健全和完善行政事业单位内部控制体系建设
文/秦荣生
内部控制既是行政事业单位的一项重要管理活动,又是一项重要的制度安排,还是行政事业单位加强治理的重要基础。规范行政事业单位内部经济和业务活动,强化对内部权力运行的制约,防止内部权力滥用,建立健全科学的制约和监督体系,对于提高单位管理水平,改进公共服务的质量和效率,规范财经秩序,建设服务型政府都具有重要意义。财政部于2012年11月发布《行政事业单位内部控制规范》,要求建立以行政事业单位为主体的内部控制实施机制。随后,又陆续发布《关于全面推进行政事业单位内部控制建设的指导意见》《关于开展行政事业单位内部控制基础性评价工作的通知》《行政事业单位内部控制报告管理制度》。目前,行政事业单位在内部控制建设和实施中取得了良好进展,但还存在一些问题。
《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出,“完善权力配置和运行制约机制,健全分事行权、分岗设权、分级授权、定期轮岗制度,完善党务、政务、司法和各领域办事公开制度,健全发现问题、纠正偏差、精准问责有效机制,构建全覆盖的责任制度和监督制度。”为贯彻落实“十四五”规划要求,行政事业单位应从新的视角健全和完善内部控制体系。
提高认识,完善内部控制体系建设
一个单位取得成功的影响因素都是相似的,而一个单位的失败都是内部控制的失败。没有有效的内部控制,一个单位很难防控各种风险。提升内部控制水平,是我国行政事业单位提高治理能力的必然要求,各单位应切实加强对内部控制工作的组织领导,不断健全和完善内部控制体系。
——进一步提高对完善内部控制体系建设的认识。在认识层面上,一些行政事业单位对内部控制的核心和本质理解不够。有些单位实施了内部控制工作,但某种程度上是为了贯彻落实上级要求,重视程度和工作主动性远远不够;有些单位建立了内部控制架构和规章制度,但没有实质性开展工作,内部控制制度被束之高阁;有些单位没有及时掌握内部控制工作进展情况,也没有提出明确的内部控制职能定位和工作要求;有些单位的领导忽视内部控制对单位风险的事前防范和事中控制作用,往往是在风险事件发生后,才会想到内部控制的作用;有些单位的内部控制活动是临时性或间断性的,出现问题就进行内部控制,没事时就将其置之度外。认识上的不到位,有行政事业单位领导个人的认识问题,也有体制、机制方面的原因。
行政事业单位的领导班子要高度重视全面内部控制工作,深刻认识内部控制对单位健康发展的现实和长远意义,将提升内部控制水平作为管理提升的一项重要内容持续深入推进。行政事业单位内部控制涉及单位业务活动的各个层次,包括各项业务、业务流程中的各个环节和单位中的每一个成员,是一种全面、全员、全过程的控制。内部控制工作的提升至少应包括以下几个方面:在管理层次上由执行层面提升到决策层面;在管理模式上由一个部门管理转变为所有单位齐抓共管;在管理技术上由以定性为主扩大到定量与定性相结合;在管理方法上由人工控制转变为制度流程控制及信息系统控制为主。
——完善内部控制制度化和规范化建设。部分单位内部控制部门与业务管理部门的职责定位没有理顺,内部控制部门有被边缘化倾向,导致全面内部控制体系运行不畅、流于形式。有些单位的业务管理部门对内部控制职能有误解,认为有法律合规部门存在,内部控制部门无足轻重。还有的单位内部控制部门和业务管理部门沟通交流不够,导致内部控制体系与管理体系难以融合。产生问题的根源,在于内部控制部门职能定位不明确,仅限于建制度、做流程、写报告,没有与业务管理流程相融合。内部控制工作在行政事业单位管理体系中的定位非常重要,只有定位清晰、分工明确、不越位、不缺位,才能执行到位。
行政事业单位内部要推行内部控制报告制度,规范重大风险汇报制度,不断完善风险预警和监控制度,强化风险的事前防范和事中控制,实现内部控制成本效益最大化。同时,行政事业单位要加快推进内部控制管理信息系统建设,探索建立内部控制评价与考核制度,制定科学的内部控制评价办法和标准,将内部控制纳入行政事业单位绩效考核指标体系,建立内部控制责任追究机制。
——加强风险评估以确保重大风险可控。我国大部分行政事业单位已开展内部控制自我评价工作,根据评价的结果确定一般风险、重要风险和重大风险。现实工作中,往往对评估出来的重大风险,怎么预防、怎么监控、怎么动态管理,缺乏可行的针对性措施,使重大风险得不到及时防控。很多单位的重大风险防控措施都是常规性的改善管理,并没有很好地针对风险的特点制定解决方案。不少单位的内部控制措施缺乏针对性,往往达不到事前防控的目标。
行政事业单位应进一步健全风险评估机制,强化“年度体检”制度。党委会和行政负责人应负责督导本单位进一步完善风险评估常态化机制,对高风险业务、重大改革以及重大项目等重要事项应建立专项风险评估制度,在提交党委会审议的重要事项议案中必须附有充分揭示风险和应对措施的专项风险评估报告。内部控制职能部门要坚持对上述重要事项的风险评估进行程序性、合规性审核。要逐步建立健全重大风险监测预警指标体系,实现对重大风险管理全过程的动态监控,确保重大风险可控。在内部控制体系的建设过程中,行政事业单位应充分发挥内部控制防控风险的作用,以防控风险为导向,以流程梳理为基础,以关键控制活动为重点,以重大风险报告、预警与应急机制为支撑,结合自身实际,建立科学的内部控制体系,促进风险防控措施有效实施。
——创新应用新的内部控制技术与方法。在内部控制体系中,合理的内部控制技术与方法有利于实现控制目标,同时也能确保内部控制效能的发挥。行政事业单位常用的内部控制技术与方法主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。随着现代科技的发展,内部控制的技术与方法也越来越来多、越来越先进,各单位应结合实际合理选择内部控制的技术与方法。一是在内部控制信息化建设方面,可充分利用现有信息化平台和资源,紧密围绕业务风险,推动内部控制的在线运行。二是在风险预警监控方面,可研究建立重大风险预警指标体系和动态预警机制,及时向决策层发布预警信号并提前采取预控对策。三是在风险评估方面,可将蒙特卡罗模拟、失效模式与影响分析、层次分析法、模糊数学法、杜邦分析法等管理工具运用到内部控制健全和完善过程中,丰富内部控制健全和完善的技术与方法。
——加强内部控制专业人才队伍建设。健全和完善行政事业单位内部控制体系,需要从业人员既要有良好的知识结构和研究能力,又要有一定的实践经验和工作阅历。我国行政事业单位实施内部控制工作的时间不长,工作人员的专业知识和从业能力还不能满足高水平内部控制工作的需要,加强内部控制专业队伍的建设显得尤为重要。
为解决内部控制专业人才紧缺状况,各单位可以抽调财会、审计和业务管理等骨干开展内部控制管理工作,同时有计划地培养专业人才。一是通过参加政府部门、中介机构、行政事业单位内部举办的培训学习等,促使内部控制人员掌握相关知识。二是让从事内部控制的专业人员,在工作实践中不断探索学习,以内部控制基础理论、基本规范及配套制度为指针,借鉴其他单位的经验,结合实际自我积累、自我学习,不断提升业务能力。三是在聘请中介机构开展内部控制咨询、服务时,充分利用其专业力量,通过业务沟通交流和参与实际运作锻炼培养内部控制专业人才队伍。四是适当奖励为单位内部控制建设、健全和完善作出贡献的人员,调动大家的工作积极性。
——持续推进内部控制文化建设。内部控制体系建设是一项长期系统的工作。健全和完善内部控制体系,必须文化先行,只有树立规范管理、防范风险的意识,将内部控制与岗位工作紧密结合,才能及时发现和采取有效措施防范风险。因此,各单位要加强面向全体员工的内部控制宣传、培训工作,提高广大员工的内部控制意识、责任意识和发展意识。倡导将内部控制融入单位的各项业务和管理活动,尤其是资金分配、项目建设等重要决策过程中,确保内部控制文化与行政事业单位文化的真正融合和落地。
行政事业单位打造先进的内部控制文化,要树立为民服务理念,以科学、合法合规发展为原则。正确认识内部控制体系的重要性,加强员工职业道德培养和警示教育,提高内部控制与员工的价值关联度,防范员工因道德风险引发的违规、违法行为。培育合法合规文化,营造良好的内部控制文化氛围,并通过教育与管理、激励与约束相结合,提高行政事业单位员工的综合素质,使员工的自觉行为与制度对人的约束有机结合。同时,正确处理业务发展与风险管理、眼前利益与长远利益的关系,牢固树立先规范、后发展的经营理念,严禁违法违规办理业务。
改进方式,提高内部控制评价效果
2016年6月,财政部印发《关于开展行政事业单位内部控制基础性评价工作的通知》。内部控制基础性评价,是指单位在开展内部控制建设之前或初期阶段,对单位内部控制基础情况进行的“摸底”评价。通过开展评价,一方面,明确单位内部控制的基本要求和重点内容,使各单位在内部控制建设过程中做到有的放矢、心中有数,围绕重点工作开展内部控制体系建设;另一方面,旨在发现单位现有内部控制基础的不足之处和薄弱环节,有针对性地建立健全内部控制体系。但迄今为止,行政事业单位内部控制基础性评价仍停留在为评价而评价,没有起到通过“以评促建”方式指导和推动单位积极开展内部控制建设。因此,行政事业单位应通过内部控制基础性评价和年度内部控制评价,揭露内部控制体系存在的问题,明确建设的重点和关键环节,以此进一步健全和完善行政事业单位内部控制体系建设工作。
一是改进现行内部控制评价的方式。内部控制评价的对象是内部控制的有效性,所谓内部控制的有效性,是指行政事业单位建立与实施内部控制对实现控制目标提供合理保证的程度。内部控制评价工作贯穿年度始终,采用日常监督、专项监督和年终内部控制评价相结合的方式。内部控制日常的监督评价应要求被评价单位先进行内部控制自查,并提供内部控制自我评价报告。根据被评价单位内部控制自我评价报告进行检查,并出具内部控制评价报告。
二是改进现行内部控制评价的方法。对内部控制评价采用的抽样技术主要有整体抽样、随机抽样、等距抽样、指定抽样。内部控制评价工作组需在了解单位层面基本情况、业务层面的主要流程、识别有关主要风险后,才能开展实施及测试设计和运行有效性的内部控制工作。按照内部控制评价要求,应考虑分清单位层面和业务层面的内部控制,并考虑业务发生的频率。行政事业单位单位层面的内部控制对业务层面的内部控制有着广泛深入的影响,其结果将会影响管理者对内部控制其他方面的评估工作。单位层面控制对预防、阻止和检查舞弊行为发挥着重要作用。
三是改进和加强访谈等方法的运用。目前,在内部控制评价方法的运用上,行政事业单位主要采用个别访谈、调查问卷、专题讨论、穿行测试、实地查验、抽样和比较分析等方法,其他方法运用较少。内部控制的评价,涉及到人的活动,应大量采取全面了解法、个别访谈法、背靠背打分法、专项讨论会法、重新执行等方法,以便了解和掌握到内部控制执行的真实情况。
四是加强对缺陷的分析和认定。对被评价行政事业单位内部控制的检查,目标是确认内部控制是否存在缺陷,并进一步认定是何种类型的缺陷。在此基础上,对被评价单位内部控制的有效性作出评价,并提出整改建议。无论是重大缺陷还是重要缺陷,都应在评价报告中反映。行政事业单位应根据实际情况,采用定性标准与定量标准相结合的方法,对与单位层面和业务层面相关的内部控制缺陷进行认定。对内部控制缺陷的整改,应面向未来、举一反三、系统整改。
五是改进现行内部控制评价报告。现行行政事业单位内部控制评价报告主要包括被评价单位的基本情况、内部控制存在的缺陷、改进的意见和建议等部分。应按照内部控制评价要求,分清单位层面和业务层面的内部控制评价、缺陷的认定、整改情况等。内部控制评价报告应包括重要声明、内部控制评价结论、内部控制评价工作情况、内部控制评价范围、内部控制评价工作依据、单位层面内部控制缺陷认定与业务层面内部控制缺陷认定标准、内部控制缺陷认定及整改情况。