许秀菊

摘 要：《行政事业单位内部控制规范（试行）》于2014年1月1日施行，事业单位内控终于有了统一规范，相较于企业，我国事业单位因为自身性质以及收支两条线等原因内控一直比较薄弱，领导一般认为外部控制已经很好了，财务内控不再重要，所以始终不受重视。对内部控制与风险管理的关系实务界都基本一致认同二者是紧密相连密不可分的，甚至二者的目标完全相同。本文将以风险管理为切入点，对基于风险管理的事业单位内部的研究基础进行阐述

关键词：事业单位；内部控制；风险管理

一、问题的提出：

《行政事业单位内部控制规范（试行）》规范了规范风险管理：基于风险管理的行政事业单位内部控制的完善，对行政事业单位内部控制进行现状及存在的主要问题进行分析，结合风险管理的方法，通过逻辑推理的角度可以构建出风险管理、内部控制、行政事业单位管理三者的整合框架，同时也规范了会计控制：要建立健全本单位财会管理制度，加强会计机构建设，提高会计人员业务水平，强化会计人员岗位责任制，规范会计基础工作，加强会计档案管理，明确会计凭证、会计账簿和财务会计报告处理程序；，同时总结事业单位内部控制的不足之处，可以从风险管理的角度对行政事业单位内部控制进行完善。

（一）基于风险管理的行政事业单位内部控制内涵

内部控制与风险管理的关系。内部控制与风险管理都是为了实现单位的目标，但是从时间上来看，内部控制的起源早于风险管理。内部控制由传统的内部牵制制度逐步发展为以风险为导向的内部整合框架，风险管理也由分散的财务、经营和战略风险管理逐步发展为整合风险管理。实践证明，内部控制的有效实施有赖于风险管理的技术方法，而风险管理离开了内部控制作为手段支撑也将流于形式。而在我国的内部控制规范体系中将内部控制与风险管理融为一体。

基于风险管理的事业单位内部控制内涵。基于风险管理的事业单位内部控制就是以风险为导向，对事业单位现有的内部控制制度进行评价与风险识别，发现现有内部控制制度存在的问题与缺陷；对所存在问题与缺陷按其风险大小及重要程度进行风险评估，并提出相应的风险应对措施。也就是说，把现有的内部控制制度中的缺陷与问题归结为风险，树立“全面应对，抓大放小”的风险管理理念。

（二）加强基于风险管理行政事业单位内部控制的必要性

通过加强基于风险管理的内部控制，有利于提高行政事业单位的风险防范能力，防止和及时发现、纠正错误及舞弊，符合相关法律法规的要求。

加强基于风险管理的内部控制是风险社会的发展及行政事业单位管理科学化趋势所在；加強基于风险管理行政事业单位内部控制符合相关法律法规的要求；加强基于风险管理行政事业单位内部控制是保护财政资产的需要。

二、事业单位内部控制的现状与问题分析

（一）内部控制意识淡薄，缺乏风险管理理念。事业单位一般被认为旱涝保收，自认为地位高于一般企业，再加上事业单位一般属于国有或者集体所有，所以，其风险意识和风险关键都是缺乏的。仍停留在强调上级对下级的考评，或者是建立健全各部门的规章管理制度上，放弃对内部控制的建设。由于一直是靠国家的财政拨款扶持，使得行政事业单位缺乏对社会综合风险、组织内部风险、组织外部运营风险的关注，这对于国有财产的保护是极为不利的。在大部分行政事业单位中，会计人员扮演的仅仅是“记账员”或者是“付款员”的角色，这就使得财务的控制与监督流于形式，会计人员无权参与重要的管理活动，对于重要决策的过程和结果更是不了解。如此一来，即使是其他环节出现问题造成损失浪费或者国有资产的流失都归责与会计人员，会计人员成为了行政事业单位内部控制的牺牲品。

（二）缺乏风险识别与风险评估机制。事业单位一般是上级拨款，收支两条线，这样的模式导致一般事业单位缺乏风险识别意识，更谈不上风险评估机制。缺乏理性思考，这无疑会给行政事业单位和国家带来了巨大的资金损失。

（三）风险应对措施不完善。行政事业单位对于投资项目的后续管理及处置的内部控制也相对薄弱，在面对风险时，大部分行政事业单位不能够根据本单位的风险偏好、风险可接受程度、风险发生的原因以及风险的重要性水平，结合本单位所面临的内外部环境确定适当的风险应对措施，造成投资活动进退两难，愈来愈背离投资的原始期望。即使查出问题所在，其处罚往往是重人情轻规定的，如此一来使得本该杜绝的问题及风险一次又一次地上演，给单位带来的累进损失也不断地增加，使内部控制制度仅仅流于形式，无法发挥其真正效用。何时进行风险规避，何时应该选择风险降低策略，何时进行风险分担，何时选择风险承受，对于行政事业单位来说是一个不得不思考的关键性的问题。

三、基于风险管理的行政事业单位内部控制的完善

对事业单位内部控制进行现状及存在的主要问题进行分析，结合风险管理的方法，通过逻辑推理的角度可以构建出风险管理、内部控制、事业单位管理三者的整合框架，同时总结事业单位内部控制的不足之处，可以从风险管理的角度对行政事业单位内部控制进行完善。

（一）单位应当建立风险识别机制

在明确事业单位内部控制和发展战略的前提下，进行风险评估，识别单位各类潜在的风险是履行具体控制程序的基础和起点。一般而言，识别风险的技术方法有以下几个：

1、行业风险组合清单

同一行业的单位肯能具有相同或者类似的风险。事业单位可以通过国家政策、法律、法规、事业单位服务内容等公开渠道或者利用外部专业咨询机构资源，获取本行业的风险组合清单，作为识别本单位风险的基础和参考。

2、SWOT分析：SWOT（优势—劣势——机会——威胁）分析是企业战略制定过程中常见的管理技术。优势和劣势针对单位内部各种要素，包括组织架构、企业文化、财务资源和人力资源等；机会和威胁针对企业外部面临的各类变量，这些外部变量在短期内对单位而言是不可控的，如政治、社会、环境、行业风险。这些SWOT分析成果是可以用来识别风险的。

3、职能部门风险汇总

事业单位将控制目标分解至各职能部门，由各职能部门根据分解的战略和目标，列举其责任内的各类风险，并经上级主管部门评估后予以确定。其优点在于可以识别各类细微的、容易被管理层忽视的风险；缺点在于过于重视各职能部门的风险，可能错过影响单位战略实现的重大风险。

4、头脑风暴

管理层组成人员和不同职能部门、不同岗位的员工对单位外部和内部可能存在的各类风险，因为其角度不一样，对风险的認识也不一样。这种由不同背景和不同经验、不同偏好的人员共同参与的头脑风暴，有助于识别潜在的、不易被察觉的风险。

5、问卷调查：通常是针对一项新的业务或事项进行的风险识别方法。

（二）完善和健全内部控制

与企业要有战略控制和单位层面控制不同，事业单位的建制以及高层人士安排一般由上级决定，所以，事业单位的业务层面控制就成为其内部控制的核心内容。

业务层面控制，是指运用各种控制手段和方法，针对具体业务和事项实施的控制。其主要内容如下：

（1）资金活动控制，就事业单位尤其是全额拨款事业单位而言，主要就是支出控制，自收自支事业单位就要把收入、支出都要列入其中。货币资金由于其流动性最强，所以最有可能被挪用、侵占、抽逃或遭受欺诈。事业单位加强对资金的会计系统控制，主要应该按预算要求组织协调资金调度，实现资金的合理占用和良性循环，严禁存在“小金库”等体外资金循环现象，对支出进行严格的审批，严禁擅自改变资金用途。办理资金业务，应当遵守现金和银行存款管理的有关规定，不得由一人办理货币资金的全过程业务，严禁办理资金业务的相关印章和票据集中一人保管。

按事业单位会计制度和事业单位内部控制规范的要求，管理好出纳这个资金管理的核心职位，资金风险基本上就控制住了。

（2）资产管理控制。资产，指事业单位拥有或者控制的存货、固定资产、无形资产。一句话，就是保证其安全和完整。建立资产日常管理制度和定期盘点清查机制，采取资产记录、实物保管、定期盘点、账实核对等措施，确保资产安全与完整。

（3）加强工程项目控制。有工程项目的单位，无疑其工程项目就是最容易发生决策不当、工程造价不实、项目招标暗箱操作，权钱交易、工程物资价高质次，项目工程低劣、项目进度延迟或中断、项目资金不落实乃至竣工验收不合格等风险。单位要从项目可行性研究、项目立项、招标、监理、验收等内部控制关键控制点采取关键控制措施，规避上述风险。并建立项目完工后评估制度，重点评价工程项目预期目标的实现情况和投资效益，并以此作为绩效考核和责任追究的依据。

（三）借用外部专业咨询机构的力量

加强事业单位的内部审计、借用外部审计即政府审计或者民间审计的力量，利用这种外部专业机构以提高自身识别风险的效率和效果，以达到降低或者规避风险的目的。

（四）利用好预算这个关键控制工具

事业单位业务层面控制主要包括预算业务控制、收支业务控制、资产控制、建设项目控制和合同控制，因为这些业务涵盖了事业单位主要的经济活动内容，所以抓好预算控制就抓住了事业单位控制的核心，事业单位应当建立健全预算编制、审批、执行、决算与评价等预算内部管理制度，合理设置岗位，明确相关岗位的职责权限，确保预算编制、审批、执行、评价等不相容岗位相互分离。