王泽斌
国有资产体量巨大,出现各种风险的几率几何级升高,必须进行内部控制,基于COSO五要素,正视难点,政策落地,灵活应对,才能有效管理单位内、外部风险。
近年来,我国行政事业单位资产规模、负债总量都上了新台阶,根据2018年国务院发布的最新国有资产管理报告统计,截至2017年底全国行政事业单位国有资产总额达30万亿元。
资产总额体量巨大,出现各种风险的几率几何级升高,必须进行内部控制,才能有效管理单位内、外部风险。内部控制既能用来测试单位内部把控外部环境变化、应对外部风险的管控水平,也能帮助单位很好的控制管理内部风险。
一、内部控制的定义
上個世纪,美国准则委员会提出:“内部控制,是单位为了提高经营效率、充分有效地获得和使用各种资源,达到既定管理目标,而在单位内部实施的各种制约和调节的组织、计划、程序和方法。”到上个世界末,美国COSO委员会(Committee of Sponsoring Organization)发布了《内部控制整体框架》,即“COSO 报告”。报告首次提出“现代内部控制的五大要素”,将“控制环境、风险评估、控制活动、信息与沟通、监督活动”这五大要素,先分别独立,又融为整体,从而对优化单位内部控制起到不同的功效。
二、我国行政事业单位内部控制制度建设的时间节点
2006年我国成立了企业内部控制标准委员会,2008年颁布《企业内部控制基本规范》,针对企业制定了五个目标。2010 年在此基础上颁布了配套指引,标志着企业化内部控制规范体系在我国行业内初步形成。
目前国内,针对行政事业单位的内部控制制度建设尚未能和企业相关制度比肩。2012年财政部印发《行政事业单位内部控制规范(试行)》,正式启动行政事业单位内部控制建设与实施的系统工程,属于指导框架性条例。
2015年底财政部发布《关于全面推进行政事业单位内部控制建设的指导意见(财会 〔2015〕24号)》的通知,明确列出行政事业单位加强内部控制建设的总体要求和主要任务,从实际操作上,为提高行政事业单位内部管理水平,规范内部控制,加强廉政风险防控机制建设提供了依据和指引。
三、行政事业单位内部控制中五要素存在的主要问题
(一)行政事业单位管理惯性较大、内部控制环境较为松散
我国行政事业单位一直沿用旧有的内控制度,也逐年上报单位内控自我评价报告,但难以扭转旧有的管理惯性。
核心问题是大多数管理者思想意识薄弱,部分管理者存在认知错误。很多职工也误以为内部控制只是领导的责任。导致单位内控制度不能全员参与执行。
其三,部分单位没有设置专门的内部控制机构、部门或管理委员会。而纪检、审计、财务、后勤、资产、基建等各部门缺乏有效的协调和联动机制,内部运作效率低。
(二)控制活动缺乏前瞻性,存在一定的滞后性
我国行政事业单位的类型不一,在互联网+的时代,难以预测未来会有哪些经济活动。而旧的内控制度却是对已经发生过的事项进项查漏,其控制内容存在相当的滞后。
(三)风险评估机制缺失
我国行政事业单位经济总量日趋增长,单位的战略风险、财务风险、市场风险、运营风险和法律风险等等,如果整体风险控制和管理意识薄弱,很难在预期之内进行风险评估。部分单位没有用内部控制把控经济活动,也没有设置风险管理部门进行风险识别、评估和应对。即使建立了风险管理机制,也因执行不力导致单位评估风险能力缺失,风险事件频发。
(四)信息系统和沟通渠道不完善,内部授权不尽合理
一方面看,行政事业单位的内部信息系统构建缺乏完整的内部控制机制,政策和内控的实施程序没有落地,有些单位职工使用信息平台效率不高;从另一面看,每个岗位的权限、职责都不同,如果对信息系统各岗位权限不加限制,不相容岗位相互粘黏,极易造成内部信息外泄、形成内部风险点。
(五)监督管理机制不健全
行政事业单位虽然基本都建立了内部控制制度,但缺乏监督管理机制。纪检部门和内部审计部门监督落实仍然不到位。单位职工也缺乏自主监督意识。
四、行政事业单位内部控制五要素的对策分析
(一)优化内部控制环境,加大内部整合力度
一个完善的控制环境能够有效降低各种风险的概率。内部控制的环境不仅取决于领导,也取决于单位的环境土壤。通常认为单位领导对内控负有直接责任,但单位职工对建立高效的内控制度也有相当部分的责任。行政事业单位领导者要主动承担,建立健全内部控制实施组织体系,职工也要提升重视程度,积极参与内控实施具体工作,在防范和化解单位面临的各项风险上形成合力。
同时,单位要着重成立专门的议事协调机构,出台专门的规章制度。
(二)强化控制活动,提高控制活动的前瞻性、预见性
单位应按照既定条例做好经济活动业务层面的内控,将预算管理、收支管理、建设项目管理、资产管理和合同管理,作为五大核心关注点,提升控制活动的频率。可采用不相容岗位相互分离、内部授权审批控制、预算控制、归口管理、会计控制、单据控制、财产保护控制和信息内部公开等多种方法,或叠加、或交替,进行内控活动实践,着力强化内部控制的预见性常规以外,单位还可根据实际,创新控制方法,调整控制流程,完善控制模块。
(三)打造专业的风险评估机制
按照现行规范,行政事业单位进行内部控制自我评价作为风险自我评估机制,但为提高效率,可成立专门的风险评估部门或者专业委员会,直接对管理者负责,定期召开风险评估会议,对单位的各项工作进行风险评估,评估结果及时通报单位各部门。如果单位经济活动风险点较多,还可进一步聘请专业风险评估机构进行深层次的风险评估。
(四)推进信息平台一体化建设,内部合理授权
行政事业单位要建立以网络平台、办公自动化(OA)为中心的信息和沟通系统,将控制流程、控制方法等要素植入信息平台,辅以财务系统、合同管理系统,减少人为操纵因素。同时,做好内部授权、分权限进入信息系统,尤其是财务系统,注意防止内部保密级信息外泄。要充分利用网络平台,整合资源,连接单位各部门的信息系统形成一体化大系统,使大系统互联、互通、互享,使平台成为沟通桥梁,成为信息聚点,成为单位各项活动成果的“战功墙”。同时也可通过建立总管理账号权限进行合理授权,有效防止因内部权限授权不当造成内部机密信息外泄的风险。
(五)做好内部监督和外部监督的结合
在目前的外部监督为主的基础上,强化内部监督,将风险控制在萌芽状态,各部门加强联动,强化问题导向,充分协作,广泛发动群众,结合内部监督和外部监督,将内控效用发挥至最大。
五、建议
我国行政事业单位资产总量规模较大,事业单位情况比较复杂,套用一种内部控制规范虽然方便统一管理,但由于行政事业单位体量巨大,需要个性化管理,才能符合单位的发展需要。
还要关注制度和效率的统一。既要打造完善的内部控制制度,防止出现内外部风险,也要对单位的发展做好保障,使单位资源不仅用于内部整合,也要用于向外拓展。内部的存量问题用增量来解决,才能实现发展,才能满足行政事业单位做好内控的最大初衷。(作者单位为江苏省水利科学研究院)