《行政事业单位内部控制规范（试行）》解读

王留强

（周口师范学院 财务处，河南 周口466001）

改革开放以来，特别是进入21世纪，我国经济社会发展取得了举世瞩目的成就，但行政事业单位的运行机制已经严重滞后于经济社会的发展，行政事业单位管理体制对于经济发展和民生建设的制约日益凸显。多年来，行政事业单位存在的问题层出不穷，如单位私设“小金库”、预算管理不规范、专项基金管理缺位、招投标形同虚设、腐败现象蔓延等，而行政事业单位运行机制中一个重要的方面就是内部控制运行机制。近年来，我国政府一直致力于行政事业单位的改革，其中一次重要的工作就是建立健全行政事业单位内部控制的机制，使行政事业单位各项工作得到规范、有效的运行，提高行政事业单位财政资金的使用效率和服务社会公众的水平。为此，继我国《企业内部控制基本规范》和“配套指引”①“配套指引”，指《企业内部控制审计指引》、《企业内部控制评价指引》和《企业内部控制应用指引》。的颁布施行之后，财政部于2012年11月又颁布了《行政事业单位内部控制规范（试行）》（以下简称《规范》）。本文针对该《规范》进行讨论分析，并提出一些完善建议和措施。

一、《规范》的特点

《规范》的颁布，开启了我国行政事业单位内部控制的新时代，对于推动我国行政事业单位改革和内部控制建设具有里程碑式的意义，其内容具有许多鲜明的特点。

（一）规范的系统性

对于行政事业单位内部控制的规定，在《规范》颁布以前，零散地存在于《会计法》、《内部会计控制规范》、《事业单位会计准则》等法律法规中。这些规定对于我国行政事业单位内部控制的运行，在一定时期起到了不可替代的作用，但是这些规定比较零散，存在监管真空、重复，甚至冲突的现象，在内在逻辑上并不能形成一个严密的体系。随着经济社会的发展，这些零散的规定已经严重地制约了行政事业单位的改革和提供公共服务的效益。而《规范》对于行政事业单位内部控制有了较为系统的规定，包括使用范围、目标、原则和方法，并以各项核心经济活动为主线规定了详细的内部控制措施，为行政事业单位内部控制提供了较为可行的指引，这在一定程度上必将推动我国行政事业单位内部控制建设的发展和完善，对我国行政事业单位改革和提高行政事业单位服务效益起着举足轻重的作用。

（二）注重内控环境

与过去关于内控的法律法规相比，《规范》更加注重内部控制环境的建设。所谓内部控制环境，是指对建立、加强或削弱特定政策、程序及其效率产生影响的各种因素，主要是指重大影响因素。控制环境的好坏直接影响到内部控制的贯彻和执行以及内控目的的实现。行政事业单位内部控制的环境可以分为外部环境和内部环境。

1.外部环境。外部环境是指对内部控制效益产生重大影响的外部因素，主要包括政治、经济和文化环境。自进入21世纪，我国理论界便开始了内部控制的理论研究，并于2006年起在全国掀起了内部控制研究的热潮，2008年，我国颁布了《企业内部控制基本规范》，2010年五部委又联合发布“配套指引”，并要求自2013年起内部控制的实施覆盖所有大中型企业。至此，在我国无论是理论界还是实务界，内部控制都成了热逐对象，开启了我国内部控制的新纪元，迎来了发展的新机遇，为行政事业单位内部控制规范的制定和颁布提供了丰富的理论成果和良好的外部环境。与此同时，为了更好地推进行政事业单位改革，提高行政事业单位风险管理水平和服务效益，2011年，财政部颁布了《行政事业单位内部控制规范（征求意见稿）》（以下简称“征求意见稿”），并于一年后正式颁布了《行政事业单位内部控制规范（试行）》，标志着我国内部控制的建设已基本覆盖社会经济活动的各个领域。上述情况显示出对于加强行政事业单位内部控制建设已经形成良好的社会氛围和较为成熟的外部环境，也表现了顶层设计的倾斜注重。

2.内部环境。内部环境是指对内部控制产生重大影响的内部因素，主要包括组织文化、领导和各部门的参与度、机构设置及权责分配、内部审计等。与旧规定相比，《规范》中体现较为明显的内部因素是领导责任与参与度。在我国某些地方行政事业单位，由于行政信息透明度不高，官本位思想在一定程度上存在于行政事业单位领导层，而内部控制的主要精髓就是全体参与、互相监督，将单位的风险管理进行前置。二者的冲突将使内部控制体系的建立健全很大程度上受到单位领导层的忽视甚至阻挠。对此，《规范》则明确规定“单位负责人对本单位内部控制的建立健全和有效实施负责”。这一规定从法理的角度直接规定了领导层的责任和义务，将促使单位负责人领导并参与内部控制体系的建设，从而保证内部控制建设的顺利实施，提高行政事业单位服务的效益。

（三）注重风险管理

风险管理是指对影响单位目标实现的各种不确定性事件进行识别和评估，并采取应对措施将其影响控制在可接受范围内的过程。一般通过风险识别、风险估计、风险驾驭、风险监控等一系列活动来防范风险的管理工作。2004年4月美国COSO委员会在《内部控制整体框架》的基础上，结合《萨班斯—奥克斯法案》（Sarbanes－OxleyAct），颁布了《企业风险管理框架》（EnterpriseRiskManagementFramework），标志着世界风险管理时代的到来。在现代内部控制体系中，由于内部控制和风险管理存在共同关注点，因此将内部控制的建设与风险管理相融合，也逐渐成为世界范围内部控制体系建设的共同举措。内部控制的本质就是对易发生风险的环节进行控制，从而降低风险损失甚至规避风险，而风险管理则是风险识别、风险分析和风险应对。由此，内部控制和风险管理便存在了共同的环节，即风险识别、风险分析和风险应对。从这个角度上讲，风险管理就是内部控制体系建设中至关重要的一部分，并且贯穿于内部控制循环的全过程。二者的关系见图1[1]。

图1 内部控制体系与风险管理关系

图1中，循环①就是内部控制体系建设的路径，图中的路径代表如下含义:单位需首先设定内部控制的目标，根据既定目标识别所有经济活动并分辨出将要产生风险的主要经济活动，然后对识别的风险进行分析、评估，进而针对评估的风险采取特定应对措施，最后根据剩余风险的评估对内部控制设计、运行的有效性进行评价，出具内部控制自我评价报告并由相关部门对此报告进行审计，出具审计报告。至此，该单个循环的内部控制结束并进入下一循环，由单位根据上一循环的情况设定新的目标，由此进入下一循环。循环②代表风险管理的过程，途中的路径代表如下含义:上文所述的风险识别、风险评估、风险应对，在此基础上评估控制后剩余风险的性质和大小，以此进入下一个风险管理的循环。因此，由图1可知，内部控制最为核心的部分就是风险管理，也是内部控制最为关键的部分。

由上文分析可知，风险管理是否有效很大程度上决定了内部控制是否有效。风险管理已成为内部控制实施中一个重要的环节。为此，《规范》在原“征求意见稿”的基础上，吸收了COSO的《企业风险管理框架》和《企业内部控制基本规范》的精髓，重点突出了风险管理的作用，规定必须从单位整体层面和业务层面对风险进行识别、评估和应对，以提高内部控制体系的效率和效果。

（四）与企业内控并行

行政事业单位内部控制的发展与完善和企业内部控制的发展与完善是一个相互影响，相互推动的过程。《规范》的颁布也是紧跟在《企业内部控制规范》和“配套指引”颁布施行之后。通过研究《规范》我们发现，其对内部控制的定义、要素、体系构建等，与会计职业界、审计职业界、企业界的认识基本相同，这说明《规范》在制定的过程中借鉴了部分企业内部控制规范和现有的企业内部控制理论研究成果。刘玉廷、王宏（2008）指出:通览世界各国内部控制的发展历程可以发现，政府部门内部控制的发展表现出企业先行，政府及非营利组织适时跟进、合理吸纳的基本特征[2]。由此说明，虽然行政事业单位和企业在性质、运行机制和目标上存在很大区别，但行政事业单位内部控制是无法离开企业内部控制而独立发展的，企业内部控制的发展将为行政事业单位内部控制的建立、健全提供许多宝贵的经验。然而，行政事业单位内部控制体系的发展也并非完全是被动角色，也会对企业内部控制的发展产生影响。如1992年美国科索委员会颁布的内部控制框架，因其本身存在两点缺陷，即缺乏保证资产安全的内部控制和提供内部控制有效性的管理层报告。审计总署指出该框架不能适用于公共组织和公共管理部门，使得科索委员会在该框架的基础上再次进行了修改，促进了内部控制理论的发展，从而影响了企业内部控制规范的制定，同时也推动了公共组织和公共管理部门内部控制的发展。

二、完善《规范》的建议和措施

《规范》与现有的行政事业单位内部控制制度和“征求意见稿”相比，虽然已经取得了长足进步，对于推动我国行政事业单位内部控制的建立健全将起到很大的促进作用，但是该《规范》与企业内部控制规范和国外公共组织内部控制规范相比，仍存在许多亟须完善之处，主要包括如下方面。

（一）应增加单位业务外包、研发等方面的内部控制

《规范》按照行政事业单位主要的经济活动为重点规定了相应的内部控制措施，具体包括收支业务控制、预算业务控制、政府采购控制、资产控制、建设项目控制和合同控制。但是目前我国不少行政事业单位已经将部分核心业务进行部分外包或者全部外包，如科研机构的研发业务，高等院校的培训、后勤、医疗等业务。此外，还存在某些单位的特殊业务，如研发机构的科研管理业务。这些业务的规范运行对于所在单位内部控制的建立健全、有效运行具有重大影响，并最终关系到该单位能否实现内部控制目标、能否提高公众服务的效益和树立良好的公众形象。因此，笔者建议在《规范》的基础上，财政部等相关职能部门可制定相关的解释公告或者补充规定，用以规范行政事业单位如核心业务外包等一些特殊业务，满足某些单位特殊业务管理的内部控制需求。

（二）应尽快完善《规范》的审计规定

在当前的内部控制体系中，内部控制的审计职能已经不仅仅局限在事后角色，即仅仅是发现内部控制体系中的问题，为了适应新形势新情况，它已经发展成为事前预测、事中监督、事后反馈的全方位参与功能。因此，对于行政事业内部控制体系而言，内部控制的审计职能在行政事业单位内部控制体系中也将起着举足轻重的作用。然而，《规范》对内部控制审计职能的规定仅仅为:“内部审计部门或岗位应当定期或不定期检查单位内部管理制度和机制的建立与执行情况……及时发现内部控制存在的问题并提出改进意见。”“国务院审计机关及其派出机构和县级以上地方各级人民政府审计机关对单位进行审计时，应当调查了解单位内部控制建立和实施的有效性，揭示内部控制缺陷，有针对性地提出审计处理意见和建议，并督促单位进行整改。”由上述规定，我们可以看出，《规范》对于内部控制审计的规定存在以下问题:首先，《规范》没有重点突出内部审计机构的独立性和权威性。内部控制审计机构是内部控制缺陷的首先发现者，也是内部控制缺陷的主要预警者，内部控制审计职能的正常运行对于内部控制体系的有效运行起着重要作用。若行政事业单位内部审计机构的领导在单位所处级别较低，或内部控制设计、实施机构同属一个单位领导，将大大削弱内部审计的独立性和有效性，最终对内部控制设计、运行的有效性造成损害。其次，《规范》对内部审计和外部审计的定位仍然是传统的缺陷发现者，并没有进一步发挥内部控制内外审计职能对于内部控制的推动作用。因此，财政部等相关职能部门应该在《规范》的基础上，调动内部控制审计职能的积极性，将其传统的职能定位转变为事前预警、事中监督、事后反馈的全过程参与。最后，《规范》简单地要求内部控制的内外审计机构对内部控制的有效性进行审计，但是并没有阐明二者之间的关系。为了提高审计效率，行政事业单位内部控制的外部审计机构，可以在一定范围内借鉴内部审计机构的工作成果，内部审计机构也可以在没有重大变化的情况下在一定范围内借鉴外部审计机构的审计成果。

（三）应尽快制定《规范》的配套指引

通过对国外发达国家内部控制规范体系和国内企业内部控制规范体系的研究，我们可以发现，一套完善的内部控制规范体系，不仅要包括基本规范，而且还应该包括配套指引。然而，对于行政事业单位内部控制规范体系而言，目前还没有相应的“配套指引”（包括评价指引、审计指引等），在一定程度上削弱了《规范》的实际可操作性，也影响了行政事业单位内部控制体系的预期效果。

众所周知，内部控制自我评价是内部控制体系中一个重要的环节，内部控制制度设计是否得当、是否有效执行均只有通过内部控制自我评价获得相关信息，才能进一步得出行政事业单位内部控制制度是否存在缺陷、内部控制执行是否有效的结论。因此，内部控制评价不仅是保证内部控制体系有效的最后一道防线，而且也是内部控制体系不断完善的推动者。但《规范》对于内部控制评价的规定仅为“单位负责人应当制定专门部门或专人负责对单位内部控制的有效性进行评价并出具单位内部控制自我评价报告”，对于以下问题并没有作出进一步规定:首先，没有规定应当由谁对内部控制自我评价报告负责，是单位负责人还是相关部门负责人。其次，没有进一步说明行政事业单位如何进行内部控制自我评价，是参照企业内部控制评价指引的方法还是各个单位根据自身不同情况采用不同的评价方式。最后，没有进一步规定行政事业单位内部控制缺陷的分类（是否参照企业内部控制评价指引分为一般缺陷、重要缺陷和重大缺陷）、内部控制缺陷如何进行认定等。

另外，除内部控制评价之外，内部控制审计也是一个重要方面。这里所讲的内部控制审计是指内部控制的外部审计，是评价、确定内部控制体系和内部控制自我评价报告真实性和有效性的过程，包括内部控制设计、运行缺陷的认定。内部控制审计是外部审计机构对于内部控制有效性的审计，是对内部控制进行监督的最后一道外部防线，也是督促单位尽快建立健全内部控制体系的中坚力量。但《规范》对于内部控制审计的规定过于简单，存在以下两个方面的问题:一方面是没有提及由什么机构对内部控制报告进行审计；另一方面是没有进一步规定如何对内部控制进行审计，是否可以部分参考《企业内部控制审计指引》的内容等。

因此，为了增强行政事业单位内部控制的实际可操作性，使得行政事业单位内部控制现状有立竿见影的改变，财政部等相关部门应尽快出台《规范》的配套指引。

三、结语

《行政事业单位内部控制规范（试行）》的颁布，对于深化我国正在进行的行政事业单位改革，提高其服务效益，将起到很大的促进作用，为此，我国行政事业单位也将迎来内部控制不断健全的春天。但是，鉴于《行政事业单位内部控制规范（试行）》只是初步颁布试行，仍存在许多欠缺不足之处，因此，完善行政事业单位内部控制规范，建设行政事业单位内部控制体系的道路仍任重而道远。

[1]丁乾桀.企业内部控制评价体系研究[D].开封:河南大学，2012:26－27.

[2]刘玉廷，王宏.美国加强政府部门内部控制建设的有关情况及其启示[J].会计研究，2008（3）:3－10.

[3]刘永泽，张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究，2012（1）:10－19.

[4]张庆龙，聂兴凯.政府部门内部控制研究述评与改革建议[J].会计研究，2011（6）:50－56.

[5]李锦萍.事业单位内部控制制度存在的问题及对策探讨[J].财会研究，2012（15）:67－68.

[6]王艳宁.中美政府部门内部控制比较研究[J].财会研究，2012（16）:60－64.

[7]刘建中，李腾巍.论会计师事务所对企业内部控制制度的监督与评价[J].会计之友，2009（4）:35－37.