行政事业单位如何进行内部控制?(六)
《上海证券交易所上市公司内部控制指引》指出,公司建立和实施内控制度时,应考虑以下基本要素:目标设定、内部环境、风险评估、风险管理策略选择、控制活动、信息沟通、检查监督。《深圳证券交易所上市公司内部控制指引》指出,公司的内部控制应充分考虑以下要素:内部环境、目标设定、事项识别、风险评估、风险对策、控制活动、信息与沟通、检查监督。
国内外内部控制规范关于内部控制要素构成的理论是不完全相同的,是趋同和创新同在的,也是不断变化的,由“三要素”发展为“四要素”、“五要素”、“六要素”,并正在向“八要素”发展。当然,趋同不是照抄照搬。不论是“三要素”,还是“五要素”、“八要素”,国外内部控制规范中关于内部控制系统的构成要素也不完全相同,即使同一个要素的内容界定也不完全一样。
《审计准则公告》将内部控制作为一个整体,包括控制环境、会计系统和控制程序三个组成部分。COSO内部控制报告将内部控制要素发展为控制环境、风险评估、控制活动、信息与沟通、监控五个要素,在借鉴前者的基础上有创新、有发展。COSO内部控制框架没有了“会计控制”和“控制程序”两个要素,但新增加了“风险评估”、“控制活动”、“信息与沟通”、“监控”四个因素,即使对保留的“控制环境”要素也有所改变,突出了职业道德、诚信观念和企业职工竞争力的内容。COSO风险管理框架将内部控制要素进一步扩展到了内部环境、目标设定、事项识别、风险评估、风险应对、控制活动、信息与沟通、监控,除了保持COSO内部控制报告中的风险评估、控制活动、信息与沟通、监控四个要素基本相同之外,增加了目标设定、事项识别和风险应对三个要素,将控制环境直接修改为“内部环境”。
加拿大COCO 将内部控制要素确定为目的、承诺、能力、监督和学习,并没有直接拿来美国COSO“五要素”,而是提出了按照自己理解的控制要素。巴塞尔银监会的内部控制系统框架与 COSO的内部控制框架尽管整体结构上非常相似,但巴塞尔银监会内部控制系统框架的要素所包含的内容是在COSO内部控制要素所包含内容基础上作了优化和调整,如“管理监督和控制文化”与“控制环境”在内容上存在很大的不同。不可否认,国内内部控制规范基本上是同国外趋同的。
《独立审计具体准则第9号———内部控制和审计风险》的控制环境、会计系统和控制程序三要素基本上是美国《审计准则公告》控制环境、会计系统和控制程序三要素的翻版。《证券公司内部控制指引》、《商业银行内部控制指引》、《证券投资基金管理公司内部控制指导意见》、《审计机关内部控制测评准则》、《内部审计具体准则第5号———内部控制审计》、《企业内部控制基本规范》等中的“五要素”基本是COSO内部控制框架控制环境、风险评估、控制活动、信息与沟通、监控“五要素”的翻版。《上海证券交易所上市公司内部控制指引》、《深圳证券交易所上市公司内部控制指引》拓展了COSO内部控制报告中的“五要素”为“八要素”,基本上与COSO风险管理框架的八要素相衔接。行政事业单位内部控制要素同企业内部控制要素也是融合的,美国审计署(GAO)发布的《联邦政府内部控制准则》就采纳了COSO“五要素”的观点。
从本报告研究过程中所收集到的文献资料看,关于内部控制要素方面的理论研究,大多是围绕“三要素”、“五要素”和“八要素”展开的,以解释美国COSO的“五要素”和“八要素”的观点居多。本报告研究过程中也收集到了一些理论界的不同观点
行政事业单位如何进行内部控制?(七)
理论上的探索是无止境的,考虑到行政事业单位内部控制要素与企业内部控制要素相互融合的现实,至少在我国行政事业单位内部控制规范的制定中应借鉴《企业内部控制基本规范》中企业内部控制“五要素”的整体结构。
我国《企业内部控制基本规范》有机融合了世界主要经济体加强内部控制的做法与经验,构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证,相互联系、相互促进的“五要素”内部控制框架。在要素上借鉴了COS0“五要素”的框架,同时又吸收了风险管理“八要素”的精神实质。
审计署行政事业审计司认为内部控制由控制环境、风险评估、控制活动、信息与沟通、监督五个要素组成。管理学家张舰认为政府内部控制“五要素”中,政府控制环境对整个政府内部控制将会产生很大的影响,会影响到政府内部控制其他各要素的实施与执行。风险评估主要是根据政府内部控制的目标分析达到政府控制目标会存在哪些风险,然后通过制定关键的控制措施来控制风险,这些具体的控制措施就构成控制活动的主要内容。在整个控制过程中行政事业单位内部及其与外部之间的沟通非常重要。信息与沟通将贯穿于整个政府内部控制实施过程之中。监督是保障政府内部控制得以有效执行的基本要素,理应成为政府内部控制的要素之一。
现阶段,在我国行政事业单位内部控制建设中,采用我国《企业内部控制基本规范》“五要素”做法是比较现实的选择,是我国行政事业单位内部控制建设的迫切需要,也便于内部控制界的交流和沟通。
行政事业单位内部控制要素的总体框架
借鉴我国《企业内部控制基本规范》“五要素”框架结构,我国行政事业单位内部控制要素总体框架包括内部环境、风险评估、控制活动、信息与沟通、监督。在这一方面,突出行政事业单位内部控制要素特点,并相对进行简化是必要的。
行政事业单位内部控制的实施过程
行政事业单位内部控制是一个十分复杂的过程,包括行政事业单位内部控制设计、实施、监督等方方面面的工作。
(一)行政事业单位的目标概念
行政事业单位的目标,就是行政事业单位想要达到的目的或者标准,是行政事业单位所要追求的目的。行政事业单位的目标要服务于国家发展战略,从这个意义说,行政事业单位目标就是国家发展战略或宗旨的具体化,是一个行政事业单位奋力争取所希望达到的未来状况,是一切行动指向的终点。一般而言,行政事业单位作为管理国家的工具,承担着市场不能承担的国家的社会管理和公共服务的职能,其总体目标就是管理好社会,提供优质的公共服务,促进社会经济的和谐发展。不同组织有不同的目标。行政事业单位作为非营利性组织,与营利性组织的目标肯定不一样。总体上,非赢利性组织的目标是提供各种社会发展所需要的公共服务,而赢利性组织则关注价值的创造。
改革开放30多年的建设,为我国经济与社会的可持续发展奠定了良好的基础,全力构建和谐社会成为新时期我国发展的目标方向。在和谐社会的建设与实现进程中,以政府治理为核心的社会治理应是主导型力量,政府治理的发展方向应该与“以人为本”的和谐社会建设相契合,以进一步实现向服务型政府的转变,提升政府管理绩效,促进经济与社会的协调发展。这应该是我国各级行政事业单位所应追求的宏伟目标。中央制定的“十二五”时期经济社会发展的主要目标是:经济平稳较快发展、经济结构战略性调整取得重大进展、城乡居民收入普遍较快增加、社会建设明显加强、改革开放不断深化。经过全国人民共同努力奋斗,使我国转变经济发展方式取得实质性进展,综合国力、国际竞争力、抵御风险能力显著提高,人民物质文化生活明显改善,全面建成小康社会的基础更加牢固。这应该是我国各级行政事业单位“十二五”时期所应追求的发展目标。
行政事业单位如何进行内部控制?(八)
(二)行政事业单位的目标体系
行政事业单位目标是多种多样的,是一个相互联系、相互依存的体系。政府组织存在着不同的层次体系,每一层次都有其自身的目标,低层次的目标必然要服务于高层次的。第一层次的目标应该是国家目标,第二层次的是政府目标,第三层次是行政事业单位目标。
根据新公共管理理论,现代政府的主要职能是经济调节、市场监管、社会管理、公共服务。因此,从总体上看,政府的目标可分为经济调节目标、市场监管目标、社会管理目标、公共服务目标。政府要实现这些目标,就必须将其转化成较为具体的行政事业单位目标。因不同行政事业单位所承担的政府职能不同,其具体目标也不同,但都是为实现政府目标服务的。“让权力在阳光下运行” 永远是现代政府值得追求的目标之一。
(三)行政事业单位目标的确定
管理的首要任务,就是确定目标。只有实事求是地确定了行政事业单位的目标,才能进行有序管理,因此,目标确定是重要的,目标管理是管理中的管理。行政事业单位的使命和任务,必须转化为目标。管理者的任务就是通过目标对下级进行管理,当高层管理者确定组织目标后,必须对其进行有效的分解,转变成各个部门以及各个人的分目标,管理者根据分目标对下级进行考核、评价和奖惩。
确定行政事业单位总体目标是重要的,但要使其目标能够落地、可控,就必须将总体目标根据所属机构的职责分解到每一个所属机构,然后再细化到岗位和具体承担人。
如何确定、分解行政事业单位目标,确实是一个很重要的现实问题。长期以来,我国各级政府片面追求“GDP”目标,大搞“政绩工程”等等,已经诱发了一系列的社会问题,增加了社会经济发展风险。这足以说明行政事业单位目标确定的紧迫性和重要性。
根据目标管理理论,要保证行政事业单位目标的确定是合理的,且最终能有效地贯彻实施,则必须满足SMART的要求。S是Specific,即明确的;M是Measurable,即可衡量的;A是Actionable,即可操作的;R是Realistic,即符合实际的;T是Time,即有时间限制的。SMART分析是用以帮助进行正确的目标确定,并用以检查目标确定是否满足相关要求的有效工具。从技术层面看,企业目标管理成熟的经验应在行政事业单位中广泛推广。
从内部控制的角度看,明确目标和分解目标是内部控制的开始。美国COSO制定的《内部控制—整合框架》认为,目标设定是风险评估的前提条件。必须有目标,管理层才能识别其风险,并采取必要的措施来管理风险。因此,目标设定是管理过程的一个关键部分,是内部控制的前提条件和使用方法。
行政事业单位的目标决定了其内控的方向,也是内控是否有效的标准。在行政事业单位内控工作中,应把目标确定作为内控的前提条件进行关注,并将其贯穿于行政事业单位内部控制工作的始终。
美国COSO认为目标设定既是一个高度复杂的过程,也是一个非正式的过程。目标可以明确地陈述,也可以隐含地表达。在主体层次,目标常常通过主体的使命和价值观陈述来体现。它们与对主体的优势和劣势以及机会和威胁的评估一起,形成一个总体战略。
通常,战略计划针对的是高层次的资源配置和优先领域。更具体的目标是从主体的广义战略派生出来的。主体层次的目标与更加具体的目标相关联和整合,以保证相互一致。这些子目标,可能会涉及生产线、市场、融资和利润目标。通过在主体层次和活动层次设定目标,主体就可以识别出关键成功因素。目标设定使管理层能够通过关注关键成功因素来确定业绩的衡量标准。
行政事业单位如何进行内部控制?(十)
不管行政事业单位风险识别的内容多么广泛,要把潜在的各种风险识别出来都离不开对诱发风险的各种因素的识别。可以说识别风险因素是行政事业单位风险识别的一项内容。行政事业单位的风险因素包括哪些,因单位的不同而不同,不同的风险产生的原因也是不同的。根据唯物辩证法的观点,任何事物的产生和发展都是内因和外因共同作用的结果,因此,从内部和外部两个方面来识别诱发风险产生的因素是科学的、正确的。按照普遍做法,行政事业单位主体层次的风险可能是由外部或内部因素引起的,活动层次的风险也可能是由外部或内部因素引起的。当然,不论是行政事业单位主体层次的风险,还是行政事业单位活动层面的风险,以及两个层面内的业务单元或职能部门的风险,具体诱发的内部或外部因素肯定是不一样的,要具体风险具体分析。
就一般而言,不论哪种风险应考虑以下风险因素:内部因素,是诱发风险产生的主要原因。前面所说的行政事业单位内部环境因素,是实施内部控制建设的基础,理应是诱发风险的内部因素,这包括行政事业单位的组织架构、发展战略、人力资源、社会责任、组织文化等。当然,在行政事业单位的内部控制实际工作中,还需要根据实际情况具体细分才会有针对性。外部因素,是诱发风险产生的次要原因,总括起来包括:政治环境、经济环境、社会环境、文化环境、法律环境、自然环境、国际环境等。
诱发风险的因素也因具体风险的不同而不同,内部因素是主要原因,外部因素是次要原因。当然这也是相对的,而不是绝对的。不论怎么样,根据可能出现的具体风险有针对性地进行识别是绝对正确的。
财政部制定的《行政事业单位内部控制规范》(2010.9.12 第3稿)要求单位在进行风险评估时,应当关注下列因素:业务人员职业道德状况、专业胜任能力;是否存在相关部门或人员串通舞弊现象;经济业务活动的决策、执行、监督等不相容岗位是否实现有效分离;是否存在因关键岗位人员离岗、工作交接导致的责任不清和相关资料丢失等情况;预算执行是否存在无预算、超预算支出及预算执行进度明显滞后或超前等情况;资金、资产管理情况,是否存在侵占、挪用、不当处置等现象;是否存在对外担保、违规投资和借贷等违反法律法规及规章制度的情况;其他可能存在风险的情况。我国的《行政事业单位内部控制指导意见》应当根据设定的控制目标,全面系统持续地收集相关信息,识别影响实现控制目标的风险。应当考虑的相关信息包括:政治经济形势、法律法规、文化传统以及自然灾害等外部因素;单位干部职工的政治素质和道德修养、专业胜任能力、岗位编制和人员配备等人员因素;组织机构、职能任务、业务流程、工作进度、信息技术运用等管理因素;财务状况、经费收支、现金流量等财务因素。
关于组织无法识别风险的原因,管理学家迈克尔·沃特金斯和马克斯·巴泽尔曼所著文章《可预测的意外:你应已察觉到即将到来的灾难》将其总结为三类:即管理哲学,人人都有认知偏见,某些偏见会导致忽略或低估可识别的风险;组织脆弱性,对机构来说组织结构封闭是很普遍的现象,因此,提供给管理层的信息经常是零散的,管理层无法总是成功地综合信息来识别风险;价值失衡,在面对两个同等重要的群体时,高级管理层可能过度重视了一个群体的利益而忽视另一个群体的利益,这种失衡会产生管理盲点。这对认识我国有些行政事业单位无视风险的存在或对重要风险无动于衷的原因有帮助。
(三)行政事业单位风险识别程序
行政事业单位风险识别程序,就是风险识别的过程,实际上也是识别诱发风险产生的原因的过程。行政事业单位风险识别程序,从理论上可以分筛选、监测和诊断三个环节或更多阶段,在实际工作中是很难划分的,因为其界限很难界定。事实上,实际工作中风险识别与风险评估也是难以分开的。因此,行政事业单位风险识别分几个环节并不重要,重要的是列出行政事业单位面临的重要风险,列出每一种重要风险产生的具体原因,从而建立或健全整体层面或业务层面的风险数据库。
(未完待续)
