院校行政后勤管理内控体系设计分析——以中国医学科学院北京协和医学院为例

　　 文/刘慧 赵雁 王宜勇 米向乾 甄宝

　　中国医学科学院成立于1956年，北京协和医学院成立于1917年，中国医学科学院北京协和医学院（以下简称院校）自1957年起实行院校合一的管理体制，是我国最高医学研究机构和最高医学教育机构。近年来，随着院校不断发展，原有的内部控制体系已不能满足当前的发展需要。院校正在积极探索构建适合工作实际、系统完整、规范合理的内部控制体系。 

　　现存问题 

　　控制环境较为薄弱。控制环境是能够影响内部控制实施效果的所有因素的总称，是内部控制实施的基础。院校后勤管理工作的控制环境包括工作人员的道德修养、对内部控制的认识，机构岗位和人员设置等。后勤服务中心干部职工对内部控制的认识比较薄弱，不了解内部控制相关制度规定；工作人员以签署劳动关系和劳务关系合同的聘用人员为主，年龄偏大、文化程度相对较低，对于内部控制要求认识不到位，岗位和人员设置方面存在不符合内部控制要求的情况。 

　　风险评估能力欠缺。风险评估即运用风险分析的技术方法，找出单位运营管理中存在的内外部风险。采取科学合理的方法避免或降低风险，是内部控制建设的先决条件。院校开展内部控制建设工作相对较晚，风险评估工作重点暂时放在了财务管理、科研管理、基本建设管理方面。对于后勤管理部门来讲，在主客观上识别风险的能力不足，风险评估机制不健全，一方面是事前评估不到位，风险防范不足，尤其对于重大变化事项，对其所产生的影响和后果分析研判不足；另一方面未建立针对风险事件的事后处理机制。 

　　内控活动不规范。控制活动是内部控制的核心，科学合理的控制活动设置可以有效降低风险，确保组织目标的实现。后勤服务中心制定的系列规章制度多年未更新，工作中存在不相容职务由同一人担任、家属区工作人员自行购买五金材料、派车单据签字不全、未按制度要求登记车辆使用台账等情况。 

　　信息与沟通不顺畅。纵向来看，部门内下级向上级汇报存在不及时、不完整的现象，影响决策的准确性、及时性，而上级也存在反馈不及时或者指示不明确的情况，使得下级难以开展工作；横向来看，部门之间提供信息不准确无法做到信息共享共用，造成工作衔接脱节，从而影响工作效率和效果。此外，物资、车辆、宿舍管理等尚未实现信息化。 

　　监督不到位。监督包括外部监督和内部监督，外部监督主要包括审计部门的审计工作，上级主管部门、财政部门的督导检查以及委托会计师事务所开展的外部审计等，内部监督包括内部审计部门开展的内部审计工作、部门间的评价、部门内实施的自查自评等。一直以来，院校行政后勤管理部门主要依靠外部监督，内部监督相对较少，监督力度不够、频次较少。 

　　内控体系设计分析 

　　1992年美国全国反虚假财务报告委员会下属的发起人委员会提出了《内部控制—整体框架》（以下简称COSO框架），通过控制环境、风险评估、控制活动、信息与沟通、监督五要素构建和完善内部控制系统。COSO框架理论被公认为内部控制建设的“金标准”，随着多年来不断的更新和完善，COSO报告具有很大的通用性，也完全适用于院校机关后勤管理工作内部控制体系。建立适合院校行政后勤管理工作的内部控制体系，需要在COSO框架理论基础上，全面分析院校行政后勤管理工作的实际情况来构建，不能简单地照搬照抄。 

　　院校行政后勤管理工作面临着多服务区域、多服务内容相互交叉重叠的现状：涉及服务区域范围包括教学办公区、学生宿舍区、家属区、食堂；涉及服务内容范围包括水电气暖保障、物业服务、修缮工程、物资管理、车辆管理、食堂管理、采购管理、居民售房管理等。行政后勤处的工作目标是为把中国医学科学院建设成为我国医学科技创新体系的核心基地和把北京协和医学院打造成世界一流医学院的组织目标提供服务保障。行政后勤管理工作内部控制的目标是遵循国家和单位的法律法规和规章制度，提高服务和保障的效率、效果和效益。 

　　以COSO框架理论为指导，为更好地搭建行政后勤管理工作内控体系，应遵循以下原则：一是系统性原则。行政后勤管理工作内控体系设置应系统、全面，要覆盖全部工作范围，要全员参与。二是重要性原则。对于行政后勤管理工作中诸如食堂、宿舍管理就属于因安全方面的重要性而需要加强内部控制，而采购管理、办公用品等物资管理则属于因较高廉政风险需要加强内部控制。三是成本效益原则。内控体系的建设要科学、合理、有效，其控制措施也要符合成本效益，而不能为了控制而控制，无端浪费人力、财力和时间。否则可能出现无效劳动，甚至阻滞工作正常运转。 

　　因院校行政后勤管理工作内控较为薄弱，构建内控体系需要按照以下步骤和路径逐步实施：培训和学习内控相关知识，内控管理需要全员参与，仅有部分人员了解和熟悉是不够的；梳理部门工作内容及现有规章制度；根据工作内容确定内部控制实施范围，包括业务范围、工作环节及流程，体现全流程管理；绘制流程图；根据工作环节及流程梳理风险点，评估风险等级；再通过流程测试，分析现有内控缺陷和制度缺失，进而补充设置和优化完善。 

　　依据COSO框架理论，院校对内控体系进行了总体设计。 

　　根据院校管理体系及管理政策，及时更新理念并加强文化建设，完善组织机构设置及制度建设和加强人员管理。让每一位工作人员转变观念，了解部门职能定位，充分认识行政后勤工作是院校发展的重要支撑和保障。在现有制度基础上完善行政后勤管理工作内容及具体工作规范、岗位设置及工作职责、后勤工作人员考评办法等管理制度。 

　　风险评估是实施内部控制建设的核心步骤，主要包含4个环节：明确行政后勤管理工作内部控制的目标；梳理工作流程，结合流程中的岗位职责、权限划分等识别风险点；分析判断风险程度；确定相应的风险应对方法及措施。通过梳理业务流程，建立风险分类框架，将风险类型分为决策风险、违规风险、真实性（业务真实、报告真实）风险、安全性（完整性）风险以及舞弊风险5类。 

　　控制活动的设计要与风险应对紧密结合，即科学、合理、有针对性，还要符合成本效益。按照财政部《行政事业单位内部控制规范》规定，从单位层面和业务层面，从不相容岗位相互分离、内部授权审批控制、归口管理、预算控制、财产保护控制、会计控制、单据控制和信息内部公开等不同控制方法，结合上述举例对应提出饮食保障业务控制活动。院校2个食堂分处在不同校区，采用委托下属所院提供食堂管理服务的方式。依据前述风险评估，饮食保障业务中的食材采购、安全检查、应急处置等属于综合风险相对较高环节，需要加强控制。 

　　信息与沟通方面在内控体系设计时重点关注了以下几点：明确各岗位职责，并加强考核，以确保相关岗位人员尽职履责，对于信息的收集、传递做到真实、准确、及时；拓宽信息来源渠道，以便提高信息收集的完整性、及时性；定期或不定期召开线下/线上会议，及时沟通交流、共享信息；在相关信息平台进行信息公示或信息通报。上述关键环节在传统信息沟通模式下势必存在一定的延时性或滞后性，故需要加强信息化建设，将现有分散的子系统集成起来。 

　　为避免信息系统带来的风险，需要加强控制措施。审批权限增加审批控制；加强系统开发后形成的源代码管理控制和系统更新、维护控制；加强职责分离，经办、审批相分离；加强采购、验收、库管相分离等不相容职务的分离控制；访问系统需要通过密码、口令设置等；加强数据保存、备份、传输控制；通过操作日志、登录记录等对真实性予以控制；通过系统数据校验、子系统间数据提取等增强准确性控制。 

　　监督是对整体内部控制的监督，既要对内控建设的完善性进行监督，也要对内控建设的有效性进行监督。如前所述，院校行政后勤管理工作一直以来主要依靠外部监督，频次较少，且仅关注部分内容，所以想要建设完善的内部控制体系，并且要使该体系持续有效运转，需要依靠内部审计、本部门及广大师生共同努力下的内部监督。具体包括3个环节：一是对内部控制体系建设流程进行监督。可以请内部审计部门参与行政后勤管理工作内控建设的体系设计，对于风险评估及控制活动的设计进行评价、改进，确保在设计时没有疏漏。二是日常对控制活动的有效性进行监督。主要由部门重点关注，与内部审计监督及广大师生监督相结合。比如按照相关规定定期对物资进行盘点，办公家具等采购实施由内部人员过程监督等；另外内部审计开展合同专项审计、物资专项审计等也是对控制活动有效性的监督，向广大师生开展满意度评价、调查问卷等。三是持续监督。优化完善后的内控体系整体设计虽然在一定时间内不会发生颠覆性变化，但局部调整是伴随政策和环境变化而存在的，要对内部控制进行持续监督。 

　　基于COSO内控框架对院校行政后勤管理工作的内部控制体系进行设计重构，可以有效加强内部控制，进一步规范管理，但该体系设计完成后也并非一劳永逸，需要根据不断变化的控制环境及时进行动态调整，才能够满足管理和内控需要。