊机制方面的控制更加完善。例如，表3为单位审批流程及权限指引，该标准模板至少应当包括以下内容：审批事项、额度、审批环节和审批流程及权限。

需要说明的是，单位审批流程及权限指引应当按政府收支分类科目中的经济科目来设置，这样做的好处在于，可以确保所有经济事项全覆盖、不留审批真空，同时，该指引文档也是实现审批信息化的前提。此外，审批额度各单位可结合自己的实际情况进行适当的调整，简化审批流程，以满足实际需求。

关键岗位说明书标准模板至少应当包括以下内容：岗位职责、内控要求、个人素质要求、专业胜任能力要求和与其他岗位的关系等。以出纳岗为例：

岗位职责：（1）负责办理所经管银行账户的收付款业务。（2）定期核对所管账户银行存款，并编制银行存款余额调节表。（3）根据授权批准办理资金在各银行之间的划转。（4）办理现金收付款结算业务，做到日清月结，保管库存现金和各种有价证券，要确保其安全和完整。

内控要求：（1）不得兼任稽核、会计档案保管以及收入、支出、费用、债权债务账目的登记工作。（2）禁止填制记账凭证。（3）必须凭审核无误、手续完备的记账凭证办理收、付款业务。（4）不得同时从事银行对账单的获取、银行存款余额调节表的编制等工作。（5）不得由一个人保管支付款项所需的全部印章。（6）不得签发空白支票、远期支票，不得出租、出借银行账户。（7）在办理网上交易、电子支付等方式的货币资金支付业务时，必须严格按操作授权和密码规范操作。（8）禁止白条抵库、谎报用途、代人存取、公款私存。（9）所管理的保险柜，禁止存放私人物品。（10）岗位履职时间最长不超过五年。

个人素质要求：具有良好的职业道德，有做好单位管理和服务工作的事业心和责任感，热爱本职工作，工作勤奋，办事认真。具有团队合作、创新精神，充满自信、正直诚实和愿意进行知识分享。

专业胜任能力要求：（1）具有初级会计及以上职称或具备金融专业背景。（2）熟悉国家财经法规、银行支付结算办法和现金管理条例。（3）熟悉会计核算系统中的资金结算管理系统，计算机操作熟练。

表3 单位审批流程及权限指引

与其他岗位的关系：（1）本岗位在科长的指导下，办理银行存款、现金相关的收付款业务。（2）在本科室其他工作人员因公外出时，应当承担其他岗位的部分工作职责。（3）在协助其他科室提供会计信息时，对本岗位所提供会计信息资料的真实性和完整性负责。

需要说明的是，关键岗位说明书应当涵盖业务活动所有岗位，且需要在流程层面上进行关联，从而支持按岗位按流程进行管理。

六、内部控制信息化标准模板

内部控制不是一个独立的系统，其信息化也不是要废除单位已有的信息系统，而是贯穿于单位所有的管理环节之中，对一个单位而言，内部控制应当是嵌入到单位信息系统中，使单位工作程序化、标准化、系统化。例如，设备采购内部控制信息化标准模板设计至少应当包括以下内容：（1）采购申请与审批（采购管理、预算管理）。按分层授权审批流程，通过单位OA系统或采购管理系统自动推送至审批人电脑终端或手机客户端来完成审批。（2）制作招标文件（采购管理）。在采购管理系统中编写采购参数和要求，由系统自动产生标准采购招标文件。（3）公开招标（采购管理）。（4）结果公示（采购管理）。通过单位网站进行公示。（5）签订采购合同（合同管理）。通过合同管理系统来记录、追踪整个采购合同的签订、执行和合同的保管归档工作，采购合同一旦签订完成，系统就会自动生成合同编号，自动产生待执行合同一览表，并向采购管理、合同管理和财务管理部门进行推送。（6）执行采购（采购管理）。采购管理人员在系统中选择要执行的合同，提请设备供应商供货。（7）设备验收（线下进行验收、资产管理）。设备运抵单位后，如果需要设备专家参与验收，由系统自动从设备专家库中进行选择。验收小组进行验收，该环节只能在线下进行，验收结束后验收报告在线上完成。（8）设备投入使用（资产管理）。资产管理系统记录设备入账、使用、计提折旧、维修和报废情况。（9）执行付款（预算管理、支出管理）。采购合同、验收报告自动推送到财务部门，财务部门根据采购预算、采购合同、发票和验收报告通过网络报账信息系统自动完成记账凭证编制，记录资本性支出，财务系统记账后，信息自动反馈给合同管理系统，待执行合同自动转为已执行合同。（10）合同执行完毕、归档（合同管理）。在上述业务活动过程中，行政事业单位所要求的内部控制业务就涉及到采购管理、预算管理、合同管理、资产管理、支出管理和信息系统管理等共六项主要业务，内部控制信息化标准模板在单位信息系统管理中的地位和作用是显而易见的。上述业务通过信息系统流程把制度中的相关控制要求放在流程层面进行关联和链接，从而能够支持按岗位、按流程进行管理。

此外，还可通过建立内部控制运行系统监控平台来监督整个单位内部控制运行情况，该系统监控平台与单位的信息系统形成平行的两套运行体系，通过系统随机抽取部分业务进行穿行测试，自动追踪发现内部控制没有得到有效运行的证据，将信息自动推送到各归口管理职能部门，提醒其改进信息系统控制，以满足内部控制的要求。

七、结语

2017年1月，财政部发布了《行政事业单位内部控制报告管理制度（试行）》，行政事业单位编制内部控制报告将作为每年的一项常规报告。实际上，内部控制报告要求所有行政事业单位按统一的报告模板来提供。内部控制标准模板建设是一个系统工程，不是一蹴而就一次完成的，而是需要与时俱进，循序渐进，在注重内部控制建设的同时，更要关注落实和实施的实际效果，要持之以恒，常抓不懈，全员参与，全过程建设，不断推进单位内部控制长效机制建设。