王泽斌

国有资产体量巨大，出现各种风险的几率几何级升高，必须进行内部控制，基于COSO五要素，正视难点，政策落地，灵活应对，才能有效管理单位内、外部风险。

近年来，我国行政事业单位资产规模、负债总量都上了新台阶，根据2018年国务院发布的最新国有资产管理报告统计，截至2017年底全国行政事业单位国有资产总额达30万亿元。

资产总额体量巨大，出现各种风险的几率几何级升高，必须进行内部控制，才能有效管理单位内、外部风险。内部控制既能用来测试单位内部把控外部环境变化、应对外部风险的管控水平，也能帮助单位很好的控制管理内部风险。

一、内部控制的定义

上個世纪，美国准则委员会提出：“内部控制，是单位为了提高经营效率、充分有效地获得和使用各种资源，达到既定管理目标，而在单位内部实施的各种制约和调节的组织、计划、程序和方法。”到上个世界末，美国COSO委员会（Committee of Sponsoring Organization）发布了《内部控制整体框架》，即“COSO 报告”。报告首次提出“现代内部控制的五大要素”，将“控制环境、风险评估、控制活动、信息与沟通、监督活动”这五大要素，先分别独立，又融为整体，从而对优化单位内部控制起到不同的功效。

二、我国行政事业单位内部控制制度建设的时间节点

2006年我国成立了企业内部控制标准委员会，2008年颁布《企业内部控制基本规范》，针对企业制定了五个目标。2010 年在此基础上颁布了配套指引，标志着企业化内部控制规范体系在我国行业内初步形成。

目前国内，针对行政事业单位的内部控制制度建设尚未能和企业相关制度比肩。2012年财政部印发《行政事业单位内部控制规范（试行）》，正式启动行政事业单位内部控制建设与实施的系统工程，属于指导框架性条例。

2015年底财政部发布《关于全面推进行政事业单位内部控制建设的指导意见（财会 〔2015〕24号）》的通知，明确列出行政事业单位加强内部控制建设的总体要求和主要任务，从实际操作上，为提高行政事业单位内部管理水平，规范内部控制，加强廉政风险防控机制建设提供了依据和指引。

三、行政事业单位内部控制中五要素存在的主要问题

（一）行政事业单位管理惯性较大、内部控制环境较为松散

我国行政事业单位一直沿用旧有的内控制度，也逐年上报单位内控自我评价报告，但难以扭转旧有的管理惯性。

核心问题是大多数管理者思想意识薄弱，部分管理者存在认知错误。很多职工也误以为内部控制只是领导的责任。导致单位内控制度不能全员参与执行。

其三，部分单位没有设置专门的内部控制机构、部门或管理委员会。而纪检、审计、财务、后勤、资产、基建等各部门缺乏有效的协调和联动机制，内部运作效率低。

（二）控制活动缺乏前瞻性，存在一定的滞后性

我国行政事业单位的类型不一，在互联网+的时代，难以预测未来会有哪些经济活动。而旧的内控制度却是对已经发生过的事项进项查漏，其控制内容存在相当的滞后。

（三）风险评估机制缺失

我国行政事业单位经济总量日趋增长，单位的战略风险、财务风险、市场风险、运营风险和法律风险等等，如果整体风险控制和管理意识薄弱，很难在预期之内进行风险评估。部分单位没有用内部控制把控经济活动，也没有设置风险管理部门进行风险识别、评估和应对。即使建立了风险管理机制，也因执行不力导致单位评估风险能力缺失，风险事件频发。

（四）信息系统和沟通渠道不完善，内部授权不尽合理

一方面看，行政事业单位的内部信息系统构建缺乏完整的内部控制机制，政策和内控的实施程序没有落地，有些单位职工使用信息平台效率不高；从另一面看，每个岗位的权限、职责都不同，如果对信息系统各岗位权限不加限制，不相容岗位相互粘黏，极易造成内部信息外泄、形成内部风险点。

（五）监督管理机制不健全

行政事业单位虽然基本都建立了内部控制制度，但缺乏监督管理机制。纪检部门和内部审计部门监督落实仍然不到位。单位职工也缺乏自主监督意识。

四、行政事业单位内部控制五要素的对策分析

（一）优化内部控制环境，加大内部整合力度

一个完善的控制环境能够有效降低各种风险的概率。内部控制的环境不仅取决于领导，也取决于单位的环境土壤。通常认为单位领导对内控负有直接责任，但单位职工对建立高效的内控制度也有相当部分的责任。行政事业单位领导者要主动承担，建立健全内部控制实施组织体系，职工也要提升重视程度，积极参与内控实施具体工作，在防范和化解单位面临的各项风险上形成合力。

同时，单位要着重成立专门的议事协调机构，出台专门的规章制度。

（二）强化控制活动，提高控制活动的前瞻性、预见性

单位应按照既定条例做好经济活动业务层面的内控，将预算管理、收支管理、建设项目管理、资产管理和合同管理，作为五大核心关注点，提升控制活动的频率。可采用不相容岗位相互分离、内部授权审批控制、预算控制、归口管理、会计控制、单据控制、财产保护控制和信息内部公开等多种方法，或叠加、或交替，进行内控活动实践，着力强化内部控制的预见性常规以外，单位还可根据实际，创新控制方法，调整控制流程，完善控制模块。

（三）打造专业的风险评估机制

按照现行规范，行政事业单位进行内部控制自我评价作为风险自我评估机制，但为提高效率，可成立专门的风险评估部门或者专业委员会，直接对管理者负责，定期召开风险评估会议，对单位的各项工作进行风险评估，评估结果及时通报单位各部门。如果单位经济活动风险点较多，还可进一步聘请专业风险评估机构进行深层次的风险评估。

（四）推进信息平台一体化建设，内部合理授权

行政事业单位要建立以网络平台、办公自动化（OA）为中心的信息和沟通系统，将控制流程、控制方法等要素植入信息平台，辅以财务系统、合同管理系统，减少人为操纵因素。同时，做好内部授权、分权限进入信息系统，尤其是财务系统，注意防止内部保密级信息外泄。要充分利用网络平台，整合资源，连接单位各部门的信息系统形成一体化大系统，使大系统互联、互通、互享，使平台成为沟通桥梁，成为信息聚点，成为单位各项活动成果的“战功墙”。同时也可通过建立总管理账号权限进行合理授权，有效防止因内部权限授权不当造成内部机密信息外泄的风险。

（五）做好内部监督和外部监督的结合

在目前的外部监督为主的基础上，强化内部监督，将风险控制在萌芽状态，各部门加强联动，强化问题导向，充分协作，广泛发动群众，结合内部监督和外部监督，将内控效用发挥至最大。

五、建议

我国行政事业单位资产总量规模较大，事业单位情况比较复杂，套用一种内部控制规范虽然方便统一管理，但由于行政事业单位体量巨大，需要个性化管理，才能符合单位的发展需要。

还要关注制度和效率的统一。既要打造完善的内部控制制度，防止出现内外部风险，也要对单位的发展做好保障，使单位资源不仅用于内部整合，也要用于向外拓展。内部的存量问题用增量来解决，才能实现发展，才能满足行政事业单位做好内控的最大初衷。（作者单位为江苏省水利科学研究院）