张士安

自2012年财政部发布《行政事业单位内部控制规范（试行)》（财会〔2012〕21号)以来，财政部连续发布《关于全面推进行政事业单位内部控制建设的指导意见》（财会〔2015〕24号)、《关于开展行政事业单位内部控制基础性评价工作的通知》（财会〔2016〕11号)、《行政事业单位内部控制报告管理制度（试行)》（财会〔2017〕1号)等多项制度规范和要求，但是，行政事业单位内部控制体系的建立和执行效果如何呢?从某系统近两年的审计情况看，仍暴露出内部控制的诸多薄弱环节，既有内控制度不健全的问题、又有执行不到位等问题，甚至个别单位存在部分环节的内控体系建设仅停留在纸面的情况。

一、行政事业单位内部控制“落地难”的原因

（一）“自律”机制决定其天然缺陷

根据《行政事业单位内部控制规范（试行)》（以下简称《内控规范》)，内部控制，是指单位为实现控制目标，通过制定制度、实施措施和执行程序，对经济活动的风险进行防范和管控。单位应当根据内控规范建立适合本单位实际情况的内部控制体系，并组织实施。简而言之，内控是一种“自律”的机制，是一个单位为了实现经济管理目标，在内部采取的自我调整、约束、规划、评价和控制的一系列方法、手段与措施的总称。作为一种制度设计，“自律”机制有其天然缺陷，即对违规者的惩戒不足，这就导致自律机制的约束是软的，是弹性的，如果某种违规行为长期得不到惩戒，人们就会习以为常形成一种新的、与既定规范相反的制度，以致出现“破窗效应”或“劣币驱逐良币”现象。

（二）内部控制的责任主体意识不强

根据《内控规范》，“单位负责人对本单位内部控制建立健全和有效实施负责”，内控体系建设是一把手工程，责任主体在一把手。行政事业单位内部控制的具体工作包括梳理单位各类经济活动的业务流程，系统分析经济活动风险，确定风险点并选择风险应对策略，在此基础上建立健全单位各项内部管理制度并督促相关工作人员认真执行。这些都决定了内部控制是一项涉及到单位经济活动方方面面的系统工程，是一项全员参加的工作。内部控制建设能否取得实效，关键在领导。但是目前来看，仍有部分领导对内控体系建设的必要性认识不足，认为财务、内审会对单位进行内部控制，没必要建立专门的内部控制体系，还有部分单位负责人认为行政事业单位只需要发挥行政职能，履行公共管理和公共服务职责即可，未将内控体系建设提到一定高度去认识。

（三）具体承担部门实施存在诸多困难

从目前来看，行政事业单位新设一个内控部门，无论从审批程序还是部门编制资源的有限性来看，可能性极小。一把手也不可能亲自负责此事，必然落实到某个具体的职能部门。根据某系统内部控制牵头部门的统计数据，20%为行政管理部门牵头，77%为财务部门牵头，3%为内审部门牵头，且行政管理部门牵头的单位中，有部分财务部门未独立设置，而是设在办公室之下，实际负责内控相关工作的也多为财务人员。

1.财务部门实施内部控制利弊分析。2012年以来，行政事业单位内部控制的一系列制度，均由财政部一家下发，因此大多数单位便将内部控制建设工作交给了财务部门。此外，《内控规范》将事业单位业务层面经济活动分为预算业务、收支业务、政府采购、资产管理、建设项目、合同管理六大类，其中预算、收支和政府采购乃至资产管理等，在基层行政事业单位基本都由财务部门具体负责，由财务部门承担单位内控体系建设，可以说对业务最为熟悉和了解。而现实中，我们发现，某些以业务活动为核心竞争力的事业单位，财务部门相对而言是一个弱势部门，内部控制建设工作本身的推动力度和知识体系不足。再加上单位负责人认识不足和重视程度不够，使得其对于内部控制建设过多停留于口头上的宣传而缺乏落地措施，甚至错误地认为内部控制的建设就是会计控制建设，就应该由财务部门负责，进一步加大工作难度。

2.内审部门实施内部控制利弊分析。内部审计部门有查错防弊，进行监督、开展各项审计的职责，因工作职能，其在分析单位经济活动风险、确定风险点、选择风险应对策略等方面相比其他部门有绝对优势。但是，对于尚未建立内部控制或内部控制不完善的单位，由内审部门牵头内控机制又存在独立性缺失的风险。《内控规范》第六十条规定：内部监督应当与内部控制的建立和实施保持相对独立。如果内部审计负责内部控制建设，会集运动员、裁判员为一身，影响自身独立性。

目前基层行政事业单位，大部分未设置专门的内部审计机构，有的也仅是在纪检监察或者财务部门设置有相关人员从事内部审计工作，这在某种程度上影响了内部审计的独立性和权威性。内审的不足又一定程度上削减了内部控制工作防弊纠错的效能。

二、行政事业单位落实内部控制具体措施

内部控制建设的核心是“控权”，难点是“制衡”。基于目前制度体系和基层行政事业单位管理现状，笔者认为，要将行政事业单位内部控制落到实处，需要从以下四方面着手，打好组合拳，从各个层级上解决“制衡”难题。

（一）借助外部监督构建内部控制工作新机制

自律是他律实现的基础，他律是有效自律的前提和保证，鉴于内部控制只有“一把手”的强势推进，各方面的积极性才能够调动起来。要调动全员积极性，必须有一定的外部监督。同时这也是基于内部控制中监督权相对独立的控制思想。笔者认为，尽管《内控规范》是财政部发文，但是，在后期的推动实施上，财政部应充分调动其他相关部门的参与，从更高层面将审计、监察等部门纳入进来。2019年7月，新修订的《党政主要领导干部和国有企事业单位主要领导人员经济责任审计规定》，明确了经济责任审计要促进权力规范运行，促进反腐倡廉。下一步审计机关可借助内部控制体系在发挥制衡机制，规范权力运行中的效能，将风险管理与管理层绩效挂钩，将内部控制与领导干部经济责任挂钩，更加关注内控制度执行，充分发挥内部控制体系效能，借助内控漏洞披露风险发现问题，将“查已病”向“防未病”推进。

（二）保障内部审计在内控体系建设中作用发挥

内部控制的关键环节在于单位内部，内部审计设在机构或单位内部，具有离得近看得清的天然优势，因此需要重视内部审计在单位内控体系建设中的作用，充分发挥行政事业单位内部控制与内部审计双向协同效应。首先行政事业单位应从制度层面入手，发挥审计的指导作用，通过揭示问题并提出建议，指导单位发现漏洞，建立完善内部控制体系。其次，要进一步发挥内部审计在内部控制中的监督和评价作用，对已经建立的内部控制体系进行客观评价。再次通过审计整改，监督行政事业单位针对内部控制缺陷，进行相应的调整，及时纠正偏离，不断完善内部控制流程，从根本上防止和规避其薄弱环节及潜在的风险，进一步推动内控体制完善。

（三）加强单位内部经济活动相关的权利制衡

内部控制的建立与实施应当遵循制衡性原则，即应在单位内部的部门管理、职责分工、业务流程等方面形成相互制约和相互监督机制。一是要做好不相容岗位的分离和制衡。不相容岗位分离的核心是“内部牵制”，它要求每项经济业务都要经过两个或两个以上人员的处理，使得单个人的工作必须与其他人相一致或相联系，并受其监督和制约。二是做好部门间的制衡，重点是财务部门和业务部门的制衡，一般来说，存在重大内控风险的单位，财务与业务或多或少都存在脱节现象。因此行政事业单位财务部门和各业务部门要建立沟通协调机制，做到财务部门熟悉业务流程，财务数据与业务数据定期对账，才能预防和规避重大风险。

（四）利用信息化手段实现内部控制措施落地

组织管理总是在效率与控制之间寻求平衡，人们在执行内控制度过程中，由于自律的惰性和人情世故等影响，往往占用大量人力资源却没有达到很好的执行效果，这也就是前面所述的自律机制的缺陷，在这方面，“人控”的效果远远没有“机控”好，因此，要将内部控制制度信息化，将内控制度要求固化在信息系统中，将内控流程嵌入办公自动化的“OA”之中、嵌入财务管理（报账)信息系统之中。以信息化手段实现内控措施落地，第一能实时反映单位内控制度执行情况，实现自动控制，减低人为因素影响。第二用信息化手段实现格式化固定化流程的自动审批，避免内控环节嵌入对组织运转效率的影响，以提高效率。第三有利于从纷繁复杂的日常管理中解脱出来，集中精力思考发展战略等更高附加值工作，真正提高行政事业单位管理水平，提升公共服务能力。

“制衡”是为了更好地落实内部控制建设，防范和规避风险。国资委《中央企业全面风险管理指引》提出了企业风险管理的三道防线。参考企业全面风险管理经验，结合行政事业单位的实际情况，笔者认为，可以构建行政事业单位风险管理的三道防线。即：第一道防线——基层行政事业单位职能部门和业务部门，即岗位制衡。第二道防线——行政事业单位内部控制体系，即在岗位制衡基础上扩展到部门制衡。第三道防线——审计、巡视、纪检、监察等，即进一步扩展到外部制衡。通过各方“制衡”，充分发挥财会、内部审计、纪检监察、政府采购、基建、资产管理等部门或岗位在内部控制中的作用，再辅之以信息化手段以提高效率，真正解决内部控制“落地难”的问题，从而构建完善的行政事业单位风险管理体系。