●滕双杰 易国承 唐大鹏

事业单位内部控制体系建设浅析
——基于工信部电子五所案例

●滕双杰 易国承 唐大鹏

为了推动和指导行政事业单位内部控制建设，2012年以来，财政部先后印发了《行政事业单位内部控制规范（试行）》、《关于全面推进行政事业单位内部控制建设的指导意见》等多个文件。在财政部系列内部控制建设政策文件的要求下，各部门、各单位都将内部控制建设、评价和报告工作提上了重要议程，形成了全国行政事业单位内部控制建设如火如荼的工作格局。本文立足于工业和信息化部电子第五研究所（以下简称“五所”）内部控制建设的实践，全面回顾了五所内控建设历程，系统总结了内控建设工作经验及不足，并适时提出了对相关问题的思考及探讨，以期对其他单位推进内控建设提供思路和借鉴。

事业单位内部控制体系建设

一、内部控制体系建设实施过程与做法

为深入贯彻落实党的十八届四中全会精神，更好落实全面从严治党主体责任和中央巡视整改要求，财政部先后制定发布了五个制度文件，即：《行政事业单位内部控制规范(试行)》（财会〔2012〕21号）、《财政部关于全面推进行政事业单位内部控制建设的指导意见》（财会〔2015〕24号）、《关于开展行政事业单位内部控制基础性评价工作的通知》（财会〔2016〕11号）、关于印发《行政事业单位内部控制报告管理制度（试行）》的通知（财会〔2017〕1号）和《关于开展2016年度行政事业单位内部控制报告编报工作的通知》（财会函〔2017〕3号），进一步明确了各单位内部控制建设、评价和报告的重点内容。五所作为工信部事业单位类内控建设试点单位，从前期的响应号召、勇于探索到后期的调整方向、与时俱进，都秉持着稳扎稳打、务求实效的做事风格，全力保障了内控建设的有序开展及平稳落地。

（一）响应号召，勇于探索

五所内部控制建设最早开始于2011年，启动早且行动快。五所自2011年8月成立内部控制体系建设领导小组和工作小组以来，经历了从准备、实施、试运行、后续改进和外部评价等一系列建设历程。2011年11月至2012年7月，五所完成了相关制度梳理，编制并形成了《内部控制管理手册》和《内部控制评价手册》，落实了部分可行的整改措施，结合五所办公信息化管理平台建设的契机，将重要业务流程、关键控制点和处理规则嵌入到信息系统程序中。至2012年底，五所完成了对各部门内控建设试运行情况的初步评价，并尝试将其纳入部门和主要负责人年终考核。2015年12月，五所委托专业的会计师事务所对单位内部控制的有效性进行评价，经过再次修正完善，构建形成“五所COSO版内部控制体系”。

（二）调整方向，与时俱进

2016年初，五所被确立为工信部事业单位内控建设的试点单位，开启了五所内控流程改版更新的新阶段。五所COSO版内部控制体系一方面为“2016年事业版内控建设”提供了许多经验做法，但同时，基于国外建设实践的COSO版内控体系存着诸多需要调整和修正的地方。从指导思想上看，前次内部控制体系是按照《企业内部控制基本规范》和COSO框架设计和建设，而本次则需要以《行政事业单位内部控制规范(试行)》为基本指引和操作指南。从推进思路上看，五所所要建设的是在内部控制规范的基础上，按照《财政部关于全面推进行政事业单位内部控制建设的指导意见》的相关要求，突破常规建设的六大基础业务，全面梳理、深度整合，并借方向调整之机，总结和梳理形成适合单位实际的内控体系，确保务实管用、科学有效。从具体实施上看，此次五所内控体系实施过程中注重自我评价、强化监督检查，针对存在的问题，紧抓整改落实，进一步健全制度，完善监督措施，确保内控建设有效实施。

（三）稳扎稳打，逐步推进

内控建设是一项系统工程，难度大、环节多，在推进内控体系的过程中，五所始终坚持稳扎稳打的办事风格，从思想认识、组织领导、业务梳理和风险防范等方面，注重顶层设计、注重过程控制、注重工作成效，分步骤、分阶段逐项落实、逐步推进内控建设试点工作的开展。在风险防范体系建设实施过程中，利用风险管控理论和质量管理方法，通过进度节点控制，落实相关人员责任，分步骤、分阶段来实施，逐步达成节点目标，然后再对现阶段工作结果进行内部控制自我评价，以评促建。始终做到紧紧围绕“一个中心，四个到位”来开展工作，即：始终坚持科学发展观的理念，紧紧围绕五所的工作来展开防范体系的建设工作，做到统一思想，认识到位；领导重视，责任到位；结合业务，管控到位；风险防范，整改到位。

（四）求真务实，成效显著

五所在风险防控体系建设中总结起来就是“三个五”，即内控建设过程主要分为“五步骤”，内控成果主要形成“五输出”，内控流程重点落实“五要素”。“五步骤”主要是指分为以下五步：第一步，单位内控建设情况自评；第二步，内控建设相关文件材料收集、整理和归类；第三步，单位内控制度流程风险分析；第四步，对本单位现有IT系统调研；第五步，是对IT系统的内控风险分析。“五输出”则是指在内控建设过程中输出形成的5个重要指引文件，即在第一步工作结束时形成的基础评估问卷及指标；以及在第一步的基础上经过第二、三步后形成基础评估及改进建议报告；还有在第四、五步IT系统调研以及风险分析工作结束后输出的信息系统分析及改进建议报告；最后是内控制度流程手册和内控管理手册的形成输出。其中，内控管理手册是在内控制度流程手册的基础上，将“五要素”（内控体系及运作机制、关键控制点、职责分离矩阵、岗位权签事项、流程岗位匹配）融入其中所形成的，具体流程步骤见图1。

二、内部控制体系建设经验与成果

在内控建设的过程中，五所主要经历了前期的自我探索及后来作为事业单位内控建设试点单位的更新改版工作，一路走来，既有付出的艰辛，又有收获的喜悦。主要的经验与成果有：

（一）主要经验

1、组织领导有力是实现单位内部控制科学建设的重要前提。五所领导高度重视内控建设工作，从五所被确立为事业单位类试点单位以来，第一时间成立了内部控制体系建设领导小组和工作小组，建立了内部控制体系建设项目实施方案并上报工信部财务司。五所主要领导担任内控领导小组成员，全过程参与，既体现了五所对于内控建设工作的高度重视，又强化了本单位内控建设的决心和信心，为五所内控体系建设工作的顺利开展、有效落实提供了有力保障。

2、全员深度参与是确保内部控制建设有效实施的关键力量。首先，在内部控制体系建设领导小组和工作小组成立之初，五所就召开了内控体系建设动员会积极宣传教育，营造出了全员参与和全力支持的内控建设氛围。其次，在内控建设过程中，形成了“一把手”负责、职能部门及重点业务部门共同参与的工作机制，造就了分工明确、责任清晰、齐心协力推动内部控制建设的工作格局。最后，在形成《内部管理控制手册》前，加强对管控流程执行的有效性进行测试，并按照主责岗位人员签字确认，从而确保了全员参与及流程运行顺畅。

3、有效把握契机是从企业内控到事业单位内控转型的关键因素。五所“2011年COSO版内控建设”的内部控制体系是按照《企业内部控制基本规范》和COSO五要素的思路去建设的，由于五所是事业单位，存在一定的不适应。为了积极响应财政部的号召，工信部财务司于2016年3月31日下发《关于做好内部控制建设有关工作的通知》，将全面推进内控建设列为年度财务工作的重点，五所被选为事业单位类型试点单位，借此契机，在上级部门的领导及指导下，五所将整个内部控制体系建设按照《行政事业单位内部控制规范》的要求进行更新改进，完成了企业内控到事业单位内控的转型。

4、业务整合优化是全面推进内部控制体系建设的重中之重。在业务流程梳理、整合方面，五所建立了“6+X”内控架构体系。首先，坚持以问题为导向，着重识别了在传统“六大”业务（预算、收支、政府采购、合同管理、资产管理、工程建设项目）领域的各项风险，突出强调并解决了现阶段本单位内部控制建设存在的重大和重要缺陷，明确了关键控制节点并集中力量进行重点风险应对。

5、适时理论总结是单位内部控制建设运行取得实效的有力支撑。内部控制建设只有起点没有终点，要保持内部控制建设“永远在路上”，就必须从坚持学习内控建设理论知识，同时不断总结实践工作做法，实现理论与实践的相结合。在这个学习、摸索的过程中，五所将其经验做法总结为“六字法”，而这六个字也反映了五所内控建设的重点。“学”——主要是开展《内部控制管理手册》学习，尤其是组织各部门深入学习涉及本部门的内部控制的内容；“改”——在开展业务工作的过程中进一步查找出现有流程与内控手册不一致的地方，认真整改；“做”——按照内控手册规定的流程严格实施内部控制；“留”——在管控过程中，留下内部控制实施的证据；“记”——对内部控制过程中存在的问题、需要改进的地方记录整理后，提交给内控工作小组；“查”——不定期和定期监督检查内部控制实施情况，保证实施的效率、效果。

（二）主要成果

特色业务设计是单位内控专业属性的集中体现。重点业务管理是单位内控流程再造的关键方面。五所内控建设中将内控约束范围进一步拓展至全业务过程，增加了科研管理、基本建设项目管理、国有资本经营管理、质量管理、安全管理、保密管理、治安保卫管理、行政管理、党政管理（“三重一大”）、人力资源管理、战略规划管理11个业务流程。最终，以传统“六大”业务（预算、收支、政府采购、合同管理、资产管理、评价与监督）流程为基石，并镶嵌结合11个本单位特色业务流程，确立了17个业务模块的内控流程。实现的主要突破：

1、全流程跟踪，强化经济合同管理。着重梳理了从合同提交、合同评审、合同签署、合同履行及变更到合同归档这六个主要流程。在流程梳理中，明确了合同审批阶段进行归口审核及专业技术审核以及在合同履行阶段对合同履行、变更、解除、补充等情况进行监督审查这两大关键环节，识别的风险点有：一是合同审批中未能从专业技术角度加强合同订立及归口管理；二是在合同履行过程中未对合同履行情况进行有效监控，或未对合同补充、变更、解除进行监督审查。针对第一个风险点，五所制定的主要防范措施包括：对合同文本进行严格审核，并由合同归口管理部门进行统一分类和连续编号。对影响重大或法律关系复杂的合同文本，组织业务部门、法律部门、财会部门等相关部门进行联合审核；针对第二个风险点的主要防范措施有：对合同履行情况进行有效监控，明确合同执行相关负责人，及时对合同履行情况进行检查、分析和验收，如发现无法按时履约的情况，应及时采取应对措施，以及对于需要补充、变更或解除合同的情况，应按照国家有关规定进行严格的监督审查。

2、重风险要点，夯实国有资本管理。首先，对于对外投资申请、实施、评价、退出以及监管的整个流程进行了集中梳理整合；其次，着重强调了对外投资申请、实施和退出三个流程中的关键环节：在对外投资申请流程中，着重把控编制部门预算建议数环节，重点识别和防范因前期调研不充分或资料收集不齐全，可行性报告编制不符合实际导致投资失败的风险，防范措施主要包括单位领导组织专家对投资项目可行性研究报告进行评审等；在对外投资实施流程中，重点识别和防范未按照投资协议实施股权投资、资产未过户以及权益证明保管不善等风险，关注的重点包括资产是否已经办理过户手续、权益证明是否取得等事项；在对外投资退出时，风险管控的关键环节落在了对于预算执行的审批，重点识别和防范的风险点包括：投资处置方案不够科学合理导致投资处置不合理或不合时宜等。其风险防范措施强调了单位领导对于投资处置报告的审核作用，审核中重点关注投资处置报告的内容是否符合投资实际。

3、控关键环节，规范建设项目管理。从项目立项、工程设计及施工变更、概预算到项目招标投标、工程施工以及到最后的竣工验收，五所明确了三大关键控制节点。一是在工程设计和概预算阶段，强调了编制工程概预算环节的风险，风险点主要在于：在施工图设计阶段未能确保概预算编制依据、项目内容、工程计量等方面的真实、完整和准确，其风险应对措施主要是：⑴建立建设项目概预算环节的控制制度，对概预算编制、审核等作出明确规定；⑵组织工程、技术、财会等部门专业人员对编制的概预算进行审核。二是在工程施工阶段，重点关注工程内容变更审批环节，着重防范未严格履行建设项目内容变更审批程序带来的风险，针对该风险点应按照批复的初步设计方案组织实施建设项目，确需进行工程洽商和设计变更的，建设项目归口管理部门、项目监理机构应当进行严格审核，并且按照有关规定及制度要求履行相应的审批程序。重大项目变更还应参照项目决策和概预算控制的有关程序和要求重新履行审批手续。三是在工程竣工、验收和决算阶段，控制的关键环节在于编制竣工决算和进行资产交付，风险点在于未能及时编制竣工决算和交付使用资产，针对该风险点应在建设项目竣工后及时编制项目竣工财务决算，并在项目竣工验收合格后及时办理资产交付使用手续。

三、内部控制体系建设主要问题和困惑

从目前来看，内控建设过程中也存在内控动力不足、运行协同性有待完善和系统落地保障有待强化等问题。

（一）持续推进的动力问题

在单位内控建设的过程中，与单位现有的管理思路、管理方式、历史沿革等都或多或少存在冲突。例如，人员编制不足，就很难在实现不相容岗位分离情况下，真正落实每个岗位职责，从而影响内控建设的实效性。所以，如何达成一种平衡状态，是内控建设能继续往下走的动力。

（二）协调机制的完善问题

在单位内控建设的过程中，在思想认识、组织实施及业务体系上还存在一些不协调、不同步的问题。联席工作机制有待完善，部门之间的联动机制有待加强。虽然已经具备了内控建设的基础条件，如管理制度、业务流程、行为规范、信息系统，但接下来更重要的是用内控建设的理念将这些现有资源串联起来，形成协调、联动的运行机制。

（三）系统运行的落地问题

信息化平台建设方面，还存在着业务覆盖范围不全、各业务模块之间的系统衔接程度不高的问题。尤其要进一步加强在各个业务系统相互衔接、数据互联互通方面的信息系统建设，同时做到契合本单位内部运行机理有效嵌入内控原理及方法，确保内控信息系统科学、安全、高效地运行。

四、内部控制体系建设未来展望和规划

从内控建设历程回顾，再到内控建设经验总结，笔者从事业单位内部控制建设的导向性、参与性、协同性、持续性、系统性等方面提出了几点见解。

（一）内部控制建设的导向性

事业单位内部控制建设和实施到底是沿袭了什么经验？内部控制方向明确是建设前提，目标也是内控建设的起点。首先，从企业内控和行政事业单位内控的关系上来看，两者是相辅相成、相互影响、共同促进的。需要明确的是，要以《行政事业单位内部控制规范》的要求为指导以此进行事业单位内控建设。其次，在内控建设过程中，与单位现有管理思路、管理方法、历史沿革等都或多或少存在冲突，如何达成一种平衡状态，是内控建设能继续走下去的动力。再次，内控的主要目标就是管理风险，而不单单是防范风险，是让风险在一定的“规划路径”中行走，通过将管理流程、岗位职责、授权审批等事项的公开透明化，使权力在阳光下运行。

（二）内部控制建设的参与性

事业单位内部控制建设和实施到底是谁的职责？内部控制建设是“一把手”工程，几乎涉及单位的各个层面以及业务的各个流程。首先，在领导层面，单位负责人要对内控建设负总体责任。其次，在部门层面，推动内控建设不能单纯依靠一个部门或者几个部门，更不能停留在“是财务部门的责任”这样的认识上，应该从业务部门到职能部门都要协调配合，各司其职。最后，要在整个单位层面宣传内控建设的重要性，保证全员参与。另外，要加强自身建设，包括在组织协调机制、人力资源配备、专业知识学习运用等方面做好充足准备。

（三）内部控制建设的协同性

事业单位内部控制建设和实施的内部职能部门该如何协同？内控建设是一个对协同性要求很强的工作，除了必要时依靠外部力量（专业咨询公司等）给予专业规划外，更重要的是完善单位内部联席工作机制。这就需要基建、资产、科技、规划、市场、财务、纪检、审计、信息等部门的联动支撑，按照“管理制度化、制度流程化、流程岗位化、岗位标准化、标准表单化、表单程序化、程序信息化、信息系统化”等八个转化的具体要求，形成上下联动、内外同心的良好格局。

（四）内部控制建设的持续性

事业单位内部控制建设是否一劳永逸？首先，需要明确的是内控建设是一项系统工程，应结合内外环境变化，持续改进。单纯地依靠外部力量（如专业咨询公司等）是难以持续开展的，更重要的是结合自身业务发展的需求以及持续内部改进的动因（如廉政风险管理、提升内部效能管理水平等），同时将内控建设纳入绩效考核，真正做到持续改进。其次，要发挥基础性评价和后续运行评价的“以评促建”的功能，确保内控工作“永远在路上”，持续优化和动态更新，从源头和过程进行制度、措施和程序的内部建设。

（五）内部控制建设的系统性

单位内部控制相关技术手段在内控建设中扮演什么角色？信息技术手段是确保内部控制建设落地的重要保障。首先，内部控制信息化平台的建设应达到业务覆盖全面、各业务模块系统串联的要求。预算管理、收支报销、资产管理等各个信息系统既独立运行又相互衔接，达到数据互联互通实现共享。其次，建立适用于IT系统的风险管控流程也是对于实现系统性衔接的另一个角度的考虑。信息技术是支撑，内控风险管控原理是基础，只有信息系统建设与内控风险管控流程设计相互衔接，才能确保事业单位内控建设平稳落地。■

（本文感谢2016年度国家自然科学基金青年基金项目“差异模式下社保基金市场化投资研究：风险测度方法与风险控制机制”〈项目批准号：71602022〉、2015年教育部人文社会科学研究青年基金项目“社保基金财务偿付能力指标体系构建与应用”〈项目批准号：15YJC790095〉、2015年中国博士后科学基金项目“社保基金财务偿付能力评价体系与财政风险控制”〈项目批准号：2015M581037〉的资助）

（作者单位：工业和信息化部财务司、工业和信息化部电子第五研究所、东北财经大学会计学院中国内部控制研究中心）

[1]滕双杰，唐大鹏.全面推进行业系统内部控制建设——基于国家部委案例经验[J].财政监督，2017，(03).

[2]刘永泽，唐大鹏.关于行政事业单位的几个问题[J].会计研究，2013，（01）.

[3]唐大鹏，王艺博，王璐璐.强化内控评价工作推进内控体系建设——基于行政事业单位内部控制基础性评价工作经验[J].财政监督，2016，（23）.

[4]田祥宇，王鹏，唐大鹏.我国行政事业单位内部控制制度特征研究[J].会计研究，2013，（09）.

[5]刘永泽，张亮.我国政府部门内部控制框架体系的构建研究[J].会计研究，2012，（01）.

[6]王鹏.全面准确理解好执行好行政事业单位内部控制规范[J].财务与会计，2013，（12）.

[7]唐大鹏，李怡，王璐璐，周智朗.公共经济视角下的政府职能转型与内部控制体系构建[J].宏观经济研究，2015，（12）.

[8]唐大鹏，李坤灿.新常态下推进公共部门内部控制的重要意义[J].财政监督，2015，（22）.

（本栏目责任编辑：尹情）

本栏目由浙江中烟工业有限责任公司协办