基于全面风险管理的行政事业单位内部控制体系探讨

王君 宋良荣

摘要：行政事业单位内部控制对行政事业单位的管理具有重要意义。本文比较了内部控制与全面风险管理的异同，并着重从制度、环境和风险管理三个层面分析了当前我国行政事业单位内部控制存在的问题，据此建立了基于全面风险管理的行政事业单位内部控制体系，并提出了相应的解决对策。

教育期刊网 http://www.jyqkw.com
关键词 ：全面风险管理；行政事业单位；内部控制；体系；措施

近年来，我国行政事业单位频频发生的违法、违纪案件及资产损失浪费现象，深刻揭示出当前我国行政事业单位内部管理工作存在的问题和不足。我国财政部于2012年11月29日印发了《行政事业单位内部控制规范（试行）》，它为行政事业单位内部控制建设和管理指明了方向，也再次印证了内部控制管理体系在行政事业单位管理中的重要性。文本旨在通过分析全面风险管理与内部控制的联系，探讨如何从全面风险管理角度，更好地实施行政事业单位内部控制体系。

一、全面风险管理与内部控制的联系

1.全面风险管理与内部控制的概念关于全面风险管理（ERM）的概念，目前国内外尚未统一定义。COSO委员会在2004年的《企业风险管理－整合框架》中对全面风险管理的定义是：“全面风险管理是一个过程，它由组织的董事会、管理层以及其它人员来共同实施，应用于战略制定以及组织各个层次的活动，旨在识别可能影响组织的各种潜在事件，并按照企业的风险偏好管理风险，为组织目标的实现提供合理保证”。这是对全面风险管理的一个广义的定义，不仅适用于企业等营利性组织，也同样适用于事业单位等非营利性组织。

当今理论界对内部控制的定义不尽相同。但是，被普遍接受的是美国COSO委员会于1992 年《内部控制—整合框架》中对内部控制的定义。报告指出内部控制是一个过程，该过程的目标主要有：可靠的财务报告；遵从法律法规；有效的经营三个方面。这些目标的实现受到公司董事会、管理层和其他人员的共同影响。该框架还将内部控制分为控制环境、风险评估、控制活动、信息与沟通和监督评审五个要素，具体如图1所示：

2.全面风险管理与内部控制的异同全面风险管理（ERM）拓展和细化了COSO内部控制，并将其作为一个子系统，形成了一个更全面、更强有力的关注风险的概念。虽然全面风险管理与内部控制存在紧密联系，但全面风险管理在COSO内部控制整合框架的基础上增加了许多全新的组成部分，在增加了管理目标和要素数量的同时，引入了风险组合观等概念，并在对风险的定义和对策方面都做了补充和调整，具体如表1所示。

二、我国行政事业单位内部控制存在的问题

我国行政事业单位内部控制存在的问题总结起来，主要存在于制度、环境以及风险管理等层面，结合COSO内部控制框架的五要素，总结为以下问题：

1.制度层面

内部控制中控制活动这个要素是确保行政事业单位风险能够应对和控制的制度和程序，因此内部控制中制度性建设是非常重要的。当前行政事业单位的制度体系并不完善，存在的问题主要有：

(1)财务管理制度不健全。表现为单位没有单独制定内部财务管理制度，缺乏明确的财务岗位责任制，无有效的单位内部支出约束机制等，导致了单位财务管理随意性大，财务人员职责不明确，造成了财务管理的失控。

（2）资产管理和控制制度薄弱。表现为固定资产在使用过程中缺乏相关的内部控制，会计人员并未像企业那样对资产进行严格的账务管理，“重钱轻物、重购轻管”现象严重，导致资产的账实不符以及资产流失现象严重。

（3）预算控制刚性不足。行政事业单位的部门预算制度编制粗糙，没有细化到具体的项目。同时，由于预算之外的追加项目多，使得预算的随意性大，不利于实现预算管理权威性和约束力的功能，也无法发挥预算控制作为内部控制核心环节的作用。

2．环境层面

内部环境是内部控制五大要素之首，是实施内部控制的根基。行政事业单位的内部控制环境主要包括：单位的人力资源政策、单位的内部机构设置及权责分配、诚信和价值观念、内部审计机构设置、单位文化等。行政事业单位内部控制环境方面的问题主要有：

(1)单位员工尤其是领导层内部控制意识薄弱。缺乏对内部控制知识的了解和掌握，对内部控制在单位管理中的重要性认识不足。

(2)行政事业单位的内部组织机构设置不合理、权责分配不清。主要体现在财务会计部门只从事单位的账务处理工作，并没有参与到单位的管理活动和管理决策中。同时，由于行政事业单位存在岗位设置的不合法合理的兼岗现象，不相容职务未能相互分离，从而导致岗位之间的制约和监督力度不足。

(3)内部监督机构设置不合理。随着政府对行政事业性收费、罚没收入等财政非税收入实行“收支两条线”的管理方式的开展，以及资金实施国库集中支付、物品购买实施政府采购等制度的实施，行政事业单位领导渐渐将纪检监督等同于内部审计。因此，在内部审计部门设置上也就不再用心，导致内部审计部门虚空，审计人员不具备基本的审计专业水平、对审计单位问题的处理权限不足等问题出现，严重影响了内部审计工作的质量。

3．风险管理层面

风险评估是内部控制五要素之一，是实施内部控制的一个重要环节，指单位及时科学的识别和分析单位内部控制目标实现过程中的各种相关风险，并能科学合理地确定应对这些风险的有效策略。行政事业单位风险包含单位组织层面的宏观风险和单位业务层面的微观风险。当前，我国行政事业单位在风险管理方面存在一定的缺失。在组织层面上，由于我国法律法规的不健全以及缺乏有限的制约监督机制，导致我国行政事业面临滥用公共权力和腐败舞弊的风险。与此同时，行政事业单位由于不受市场经济竞争的影响，难以保障公共资金使用的效率性和效果性，使得社会上出现了非法的“寻租”现象，严重浪费了公共资源，造成了经济资源配置的扭曲，不利于我国生产力的健康发展。业务层面上则主要包含预算管理、收支管理、政府采购管理、资产管理、建设项目管理和合同管理中的各种风险，亟待结合行政事业单位具体情况制定详细的针对上述风险的措施。

三、基于全面风险管理的行政事业单位内部控制对策

1.基于全面风险管理的行政事业单位内部控制体系的构建

上述关于行政事业单位内部控制存在的问题的分析，充分说明了行政事业单位建立一套科学合理地内部控制体系已迫在眉睫。行政事业单位需要结合全面风险管理（ERM）的相关理论建立一个基于全面风险管理的行政事业单位内控体系。由于行政事业单位作为政府部门的特殊性，我们不能完全照搬企业关于风险管理与内部控制结合的内控体系，需要结合行政事业单位的实际情况从以下几个方面入手，如图2所示。

首先，基于全面风险管理的内部控制体系的建设和实施要考虑到该体系的先进性以及行政事业单位的实际适应情况。因此，需要在设计和实施时遵循一定的原则，结合行政事业单位内部控制的原则和全面风险管理框架的设立原则，总结为以下几点：

（1）适用性原则。基于全面风险管理的内控体系的构建，首先要对行政事业单位具有一定的适用性。要根据行政事业单位工作的特殊性，制定切实有效的控制措施，并且保证措施具有高度可实施性。

（2）成本性原则。建立全面风险管理下的内控体系要有一定的适用性而非复杂性，要杜绝形式的过于复杂而引起的高成本，加强可操作性，避免体系流于形式，最终实现以最小的成本防范最多的风险，从而实现成本效益最大化。

（3）层次性原则。层次性原则是指要系统性的设计内控体系。首先在单位整体层面上设定控制目标和管理流程。然后，再在每个具体的层面上设计目标和策略，实现决策层、执行层、操作层的完整监控，最终实现内控管理的目标。

2.基于风险管理的行政事业单位内部控制体系的重点措施

在以上原则的规范指引下，行政事业单位风险内控体系建设的重点措施结合本文前面提到的当面行政事业单位存在的问题，着重从以上四个方面入手：

（1）营造良好内控环境，强化风险管控意识。内部环境是内部控制制度得以实施的基础和前提。因此，内部环境的建设就显得尤为重要。结合上文中提到的内部环境包含的几项内容，行政事业单位内部环境建设可从以下几方面展开：一方面要加强对单位全体成员的内部控制知识的培训，尤其是单位的领导层要充分认识到内控建设紧迫性和重要性，树立牢固的风险管理内控意识，杜绝所谓的“一言堂”、“拍脑袋”等形式主义现象的发生，发挥好领导的带头作用，加强内控方面的学习，从而营造良好的内部控制氛围；另一方面要加强行政事业单位内控环境中软环境的建设。例如，对单位人员灌输风险理念、树立诚信和价值观念，建设有内控特色的单位文化，增强员工的凝聚力，从而实现内部控制管理的有效性。

（2）加强审计监督力度，建立独立审计队伍。审计部门是行政事业单位内部控制实施不可或缺的监督机构。只有审计部门对单位各项业务实施恰当的监督，才能确保内控制度的有效实施。行政事业单位既要建立一支独立审计队伍实现内部监督，又需要充分利用外部审计的监督检查作用，从而实现内审与外审相结合的有效审计制度。国家审计部门应对行政事业单位的内控制度的实施进行专门审计，尤其是要加强对单位财务会计行为的监督检查，指导促进行政事业单位完善自己的会计制度体系，从而促进单位廉政建设，预防和减少腐败现象的发生。行政事业单位应加强内部审计队伍的建设，通过制定正式的章程、明确内审部门的职责和工作范围、提高审计人员的政治修养和业务水平，更好的发挥内部审计的控制监督力度，确保单位内控制度更好地贯彻实行。

（3）完善内控制度体系，规范单位内部行为。行政事业单位内部控制工作和财务会计工作的有效实施，需要一套科学合理的制度体系的支持与保证。因此，行政事业单位需要遵循“实用性”的原则，并结合行政事业单位的特殊性，制定一套规范健全的制度体系。对于宏观管理的内控制度，财政部门可以组织有关权威专家针对行政事业单位存在的制度问题，研究制定《非盈利组织内部控制指引》以及《单位腐败风险防控准则》，切实落实不相容岗位相互分离的原则；完善单位管理层对重大经济事项的集体决策制度；强化系统对单位的控制作用。在单位具体业务层面上，则应建立以预算资金风险管理为核心的内控制度，将部门预算与单位内部的责任预算相结合，对政府采购支出业务实施的关键环节进行规范与监督，实现单位资产的信息化管理等。

（4）建立财务信息系统，预测防范财务风险。财务风险管理是风险管理的一个重要分支，是指行政事业单位对预算过程中可能存在的各种风险进行识别和分析，采取有效方法进行一定的防范和控制的一个过程。财务风险管理应结合当前信息化时代的特点，建立一套有针对性和适用性的财务信息系统，以加强内部控制的实施的效率和效果性。要想构建一个完善的财务信息平台，应满足一下几点要求：首先是要充分的运用电子信息技术和数据库，建立一套针对行政事业单位的财务管理信息系统，加强风险预警与内控的协同，对财务风险进行全面、及时、科学的预警评估，减少资产的闲置和资金的浪费现象发生；二是要完善行政事业单位会计核算体系，对单位内部现金流和信息流实现统一的内控平台开发，确保单位预算资金的低风险，实现富有挑战的全新预算资金管理机制。

教育期刊网 http://www.jyqkw.com
参考文献

[1] 万里霜. 全面风险管理与内部控制的融合[J]. 企业管理, 2009(9):177-178.

[2] 刘永泽, 唐大鹏. 关于行政事业单位内部控制的几个问题[J]. 会计研究,2013(1)：57-62.

[3] 董月超. 从COSO框架报告看内部控制与风险管理的异同[J]. 审计研究, 2009(4):94-80.

[4] 马丹丹. 基于COSO报告的行政事业单位内部控制改进探析[J]. 现代经济信息, 2010(24):183-184.

[5] 关振宇. 行政事业单位实施内部控制规范的现实意义与应用解析[J]. 社会科学家, 2014(1):46-49.

[6] 唐大鹏, 于洪鉴. 基于风险导向的行政事业单位内部控制研究[J]. 管理现代化, 2013(6):66-68.

[7] 中华会计网校. 最新行政事业单位内部控制实务操作指南[M]. 经济科学出版社, 2013.

[8] [美]COSO著，方红星等译. 企业风险管理：整合框架[M]. 东北财经大学出版社, 2008.[9] 马赛. 全面风险管理下内部控制问题及对策[J]. 现代经济信息, 2012(6):87-88.

[10] 蒋小红. 浅议如何有效实施基于全面风险管理的内部控制[J]. 财经界, 2010(11):183-185.

（作者单位：上海理工大学管理学院）