浅析行政事业单位内部控制存在的问题及对策

黄柳红

一、在行政事业单位推行内部控制的重要性

内部控制，通常是指通过一系列的制度、措施和执行程序，对业务活动（主要是指经济活动）的风险进行动态的管理和预防，以确保控制目标得到实现过程。内部控制管理能够保证业务活动的有效进行，以及资产的安全与完整，因此，在现代组织管理系统中，内部控制已经是重要的管理工具。

（一）内部控制有助于实现自我完善

与企业相比，行政事业单位开展经济活动的目的不在于盈利，而在于为社会发展提供服务，行政单位的经济活动越合法合规和有效，越能预防腐败、提高公共服务的效率和效果。行政事业单位的经费一般由政府拨款，并以财政预算的形式提供。我国的财政预算管理模式经过不断的完善和优化，已经建立了以预算编制为核心，以国库集中支付和政府采购为主要执行手段的规范管理模式，因此，行政事业单位总体的预算经费收支情况相应受到政府控制。但行政事业单位在经费的具体使用上具有相对的独立性，其经费使用的规范性，和运转的高效性，需要通过自我约束来实现，现阶段，在行政事业单位推行内部控制是社会发展提出的要求。

（二）内部控制的推行仍然存在着较多问题

近几年，就行政事业单位的内部控制管理推行问题，我国印发了多部规章制度，在条款中不断对部门、环节、岗位的职责和行为进行规范和明确，推动着行政事业单位提高管理效益，加大保护资产安全和完整的力度。但行政事业单位由于单位性质的特殊性，虽然已经在大力提倡开展内部控制建设，但管理松弛、内控弱化、资产流失、营私舞弊、损失浪费等常见问题，在短时间内并不能立刻得到改善。

二、行政事业单位内部控制存在的问题

（一）对内部控制的理解和重视程度不到位

从当前现状来看，部分行政事业单位还存在着对内部控制的理解和重视程度不到位的情况，导致内部控制建设难以达到预期效果。一方面，行政事业单位承担的社会管理事务任务都比较重，工作要求也越来越高，部分行政事业单位更重视对这些工作的管理，导致不够重视内部控制的制度建设，还停留在“说起来重要做起来次要”的情况中。另一方面，部分已经把内部控制建设纳入单位重点工作的行政事业单位，对内控制度还存在理解误区，认为这只是财务工作的一部分，将制度编成册、挂上墙、摆上桌，要求财务部门做好对经济活动的管理工作、加强财务工作人员的责任心，严肃财务纪律就是对内部控制的有效推行。甚至有些人会认为，内部控制就是自找麻烦、自设障碍，等等。更不要说，对大部分行政事业单位员工而言，风险控制意识还只是一个陌生的名词。

（二）对内部控制的推行不落地

通过推行内部控制而形成的制度、措施和程序体系，以实际业务运营活动中的各项流程为载体和出发点，部分行政事业单位推行内部控制的过程中，容易把“内部控制”与实际业务运营活动剥离开来，独立推行，造成业务控制制度发布之后“束之高阁”、不接地气、无法推行。另外，行政事业单位中的管理制度，一般以行政管理为主，内部控制监督、以及接受外部内控审计的意识薄弱。

（三）对内部控制的信息化管理不完善

在业务层面，各个流程的内部控制往往都会有“硬指标”，并产生大量的数据，如业务预算、业务收支等，对这些指标和数据进行控制和监控，能够形成对内部控制的有效评价，并使监督管理更透明化和便捷。一方面，根据会计准则和会计业务规则，大部分行政事业单位已有固定出账模板的总账系统，以及固定资产管理信息系统、综合业务管理信息系统等信息化系统。但这些系统各自为政，相互之间并不兼容，无法发挥内部控制系统实施监督所需要的全面信息采集，也就无法运用到内部控制的日常管理中。另一方面，这些信息和数据是公开存放的，既容易被病毒感染，也容易被恶意篡改，部分行政事业单位对此并没有很好的应对方案或是未加以重视，容易加大数据丢失和不真实的风险。

三、完善行政事业单位内部控制的对策

（一）加强对内部控制的理解和重视程度

加强对内部控制的重视程度，一方面，在机构上需要着手解决负责人、牵头部门和沟通机制的问题，另一方面，需要解决风险意识的问题。需要明确的是，在行政事业单位，内部控制推进的负责人不应仅囿于财务负责人或分管领导，而是应该上升到单位负责人。内部控制作为体系化管理机制，所起的作用是全面的，覆盖各项业务流程，各业务环节的规范化、相应的具有高阶的管理权限，在负责人的级别上体现为高阶的单位负责人。

（二）推行内部控制落地，建立与实际情况相符的内部控制体系

内部控制是一系列制度、措施和程序的总和，以实现控制目标为导向，以规避、分担、降低风险为前提。行政事业单位作为一种特殊的组织，其控制目标主要是针对经济活动，通过合法合规开展活动来保障资产安全和有效、财务信息真实完整，进而防范舞弊和腐败，并提高服务效率和效果。以此为导向，要建立适合本单位实际情况的内部控制体系，应在本单位开展如下工作：

第一，梳理业务流程，明确关键控制点。内部控制体系应对本单位的业务范围和业务流程，以及这些经济活动的决策、执行和监督全过程，实现全面控制。从实际操作的角度来说，在全面控制的基础上，先关注重要的经济活动和重大风险，如预算、收支、采购、资产、建设项目以及合同管理等方面，以集中力量开展工作，并保证管理的效果。

第二，开展风险评估。单位应制定并实施辨识评估风险的制度、程序和方法，并至少每年开展一次风险评估，在发生重大变化时，如外部环境、经济活动或管理要求变化，也应及时进行重估。针对单位的主要业务流程及关键控制点所包含的全面经济活动，都应系统的分析存在的风险，进行风险的识别、风险的分析和风险评价，确定风险点，考虑其类型、来源及其传导途径和影响程度，确定风险等级，进而确定应当重点关注的重要风险。

第三，设计和实施内部控制流程。内部控制的对象主要是可控风险，如流程执行过程中的偏差、财务报告的不准确及合规问题。建立健全各项内部管理制度的同时，还要监督这些制度得到认真执行。主要的控制方法包括不相容岗位的分离、授权审批控制、归口管理、预算控制、财务保护控制、信息公开等。在具体业务活动中，主要表现为由制度和措施来指导工作。从单位层面来说，制度和措施应当包括上述的风险评估管理制度、内部控制指引制度、以及下文将提到的内控自我评价制度等一整套内部控制的制度，用以明确内部控制的归口管理部门、工作开展步骤。从业务层面来说，在各项业务和管理活动中都要制定明确的内部控制制度，规定关键的流程及管理要素，明确控制方式、措施、责任部门，以及岗位职责。对于这些管理要求的绩效也要进行监测和评价。

第四，定期开展内控自我评价、接受第三方的审计，并持续改善。在部门管理、职责分工、业务流程等各方面，都一以贯之的落实相互制约和相互监督的原则，以减少内部控制形同虚设和得不到落实的情况。对于制度的执行和落实，要通过定期开展自我评价、接受审计来监督。自我评价和审计的结果，作为下一次风险评估的输入，相应修订制度和流程，以优化内部控制系统，实现动态管理。

（三）推进内部控制信息化管理

结合现代科学技术手段，加强建设信息系统，为内部控制管理提供科学依据。根据内部控制的要求和具体的经济活动，决定需要采集的数据，通过使用信息系统采集数据能够保护数据的真实性，减少或消除人为恶意因素。

第一，在当前的条件下，将行政事业单位的所有业务与经济活动形成的采购、管理、报销、审核等工作形成的数据相应转化为信息数据，接入信息处理系统进行加工，保存至数据库，并与风险信息管理系统对应。通过对数据的整理汇总，为管理者提供战略决策的技术支撑。

第二，将不相容岗位相互分离、相互制约和相互监督的原则贯彻到信息化管理中。推行关键岗位责任制，做到各岗位的职责明确，被授予的权利与职责相当。在信息化管理中，相应的需要控制会计人员权限和行为，使其在工作的进程中减少甚至杜绝出现不适当干预的情况。除了会计对数据的输入输出工作需要规范权限，系统的分析、电脑的操作、程序的维护等工作也应分配到不同的工作人员，最大程度降低篡改数据的风险。

第三，加强信息化建设，逐渐减少“信息孤岛”的情况，对各信息系统集成，实现对总账系统、固定资产管理信息系统、综合业务管理信息系统等信息化系统数据的总体整合，并提升分析能力，由事后控制逐渐向全面控制和预防控制转变。

当前，大部分的行政事业单位都已经在着手推行内部控制，并日渐重视和积极开展自我改革。但也应看到，行政事业单位推行内控制度在实际运行中还存在一些比较突出的问题，具有一定的滞后性。相关管理人员要对存在的问题进行长期深入的研究，通过不断解决这些问题来完善行政事业单位的内部控制机制，并降低运营风险。