基于COSO整合框架的行政事业单位内部控制研究

罗春梅

（三明职业技术学院，福建三明365100）

基于COSO整合框架的行政事业单位内部控制研究

罗春梅

（三明职业技术学院，福建三明365100）

针对我国当前行政事业单位内部控制所面临的现实问题，本文在趋同、创新和融合2013年的COSO整合框架先进理念，以及参考企业内部控制发展成果的基础上，引入内部控制五要素框架，探讨关于完善行政事业单位内部控制体系规范的相关建议，以期为我国行政事业单位内部控制的有效实施与建设提供参考。

COSO整合框架；行政事业单位；内部控制

一、引言

2014年1月1日起，《行政事业单位内部控制规范（试行）》（以下简称《单位内控规范》）的实施，标志着“中国式”的内控正式起航。行政事业单位内部控制规范的全面实施，在当下尤为契合我国惩治与预防腐败的工作内容。但《单位内控规范》是从单位层面和业务层面的内部控制进行阐述，而没有对内部控制的要素进行清晰界定，这在一定程度上制约了行政事业单位内部控制实施的效率与效果。因此，笔者在基于2013年COSO整合框架的基础上，同时借鉴企业内部控制的发展成果，进一步探讨和研究行政事业单位内部控制。

二、关于COSO整合框架五要素理论

自1992年COSO组织发布《内部控制——整合框架》以来，COSO的五要素理论，已获得全球普遍性认可。2004年COSO组织在此理论上又引入风险管理，提出八要素理论。2013年COSO组织在原框架基础上，又更新《内部控制——整合框架》，该框架仍保留内部控制的核心定义及五要素，其中，不可分割的五要素分别为：控制环境、风险评估、控制活动、信息与沟通及监督活动。[1]新版的COSO整合框架仍是从五要素出发来评估内部控制体系的有效性，强调内部控制并非是一个连续的过程，而是一个动态且整合的过程。我国行政事业单位内部控制研究起步较晚，与国外政府内部控制研究还存在一定差距，因此基于国情考虑，笔者采用2013年COSO整合框架的五要素理论来对我国行政事业单位内部控制问题进行探讨，同时也借鉴我国《企业内部控制基本规范》五要素的做法。

三、从COSO整合框架分析当前单位内部控制存在的缺陷

长期以来，作为管理公共事务主体的行政事业单位，其在内部控制建设方面存在着严重的滞后性，笔者以2013年COSO整合框架五要素为依据，对行政事业单位内部控制存在的主要问题进行探讨。

（一）控制环境不健全，内部控制意识淡薄

控制环境包括组织架构、人力资源政策和内部控制意识等，其就如雨伞的拱形，没有这个拱形保护，很难实现其他目标。但目前我国行政事业单位缺乏健全的内部控制环境，首先，内部控制制度不健全。于2014年已开始执行的《单位内控规范》虽提供了基本理念、原则和方法，但由于不同单位具有不同的业务特点，致使操作难度大。其次，组织架构不合理。《单位内控规范》要求单位应设有内部控制职能部门或牵头部门，对内部控制工作负责组织协调。但现实情况是大部分单位的内部控制仅限于财务控制，而根本没有成立内部控制的相关职能部门，单位长期存在“一把手”的管理模式，导致滥用职权和贪污腐败现象滋生。另外，内部控制意识淡薄。单位领导并没充分认识到内部控制的重要性，也没将内部控制纳入工作范围，甚至错误认为内部控制制度仅限于财务部门，或简单地认为部门预算控制就是相当于内部控制，这些错误观念使得内部控制制度失去了应有的功能。

（二）未能有效识别风险，风险评估机制缺失

欧债危机和中国地方政府的债务风险等问题，揭示了行政事业单位也存在重大风险隐患。从我国现实情况来看，许多单位对各项风险并没有充分的认识，同时也忽略了所面临各种社会和政治风险。现阶段我国行政事业单位常忽视的主要风险包括：滥用职权或行政腐败的风险；单位业务活动不合法或不合规的风险；国有资产流失、资源配置不合理的风险；财务信息舞弊的风险及其他风险等。行政事业单位性质特殊，风险意识普遍不强，常忽视事前的风险预测，仅将风险防范集中于事中与事后，对各项经济业务的全流程未能进行深入的梳理与分析，无法正确把控与防范单位内、外部风险，对风险缺乏全面有效的防范和控制。

（三）内部控制设计低效，业务流程控制不合理

为了实现控制目标，控制活动应覆盖单位的各层面和部门，应重点控制易发生控制失效的关键领域。但在现实工作中，大部分行政事业单位的内部控制设计不够科学合理，如在单位层面上：不相容职务未分离，致使制衡机制缺失；岗位安排不妥当，组织结构设置不合理；没真正落实“三重一大”的集体决策机制，授权审批权限不明确，审批流程不规范；在干部聘用与升迁程序上不透明，存在违规聘用、曲线升迁等。在业务层面上：国有公共资产使用效率低下，“重购置、轻管理”的现象普遍存在；预算编审不实，缺乏一定的科学性。另外，单位内部控制制度普遍缺乏系统性和规范性，制度间不衔接、相互交叉甚至矛盾，导致既定的业务程序难以执行。

（四）信息系统建设落后，沟通缺乏有效性

在内部控制体系中，一项控制措施的有效实施，都要依赖于单位的信息与沟通机制。然而，目前单位普遍存在如下问题：各级部门间协调性差，信息沟通不灵敏，财务、业务、纪检等部门之间缺乏必要的沟通，与金融机构、政府采购部门、财政、国库集中支付中心等衔接不顺畅；对于异常的、可疑的事项与行为未建立及时有效的沟通渠道，以及对投诉人、举报人没有恰当的保护制度，致使未能及时纠正错误，增大国有资产流失的风险；信息系统开发缺乏规划，或系统授权管理不当，使开发不符合内部控制要求，造成信息孤岛或重复建设，导致无法利用信息技术实施有效控制等。

（五）内部控制监督机制弱化，评价与监督流于形式

建立与完善评价监督机制是内部控制制度持续有效实施的重要保障，若缺失了相应的配套监督检查机制，则有可能使内部控制制度浮于形式。单位的监督和评价不仅来自单位内部审计机构，还包括外部的财政和审计部门。但在现实中，“双重领导”的审计体制下，内部审计机构大多与会计机构平行，单位内部审计并没有足够的独立性和权威性，其主要工作集中在财务审查上，而较少涉及管理或决策等方面。而外部的财政、审计部门，更关注单位财政资金的运用是否合法、合规，而并不重视单位内部控制机制的建立是否健全，对单位的评价与监督缺乏应有的力度，无法真正发挥审计警戒作用。

四、基于COSO整合框架，完善单位内部控制体系规范的建议

根据我国行政事业单位内部控制的变革趋势，将COSO整合框架五要素引入单位内部控制体系已具备了一定的理论可取性和实践可行性。笔者在借鉴2013年COSO整合框架以及参考已颁布执行的企业内部控制基本规范和配套指引的基础上，提出如下对策与建议：

（一）完善内部控制制度建设，优化内部控制环境

在COSO报告中明确表明，组织控制环境的有效性主要依赖于管理层的行动以及通过日积月累的行动达到影响组织，因而，我们从两方面着手。

1.借鉴先进的框架与理念，加强内控制度体系建设

建立健全行政事业单位内部控制制度体系，首先，可借鉴COSO整合框架的精髓，吸收企业内部控制的先进理念，如财务报表分析和业务流程分析相结合、高度关注反舞弊控制和程序、充分合理的文件记录等，来规范和完善单位内部控制框架的设计与执行，形成一套相对完整的内部控制制度体系。其次，国家相关部门应尽快制定和完善相关法律法规，以保障单位内部控制制度体系，避免因内部控制体系的不健全而滋生的贪污腐败等。另外，各单位也应依据《单位内控规范》，同时结合本单位实际情况，制定出高效可行的内部控制制度，明确其实施标准及具体实施细则，从制度上界定权力边界，防止滥用权力。

2.构建和谐的内部控制环境，并重视“人”的因素影响

行政事业单位的控制环境受内、外部因素的影响，包括单位的历史、道德价值观、市场、竞争格局和监管环境。[2]因此要构建良好和谐的内部控制环境，应具体采取如下举措：（1）树立良好的内部控制意识，形成“一把手”负责制。“一把手”应负责本单位内部控制的建立健全和有效实施，带头履行好受托责任。（2）树立制衡的核心理念，建立集体决策制。单位应将决策权、执行权和监督权三权分立的制衡机制，有效地嵌入到内部控制制度中。[3]（3）梳理人力资源相关政策，重视“人”的因素。规范招聘、定岗、培训、薪酬等一系列政策和实务，同时也应重视单位文化对“人”的影响，促进管理者和员工增强责任感与使命感，从而推进内部控制工作的顺利开展。

（二）提高风险意识，强化风险评估机制

行政事业单位只有树立起良好的风险意识，借鉴COSO风险评估流程，关注与评估单位内外部因素可能导致的损失，才能赋予内部控制职能更加丰富的内涵。其具体做法如下：

1.树立风险管理意识，依据目标有效识别风险

内部控制责任主体应树立良好的风险管理意识，围绕着风险导向来构建单位内部控制，才能切实提高业务流程的效率。COSO报告说明，识别风险过程应考虑所有促成和增加风险的因素，因此，我们不但要关注单位的宏观风险，还要重视微观风险。在对单位宏观风险评估时应关注：内部控制组织、内部控制关键岗位工作人员管理、内部控制机制建设、财务信息的编报等情况。而对单位的微观风险评估时应重视：预算编制是否合理科学，各部门沟通协调是否充分；单位收支是否以“收支两条线”管理为核心；工程建设项目中各环节是否存在挪用、挤占、留用、套取资金；采购是否使用集中方式，寻租风险有多大；合同业务是否实行归口管理，是否有效监控合同的履行等。

2.借助矩阵图法，科学地评估与管理风险

为了加强风险管理，可以将矩阵图引入单位内部控制领域。矩阵图法是指从事件的多维问题中，寻找出成对因素，并排列成矩阵图，通过分析矩阵图，来确定各“风险点”或“关键控制点”，从而达到有效的风险控制。在对单位的经济业务进行风险评估时，首先，梳理各项业务流程，明确各业务环节；其次，在此基础上建立内部控制矩阵图，明确各自目标设定、风险识别、风险分析和风险应对，对存在的风险进行客观、全面和系统评估；最后，还应关注行政事业单位与企业在风险管理上的区别，如在评估关系到国计民生项目时，不能因高风险就回避风险而拒绝实施，而应采取转移、降低风险，甚至必须承受部分或全部风险。[4]

（三）有效设计并执行控制活动，保证各项业务顺利开展

COSO报告认为，控制活动是在管理层指令下，得以实施的一系列政策、程序和实务。我们应充分结合COSO内部控制可靠性模型，从单位实际情况出发，对制度规范和控制方法进行整体设计，并在此基础上建立起“以预算管理为主线，以资金管控为核心”的内部控制体系。

1.设计内部控制可靠性模型，测试和评价单位内部控制

行政事业单位应以《单位内部控制规范》为依据，重新梳理单位现有的业务流程和管理制度，以战略为导向，找出单位的关键控制点，依据流程中计划、审批、执行、监督等环节的要求，设计出符合本单位内部控制最优模型来对控制有效性进行测试和评价。在测试和评价单位内部控制活动中，运用一系列的控制方法，使单位形成一套科学合理的行为规范和标准，从而使管理者和员工能够在职责范围内遵照制度从事经济活动，最终达到一种“有法可依，有法必依”的境界，从根本上扭转“人治”大于“法治”的局面。

2.建立全面预算管理控制活动，提高预算控制力

行政事业单位必须建立起“以预算管理为主线，以资金管控为核心”的内部控制体系。我们可以借鉴《企业内部控制指引第15号——全面预算》的成果，发展和完善行政事业单位的全面预算管理。它是一种由若干环节构成的管理系统，强调过程控制，即事前、事中和事后控制。事前控制是完成预算目标和预算编制，事中控制是完成预算执行，而事后控制则是进行预算分析与考评。[5]要使预算管理系统有效运行，全程各环节应环环相扣，缺一不可。另外，还需强化预算的控制力，即分别应从制度层面、技术层面和行为层面的三种途径互为支持，使得预算在单位战略实施中发挥真正功用。

（四）建立高效的信息系统，加强沟通与协调

在COSO报告中明确提出，每个组织必须以某种方式并在一定时间内识别、刻画并沟通相关信息，在这个时间范围内，应使人们能够执行控制和其他职责。信息与沟通是连接其他四个要素的纽带，但在《单位内部控制规范》中，对信息与沟通却缺乏系统的相关规定。要建立起一个高质量的信息沟通平台，单位应考虑以下内容：一是应考虑所有的信息源，识别、获取和收集各方面的信息。二是执行控制活动的人员应明确其各自的职责、内容。三是应规范信息内容，统一信息口径，整合信息资源，以增强决策相关性。四是应加强信息的沟通与协调，促进信息在单位内部之间，单位与外部的财政、审计等部门之间进行有效沟通和反馈。五是应重视财务信息化控制，建立起高质量的财务信息系统。

（五）健全内外监督机制，保障内部控制运行质量

监督活动是评估内部控制运行质量的过程。根据西方国家政府内部控制的成功经验，内部监督只有保持独立性，才能有效地治理公共部门贪腐问题。根据我国行政事业单位管理体制，单位内部监督应分别由内部审计部门和纪检监察部门负责。前者侧重于“管事”，后者侧重于“管人”，两者之间缺一不可。另外，又由于行政事业单位掌握着社会公共资源，健全外部监督机制同样具有重要意义。首先应从立法监督角度颁布相关法律，如财产公开、廉政等法律制度，以及结合颁布《政府采购法》、《预算法》等相关法律规范，使我国的法律法规体系日益完善。其次重视政府监督，充分发挥政府审计部门和纪检监察部门的监督、检查职能。最后，明确社会公众在外部监督体系的重要作用，利用现代信息技术，共享监督信息资源网，确保权利在阳光下运行。

五、结语

行政事业单位内部控制建设是一个循序渐进、逐步发展的过程。借鉴2013年的COSO整合框架精髓以及企业内部控制建设的成功经验，对于提高我国行政事业单位管理水平，建设服务型政府具有重要的意义。但行政事业单位内部控制研究是一个还有待于进一步发掘的广阔领域，笔者仅从COSO整合框架的五要素角度来对我国行政事业单位内部控制体系做一些尚不成熟的探讨，期望今后能针对行政事业单位内部控制理论和实务方面开展更为深入的相关后续研究。

（注：本文系三明职业技术学院科研立项2015年度项目“基于COSO整合框架的行政事业单位内部控制研究”研究成果，项目编号：2015KZ007）

[1]组织委员会（COSO）著．财政部会计司译．内部控制——整合框架（2013）[M]．北京：中国财政经济出版社，2014.8.

[2]刘永泽，唐大鹏．关于行政事业单位内部控制的几个问题[J]．会计研究，2013，（1）：57-62.

[3]财政部会计司．行政事业单位内部控制规范讲座[M]．北京：经济科学出版社，2013.40-45.

[4]唐大鹏，于洪鉴．基于风险导向的行政事业单位内部控制研究[J]．管理现代化，2013，（6）：66-68.

[5]企业内部控制编审委员会．企业内部控制基本规范及配套指引案例讲解2014[M]．上海：立信出版社，2014.339-340.