闫晨曦 张 朋

（作者单位：农业农村部财会服务中心）

随着行政事业单位管理改革的不断深化与政府职能的不断转变，预算管理精细化、科学化水平的不断提高，为实现预算资金的高效利用，有效避免经济活动风险，进一步深化单位内部控制工作建设显得更为重要。从总体上看，行政事业单位在内控体系建设上已经有了很大提升，内部控制体系的持续运转也为单位的发展提供了安全轨道，但单位内控体系建设多流于形式，严重落后于管理实际，风险评估及持续改进缺位问题较为普遍。本文以《行政事业单位内部控制规范（试行）》为制度规范，结合行政事业单位内部控制的实际，从分析行政事业单位内部控制实施路径、实施内容入手，搭建起行政事业单位内部控制闭环管理建设的全景路线图，为行政事业单位提升单位内部控制工作水平提供参考。

一、行政事业单位内部控制闭环管理实施路径

按照内部控制建设目标，根据健全内部控制体系、强化内部控制等主要任务要求，从单位层面、业务层面等建设内容出发，以开展风险为导向的内部控制为指引[1]，以规范经济活动及相关业务活动有序开展为主线，以信息化为支撑，通过对行政事业单位组织构建制度建设及业务运行权责分配开展分析，全面梳理内部控制框架构成要素，探索出一套适合行政事业单位内部控制建设的实施路径，如图1所示。

图1 行政事业单位内部控制建设的实施路径

二、行政事业单位内部控制闭环管理实施范围

行政事业单位内部控制范围包括单位层面内部控制和业务层面内部控制。前者主要是对组织架构方面进行规划设计，体现在制度架构体系的完善，最终表现在部门和单位、政府乃至国家治理制度体系的健全；后者主要对业务流程方面进行规划设计，体现在制度执行能力的提高和效率的提升，最终表现在财政和行业管理能力的提高。

单位层面内部控制体系建设主要包含加强组织架构、议事决策、岗位设置、人员配备、信息系统五方面的体系完备情况。单位应该单独设置内部控制职能部门或者确定内部控制牵头部门，负责组织协调内部控制工作；单位经济活动的决策、执行和监督应当相互分离；建立健全集体研究、接纳公众参与、专家论证、风险评估和合法性审查等环节相结合的议事决策机制；重大经济事项的内部决策，应当由单位领导班子集体研究决定；健全事前申请、事中控制和事后评价追责的执行机制，在决策和执行全过程中恰当嵌入监督机制；建立健全内部控制关键岗位责任制，明确岗位职责及分工，确保不相容岗位相互分离、相互制约和相互监督；实行内部控制关键岗位工作人员的轮岗制度，明确轮岗周期，不具备轮岗条件的单位应当采取专项审计；注重对关键岗位的人员配备、制衡、培训和评价等。

业务层面内部控制是在单位层面内部控制基础上的聚焦和细化，主要包括规范预算、收支、采购、资产、合同、建设项目六个常规经济活动以及本行业或本单位主要业务活动的执行过程。将业务活动和经济活动的内部控制要求融入单位制度体系和业务流程，贯穿内部权力运行的决策、执行和监督全过程，建立一套完整的业务运行机制，形成内部控制监管合力。最终通过表单和信息系统固化单位业务流程和风险防控措施，实现管理制度化、流程化、表单化、标准化、岗位化、信息化和系统化，使组织全员参与内部控制、相互制衡，但又不相互掣肘，提高工作效率。

三、行政事业单位内部控制闭环管理建设过程

根据实施路径，将内部控制建设内容按环节进行分配，行政事业单位内部控制闭环管理建设过程大致可分为四个阶段[2]：内部控制建设准备阶段、风险评估阶段、体系设计和实施阶段、运行及优化阶段。

内部控制建设准备阶段包括制定工作方案、梳理单位经济活动流程、收集政策法规等，风险评估阶段包括设计评估指标、实施评估并识别风险点、确定风险控制措施，内控体系设计和实施阶段包括单位层面和业务层面内部控制设计、内部控制信息化，运行及优化阶段包括内部控制体系运行测试及动态维护。具体建设程序如表1 所示。

（一）建设准备阶段

行政事业单位开展内部控制建设是一项系统工程，需做好充分准备工作。准备阶段的工作主要包括确定内部控制组织结构、制订内部控制建设方案、梳理业务事项。

1.确定内部控制组织结构

单位应当单独设置内部控制职能部门或者明确牵头部门，负责组织协调内部控制工作。确定单位内控建设的分管领导、归口责任人以及各部门内部控制兼职人员，明确单位其他部门的内部控制责任及具体分工[3]。如果内部控制人员不足或专业能力不强，可以聘请外部咨询机构帮助设计建立单位内部控制体系。

2.制订内部控制建设方案

单位内部控制建设方案是内部控制建设工作的指导性文件，应当包括内部控制建设目标、总体思路、建设内容、实施计划以及人员和机制保障等内容。

3.梳理业务事项

全面梳理单位业务事项和经济活动，是内部控制建设和优化的基础。根据单位职能和现有业务，借助各种手段，对经济活动现状开展调研，收集单位经济活动信息，厘清单位层面和业务层面的各类活动事项，梳理现有制度和流程，摸清具体业务环节。

此外，在准备阶段，还应加强内部控制建设的宣传培训，在单位内部统一认识，提升全员的参与意识，营造积极的内部控制建设氛围，减小工作阻力。

（二）风险评估阶段

风险评估是指全面、系统和客观地识别、分析本单位经济活动及相关业务活动存在的风险，确定相应的风险承受度及风险应对策略的过程。风险评估至少每年进行一次；外部环境、业务活动、经济活动或管理要求等发生重大变化的，应当及时对经济活动及相关业务活动的风险进行重新评估。单位应当根据本单位设定的内部控制目标和建设规划，有针对性地选择风险评估对象，风险评估对象可以是整个单位或某个部门，也可以是某项业务、某个项目或具体事项。

风险评估作为内部控制体系建设的重要环节，单位确定的牵头部门可以自行或聘请具有相应资质的第三方机构开展。首先，按照上一阶段梳理的单位经济业务活动，根据各项经济活动的自身特点和相互联系，明确核心业务目标并细化控制目标；其次，确立评估框架并设计具体指标，通过查找、梳理、评估工作中的各类风险，并进行识别、梳理和汇总，形成风险事项清单；再次，对风险的可能性和影响程度开展分析，选择风险应对策略，制定、完善一系列制度、流程、方法和标准，对单位工作风险进行事前防范、事中控制、事后监督，形成动态的纠错管理过程和机制。风险评估结果应当形成书面报告，作为内部控制建设的重点内容，为决策、管理和接下来的内控建设提供指导。

按照评估指标体系，根据准备阶段现状调研获得的业务信息，采取文件审阅、现场访谈、问卷调查、数据分析、流程分析等方法，分析单位经济活动的现状以及可能存在的控制缺陷，逐个识别经济事项、业务环节存在的风险，对风险事件发生的可能性和影响程度进行分析，包括风险发生的原因、可能导致的损失及管理难度，确定风险的大小，甄别风险等级，形成单位风险清单。

在单位风险清单的基础上，识别单位经济活动内部控制风险，对风险形成原因及影响进行分析[4]，和责任部门进行充分沟通，从完善制度流程、明确责任奖惩机制、设计有效管控方式、强化执行监督检查等方面提出管理建议，明确建议的防控思路，列出具体改进的操作方法和步骤。同时对单位总体风险水平进行分析，提出总体风险应对建议，最终形成单位风险评估报告。

（三）内部控制设计和实施

内部控制风险评估、诊断完成后，以此为基础，对单位内部控制体系进行优化设计，采取不相容岗位分离、内部授权审批控制、归口管理、预算控制、资产保护控制、会计控制、单据控制等内部控制方法，建立单位业务活动规范化流程，形成对单位业务活动的标准化控制程序，建立分级分类的内部控制制度体系，以业务流程化与优化、制度梳理与优化、控制设计与优化为基础，建立健全内部监督机制，建立自我评价机制，编制单位《内部控制手册》。行政事业单位在长期发展过程中，大多已建立了很多符合自身实际的内部管理制度、业务流程及控制措施，但完成程度、规范程度不一，部分存在不成文的规则。因此，对大多数行政事业单位来说，内部控制设计和建设，是对单位现有制度、流程和控制措施的梳理和优化过程。

《行政事业单位内部控制规范（试行）》第十八条指出：“单位应当充分运用先进科学技术手段加强内部控制。对信息系统建设实施归口管理，将经济活动及其内部控制流程嵌入单位信息系统中，减少或消除人为操作因素，保护信息安全。”内部控制信息化是将内控理念、控制流程、控制方法等要素通过信息化的手段嵌入并固化到信息系统中，实现内部控制程序化和常态化，或者说是用信息化手段去实现内部控制的过程。内部控制信息化可以改变单位各项经济活动分块管理、信息分割、信息“孤岛”的局面，把六大块业务等集成在统一平台上，固化经济活动的业务流程，减少或消除人为操纵因素，使业务流程和管理制度实现自动流转和主动提示，实现从“人控”向“机控”转变；通过信息平台事前防范、事中监控、事后评价等功能，实现对业务活动的全生命周期管控，实现全过程记录和留痕，财务信息、业务信息和其他管理信息可以及时、可靠、完整地获得处理和呈现，进一步促进单位管理规范化、决策科学化、监督实时化的实现；单位经济活动通过信息系统流转，实现内控信息的程序化、标准化，有效提升信息沟通的效率，提升工作信息的准确性，从而不断提高工作质量和内部控制效果。

行政事业单位可以从信息系统开发、运行维护、安全管理等方面完善信息系统[5]，加强信息系统建设的统筹规划，设置信息系统管理岗位，明确信息系统管理责任，对信息系统实行归口管理，统筹管理信息系统的开发、运行和维护等工作，使各项经济活动和内部控制措施在信息系统中稳健运行。

按照“管理制度化，制度岗位化，岗位职责化，职责程序化，程序表单化，表单信息化”的内部控制信息化理念，具体建设路径分为两种情况：一是在已有业务系统中增加内部控制的要求和措施，把内部控制要求嵌入现有的业务信息系统和管理信息系统，如把内控机制和措施嵌入预算管理系统、收支管理系统、合同管理系统等，实现对业务操作的自动监控；二是把内部控制治理理念、内部控制制度、内部控制措施与业务流程一起规划设计，建立新型的自带内部控制的业务管理信息系统。行政事业单位各项经济活动密切相关，建立统一的综合业务管控平台是未来的发展方向。

（四）运行及优化阶段

行政事业单位内部控制优化设计完成后，进入内部控制的试运行、正式运行、日常维护和持续优化阶段。单位内部控制体系建设只是内部控制工作的起步阶段，内部控制体系的运行维护才是内部控制发挥作用的重要阶段，是内部控制的常态。

1.运行维护

内部控制体系的运行维护不仅涉及对内部控制手册的更新维护、对内部控制体系的检查和评价，还包括对业务流程的规范运行、对制度的严格执行，以及对制度、流程的进一步优化等，这些工作在运行维护阶段需要建立一种常态机制。在内部控制体系运行维护期间，体系设计的制度流程应满足“两个一致性”，外部一致性指的是内部控制制度流程与国家相关法律法规、政策要求相一致，需要以单位内部控制业务、经济活动运行的环节为线索建立分析框架对外部有关的法规做全面、实施的梳理和排查，建立系统完整和实施动态的更新的外部标准，定期将内部法规与之对标，识别差异点，逐项分析；内部一致性指的是制度之间、制度与流程、制度流程与表单之间应保持一致，单位内部的各项管理制度、流程（含流程图）、表单、有关的岗位职责和信息系统等，逐项比对，看是否存在表述不一致，或者规范不匹配的情况。针对发现问题和缺陷，及时调整内部控制措施。

2.持续优化

随着内外部环境的变化和监管要求的不断提升，对单位内部控制应进行持续优化。不论单位现有的内部控制体系多么完美，随着时间的推移，都可能出现一些新的问题。应及时将新问题新要求反馈到相关部门，定期或不定期地对内部控制体系加以优化和完善，不断调整创新内部控制手段，与时俱进，才能使内部控制体系持续发挥高效的控制作用，在服务单位业务开展和管理的同时，形成有效监管。持续优化的主要方式包括定期或不定期开展单项或全面的风险评估、内部控制评价、报送年度内部控制报告等。

通过设计、实施、评价内部控制，然后再完善、再实施、再评价，持续动态改进内控体系，从而不断提升内控系统的全面性、有效性，堵塞管理漏洞，降低运行风险，同时，注重各个环节过程留痕和数据沉淀，进一步夯实整个内部控制的闭环管理。

四、结语

实施有效的内部控建设，应着重形成动态且延续的闭环管理，内控系统建立完成并不是终点，而是不断完善的起点，应持续循环设计、实施、评价、改进的过程，不断依据最新的外部政策进行风险评估，根据评估结果以及内外部环境变化对单位内控制度流程进行改进优化，及时发现内部控制建设工作中存在的问题，进一步健全制度，完善监督措施；同时，充分发挥信息化对制度及流程的固化功能，业务活动及相关信息记录留痕，逐步减少人为操作影响，将不断优化的内控流程嵌入信息系统，相应调整信息系统流程设置与权限配置，促进内部控制制度严格执行的同时，为单位管理提供真实准确完整的数据支撑，从而促进内部控制持续有效发挥作用。