一、A局内部控制基本情况

（一）A局基本情况。A局是省政府直属机构，成立于2000年，局属单位28个，包括参公管理事业单位，公益一类、公益二类事业单位，以及企业化管理的事业单位。全局在职职工约3000人。各单位规模不同，设立时间不同，部分单位甚至远早于A局。

（二）A局内控制度建设的现状。A局从2014年开始按照省级财政部门的要求开展内部控制建设工作。2015年各单位开始编写并印制《单位内控工作手册》。2016年至2019年，A局及所属预算单位完成了内控制度报告编制，并汇总申报。内控报告汇总范围包括A局（本级）及所属单位共19家预算单位。针对本文研究的内容，发放了内控相关情况调查问卷20份，收回有效问卷16份，有效样本率达到80%。

基于汇总报告和调查问卷的分析结果，该局内控建设和执行情况具体如下：

内控制度建设情况和执行效果。A局纳入预算管理的所属单位均按照财政部门的要求完成了内部控制建设和报告工作，所有单位内控建设范围全面覆盖了6大业务。

单位内控薄弱环节。问卷调查中有62.5%的受访者认为是内控执行效果不够理想，25%认为是设计缺陷和执行效果不理想同时存在，6.25%认为主要是设计缺陷，6.25%认为单位内控制度形同虚设。A局内控报告汇总分析表（单位层面）显示内控自建比例高达100%。

图1  单位内控薄弱环节统计图

风险评估覆盖范围。2019年度A局（本级）及所属单位和业务层面综合风险评估平均覆盖率为51.32%（见表1）。根据调查结果，仅有18.75%的受访者认为执行了定期风险评估，参与调查人员认为单位会对重大流程改变进行评估的仅占43.75%。

表1  2019年A局内控汇总报告（单位基本信息）

图2  单位定期进行风险评估统计图

图3  对重大流程变化实施风险评估分析图

内部控制信息系统建设情况。A局（本级）及所属单位只有1家单位因行业管理需求建立了内控信息系统，其他单位仅财务和资产管理部门使用财政部门决算和资产管理系统，但2个系统未实现互联互通，内控执行得不到信息系统的辅助和约束，内控流程难以嵌入信息系统得到固化。

图4  内控实现信息化应用统计分析图

    监督评价情况。问卷调查中有56.25%的受访者认为单位建立了内控评价监督机制。A局2019年内控汇总报告显示，各单位的内控牵头部门和评价监督部门主要集中在财务部门和办公室，未实现有效分离。建设和评价监督均在财务部门的单位占47.37%，办公室同时承担这两项职能的占31.58%，因此未能实现职能分离的单位占比达到78.95%，还有1家单位未设置评价监督部门。

图5  评价监督机制建立分析图

图6

二、内控存在的风险和建议

（一）内控存在的风险。综上所述，A局（本级）及所属单位按照相关规范和政策要求建立了内部控制制度，但在内控建设、风险评估、执行和监督评价各个环节存在不同程度的设计和执行缺陷，由此导致的风险具有代表性，可归纳为以下几个方面：

控制范围局限性，难以实现源头控制。行政事业单位内控规范的制定部门为财政部，而企业内控相关规范由五部委联合发布，导致行政事业单位普遍存在一种误区——内控主要就是会计控制，与业务部门并不直接相关。内部控制仅仅停留在对经济业务的控制，难以对全部业务和权力运行实施控制。根据A局2019年内控汇总报告，其内控建设牵头部门以财务部门为主。

风险评估不充分，导致风险防控缺失。内控制度建设不是一次性工程，内控执行也不可避免受到组织机构等内部因素和制度更新等外部因素变化影响。定期或不定期对内控进行风险评估，有助于及时识别和评估风险，采取相应防控措施。如果对内外部环境变化置之不理，就可能导致财务管理绩效目标难以实现，资产管理效率低下，适用报销制度不当等监管风险。

内控流程尚未被信息系统固化，导致内控流于形式。行政事业单位财务系统或业务系统未实现互联互通，无法借助信息系统完整固化内控流程、约束控制活动，进而实现管理标准化。内控执行缺乏流程制约导致流于形式。

评价与监督独立性不够，结果运用不充分。评价监督是内控建设执行过程中非常重要的一环，通过有效的监督评价，能够及时发现内控设计和执行缺陷。如果内控评价监督部门独立性不足，就会影响评价效率和效果。而且内控建设部门或人员的专业程度是内控自建的前提和基础，以财务部门为主体的内控建设，必然受制于其独立性和专业胜任能力不足。作为一个内设处室，职责压力远远超出其职能权限，无力梳理全部业务流程，不能通过分岗设权、分级授权、分事行权达到有效牵制和高效执行业务，造成内控设计不完全适用，反而加大了管理风险。如果内控评价与监督职能再由财务部门负责实施，除了独立性不足之外，自建自评更加削弱了评价和监督检查效果。

（二）风险成因。行政事业单位内控法规亟待完善。目前我国涉及行政事业单位内部控制的法律法规主要包括：预算法、会计法、审计法、政府采购法等法律，《预算法实施条例》《政府采购法实施条例》《行政事业性国有资产管理条例》等法规，《行政事业单位内部控制规范（试行）》《行政单位财务规则》《事业单位财务规则》等部门规章。此外，2011年1月1日开始实施的审计准则第五条规定被审计单位有建立并实施内部控制的责任，第六十条规定审计人员可以从内控建设和执行情况了解被审计单位。从内控法规体系建设来看，存在立法层次不高、内容零散、制定主体单一等问题，尚未形成完整的法律框架体系。

风险评估未能有效落实。对风险认识不足，也会让行政事业单位普遍存在误区——没有风险。行政事业单位与营利性组织有天然区别，大多数人认为其不存在类似企业的经营风险，同时又因为组织形式相对稳定，其人事管理因绩效考评体系不健全或奖惩机制未能有效落实，而忽视了资产管理绩效低下、滥用公权、徇私舞弊等产生的资源浪费、贪污腐败风险，忽视了对管理风险的评估和防控。

内控信息系统建设缺乏内生动力。内控信息系统建设是一项复杂而艰巨的工程，初建阶段需要高额的预算经费支持，不但要固化内控流程、制度，还要融合单位已有的财务、决算、资产管理等业务系统。虽然如今信息技术日新月异，但因缺乏顶层设计，大多数行政事业单位缺乏建设内控信息系统的主观能动性，市场上也没有成熟的行政事业单位内控信息系统产品，难以通过直接采购方式实现系统建设。

独立性和专业胜任能力不足。由单一部门兼任建设和评价监督职能部门，难以避免相关人员专业胜任能力不足，独立性不够，导致设计缺陷和执行问题。内部控制的基石是内部牵制，如完全依靠自建、自评，缺乏有专业能力的内审部门或第三方参与，内控就无法充分发挥作用。

监督评价结果未能有效利用。2016年财政部印发的内控基础性评价工作通知，意在以评促建，全面推进内部控制制度建设和实施，但评价结果未能被各级政府、财政部门、审计部门和纪检监察部门有效利用。

（三）关于行政事业单位内控风险管理的几点建议。提高对行政事业单位内控的认识。加强培训，深刻认识全面推进内控建设的必要性、紧迫性和重大意义，着重解决以下内控认知问题：一是行政事业单位内控不仅仅包括对经济活动的控制，还包括业务活动和权力运行，必须全员参与。二是预算管理部门应参与决策。行政事业单位经济活动以预算收支为主线，预算管理部门如果能在各项业务开展前更多地参与决策，就能够避免由于预算管理滞后导致的风险，有助于对各项业务活动的内控。三是内控对权力运行进行科学控制而不是干涉、限制。内控通过分岗设权、分级授权、分事行权，划清各级、各部门、岗位和各项业务的职责权限边界，有助于各部门形成一个有机整体，既密切协作又相互牵制，有利于降低部分权力集中部门和岗位的风险，提高工作效率。

定期对内控建设和执行情况进行风险评估。建立行之有效的风险评估机制，明确风险评估机构或部门，比如第三方专业机构或内审部门，确保其独立性。建立风险评估体系，包括评估方法、指标体系，以及风险评估启动临界值，保证及时发现、识别风险。将内控规范指标化，综合运用访谈、问卷调查、财务分析、流程图等方法形成评估结果。

表2  单位层面内部控制评价（部分指标）

增强前瞻意识，不断探索信息技术应用。加大政策引导和经费支持，鼓励各级政府部门和事业单位积极实践、努力探索。各级行政事业单位应积极利用现代化信息技术，探索构建和完善内控信息系统，并融入本单位业务系统中，让内控信息系统成为提高管理水平、增加风险防范能力、促进廉政建设、维护公众权益的重要手段和有效工具。监督管理部门应定期对内控信息系统执行效果进行专项评估，从中选取一些先进典型推广成功经验，推动内控信息系统广泛建立。

建立完善监督评价机制。对一些小散弱单位，因人员少难以设置独立内控职能部门，可以适当简化内控程序，将风险评估和监督评价程序结合，适当利用内审机构和第三方机构参与内部控制建设、执行情况评价监督。建立监督评价结果运用机制，将其纳入单位绩效考核体系，通过奖惩激励措施有效推动内控建设和执行，让内控建设形成良性循环。

行政事业单位作为依法行政和提供公众服务的主体，承担着政策制定、宏观经济调控、社会治安管理、提供公共产品等职能。通过运用内控管理工具，有机整合行政事业单位各项管理制度，重新梳理和优化管理流程，运用信息技术加以固化，定期或根据内外环境因素变化对内控进行风险评估和评价监督，不断完善内控机制，能够提高管理效率，防范、控制、化解各项风险。

　　（文/吉林省机关事务管理局王威）