浅谈事业单位引入COSO内控框架的创新实践

富佳宁

摘要：财政部于2012年11月颁布了《行政事业单位内部控制规范（试行）》（财会〔2012〕21号），并要求各单位于2014年1月起实行。规范颁布的核心是提高内部管理水平、规范内部控制、加强廉政建设、强化风险应对机制建设。但是，此规范对比美国反虚假财务报告委员会（COSO）发布的《内部控制-整合框架》仍然差距较大。文章通过借鉴COSO内部控制整合框架的基础上，对事业单位内控工作进行创新改进，为相关单位提供实际工作参考借鉴。

关键词：事业单位；内部控制；COSO框架；创新实践

一、事业单位内部控制概述

行政事业单位内部控制指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。该系统由风险评估、控制活动和内部监督三要素组成，是为实现业务运行的效果和效率、财务报告的可信性、对适用的法律、法规的遵从提供合理的保证。是政府组织管理不可或缺的组成部分，是行政事业单位为履行职能和应对风险的自我约束和规范的过程，是党中央“八项规定” 和“厉行节约反对浪费”的内在要求。内部控制在保护资产安全，预防和发现过错、舞弊中，也起到至关重要的作用。它是一种强调以预防为主的制度。

事业单位是我国政治体制下特有的产物，以政府职能、公益服务为主要宗旨，政治、经济、民生等各个领域均有所涉及，对于推动我国经济、文化建设、维护社会公共秩序发挥着重要作用。随着我国经济结构调整和转型升级不断深入，经济运行的内生动力和稳定性日益增强，供给质量提高，实体经济持续向好，并正转向高质量经济发展阶段。完善的内部控制，可以有效降低违法、违纪等经济案件无法被发现的风险，是实现良好治理的关键。

二、我国事业单位内部控制与COSO框架之间的对比

《内部控制-整合框架》分为三个维度。三大内控目标：运营控制、报告控制、合规性控制；五个关键要素：控制环境、风险评估、控制活动、信息与沟通、监控活动；内部控制在组织结构中要素：公司层面控制、分支机构层面控制、业务活动控制。这个模型告诉我们，任何一个组织的内控并不仅仅是单独的内控目标，而是一个多层多维度的思维，每个单元都在三个维度与其他要素产生联系。

而我国《行政事业单位内部控制规范（试行）》将内控要素分为：风险评估、控制、评价与监督。相比两者框架，我国行政事业单位内控框架没有三维立体的控制考量，没有体现出如何设计、实施和执行内部控制，也没有体现出开展内部控制体系有效评估最为基本的要求，内容过于狭窄，过度强調制度措施，缺乏针对性和可操作性，仅从总体上对内部控制提出原则性指导，在控制环境、信息与沟通两个要素上缺失，在风险评估、控制活动、评价与监督三个要素上仅限于具体财务业务控制制度化，直接导致该规范形同虚设，最终无法得到完善的控制体系。

三、事业单位COSO内控创新实践

（一）控制环境

控制环境位于COSO内部控制要素的顶层，是一个单位内部控制建立和实施的前提，是其他四大要素的基础，影响着三个目标及所有业务单元和实体活动，它对强调风险意识和控制活动融入日常工作中职责范围提供指导。此要素在行政事业单位内控规范完全缺失，借鉴COSO内控框架，事业单位控制包含以下环境要素。

1. 强调单位全体成员的诚信观和道德观，制定《行为准则规范手册》并要求全体成员做出承诺。

2. 确立组织架构及相应的权利和责任。事业单位不同于企业，法人必须对内部控制的建立健全及有效的实施负全责，同时，充分发挥财务部门、内审部门、纪检监察部门在内控中的积极作用。根据上级主管部门的要求及单位实际情况，主动调整组织结构，设计内控职能岗位，处理好单位组织结构中的决策、执行和监督权力的配置，形成相互制约的三权分立的有效体制。建议事业单位内控的组织架构分为党组织机构和业务机构。党委会行使权力机构、决策机构职能，实行党委负责制领导班子集体决策机制，决策中采用集体讨论、专家论证和技术咨询相结合的议事决策机制，有效杜绝一人说了算的现象，决策结果要与干部任免升迁挂钩；纪律检查委员会行使监督机构职能，对账务、预算和决算进行审核并提出审核意见、对领导执行职务的行为进行监督、对违反法律、行政法规的人员提出处理建议。抓好党风廉政建设和开展反腐败斗争。提出加强党风廉政建设的意见和建议，确保党风廉政建设责任制落在实处；业务机构是业务执行机构，明确重要关键岗相关责任、权限。

3. 加强事业单位人事建设，吸引、培养和留任优秀人才，建立业绩衡量、激励和奖励制度。事业单位应根据实际情况，建立有益于责任履行的业绩衡量、激励和其他奖励制度。有效的人事政策和程序是整个控制环境的重中之重。没有强有力的人事政策，那么来自单位负责人的强有力信息也很难达到预计效果。

（二）风险评估

风险是事业单位在参与经济建设过程中出现某些不利影响因素的可能性。风险评估是事业单位及时识别、评估与分析组织层级与业务层级中影响内部控制目标实现的相关风险，科学合理的确定风险应对策略，是单位内控管理的中心环节，有效全面的识别风险并加以解析，可以条理清晰的应对风险。

《行政事业单位内部控制规范》仅仅从单位层及业务层对风险评估做出要求。单位层风险评估强调：内控工作组织、内控机制建设、内控制度完善、关键岗位员工管理、财务信息编报，在业务层面风险评估仅仅是关注预算、收支、采购、资产、建设项目及合同的管理。相比COSO框架，缺少外部因素风险、内部因素风险、运营风险、财务风险、技术风险等的识别和分析。也没有考虑单位风险承受能力。主要原因在于，事业单位多有国家拨款，相关风险由国家兜底，缺乏风险意识。借鉴COSO内控框架，事业单位风险评估要素至少需要包含：

1. 成立风险评估小组，确定相关风险。必须明确的外部相关因素风险：政治、经济、行业、法律法规变化、客户需求等方面的风险。内部因素风险：声誉、战略重点、专利保护风险。合规性风险：环境、监管、诉讼等风险。技术风险：信息获取、业务持续性、基础设施等风险。并对上述风险进行每年一次的风险评估报告，确定风险承受能力。

2. 建立主动舞弊防御模式。事业单位或多或少掌握着国家公共资源。当今，我国法律体系并不健全，政府体系缺乏公共权力有效的监督，行政事业单位面临着滥用权力、潜在舞弊腐败的风险，传统的审计工作大多是依靠审计署、巡视组的事后检查模式已经无法满足现状，贪污腐败情况并没有减少，而且问题不断出现。我单位根据COSO框架，建立起舞弊主动防御模式。充分利用好舞弊者对处罚的畏惧心理是防范舞弊最有效的手段。

（三）控制活动

控制活动当属整个控制框架中最核心的要素，贯穿于整个单位，遍及各个层级、业务部门和流程以及技术环境。确保单位各层级都能采取关键的控制措施，以实现风险降低，财务报告的真实完整等目标。《行政事业单位内部控制规范》内部控制要素包括了单位层级和业务层级，强调岗位设置、决策机制、互不相容岗位分离、内部授权与审批、预算控制、财产保全控制、会计控制、归口管理、信息内部公开等控制。相比COSO框架，COSO强调控制活动与风险评估相结合。而行政事业单位内控规范强调以预算为主，资金管控为重点，通过对资金管控延伸到各业务部门。然而事业单位众多，服务类型、业务内容不尽相同，业务风险并不低，单独强调经费管控未免有失偏跛。

单位结合COSO框架，引入“控制活动与风险评估相结合”原则，强调风险管理对建立有效的内部控制系统的重要性。在评估相关风险后，确定是接受还是规避，制定接受或规避的控制措施，降低风险发生的可能性和减少风险發生所造成的影响，将影响单位实现目标的风险降低至可接受水平。将控制活动分为：验证、对账、授权与审批、物理控制、数据控制、监督控制，完整绘制单位层级和业务层级控制流程图，做到控制有据可依。

（四）信息与沟通

信息是内部控制实现单位制定目标的重要因素，充分利用内外部资源，来获取高质量信息，可以支持内部控制各个要素充分发挥作用。内部沟通可以促使信息在单位内部上传下达、广泛传播，外部沟通可迅速让单位获得所需的外部信息，并对外部信息做到及时反馈。信息与沟通起到其他四个要素的桥梁作用。《行政事业单位内部控制规范》中此要素完全缺失，借鉴COSO内控框架，补充信息与沟通要素。首先，建立信息传递制度，明确内、外部信息的有效收集、处理、传递程序，确保信息传递顺利，信息传递及时、有效。其次，严防信息的安全。第三，建立《内控失效的保护机制制度》设立举报电话、邮箱，保证这一信息来源的通畅，保证“主动舞弊防御机制”有效。

（五）监督活动

监督活动可以有效地评估控制环境、风险评估等其他内部控制要素以及内部控制目标的运行情况，对相关单元进行持续评估和个别评价，确认内部控制系统运行有效，及时与管理层沟通所发现的缺陷。但《行政事业单位内部控制规范》评估评价一项缺失。因此结合实际，建立《内部控制监督制度》，明确要求纪律检查委员会职责 、监控流程、收集信息方法，明确持续监督和专项监督，分析内部控制缺陷原因，最终评价内控效果，形成自我评价报告。

四、事业单位COSO内部控制创新应注意的问题

（一）财务升级为领导决策支撑部门

由于事业单位大多没有单独的内部控制部门及专业人员，因此，相关内控建立及评价报告工作落到了事业单位财务人员身上。

这就要求财务人员不但要求财务自身专业技术过硬，还要具备内部控制的专业知识，财务人员需要积极面对挑战，展现自身实力，关键展现良好的判断力。内部控制报告的形成，不再是财务单打独斗，而是延伸至各业务部门进行团队作战。

长期以来，会计人员常被戏称为“数豆子的人”。但现如今，财务只会数豆子应感到愧疚，我们应该超越数豆子，着手全面了解豆子是怎样生长，准确判断组织关键风险的所在之处，尽可能抬高自己眼界，掌握稳健的持续评估风险方法，发现和评估新兴风险，这就需要财务部门具备“诚信、勇气、好奇心和求知欲”将财务部门打造成为管理层的咨询部门。

（二）消除舞弊实现机会，建立防腐败长效廉政机制

党风廉政建设是事业单位治理的重要工作。事业单位内部加强党风廉政建设既是全面从严治党的要求，也是反腐反舞弊的要求。“出现舞弊事件-上级纪检监察检查-发现问题-处理”的传统审计模式已经无法适应当前需要。建立“主动舞弊防御模式”，建设防控机制、完善管理制度、加强教育宣传、强化监督，尽可能在事前发现舞弊。

总之，《行政事业单位内部控制规范》的颁行，代表我国行政事业单位内控理论系统有了较大的进步，但实际经验十分缺乏，与COSO《内部控制-整合框架》和《联邦政府内部控制准则》相比，仍然差距较大，缺陷较多。内部控制的建设、实施也不是单纯的依靠财务人员就能解决的，这是一个系统性的工程，需要从上到下全员参与才有望得到改善。我们应该虚心学习西方发达国家政府内部控制发展的实际经验，充实自己的头脑，积极主动的改善我国事业单位内控现状，而不是闭门造车。

参考文献：

[1]财政部.行政事业单位内部控制规范（试行）[S].2012.

[2]财政部，证监会，银监会，保监会及审计署.企业内部控制基本规范[S].2008.

[3]Treadway，COSO.内部控制-整合框架[M].中国财政经济出版社，2014.

[4]Lawrence B.Sawyer.索耶内部审计[M].中国财政经济出版社，2005.

[5]刘永泽，唐大鹏.关于行政事业单位内部控制的几个问题[J].会计研究，2013（01）.

[6]李雨阳，王海滨.行政事业单位内部控制建设标准模板研究[J].商业会计，2018（08）.

[7]陈菡，陈爱华.行政事业单位与企业内部控制规范：差异分析[J].生产力研究，2013（10）.

（作者单位：中国化工经济技术发展中心）