基于COSO框架的事业单位内部控制研究

梁丽香

一、引言

根据现代内部控制理论，内部控制是为合理保证单位组织经营活动的经济性与效益性、财务报告的可靠性和法律法规的遵循性，而进行自我调整、约束、规划、评价和控制内部业务活动的自律系统。根据COSO报告，内部控制是由企业董事会、经理阶层和其他员工实施的，为运营的效率、财务报告的可靠性、相关法令的遵循性等目标的达成而提供合理保证的过程。COSO框架包括控制环境、风险评估、控制活动、信息和沟通及监督等五个要素。

尽管目前我国企业内部控制规范体系基本建成，但是事业单位内部控制制度规范体系尚属空白，而且大都是依据财政部颁发的《内部会计控制规范》而建立的内部控制基本体系。由于制度建设的相对滞后，严重制约了我国事业单位的内部控制建设成效，事业单位内部控制存在不少问题，违法腐败、“小金库”等现象屡禁不止。事业单位应当根据自身的特性，构建COSO框架下的内部控制体系，确保事业单位运营合规合法、资产运行安全，提高管理服务效率与效果，保证财务报告及相关信息真实完整，促进发展战略的实现。

二、事业单位内部控制存在的问题

（一）内部控制意识薄弱，内部控制环境匮乏

1.内部控制意识薄弱

由于事业单位资金来源主要为财政拨款，收支受到财政部门的严格监管，而且经费预算有限、收支活动单一，因此事业单位普遍存在重事业发展轻内部管理，对内部控制不重视的现象。内控意识淡薄，尤其是“一把手”的内控意识淡薄，加上官本位思想浓厚，对建立健全内部控制制度的重要性和现实意义认识不足，对建立内部控制缺乏积极性、主动性。

2.治理结构缺失，控制环境匮乏

控制环境包括治理职能和管理职能，以及治理层和管理层对内部控制及其重要性的态度、认识和措施。根据委托代理理论，产权与经营权应当分离，但是事业单位没有明确的财产权和经营权的区分，资产属于国有，使用单位按照规定使用财务，相关职能部门（如财政部门、审计部门等监管部门）依据法规行使委托权对事业单位实施监督治理，很难形成明晰的委托代理关系，造成治理结构缺失，对代理人的机会主义和道德风险无法进行有效的约束，容易出现“内部人控制”现象。

（二）风险评估缺失

由于对内部控制的建设与执行不足，对于内部控制的风险评估工作目前在事业单位基本处于一个缺位的状态。在我国现阶段，对风险的评估管理仍处于探索、研究的阶段，而且仅限于一些特殊行业、高科技领域和大中型企业领域，尚未得到普及推广和应用。事业单位具有较强的社会公益性，往往不存在自负盈亏甚至破产问题，即使存在债务风险也由政府或财政“兜底”，在错误的思想指导下事业单位风险意识普遍淡薄，更谈不上对风险进行评估和管理。

（三）控制活动薄弱

1.组织结构控制存在缺陷

组织结构控制包括不相容职务相分离和组织机构的相互控制。事业单位由于编制有限、人员紧张，组织机构和工作岗位设置不科学，职责分工不明确，不相容职务没有得到有效分离控制。很多单位存在一人多岗、岗位交叉、不相容岗位兼职等现象，如出纳兼复核、采购兼保管等。由于没有适当的职务分离控制，无法在单位内部有效形成各司其职、各负其责的相互制约机制，加大错误、舞弊行为发生的可能性。

2.授权审批控制不严格

授权审批控制不合理是事业单位的普遍现象，如无权审批、越权审批、违规审批等。由于职责分工不明确，事业单位很难根据岗位职能进行合理授权，而且由于事业单位长期坚持“一支笔”的财务审批制度，领导权力过于集中，往往是单位“一把手”说了算，授权审批制度形同虚设。

3.预算控制缺乏刚性化

由于预算绩效考核缺失、授权审批制度不合理或者审批制度执行不力，预算执行缺乏控制，预算执行中支出管理控制不严、随意性较大。很多单位的费用报销往往由领导“一人”说了算，经费支出缺少计划性，超进度、超范围支出经常发生，随意修改项目内容与资金用途，专款不专用，预算执行缺乏应有的约束力和严肃性。

（四）信息与沟通机制不完善

根据风险管理需求，内部控制应当简化组织结构，实施扁平化管理，以保证风险信息传递的及时性、完整性与真实性，并降低信息传递成本。但是我国事业单位目前普遍采用“科层制”组织结构模式，管理指令往往以行政命令的形式由上至下层层传递，信息沟通也是通过单一的自上而下的纵向渠道进行，各部门之间缺乏信息横向交流，无法形成网状的信息沟通结构，导致各部门之间不能及时准确地获取和归集信息、传递信息。而且大部分事业单位尚未建立起良好的信息沟通网络平台，比如办公自动化系统、ERP信息系统等，内、外部信息难以在单位内部及时传递与共享，导致信息沟通工作效率低下。

（五）内部监督缺位

内部监督机制不完善，内部监督缺位。很多单位将外部监督与内部监督混为一谈，认为只要有财政、审计、税务、纪委等外部监督就可以了，内部监督显得毫无意义。有的虽设有内部监督，比如内部审计机构，但由于职责不明、独立性与权威性不强，监督未起到应有的牵制和约束作用，内部监督机制形同虚设。还有些单位虽然实施了一定内部监督，但是监督形式单一，对内部监督缺乏有效的自我评价体系。

三、构建COSO框架下的事业单位内部控制体系

（一）优化内部控制环境

内部环境是内部控制整体框架的基础，制约着内部控制其他要素的运行效果。事业单位应当加强内部控制软环境建设，提高内部控制的有效性。

1.提高内部控制意识，转变管理理念

内部控制的建立、执行的好坏取决于管理者的态度、管理理念和管理风格。事业单位必须加强管理层的内部控制意识尤其是单位负责人的内控意识，克服官本位思想，转变工作作风，重视内部控制建设。首先，要推行风险管理问责制，将内部控制建设纳入事业单位职能管理考核范畴，强化事业单位领导及其管理人员的内部控制意识。其次，加强事业单位领导及管理人员的相关培训，培育风险意识，增强现代经营管理理念，转变管理风格，促进内部控制与事业单位管理的有机融合。

2.完善组织架构，加强事业单位文化建设，优化控制基础环境

组织架构是事业单位明确内部各层级机构设置、职责权限、人员配备、组织机构应变能力等方面的制度安排。组织架构在内部环境中处于基础地位，包括治理结构、内部机构设置和权责分配。事业单位应当按照相互独立、权责明确、相互制衡的原则，设立“三权分立”的决策机构、执行机构和监督机构，明确单位领导决策层、管理层和监督层的职责权限，完善单位内部治理结构。合理设置内部职能机构，明确各机构的职责权限，避免职能交叉、缺失或权责过于集中，形成各司其职、各负其责、相互制约、相互协调的工作机制。根据单位业务特点和内控要求，按照组织结构优化管理流程，制定相关岗（职）位说明书和权限指引等内部管理制度或相关文件，确保职工正确履行职责，保证组织架构的良好运行。

在完善组织架构的基础上，加强单位文化建设。通过领导身体力行带头作用、树立典型模范形象、建立创新激励机制等手段，建设良好的事业单位组织文化，形成具有提高单位内部控制系统风险防范能力的内控氛围和管理凝聚力。

（二）加强风险评估

根据COSO报告，风险评估包括目标设定、风险识别、风险分析、风险应对。风险评估是内部控制系统的基础组成部分，要使单位的内部控制制度发挥应有的作用，事业单位必须清楚所面临的风险，并对整个单位的风险进行定向或定量的评估，然后针对风险评估的结果采取相应控制活动。首先，要加强风险评估意识，时刻关注事业单位各层次的风险。关注引起风险的主要因素，尤其关注管理层的职业操守、职工专业胜任能力、业务流程等内部因素。其次，建立科学的风险识别体系，将风险识别方法规范化、制度化，准确识别与实现控制目标有关的内外部风险，确保组织和各职能部门采用统一方法体系随时关注与识别组织活动中存在的风险。再次，通过定性与定量相结合的方法，按照风险发生的可能性及其影响程度，对识别的风险进行分析和排序，确定关注重点和优先控制的风险，尤其是特别关注管理层、关键岗位职工的风险偏好，评价风险对单位可能产生的影响，确定风险的重要性水平。最后，选择合适的风险应对策略，并根据风险变化及时调整风险应对策略，有效防范与控制风险。

（三）规范控制活动

控制活动是确保事业单位的风险应对得以实施并实现内控目标的政策和程序。事业单位应当结合风险评估结果，确定风险应对策略，对关键点和控制要点实施控制活动，将风险控制在可承受度之内。

1.加强组织结构控制

组织结构控制是内部控制活动的基础，要建立完善的内部控制体系，就要构建分工合理、职责分明、相互制衡的内部控制组织结构体系。事业单位应当按照经济业务的性质和特点合理设置职能部门和工作岗位，并根据岗位性质建立相应的岗位责任制，明确相关部门和岗位的职责、权限，确保业务的不相容岗位相互分离、制约和监督，形成科学有效的内部牵制机制。

2.严格授权审批控制

授权审批控制要求单位各级管理人员必须在授权范围内行使职权和承担责任，在授权审批控制下，单位各级人员必须经过授权和批准才能执行有关经济业务。要根据经济业务活动的性质、特点、重要性和金额大小，遵循权责一致的原则，明确授权批准的范围、授权批准层次、授权批准的责任以及授权批准的程序，规定各层级人员必须在授权范围内行使审批职权并承担责任，常规授权与特别授权控制相结合，严禁无权审批、超权审批、违规审批。建立“三重一大”事项决策审批机制，强化集体决策或联签制度。

3.强化预算控制

首先，加强预算的刚性管理，维护预算的约束性、严肃性和有效性。完善财务报批审批流程，严格按照预算确定的支出项目、标准、范围、额度和时间安排支出，专款专用，避免无预算开支，严禁随意变更预算项目或超预算支出。由于特殊情况需调整预算或追加支出的，应当按照规定的程序报批。其次，建立预算执行责任制度，对预算进行责任分解，明确责任中心，制定预算责任指标，定期或不定期地对预算责任指标完成情况进行检查，对预算执行的结果进行分析、考核，并将预算执行结果与年度考核挂钩，实施奖惩。

（四）完善信息与沟通机制

信息与沟通贯穿于内部环境、风险评估、控制活动和内部监督，是连接这四个要素的重要手段。事业单位应当建立有效的信息与沟通机制，确保信息及时沟通，促进内部控制有效运行。改变传统单一的信息沟通模式，拓宽沟通渠道，通过自上而下、自下而上、横向沟通以及内外部沟通相结合的信息沟通方式，加强信息的收集与传递。加强现代化信息系统建设，搭建信息网络平台，消除“信息孤岛”，构建网状信息沟通结构，实现实时信息共享，促进信息的有用性与沟通的有效性。另外，还要建立反舞弊机制，规范舞弊案件的举报制度，鼓励职工对管理层的日常行为和表现进行评价监督，将未经授权或非法侵占、挪用资产牟取不当利益、滥用职权、串通舞弊等行为作为反舞弊的重点，严格查处舞弊行为。

（五）强化内部监督

内部监督是保证内部控制体系有效运行和逐步完善的重要措施，事业单位应当加强对内部控制的运行情况进行监督检查与评价，保证内部控制体系的良好运行。首先，建立健全内部控制监督机制。优化内部监督组织结构，明确内部审计机构等类似其他监督机构的职责权限，明确内部监督机构与其他内部机构之间的关系，确保内部监督机构的独立性与权威性，并赋予内部监督机构适当的权力保证其监督职责的完全履行。其次，建立有效的内部控制评价制度。内部控制评价是对内部控制运行的有效性进行全面评价、形成评价结论、出具评价报告的过程，是查找、分析内部控制缺陷并进行自我完善的过程。事业单位应建立起日常监督与专项监督有机结合的评价机制，对于单位日常的经营活动要采取持续性监督检查，而对于具有重要性的风险及关键业务的内部控制则优先对其进行专项监督或加大监督的频率，及时发现管理漏洞，防范各种偏离内控目标的风险，及时提出内部控制缺陷整改方案，促进内部控制体系的完善。