行政事业单位如何进行内部控制?(一)
改革开放以来,我国的经济社会发展取得了巨大成就,国家面貌发生了翻天覆地的变化。在国内形势日益复杂多变的情况下,行政事业单位运用公共权力来管理社会公共事务既有难得的发展机遇,又面临着日益剧增的挑战与风险,加强行政事业单位内部控制建设已刻不容缓。
目前,我国依法行政的系统体制机制尚不健全,一些地方和部门不坚持依法行政、不严格依法办事的问题还比较突出,我国行政事业单位依法行政之路任重而道远。行政事业单位内部控制的一个重要目标,就是合理保证行政事业单位各项业务活动符合相关的法律法规,加强行政事业单位内部控制建设是满足行政事业单位依法行政的迫切需要。
行政事业单位内部控制理论的结构
行政事业单位内部控制理论结构是行政事业单位内部控制的理论基础,对指导行政事业单位内部控制具有重要现实意义。
任何学科都有贯穿于本学科演进历史并推动学科发展的基本问题,也都有与这个学科相适应的特定命题和理论结构或理论框架。迄今为止,行政事业单位内部控制学科还没有以概念公告或研究报告形式描述的理论结构体系,还没有形成一套成熟和规范的理论结构,有限的一些探讨行政事业单位内部控制基本概念的文献也显得软弱乏力,缺乏应有的高度和深度及创新性。
行政事业单位内部控制作为内部控制的重要组成部分,作为一个独立的学科,需要构建一个完整而且相对稳定的行政事业单位内部控制理论结构,这是行政事业单位内部控制作为内部控制独立部分的要求,也是使行政事业单位内部控制的研究及应用能够在一个统一的平台上进行交流的现实需要。现实的问题不是行政事业单位内部控制学科是否需要构建一套完整的理论结构,而是如何构建具有特色的行政事业单位内部控制理论结构,其应该包括哪些要素、结构如何等。特别是要明确其控制目标、基本原则、构成要素等与传统的企业内部控制理论结构应当有何异同。
一般来说,内部控制理论结构可以把目标作为起点,这是学术界所推崇的观点;可以把内部控制定义作为起点,这是贯彻先“定性”后“目标”的传统逻辑思路;也可以把内部控制假设作为起点,放入理论体系之中并置于最高的层次。当然,还可以把其他要素作为起点。这应该是没有对错之说,只是研究路径习惯的不同而已。按照以内部控制假设为起点的逻辑思路,行政事业单位内部控制理论结构至少由内部控制假设、内部控制定义、内部控制作用、内部控制目标、内部控制主体、内部控制内容、内部控制要素、内部控制分类、内部控制原则、内部控制流程、内部控制方法、内部控制方式、内部控制融合等组成。当然,还可以增加或合并一些要素。内部控制理论结构中各个组成要素之间既是相互联系的,也是有主次的。
行政事业单位内部控制理论结构应该是在一般内部控制理论结构的基础上构建,并要突出行政事业单位内部控制概念特点,要适应行政事业单位管理现状,尽可能简单实用,以指导行政事业单位的内部控制实践。在本研究中,经过课题组成员认真系统地研究,认为行政事业单位内部控制目标、定义、原则、内容具有行政事业单位内部控制特点,行政事业单位内部控制假设、功能、本质、流程、方法等与一般单位的内部控制没有差别。因此,具有行政事业单位内部控制特色的理论结构应该是由行政事业单位内部控制定义、目标、主体、客体、内容、原则等组成的有机整体。
行政事业单位内部控制建设的基础
行政事业单位内控建设基础是方方面面的,权威内部控制研究报告或规范中的内部环境、信息与沟通相关内容是行政事业单位内部控制建设的重要基础。
行政事业单位如何进行内部控制?(二)
行政事业单位内部环境是行政事业单位内部控制的基础,对行政事业单位内部控制理论和实践建设具有重要现实意义。我国行政事业单位内部控制的内部环境要素应界定为行政事业单位组织架构、行政事业单位发展战略、行政事业单位人力资源、行政事业单位社会责任、行政事业单位组织文化等。在具体内部控制实践中,上述行政事业单位内部环境的要素可以无限的分割下去,只要是管理需要的话。在行政事业单位内部环境要素中,必须突出问责制,必须明确行政事业单位领导班子对单位内部控制的建立健全和有效实施负责;行政事业单位应当根据内部控制的要求和本单位的实际情况设置或确定内部控制职能部门或岗位,充分发挥单位财务、审计、纪检、检察等机构在内部控制中的作用。
现代社会,信息越来越多,沟通也越来越重要,对于管理社会公共事务的行政事业单位来说更是这样。在信息交流频繁的时代,信息的及时交流与沟通已成为行政事业单位管理的决定因素,对组织优劣目标的畅通实现具有重要意义。行政事业单位信息沟通不畅是客观存在的,这无形中加大了沟通成本,因信息不对称带来的决策失误和资源浪费也在所难免。加强行政事业单位内部信息与沟通建设势在必行,刻不容缓。
行政事业单位内部控制实施过程
行政事业单位内部控制实施是个十分复杂的过程,主要包括:
(一)行政事业单位目标确定
行政事业单位目标是多种多样的,是一个相互联系、相互依存的目标体系。如何确定、分解行政事业单位目标,这确实是一个很重要的现实问题。根据目标管理理论,要保证行政事业单位确定的目标最终能有效地贯彻实施,必须满足SMART的要求。S是Specific,即明确的;M是Measur?鄄able,即可衡量的;A是Action?鄄able,即可操作的;R是Realistic,即符合实际的;T是Time,即有时间限制的。SMART分析是用以帮助进行正确的目标确定,并用以检查目标确定是否满足相关要求的有效工具。从技术层面看,企业目标管理成熟的经验确实应在行政事业单位中广泛推广。
(二)行政事业单位风险识别
行政事业单位不仅存在着风险,而且比企业的风险更难以判断和控制。行政事业单位在进行经济决策和市场监管时,存在着经济决策欠科学合理、市场监管“缺位”和“越位”等风险,在提供公共产品和公共服务时存在着公共产品质量不高、公共服务效率低下的风险,在管理自身资产的过程中存在着管理不善的风险,在编制和提供财务信息时也存在着信息不真实、不准确的风险。如果行政事业单位无视这些风险,或是不能准确识别风险并采取有效的风险应对措施,会带来极其严重的后果。识别行政事业单位的各种风险离不开对诱发风险的各种因素的分析和认识。引发风险因素包括外部因素和内部因素,外因通过内因起作用。我国行政事业单位在识别风险时需要考虑的相关因素包括:政治经济形势、法律法规、文化传统以及自然灾害等外部因素;单位干部职工的政治素质和道德修养、专业胜任能力、岗位设置和人员配备等人员因素;组织机构、职能任务、业务流程、工作进度、信息技术运用等管理因素;财务状况、经费收支、现金流量等财务因素。
行政事业单位如何进行内部控制?(三)
(三)行政事业单位风险评估。
行政事业单位风险评估是行政事业单位实施有效内部控制的重要步骤,对行政事业单位内部控制理论和实践建设具有重要现实意义。风险评估是合理设计和实施内部控制措施的基础,它贯穿于行政事业单位业务活动的始终,也贯穿于行政事业单位内部控制的始终。对于现阶段尚未形成较强风险防范意识的我国行政事业单位而言,既要认识到进行科学的风险评估,正确把握未来可能发生的风险及其影响,将风险控制在可承受范围内非常必要,也要认识到这项工作的难度。目前,在我国行政事业单位开展风险评估,需要解决为什么评估、由谁评估、如何评估、何时评估等问题。
(四)行政事业单位控制活动。
行政事业单位控制活动是和风险应对联系在一起的,是风险应对策略的具体实施途径。确定了风险应对策略,行政事业单位就要根据不同的应对策略采取必要的行动以应付影响目标实现的风险。行政事业单位应当科学分析、准确掌握管理人员、关键岗位员工的风险偏好,采取适当的控制措施,避免因个人风险偏好给单位带来重大损失。
根据现阶段我国行政事业单位内部控制目标和风险集中的领域,行政事业单位控制活动主要包括以下几个方面的内容。一是与行政事业单位内部岗位设置有关的控制机制或方法,具体包括内部控制关键岗位责任制、关键岗位业务人员和部门负责人的轮岗制度,以及不相容岗位相分离控制。二是与行政事业单位内部决策和审批有关的控制机制或方法,具体包括议事决策机制和授权审批控制。三是预算控制。四是资产保护控制。五是会计系统控制。六是信息技术控制。
行政事业单位内部控制评价监督
评价监督是行政事业单位实施有效内部控制的重要保证,建立健全行政事业单位评价监督制度,加强行政事业单位评价监督工作,提高我国行政事业单位评价监督能力具有十分重要的意义。目前我国行政事业单位监督乏力,外部监督太远,内部监督太软,监督不到位和多头重复监督现象并存,加强和改善行政事业单位评价监督任重道远。
就内部控制而言,行政事业单位内部控制建设关键在执行,行政事业单位评价监督就是通过评价、监督检查行政事业单位内部控制系统的运行过程和结果,促使行政事业单位建立并执行内部控制。行政事业单位内部控制评价监督程序,就是对行政事业单位内部控制工作从开始监督到结束监督行为的基本过程。行政事业单位内部控制评价监督的具体程序,因监督方式、监督主体、监督内容及其监管要求等的不同而不同,但一般应包括准备阶段、实施阶段、报告阶段和改进阶段。
行政事业单位内部控制评价监督的准备阶段主要包括行政事业单位内部控制评价监督项目立项、组成内部控制评价监督小组、监督前期调研、制订内部控制评价监督方案、下达内部控制评价监督通知书等。
行政事业单位内部控制评价监督的实施阶段是内部控制评价监督的关键阶段,基本步骤包括了解控制目标、进行风险排序、关注关键控制、收集相关信息、实施测试、汇总缺陷等。行政事业单位内部控制评价监督实施阶段工作是具体的,审计领域在审计实施阶段的流程已有比较具体操作程序可以借鉴。
行政事业单位内部控制评价监督的报告阶段,是行政事业单位内部控制评价监督的一个重要环节。行政事业单位内部控制评价监督报告向谁报告,因管理体制和监管要求的不同而不同,但一般情况应是谁负责监督工作,就向谁报告。监管要求向外披露或报告的,应及时按要求向外编报。
行政事业单位如何进行内部控制?(四)
行政事业单位内部控制评价监督报告内容、格式不是固定不变的,应简单、实用,突出重点,最好能够表格化、指标化。该评价监督报告的内容不仅仅是报告内部控制缺陷,监督情况、监督结论和改进建议都需要。行政事业单位内部控制评价监督报告没有固定的流程,一般包括:整理、分析、复核现场监督工作记录,形成监督结果,对监督结果进行充分沟通,编写监督报告初稿,出具正式监督报告,总结归档。
行政事业单位内部控制评价监督改进阶段,是落实内部监督结论的阶段,关系到监督作用的发挥。这种评价监督改进阶段工作是复杂的,就一般而言,应包括了解监督结论的落实情况、现场核实整改措施的效果等。行政事业单位内部控制评价监督本身是一个动态的过程,因此,行政事业单位内部控制程序并不意味着必须是僵化的、一成不变的。
行政事业单位内部控制要素的趋同与创新
行政事业单位内部控制要素是其理论结构体系的重要组成元素或理论单元,对行政事业单位内部控制理论和实践建设具有重要现实意义。
行政事业单位内部控制要素是行政事业单位制定相关内部控制规范和实施指南的理论基础,能为行政事业单位内部控制构建、实施、评价提供有效性的标准、途径和方法,对行政事业单位内部控制功能的发挥至关重要。国内外内部控制理论界和实务界关于内部控制的研究大多是通过控制要素展开的。
(一)行政事业单位内部控制要素定义
关于内部控制要素是什么,国内外内部控制规范大多没有定义。本文定义行政事业单位内部控制要素是指行政事业单位内部控制的构成单元或组成部分。
行政事业单位内部控制要素是按照某种结构连接在一起的、服务于控制目标的,是相对于行政事业单位内部控制整体而言的,没有整体就没有要素,所有的要素只有按照某种结构才能构成一个整体。行政事业单位内部控制要素应是和结构联系在一起的。
(二)行政事业单位内部控制要素的趋同与创新
行政事业单位内部控制要素到底由哪些单元组成,这还得从人们对内部控制要素认识的不断变化过程谈起。在内部控制漫长发展的历史长河中,最初的内部牵制阶段和内部控制制度阶段因内部控制还不存在结构,没有要素这一说法,直到1988年业界提出了“内部控制结构”的概念后,才有了内部控制要素的说法。关于内部控制要素构成的观点很多,主要有“三要素论”、“四要素论”、“五要素论”、“六要素论”和“八要素论”等等。
“三要素论”把内部控制系统分成三个组成部分。1988年美国注册会计师协会(AICPA) 发布的《审计准则公告第55号》首次提出“内部控制结构”以取代传统的“内部控制”概念,将内部控制结构的要素确定为三个:控制环境、会计制度、控制程序。1999年英国发布的特恩布尔内部控制报告是针对上市公司的主管,重点强调了在评价内部控制时的目标设定、风险识别和风险评估。英国财务报告理事会(FRC)2005年公布的《内部控制:对董事会的关于联合规则的指南》认为,健全有效的内部控制系统应该包括如下要素:控制活动、信息与沟通过程、监督内部控制系统持续有效性的过程。我国《独立审计具体准则第9号———内部控制和审计风险》指出企业内部控制的内容:控制环境、会计系统和控制程序。
行政事业单位如何进行内部控制?(五)
“四要素论”把内部控制系统分成四个组成部分。加拿大控制基准委员会(COCO)对内部控制理论的研究提出以下内部控制要素:目标,即有关组织管理的准则;解释,即有关身份和道德标准的准则;能力,即有关能力的准则;监督和学习,即有关组织发展的准则。
COCO 把控制看作是组织的要素(包括组织的资源、系统、流程、结构和任务),这些要素组合到一起能够支持人们实现组织目标。
“五要素论”把内部控制系统划分成五个组成部分。1992年,全美反虚假财务报告发起人委员会(COSO)发布的《内部控制———整合框架》认为内部控制包括五个相互关联的构成要素。它们来自管理层经营企业的方式,并贯穿于管理过程之中。这些构成要素包括:
控制环境。所有业务活动的核心都是人员,他们的个人特性,包括诚信、道德价值观和胜任能力,以及他们开展经营所处的环境。他们是推动主体发展的引擎,也是所有事情赖以存在的基础。
风险评估。企业必须了解和应对它所面临的风险。必须设定目标,整合销售、生产、营销、财务和其他活动,以便使组织协调一致地运行。还必须建立识别、分析和管理相关风险的机制。
控制活动。必须确立和执行控制政策和程序,以帮助确保那些管理层确定的处置风险以实现主体目标的必要活动得以有效地实施。
信息与沟通。围绕在这些活动周围的是信息与沟通系统。它们使主体的员工能够获得和交换那些执行、管理和控制其经营活动所需的信息。
监控。必须对整个过程进行监控,并在必要时作出修改。这样,该体系才能作出动态反应,随着情况的需要而变化。
l999年11月,美国审计署(GAO)发布的《联邦政府内部控制准则》采纳了COSO委员会对内部控制的研究成果,将COSO报告关于内部控制5个要素的划分,变成了内部控制的5个具体准则。我国《证券公司内部控制指引》指出内部控制应充分考虑控制环境、风险识别与评估、控制活动与措施、信息沟通与反馈、监督与评价等要素。《商业银行内部控制指引》指出内部控制应当包括以下要素:内部控制环境、风险识别与评估、内部控制措施、信息交流与反馈、监督评价与纠正。《审计机关内部控制测评准则》指出内部控制由控制环境、风险评估、控制活动、信息与沟通和监督五个要素组成。《内部审计具体准则第5号———内部控制审计》指出内部控制包括控制环境、风险管理、控制活动、信息与沟通、监督等五个要素。2008年6月28日财政部、证监会、审计署、银监会、保监会发布的《企业内部控制基本规范》要求企业建立与实施有效的内部控制,应当包括下列要素:内部环境、风险评估、控制活动、信息与沟通、内部监督。
“六要素论”把内部控制系统分成六个组成部分。2007年2月15日,日本企业会计审议会审议发布的《关于财务报告内部控制评价与审计准则以及财务报告内部控制评价与审计实施准则的制定(意见书)》,认为内部控制由控制环境、风险的评估与应对、控制活动、信息与沟通、监控(监督控制活动)以及信息技术的应对等六项基本要素构成。
“八要素论”是把内部控制系统分成八个组成部分。2004年,美国COSO在其发布的《企业风险管理框架》(ERM)中将内部控制(风险管理)要素进一步扩展到了八个要素:内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控。(未完待续)
