行政事业单位内部控制与风险管理!
行政事业单位是提供社会公共服务的主体,掌握着大量公共资源,其内部控制的好坏影响着广大民众的切身利益。行政事业单位经常出现的“统计数据打架”、“采购金额超标”、“滥用职权”、“贪污腐败”等问题,或多或少都与其内部控制相关。因此,建立健全行政事业单位内部控制对规范行政事业单位内部权力运行,防止职权滥用,提高内部管理水平,加强廉政风险防控,提高公共服务的效率和效果等具有重要作用。同时,也有利于维护社会公共利益,提高政府公信力,促进经济和社会的健康发展。内部控制是保障组织权力规范有序、高效运行的重要手段,也是组织目标实现的长效保障机制。为规范行政事业单位内控建设,财政部于2012年11月发布了《行政事业单位内部控制规范(试行)》,自2014年1月1日起施行。
01、行政事业单位内部控制的概念
行政事业单位内部控制是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。内部控制目标是单位建立和实施内部控制所要达到的目的,行政事业单位内部控制的目标以提高公共服务的效率和效果为核心,合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整、有效防范舞弊和腐败。
内部控制是单位为了防范和管控经济活动风险而建立的内部管理系统,它由内部环境、风险评估、控制活动、信息与沟通和内部监督等要素组成,并体现为与行政、管理、专业活动、财务和会计系统融为一体的组织管理结构、政策、程序和措施等,是行政事业单位为履行职能、实现总体目标而应对风险的自我约束和规范的过程。行政事业单位内部控制的主体是单位领导层和全体职员,控制的对象是经济活动中的相关风险。财政部2015年印发的《关于全面推进行政事业单位内控建设的指导意见》要求单位全面建立、有效实施内部控制,确保内部控制覆盖单位经济和业务活动的全范围,贯穿内部权力运行的决策、执行和监督全过程,规范单位内部各层级的全体人员。
02、行政事业单位内部控制与企业内部控制的主要区别
行政事业单位内部控制和企业内部控制大部分原理、思路和方法相同,但也有不同。
(一)内控建设的最终责任主体不同
尽管内控建设涉及到单位全体人员,但行政事业单位和企业的内控建设最终责任主体不同。我国《企业内部控制基本规范》规定“董事会负责内部控制的建立健全和有效实施,监事会对董事会建立与实施内部控制进行监督,经理层负责组织领导企业内部控制的日常运行”。也就是说,董事会是企业内控建设的最终责任主体。而《行政事业单位内部控制规范(试行)》则规定“单位负责人对本单位内部控制的建立健全和有效实施负责”,即单位负责人是行政事业单位内控建设的最终责任主体。
(二)内部控制目标不同
企业和行政事业单位内部控制的目标有三点是相同的,都强调要合理保证经济业务和管理活动的合法合规、资产安全和使用有效、财务报告及相关信息真实完整。但企业是盈利性组织,以追求经济利益为经营目的,而行政事业单位是非盈利性组织,资金来源为公共资金,其运营目标是提供社会公众服务,强调公众受托责任履行情况,关注公众服务的满意度并避免舞弊和腐败现象,这导致行政事业单位内部控制目标与企业内部控制目标存在不同:企业内部控制强调提高经营和管理的效率和效果,促进企业实现发展战略,而行政事业单位则强调要有效防范舞弊和预防腐败,提高公共服务的效率和效果。
(三)内部控制原则不同
内部控制原则是单位建立与实施内部控制应遵循的基本方针和政策。企业和行政事业单位建立与实施内部控制,都应遵循全面性、重要性、适应性和制衡性等原则。但行政事业单位的工作是旨在为公众提供服务,更注重社会效益而不是经济利益,不能简单地用“投入”和“产出”进行计算分析。因而与企业内部控制不同,行政事业单位内控建设不强调成本效益原则。企业内控建设要遵循成本效益原则,以适当的成本实现有效控制。
(四)内部控制范围不同
行政事业单位与企业内部控制的范围都包括对组织整体层面和业务活动层面的控制。但企业由于发展需要,可能会设立子公司和分支机构以支持经营目标的实现,其内部控制范围除了组织整体层面和业务活动层面之外,还包括对企业所属子公司和各分支机构的控制,其范围比行政事业单位广。
(五)内部控制监督机制不同
企业是自主经营、自负盈亏的经济主体,有强大的内控建设内在动力,董事会、监事会、审计委员会和内部审计等内部监督机制也较为健全,企业内控建设主要是内部监督。对于行政事业单位而言,资金主要来源于公共财政,对外提供公共服务,因此,财政部门、主管机构、政府审计、社会公众、大众媒体等外部监督机构成为推动行政事业单位内控建设的重要动力。相对而言,行政事业单位内部监督与外部监督并重,由外部监督推进内部监督机制的不断完善。
03、行政事业单位内部控制原则
各单位应在内部控制原则指导下,根据自身实际情况建立和实施内部控制。
(一)全面性原则
内部控制应贯穿单位经济活动决策、执行和监督的全过程,覆盖单位经济和业务活动的所有领域,贯穿内部权力运行的全部过程,实现对经济活动的全面、全程控制。全面性原则还要求单位所有人员参与内控建设工作。
(二)重要性原则
单位内部控制应在全面控制的基础上,关注重要业务事项和高风险领域,并采取更为严格的控制措施,确保不存在重大缺陷。内控建设要优先关注“三重一大”事项,即重要政策制定、重要人事任免、重要项目安排和大额资金使用等。
(三)制衡性原则
内部控制应在单位内部的部门管理、职责分工、业务流程等方面形成相互制约和相互监督。单位经济活动的决策、执行和监督过程要实现分离,不相宜职务要相互分离。
(四)适应性原则
内部控制应符合国家有关规定和单位的实际情况,并随着外部环境的变化、单位经济活动的调整和管理要求的提高,不断修订和完善。
04、行政事业单位的风险评估
(一)建立风险评估机制
风险评估是测评风险发生的可能性及其潜在后果的过程。行政事业单位内控建设的主要内容就是分析经济业务活动的风险,识别和分析风险,然后因地制宜地设置控制方法并监督执行。
单位应建立风险评估机制,对经济活动存在的风险进行全面评估。单位风险评估至少每年进行一次,外部环境、经济活动或管理要求等发生重大变化的,应及时对经济活动风险进行重估。
单位开展风险评估应成立工作小组,单位领导担任组长。风险评估工作小组可以是跨部门的,也可设置在内控部门或牵头部门,但必须密切与各业务部门的联系,充分发挥相关部门的作用。风险评估结果应形成书面报告并及时提交单位领导班子,作为完善内部控制的依据。
风险评估可分为目标设定、风险识别、风险分析和风险应对四个步骤进行。
1.目标设定。目标设定是指单位采取恰当的程序去设定控制目标,确保所选定的目标支持并切合单位的职责使命。例如,货币资金的控制目标重点是保证货币资金的安全完整和有效使用,而支出业务的控制目标重点是支出符合开支标准并经过适当的授权审批。
2.风险识别。风险识别是对单位面临的各种不确定因素进行梳理、汇总,形成风险清单。组织可采用各种技术来识别可能影响目标实现的不确定性。单位应结合各种有形和无形的风险源,组织面临的机遇和威胁、优势和劣势,内外环境的变化等因素来识别潜在风险。
3.风险分析。风险分析是在风险识别的基础之上,进一步分析风险发生的可能性和对单位目标实现的影响程度,并对风险状况进行综合评价,以便为制定风险应对策略、选择应对措施提供依据。
4.风险应对。风险应对是在风险分析的基础之上,针对单位所存在的风险,提出各种风险解决方案,并择优实施方案的过程。风险应对的策略一般有风险规避、风险降低、风险分担和风险承受等。单位应综合运用风险应对策略,实现对风险的有效控制。
(二)单位整体层面的风险评估
单位进行整体层面的风险评估时,应重点关注以下方面:
1.内部控制工作的组织情况,包括是否确定内部控制职能部门或牵头部门;是否建立各部门在内部控制中的沟通协调和联动机制等。
2.内部控制机制的建设情况,包括经济活动的决策、执行、监督是否有效分离;权责是否对等;是否建立健全议事决策机制、岗位责任制、内部监督等机制。
3.内部管理制度的完善情况,包括内部管理制度是否健全;执行是否有效等。
4.内部控制关键岗位工作人员的管理情况,包括是否建立工作人员的培训、评价、轮岗等机制;工作人员是否具备相应的资格和能力等。
5.财务信息的编报情况,包括是否按国家统一会计制度对经济业务和事项进行账务处理;是否按国家统一会计制度编制财务报告等。
6.其他情况。
(三)业务活动层面的风险评估
单位进行业务层面的风险评估时,应重点关注以下方面:
1.预算管理情况,包括在预算编制过程中单位各部门间沟通协调是否充分,预算编制与资产配置是否相结合、与具体工作是否相对应;是否按批复的额度和开支范围执行预算,进度是否合理,是否存在无预算、超预算支出等问题;决算编报是否真实、完整、准确、及时。
2.收支管理情况,包括收入是否实现归口管理,是否按规定及时向财会部门提供收入的有关凭据,是否按规定保管和使用印章和票据等;发生支出事项时是否按规定审核各类凭据的真实性、合法性,是否存在使用虚假票据套取资金的情形。
3.政府采购管理情况,包括是否按预算和计划组织政府采购业务;是否按规定组织政府采购活动和执行验收程序;是否按规定保存政府采购业务相关档案。
4.资产管理情况,包括是否实现资产归口管理并明确使用责任;是否定期对资产进行清查盘点,对账实不符的情况及时进行处理;是否按规定处置资产。
5.建设项目管理情况,包括是否按概算投资;是否严格履行审核审批程序;是否建立有效的招投标控制机制;是否存在截留、挤占、挪用、套取建设项目资金的情形;是否按规定保存建设项目相关档案并及时办理移交手续。
6.合同管理情况,包括是否实现合同归口管理;是否明确应签订合同的经济活动范围和条件;是否有效监控合同履行情况,是否建立合同纠纷协调机制。
7.其他情况。
05、行政事业单位内部控制方法
在风险评估之后,单位应采取相应的控制方法将风险控制在可承受程度之内。单位内部控制的控制方法一般包括:
1.不相容岗位相互分离。该方法要求合理设置内部控制关键岗位,明确划分职责权限,实施相应的分离措施,形成相互制约、相互监督的工作机制。实务中,下列不相容职务通常要分离:
(1)授权进行某项经济业务和执行该项业务的职务要分离;
(2)执行某些经济业务和审核这些经济业务的职务要分离;
(3)执行某项经济业务和记录该项业务的职务要分离;
(4)保管某些财产物资和对其进行记录的职务要分离;
(5)保管某些财产物资和使用这些财产物资的职务要分离;
(6)执行某项经济业务与监督这些经济业务的职务要分离。
2.内部授权审批控制。该方法要求明确各岗位办理业务和事项的权限范围、审批程序和相关责任,建立重大事项集体决策和会签制度。相关工作人员应在授权范围内行使职权、办理业务。
3.归口管理。该方法要求根据本单位实际情况,按权责对等的原则,采取成立联合工作小组并确定牵头部门或牵头人员等方式,对有关经济活动实行统一管理。
4.预算控制。预算控制要求行政事业单位实施全面预算管理制度,明确各责任单位在预算管理中的职责权限,规范预算的编制、审定、下达和执行程序,强化对经济活动的预算约束,使预算管理贯穿于单位经济活动的全过程。
5.财产保护控制。该方法要求建立资产日常管理制度和定期清查机制,采取资产记录、实物保管、定期盘点、账实核对等措施,确保资产安全完整,严格限制未经授权的人员接触和处置财产。
6.会计控制。该方法要求建立健全本单位财会管理制度,加强会计机构建设,提高会计人员业务水平,强化会计人员岗位责任制,规范会计基础工作,加强会计档案管理,明确会计凭证、会计账簿和财务报告处理程序。
7.单据控制。该方法要求单位根据国家有关规定和单位的经济活动业务流程,在内部管理制度中明确界定各项经济活动所涉及的表单和票据,要求相关工作人员按规定填制、审核、归档、保管单据。
8.信息内部公开。该方法要求建立健全经济活动相关信息内部公开制度,根据国家有关规定和单位的实际情况,确定信息内部公开的内容、范围、方式和程序。单位应充分利用现代科学手段加强内部控制,对信息系统建设实施归口管理,将经济活动及内部控制流程嵌入单位信息系统中,减少或消除人为操纵因素,保护信息安全。
内控管理师(ICM)”着力解决企事业单位内部控制体系建设专业知识不足,内控管理专业人才匮乏的共性问题。