徐洪波，董世永

(1.南京工业职业技术大学，江苏 南京210023；2.万宝矿产有限公司，北京100000)

一、引言

内部控制是管理理论与实践发展的结果。根据组织性质划分，内部控制可以分为企业内部控制和行政事业单位内部控制。我国企业内部控制发展较快，行政事业单位内部控制发展相对迟缓，理论界对行政事业单位内部控制风险的研究还不是很多。常玉莲、刘会娜等对行政事业单位内部控制存在的问题进行了分析，张倩等对事业单位会计内部控制风险进行了研究。可以看出，现有研究主要关注行政事业单位会计内部控制风险或风险治理等单方面的问题，缺少对行政事业单位内部控制风险的系统性的理论研究。论文将行政事业单位内部控制视为系统工程，基于WSR方法论研究行政事业单位内部控制风险，以期建立初步的系统性理论框架，使行政事业单位内部控制风险防范和应对实现 “懂物理，明事理，通人理” 。

二、WSR方法论与行政事业单位内部控制

WSR方法论由顾基发和朱志昌提出，是 “物理—事理—人理” 方法论的简称。WSR建议，在处理复杂问题时，可以从物、事、人三个维度出发。 “物理” 代表物质运动机理，解决 “是什么” 的问题； “事理” 代表做事的道理，解决 “如何去做” 的问题； “人理” 代表人的道理，解决 “最好怎么做” 的问题。

行政事业单位内部控制针对单位的经济活动，对相关风险进行防控，是 “全员” “全面” “全程” 控制，是一项系统工程，要对内部控制的物、事、人进行系统安排，可以利用WSR展开分析。

三、基于WSR的行政事业单位内部控制风险分析

行政事业单位内部控制可以看作系统工程，文章利用WSR方法论，从物、事和人三个角度对行政事业单位内部控制风险进行分析，阐释行政事业单位内部控制的物理风险、事理风险和人理风险。

(一)基于W层面的行政事业单位内部控制风险分析

“物理” 解决 “是什么” 的问题。行政事业单位内部控制物理风险主要是指行政事业单位内部控制物理资源的缺失导致的相关风险，主要包括政策法规缺失风险、组织架构不完善风险、财务错报舞弊风险和信息系统不完备风险。

第一，行政事业单位内部控制需要遵循相关政策法规，但与企业内部控制的政策法规相比，行政事业单位内部控制的政策法规还不够细致，缺少对具体业务的详细应用指引，另外，行政事业单位种类众多，同样一种业务，如采购业务，医院和学校就有较大差异，缺少针对不同的行业、根据其业务特点制定的具体规范。第二，组织架构如果不完善，没有独立设置内部控制职能部门或者没有确定牵头部门，会出现内控措施无法落实、部门之间相互推诿等情况。同样，如果单位纪检监察部门和内部审计部门缺失或缺乏应有的独立性，也会导致内部控制制度无法得到有效监督而流于形式。第三，行政事业单位如果没有严格按照法律法规建立会计机构和配备人员，存在会计基础工作不到位或未按要求进行账务处理，会引起财务错报、舞弊风险。第四，行政事业单位在信息系统建设时如未考虑内部控制要求，会增加人为操纵风险，影响内部控制信息的准确性。

(二)基于S层面的行政事业单位内部控制风险分析

“事理” 解决 “如何做” 的问题。行政事业单位内部控制事理风险主要是指行政事业单位内控实施过程中可能出现管理漏洞而导致的相关风险。

第一，经济业务决策、执行和监督三项职能如不相互分离，会引发决策权、执行权和监督权的三权合一，导致权力的过分集中，而权力过分集中容易引起个人独断、滥用权力、腐败贪污等现象。第二，缺乏合理的决策机制，在重大经济事项的决策中，易导致唯上决策、经验决策、个人决策等现象出现。这些由于缺乏科学合理的决策机制带来的主观的、盲目的、短视的决策，极大地影响了决策目标的实现，增加了决策失误的风险。第三，内部控制关键岗位责任制不完善，易造成职责混乱，影响单位内部控制的实施效果。在某些行政事业单位中，一些内部控制关键岗位人员不明确自己的职责分工，导致内部控制工作流于形式。第四，单位内部控制制度体系不健全。

(三)基于R层面的行政事业单位内部控制风险分析

“人理” 解决 “最好怎么做” 的问题。行政事业单位内部控制人理风险主要是指内部控制工作过程中由于人的因素而导致的相关风险，主要包括领导风险、员工认识风险、关键岗位人员配备和管理风险、沟通协调风险。

第一，领导风险。领导重视内部控制，在单位积极推进内部控制建设，身先士卒执行内部控制制度，单位员工就会自上而下严格贯彻内部控制。反之，如果领导不重视内部控制建设和执行，单位的内控制度多半会成为一纸空文。第二，员工认识风险。行政事业单位内部控制起步和发展较晚，很多员工对内部控制认识不够，一些员工内部控制主人翁意识不强，只是被动地遵守内部控制的相关规定，不能主动承担相应的责任。第三，关键岗位人员配备和管理风险。内部控制关键岗位人员配备与管理是内部控制制度执行力的保证。关键岗位人员品德不端，业务能力不能够胜任岗位职责要求，未建立科学的关键岗位工作人员的培训、评价和轮岗制度，都将严重影响内部控制的实施效果。第四，沟通协调风险。缺乏充分有效的内外部沟通是很多单位内部控制不成功的原因。内部沟通不顺畅，单位员工无法准确、及时地接收工作信息，不了解自己应承担的责任和应实现的目标。外部沟通不充分，单位对外部有关方面的建议、投诉和其他信息无法进行有效获取、处理和反馈，不仅影响单位的内部控制，也影响到单位的职责实现。

在对行政事业单位内部控制风险分析的基础上，论文根据WSR方法论，构建了行政事业单位内部控制风险WSR模型(图1)。

图1 行政事业单位内部控制风险WSR模型

四、基于WSR的行政事业单位内部控制风险管理对策

(一)基于W层面的行政事业单位内部控制风险管理对策

针对W层面存在的行政事业单位内部控制风险，其风险管理的核心是弥补内部控制物理资源的缺失。

1.健全政策法规体系，使行政事业单位内部控制有章可循

行政事业单位内部控制要有章可循。行政事业单位缺少像企业内部控制一样的应用指引和针对不同行业的具体规范。从国家层面上，应进一步健全行政事业单位内部控制法规体系，出台针对具体业务的应用指引和针对不同行业的细化规范。

2.完善内部控制组织架构

首先，行政事业单位应设置专门的内部控制部门负责组织单位的内部控制，并向单位一把手报告。其次，要建立部门间的联动机制，充分发挥相关部门的作用。最后，内部审计和监察部门应根据需要独立开展日常监督和专项监督，对内部控制的有效性作出整体评价，提出整改计划。

3.加强会计工作管理

第一，要按照《会计法》等法律法规的要求设置会计机构和会计人员。第二，要确保不相容岗位相互分离。第三，要做好会计基础工作，按法定要求编制和提供财务信息。

4.提高信息化管理水平

行政事业单位在信息系统建设时要充分考虑内部控制要求，将内部控制融入信息系统的业务处理流程中，使内部控制与业务处理流程完全契合，保证内部控制信息的准确性。同时，在信息系统日常运行过程中，要针对不同的风险点采取相应的控制措施。

(二)基于S层面的行政事业单位内部控制风险管理对策

针对S层面存在的行政事业单位内部控制风险，其风险管理的关键是单位内部控制机制和制度建设。

1.经济业务的决策、实施和监控相互分离

决策、实施和监控相互分离的主要优点是避免经济业务可能产生的利益关系对决策的影响。单位经济业务的决策、实施和监控相互分离包括两个方面的分离。一是决策、实施和监控的过程分离。决策、实施和监控过程相对独立，互不干扰。二是决策、实施和监控的岗位分离。决策由行政事业单位党政联席会决定，实施由执行部门和人员实施，监控由监察部门及人员开展，岗位相互分离，没有交叉。

2.建立健全决策机制

建立健全合理的决策机制可以保证决策的规范性和科学性。建立健全决策机制有三个关键点:一是制定完备的决策制度。二是对于单位的重大决策应采用集体研究、专家论证和技术咨询相结合的方式。三是建立决策执行结果追踪问效制度，加强对决策效果的绩效考核。

3.完善内部控制关键岗位责任制

单位应当规范设置内部控制关键岗位，以岗位责任书或其他形式明确内部控制关键岗位每个岗位的职责、权限，保证关键岗位的职、责、权、利相统一。在确定岗位职责时，要把工作质量要求尽可能量化，明确主要指标。同时，必须建立与关键岗位责任制相匹配的考核奖惩机制，保证内部控制关键岗位责任制能够落到实处并真正发挥作用。另外，要建立内部控制关键岗位工作人员轮岗制度，在规定周期内实施人员轮岗。

4.健全单位内部控制制度体系

行政事业单位的内部控制制度体系可参照三个层级建立，第一层级是单位内控管理办法，明确内控的目标、原则、分工和工作要求。第二层级是单位内控管理规范，明确内控各专项工作的职责分工、管理程序和执行监督等。第三个层级是单位内控管理手册，明确内控相关的执行标准、检查标准等。

(三)基于R层面的行政事业单位内部控制风险管理对策

针对R层面存在的行政事业单位内部控制风险，其风险管理的重点是以人为本，深化内控理念。

1.加强领导层对内部控制的重视

行政事业单位内部控制的效果取决于单位领导层的重视程度。内部控制需要单位主要负责人亲自抓，单位领导层要有高度的经济责任意识和风险管理意识，在内控制度框架下做好每一项管理工作。领导层既要提高自身对内部控制的认识和重视程度，还要以身作则，带头严格执行单位的内部控制制度。

2.提高全员内部控制意识

内部控制是一种全员控制，不仅是领导层和会计部门的责任。单位所有员工都应提高对内部控制的认识。单位要形成上至领导层，下至全体员工全员参与的内部控制。单位应加大宣传力度，通过专题讲座、座谈会、公众号推送等形式向员工广泛宣传内部控制理念和方法，增强员工的内部控制意识和能力。

3.提升内部控制关键岗位工作人员素质

内部控制实施效果与单位的内部控制关键岗位人员的素质息息相关。提升内部控制关键岗位工作人员素质，第一，要把好人员入口关，在选人用人上，要以人的风险防控意识、职业道德修养、专业胜任能力为基础，坚持德才兼备原则，选拔品行端正、专业素质强的工作人员。第二，单位要重视对内部控制关键岗位工作人员的业务培训，采用定期和不定期相结合的方式，对相关人员进行培训，不断促进人员知识的拓展与更新，以满足内部控制的工作需要。第三，要强化职业道德教育，提高内部控制关键岗位工作人员的思想觉悟，建立起既有职业道德，又有业务水平的内部控制队伍。

4.促进内外部沟通协调

内外部沟通是否顺畅对单位内部控制机制有效运行非常重要。单位要做到相关信息高效传递，还要建立良好的外部沟通渠道，加强与业务有关单位、上下级单位和社会公众等的外部沟通，以实现单位的内部控制和单位职责。

五、结论

行政事业单位内部控制是一项系统工程，涉及多种复杂要素，利用WSR方法对行政事业单位内部控制风险进行分析，可以为行政事业单位加强内部控制提供科学依据。

(1)行政事业单位内部控制风险包括物理、事理和人理，通过对这三个因素构成的WSR模型进行分析得出，在进行行政事业单位内部控制风险管理时，必须兼顾对物理、事理和人理三个风险因素的管理。

(2)提出基于WSR的行政事业单位内部控制风险管理对策，对行政事业单位提升管理水平有重要意义。