谢春宇
(深圳市康宁医院,广东 深圳 518020)
为了规范行政事业单位内部控制,全面推进行政事业单位内部控制的建设,我国出台了《行政事业单位内部控制规范(试行)》(财会〔2012〕21号),《财政部关于全面推进行政事业单位内部控制建设的指导意见》(财会〔2015〕24号)等相关文件。内部控制是行政事业单位管理工作中的重要组成部分,自从相关规范颁布之后,许多行政事业单位都开展了内部控制建设工作,也取得了一些不错的工作成效。但由于行政事业单位自身的公益性和内控建设的复杂性,目前我国行政事业单位内控建设普遍还比较落后,存在许多缺陷和不足,严重制约着行政事业单位的工作效率和效果,影响公共服务质量的提升。在新时代的发展需求下,对行政事业单位内部控制制度进行深入探索和研究,构建完善的行政事业单位内部控制体系势在必行。
内部控制,是指单位为实现控制目标,通过制订制度、实施措施和执行程序,对经济活动的风险进行防范和管控。按照今天的COSO(1992)的内部控制框架与COSO(2004)的风险管理框架,内部控制目的主要是为了保护资产、保证会计资料可靠性和准确性,提高经营效率,推动管理部门所制定的各项政策得以贯彻执行。我国现行的《行政事业单位内部控制规范(试行)》也对内部控制目标有明确的规定:一是合理保证经济活动合法合规。增强行政事业单位的法制观念和意识,自觉遵守法律法规,通过各个业务流程的梳理和再造,防范法律法规风险。二是合理保证资产安全和有效使用。通过全面预算、采购业务、资产管理等管理规范完善相应流程。三是合理保证财务信息真实完整。按照国家相关法律法规,规范会计核算,加强会计基础工作,保证会计资料真实完整。四是有效防范舞弊和预防腐败。通过对不相容职务进行分离、权责对等设置以及加强事前、事中和事后审计纪检监督等措施,树立廉洁和勤勉敬业的良好风气,防止舞弊和腐败。五是提高公共服务的效率和效果。确保行政事业单位规章制度和为实现公益性目标而采取的重大措施得以贯彻执行,保障经营管理的有效性,提供经营活动的效率和效果。在此之外,行政事业单位应该结合自身的业务特点,注重完善权责架构和单位发展战略等目标。
《行政事业单位内部控制规范(试行)》规定了我国行政事业单位建立与实施内部控制应当遵循四大原则,分别是全面性原则、重要性原则、制衡性原则和适应性原则。与此同时,我们应注意到行政事业单位在建设内部控制体系的时候,既要考虑承担公共服务职能所具有的公益性特征,也要权衡内控的实施成本与预期的效益,应以适当的成本实现有效控制。例如在内控建设中有些业务可以不断增加控制点来达到较高的控制效果,但控制点的增加意味着成本的增长,因此在考虑内部控制原则时,除应遵循四项一般原则外,还必须考虑公益性原则和成本效益原则。
当前我国一些行政事业单位在内控管理过程中存在观念误区,由于行政事业单位作为非盈利机构,资金主要来源于国家财政预算安排,资金使用目的是提高单位的公共服务能力,因此往往会缺少资金的管控意识。一些行政事业单位领导人员对内部控制的重要性和现实意义认识不到位,认为内部控制就是财务控制,仅和财务部门相关,由财务人员把关即可,不需要涉及其他的部门和人员,把内部控制限定在会计控制的范围,片面重视单位内会计控制的发展,却忽视了对单位业务过程全覆盖内部控制的管理。
行政事业单位是否建立了完善的内部控制制度是影响内控执行效果的直接因素。一些行政事业单位尚未建立专门的内控制度,或者只是制定了部分与内控相关的会计控制、资产管理等制度,不完整不完善。还有一些行政事业单位虽然建立了完整的内控制度,但是缺乏操作性或者对制度的执行及效果缺乏必要的监督,没有真正将内控工作落实。实际工作中,大多数行政事业单位往往一把手一人独大,即使有制度实行起来也会有种种障碍,使得内控形同虚设。[1]
现阶段多数行政事业单位内部控制工作缺乏组织结构顶层设计方面的支撑,没有形成高级管理层直接负责下的内控组织体系,部门层次重叠职责界定不清,部门间牵制力有限,不能保证内控实施的独立性。组织结构对内部控制的影响是深层次的,组织结构缺陷容易导致行为凌驾于内部控制之上而使内控失效,置单位于未知风险之中。
目前多数行政事业单位尚未形成良好的与内部控制有关的风险管理文化。一是未能在全员范围内正确理解内部控制,未能明确全员在内部控制中的职责,片面认为内控是财务审计部门和纪检监察部门的责任,往往导致风险被忽略;二是在实际工作中缺乏风险评估和相应的风险应对机制,与风险评估相关的管理制度内容浮于表面、难以量化,在执行层面存在很大的障碍。因此,风险管理机制的缺乏导致行政事业单位风险管理工作相对滞后。
部分行政事业单位人员对内控理解不深刻,对内控业务流程不熟悉,虽然行政事业单位根据上级要求制定了相关的内部控制制度,比如财务管理制度、资产管理制度、廉政风险防控制度等,但实际工作中由于人员有限、工作繁琐、专业胜任能力不强等原因,导致行政事业单位内部控制执行不力。例如,采购制度规定超过一定金额的采购业务必须履行严格的审批,但采购部门却通过分拆的办法来规避严格的审批手续。另外,对不相容的岗位和职务,即使采取了相应的分离控制手段,如果两个或两个以上的员工串通舞弊的话,也会导致相应的控制措施失效。
内外部监督能使单位发现内部缺陷,并加以及时改进,是实施内部控制的重要保证。实际工作中有些单位未设置内部审计部门,即使有设置,也没有具备相应的权威性和独立性。有些单位内部审计部门规模较小人员数量有限,或者内审人员由财务人员兼任,在一定程度上影响其独立开展工作。此外,对内部控制评价往往仅关注对控制活动的评价,而忽略对内部控制环境和信息沟通的评价。[2]从外部监督来看,财政部门和审计部门往往将重点放在财务报表和重大项目的合法合规上,而忽略了对单位内控建设制度的检查。由于内外部监督力度不足,导致行政事业单位忽视内部控制建设,内部控制制度设计合理性和执行有效性很难得到保证。
树立正确的内部控制建设观念,全面认识内部控制制度建设的重要性,是内部控制制度建立健全的重要保证。行政事业单位应当明确领导班子在内控体系建设中的主体责任,落实一把手在内控实施中的表率作用和领导责任,落实班子其他成员在不同业务流程管理中的分管责任。完善行政事业单位内部控制体系建设,是当前深化改革,增强风险防范的一项重要管理内容。行政事业单位应以内部控制环境为基础,以风险评估为导向,以控制方法为手段,以信息沟通为桥梁,以监督与评价为推动力积极探索适合本单位实际情况的内部控制体系。
首先,建立完善的权责架构,明确领导班子和议事机构的职责、权利和义务,建立健全议事制度和决策制度,确定“三重一大”事项的划分方式和范围。结合单位业务特点和内控要求设置内部机构,明确职责权限,并将权利落实到各责任部门,明确各项业务权限,编写权限指引。其次,健全内部控制管理架构。行政事业单位应当在领导班子的领导下组建内部控制委员会,确定内控建设和实施的专职部门或牵头部门。内控部门应当明确权责范围,并配备具有内部控制与风险管理专业知识能力的适当人员,确保内控部门有对各职能部门内控建设直接沟通和监督的权利,同时内控部门能直接向领导班子报告内控工作的相关情况。内控部门在开展内部控制相关工作过程中,应当充分发挥内部审计、纪检监察、政府采购、基建、资产管理和财务部门的作用。
行政事业单位应本着从实际出发、务求实效的原则,围绕单位总体战略,积极开展单位内外部风险识别、分析和管理工作,通过在业务活动过程中执行风险管理的基本流程,培育良好的风险管理文化,建立健全风险管理体系。同时将全面风险管理和内部控制相结合,在现有体系基础上融入风险管理的要素,建立健全全面风险管理和内控体系。风险评估是风险管理的核心内容,行政事业单位应当建立业务活动定期评估机制,成立风险评估小组,对单位存在的内外部风险进行全面的和系统的评估。原则上风险评估每年进行一次,当内外部环境、业务活动等发生重大变化时,应及时对风险进行重估,重点关注单位层面和业务层面的关键风险领域,将影响单位目标实现的风险降低到可以接受的水平。风险评估结果应当形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。[3]
预算管理是行政事业单位业务层面控制工作的重中之重,涵盖单位工作的方方面面,对单位目标的实现影响显著,这就突出了与之相关的内部控制的重要性。行政事业单位通过预算管理来监控发展目标的实施进度,实现业务的可控、有序开展,通过对预算执行情况的分析和评价,实现预算的绩效管理。因此行政事业单位应当建立健全全面预算管理制度,强化预算动态管理思维,设置合理的事前、事中、事后预算控制流程,加强预算编制、执行和考核评价的控制,有效发挥预算的指导与控制作用。在预算编制方面,应当制定实施包括预算草案编报、批复和下达在内的政策和程序;在预算执行方面,应当制定预算指标分解、预算执行分析、动态调整等政策和程序;在预算评价方面,应当制定实施决算编制、决算审批、预算考核与评价等政策和程序。
由于会计部门的核算职能,单位所有经济活动都与会计部门产生关联,会计控制便成了行政事业单位内部控制的重要抓手。会计控制能否有效发挥作用取决于多方面因素,首先,科学完善的会计管理制度对推动经济活动管理科学化、效率化至关重要;其次,会计工作非常依赖基础性工作,良好的会计基础工作是会计控制发挥作用的前提;再者,一切工作都有赖于人,会计控制要求单位配备足够数量德才兼备且具备专业胜任能力的会计人员。
行政事业单位财产归国家所有,促进国有资产保值增值是法律义务,同时《行政事业单位内部控制规范(试行)》明确指出资产安全和使用有效是内部控制主要目标之一,因此行之有效的财产保护控制十分重要。行政事业单位应当建立财产日常管理制度和财产清查制度,真实完整地记录各项资产,加强实物资产保护,开展定期盘点和不定期盘点,确保账实相符,确保资产安全完整。
行政事业单位应根据各自实际情况构建信息化共享平台,利用信息化技术,将单位内部各个部门人财物互相连接,实现互联互通。在建立信息系统时单位应该根据自身的发展战略目标、风险控制和业绩考核的特点,科学、系统地规范不同层级的报告指标系统,并与全面预算相结合。明确内部控制相关信息的收集、处理和传递程序,对收集到的内部和外部信息进行合理筛选、核对、整合,提高信息的有用性。另外,利用信息技术,促进信息的集成与共享,提高信息与沟通的效率和效果。基于防止舞弊和预防腐败的目的,行政事业单位应建立健全举报投诉制度和举报人保护制度,并及时把制度传达至全体员工,确保举报和投诉成为有效掌握信息的重要途径。
行政事业单位的领导班子应对内部控制监督和评价工作高度重视和大力支持,使单位内控监督和评价部门有充分的权威性。原则上内控的监督和评价部门与内控建设部门应相对独立,一般由内部审计部门作为内控监督和评价的牵头部门,组织、领导单位内控监督评价工作。内控监督和评价部门应至少每年对内控设计的有效性和运行的有效性进行全面的监督和评价。设计的有效性主要考虑合规性、适当性和全面性三方面,运行的有效性主要考虑控制措施是否有效运行,是否持续一致,执行人员是否具备相应专业能力三方面。除日常监督之外,内控监督和评价部门应根据具体情况不定期地开展专项监督,发现内控设计和运行中存在的问题,并提出持续改进完善的建议,督导各职能部门不断完善内部控制流程。
外部专业中介机构兼具专业性和独立性,可以为行政事业单位提供独立客观专业的内部控制评价和审计服务。行政事业单位应当发挥外部审计等专业中介机构在内控建设中的促进作用,特别是一些人手缺乏,力量单薄或专业胜任能力不足的单位,可以聘请会计师事务所等专业中介机构提供有关的咨询服务或内控审计服务(两者不得为同一专业机构)。对外部专业中介机构发现的问题和薄弱环节,采取有效措施,使内控制度更加完善,发挥应有的作用。[4]
综上所述,我国行政事业单位内部控制的建设还存在很多问题和不足,不仅造成财务信息不实失真,公共服务效率和效果的低下,甚至会导致发生违法违规行为、国有资产闲置流失等严重后果。因此,行政事业单位必须高度重视内部控制制度的建设,采取确实可行的措施,不断完善内部控制体系,规范单位各项业务工作流程,为单位进一步发展打下坚实基础。