宋荣兴 刘 红

（青岛理工大学，山东 青岛 266000）

一、引言

在经济社会快速发展的新时代，我国政府正在加紧深化改革，在依法治国的背景下，政府部门内部控制建设被提升到一个新的高度。行政事业单位作为行使社会职能的公共部门，收入基本来源于国家财政资金，其内部控制建设的有效性与社会经济、政治文化息息相关，更应引起我们的重视。

目前，财政部初步建立了“四梁八柱”的行政事业单位内部控制制度体系，包括《行政事业单位内部控制规范（试行）》（财会〔2012〕21号，以下简称《单位内部控制规范》）、《财政部关于全面推进行政事业单位内部控制建设的指导意见》（财会〔2015〕24号）、《行政事业单位内部控制报告管理制度（试行）》（财会〔2017〕1号，以下简称《内控报告管理制度》）等制度在内。自2014年行政事业单位内部控制建设全面推进以来，虽然我国各行政事业单位逐步建立了内部控制制度，但部分单位仍存在问题，主要是内部控制建设全员参与度有待提高、内控管理制度体系有待完善、风险评估机制有待加强、内部控制信息化建设有待持续跟进、财务人员配置不足等。这种情况下，注重评价行政事业单位内部控制建设的科学性和有效性，具有重要意义。

行政事业单位内部控制评价对单位内部控制建设起到一定指挥作用。建立有效的内部控制评价体系，采取行之有效的措施改善内部控制效果，起到以评促建的作用，从而推动单位内部控制建设。因此，本文基于COSO内部控制框架五要素，构建我国行政事业单位内部控制评价指标体系，以期为我国行政事业单位内部控制建设提供借鉴。

二、基于COSO框架的行政事业单位内控评价指标体系构建

（一）基于COSO框架的内部控制评价体系构建

2013年5月，COSO委员会发布了新版本的《内部控制整合框架》，取代了1992发布的旧版本。新版框架的主要内容可以概括为一个定义、三个目标、五个要素、十七个原则。本文基于COSO框架，综合目标导向和要素导向两种评价模式，以目标为导向，以COSO框架中的控制环境、风险评估、控制活动、信息与沟通、监督活动五个要素为出发点，以原则为基础，构建包含目标层、要素层、原则层三个层级的行政事业单位内控评价体系。

COSO框架的三个目标是运营、报告、合规。考虑我国行政事业单位的特殊性质，并结合《单位内部控制规范》中关于内部控制目标的规定，将内控评价体系的目标层定义为合法合规目标、资产安全目标、财务信息目标、防范腐败目标、公共服务目标。在五个目标的指引下，从COSO框架的五要素出发，将COSO框架的十七项原则分配至各要素，构成一套完整的内部控制评价体系。第一要素控制环境的原则包括道德价值观、管理层适当分权、授权与责任划分、人才培养、员工担责。第二要素风险评估的原则包括确定组织目标、识别和分析风险、防范舞弊行为、评估重大变化。第三要素控制活动的原则包括降低风险影响、信息化管理、制定制度和流程。第四要素信息与沟通的原则包括信息质量、内部信息传递、外部信息沟通。第五要素监督活动的原则包括持续独立的评估机制、内部控制缺陷评价分析。

基于以上分析，本文构建了基于COSO框架的行政事业单位内部控制评价体系，如图1所示。

图1 基于COSO框架的行政事业单位内部控制评价体系

（二）基于COSO框架的内部控制评价指标体系

基于COSO框架的五要素和十七项原则，结合我国发布的《单位内部控制规范》和《内控报告管理制度》等有关规定，考虑到我国行政事业单位的特殊性质，本文从五个方面设计我国行政事业单位内部控制评价指标体系。

1.控制环境。控制环境是单位进行内部控制的基础，影响着整个内部控制体系，对控制环境进行评价是评价其他要素内控情况的前提。一个良好的控制环境应该包括组织架构、权利运行与制约、人员培养、道德价值观四个方面，本文从以上四个方面进行控制环境要素的内控评价指标体系设计，如表1所示。

表1 基于COSO框架的内部控制评价指标体系-控制环境要素指标

第一，组织架构方面，分为内部控制机构设置、单位负责人任职两个三级指标。针对内部控制机构设置，关注是否成立单位内控领导小组、是否成立单位内控工作小组、是否落实内控牵头部门和监督部门的建立。针对单位负责人任职，关注单位内部控制领导小组负责人是单位一把手、分管财务领导还是其他分管领导；班子成员是否在单位内部控制领导机构中任职、是否明确了班子成员的分工。

第二，权利运行与制约方面，分为分事行权、分岗设权、分级授权、关键岗位责任制四个三级指标。分事行权、分岗设权、分级授权涉及单位各项经济业务活动的决策、执行和监督，对经济业务活动的相关岗位进行设置并明确分工和界限。针对关键岗位责任制，单位要建立健全内部控制关键岗位责任制，实行关键岗位轮岗制度或专项审计制度。定期轮岗制度可以防止腐败，是防范管理风险和道德风险的有效举措。

第三，人员培养方面，分为内部控制专题培训、关键岗位人员培训两个三级指标。关注被评价单位是否针对单位内部进行了内部控制方面的培训、是否对关键岗位人员进行了专门的定期培训或考评。另外，不定期通过单位内部办公系统推送并提醒单位人员对最新发布的有关制度准则和规范进行研究学习，及时统计推送资料的阅读情况。

第四，道德价值观方面，分为组织诚信、职业操守两个三级指标。任何组织在运营过程中都应当对诚信和道德等价值观做出承诺，在实际经济活动中遵循诚信原则开展业务，以此来获得公众的信任。行政事业单位不同于企业的营利目标，多以政府职能、公益服务为主要宗旨，如果过分追求经济效益和个人利益，则与公共服务目标背道而驰，违背了行政事业单位人员的职业操守。

2.风险评估。风险评估是单位进行内部控制的重要环节，根据组织确立的内控目标，动态持续的识别风险、估计风险。本文风险评估要素主要从风险评估制度和风险评估实施两个方面进行评价，没有三级指标，如表2所示。

表2 基于COSO框架的内部控制评价指标体系-风险评估要素指标

表3 基于COSO框架的内部控制评价指标体系-控制活动要素指标

《单位内部控制规范》要求单位至少每年进行一次经济活动风险评估，内部控制环境发生重大变化时，应及时对经济活动风险进行重估。进行风险评估要素的内控评价时，首先应重点关注被评价单位是否制定风险评估制度、是否形成业务流程图并确定关键风险点、是否有明确的风险评估工作方案；其次应重点关注被评价单位是否按照单位所编制的风险评估制度对单位风险进行定期评估、近三年是否对单位主要经济业务活动逐一进行风险评估、是否出具了风险评估报告以及是否针对风险评估结果出具内控改进措施。在组织风险评估的过程中，要考虑潜在的舞弊腐败行为，进行舞弊风险评估，针对规避和凌驾于控制之上的行为提出应对方法。

3.控制活动。控制活动是以实现组织确立的目标、降低内控风险为宗旨，在制定内控流程和制度后实施的相关行动。在组织的各层级、各经济业务环节中都需要实施控制活动。本文主要从工作机制、经济业务领域内控流程、经济业务领域内控制度、经济业务领域内控体系运行情况四个方面进行控制活动要素评价，如表3所示。

第一，工作机制方面，分为内部授权审批控制、归口管理、不相容岗位相互分离三个三级指标。针对内部授权审批控制，相关工作人员应在授权审批范围内行使职权、办理相关业务，对未履行集体决策程序和不按规定执行业务的部门及人员，应当追究其相应的责任。针对归口管理，被评价单位要根据本单位实际情况，确定牵头部门或牵头人员，对有关经济活动实行统一管理。针对不相容岗位相互分离，要关注被评价单位的六大经济业务中不相容岗位是否进行了分离设置，从而控制潜在风险。

第二，经济业务领域内控流程方面，分为预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理的六个领域流程梳理指标。关注被评价单位针对六大经济业务，是否进行梳理并编制流程图、是否对业务流程各环节的风险点进行识别、是否对业务中已识别的风险点制定了风险防控措施或相关规定。

第三，经济业务领域内控制度方面，分为预算管理、收支管理、政府采购管理、资产管理、建设项目管理、合同管理的六个经济业务制度指标。评价时要考虑单位六大经济业务对应的管理制度是否建立、具体包含哪些相关制度以及其建立的政策依据等。

第四，经济业务领域内控体系运行情况方面，分为预算、收支、政府采购、资产、建设项目、合同的六个业务对应的控制指标。关注被评价单位的六大经济业务中的制度实施、业务流程执行情况。对内控运行情况进行评价的关键环节是，评价单位是否根据风险评估及测试情况进行修订改善、是否严格按照规定的流程开展各项业务、是否有效执行其制度要求、修订措施。

4.信息与沟通。任何组织经济业务的运行、控制活动的实施都离不开信息与沟通，信息对于组织内部控制建设的推进必不可少，沟通对于组织内控建设的改进也发挥重要作用。有效的信息与沟通，需要从内外部获得信息，并高效的进行信息传递与交流，因此本文主要从信息公开、内控信息化两个方面进行信息与沟通要素评价，如表4所示。

表4 基于COSO框架的内部控制评价指标体系-信息与沟通要素指标

第一，信息公开方面，分为内部信息公开和外部信息公开两个三级指标。在单位信息公开评价中，关注被评价单位是否根据《单位内部控制规范》有关规定和单位实际情况，建立健全信息内部公开制度；是否借助单位OA办公平台等信息传递渠道进行及时准确的信息交流；是否有外部信息公开及获取的稳定渠道。

第二，内控信息化方面，分为会计核算系统和内控管理信息系统两个三级指标。在单位内控信息化建设评价中，关注被评价单位是否运用电子信息系统对经济业务活动进行会计核算并定期进行数据备份；关注被评价单位是否建立内控管理信息系统、其主要经济业务活动及其内部控制流程是否已按规定落实到内控信息系统。

5.监督活动。监督活动是内部控制体系中不可缺少的重要环节，单位组织内部控制的科学性和有效性需要监督活动进行评价。通过监督活动评价五个要素对应的原则是否完整存在、内控活动是否发挥功能降低风险，是一个持续和独立的评价过程。本文主要从内部监督工作、外部监督工作、持续评估与改进三个方面进行监督活动要素评价，如表5所示。改进。持续评估与改进是将监督结果报告至被评价单位，评价其是否进行有效整改，由内部和外部监督部门进行联合评估。

表5 基于COSO框架的内部控制评价指标体系-监督活动要素指标

三、结语

内部控制对于塑造我国法制政府、责任政府和廉洁政府的形象具有十分重要的意义，内部控制评价可以对我国内部控制建设的规范要求起到补充作用。本文以COSO框架中的内部环境、风险评估、控制活动、信息与沟通、监督活动五要素为出发点，以原则为基础，构建了包含目标层、要素层、原则层三个层级的行政事业单位内控评价体系，并结合我国行政事业单位的实际情况设计了内控评价指标，希望进一步完善我国行政事业单位内部控制体系，预防腐败舞弊、防止权力滥用，使行政事业单位更好的服务社会、适应社会的发展，实现国家治理。

第一，内外部监督工作方面，分别包括部门设立、工作执行两个三级指标。内部监督工作的评价中，关注被评价单位是否建立纪检监察、内部审计等内部监督机构或设立相关岗位；是否授予内审部门适当的权利使其独立于其他管理部门与业务部门，能够独立履行其审计职责。在做好内部监督的同时，还应关注被评价单位是否有外部监督机构对其职责履行、单位组织运行情况进行监督。外部监督机构例如财政部门、税务部门、审计部门或第三方监管机构等。

第二，持续评估与改进方面，分为自评分析和联合评估两个三级指标。自评分析包括内控工作的经验、做法、内控工作中存在的问题与相应的解决情况、下一步内部控制工作计划等，主要是找到单位组织中存在的内部控制缺陷，对其作出评价并向最高管理层进行报告，根据具体情况与管理层进行沟通，以采取正确行动进行缺陷