美国联邦政府内部控制准则研究
2020-07-01孙永尧
孙永尧
【摘要】从内部控制定义、目标、要素、原则方面,研究美国三个不同时期的《联邦政府内部控制准则》。研究发现,美国政府内部控制是法规要求的,而美国审计总署是内部控制法规的主要制定者与推动者。美国政府内部控制从制度论发展到过程论,从财务目标扩展到绩效与报告并重,从以准则为基础渐变成以五大要素为起点、以十七项原则为导向,充分反映了美国政府内部控制理论研究与制度建设逐步走向规范化、逻辑化的过程,并深受企业内部控制影响。美国政府内部控制准则并非是概念框架,而是行政单位建设与评价的标准,它属于指导性纲领。美国政府内部控制准则能否客观地演绎成设计与执行有效的内部控制制度有待进一步验证。可以借鉴美国政府内部控制建设经验,确定我国政府内部控制范围,以要素法和原则导向构建我国政府内部控制框架并加以完善。
【关键词】政府内部控制;准则;目标;要素;原则
【中图分类号】F235.1【文献标识码】A【文章编号】1004-0994(2020)03-0060-11
自从我国公布并实施《行政事业单位内部控制规范(试行)》(财政部财会[2012]21号)以来,内部控制在促进公共资源有效运行、防范权力寻租、提高单位管理水平方面起到了越来越重要的作用。各单位贯彻落实、积极推进,效果显著。但是,随着我国国家治理体系的不断完善和治理能力的不断提高,行政事业单位改革不断深入,原有的内部控制规范日益显现某些不适应新时代的话语特征,迫切需要从理论上做出解释,用以阐述是否需要重构以及如何重构内部控制规范。我国已有不少学者在这方面做了系统研究,在内部控制范围、概念、要素、体系等方面提出了一些富有成效的见解。本文通过研究美国《联邦政府内部控制准则》,并结合目前学术界的某些观点,提出完善我国行政事业单位内部控制的建议。
一、1983年《联邦政府内部控制准则》
1950年,美国《会计和审计法案》获得通过,要求政府机构建立和实施有效的内部控制制度[1]。为响应政府号召,美国审计总署(GAO)公布了大量政府内部控制案例,以指导政府内部控制制度建设。1982年,美国国会颁布的《联邦管理者财务诚信法案》提出了加强政府内部控制的必要性[2]。该法案要求定期评估政府部门的内部控制制度,报告其内部控制运营状况。为应对以上要求,1983年美国公布了《联邦政府内部控制准则》[3](简称“1983年内控准则”),以规范政府内部控制标准。
1983年内控准则指出,内部控制的目标是:合理保证债务和成本费用的合规性;所有资产得到保护,防止资产的浪费、损失、挪用和不合理使用;收入和费用得到恰当记录。管理层是内部控制有效运行的责任主体。内部控制并不是政府部门各自分离的、专门化的系统,而是一个有机生态制度体系,用于规范和指导单位日常运作。内部控制既有助于维护政府收支的适当性,又有助于控制现有资源的有效使用,防止出现不当行为。单位负责人负责内部控制评价,并向总统和国会提交内部控制年度报告。内部控制报告中需说明,单位内部控制制度是否符合控制目标,是否符合主计长规定的标准。如果内部控制制度存在缺陷,则内部控制报告中必须指出该缺陷所涉及的薄弱环节,并提出纠正措施。该准则界定了内部控制系统运行可接受的最低质量水平,并构建了内部控制评价标准。这些评价标准适用于联邦政府的所有公共活动,但并不是为了限制或干预部门立法活动。该准则分为一般准则、具体准则与审计处理准则三部分。
(一)一般准则
一般准则有五条,包括合理保证、支持态度、称职人员、控制目标和控制技术。
1.合理保证。内部控制是对单位治理目标的实现提供合理保证。1983年内控准则规定,内部控制成本不应超过其所获得的利益。合理保证相当于一种在考虑给定成本、利益和风险情形下的信赖程度。在行使这一判断时,各单位应查明制度运行的固有风险,确定风险标准以及不同情况下可接受的风险水平。成本是指实现某一特定目标时所消耗资源的财务计量,也可能代表一种付出的代价,例如运营的延迟、服务水平或生产力的下降、员工士气的降低。效益是通过降低未能实现既定目标的风险程度来衡量的,例如查出欺诈、浪费、滥用或错误的可能性,以防止不当活動或加强监管合规。
2.支持态度。管理者和雇员在任何时候都要维护内部控制,并对内部控制表现出积极的态度。这一准则要求部门负责人和员工注意内部控制事项,并采取恰当措施增强控制的有效性。态度会影响内部控制运行的质量,但并非反映在管理层行为的任何一个特定方面,而是通过管理层努力训练出来的一种群体控制意识。有关单位组织、人事实践、沟通、保护的行动,公共资源的计量、监控和报告以及总体领导,这些都表现了管理层的支持态度。强调内部审计的价值及其信息反映能力,也是一种重要支持态度。单位人事组织部门为管理层提供了规划、指导和控制公共业务活动的总体框架。良好的内部控制需要明确的授权界限和责任划分、合理的报告关系以及适当的职权分离。管理层重视对于保持内部控制的积极支持态度至关重要,有助于对雇员进行充分的监督、培训和激励。
3.称职人员。管理者和雇员必须具备个人职业操守,并保持一定水平的胜任能力,这样才能担负其岗位职责,理解内部控制的重要性。这一准则要求管理者及其员工具备必要的技能水平以确保其高效工作,理解内部控制,履行职责。制定可操作的行为准则有助于雇员履行岗位职责,在职培训、咨询和绩效评估也至关重要。
4.控制目标。控制目标应当在每项单位活动中得到确定和实现,并满足逻辑性、适用性和完整性。基于这一准则,需要针对单位日常业务制定切实可行的目标。任何一项单位公共活动均涉及处理特定交易或事件所需的所有特定活动。单位职能部门设计应与责任分工相一致。管理部门包括政策和规划、组织、数据处理和审计职能;财务部门包括与公共资金流动、相关资产和财务信息有关的传统控制领域;后勤管理是为单位提供支持的服务活动。这一准则要求确定单位业务关键环节,并详细分析每一项业务活动,以制定控制目标。这些目标应适用于每项业务活动。
5.控制技术。控制技术是实现控制目标的机制,应包括程序与单位组织计划。这一准则要求内部控制技术不断为实现控制目标提供高水平的保证。要做到这一点,控制技术必须是有效、高效的。为了实现有效性,应该使控制技术在实际应用中达到预期的效果。控制技术应该提供相应的保证程度,并能够在预期的情况下运行。在效率方面,控制技术的设计应遵循以最小的努力获得最大的效益这一原则。应将控制技术的高效性置于实际操作中,并定期评估。
(二)具体准则
具体准则有六条,包括文件准则、记录准则、执行准则、职责分离准则、监督准则与问责准则。
1.文件准则。内部控制制度文件应清楚记录内部控制系统和所有交易与其他重大事件,以供随时检查。这一准则要求记录以下证据:单位内部控制目标、技术和问责系统;公共资金运行情况和其他重大事件。该文件必须易于获取与查阅,应包括业务循环及其相关目标、控制技术、管理指令、行政政策和会计手册。文件记录应完整、准确,以便于进行事前、事中、事后追踪。文件标准要求关键控制点的记录必须是有意义和有用的。
2.记录准则。应该及时记录并适当分类公共资金的使用和其他重大事件。及时性是决策相关性和管理价值的必然要求。该准则适用于三个方面:一是业务活动或事件的整个过程;二是业务活动过程的所有方面;三是记录分类。业务活动和事件的适当分类,是编制公共资金运行状况报告及其附注的基础。
3.执行准则。业务活动和其他重大事件执行人必须经过恰当授权。该准则适用于特定目的的公共资金拨付、转移与使用的决策。应将授权及其相关条件规定清楚地传达给单位相关负责人和雇员。遵守授权条款,意味着雇员要按照指令在设定范围内履行职责。
4.职责分离准则。业务授权、处理、记录和审查的职责应相互分离。为了减少差错、避免浪费与消除不法行为,业务活动或重大事件的所有关键控制点应符合不相容职务相互分离原则。不相容职务包括:授权、批准和记录交易,发放和接收资产,付款、审查或审计。然而,串通可能会降低或限制这一内部控制准则的效力。
5.监督准则。为确保实现内部控制目标,单位应持续监控内部控制运行。该准则要求监督部门审查和评估员工的岗位责任,并提供必要的指导和培训,以确保尽可能地减少内部控制缺陷,同时应清楚地告知每个员工其职责、责任和违反规定的处罚。关键节点要严格遵循授权原则,以确保工作按计划进行。分配、审查和批准员工的工作时应妥善处理业务活动与重大事项,做到:遵循批准的程序和要求;发现和消除错误、误解和不当做法;阻止不法行为的发生或再次发生。
6.问责准则。公共资源的获取与记录仅限于能够得到恰当授权的个人,应定期比较资源和问责记录,以确定两者是否相符,比较的频率取决于资产变动性。限制接近公共资源有助于减少公共资源非授权使用风险。然而,限制获得公共资源的机会取决于资源变动性和损失风险,对两者应定期加以评估。例如,检查库存并进行问责,指定每个文档的顺序编号,为负责人规定保管责任。成本、可携带性、可互换性以及资源丢失或不当使用的风险,是归责时应考虑的因素。公共资源分配和问责制需要制定管理指令,而财产保管责任则由特定个人负责。
(三)审计处理准则
对于审计结果,管理者应及时评估审计师报告的评价结果和建议,据以确定适当的行动,提出完善措施或解决方案。根据审计处理准则,管理者应对审计师提出的所有调查结果和建议采取迅速、及时的行动,以纠正已查明的缺陷。审计师负责跟踪审计结果的应对情况,并审查单位是否按照已达成的解决方案进行了改进。审计整改意见应通过单位处理程序和后续行动得以实施。责任人应向最高管理层定期报告单位内部控制缺陷整改情况,以确保整改及时和整改质量。
1983年内控准则为美国政府部门财政资金活动与项目投资提供了控制标准。美国预算法仅仅从宏观层面规定了财政资金的使用要求,但对各行政单位的操作层面则没有具体说明,这就需要一个执行方面的制度性规范,以合理保证国家预算目标的实现。1983年内控准则把内部控制看作一个内嵌组织的有机生态系统,这是一种理论创新,它向财政资金使用利益相关方传达了以下思想:内部控制不是一种可有可无的制度,更不是形式上的需要,而是促进各行政部门有效运作的必不可少的制度基础。维持政府部门有效运行的制度多种多样,有法规导向与操作流程方面的,有治理与管理方面的,也有道德哲学与自我立法方面的,但无论是哪方面的规范都没有像内部控制那样系统化。1983年内控准则首次较为系统地向使用财政资金的各政府部门阐述了建立和执行内部控制的思路与方法,为各责任主体提供了一个设计内部控制的初步框架结构,在美国政府内部控制历史上具有里程碑意义。
(四)小结
1983年内控准则比较抽象,仅仅提出了建立政府内部控制的一些关键准则,对于如何操作则没有提供详细指导,从而给各政府预算执行单位提供了一个较为宽泛的想象空间。这不仅会让一些非专业人员产生较大的理解差异,而且会给专业人员造成内部控制设计障碍。此外,1983年内控准则设计逻辑关系不太清晰。这种原则导向的设计理念,虽然有利于适用普遍情况,可以充分发挥控制人员的主动性与创造性,但在内部控制一般准则、具体准则与审计处理准则之间缺乏统一的逻辑主线,会给内部控制评价带来困难。正因为如此,才导致了1999年版美國政府内部控制准则的产生。
二、1999年《联邦政府内部控制准则》
1990年《首席财务官法案》要求财务管理制度必须符合内部控制准则[4]。1993年《政府绩效与效果法》要求政府部门明细任务,制定战略与年度绩效目标,计量并报告政府绩效[5]。1995年,美国预算管理总局修订了第123号通告《管理责任与控制》,规定了评价内部控制的具体细则[6]。1996年《联邦财务管理改正法案》明确了内部控制是完善财务管理不可缺少的一个组成部分[7]。除了以上法规,私人部门的内部控制发展对推动政府内部控制建设也起到了重要作用。1999年《联邦政府内部控制准则》(简称“1999年内控准则”)直接吸收与借鉴了1992年企业内部控制科索报告(简称“COSO报告”)的一些重要概念与设计框架,并以此构建成文[8]。
(一)政府内部控制概念
政府内部控制是组织管理不可或缺的组成部分,它为实现下列目标提供合理保证:经营的效率与效果、财务报告的可靠性、遵守适用法律法规。它包括用于实现使命和目标的计划、方法和程序,并对以业绩为基础的管理提供支持。内部控制在保护资产以及防止和发现错误与舞弊中是第一道“防火墙”,有助于政府管理人员通过对公共资源的有效利用取得预期结果。此外,内部控制的设计应当能够为单位防止并及时发现未经授权的资产取得、使用或处置提供合理保证。
内部控制是贯穿整个单位运营且持续发生的一系列活动。内部控制应当被视为管理人员用于管理和指导其业务运行的不可分割的部分,而不是内部独立的孤岛。从这个意义上讲,内部控制是一种管理控制,有助于管理者持续运营并实现组织目标。良好的内部控制责任在于全体管理人员。管理部门设定目标,落实控制机制和活动,并且监督和评估控制。当然,组织中的所有人员在实现这一目标上都发挥着重要作用。
1999年内控准则重申,内部控制是提供合理保证而非绝对保证。管理层应根据相关的成本和效益来设计和实施内部控制制度。无论内部控制设计和运行得多么完美,都不能对实现政府机构的目标提供绝对保证,因为控制之外的因素或者管理因素(人为失误、判断错误以及为规避控制而进行的串通行为)都会影响控制目标的实现。
(二)政府内部控制要素
政府内部控制有五要素,包括控制环境、风险评估、控制活动、信息与沟通以及监督。这些控制要素定义了政府内部控制可接受的最低水平,并为评价内部控制提供了依据。内部控制不打算限制或者干扰政府机构在制定法规、规则或者其他有权制定的政策方面的权力。内部控制五大要素提供了一个通用的控制框架。在执行这些标准时,行政管理部门负责制定适合其部门的详细政策、程序和措施,以利于政府机构业务的有效运行。
1.控制环境。管理层和雇员应当在整个组织范围内建立和保持一种环境,该环境应为内部控制和负责任的管理层树立一种积极的支持态度。控制环境是所有其他内部控制标准的基础,它提供行为准则与架构,影响内部控制质量。控制环境的内容主要有管理层和员工所拥有和展现的正直及道德观。管理层应在这方面发挥关键的引导作用,制定正确的行为指引、消除不道德行为的诱因,落实相关的纪律规范。此外,行政机关全体员工必须拥有并保持能够完成岗位职责的能力水平,理解制定和执行良好内部控制的重要性。管理层需识别不同职位所需的知识和技能,提供必要的培训、坦诚且有建设性的咨询服务以及绩效评价。
管理层的管理理念及运营风格也会影响控制环境,决定着政府机构愿意承担的风险等级。其一,管理阶层对信息系统、会计业务、人事职能、监督、审计及评估的态度和理念对内部控制具有深刻影响。其二,政府机构的组织结构为规划、指导、控制业务运行提供了管理架构。良好的内部控制环境需要政府机构清晰地定义权利和责任的关键范围,并建立恰当的隶属关系。控制环境受组织内部权责分配方式的影响,包括运营活动、隶属关系及授权规则。其三,实施良好的人力资源政策和做法,表现为招聘、辅导、培训、评价、咨询、晋升、薪酬以及纪律约束和必要的监督等。
2.风险评估。内部控制应对来自于政府机构内部和外部的风险进行评估。风险评估的前提是建立清晰、一贯的政府机构目标。风险评估是对与实现目标相关的风险进行识别和分析,是管理风险的基础。管理层必须全面地识别风险,考虑单位与其他各方的所有重要往来,从单位层面和业务层面进行识别。风险识别方法包括定性和定量方法。管理层会议、行政单位前景与战略计划、来自审计和其他评估的结果是评估风险时需考虑的一些必要因素。一旦风险被识别出来,应当分析其可能的影响。风险分析包括:估计风险的重要性;评估其发生的可能性;决定如何管理风险;采取什么样的行动措施。因为政府机构使命的差异,以及定量和定性确定风险等级的难度不同,各政府机构采用的具体风险分析方法可能会不同。由于政府、经济、产业、监管和运行的条件会持续变化,应当提供识别和控制这些变化所引起的特殊风险机制。
3.控制活动。控制活动是执行管理层指令的策略、步骤、技术和机制,比如遵循预算编制和执行的过程,协助管理层确保采取必要行动以应对风险,是政府机构为管理公共资源所进行的计划、执行、反馈和问责不可或缺的组成部分。控制活动有助于保证管理层的指令得到执行,在实现政府机构控制目标上应当是有效、高效的。控制活动存在于政府机构各职能部门和职责中,包括批准、授权、核对、对账、绩效评价与安全保障等,应创建和维护能够证明这些活动已执行的相关记录和文件。控制活动可以通过计算机信息系统进行,也可以通过手工进行。控制活动可以根据控制目标进行分类,如保障信息处理完整性和准确性的控制、文件控制、记录控制等。政府部门的内部控制应当具有灵活性,以便能够调整控制活动,使其适应政府部门的特定需求。某个政府部门的特定控制活动可能有别于其他部门,这是因为各部门在面临的特殊威胁或风险、管理判断、组织规模和复杂性、运营环境、数据的敏感性和价值性、系统可靠性和有用性以及性能要求上存在差异。
4.信息与沟通。信息应当被记录下来,并在一定时限内以一定形式传递给组织管理者,以使其能够实施内部控制和完成其他任务。要保证一个行政单位的有效运行,必须具有一个良好的內部与外部沟通机制。高质量的信息有助于行政单位全部目标的实现。部门负责人需要利用业务和财务数据来确定其是否实现了政府部门的战略目标和年度绩效计划目标,是否有效、高效地使用了公共资源。例如,需要用业务信息来编制财务报告,涉及采购、薪资、固定资产、库存、应收账款等其他业务数据,业务信息是确定政府部门是否符合各种法律法规要求的证据;需要用财务信息编制财务报表,以便定期对外报告,而且做出运营决策、监督绩效、配置资源也需要信息的支撑。政府部门只有识别、获取相关的信息,并在一定时限内以一定形式将其传递给员工,才能有效、高效地履行职责。信息在组织中流动的过程中应实行有效的沟通。除内部沟通外,管理层应当确保采用足够多的方式与外部利益相关者进行沟通并获得信息。有效的信息技术管理对实现有用、可靠、持续的信息记录和信息交流至关重要。
5.内部监督。行政单位应当评估以往内部控制的运行质量以保证审计结果中提到的问题和其他评估人检查出的问题得到及时解决。内部控制监督是保证单位业务正常运行所必需的。管理人员应及时评估内部控制审计报告,包括:评估审计师和其他评估人所发现的问题和应对建议;采取适当的应对措施;在规定时间内解决问题或者提请最高管理层关注相关事项。应对策略包括纠正被发现的问题和提出改进措施。监督应持续进行,并根植于政府机构的业务运行之中。常规管理、监督活动、比较、核对以及其他行动是政府部门业务运行不可或缺的内容。通过关注特定时点内部控制的有效性,有助于单独评估业务运行情况。单独评估的范围和频率主要取决于风险和监督程序的效果。单独评估可以采取自我评估方式,由本单位监察主任完成,也可以采用外部审计方式,由外部审计师完成。事中监督或者单独评估发现的内部控制缺陷,应当与责任人及其上级管理人员沟通,重大内部控制缺陷应当向最高管理层报告。
(三)小结
1999年内控准则最显著的特征是直接吸收了企业内部控制构建逻辑,按内部控制的三大目标、五大要素来设计政府内部控制准则。整个准则言简意赅,逻辑关系清晰,论证严密,自成一体。公共资金活动的管理制度非常多,既有宏观的也有微观的,既有专门性的也有普遍性的,每种管理制度都有其特定的目标,各自发挥着各自的作用。但是,只有内部控制制度是一种行政单位内部综合的、系统的管理制度,它将其他各种类型的管理制度通过一定形式联系起来并产生一种自控机制以督促这些制度的执行。如果内部控制没有鲜明的逻辑结构与概念形式,那么其存在性就会令人怀疑。是否会重复和多余?如果内部控制的语言结构、表意形式、语义表征没有自身的特殊之处,那么无异于消融自我。这样内部控制就成了制度累赘,其必要性就没有基础了。1999年内控准则吸收了理论界与实务界的成就,在解构基础上重构了政府内部控制制度,在政府内部控制发展史上又一次实现了质的飞跃。自此,政府内部控制建设又有了一个新的指导方向。
1999年内控准则的另一特征是高度抽象化。尽管政府提供公共服务活动的形式多种多样,内容迥异,但是从内部控制角度来看,都可以用三大总体目标、五大控制要素加以说明。政府行政活动的基础是公共资金、公共资源与国家资产,对这些政府财产进行分配、使用和管理的应该层面,预算法以及相关资金管理制度都有规范,但是从“应该如何”推导出“是什么”,则是一个从抽象到具体的过程。在“应该”层面,各政府部门或提供公共服务的单位都按规履行职责,不会产生理解上的差异,而如何履行职责和提供服务则不太容易解决。这是操作层面的技术问题,在“应该”层面不会涉及,但是在实践中应予以明确。也就是说,除了内部控制逻辑架构,尚需要一个应用指引。对某一个具体的行政部门来说,需要把“应该”层面的内容具体化,使其成为本单位可执行的控制流程、方法与措施。如果在政府层面不详细解释“应该”层面的具体内容,那么各执行单位就不会有一个可供评价的令各部门可以接受的标准模式。1999年内控准则除了一些抽象化的说明,并没有进一步提供分业务分部门的内部控制操作指引,致使各单位内部控制设计与执行情况往往只能由审计部门来判定,主观性较强。如此看来,美国联邦政府内部控制尚需进一步发展。
三、2014年《联邦政府内部控制准则》
2014年《联邦政府内部控制准则》(简称“2014年内控准则”)前言中谈到了修订的两个理由:一是为了使政府内部控制适应环境变化;二是受到2013年COSO报告的影响。前言指出,决策者和项目管理人员正在不断寻求改善问责制的方法,以实现主体的使命。在实现主体任务方面改进问责制的一个关键因素是实施有效的内部控制制度。有效的内部控制制度可以帮助主体适应不断变化的环境、需求、风险和新的事项与事件。随着事项与事件的变化和主体对操作流程的改进以及新技术的实施,管理层不断评估其内部控制制度,使其在必要时有效和得到更新。2013年,科索委员会更新了内部控制指南,发布了经修订的《内部控制——综合框架》。2014年内控准则完全吸收了2013年COSO报告的一些重要概念与原则[9]。
2014年内控准则包括政府内部控制概念、政府内部控制制度和政府内部控制评价三部分内容。
(一)政府内部控制概念
政府内部控制是一个在单位的监督机构、管理层以及其他员工的影响下,为单位目标的实现提供合理保证的过程。这些目标和相关风险大致分为以下三类:运营目标——运营的效果和效率;报告目标——内部及外部使用报告的可靠性;合规目标——遵守适用的法律法规。这些目标种类虽然各不相同,但存在交叉。某一特定目标可以属于多个种类,满足不同需要,其直接责任也可能由不同主体来承担。内部控制包括用于实现使命、战略规划、远期目标与近期目标的计划、方法、制度以及流程等。内部控制充当着保障资产安全的第一道防线,有助于管理者通过有效管理公共资源实现预期结果。
政府内部控制制度是行政运行过程内部管理制度的组成部分,受到人为因素的影响并为组织目标实现提供合理保证而非绝对保证。它并不是单一事项,而是贯穿单位运行过程的一系列活动,被视作运行过程中不可或缺的组成部分而非单位内部独立制度。管理层有责任建立有效的内部控制制度,设定单位目标,推动内部控制付诸实施,并对内部控制制度进行评价,而全体员工在实施和运行有效内部控制制度的过程中则扮演着重要角色。
有效的内部控制制度能提高單位实现其目标的可能性。然而,无论内部控制制度设计、实施、运行得多么良好,它依然无法为单位全部目标的实现提供绝对保证。非控制因素或者来自管理方面的因素都可能影响单位全部目标的实现。一旦设计运行到位,有效的内部控制就可以为单位目标的实现提供合理保证。
(二)政府内部控制制度
2014年内控准则为评价政府内部控制设计与运行的有效性提供了标准,以确定内部控制制度是否有效。非联邦政府组织同样可以将其作为设计和运行内部控制制度的参考框架。该准则适用于政府部门的运行、报告与合规目标。管理层有责任制定适合于本单位环境的制度与流程,并将其作为单位运行的组成部分。政府部门需要确定自身使命,制定战略规划,设定目标并制定实现计划。在内部监督下,管理层可以为整个部门或者特定活动制定目标,并用内部控制来帮助组织实现目标。
尽管内部控制的方式多种多样,但该准则通过内部控制五大要素与十七项原则的层级结构来建设内部控制,该层级结构包含了建立有效内部控制制度的要求,其中包括具体的文件要求。内部控制五大要素代表了联邦政府内部控制的最高标准。为保证内部控制的有效性,单位必须有效设计、实施和运行内部控制的五大要素,并使其协调整合、共同运行。
五大要素及十七项原则如下:①控制环境是内部控制的基础,它提供了行为准则与组织结构以帮助单位实现目标。控制环境包括五项原则:高层诚信与价值观承诺、高层监控责任、分配与授权、管理层责任和胜任能力。②风险评估是指评估单位在实现目标的过程中所面临的风险,为单位制定适当的风险应对措施提供基础。风险评估包括四项原则:目标设定、风险识别、评估舞弊可能性和更新。③控制活动是指管理层通过制定制度和流程确立的活动,用以实现组织目标和应对包含单位信息制度在内的内部控制制度中存在的风险。控制活动包括三项原则:控制程序、信息系统和控制政策。信息与沟通是指信息的质量管理与使用,以支持内部控制制度。④信息与沟通包括三项原则:信息质量、内部沟通方式和外部沟通方式。⑤监督是指为持续跟踪评估内部控制运行情况和及时解决审计及其他审查中发现的问题,管理层建立和执行的一系列活动。监督要素包括两项原则:评估控制和纠偏原则。
上述十七项原则规定了建立有效内部控制制度的最基本要求,有利于内部控制相关要素的有效设计、实施和运行。一般而言,所有要素与原则都与建立有效的内部控制制度密切相关。在极少数情况下,可能管理层已确定某项原则与单位所要实现的目标及解决的相关风险无关。如果管理层确定某项原则不存在相关性,则会发布相关文件进行说明,若没有该原则,内部控制相关要素也能够被有效设计、实施和运行。
政府部门目标、内部控制五要素以及单位组织结构之间存在着直接联系。其中,目标是单位想要达成的事项,内部控制五要素是单位实现目标的必然要求,组织结构包括运行单位、运行流程以及管理层用于实现目标的其他结构。内部控制的各个要素均适用于三类目标和组织结构。上述十七项原则为内部控制各个要素提供支持。内部控制是一个动态的、迭代的、综合的过程,在这一过程中各个要素影响着彼此设计、实施和运行的有效性。由于使命、监管环境、战略计划、单位规模、风险容忍度、信息技术等因素的差异以及应对以上差异因素所需的判断不同,任何政府部门都不可能存在完全相同的内部控制制度。
1.政府内部控制角色。政府内部控制是管理层整体责任的组成部分,因此政府内部控制五要素是以管理层为背景进行讨论的。然而,单位中的每个人都对内部控制负有责任。一般而言,政府在单位内部控制中的角色分为如下几类:其一,政府监督机构负责监督单位的战略方向制定,并承担与单位问责制相关的义务;其二,监督管理层对内部控制制度的设计、实施和运行。
有的单位的监督机构可能由一个或者多个高管人员组成,而有的单位的监督机构成员可能来自多方。从准则的角度来看,监督机构的监督隐含于每个要素与原则之中。管理层直接对单位的所有活动负责,包括单位内部控制制度设计、实施和运行的有效性。管理层的职责取决于其在组织结构中的职能。全体员工辅助管理层设计、实施和运行内部控制制度,同时辅助管理层报告政府部门合规和遵守情况。外部审计人员和总监察长办公室不是单位内部控制制度的组成部分,虽然管理层可能会评估和采纳外部审计人员与总监察长办公室提出的建议,但是单位内部控制制度的责任依然在于管理层。
2.政府部门内部控制目标。在政府监督机构的监督下,管理层设定内部控制目标以实现使命、战略计划,满足合法合规的要求。管理层应在设计单位内部控制制度之前制定目标,可以将设定目标作为战略规划过程的一部分。管理层还应当以具体的语言来设定内部控制目标,以便识别、分析和应对与目标实现相关的风险。
管理层可以将目标分为以下三类:一是运行的效果和效率;二是对内及对外报告的可靠性;三是遵守适用的法律法规。运行目标涉及实现单位使命的程序,可能会体现在战略计划中。这些计划体现了企业的目标以及实现目标所需的有效运行方式。有效运行是指通过过程达到预期结果,而高效运行则可以最大限度地减少资源浪费。管理层可以从目标中为组织结构内的单位设定相关子目标。通过将政府部门的目标与使命相联系,管理层可以提高实现使命过程中的运行效果和效率。
报告目标是指供单位、利益相关者和其他外部使用者使用的报告编制。报告目标可以进一步分为以下几类:一是外部财务报告目标,即根据专业标准、适用的法律法规以及利益相关者期望发布政府财务业绩;二是外部非财务报告目标,即根据恰当标准、适用法律法规以及利益相关者期望发布非财务信息;三是内部财务报告目标和非财务报告目标,即收集和传达管理层所需的信息,以支持决策与政府部门绩效评估。
对于政府部门而言,遵守适用法律法规这一目标尤其重要。通常情況下,法律法规规定了政府单位的目标、架构、实现目标的途径以及与实现目标相关的业绩报告准则。管理层要全面考虑单位的合规类目标,并确定为有效实现单位目标所必须设计、实施和运行的控制措施。管理层应当根据适用的法律法规开展活动,而政府部门应当确定哪些法律法规适用于本单位。管理层设定的目标应当包含这些要求。一些政府部门可能会设定高于法律法规要求的目标。在设定这些目标时,管理层可以依照本单位特点酌情处理。
资产保护是三类目标的一部分。管理层应当从内部控制制度设计方面,为保护资产或及时发现并纠正未授权侵占、使用或者处置单位资产等行为提供合理保证。管理层可以根据总目标制定更多具体的贯穿组织结构的子目标,采取具体可比较的语言来定义子目标,并将其恰当地传达给负责实现子目标的员工。无论是管理层还是员工,都需要了解内部控制制度中的目标、子目标以及确定的业绩水平。
(三)政府内部控制制度评价
为确定内部控制制度是否有效,管理层应当评估内部控制五要素和十七项原则的设计、实施和运行的有效性。如果某项要素或原则无效,或者未综合协调运行各要素,那么内部控制制度就是无效的。
1982年9月,美国国会颁布了《联邦管理者财务诚信法案》,要求各行政机构负责人每年编制报告,用以说明该机构的内部会计和管理控制是否符合其规定。若不符合,该机构负责人需编写一份报告,明确该机构内部会计和管理控制制度中存在的所有重大缺陷,以及纠正缺陷的计划与时间表。1981年,美国管理与预算办公室发布第123号通告即《管理层责任与控制》,公布了评价内部控制相关规定的指南。非联邦政府组织可以参考适用的法律法规,编制关于内部控制的报告。
评价内部控制设计时,管理层需确定控制措施是否能够实现目标并提出相关风险应对措施。评价内部控制运行情况时,管理层需确定控制措施是否存在以及是否得到有效运行。内部控制只有在有效设计的前提下才能够有效运行,当出现以下情况时则说明存在设计缺陷:一是缺少满足内部控制目标所需的控制措施;二是现有内部控制设计不当,即使内部控制按照设计运行也无法满足控制目标的要求。当内部控制设计合理但并未得到正确实施时,则说明内部控制存在实施缺陷。评价内部控制运行有效性时,管理层需确定控制措施是否已被应用于相关评价期间,是否一致应用,以及其应用的主体或方式。如果评价期内不同期间使用了截然不同的控制措施,管理层则需要针对各个单独的控制制度分别评价其运行有效性。内部控制只有在有效设计与实施的前提下才能有效运行。即使设计有效,但未按照设计运行或者执行控制措施的人员不具备必要权利或者运行能力,也说明内部控制存在运行缺陷。
管理层应对内部控制缺陷进行评价。这些缺陷是由管理层对内部控制制度的持续监督或者由外部评估人独立评价识别出来的。当内部控制的设计、实施或运行不能使管理层或员工在正常执行其自身职能的过程中实现控制目标或应对相关风险时,内部控制就存在缺陷。管理层需要对已识别缺陷的重要性进行评价。为了评价内部控制缺陷的重要性,管理层需评估其对单位层面和业务层面既定目标实现程度所产生的影响。可通过考虑缺陷的影响程度、发生可能性及性质来评价内部控制缺陷的重要性。缺陷影响程度是指该缺陷可能对实现单位目标造成的影响,某个内部控制缺陷对某一种目标而言可能比对其他目标的重要程度更大;缺陷发生可能性是指缺陷影响单位目标实现能力的可能性;缺陷性质包括缺陷所涉及的主观程度以及缺陷是否源于欺诈或不当行为等因素。监督机构应监督管理层对内部控制缺陷重要性的评价,以确保缺陷认定的正确性。
内部控制缺陷重要性评价既要基于个体,也要从整体出发。管理层在评估缺陷重要性时应考虑不同缺陷或者缺陷组之间的关系。由于不同政府部门的目标不尽相同,缺陷评价也会因单位而异。管理层需要确定每项控制原则是否被有效设计、实施和运行。在内部控制评价报告中,管理层应将控制缺陷的影响视为评价报告的一部分。如果某项原则并未得到有效设计、实施和运行,那么相应的要素也就无法发挥作用。基于各项原则控制评价结果,管理层可以总结得出内部控制五要素设计、实施和运行有效性的结论。管理层还需考虑内部控制五要素是否能共同有效地运行。如果五要素中的一个或多个要素未被有效设计、实施和运行,或者五要素未能协调整合、共同运行,那么内部控制制度就是无效的。
2013年COSO报告的前言中谈到了其修改的四个主要理由:环境变化、治理、判断与反舞弊[10]。COSO报告从1992年最初公布到2013年的二十多年间全球发生了很多变化,包括:经济总量大规模增长,企业规模扩大,经营复杂程度提升,全球治理体系日趋复杂化,实践提出了新要求等。原有的制度已经不能适应这些变化了,迫切需要进行修改。对于美国审计总署来说,科索委员会的这些做法对政府部门也是完全适用的。
(四)小结
从内容上看,与1999年内控准则相比,2014年内控准则在五大控制要素的基础上增加了十七项内部控制原则,内容更丰富、更具体。本次修订体现了原则导向倾向,回应了实务界提出的原有控制制度限制管理人员创造价值的呼声,可以大大提高管理层充分发挥专业能力、提高管理水平的积极性。这样一来,是规则导向还是原则导向的会计问题自然而然地被引到内部控制建设中来。显而易见,美国审计总署坚持了政府内部控制的原则导向观,并加以发扬光大。在其看来,政府内部控制建设就是这十七项原则的应用,只要在准则中予以具体化的指导,各政府部门或其他非营利组织就可以将其转化成自身的内部控制制度。正因为如此,美国审计总署在准则中对每项原则做了概念界定,在提炼了原则的具体含义之后,对每项原则的关键内容做了细致解释。原则要与要素相对应,由要素统领原则。政府内部控制三大目标最终通过原则化的具体实践而得以实现。
从逻辑上看,2014年内控准则比1999年内控准则严密得多,因为该准则把五大要素抽象的部分予以演绎,利于操作。就政府内部控制的三大目标而言,合规目标控制有效性比较容易评价,但对政府运行绩效目标来说还是不容易评价的。评价政府绩效内部控制制度有效性,涉及两方面的问题,一是设计标准,二是评价指标。十七项内部控制原则仅仅解决了绩效制度设计方面的问题,但是对绩效来说,该准则对什么样的指标能真实地反映财政支出实质上是无能为力的。要解决这一问题,只有通过业务性质、支出对象、政府意图、群众满意度等相关内容才可确定。看似一个自圆其说的准则,在涉及具体操作层面时则需要更多的应用指引才能解决。美国政府内部控制准则的主要问题也正是在这里,有总论没有分论,把分论部分留给各执行单位的管理人员来解决,不可避免地导致了评价的主观性。政府内部控制准则修改的理由之一就是要强调政府绩效,而过去的内部控制对绩效制度设计不夠充分,但这一公共财政的理念在目前的准则文本中仍然体现得不太充分。
四、美国联邦政府内部控制建设经验
从国际上看,美国政府内部控制理论研究走在世界前列,其中有不少内部控制建设的经验值得我们学习与借鉴。国内学者对其进行了广泛研究,概括出一些基本点。刘玉廷等[11]研究了美国政府内部控制发展历程,得出以下五方面经验:一是政府部门内部控制建设是一个逐步发展的过程;二是政府行政行为的合法性、财务报告的真实性与资源调配的适当性是内部控制的核心内容;三是政府内部控制的发展与企业内部控制的发展是相互影响、相互促进的;四是政府会计准则建设是推进政府内部控制建设的重要基础和内容;五是政府部门内部审计机构在加强政府内部控制建设中发挥着重要作用。从美国政府内部控制准则发展的过程来看,政府内部控制深受企业内部控制影响,并没有发现它们之间的相互关系。张国清等[12]通过研究美国政府机构内部控制的发展,归结了四方面经验:立法基础、内部控制标准、对内部控制负主要责任的管理层和内部控制自我评估。王璐璐等[13]研究了预算分权下的美国政府内部控制,得出美国政府内部控制是以预算为主线、分权制衡为核心。王小龙等[14]考察了美国联邦政府内部控制建设,指出美国政府内部控制框架是联邦预算管理制度的基础,分权管理成为必然趋势。
除了以上经验,还有一点尚须明确指出,对美国政府内部控制建设起主导作用的是美国审计总署。美国审计总署不仅向美国国会定期报告内部控制执行情况,还主持了政府内部控制制定工作。虽然从20世期90年代后期开始政府内部控制深受企业内部控制发展的影响,但只有在美国审计总署认可的基础上才能把企业内部控制的一些成功经验引入政府部门,企业内部控制仅仅起一种推动作用。正如民间审计是美国企业内部控制发展的主要动力一样,政府审计同样是美国政府内部控制发展的主要力量。这种由审查监督机构立法的形式,更有利于内部控制的实施。如果政府部门内部控制无效,那么政府审计就会将其报告给国会,预算拨款就会受阻。这种把预算与内部控制结合起来的机制,可以有效地推进美国政府内部控制的完善与发展。
在研究美国政府内部控制建设经验时,有一个内部控制基础理论问题需要进一步探讨,即内部控制概念框架。樊行健、刘光忠[15]认为,美国COSO报告就是内部控制概念框架,而2014年内控准则是以2013年COSO报告为蓝本的,据此推理,提出在我国建立政府内部控制概念框架的必要性,同时论述了政府内部控制概念框架应包括的内容,如定义、目标、原则、要素。事实上,美国科索委员会并没有把内部控制整合框架看作概念框架,同样,美国审计总署也没有把2014年内控准则看作政府内部控制概念框架。概念框架是一个理念上的逻辑构建,如果没有一系列的具体内部控制准则,那么它就无法操作,就更谈不上执行了。在美国,不管是COSO报告,还是政府内部控制准则,既有概念方面的抽象,又有应用方面的概括说明,是抽象与具体的统一。在其看来,有这样的文件足够为政府各部门建立内部控制提供应用标准,无需再制定应用指引了。从美国政府内部控制的发展史来看,也并没有与此相关的规范出现。所以,把上述两个文件看作内部控制概念框架是不恰当的。
五、美国政府内部控制建设借鉴意义
(一)关于政府内部控制定义
1.美国审计总署关于政府内部控制的定义。从以上研究来看,美国审计总署关于政府内部控制的定义经历了制度论、流程论与过程论。制度论把内部控制看作实现控制目标制度体系的一部分,流程论则把内部控制看作控制方法、措施与程序的一系列活动,而过程论把内部控制看作实现控制目标的过程。过程论把内部控制看作贯穿整个组织系列活动过程之中,综合了制度论与流程论的内容,并在归责方面予以明晰化。过程论吸收了COSO报告概念,促使政府内部控制与企业内部控制相融合。上述三种观点都是基于管理层角度来定义的,并都把内部控制建设责任定位在管理层上。
2.我国关于政府内部控制的定义。我国行政事业单位内部控制规范把内部控制看作对风险的防范和管控[16],因此可以把它归结为风险控制论。内部控制制度、措施与程序都是单位活动风险的控制手段,是为了实现控制目标。显然,我国学者是基于风险角度来定义内部控制的。不管是从何种角度来定义,也不管是制度论、流程论、过程论还是控制论,内部控制作为一种单位内部管理工具,总是表现为制度、控制流程与控制措施,只是用不同称谓来表达罢了。随着人们认识的加强,管理水平不断提高,定义表达也会更加精炼严密。无论是企业还是政府,内部控制都属于操作层面的一系列标准、程序与技术,如果不遵循内部控制,就会产生不当处理与违规,缺乏效率与效果,这就是所谓的风险,会带来经济损失或其他不利影响。从某种意义上来说,定义只要能反映实在即可。只要政府内部控制定义能够反映政府控制目标,定义就达到目的。政府具有政治的、民族的、文化的与地缘的特征,我国政府内部控制定义必定受其界域影响,与西方政府的概念有显著不同,并不存在所谓趋同问题。它不仅要反映我国政府的特征,而且要反映内部控制特征,这两者的本质概括就是具有中国特色的政府内部控制定义。
3.小结。我国学者刘永泽等[17]反对美国审计总署把政府内部控制看作过程论观点,在他们看来,这样的定义法“掩盖了政府内部控制目标与企业内部控制目标的差异性”,我国政府内部控制是“一项行政管理活动”。诚然,政府是公共权力部门,行政是公共权力的象征,政府目标与企业目标当然不同。但从内部控制是为了实现目标的过程来看,内部控制总是表现出许许多多的正式安排与非正式安排,其形式、方式与程序大多是相同的,只不过在内容上有些差异。美国审计总署的政府内部控制过程论观点受现代公共管理理论影响,是从治理理论角度来定义的。治理理论把政府权力运行看作一个过程而不是一项活动。活动是会终止的,而过程是持续不断的。在公司层面,内部控制是公司治理的一个组成部分,在政府层面,内部控制也是政府治理的一个组成部分。政府内部控制就是通过一系列自循环开放性的生态系统,合理保证不会发生重大风险,促使行政权力有效运行而不会被终止。它是为了执行国家政策、方针、规章、制度、办法等方面而设计的一些内部管理制度、流程与程序,必须一以贯之地实施。这不是一项阶段性工作,而是一种周而复始的运动。这样看来,以行政管理活动论来反对过程论的观点缺乏说服力。
进一步地,行政管理活动观点缺乏内部控制意识。政府内部控制是面向行政权力运行的风险控制过程。政府权力运行不仅需要对权力进行合理配置,而且需要对权力进行有效制衡。合规性目标是为了反腐倡廉与防范权力寻租,運营效率与效果目标是为了实现政府绩效,报告目标是为了实现信息可靠性。政府权力运行的这些风险总是存在,不可避免,如果不加控制,舞弊、不恰当使用、侵占、浪费等风险就会大大增加,从而给国家造成损失,降低政府公信力。
(二)关于政府内部控制范围
我国行政事业单位内部控制规范把内部控制范围界定在“经济活动风险”上,而美国联邦政府内部控制范围没有这样的限定,其包括了政府的所有活动。政府行政权力运行不仅包括经济活动,还包括政治活动、思想活动等。人是行政权力运行的主体,政府功能需要各单位的具体执行者去完成,政府的各项事件或事项通过制度化形式确定下来,最终需要人去完成。从来没有脱离人的制度,所谓内部控制,实际上就是对人的控制,目的是使人的实践活动符合既定的目的与目标。离开了政治的政府是不可想象的政府,同样,离开了思想的政府也是没有灵魂的政府。在此语境下,离开了人这一主体,政府就成了虚无。每一位政府活动主体不仅是国家意志与人民意志的实践者,而且是在一定思想支配下的实践者。如果政府内部控制仅仅是规范政府预算资金活动方面,那么就会让人觉得实践者的人格是分离的而不是统一的,就会导致政府内部控制的非完整性。因此,完善我国政府内部控制的范围是非常有必要的。
(三)关于政府内部控制目标
我国行政事业单位的内部控制目标有五个,而美国政府的内部控制目标有三个。我国政府内部控制五目标可以归结为四个方面:合规、资产安全、政府绩效与信息可靠。政府内部控制目标的差异体现了不同政府功能的差异,使得不同政府的使命也有所不同。控制目标究竟确定为多少才合适,完全取决于一个国家政府所处的时代背景。
在我国的政府内部控制目标上,刘永泽等[18]提出了三层次说,即核心目标层、中介目标层和具体目标层。其中,核心目标层是指政府使命,中介目标层是指政府职能,具体目标层是指各执行单位控制目标。这种分类法存在一定的问题。我国政府的核心目标不是由内部控制规定,而是由宪法规定的,政府内部控制作为一项企业内部管理,远远达不到这样的高度。中介目标则由每届政府根据事态来决定,并非是由制度来规定的。具体目标是政府需要实现的目的,在我国,政府在不同阶段要实现的目的不尽相同。其战略规划是由国家发改委来制定,也并非是由内部控制来规定的。制定战略对企业来说非常重要,无可厚非。但对政府来说,战略是既定的,决非自由决定,更不是由自己来制定。
(四)关于政府内部控制要素
我国行政事业单位内部控制没有要素之说,而美国政府内部控制是按企业内部控制的五大要素的逻辑关系来构建的。内部控制究竟应包括哪些要素,在国际上没有统一标准。从美国内部控制发展史来看,也曾经历了二要素说、三要素说、五要素说与八要素说。目前比较公认的是五要素说。我国企业内部控制采纳了美国的五要素说。既然我国企业内部控制是以五要素为基础,为了政府与企业相关概念的一致性,建议政府内部控制也采纳五要素说。因为就内部控制本质来说,无论是政府还是企业,其含义都是相同的,不同的仅仅是控制内容。正如政府会计与企业会计的核算方法与组成要素基本相同一样,政府内部控制与企业内部控制也可以基本相同。
【主要参考文献】
[1]GAO. The Accounting and Auditing Act of 1950—Its Current Significance to GAO[EB/OL].https://www.gao.gov/products/091069,1975-01-01.
[2]GAO. Implementation of the Federal Managers Financial Integrity Act of 1982[EB/OL].https://www.gao.gov/products/124299,1984-05-22.
[3]GAO. Standards For Internal Controls in the Federal Government[EB/OL].https://www.gao.gov/products/122341,1983-01-01.
[4]GAO. Financial Management:Factors VA Needs to Consider in Implementing the Chief Financial Officers Act of 1990[EB/OL].https://www.gao.gov/products/AFMD-91-37,1991-07-23.
[5]GAO. Improving Government:Measuring Performance and Acting on Proposals for Change[EB/OL].https://www.gao.gov/products/ T-GGD-93-14,1999-03-23.
[6]GAO. Management Report:IRSs First-year Implementation of the Requirements of the Office of Management and Budgets(OMB)Revised Circular No. A-123[EB/OL].https://www.gao.gov/products/GAO-07-692R,2007-05-18.
[7]GAO. Financial Management:Implementation of the Federal Financial Management Improvement Act of 1996[EB/OL].https://www. gao.gov/products/AIMD-98-1,1997-10-01.
[8]GAO. Standards For Internal Controls in the Federal Government[EB/OL].https://www.gao.gov/products/AIMD-00-21.3.1,1999-09-01.
[9]GAO. Standards for Internal Control in the Federal Government[EB/OL].https://www.gao.gov/products/GAO-14-704G,2014-09-10.
[10]COSO. 2013 Internal Control Integrated Framework[EB/OL].https://www.coso.org/Documents/990025P-Executive-Summary-finalmay20.pdf,2013-05-14.
[11]刘玉廷,王宏.美国加强政府部门内部控制建设的有关情况及其启示[J].会计研究,2008(3):8~10.
[12]张国清,李建发.美国政府机构内部控制的发展及其启示[J].厦门大学学报(哲学社会科学版),2009(4):90.
[13]王璐璐,唐大鹏.预算分权下美国政府内部控制:经验与启示[J].财经问题研究,2017(8):70.
[14]王小龙等.美国联邦政府内部控制建设特点及启示[J].财政研究,2018(3):125~127.
[15]樊行健,刘光忠.关于构建政府部门内部控制概念框架的若干思考[J].会计研究,2011(10):34~41.
[16]财政部.行政事业单位内部控制规范(试行)[EB/OL].http://kjs.mof.gov.cn/zhengwuxinxi/zhengcefabu/201212/P020121217597514416790. pdf,2012-12-17.
[17]刘永泽,况玉书.政府内部控制的内涵界定、外延定位與预算选择[J].审计与经济管理,2015(3):91.
[18]刘永泽,况玉书.美国联邦政府内部控制准则:比较与借鉴[J].会计之友,2015(13):79.
