□ 福建平潭 林 建

2008年，财政部会同国务院五部委首次发布了《企业内部控制基本规范》。《基本规范》包括总则、内部环境、风险评估、控制活动、信息与沟通、内部监督和补充规定等七章50条，并要求全国范围执行自2009年7月1日起在国内上市的公司施行，其它大中型企业比照执行。2012年，财政部独立发布了《行政事业单位内部控制规范（试行）》，从第一章《总则》到风险评估与控制方法、单位内部控制、业务层内部控制、评价与监督等章节，共六章65条。本规范含补充条款自2014年1月1日起实施。这两部纲领性文件成为规范两类不同性质单位执行内部控制的准绳，同时也在将两类单位内部控制的异同表现出来。本文首先将从目标数量上看，都有五大目标。其次相比两个规范的业务面，企业内部控制18条指引里，具体规定了十一项相关业务，而行政事业单位内部控制目前仅规定了五项业务，后面依次从内控控制对单位层面、业务层面的要求和内部评价和审计等逐项进行对比。

一、内部控制实现的目标和遵循的原则不同

两者内部控制不仅目标数量相同，而且前三大目标的性质相同，但又不具有完全相同的内涵。

1.二者首要目标皆要求合规。首先，行政事业单位的第一目标合规要执行所属行业、部门行政法规和地方规章，其次要对标国家法律法规，如在全面预算管理、资产管理、收支管理等业务与财政部门发生直接关系，受财政机关牵制。基于这个目标定位，其应当比要求企业的合规面更加宽泛。企业的性质不同，需要更多关注市场监督管理局和人民银行、国资管理机关的要求，以及银保监机构和证券交易所等行业规范，但不发生直接的经济联系活动。

2.资产管理目标不同。行政事业单位和企业相似，对资产有增值保值的责任，所以行政事业单位与企业相比，风险承受度和风险态度偏保守。

3.财务报告目标不同。企业披露财报，主要是对股东等投资人和债权人负责，财报的真实性是企业的生命线。事业单位虽然也公示财务信息，接受社会监督，但对该项需求没有那么迫切，财报舞弊的动因也不强，主要是向所属主管部门或地方政府上报财政信息。

4.经营总体目标差异。盈利能力是企业经营效果的落脚点，其可以通过管理水平、现金流等情况表现出来。而行政机构的业务目的是提供公共服务，进而如何评价公共服务的效率和有效性，是目前监管部门一大难题。

5.抑制舞弊目标。预防腐败、防控虚假和作弊是行政事业单位的特色，即是其内部控制目标之一，作为提供公共服务产品的单位，与政府部门相似，也占有公共资源，存在寻租的动因。而企业虽然未把反对做假账作为控制目标之一，但是把建立反舞弊机制列入信息与沟通等章节中加以规定。

6.战略目标。行政事业单位的职责明确，往往是上级主管部门赋予的，很难改变也无须改变其工作要求。反而对于企业来说，内部控制目标的最低要求仅有法律合规和资产安全，更应当是财报真实、经营有效，这四项内容也是内部控制的总体保证，但却不是绝对保证。促进企业实现发展目标，让内部控制活动成为价值提升的助推器，是实现内部控制终极目标的共同意见。

另外，在执行内部控制时，企业与行政事业单位应当关注三个层次，一是内部控制理论源于内部控制目标这一基石，其后的原则和内部控制要素，及与之相关具体内容皆围绕此目标；二是内部控制仅能做到合理保证，无法做到绝对保证；三是内部控制目标根据实际情况通常可分为三个层次关系：基本目标是合理确保业务和经济活动、资产安全和信息完整的合法性和合规性，中层目标是提高经营效率、防止腐败，最高目标企业主要是促进实现战略目标，行政事务部门的最高目标是注重内部控制，从而促进组织的发展、单位得到较好的经济效果。

7.内部控制原则。相关行政机构和企业组织在实施内部控制时，应遵循以下类似原则，以实现其目标：全面性、制衡性、重要性和适应性原则，另外企业作为经济单元，为统筹考虑投入、产出比，必须反复权衡后对经营成本进行妥善控制，因此，与行政事业机构相比，企业更多的注重一个成本效益原则。

二、内部控制要素和具体内容的不同

企业内部控制的内容（要素）包括企业自身的内部环境、风险评估、控制活动、信息与沟通、内部监督。行政事业单位内部控制内容除了有一个相似的风险评估，另外三个是：单位层面控制活动、业务层面控制活动、评价与监督等内容。两者在其内控的要素内容上差异主要在于：

1.内部环境建设。对于企业控制的内部环境，一般来说主要包括企业设计并遵循的治理结构，企业具体管理机构以及权责分解、分配，内部审计机制妥当性，人力资源开发管理和沉淀的企业文化等。在组织实施行政事业单位内部控制建设时，首先应当需要界定内部控制建设目标和范围，对单位现状进行必要的调研，其次针对性地安排组织与实施。

2.风险评估。企业的风险评估对于企业做好内部控制工作是非常重要的前提条件，基本包括目标设定、风险识别、风险分析和风险应对，做好风险评估应当系统分析企业的经济运营活动，及时识别与内部控制目标相关风险，制定合理的企业应对策略会给企业带来不必要的损失。行政事业单位风险评估也存在目标设定等与企业相似的四个步骤。

3.控制活动。在上述风险评估后，应采取应对控制策略，将风险控制在可接受的范围内，并将使用风险保持在一定低水平。企业控制活动的具体内容包括职责与岗位不相容的分离、内部授权与审批、预算控制、财产保护和会计审核、经营分析、绩效考评、建立重大风险预警机制和突发事件应急处理八个控制具体方式。行政事业单位前五项基本一致，后三项分别是归口管理、单据控制和信息内部公开。

4.企业信息以及交换。信息沟通在企业中主要是指企业管理过程中应当及时、准确、高效地传递企业指令和内部控制信息，并确保这些信息能够在企业内外部及时、有效地互通。相关内容有信息的质量、管理制度、反舞弊机制和信息综合系统。行政事业单位不存在单独的信息沟通控制要求，其对信息传递的已经包含在内部控制活动中，即信息内部公开。

5.评价和内部监督。企业监督评价主要是指对内部控制的建设和实施情况进行综合监督评价，并对企业内部控制的有效性进行相应的评价，以便及时发现企业内部控制是否存在缺陷。如果企业内部控制存在缺陷，应努力改进，努力完善企业内部控制机制，堵塞管理漏洞。

三、宏观单位层面控制的不同

企业内部控制单位层面的控制主要包含组织架构、发展战略、人才资源、企业文化和社会责任的控制，行政事业单位内部控制单位层面控制包含有组织模式、工作机制、对内控关键岗位要求、财务报表编制要求、现代科技在内部控制中运用。二者区别主要在于除了第一项单位组织机构设置以外，后面四项完全不同。同时第一项机构模式涉及具体每个企业和单位组织模式又千差万别，既有相似之处又有各自特色。另外，企业内部控制组织设计和运行，与内部控制的五大要素之首“内部环境”前后呼应、息息相关。

1.内部控制架构和运行机制的不同之处。行政事业单位在组织内控职能部门时，应当指定一个牵头部门协调专项工作，涵盖的内部业务部门应当包含财务、采购、基本建设、合同管理和资产运行等，同时应当体现出内审等监督部门的特殊地位。企业架构的控制远远复杂于行政事业单位的组织控制，却不是一两句可以简而化之的。企业架构的控制与内部控制几大要素密切联系，直接相关。目前，按照公司法成立的企业上层建筑，主要类型有股东（大）会、董事会和经理层、监事层，以及企业内部具体管理和编制设置、职责分配，工作流程等。对于企业而言除了内控的组织设计，更重要的是如何防范企业风险，与内部控制运行和落实管理措施。

2.企业发展战略和人力资源的特殊要求。企业发展战略的制定，主要是指一个经济组织基于现实情况，并对未来综合分析预判，提出适用发展的规划性蓝图。假如战略拟定未经过充分论证，描述不够清晰，最终可能导致规划落实不到位，企业自身发展无序，最后的结果必将是对组织造成伤害，对员工的利益造成损伤。

企业的人力资源适用对象从最高层董事，到最基层的员工，是为了企业生产经营所需要的各级劳动者，不仅是体力工作者，而是所有需要通过心智工作的人员。人力资源管理务必结构适当，合理的培训与开发，为企业的产品提供必要保证。

3.行政事业单位对于关键岗位责任要求。对我国行政事业单位选人用人，必须按照相关的法规、条例，由专业的组织和部门做好人员录用，须将职业道德修养和专业技术能力，作为干部、员工使用的重要依据，对于组织内关键岗位的配备与使用，要求符合与工作相应的资格和能力。一旦录用后，还应当按组织人事的要求，加强职业道德教育和专业技能培训。

4.企业内部控制社会责任与文化的特殊之处。基于企业内部控制而言，他的社会责任可以分解成宏观和微观，宏观又是外向形的，主要是指企业生产经营过程对环境的保护、推动资源节约利用，促进社会就业。微观主要针对内部而言，比如确保安全生产，提高产品质量、劳工福利和权益等。

一般来说，大中型企业和公司经过一段较长时间的科学化经营，逐渐在内部沉淀形成为上下认同的精神力量和价值理念，并以此付诸于生产实践中并可以识别，能从企业产品转化呈现的无形文化。企业文化控制主要关注内部高层对文化的理解和运用，是否起到示范带头作用，是否存在异化理论与固有的文化相冲突。

5.行政事业单位对财务信息、科技手段要求。行政事业单位按照相关规定，在财务人员设置上一般要求具有必要的资格和专业能力，财会部门运行一段时间适应实行轮岗制度，防范财务风险，按规定编制财务报表。应当推动含财务信息在内的办公自动化，经济活动记录信息化、科学化、自动化，有条件的应当将内部控制含流程在内的管理措施嵌入信息软件中，提高智能化、减少人为干预，维护信息安全。

四、具体业务层面控制的不同

企业业务层面的控制包含两大类控制，分别是控制手段类和活动类控制，活动主要指企业进行生产经营的业务类型，控制手段主要指完善内部控制所采取的管理措施和信息手段。目前已知企业有九项内控活动类业务控制，业务层面控制手段类有四项控制。以上十三项业务层面控制都是指向企业日常业务和交易事项的控制。这些控制是内部控制最基础和具体的内容，每项控制高度类同，都是识别主要风险，再谈及相应控制关键点，并辅以控制措施。行政事业单位内部控制相对企业简单不少，业务层面的内部控制集中于六项措施，仅有企业业务层面13项内控控制一半不足，分别集中于两类：一是措施手段类，有预算业务控制、合同管理措施；二是业务活动类，分别是收支业务控制、政府采购控制、资产管理控制、建设项目控制，第二类业务活动可根据单位特点不同，可分为日常业务和非经常性业务，日常业务比如：收支业务和政府采购业务；非经常性业务比如：资产管理和工程建设等。

1.企业业务层面控制活动与行政事业单位内部控制业务活动的区别。企业内部控制业务层面控制活动出自《控制活动类指引》，具体包含资金活动控制、采购控制、销售控制、资产管理控制、研发控制、项目控制、担保业务、业务外包和财务报告控制等九项。行政事业单位业务层面控制活动涉及业务控制主要是收支业务控制、政府采购控制、资产管理控制、建设项目控制。主要相同之处在于都有采购业务、资产管理和建设项目控制。

2.企业业务层面控制活动与行政事业单位内部控制措施手段的区别。企业内部控制手段及措施类主要包含：全面预算控制和合同控制，以及内部信息传递和信息系统控制等四个应用指引。行政事业单位业务层面控制活动涉及手段控制主要是预算业务控制和合同控制，但是均未涉及内部信息传递和信息系统控制。

五、结语及建议

本文通过比较行政事业单位和企业内部控制的目标、要素和监督等异同点，阐释了企业作为盈利性社会组织，日常管理主要侧重于成本效益原则，而行政事业单位因工作的特殊性、公益性，更加强调组织运行效率与公平。同时，本文揭示一般性规律，即并不因为《企业内部控制基本规范》先于《行政事业单位内部控制规范》发布，并因两者执行对象的根本差异，在规定层面上不存在前者制度地位必然高于后者。现实中，各类型企业通常归属各级行政事业单位监管和指导，也不因为如此，导致《行政事业单位内部控制规范》发挥的制度作用，就必须大于《企业内部控制规范》所起的功能。本文的目的旨在强调两种类型单位在执行内部控制时，应当强化组织内部各级干部、员工风险意识和责任意识，加强内部监督，倡导来自组织外部的监督，形成内外监督联动机制，完善内控绩效考核机制，提高经济效益，不断推进内部控制建设。