卓林全（高级会计师）（福建省残疾人体育运动管理中心 福建福州 350002）

内部控制建设是推进国家治理体系和治理能力现代化的重大战略部署，也是提升行政事业单位治理能力和防范腐败风险的有效手段。从近年来纪检监察机关查处的腐败案件分析，主要是由于缺乏有效的内部控制，权力过于集中且制约和监督不力等原因造成的。据2017年F省行政事业单位内部控制（汇总）报告显示，全省行政事业单位内部控制建设总体滞后，内部控制水平和单位治理能力薄弱，这与财政部提出“到2020年基本建成与国家治理体系和治理能力现代化相适应的，权责一致、制衡有效、运行顺畅、执行有力、管理科学的内部控制体系”的目标差距甚远。目前，国内诸多学者对行政事业单位内部控制现状及对策开展研究，黄莉、高敏（2015）比照企业内部控制规范研究分析了行政事业单位内部控制实施难点及解决措施；朱芳莉、谢丽娟（2016）基于问卷调查采用实证研究方法从单位管理方面分析行政事业单位内部控制实施情况；穆建敏、纪子永（2019）基于内部控制报告研究基层行政事业单位内部会计控制建设现状及对策，但很少有文献针对行政事业单位内部控制实务领域存在的问题提出可操作性的对策建议。基于此，本文通过2016—2017年F省行政事业单位内部控制（汇总）报告深入探析内部控制现状，并针对实务问题提出对策建议。

一、F省行政事业单位内部控制建设现状

笔者收集整理了2016年、2017年F省行政事业单位内部控制（汇总）报告，通过对报告数据和省直部门内部控制案例材料的分析，深入探讨F省行政事业单位内部控制建设现状及存在的问题，发现内部控制建设取得了一定成效，但总体情况不容乐观。

（一）内部控制建设总体滞后

内部控制建设具有阶段性和长期性，可以分为内部控制建立、内部控制实施和内部控制信息化三个阶段。至2017年末，F省共13 257家行政事业单位编报内部控制报告，其中：8 045家已建立内部控制体系，占60.68%（以编制报告单位数为总体，下同），但完成业务流程图编制、信息系统建设的单位不足一半，大多数单位仍处于流程梳理和风险评估等内部控制建立阶段，近40%的单位未能按照财政部《关于全面推进行政事业单位内部控制建设的指导意见》要求在2016年底前完成内部控制建设任务（见图1，图中数据为2017年）。

图1 2016—2017年F省行政事业单位内部控制建设情况

（二）内部控制体系健全性不足

一是完成编制流程图的单位数比例偏低，风险评估普遍流于形式。风险评估是内部控制体系设计和建立的前提，是直接影响控制方法、措施和程序是否有效的关键环节。至2017年末，5 890家单位完成编制流程图，仅占44.43%，完成建设项目和合同管理两项业务领域流程图编制的比例更低，极少数单位完成编制六项基本经济业务之外其他管理业务的流程图。二是多数单位已建成的内部控制体系并未涵盖所有业务领域（丁妥、张艳辉、姚增辉，2018），特别是法定监管职能和公共服务等权力集中的非经济活动（如医院诊疗业务、高校教学和招生业务、科研活动、行政执法和行政审批等）风险未纳入单位内部控制对象，导致这些领域腐败案件频发。三是内部控制体系呈碎片化，缺乏系统性，存在重大缺陷或弱点，甚至与业务活动流程脱离，控制要求分散于各项业务管理制度当中，未形成统一的内部控制制度体系，对单位权力运行和活动风险的管控缺少针对性。

（三）内部控制体系有效性缺乏

一是已建立的单位内部控制体系严重“虚化”。内部控制是帮助管理层发现和预防问题而进行的检查和制衡，制度的生命力在于执行，有的单位已建立内部控制体系却未运行，有的单位聘请第三方机构制定一套看似完备的内部控制手册，但缺乏针对性和可操作性，有的单位已建立的内部控制体系缺乏制衡性，未能真正起到制约权力和防控风险的作用，舞弊和腐败案例依旧高发。二是已建立的单位内部控制体系未能适应本单位权力运行和业务活动的特点，不能满足对公权力起到有效的约束和制衡的需要。三是普遍未定期开展评价和监督，或者为应付财政部门要求仅开展形式上的评价，未能适应内部控制基础和外部环境变化动态优化，导致单位内部控制体系散失一个系统应具有的自控功能，严重脱离单位治理的实际情况。

二、F省行政事业单位内部控制存在的问题分析

（一）内部控制文化缺失

1.单位领导层缺乏履行诚信、道德和价值观的承诺，未形成高层重视内部控制的基调。由于行政事业单位党政主要领导对内部控制职责分工不清，且各单位普遍未建立与内部控制相关的激励和问责机制，致使单位领导层推进内部控制建设的主动性不够，甚至持排斥态度。

2.行政事业单位不以营利为目的，领导层和全员对内部控制不够重视，导致内生动力天然不足，且未将内部控制责任层层分解落实到全员，以致全员风险控制意愿不强。

3.内部控制的培训和宣传不到位，财政部门安排的培训主要以财务人员为主要对象，党政领导和非财务部门员工极少参加，容易形成对内部控制的认识偏差，导致普遍风险意识淡薄。

4.内部控制是全员、全面和全过程控制，由于《行政事业单位内部控制规范（试行）》规定的控制对象仅限单位经济业务活动，也未明确全员对内部控制应负的责任，未能形成全员参与，各部门相互协作、相互制约的内部控制氛围。

（二）内部控制组织体系不强

1.内部控制组织设置不合理，单位内部控制建设和实施能力较弱。行政事业单位的内部控制实施与内控实施专设机构显著相关（朱芳莉、谢丽娟，2016），但大多数行政事业单位并未专设内部控制机构，且设置的牵头部门也不尽合理。一是内部控制牵头部门设置不合理，仅41.48%的单位内部控制牵头部门为财务部门，且部分单位未独立设置财务部门，内部控制工作人员也多为兼职（见图2）。二是内部控制监督部门错配，导致对内部控制的监控缺位或无效，仅9.07%的单位内部控制监督部门为内部审计部门（见图3）。内部控制是一项专业性极强的系统性管理工作，内部控制建设牵头和监督部门需要有较高的独立性和专业性，需要具有很强的组织协调和执行能力，并具备财会专业背景的综合管理部门。而当前行政事业单位内部控制体系构建缺乏高素质强有力的推动团队，部分单位虽然委托第三方开展内部控制体系建设，但所建立的内部控制体系都缺乏适应性。

图2 F省行政事业单位内部控制牵头部门情况

图3 F省行政事业单位内部控制监督部门情况

2.内部控制队伍结构不合理，专业人才匮乏。内部控制体系建设是单位治理体系中的一项重要系统工程，内部控制人员既要具备会计学、管理学、社会学、系统论、控制论、信息学等多门学科知识，还应具有丰富的管理经验，熟悉党和国家的政策法律法规和本单位内部管理及业务流程。目前，行政事业单位内部控制队伍结构不合理，特别是缺少高端会计人才作为内部控制队伍的“领头羊”。单位财会部门为内部控制的牵头部门和主力军，但人员文化素质参差不齐，专业背景繁杂，缺乏内部控制知识和经验，没有合理的内部控制人才梯队。笔者收集到F省97份各级各类行政事业单位问卷调查表进行分析，发现单位拥有高级会计师均值为0.81，最大值10，最小值0（见表1）。另外，96.59%的单位采取自建内部控制体系方式，加剧了内部控制人才需求的矛盾。

表1 F省行政事业单位财会队伍结构问卷调查情况统计表

（三）内部控制机制不完善

1.岗位制衡机制缺失。截至2017年末，仅不足70%的单位设置了关键岗位轮岗、专项审计两项制衡机制（见图4，图中数据为2017年），说明大多数单位领导层只重视控权，而不重视控岗。受行政事业单位机构和编制刚性约束，大部分行政事业单位组织架构不健全，且存在一人多岗，甚至不相容岗位混岗的情况。此外，因人员素质良莠不齐，又难以选配内部控制关键岗位急需人才，导致人员胜任能力不足，难以建立有效的岗位制衡机制。

2.权力制衡机制不健全，内部权力制约存在真空地带。因单位治理结构缺陷及公权力的属性，行政事业单位对权力制约天然不足，虽然95%以上的单位建立了分事行权、分岗设权、分级授权机制，但大多数单位分权机制仅限于财务领域，且未能覆盖所有权力运行和业务活动领域，特别是未完全覆盖行政审批、资源使用等权力集中、资金密集、资源富集的领域，增加廉政风险隐患。

3.集体决策机制执行不到位。部分单位未按照“制度科学、程序正当、过程公开、责任明确”的要求建立健全议事决策制度，“三重一大”事项虽能实行集体决策，但未正确履行法定决策程序，较少运用风险评估、合法性审查、专家论证和技术咨询等决策方法，集体决策一定程度上流于形式，且决策过程记录也不完整、不规范，容易引发权力滥用和寻租风险。

4.内部监督机制无力。行政事业单位内部专职监督机构主要包括内设纪检监察或内部审计机构，机构层级偏低，有的单位并未独立设置内部审计部门，内部监督机构缺乏独立性，导致单位决策、执行和监督制约失衡，且受人员限制，未能建立有力的内部监督机制。

图4 2016—2017年F省行政事业单位建立制衡机制情况

（四）内部控制制度不健全，缺乏系统性和科学性

1.业务流程梳理范围不全面，专属业务关注度不够。经济业务活动流程的标准化、规范化驱动整个行政事业单位从基础管理层面走向流程管理（张庆龙、马雯，2015），是单位内部控制设计、建立和运行的落脚点。2017年末有95%以上的单位完成预算、收支、政府采购、资产管理等四项业务管理领域流程梳理，且较上年有所增加，而完成建设项目、合同管理两项业务领域流程梳理的单位比例不高，说明领导层不重视非常规性业务和管理活动的风险防范；极少数单位开展六项基本经济业务之外的其他业务流程梳理，对如高校的招生、教学、科研等各单位专属业务领域的流程梳理和风险管控关注不够（见图5，图中数据为2017年），内部控制体系缺乏全面性和重要性。

图5 2016—2017年F省行政事业单位开展各项业务流程梳理情况

2.编制业务流程图的比例偏低，风险评估流于形式。2017年末不足60%的单位编制了各项业务流程图，特别是建设项目和合同管理两项业务领域比例更低，极少数单位编制了其他业务管理流程图。同时，2017年数据较上年有所下降，主要原因是2017年末内部控制报告软件要求上传流程图附件，一些单位挤压了上报数据的水分（见下页图6，图中数据为2017年）。因单位性质、规模、隶属、行业和管理模式不同，业务活动领域差异也较大，内部控制管控的风险重点当然也不同。如医院的诊疗业务管理、高校的教学管理和招生管理、科研机构的科研管理、体育部门的大型体育赛事管理、公安机关执法管理等业务活动都存在较大风险，甚至是权力寻租和腐败高发区，理应纳入各单位内部控制重点关注对象。此外，行政事业单位有经验的内部控制人才奇缺，导致单位的风险识别能力普遍较低，从而未能针对内部控制基础和业务特点全面系统编制业务流程图，实质性地开展风险评估，并定性和定量分析单位治理层级和活动层级各环节的风险，以形成风险清单，并根据风险容限选择风险适当的应对策略、方法和控制措施，编制风险矩阵和控制矩阵，容易导致风险评估流于形式。

图6 2016—2017年F省行政事业单位编制业务流程图情况

3.内部管理制度缺乏“控制机理”和系统性。内部控制是一项系统化、结构化、稳定化、长期化的管理制度，是流程汇总的有结构的制度体系（张庆龙，2017）。2017年末85%以上的单位制定了预算、收支、政府采购、资产管理等内部管理制度，但制定建设项目和合同管理制度的单位比例较低，极少数单位制定其他业务领域管理制度（见图7，图中数据为2017年）。各单位对经济业务活动风险点的控制都以碎片化、分散化、孤立化形式分散于各职能部门的规章制度中，未能按照系统原理和控制机制，以整合方式将内部控制理念真正嵌入到各项业务管理制度当中，有机融合控制要素与流程，设计适应单位外部环境和内部控制基础统一完整的内部控制制度体系，以真正落实内部控制目的（王光远、刘霞，2012），导致各项业务管理制度缺乏系统性，存在控制缺陷，有些单位照搬上级单位或政府管理部门规章制度，制度本地化程度低，控制机制与流程相互脱离。同时，还存在一定的重内部控制制度建设、轻内部控制执行的倾向。

图7 2016—2017年F省行政事业单位制定各业务管理制度情况

（五）内部控制信息化覆盖面低，已有管理信息系统分散

1.单位内部控制信息化覆盖面低、规模较小、功能单一。截至2017年末，信息化利用单位4 071家，占总数的30.71%（见表2），已完成单位的内部控制信息化程度较低，实现涵盖所有权力运行和活动领域，具备全过程、全方位动态管控、过程留痕、实时反馈、风险预警、效果评估功能于一体的内部控制信息化平台目标为时尚早。

2.各单位业务活动大多实行分块管理，导致业务管理数据分割，形成控制信息孤岛，影响行政事业单位内部控制体系整体有效性。多数单位的财会、资产、采购、人事部门，以及科研、教学等业务部门均有各自的应用管理系统，软件核心功能主要针对自身业务的具体需求来设计、开发和升级，并未真正将各项管控功能集成于单位内部控制这一个信息平台之中。

表2 F省2016—2017年行政事业单位内部控制信息化完成情况

三、行政事业单位内部控制建设的对策建议

（一）培育风险导向的内部控制文化

文化是内部控制基础的重要部分，直接影响人的价值取向和行为方式，应通过营造“全员都是风险责任人”的内部控制文化，上下合力，共同推进内部控制建设（吴莉华，2019）。一是单位治理层和管理层应对诚信、道德和价值观作出承诺，树立重视内部控制的基调，通过行动及信息沟通，以上率下，将单位内部控制建设职责列入岗位说明书，纳入效能考核和绩效考评的范围，分解落实全员的内部控制建设责任。二是将巡视、纪检、审计、财政监督反馈本部门、本单位的内部控制缺陷问题，以及内部控制相关业务知识，纳入党政领导班子中心组学习讨论的范围，不断增强党政领导班子特别是主要领导的风险意识和控制意愿，提升推进内部控制建设和实施的组织领导能力。三是通过门户网站、微信公众号、QQ群及其他融媒体，以及业务交流等对全员开展内部控制知识宣传，提升全员的风险意识和风险防范责任感，形成良好的以风险为导向的单位内部控制文化，增强单位推动内部控制建立和实施的动因。

（二）优化内部控制组织体系

按精简、制衡和高效原则优化内部控制组织体系。一是提升党政领导班子对内部控制建设的领导能力。内部控制是“一把手”工程，除单位主要负责人担任内部控制领导小组组长外，应当确定一名具有财会专业背景的领导班子成员担任副组长，具体组织领导内部控制工作，三级以上医院、高校、政府部门行政领导班子应当依法设置总会计师，具体领导内部控制工作，总会计师由具有战略规划、财会、金融、法律等相关专业知识和管理能力的省级以上高端会计人才担任。二是调整充实内部控制（牵头）机构。配置包含财务、审计和业务管理等内部控制实施机构人员，内部控制（牵头）机构负责人应当具备战略思维、较强组织协调能力、较高的政策法律法规水平、财会专业背景和丰富的管理经验，规模较大或财政资金量大的单位应具备会计、审计专业高级以上职称。三是配备具有胜任能力的内部控制关键岗位人员，可通过服务采购方式聘请中介机构的专业人员弥补编制不足的限制。四是强化内部控制监督力量。成立审计委员会直接领导内部审计机构开展内部控制监督、评价工作，党组织主要负责人担任主任（“一把手”双肩挑情况下由党组织的副职或分管纪检监察领导担任）。成立内部审计机构（或在相关部门设定内部审计岗位）具体负责内部控制监督和评价工作，确保内部审计部门或岗位独立于本部门、本单位财务部门或岗位，加强与派驻纪检监察机构的沟通和协调。也可按照部门系统集中设置内部审计机构或借助于注册会计师等外部力量。五是加强内部控制关键岗位人员培训，通过继续教育、专题辅导及传帮带等方式，提升业务水平和管理技能，形成科学合理的内部控制人才梯队。

（三）健全内部控制机制

内部控制机制是内部控制体系的灵魂，将制衡的理念贯穿于内部控制各方面、全过程。一是优化组织架构，建立岗位制衡机制。以机构改革为契机，按照单位战略规划和风险容量，围绕公共管理和公共服务目标，在机构设置和编制允许范围内，按照精简、高效、制衡原则设置业务管理、综合管理、内部监督等部门和岗位，理顺部门之间关系，明确各部门和岗位的职责权限，科学制定岗位责任制，编制清晰的岗位说明书，确保权责匹配。同时，合理选配具备任职资格和胜任能力的人员，形成不相容岗位有效分离的制衡机制。二是建立与组织架构相适应的权力制衡机制。权力来源于岗位，因此，控制岗位比控制权力更为有效。建立分事行权、分岗设权、分级授权、关键岗位轮岗、专项审计等权力制衡机制，并覆盖单位所有权力运行和业务活动，尤其是对领导班子及领导干部特别是主要领导干部的权力运行的有效制约和监督，确保权力的正确行使（于兴章，2007）。利用关键岗位轮岗和专项审计方法互为补充，强化对内部控制关键岗位履职责任和廉洁情况的专项监督。三是从单位治理顶层设计整体统筹建立决策、执行、监督制衡机制，完善内部监督机制，明确各相关部门岗位的职责权限，设计和执行监督程序，建立内外监督协调机制，形成监督合力。

（四）重构内部控制制度体系

内部控制制度是单位内部建立的使各项管理活动和业务活动相互制约、相互联系的方法、措施和程序集成的有机体系，重构单位内部控制体系可从三个方面考虑：

1.从本部门系统整体高度去设计和建立内部控制制度体系，防范整个部门系统性的经济业务风险和职能风险（吴海军，2018）。

2.内部控制制度体系至少应包括以下四个层次（见下页图8）：（1）单位内部制度立、改、废规则，用以规范单位内部制度的制定、修改、废止的主体、范围、条件、权限和程序，建议以规则或规定层次发文。（2）单位内部控制基本规范，以明确单位内部控制的目标、原则、组织机构、要素框架、制度体系和主体责任，建议以规则或规定层次发文。（3）内部控制专项业务管理制度，包括组织机构和岗位设置、岗位说明书规范、绩效考核和激励制度、问责和责任追究制度、议事决策制度、权力运行和业务活动管理制度、财务会计制度、内部审计制度、其他内部监督制度、风险评估制度、内部控制评价和报告制度等，建议以办法层次发文。（4）权力运行和业务活动规程，具体以文字说明加流程图方式表述，建议以细则层次发文。内部控制制度制定发布具体按照党政机关公文处理相关规定办理。

3.建立内部控制制度体系动态优化的机制。内部控制通过不断的监督和自我评价持续优化（王光远、刘霞，2012），如单位内部控制基础或外部环境发生重大变化，则需重新设计和完善制度体系，以保持其有效性。

（五）整合推进内部控制信息化

图8 行政事业单位内部控制制度体系

信息化应用是内部控制实质性建立和运行的重要标志，要将内控理念、控制活动、控制手段等要素通过信息化的手段固化到信息系统，实现内部控制体系的系统化与常态化（刘永泽、张亮，2012）。一是按部门系统统一规划、统一设计，分单位实施。行政事业单位均在主管部门统一领导下运行，下属单位相当一部分的预算审批和重大事项决策权在主管部门，而所属各单位性质或业务较相近，统一部署内部控制信息平台建设，既能节约建设和运行成本，又兼顾内部控制信息平台的整体性和数据共享性，也便于统一开展内部控制审计和日常运行监管。二是通过信息技术的集成来优化内控体系的结构（张仁军，2016），将试运行优化后的单位内部控制体系构架融入到信息化应用平台研发中，通过内部控制目标、方法、标准、措施和程序嵌入到业财融合的内部控制信息平台，固化权力运行和业务活动流程，实现内部控制的预警和控制自动化功能。三是建立部门系统或单位内部控制系统集成平台，实现数据共享。建立风险导向权力运行管控为主线、统一集成的内部控制信息平台，优化数据库类型与结构，协调解决内部控制平台与已有各类信息系统数据接口问题，通过整合各分散管理信息系统，实现内部控制信息与业务管理信息同时收集、传递、处理和存储，达到一次数据录入，多维信息处理和输出，并通过信息实时反馈来发挥纠偏作用，提高数据处理效率和使用效益。四是充分利用“大数据”和移动互联网终端等信息技术手段（手机APP），建立动态优化内部控制信息平台和预警系统，简化终端业务办理流程，提高内部控制信息收集、处理和利用的效果及效率，提升内部管理时效性。

四、结束语

随着国家治理体系和治理能力现代化的不断推进，加强行政事业单位内部控制有利于提升单位治理能力和风险防控水平，提高公共服务的效果和效率。因此，行政事业单位应当通过培育风险导向的内部控制文化，优化内部控制组织体系，强化内部控制制衡机制，重构内部控制制度体系，整合推进内部控制信息化，从而构建“体系健全、制衡有效、运行顺畅”的内部控制体系。