行政事业单位内部控制何以“落地生根”

2023-07-06唐建纲陆美芳

会计之友 2023年14期

唐建纲陆美芳

【摘要】加强行政事业单位内部控制是党中央全面推进依法治国的重要部署之一。经过多年努力，行政事业单位基本建立了内部控制制度规范，但实施中出现了“制度上墙”现象，单位内部控制落地困难与执行乏力。究其关键原因是缺乏一套具体、可操作的实施机制。由于对内部控制本质认识的混乱，导致行政事业单位人员对内部控制执行不力。文章在厘清行政事业单位内部控制本质的基础上，指出开展风险导向的内部控制前提是构建单位风险数据库。要围绕风险数据库的建立和动态管理与持续优化，将单位全体人员纳入风险管理体系中，使人人懂内控、人人用内控，让内部控制在单位“落地生根”。同时以N省X体育局为案例验证了这一实施机制。

【关键词】内部控制；实施机制；风险数据库；行政事业单位

【中图分类号】 F235.1；F239.66 【文献标识码】 A 【文章编号】 1004-5937（2023）14-0106-07

一、问题的提出

内部控制是政府治理的基石。为推动政府职能转变和提高政府管理水平，2012年11月财政部印发《行政事业单位内部控制规范（试行）》（以下简称《单位内控规范》），部署全面建设行政事业单位内部控制。那么，经过多年实践，我国行政事业单位内部控制的建设效果到底如何呢？为掌握全国行政事业单位内部控制建设与实施情况，财政部开展了行政事业单位内部控制报告编报工作。从内部控制报告反馈的数据来看，自《单位内控规范》实施以来，全国各级、各部门行政事业单位呈现出较高的内部控制建设热情，但大部分处于制度建立层面，进入内部控制实施阶段的比例仅为31.81%[ 1 ]，并没有真正落实《单位内控规范》的具体要求。这种重制度建立而轻制度实施的现象被学术界称之为“制度上墙”，凸显现阶段行政事业单位内部控制落地困难与执行乏力。尽管在有关部门高位推动下，各单位也投入了相当多的建设资源，但为什么行政事业单位内部控制仍然不能达到令人满意的效果呢？

无论企业内部控制还是行政事业单位内部控制，从内部控制规范颁布实施以来就面临一道难题：如何防止内部控制流于形式。学术界对这一问题进行了大量研究，主要解释集中在实施机制上。按照新制度经济学理论，“制度是某种能够自行实行或由某种外在权威施行的行为规范”[ 2 ]。换言之，实施机制应该内嵌于制度或制度化之中，没有实施机制的制度最多只是“挂在墙上”的纸质复本，不可能真正发挥其价值作用[ 3-4 ]。在内部控制发展早期，大都隐含内部控制实施机制健全的假定，但事实并非如此[ 3 ]。即便是内部控制处于全球领先的美国，COSO推出《内部控制——整体框架》（ICIF）和《企业风险管理——整合框架》（RMF）时也并未强调实施机制，而是随着公司失败与舞弊案件频发，人们才不得不检视内部控制框架本身的缺陷与实施问题，转向加强实施机制的研究。美国联邦政府内部控制在借鉴企业内部控制发展经验的基础上，更加重视实施机制，其最为显著的特点是建立以立法为先导的实施机制[ 5 ]。从广义角度来看，实施机制是为保证内部控制规范得以实施而建立或形成的工作机制，包括正式与非正式实施机制（李连华，2014）。所谓正式实施机制指对执行或违反正式内控规范的行为主体各种形式的奖励或惩罚以保证内控规范得以实施的条件和手段[ 3 ]。刘永泽和张亮[ 6 ]认为，行政事业单位内部控制实施机制由立法机制、内部审计机制、信息披露机制与外部审计机制构成。这些实施机制主要是利用外在权威来推动具体执行内部控制的主体履行内控规范义务。上至财政部印发的《关于全面推进行政事业单位内部控制建设的指导意见》（以下简称《内控指导意见》）、《关于开展行政事业单位内部控制基础性评价工作的通知》、《行政事业单位内部控制报告管理制度（试行）》，审计署颁布的《审计署关于内部审计工作的规定》，下至地方政府出台的推进行政事业单位内部控制的地方规定②，自上而下构建的权威的正式实施机制理应取得较好的实施效果，然而，我国行政事业单位内部控制仍不能达到预期的目标，这又是为什么呢？

事实上，内部控制的施行效果不仅有赖于外部权威的强势推行，而且更为关键的是让制度执行者能够“自行实行”。综观现有实施机制的研究文献主要从“外在权威”视角进行分析，认为只要出台政策文件，制度执行就是自然而然的，不必考虑具体运作机制和操作方法层面[ 7 ]。现实情况是外在权威的强势推行下行政事业单位人员对《单位内控规范》虽有初步了解，但对具体的控制流程、方法体系仍缺乏认知[ 8 ]，造成行政事业单位人员不是不愿执行内控规范，而是难以执行。那么，如何构建一套具体、可操作的实施机制，避免“制度上墙”，就是本文的研究目的。

二、行政事业单位内部控制的本质在于控制风险

构建一套可操作的实施机制其前提是厘清行政事业单位内部控制的本质，它既是理论认识的逻辑起点，又是实践运用的操作基点。长期以来，由于人们对内部控制本质认识的混乱，如管理工具论（法约尔，1908；孔茨，1961）、方法措施论（AICPA，1936）、管理过程论（GAO，1999）、管理活动论（CoCo，1995）、制度整合论（审计署，2006）等，至今尚未形成統一认识，导致行政事业单位人员对内部控制概念模糊。加之我国行政事业单位内部控制起步较晚，对内部控制本质的认识要么受西式内控理论束缚，要么过度借鉴企业内部控制经验把内部控制拨得过高，使得行政事业单位人员在实践运用中无所适从。这一点从《单位内控规范》对行政事业单位内部控制目标的设定可见一斑。其中既要有法律功能（保证经济活动合法合规）、经济功能（资产安全和有效使用）、报告功能（财务信息真实完整），还要有政治功能（防范舞弊和预防腐败）与战略功能（提高公共服务效率与效果）。功能如此全面的内部控制，已经超越了会计与审计学科的边界，扩展至经济学、管理学、政治学、社会学乃至组织行为学等诸多学科，以至于人们对内部控制本质的认识飘忽不定，使得内部控制“靡不有初，鲜克有终”，其实施效果可想而知。那么，从实践的角度，行政事业单位内部控制的本质应该是什么？

本文认为，行政事业单位内部控制的本质是一项政府风险控制活动。首先，从国家对行政事业单位内部控制提出的要求来看，财政部《内控指导意见》指出，行政事业单位内部控制就是要对单位内部管理薄弱环节和风险隐患开展有针对性的监督与制约。主要任务是通过分析风险隐患、完善风险评估机制、制定风险应对策略，全面梳理业务流程、明确业务环节，以期达到规范单位内部经济和业务活动，降低风险事故发生概率。其次，根据政府理论新的研究成果，行政事业单位内部控制建设的目标之一是防止公共权力的公共属性异化为个人价值取向的风险[ 9 ]。政府存在的目的与企业有很大不同。行政事业单位受社会公众委托合理配置并使用公共资源，维护和实现社会公众的整体利益，由于政府职员具有双重属性，关注社会整体利益的同时也追求自身的经济利益，但在多重委托代理关系下制度的漏洞与监督的缺失导致行政事业单位人员失范风险，这也正是党中央多次强调对权力集中的财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让与公共工程建设等风险频发领域加强内部控制的初衷。最后，从内部控制理论发展过程来看，由内部控制整体框架理论阶段发展到风险管理整合框架阶段，说明随着人们对内部控制本质认识的深化，风险管理成为内部控制的主要任务。尽管內部控制不等于风险管理，风险管理也不完全包含内部控制，但从风险管理的角度开展内部控制却能很好地达成内部控制的目标。政府面临的风险多样而复杂，如经济风险、政治风险、社会风险、生态风险等，如果不从风险角度开展内部控制则有可能缩小内部控制的范围。换言之，内部控制的实施效果将大打折扣。

概括而言，“管理工具论”“方法措施论”把内部控制作为一套方法论，只是看到内部控制的表象，并未深入理解内部控制的本质；“管理过程论”与“管理活动论”虽然指出了内部控制的一般管理属性，但是未抓住内部控制区别于其他管理活动的本质，当然也就无法提出具体、可操作化的实施机制；而“制度整合论”仅注重内部控制的外在形式，并未指出内部控制的本质，实践中“制度上墙”就是制度整合论不足的现实表现。由此本文基于行政事业单位内部控制是一项政府风险管理活动的本质理解，从可操作化的角度提出一套内部控制实施机制，以满足行政单位内部控制建设的需要。

三、构建基于风险数据库管理的内部控制实施机制

开展基于风险数据库管理的内部控制，是在全面风险评估的基础上构建单位风险数据库，并以此为工具对单位风险实施动态管理，从而提高内部控制的针对性和有效性。因此，建立风险数据库是内部控制实施机制的核心要素。

（一）建立风险数据库的必要性

1.有利于增强单位风险意识

由于行政事业单位资金来源和管理体制的限制，尚未将风险管理提升至整个单位的治理高度，大部分单位和员工对风险的认识停留在粗浅阶段，比如经济业务不能违法违规、国有资产不能流失、会计信息要真实完整等。至于如何划分风险、识别风险、评估风险以及风险发生对单位造成的影响该如何应对等，仍缺乏操作经验。因此，利用全员参与风险数据库的建立并对风险实施常态化管理，有利于将单位全体人员纳入风险管理体系中，使得人人懂内控、人人用内控，进而优化单位内部控制环境。

2.有利于建立内控方法体系

行政事业单位普遍反映内部控制工作难，关键在于缺乏可操作性的方法体系。无论是COSO推出的ICIF，还是财政部发布的《单位内控规范》以及《内控指导意见》，提供的内部控制方法、模型都比较原则性，缺乏具体操作，导致行政事业单位财务人员难以真正掌握，更别说非财务人员对内部控制的理解，自然导致内部控制工作推进缓慢。而通过风险数据库，将单位可能存在的风险向全体人员揭示、公布，并提供可能发生风险的应对措施，让每一层级人员都懂得应该如何履行相应职责，以及如何防范风险。

3.有利于持续推进内控工作

内部控制建设是一项“永远在路上”的工作，要随着外部环境的变化、单位经济活动调整和管理要求的提高不断更新和完善。这就意味着，国家有关法规、政策不断出台，单位面临的实际情况发生变化，单位风险也不断发展变化，需要单位及时更新风险数据库，对风险实施动态管理。单位建立风险数据库，以及对风险认识的不断深化，识别出的风险会越来越多、越来越精准，风险数据库也就不断更新，从而持续推进单位内部控制建设工作的深化发展。

（二）风险数据库建设的总体思路

面对内部控制建设的内外部环境，如何构建科学、高效、可控的风险数据库管理系统是行政事业单位推进内部控制建设的迫切需要。风险数据库的建立必须遵循一定的原则，比如全面性原则、重要性原则、适应性原则，同时也需要有切实可行的建设思路。

第一，根据单位的管理要求和组织架构特点，成立内部控制工作领导、建设和实施小组，加强组织保障。由于风险数据库建设是单位内部控制工作的重要内容，应内含于单位整体内部控制之中，那么对风险数据库建设也应成立相应的工作组，发挥组织协调作用。

第二，按照行政事业单位的运行特点和各项监管要求，充分了解内外部环境，合理设定目标，确定风险评估范围，设定风险承受度，全面系统地搜集相关信息。

第三，利用外部咨询机构的专业工作，开发风险管理工具和风险评估模型，包括风险管理框架、流程图、工作模板、风险调查问卷等工具。

第四，基于业务流程全面梳理单位可能存在的风险隐患。重点对以下方面进行详细的风险评估：一是单位层面风险，包括控制环境风险、组织框架风险、制度完备性风险、不相容岗位是否分离等；二是业务流程风险，包括预算业务活动风险、收支业务活动风险、政府采购业务风险、资产管理业务风险、建设项目风险和合同管理风险等。

第五，对识别出的风险进行分析，分类分级纳入风险数据库管理。

第六，利用信息化手段落实风险数据库管理制度，以及定期开展风险数据库更新。

需要指出的是，风险数据库是有效开展单位内部控制的基础设施，但是建立风险数据库不仅仅是列举风险清单，更为关键的是分析风险根源，提出风险应对措施，最终为各层级、各岗位人员提供一个简便、易于操作的风险管理工具箱，解决当前内部控制工作中有制度卻执行乏力的弊端。

（三）基于风险数据库管理的内部控制实施机制

建立风险数据库的目的是促进单位对风险甄别、控制的有效性，以实现单位内部控制的总目标。但是如何将风险管理融合内部控制仍需要一定的实施机制。周卫华（2011）认为，内部控制实施是将内部控制标准和规范落实到运营管理的过程，既然内部控制实施是一个周密的过程，就可以将内部控制工作作为一项系统工程。因此，借鉴周卫华的内部控制实施系统工程观，本文提出基于风险数据库管理的内部控制实施机制三维工程结构，如图1所示。

知识维：指为完成单位内部控制各阶段、各步骤工作所需的一系列规范和各种知识的总称。内控规范是内部控制系统工程的公认知识，至少由以下三个部分组成：（1）内部控制程序性规范体系，是单位开展内部控制工作应遵循的程序方面的规范，是关于“谁来做”“做什么”“如何做”的制度体系。（2）内部控制实体性规范，是单位应当遵守的现实义务的实质性规定，包括国家各项法律、行政法规、中央政策和本单位制定的制度规范。（3）单位内部控制制度体系，是单位结合自身职责和业务将内部控制规范要求落到实处，形成本单位的内部控制制度体系[ 10 ]。除此之外，内部控制实施作为一项复杂工程也需要多学科的知识才能准确分析潜在风险因素，提出针对性的应对措施。涉及的知识体系包括内部控制学、风险管理学、工程学、组织学、制度经济学等。

信息维：指支撑内部控制系统信息与沟通的基础设施。制度规范是内部控制的基础，而有效实施则依赖于内部控制信息系统。现代内部控制要求充分利用现代科学技术手段将业务活动与流程嵌入信息系统，信息系统成为内部控制实施机制的重要组成部分。现代经济业务的蓬勃发展与政府管理活动日益多元化产生的海量风险数据只能利用信息系统才能有效管理。财政部门为了提高管理效率开发了诸多信息系统，如OA管理系统、支付系统、会计系统、资产管理系统、政府采购系统以及内控系统等。因此，在规划和建立风险数据管理的初期就要充分考虑信息化团队的引入，包括信息化应用人才的培养。

时间维：指按照事物发展的逻辑，根据工程学生命周期将内部控制工程划分不同阶段来管理，包括规划阶段、方案阶段、建设阶段、实施阶段、评价阶段和改进阶段等。规划阶段要立足专业的评估与调研，形成基于风险数据库管理的内部控制建设思路；方案阶段要在外部专家团队的协助下构建风险数据库框架以及实施方案，进而在建设方案指导下依次进入建设阶段、实施阶段、评价阶段与改进阶段。各阶段要紧密配合才能形成一个完整的全生命周期工作。

四、X体育局基于风险数据库管理的内部控制案例分析

X体育局是N省人民政府直属36个政府部门机构之一，组织规模庞大、业务复杂多样。由于该部门各单位情况不一，多数单位内部控制建设仍处于“制度上墙”阶段，为此，X体育局亟须构建一套有效的内部控制体系。

（一）实施新机制③前案例单位内部控制现状

X体育局在财政部门部署下自2014年开展内部控制建设。尽管单位按照规范要求以内控目标为导向修补了原内部管理制度，在一定程度上看似开展了内部控制，但是业务开展中的风险仍未得到有效控制。

1.单位风险管理意识比较薄弱

主要体现在：一是领导层对风险认识程度不高。没有设置独立的会计机构和内部审计机构，反映管理层的风险意识较差。二是缺乏风险评估机制。尚未建立风险评估机制和定期开展风险评估，表明风险意识比较薄弱。三是职责分工不合理。例如体育经济处承担了多个不相容的职责，包括预算管理、基本建设、国资管理、投资管理、财务会计、内部审计、采购及合同管理等多项不相容的职责，风险内部化严重。

2.内部控制整体规划不完善

虽然单位无意识的风险控制活动一直存在，但是工作零星化、割裂化，各部门自成体系，没有形成整个单位层面的标准统一、相互协同、全流程、全覆盖、全员参与的风险管理体系。通过对体育局的访谈了解到，当前经济活动监督由在机关党委挂牌设置的机关纪委承担，日常监督工作采取召集各处室负责人成立临时巡查小组方式进行。单位风险管理工作由个别部门或临时机构承担，大部分员工置于事外，导致整体风险管理难以提高。

3.内部控制信息系统建设滞后

聘请的内部控制专家团队认为，目前体育局缺乏内部控制信息系统。虽然该单位在实施内部控制过程中利用财政部门开发的国库支付系统、政府采购系统、国有资产管理系统等具有较高的信息化程度，但是其他经济业务领域的信息化几乎是空白，不能适应全面风险管理的要求。

4.具体经济业务活动面临多重风险

例如：部门预算由各处室处长一手包办，存在较大的风险隐患；未独立设置收入业务岗位，收款与会计核算不相容岗位没有分离，存在错误和舞弊风险；政府采购实施和审核均由体育经济处一个部门负责，该部门又同时负责资金支付工作，容易发生风险；资产管理上未对拥有的大量基础设施（体育场馆、训练基地、全民健身场所等）实施有效管理。

从上述分析来看，虽然该单位开展内部控制建设多年，也建立了一批规范，但是制度落不了地，仍然存在较多风险隐患。为此，体育局决定聘请外部专家团队，在专家团队帮助下以风险数据库建设为切口实施风险导向的内部控制。

（二）案例单位基于风险数据库内部控制的建设过程

专家团队深刻分析内外部环境和以往建设经验，决定按照三维工程结构的主要思路为体育局进行新一轮的内部控制体系建设。

1.引入外部团队，提高规划水平

由于X体育局内部控制与风险管理专业人才匮乏，决定聘请外部专家协助做好内部控制实施规划和建设方案。专家通过实地考察指出，制度规范是内部控制的基础，而有效实施才是内部控制的灵魂，X体育局之所以内部控制实施效果不理想是执行不力造成的。基于先进理论与单位实际，专家提出进行新一轮内部控制建设的建议，即以管控风险为根本、风险数据库为工具、流程控制为基础、信息技术为支撑以及人才培养为后盾的整体建设规划。在领导大力支持与推动下，于2018年10月体育局启动了新一轮内部控制建设。

2.健全规范体系，提供执行标准

按照知识维要求，制度规范是建立风险数据库的依据，该规范体系至少包括程序性规范、实体性规范和单位内部控制制度体系三个层次。建设项目组按此框架补充了單位内部控制的程序性规范和实体性规范，并参照《内控指导意见》完善了资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让、公共工程建设六大业务领域的内部控制制度体系，设计了风险控制流程图和风险控制矩阵，为开展风险评估和建立风险数据库提供了标准。本轮内部控制建设的一大特点是强化了程序性规范和实体性规范的建设，明确内部控制“谁来做”“做什么”“如何做”等关键问题，打破了内部控制无人问津的不利局面。

3.开展风险评估，建立风险数据库

构建风险数据库是实施风险导向内部控制的核心环节，关系到本轮内部控制建设的成效。在专家团队指导下，按照风险数据库的建设步骤，从组织保障、领导机制、工作机制、协调机制、专业支撑、资金保障等方面给予了有力支持，经过近一年时间，于2019年8月初步构建了单位风险数据库。

其一，单位层面风险数据库的建设。项目组利用实地观察、穿行测试、与主要领导和关键岗位人员访谈，梳理现有整体层面制度，查阅近3年审计报告、巡视检查报告、内部控制自评报告等相关资料，经过风险评估，发现单位层面的风险源主要包括：（1）“分事行权”设计不够合理，对涉及权力、财产、资源集中的重点领域缺乏制衡机制；（2）没有“分岗设权”，权责不够明晰；（3）“分级授权”过于集中，合理性有待提高；（4）缺乏风险评估机制，部门之间沟通协调机制不够顺畅；（5）内部管理制度缺乏系统性、结构性，内容比较零散，缺失较多；（6）未明确关键岗位的职责，关键岗位人员缺乏管理；（7）会计工作没有得到足够重视，人员业务素质有待提高；（8）未建设内部控制信息系统；（9）内部控制监督机制薄弱。专家运用定性分析方法建立了组织架构风险、工作机制风险、内部控制制度风险、关键岗位风险、关键人员风险、会计系统风险、信息系统风险、内部控制监督与评价风险8个一级风险数据库以及33项二级风险数据库。

其二，业务层面风险数据库的建设。开展风险数据库建设之前，体育局一方面未对经济活动流程做系统梳理和对风险开展评估，风险在哪里？有哪些？缺乏风险辨析，无法合理保证有限的资源投入到重要的业务领域和关键的管控环节，容易导致管理的盲目性，影响风险控制的效率与效果，另一方面未明确各业务环节的控制目标、控制要求与控制方法等。简言之，内部控制缺乏对风险管控的针对性、全面性与可操作性。因此，本轮建立风险数据库管理模式就是全面梳理各业务环节的风险点以及提供可操作的应对措施，把管理制度要求落实到各关键岗位的日常工作中。体育局按照《内控规范》对经济业务活动的划分标准，关注重点风险领域，构建了预算业务、收入管理、支出管理、政府采购、资产管理、建设项目、合同管理7大类别风险数据库，并细分出二级风险45项，三级风险145项，从而形成较为完整的业务层面风险数据库。限于篇幅，案例单位风险数据库不再赘述。

4.利用信息技术，将风险管理落到实处

虽然单位将制定的风险防控手册分发到每一位员工，但由于风险防控体系的庞大与复杂，并不是所有员工都能有效掌握和应用。专家团队指出，如果不能将风险数据库内置于信息系统，对稳定的、有规律的风险事件和控制措施通过信息系统程序化和模块化，提高操作便捷性，那么面对海量的风险信息，大多数人难免会掉入数据的迷雾中。体育局的风险管理信息系统建设分三个部分：第一部分为各具体业务风险控制平台，包含业务流程、风险提示、控制标准、应对措施和风险反馈；第二部分为报告和决策支持平台，主要是收集各业务流程的风险信息形成单位整体风险报告，为单位管理层决策服务；第三部分为数据底层平台，为各系统之间数据相互衔接提供支撑。

5.评估优化，持续改进风险防控

内部控制是一个循环往复不断改进的过程。根据风险数据管理的内部控制实施机制建设要求，体育局将内部控制评价工作转化为对风险数据库管理有效性的评价，避免了对制度有效性的评价，更具有实践意义和可操作性。一是针对风险数据库的完整性，检查是否存在重大风险因子没有纳入风险数据库；二是评价风险应对措施的有效性，利用信息系统的留痕数据检查各岗位是否按照规定执行风险防控程序，避免事后调查的滞后性以及现场评价的短暂性不能捕捉到风险常态；三是报告反馈与跟踪，对认定的内部控制缺陷由内部审计部门和监察部门持续跟踪整改落实情况，并向领导班子反馈，造成损失和负面影响的，要追究相关人员责任。

（三）案例单位基于新机制的内部控制实施效果

X体育局通过构建风险数据库，开展基于风险数据库管理的内部控制，有效解决了内部控制执行效率的问题。主要成果表现为：一是优化控制环境、提升风险意识。在风险数据库的建设过程中，体育局编制印发了《风险数据库管理指南》和《风险管理考核办法》，增强各级人员的风险意识，既提高了全员参与度，又优化了控制环境。二是强化控制手段、夯实管理基础。在本轮内部控制建设中，体育局建立了一套较为完整的、细化的风险数据体系，为开展以风险为导向的内部控制提供了工具，有效解决了以制度完善制度的内部控制“死循环”，将制度约束转化成更为具体的风险应对措施。三是实现重点管控、优化业务流程。对风险进行分类和分级管理，将本单位有限的人力、物力与财力用于当前急需解决的重要问题和关键事项上。四是内控信息化转型、提高控制效率。利用建设风险数据库的机遇，积极向财政部门申报内控改革试点，以获得信息化建设资金支持，加快了信息化转型。总之，X体育局将内部控制建设从完善制度层面有效地推进到风险防控的具体操作层面，风险数据库建设与运用发挥了关键的桥梁作用。

五、结论与经验

加强行政事业单位内部控制是党中央全面推进依法治国的重要部署之一，要求所有行政事业单位必须于2016年底完成内部控制的建立与实施工作。经过多年努力，全国各级行政事业单位基本建立了本单位的内部控制制度规范，但实施效果与内控预期目标仍有差距，即出现了“制度上墙”现象。本文认为，行政事业单位人员不是不愿执行内控规范，而是难以执行，其关键原因是缺乏一套具体、可操作化的实施机制。本文基于行政事业单位内部控制是一项政府风险控制活动的本质认识，提出利用风险数据库管理开展内部控制的实施机制，即通过风险数据库的建立和动态更新与持续优化，将单位全体人员纳入风险管理体系中，使得人人懂内控、人人用内控，从而实现内部控制在单位“落地生根”。

本文通过N省X体育局的实践案例分析，发现该案例单位的成功做法能为其他单位实施基于风险数据库管理的内部控制提供借鉴经验。

第一，以风险管控为主线，将内部控制任务转化为风险管理工作。行政事业单位大多数人员对内部控制还比较陌生，内部控制工作任务通常由财政部门派发到单位财务部门。因此，一般人员认为内部控制是财务部门的职责，其他部门参与度不高，从而影响了内部控制执行的效果。风险与每个部门、每个人都息息相关，大家对风险的认识和理解要比内部控制深刻，通过风险管理可以将全员思想认识统一起来，从而提高对内部控制必要性的认识，有利于推动全员积极参与内部控制工作。

第二，将风险数据库建设纳入“一把手”工程。成功单位的经验表明，是否把内部控制作为“一把手”工程将直接影响内部控制建设的成败，没有领导支持的内部控制往往因缺乏权威保障而流于形式。风险数据库建设是内部控制的重要组成部分，进行全面风险评估与应对需要全员的参与，只有“一把手”带头，才能将领导层的意识和行为向下逐级渗透，成为整个单位的行为模式。

第三，推动业财融合是成功实施风险数据库管理的关键因素。风险隐藏于业务之中，要增强风险应对的相关性与有效性，离不开业财的有机融合。案例单位风险数据库的建立就是在专家团队带领下深入各部门、所属单位、各岗位进行实地调查，分析各项业务活动的具体操作，从业务流程内部寻找和发现风险点，避免风险管理人员“说外行话、做外行事”，提高风险应对相关性和有效性。

第四，依托专业咨询和专家团队的有力支持。内部控制和风险管理是一项专业性很强的工作，既需要财务人员也需要懂风险管理的专业人才和信息化人才，但目前大多数行政事业单位并不具备全面的专业人才，因此，在风险数据库建设初期特别需要专家团队的支持。一方面专家团队具有完备的内部控制和风险管理专业理论知识，熟悉内部控制的前沿与发展；另一方面专家团队长年服务于各类型单位内部控制和风险管理实践，具有丰富的实际操作经验，能够提供其他单位的成功和成熟案例，有利于本单位学习和借鉴。

第五，内部控制和风险管理工作应当抓住重点。为了避免内部控制流于形式，案例单位立足实际，在现阶段主要突出对资金资产的风险管控。一方面，资金安全是行政事业单位内部控制应当坚守的底线[ 11 ]；另一方面，体育彩票公益金是体育部门的重要预算收入，2021年财政部发布修订后的《彩票公益金管理办法》（财综〔2021〕18号），目的就是加强彩票公益金管理，提高资金使用效益。因此，为杜绝因公益金监管不力而造成损失[ 12 ]，按照“牵牛要牵牛鼻子”的原则，案例单位紧紧抓住本单位资金领域关键控制节点建立风险矩阵，提高内部控制建设的针对性和有效性。

第六，重视成果的落实执行，促进风险管理持续完善。风险数据库的建立并不是一劳永逸的，环境不断变化风险也不断变化，因此风险数据库建设是一个持续优化、不断更新的过程。同时，风险数据库的建立不能停留在建成一套方法工具的层面上，而要将风险数据库融入业务之中，强化贯彻执行。只有执行了，才能检验工具、模型的适用性，也才能为下一步工作规划提供参考。案例单位与外部专家建立了多年的服务协议，目的就是在外部专家的支持下持续完善风险数据库的管理和应用。

第七，加强信息化应用，促进风险管理的落地生根。信息系统为内控工作带来了极大便利，实现了精细化管理并提升了工作效率。借鉴其他单位建设经验，案例单位大力开发信息化应用，以提高内部控制系统与风险数据库、会计核算、部门预算、决算、政府采购、资产管理、绩效管理等系统的互联互通，实现信息相互比对和高效利用，这是提升风险管理效能的重要方面。

【参考文献】

［1］中华人民共和国财政部.2017年全国行政事业单位内部控制建设分析报告［R/OL］. http：//kjs.mof.gov.cn/ diaochayanjiu / 201905 / t20190523_3264307.htm，2019-

05-23.

［2］樊纲.渐进改革的政治经济学分析［M］．上海：上海远东出版社，1996：23.

［3］缪艳娟.企业内控规范实施机制的新制度经济学分析［J］.会计研究，2010（11）：33-39.

［4］陈志斌，何忠莲.内部控制执行机制分析框架构建［J］.会计研究，2007（10）：46-52.

［5］况玉书.政府内部控制理论框架构建及应用对策研究［M］.北京：经济科学出版社，2018：45.

［6］刘永泽，张亮.我国政府部门内部控制框架体系的构建研究［J］.会计研究，2012（1）：10-19.

［7］李心合.被神化的内部控制与被冷落的内部牵制［J］.审计与经济研究，2013（3）：3-9.

［8］孙楠.《行政事业单位内部控制规范》实施情况调查［J］.财务与会计，2016（15）：16-18.

［9］叶邦银，凌华.问责制嵌入行政事业单位内部控制的多维路径研究［J］.中国行政管理，2021（7）：64-69.

［10］朱效平.法治视角下行政事业单位内部控制研究［M］.济南：山东大学出版社，2019：34-44.