基于全面风险管理的行政事业单位内部控制体系探讨.docx

基于全面风险管理的行政事业单位内部控制体系探讨  王君 宋良荣  摘要：行政事业单位内部控制对行政事业单位的管理具有重要意义。本文比较了内部控制与全面风险管理的异同，并着重从制度、环境和风险管理三个层面分析了当前我国行政事业单位内部控制存在的问题，据此建立了基于全面风险管理的行政事业单位内部控制体系，并提出了相应的解决对策。  关键词 ：全面风险管理；行政事业单位；内部控制；体系；措施  近年来，我国行政事业单位频频发生的违法、违纪案件及资产损失浪费现象，深刻揭示出当前我国行政事业单位内部管理工作存在的问题和不足。我国财政部于2012年11月29日印发了《行政事业单位内部控制规范（试行）》，它为行政事业单位内部控制建设和管理指明了方向，也再次印证了内部控制管理体系在行政事业单位管理中的重要性。文本旨在通过分析全面风险管理与内部控制的联系，探讨如何从全面风险管理角度，更好地实施行政事业单位内部控制体系。  一、全面风险管理与内部控制的联系  1.全面风险管理与内部控制的概念关于全面风险管理（ERM）的概念，目前国内外尚未统一定义。COSO委员会在2004年的《企业风险管理－整合框架》中对全面风险管理的定义是：“全面风险管理是一个过程，它由组织的董事会、管理层以及其它人员来共同实施，应用于战略制定以及组织各个层次的活动，旨在识别可能影响组织的各种潜在事件，并按照企业的风险偏好管理风险，为组织目标的实现提供合理保证”。这是对全面风险管理的一个广义的定义，不仅适用于企业等营利性组织，也同样适用于事业单位等非营利性组织。  当今理论界对内部控制的定义不尽相同。但是，被普遍接受的是美国COSO委员会于1992 年《内部控制—整合框架》中对内部控制的定义。报告指出内部控制是一个过程，该过程的目标主要有：可靠的财务报告；遵从法律法规；有效的经营三个方面。这些目标的实现受到公司董事会、管理层和其他人员的共同影响。该框架还将内部控制分为控制环境、风险评估、控制活动、信息与沟通和监督评审五个要素，具体如图1所示：   2.全面风险管理与内部控制的异同全面风险管理（ERM）拓展和细化了COSO内部控制，并将其作为一个子系统，形成了一个更全面、更强有力的关注风险的概念。虽然全面风险管理与内部控制存在紧密联系，但全面风险管理在COSO内部控制整合框架的基础上增加了许多全新的组成部分，在增加了管理目标和要素数量的同时，引入了风险组合观等概念，并在对风险的定义和对策方面都做了补充和调整，具体如表1所示。   二、我国行政事业单位内部控制存在的问题  我国行政事业单位内部控制存在的问题总结起来，主要存在于制度、环境以及风险管理等层面，结合COSO内部控制框架的五要素，总结为以下问题：  1.制度层面  内部控制中控制活动这个要素是确保行政事业单位风险能够应对和控制的制度和程序，因此内部控制中制度性建设是非常重要的。当前行政事业单位的制度体系并不完善，存在的问题主要有：  (1)财务管理制度不健全。表现为单位没有单独制定内部财务管理制度，缺乏明确的财务岗位责任制，无有效的单位内部支出约束机制等，导致了单位财务管理随意性大，财务人员职责不明确，造成了财务管理的失控。  （2）资产管理和控制制度薄弱。表现为固定资产在使用过程中缺乏相关的内部控制，会计人员并未像企业那样对资产进行严格的账务管理，“重钱轻物、重购轻管”现象严重，导致资产的账实不符以及资产流失现象严重。  （3）预算控制刚性不足。行政事业单位的部门预算制度编制粗糙，没有细化到具体的项目。同时，由于预算之外的追加项目多，使得预算的随意性大，不利于实现预算管理权威性和约束力的功能，也无法发挥预算控制作为内部控制核心环节的作用。  2．环境层面  内部环境是内部控制五大要素之首，是实施内部控制的根基。行政事业单位的内部控制环境主要包括：单位的人力资源政策、单位的内部机构设置及权责分配、诚信和价值观念、内部审计机构设置、单位文化等。行政事业单位内部控制环境方面的问题主要有：  (1)单位员工尤其是领导层内部控制意识薄弱。缺乏对内部控制知识的了解和掌握，对内部控制在单位管理中的重要性认识不足。  (2)行政事业单位的内部组织机构设置不合理、权责分配不清。主要体现在财务会计部门只从事单位的账务处理工作，并没有参与到单位的管理活动和管理决策中。同时，由于行政事业单位存在岗位设置的不合法合理的兼岗现象，不相容职务未能相互分离，从而导致岗位之间的制约和监督力度不足。  (3)内部监督机构设置不合理。随着政府对行政事业性收费、罚没收入等财政非税收入实行“收支两条线”的管理方式的开展，以及资金实施国库集中支付、物品购买实施政府采购等制度的实施，行政事业单位领导渐渐将纪检监督等同于内部审计。因此，在内部审计部门设置上也就不再用心，导致内部审计部门虚空，审计人员不具备基本的审计专业水平、对审计单位问题的处理权限不足等问题出现，严重影响了内部审计工作的质量。  3．风险管理层面  风险评估是内部控制五要素之一，是实施内部控制的一个重要环节，指单位及时科学的识别和分析单位内部控制目标实现过程中的各种相关风险，并能科学合理地确定应对这些风险的有效策略。行政事业单位风险包含单位组织层面的宏观风险和单位业务层面的微观风险。当前，我国行政事业单位在风险管理方面存在一定的缺失。在组织层面上，由于我国法律法规的不健全以及缺乏有限的制约监督机制，导致我国行政事业面临滥用公共权力和腐败舞弊的风险。与此同时，行政事业单位由于不受市场经济竞争的影响，难以保障公共资金使用的效率性和效果性，使得社会上出现了非法的“寻租”现象，严重浪费了公共资源，造成了经济资源配置的扭曲，不利于我国生产力的健康发展。业务层面上则主要包含预算管理、收支管理、政府采购管理、资产管理、建设项目管理和合同管理中的各种风险，亟待结合行政事业单位具体情况制定详细的针对上述风险的措施。  三、基于全面风险管理的行政事业单位内部控制对策  1.基于全面风险管理的行政事业单位内部控制体系的构建  上述关于行政事业单位内部控制存在的问题的分析，充分说明了行政事业单位建立一套科学合理地内部控制体系已迫在眉睫。行政事业单位需要结合全面风险管理（ERM）的相关理论建立一个基于全面风险管理的行政事业单位内控体系。由于行政事业单位作为政府部门的特殊性，我们不能完全照搬企业关于风险管理与内部控制结合的内控体系，需要结合行政事业单位的实际情况从以下几个方面入手，如图2所示。   首先，基于全面风险管理的内部控制体系的建设和实施要考虑到该体系的先进性以及行政事业单位的实际适应情况。因此，需要在设计和实施时遵循一定的原则，结合行政事业单位内部控制的原则和全面风险管理框架的设立原则，总结为以下几点：  （1）适用性原则。基于全面风险管理的内控体系的构建，首先要对行政事业单位具有一定的适用性。要根据行政事业单位工作的特殊性，制定切实有效的控制措施，并且保证措施具有高度可实施性。  （2）成本性原则。建立全面风险管理下的内控体系要有一定的适用性而非复杂性，要杜绝形式的过于复杂而引起的高成本，加强可操作性，避免体系流于形式，最终实现以最小的成本防范最多的风险，从而实现成本效益最大化。  （3）层次性原则。层次性原则是指要系统性的设计内控体系。首先在单位整体层面上设定控制目标和管理流程。然后，再在每个具体的层面上设计目标和策略，实现决策层、执行层、操作层的完整监控，最终实现内控管理的目标。  2.基于风险管理的行政事业单位内部控制体系的重点措施  在以上原则的规范指引下，行政事业单位风险内控体系建设的重点措施结合本文前面提到的当面行政事业单位存在的问题，着重从以上四个方面入手：  （1）营造良好内控环境，强化风险管控意识。内部环境是内部控制制度得以实施的基础和前提。因此，内部环境的建设就显得尤为重要。结合上文中提到的内部环境包含的几项内容，行政事业单位内部环境建设可从以下几方面展开：一方面要加强对单位全体成员的内部控制知识的培训，尤其是单位的领导层要充分认识到内控建设紧迫性和重要性，树立牢固的风险管理内控意识，杜绝所谓的“一言堂”、“拍脑袋”等形式主义现象的发生，发挥好领导的带头作用，加强内控方面的学