唐建綱 陸美芳

【摘 要】 加強行政事業(yè)單位內(nèi)部控制是黨中央全面推進依法治國的重要部署之一。經(jīng)過多年努力，行政事業(yè)單位基本建立了內(nèi)部控制制度規(guī)范，但實施中出現(xiàn)了“制度上墻”現(xiàn)象，單位內(nèi)部控制落地困難與執(zhí)行乏力。究其關(guān)鍵原因是缺乏一套具體、可操作的實施機制。由于對內(nèi)部控制本質(zhì)認識的混亂，導致行政事業(yè)單位人員對內(nèi)部控制執(zhí)行不力。文章在厘清行政事業(yè)單位內(nèi)部控制本質(zhì)的基礎(chǔ)上，指出開展風險導向的內(nèi)部控制前提是構(gòu)建單位風險數(shù)據(jù)庫。要圍繞風險數(shù)據(jù)庫的建立和動態(tài)管理與持續(xù)優(yōu)化，將單位全體人員納入風險管理體系中，使人人懂內(nèi)控、人人用內(nèi)控，讓內(nèi)部控制在單位“落地生根”。同時以N省X體育局為案例驗證了這一實施機制。

【關(guān)鍵詞】 內(nèi)部控制； 實施機制； 風險數(shù)據(jù)庫； 行政事業(yè)單位

【中圖分類號】 F235.1；F239.66? 【文獻標識碼】 A? 【文章編號】 1004-5937（2023）14-0106-07

一、問題的提出

內(nèi)部控制是政府治理的基石。為推動政府職能轉(zhuǎn)變和提高政府管理水平，2012年11月財政部印發(fā)《行政事業(yè)單位內(nèi)部控制規(guī)范（試行）》（以下簡稱《單位內(nèi)控規(guī)范》），部署全面建設(shè)行政事業(yè)單位內(nèi)部控制。那么，經(jīng)過多年實踐，我國行政事業(yè)單位內(nèi)部控制的建設(shè)效果到底如何呢？為掌握全國行政事業(yè)單位內(nèi)部控制建設(shè)與實施情況，財政部開展了行政事業(yè)單位內(nèi)部控制報告編報工作。從內(nèi)部控制報告反饋的數(shù)據(jù)來看，自《單位內(nèi)控規(guī)范》實施以來，全國各級、各部門行政事業(yè)單位呈現(xiàn)出較高的內(nèi)部控制建設(shè)熱情，但大部分處于制度建立層面，進入內(nèi)部控制實施階段的比例僅為31.81%[ 1 ]，并沒有真正落實《單位內(nèi)控規(guī)范》的具體要求。這種重制度建立而輕制度實施的現(xiàn)象被學術(shù)界稱之為“制度上墻”，凸顯現(xiàn)階段行政事業(yè)單位內(nèi)部控制落地困難與執(zhí)行乏力。盡管在有關(guān)部門高位推動下，各單位也投入了相當多的建設(shè)資源，但為什么行政事業(yè)單位內(nèi)部控制仍然不能達到令人滿意的效果呢？

無論企業(yè)內(nèi)部控制還是行政事業(yè)單位內(nèi)部控制，從內(nèi)部控制規(guī)范頒布實施以來就面臨一道難題：如何防止內(nèi)部控制流于形式。學術(shù)界對這一問題進行了大量研究，主要解釋集中在實施機制上。按照新制度經(jīng)濟學理論，“制度是某種能夠自行實行或由某種外在權(quán)威施行的行為規(guī)范”[ 2 ]。換言之，實施機制應該內(nèi)嵌于制度或制度化之中，沒有實施機制的制度最多只是“掛在墻上”的紙質(zhì)復本，不可能真正發(fā)揮其價值作用[ 3-4 ]。在內(nèi)部控制發(fā)展早期，大都隱含內(nèi)部控制實施機制健全的假定，但事實并非如此[ 3 ]。即便是內(nèi)部控制處于全球領(lǐng)先的美國，COSO推出《內(nèi)部控制——整體框架》（ICIF）和《企業(yè)風險管理——整合框架》（RMF）時也并未強調(diào)實施機制，而是隨著公司失敗與舞弊案件頻發(fā)，人們才不得不檢視內(nèi)部控制框架本身的缺陷與實施問題，轉(zhuǎn)向加強實施機制的研究。美國聯(lián)邦政府內(nèi)部控制在借鑒企業(yè)內(nèi)部控制發(fā)展經(jīng)驗的基礎(chǔ)上，更加重視實施機制，其最為顯著的特點是建立以立法為先導的實施機制[ 5 ]。從廣義角度來看，實施機制是為保證內(nèi)部控制規(guī)范得以實施而建立或形成的工作機制，包括正式與非正式實施機制（李連華，2014）。所謂正式實施機制指對執(zhí)行或違反正式內(nèi)控規(guī)范的行為主體各種形式的獎勵或懲罰以保證內(nèi)控規(guī)范得以實施的條件和手段[ 3 ]。劉永澤和張亮[ 6 ]認為，行政事業(yè)單位內(nèi)部控制實施機制由立法機制、內(nèi)部審計機制、信息披露機制與外部審計機制構(gòu)成。這些實施機制主要是利用外在權(quán)威來推動具體執(zhí)行內(nèi)部控制的主體履行內(nèi)控規(guī)范義務。上至財政部印發(fā)的《關(guān)于全面推進行政事業(yè)單位內(nèi)部控制建設(shè)的指導意見》（以下簡稱《內(nèi)控指導意見》）、《關(guān)于開展行政事業(yè)單位內(nèi)部控制基礎(chǔ)性評價工作的通知》、《行政事業(yè)單位內(nèi)部控制報告管理制度（試行）》，審計署頒布的《審計署關(guān)于內(nèi)部審計工作的規(guī)定》，下至地方政府出臺的推進行政事業(yè)單位內(nèi)部控制的地方規(guī)定②，自上而下構(gòu)建的權(quán)威的正式實施機制理應取得較好的實施效果，然而，我國行政事業(yè)單位內(nèi)部控制仍不能達到預期的目標，這又是為什么呢？

事實上，內(nèi)部控制的施行效果不僅有賴于外部權(quán)威的強勢推行，而且更為關(guān)鍵的是讓制度執(zhí)行者能夠“自行實行”。綜觀現(xiàn)有實施機制的研究文獻主要從“外在權(quán)威”視角進行分析，認為只要出臺政策文件，制度執(zhí)行就是自然而然的，不必考慮具體運作機制和操作方法層面[ 7 ]?，F(xiàn)實情況是外在權(quán)威的強勢推行下行政事業(yè)單位人員對《單位內(nèi)控規(guī)范》雖有初步了解，但對具體的控制流程、方法體系仍缺乏認知[ 8 ]，造成行政事業(yè)單位人員不是不愿執(zhí)行內(nèi)控規(guī)范，而是難以執(zhí)行。那么，如何構(gòu)建一套具體、可操作的實施機制，避免“制度上墻”，就是本文的研究目的。

二、行政事業(yè)單位內(nèi)部控制的本質(zhì)在于控制風險

構(gòu)建一套可操作的實施機制其前提是厘清行政事業(yè)單位內(nèi)部控制的本質(zhì)，它既是理論認識的邏輯起點，又是實踐運用的操作基點。長期以來，由于人們對內(nèi)部控制本質(zhì)認識的混亂，如管理工具論（法約爾，1908；孔茨，1961）、方法措施論（AICPA，1936）、管理過程論（GAO，1999）、管理活動論（CoCo，1995）、制度整合論（審計署，2006）等，至今尚未形成統(tǒng)一認識，導致行政事業(yè)單位人員對內(nèi)部控制概念模糊。加之我國行政事業(yè)單位內(nèi)部控制起步較晚，對內(nèi)部控制本質(zhì)的認識要么受西式內(nèi)控理論束縛，要么過度借鑒企業(yè)內(nèi)部控制經(jīng)驗把內(nèi)部控制撥得過高，使得行政事業(yè)單位人員在實踐運用中無所適從。這一點從《單位內(nèi)控規(guī)范》對行政事業(yè)單位內(nèi)部控制目標的設(shè)定可見一斑。其中既要有法律功能（保證經(jīng)濟活動合法合規(guī)）、經(jīng)濟功能（資產(chǎn)安全和有效使用）、報告功能（財務信息真實完整），還要有政治功能（防范舞弊和預防腐?。┡c戰(zhàn)略功能（提高公共服務效率與效果）。功能如此全面的內(nèi)部控制，已經(jīng)超越了會計與審計學科的邊界，擴展至經(jīng)濟學、管理學、政治學、社會學乃至組織行為學等諸多學科，以至于人們對內(nèi)部控制本質(zhì)的認識飄忽不定，使得內(nèi)部控制“靡不有初，鮮克有終”，其實施效果可想而知。那么，從實踐的角度，行政事業(yè)單位內(nèi)部控制的本質(zhì)應該是什么？

本文認為，行政事業(yè)單位內(nèi)部控制的本質(zhì)是一項政府風險控制活動。首先，從國家對行政事業(yè)單位內(nèi)部控制提出的要求來看，財政部《內(nèi)控指導意見》指出，行政事業(yè)單位內(nèi)部控制就是要對單位內(nèi)部管理薄弱環(huán)節(jié)和風險隱患開展有針對性的監(jiān)督與制約。主要任務是通過分析風險隱患、完善風險評估機制、制定風險應對策略，全面梳理業(yè)務流程、明確業(yè)務環(huán)節(jié)，以期達到規(guī)范單位內(nèi)部經(jīng)濟和業(yè)務活動，降低風險事故發(fā)生概率。其次，根據(jù)政府理論新的研究成果，行政事業(yè)單位內(nèi)部控制建設(shè)的目標之一是防止公共權(quán)力的公共屬性異化為個人價值取向的風險[ 9 ]。政府存在的目的與企業(yè)有很大不同。行政事業(yè)單位受社會公眾委托合理配置并使用公共資源，維護和實現(xiàn)社會公眾的整體利益，由于政府職員具有雙重屬性，關(guān)注社會整體利益的同時也追求自身的經(jīng)濟利益，但在多重委托代理關(guān)系下制度的漏洞與監(jiān)督的缺失導致行政事業(yè)單位人員失范風險，這也正是黨中央多次強調(diào)對權(quán)力集中的財政資金分配使用、國有資產(chǎn)監(jiān)管、政府投資、政府采購、公共資源轉(zhuǎn)讓與公共工程建設(shè)等風險頻發(fā)領(lǐng)域加強內(nèi)部控制的初衷。最后，從內(nèi)部控制理論發(fā)展過程來看，由內(nèi)部控制整體框架理論階段發(fā)展到風險管理整合框架階段，說明隨著人們對內(nèi)部控制本質(zhì)認識的深化，風險管理成為內(nèi)部控制的主要任務。盡管內(nèi)部控制不等于風險管理，風險管理也不完全包含內(nèi)部控制，但從風險管理的角度開展內(nèi)部控制卻能很好地達成內(nèi)部控制的目標。政府面臨的風險多樣而復雜，如經(jīng)濟風險、政治風險、社會風險、生態(tài)風險等，如果不從風險角度開展內(nèi)部控制則有可能縮小內(nèi)部控制的范圍。換言之，內(nèi)部控制的實施效果將大打折扣。

概括而言，“管理工具論”“方法措施論”把內(nèi)部控制作為一套方法論，只是看到內(nèi)部控制的表象，并未深入理解內(nèi)部控制的本質(zhì)；“管理過程論”與“管理活動論”雖然指出了內(nèi)部控制的一般管理屬性，但是未抓住內(nèi)部控制區(qū)別于其他管理活動的本質(zhì)，當然也就無法提出具體、可操作化的實施機制；而“制度整合論”僅注重內(nèi)部控制的外在形式，并未指出內(nèi)部控制的本質(zhì)，實踐中“制度上墻”就是制度整合論不足的現(xiàn)實表現(xiàn)。由此本文基于行政事業(yè)單位內(nèi)部控制是一項政府風險管理活動的本質(zhì)理解，從可操作化的角度提出一套內(nèi)部控制實施機制，以滿足行政單位內(nèi)部控制建設(shè)的需要。

三、構(gòu)建基于風險數(shù)據(jù)庫管理的內(nèi)部控制實施機制

開展基于風險數(shù)據(jù)庫管理的內(nèi)部控制，是在全面風險評估的基礎(chǔ)上構(gòu)建單位風險數(shù)據(jù)庫，并以此為工具對單位風險實施動態(tài)管理，從而提高內(nèi)部控制的針對性和有效性。因此，建立風險數(shù)據(jù)庫是內(nèi)部控制實施機制的核心要素。

（一）建立風險數(shù)據(jù)庫的必要性

1.有利于增強單位風險意識

由于行政事業(yè)單位資金來源和管理體制的限制，尚未將風險管理提升至整個單位的治理高度，大部分單位和員工對風險的認識停留在粗淺階段，比如經(jīng)濟業(yè)務不能違法違規(guī)、國有資產(chǎn)不能流失、會計信息要真實完整等。至于如何劃分風險、識別風險、評估風險以及風險發(fā)生對單位造成的影響該如何應對等，仍缺乏操作經(jīng)驗。因此，利用全員參與風險數(shù)據(jù)庫的建立并對風險實施常態(tài)化管理，有利于將單位全體人員納入風險管理體系中，使得人人懂內(nèi)控、人人用內(nèi)控，進而優(yōu)化單位內(nèi)部控制環(huán)境。

2.有利于建立內(nèi)控方法體系

行政事業(yè)單位普遍反映內(nèi)部控制工作難，關(guān)鍵在于缺乏可操作性的方法體系。無論是COSO推出的ICIF，還是財政部發(fā)布的《單位內(nèi)控規(guī)范》以及《內(nèi)控指導意見》，提供的內(nèi)部控制方法、模型都比較原則性，缺乏具體操作，導致行政事業(yè)單位財務人員難以真正掌握，更別說非財務人員對內(nèi)部控制的理解，自然導致內(nèi)部控制工作推進緩慢。而通過風險數(shù)據(jù)庫，將單位可能存在的風險向全體人員揭示、公布，并提供可能發(fā)生風險的應對措施，讓每一層級人員都懂得應該如何履行相應職責，以及如何防范風險。

3.有利于持續(xù)推進內(nèi)控工作

內(nèi)部控制建設(shè)是一項“永遠在路上”的工作，要隨著外部環(huán)境的變化、單位經(jīng)濟活動調(diào)整和管理要求的提高不斷更新和完善。這就意味著，國家有關(guān)法規(guī)、政策不斷出臺，單位面臨的實際情況發(fā)生變化，單位風險也不斷發(fā)展變化，需要單位及時更新風險數(shù)據(jù)庫，對風險實施動態(tài)管理。單位建立風險數(shù)據(jù)庫，以及對風險認識的不斷深化，識別出的風險會越來越多、越來越精準，風險數(shù)據(jù)庫也就不斷更新，從而持續(xù)推進單位內(nèi)部控制建設(shè)工作的深化發(fā)展。

（二）風險數(shù)據(jù)庫建設(shè)的總體思路

面對內(nèi)部控制建設(shè)的內(nèi)外部環(huán)境，如何構(gòu)建科學、高效、可控的風險數(shù)據(jù)庫管理系統(tǒng)是行政事業(yè)單位推進內(nèi)部控制建設(shè)的迫切需要。風險數(shù)據(jù)庫的建立必須遵循一定的原則，比如全面性原則、重要性原則、適應性原則，同時也需要有切實可行的建設(shè)思路。

第一，根據(jù)單位的管理要求和組織架構(gòu)特點，成立內(nèi)部控制工作領(lǐng)導、建設(shè)和實施小組，加強組織保障。由于風險數(shù)據(jù)庫建設(shè)是單位內(nèi)部控制工作的重要內(nèi)容，應內(nèi)含于單位整體內(nèi)部控制之中，那么對風險數(shù)據(jù)庫建設(shè)也應成立相應的工作組，發(fā)揮組織協(xié)調(diào)作用。

第二，按照行政事業(yè)單位的運行特點和各項監(jiān)管要求，充分了解內(nèi)外部環(huán)境，合理設(shè)定目標，確定風險評估范圍，設(shè)定風險承受度，全面系統(tǒng)地搜集相關(guān)信息。

第三，利用外部咨詢機構(gòu)的專業(yè)工作，開發(fā)風險管理工具和風險評估模型，包括風險管理框架、流程圖、工作模板、風險調(diào)查問卷等工具。

第四，基于業(yè)務流程全面梳理單位可能存在的風險隱患。重點對以下方面進行詳細的風險評估：一是單位層面風險，包括控制環(huán)境風險、組織框架風險、制度完備性風險、不相容崗位是否分離等；二是業(yè)務流程風險，包括預算業(yè)務活動風險、收支業(yè)務活動風險、政府采購業(yè)務風險、資產(chǎn)管理業(yè)務風險、建設(shè)項目風險和合同管理風險等。

第五，對識別出的風險進行分析，分類分級納入風險數(shù)據(jù)庫管理。

第六，利用信息化手段落實風險數(shù)據(jù)庫管理制度，以及定期開展風險數(shù)據(jù)庫更新。

需要指出的是，風險數(shù)據(jù)庫是有效開展單位內(nèi)部控制的基礎(chǔ)設(shè)施，但是建立風險數(shù)據(jù)庫不僅僅是列舉風險清單，更為關(guān)鍵的是分析風險根源，提出風險應對措施，最終為各層級、各崗位人員提供一個簡便、易于操作的風險管理工具箱，解決當前內(nèi)部控制工作中有制度卻執(zhí)行乏力的弊端。

（三）基于風險數(shù)據(jù)庫管理的內(nèi)部控制實施機制

建立風險數(shù)據(jù)庫的目的是促進單位對風險甄別、控制的有效性，以實現(xiàn)單位內(nèi)部控制的總目標。但是如何將風險管理融合內(nèi)部控制仍需要一定的實施機制。周衛(wèi)華（2011）認為，內(nèi)部控制實施是將內(nèi)部控制標準和規(guī)范落實到運營管理的過程，既然內(nèi)部控制實施是一個周密的過程，就可以將內(nèi)部控制工作作為一項系統(tǒng)工程。因此，借鑒周衛(wèi)華的內(nèi)部控制實施系統(tǒng)工程觀，本文提出基于風險數(shù)據(jù)庫管理的內(nèi)部控制實施機制三維工程結(jié)構(gòu)，如圖1所示。

知識維：指為完成單位內(nèi)部控制各階段、各步驟工作所需的一系列規(guī)范和各種知識的總稱。內(nèi)控規(guī)范是內(nèi)部控制系統(tǒng)工程的公認知識，至少由以下三個部分組成：（1）內(nèi)部控制程序性規(guī)范體系，是單位開展內(nèi)部控制工作應遵循的程序方面的規(guī)范，是關(guān)于“誰來做”“做什么”“如何做”的制度體系。（2）內(nèi)部控制實體性規(guī)范，是單位應當遵守的現(xiàn)實義務的實質(zhì)性規(guī)定，包括國家各項法律、行政法規(guī)、中央政策和本單位制定的制度規(guī)范。（3）單位內(nèi)部控制制度體系，是單位結(jié)合自身職責和業(yè)務將內(nèi)部控制規(guī)范要求落到實處，形成本單位的內(nèi)部控制制度體系[ 10 ]。除此之外，內(nèi)部控制實施作為一項復雜工程也需要多學科的知識才能準確分析潛在風險因素，提出針對性的應對措施。涉及的知識體系包括內(nèi)部控制學、風險管理學、工程學、組織學、制度經(jīng)濟學等。

信息維：指支撐內(nèi)部控制系統(tǒng)信息與溝通的基礎(chǔ)設(shè)施。制度規(guī)范是內(nèi)部控制的基礎(chǔ)，而有效實施則依賴于內(nèi)部控制信息系統(tǒng)。現(xiàn)代內(nèi)部控制要求充分利用現(xiàn)代科學技術(shù)手段將業(yè)務活動與流程嵌入信息系統(tǒng)，信息系統(tǒng)成為內(nèi)部控制實施機制的重要組成部分。現(xiàn)代經(jīng)濟業(yè)務的蓬勃發(fā)展與政府管理活動日益多元化產(chǎn)生的海量風險數(shù)據(jù)只能利用信息系統(tǒng)才能有效管理。財政部門為了提高管理效率開發(fā)了諸多信息系統(tǒng)，如OA管理系統(tǒng)、支付系統(tǒng)、會計系統(tǒng)、資產(chǎn)管理系統(tǒng)、政府采購系統(tǒng)以及內(nèi)控系統(tǒng)等。因此，在規(guī)劃和建立風險數(shù)據(jù)管理的初期就要充分考慮信息化團隊的引入，包括信息化應用人才的培養(yǎng)。

時間維：指按照事物發(fā)展的邏輯，根據(jù)工程學生命周期將內(nèi)部控制工程劃分不同階段來管理，包括規(guī)劃階段、方案階段、建設(shè)階段、實施階段、評價階段和改進階段等。規(guī)劃階段要立足專業(yè)的評估與調(diào)研，形成基于風險數(shù)據(jù)庫管理的內(nèi)部控制建設(shè)思路；方案階段要在外部專家團隊的協(xié)助下構(gòu)建風險數(shù)據(jù)庫框架以及實施方案，進而在建設(shè)方案指導下依次進入建設(shè)階段、實施階段、評價階段與改進階段。各階段要緊密配合才能形成一個完整的全生命周期工作。

四、X體育局基于風險數(shù)據(jù)庫管理的內(nèi)部控制案例分析

X體育局是N省人民政府直屬36個政府部門機構(gòu)之一，組織規(guī)模龐大、業(yè)務復雜多樣。由于該部門各單位情況不一，多數(shù)單位內(nèi)部控制建設(shè)仍處于“制度上墻”階段，為此，X體育局亟須構(gòu)建一套有效的內(nèi)部控制體系。

（一）實施新機制③前案例單位內(nèi)部控制現(xiàn)狀

X體育局在財政部門部署下自2014年開展內(nèi)部控制建設(shè)。盡管單位按照規(guī)范要求以內(nèi)控目標為導向修補了原內(nèi)部管理制度，在一定程度上看似開展了內(nèi)部控制，但是業(yè)務開展中的風險仍未得到有效控制。

1.單位風險管理意識比較薄弱

主要體現(xiàn)在：一是領(lǐng)導層對風險認識程度不高。沒有設(shè)置獨立的會計機構(gòu)和內(nèi)部審計機構(gòu)，反映管理層的風險意識較差。二是缺乏風險評估機制。尚未建立風險評估機制和定期開展風險評估，表明風險意識比較薄弱。三是職責分工不合理。例如體育經(jīng)濟處承擔了多個不相容的職責，包括預算管理、基本建設(shè)、國資管理、投資管理、財務會計、內(nèi)部審計、采購及合同管理等多項不相容的職責，風險內(nèi)部化嚴重。

2.內(nèi)部控制整體規(guī)劃不完善

雖然單位無意識的風險控制活動一直存在，但是工作零星化、割裂化，各部門自成體系，沒有形成整個單位層面的標準統(tǒng)一、相互協(xié)同、全流程、全覆蓋、全員參與的風險管理體系。通過對體育局的訪談了解到，當前經(jīng)濟活動監(jiān)督由在機關(guān)黨委掛牌設(shè)置的機關(guān)紀委承擔，日常監(jiān)督工作采取召集各處室負責人成立臨時巡查小組方式進行。單位風險管理工作由個別部門或臨時機構(gòu)承擔，大部分員工置于事外，導致整體風險管理難以提高。

3.內(nèi)部控制信息系統(tǒng)建設(shè)滯后

聘請的內(nèi)部控制專家團隊認為，目前體育局缺乏內(nèi)部控制信息系統(tǒng)。雖然該單位在實施內(nèi)部控制過程中利用財政部門開發(fā)的國庫支付系統(tǒng)、政府采購系統(tǒng)、國有資產(chǎn)管理系統(tǒng)等具有較高的信息化程度，但是其他經(jīng)濟業(yè)務領(lǐng)域的信息化幾乎是空白，不能適應全面風險管理的要求。

4.具體經(jīng)濟業(yè)務活動面臨多重風險

例如：部門預算由各處室處長一手包辦，存在較大的風險隱患；未獨立設(shè)置收入業(yè)務崗位，收款與會計核算不相容崗位沒有分離，存在錯誤和舞弊風險；政府采購實施和審核均由體育經(jīng)濟處一個部門負責，該部門又同時負責資金支付工作，容易發(fā)生風險；資產(chǎn)管理上未對擁有的大量基礎(chǔ)設(shè)施（體育場館、訓練基地、全民健身場所等）實施有效管理。

從上述分析來看，雖然該單位開展內(nèi)部控制建設(shè)多年，也建立了一批規(guī)范，但是制度落不了地，仍然存在較多風險隱患。為此，體育局決定聘請外部專家團隊，在專家團隊幫助下以風險數(shù)據(jù)庫建設(shè)為切口實施風險導向的內(nèi)部控制。

（二）案例單位基于風險數(shù)據(jù)庫內(nèi)部控制的建設(shè)過程

專家團隊深刻分析內(nèi)外部環(huán)境和以往建設(shè)經(jīng)驗，決定按照三維工程結(jié)構(gòu)的主要思路為體育局進行新一輪的內(nèi)部控制體系建設(shè)。

1.引入外部團隊，提高規(guī)劃水平

由于X體育局內(nèi)部控制與風險管理專業(yè)人才匱乏，決定聘請外部專家協(xié)助做好內(nèi)部控制實施規(guī)劃和建設(shè)方案。專家通過實地考察指出，制度規(guī)范是內(nèi)部控制的基礎(chǔ)，而有效實施才是內(nèi)部控制的靈魂，X體育局之所以內(nèi)部控制實施效果不理想是執(zhí)行不力造成的。基于先進理論與單位實際，專家提出進行新一輪內(nèi)部控制建設(shè)的建議，即以管控風險為根本、風險數(shù)據(jù)庫為工具、流程控制為基礎(chǔ)、信息技術(shù)為支撐以及人才培養(yǎng)為后盾的整體建設(shè)規(guī)劃。在領(lǐng)導大力支持與推動下，于2018年10月體育局啟動了新一輪內(nèi)部控制建設(shè)。

2.健全規(guī)范體系，提供執(zhí)行標準

按照知識維要求，制度規(guī)范是建立風險數(shù)據(jù)庫的依據(jù)，該規(guī)范體系至少包括程序性規(guī)范、實體性規(guī)范和單位內(nèi)部控制制度體系三個層次。建設(shè)項目組按此框架補充了單位內(nèi)部控制的程序性規(guī)范和實體性規(guī)范，并參照《內(nèi)控指導意見》完善了資金分配使用、國有資產(chǎn)監(jiān)管、政府投資、政府采購、公共資源轉(zhuǎn)讓、公共工程建設(shè)六大業(yè)務領(lǐng)域的內(nèi)部控制制度體系，設(shè)計了風險控制流程圖和風險控制矩陣，為開展風險評估和建立風險數(shù)據(jù)庫提供了標準。本輪內(nèi)部控制建設(shè)的一大特點是強化了程序性規(guī)范和實體性規(guī)范的建設(shè)，明確內(nèi)部控制“誰來做”“做什么”“如何做”等關(guān)鍵問題，打破了內(nèi)部控制無人問津的不利局面。

3.開展風險評估，建立風險數(shù)據(jù)庫

構(gòu)建風險數(shù)據(jù)庫是實施風險導向內(nèi)部控制的核心環(huán)節(jié)，關(guān)系到本輪內(nèi)部控制建設(shè)的成效。在專家團隊指導下，按照風險數(shù)據(jù)庫的建設(shè)步驟，從組織保障、領(lǐng)導機制、工作機制、協(xié)調(diào)機制、專業(yè)支撐、資金保障等方面給予了有力支持，經(jīng)過近一年時間，于2019年8月初步構(gòu)建了單位風險數(shù)據(jù)庫。

其一，單位層面風險數(shù)據(jù)庫的建設(shè)。項目組利用實地觀察、穿行測試、與主要領(lǐng)導和關(guān)鍵崗位人員訪談，梳理現(xiàn)有整體層面制度，查閱近3年審計報告、巡視檢查報告、內(nèi)部控制自評報告等相關(guān)資料，經(jīng)過風險評估，發(fā)現(xiàn)單位層面的風險源主要包括：（1）“分事行權(quán)”設(shè)計不夠合理，對涉及權(quán)力、財產(chǎn)、資源集中的重點領(lǐng)域缺乏制衡機制；（2）沒有“分崗設(shè)權(quán)”，權(quán)責不夠明晰；（3）“分級授權(quán)”過于集中，合理性有待提高；（4）缺乏風險評估機制，部門之間溝通協(xié)調(diào)機制不夠順暢；（5）內(nèi)部管理制度缺乏系統(tǒng)性、結(jié)構(gòu)性，內(nèi)容比較零散，缺失較多；（6）未明確關(guān)鍵崗位的職責，關(guān)鍵崗位人員缺乏管理；（7）會計工作沒有得到足夠重視，人員業(yè)務素質(zhì)有待提高；（8）未建設(shè)內(nèi)部控制信息系統(tǒng)；（9）內(nèi)部控制監(jiān)督機制薄弱。專家運用定性分析方法建立了組織架構(gòu)風險、工作機制風險、內(nèi)部控制制度風險、關(guān)鍵崗位風險、關(guān)鍵人員風險、會計系統(tǒng)風險、信息系統(tǒng)風險、內(nèi)部控制監(jiān)督與評價風險8個一級風險數(shù)據(jù)庫以及33項二級風險數(shù)據(jù)庫。

其二，業(yè)務層面風險數(shù)據(jù)庫的建設(shè)。開展風險數(shù)據(jù)庫建設(shè)之前，體育局一方面未對經(jīng)濟活動流程做系統(tǒng)梳理和對風險開展評估，風險在哪里？有哪些？缺乏風險辨析，無法合理保證有限的資源投入到重要的業(yè)務領(lǐng)域和關(guān)鍵的管控環(huán)節(jié)，容易導致管理的盲目性，影響風險控制的效率與效果，另一方面未明確各業(yè)務環(huán)節(jié)的控制目標、控制要求與控制方法等。簡言之，內(nèi)部控制缺乏對風險管控的針對性、全面性與可操作性。因此，本輪建立風險數(shù)據(jù)庫管理模式就是全面梳理各業(yè)務環(huán)節(jié)的風險點以及提供可操作的應對措施，把管理制度要求落實到各關(guān)鍵崗位的日常工作中。體育局按照《內(nèi)控規(guī)范》對經(jīng)濟業(yè)務活動的劃分標準，關(guān)注重點風險領(lǐng)域，構(gòu)建了預算業(yè)務、收入管理、支出管理、政府采購、資產(chǎn)管理、建設(shè)項目、合同管理7大類別風險數(shù)據(jù)庫，并細分出二級風險45項，三級風險145項，從而形成較為完整的業(yè)務層面風險數(shù)據(jù)庫。限于篇幅，案例單位風險數(shù)據(jù)庫不再贅述。

4.利用信息技術(shù)，將風險管理落到實處

雖然單位將制定的風險防控手冊分發(fā)到每一位員工，但由于風險防控體系的龐大與復雜，并不是所有員工都能有效掌握和應用。專家團隊指出，如果不能將風險數(shù)據(jù)庫內(nèi)置于信息系統(tǒng)，對穩(wěn)定的、有規(guī)律的風險事件和控制措施通過信息系統(tǒng)程序化和模塊化，提高操作便捷性，那么面對海量的風險信息，大多數(shù)人難免會掉入數(shù)據(jù)的迷霧中。體育局的風險管理信息系統(tǒng)建設(shè)分三個部分：第一部分為各具體業(yè)務風險控制平臺，包含業(yè)務流程、風險提示、控制標準、應對措施和風險反饋；第二部分為報告和決策支持平臺，主要是收集各業(yè)務流程的風險信息形成單位整體風險報告，為單位管理層決策服務；第三部分為數(shù)據(jù)底層平臺，為各系統(tǒng)之間數(shù)據(jù)相互銜接提供支撐。

5.評估優(yōu)化，持續(xù)改進風險防控

內(nèi)部控制是一個循環(huán)往復不斷改進的過程。根據(jù)風險數(shù)據(jù)管理的內(nèi)部控制實施機制建設(shè)要求，體育局將內(nèi)部控制評價工作轉(zhuǎn)化為對風險數(shù)據(jù)庫管理有效性的評價，避免了對制度有效性的評價，更具有實踐意義和可操作性。一是針對風險數(shù)據(jù)庫的完整性，檢查是否存在重大風險因子沒有納入風險數(shù)據(jù)庫；二是評價風險應對措施的有效性，利用信息系統(tǒng)的留痕數(shù)據(jù)檢查各崗位是否按照規(guī)定執(zhí)行風險防控程序，避免事后調(diào)查的滯后性以及現(xiàn)場評價的短暫性不能捕捉到風險常態(tài)；三是報告反饋與跟蹤，對認定的內(nèi)部控制缺陷由內(nèi)部審計部門和監(jiān)察部門持續(xù)跟蹤整改落實情況，并向領(lǐng)導班子反饋，造成損失和負面影響的，要追究相關(guān)人員責任。

（三）案例單位基于新機制的內(nèi)部控制實施效果

X體育局通過構(gòu)建風險數(shù)據(jù)庫，開展基于風險數(shù)據(jù)庫管理的內(nèi)部控制，有效解決了內(nèi)部控制執(zhí)行效率的問題。主要成果表現(xiàn)為：一是優(yōu)化控制環(huán)境、提升風險意識。在風險數(shù)據(jù)庫的建設(shè)過程中，體育局編制印發(fā)了《風險數(shù)據(jù)庫管理指南》和《風險管理考核辦法》，增強各級人員的風險意識，既提高了全員參與度，又優(yōu)化了控制環(huán)境。二是強化控制手段、夯實管理基礎(chǔ)。在本輪內(nèi)部控制建設(shè)中，體育局建立了一套較為完整的、細化的風險數(shù)據(jù)體系，為開展以風險為導向的內(nèi)部控制提供了工具，有效解決了以制度完善制度的內(nèi)部控制“死循環(huán)”，將制度約束轉(zhuǎn)化成更為具體的風險應對措施。三是實現(xiàn)重點管控、優(yōu)化業(yè)務流程。對風險進行分類和分級管理，將本單位有限的人力、物力與財力用于當前急需解決的重要問題和關(guān)鍵事項上。四是內(nèi)控信息化轉(zhuǎn)型、提高控制效率。利用建設(shè)風險數(shù)據(jù)庫的機遇，積極向財政部門申報內(nèi)控改革試點，以獲得信息化建設(shè)資金支持，加快了信息化轉(zhuǎn)型?？傊?，X體育局將內(nèi)部控制建設(shè)從完善制度層面有效地推進到風險防控的具體操作層面，風險數(shù)據(jù)庫建設(shè)與運用發(fā)揮了關(guān)鍵的橋梁作用。

五、結(jié)論與經(jīng)驗

加強行政事業(yè)單位內(nèi)部控制是黨中央全面推進依法治國的重要部署之一，要求所有行政事業(yè)單位必須于2016年底完成內(nèi)部控制的建立與實施工作。經(jīng)過多年努力，全國各級行政事業(yè)單位基本建立了本單位的內(nèi)部控制制度規(guī)范，但實施效果與內(nèi)控預期目標仍有差距，即出現(xiàn)了“制度上墻”現(xiàn)象。本文認為，行政事業(yè)單位人員不是不愿執(zhí)行內(nèi)控規(guī)范，而是難以執(zhí)行，其關(guān)鍵原因是缺乏一套具體、可操作化的實施機制。本文基于行政事業(yè)單位內(nèi)部控制是一項政府風險控制活動的本質(zhì)認識，提出利用風險數(shù)據(jù)庫管理開展內(nèi)部控制的實施機制，即通過風險數(shù)據(jù)庫的建立和動態(tài)更新與持續(xù)優(yōu)化，將單位全體人員納入風險管理體系中，使得人人懂內(nèi)控、人人用內(nèi)控，從而實現(xiàn)內(nèi)部控制在單位“落地生根”。

本文通過N省X體育局的實踐案例分析，發(fā)現(xiàn)該案例單位的成功做法能為其他單位實施基于風險數(shù)據(jù)庫管理的內(nèi)部控制提供借鑒經(jīng)驗。

第一，以風險管控為主線，將內(nèi)部控制任務轉(zhuǎn)化為風險管理工作。行政事業(yè)單位大多數(shù)人員對內(nèi)部控制還比較陌生，內(nèi)部控制工作任務通常由財政部門派發(fā)到單位財務部門。因此，一般人員認為內(nèi)部控制是財務部門的職責，其他部門參與度不高，從而影響了內(nèi)部控制執(zhí)行的效果。風險與每個部門、每個人都息息相關(guān)，大家對風險的認識和理解要比內(nèi)部控制深刻，通過風險管理可以將全員思想認識統(tǒng)一起來，從而提高對內(nèi)部控制必要性的認識，有利于推動全員積極參與內(nèi)部控制工作。

第二，將風險數(shù)據(jù)庫建設(shè)納入“一把手”工程。成功單位的經(jīng)驗表明，是否把內(nèi)部控制作為“一把手”工程將直接影響內(nèi)部控制建設(shè)的成敗，沒有領(lǐng)導支持的內(nèi)部控制往往因缺乏權(quán)威保障而流于形式。風險數(shù)據(jù)庫建設(shè)是內(nèi)部控制的重要組成部分，進行全面風險評估與應對需要全員的參與，只有“一把手”帶頭，才能將領(lǐng)導層的意識和行為向下逐級滲透，成為整個單位的行為模式。

第三，推動業(yè)財融合是成功實施風險數(shù)據(jù)庫管理的關(guān)鍵因素。風險隱藏于業(yè)務之中，要增強風險應對的相關(guān)性與有效性，離不開業(yè)財?shù)挠袡C融合。案例單位風險數(shù)據(jù)庫的建立就是在專家團隊帶領(lǐng)下深入各部門、所屬單位、各崗位進行實地調(diào)查，分析各項業(yè)務活動的具體操作，從業(yè)務流程內(nèi)部尋找和發(fā)現(xiàn)風險點，避免風險管理人員“說外行話、做外行事”，提高風險應對相關(guān)性和有效性。

第四，依托專業(yè)咨詢和專家團隊的有力支持。內(nèi)部控制和風險管理是一項專業(yè)性很強的工作，既需要財務人員也需要懂風險管理的專業(yè)人才和信息化人才，但目前大多數(shù)行政事業(yè)單位并不具備全面的專業(yè)人才，因此，在風險數(shù)據(jù)庫建設(shè)初期特別需要專家團隊的支持。一方面專家團隊具有完備的內(nèi)部控制和風險管理專業(yè)理論知識，熟悉內(nèi)部控制的前沿與發(fā)展；另一方面專家團隊長年服務于各類型單位內(nèi)部控制和風險管理實踐，具有豐富的實際操作經(jīng)驗，能夠提供其他單位的成功和成熟案例，有利于本單位學習和借鑒。

第五，內(nèi)部控制和風險管理工作應當抓住重點。為了避免內(nèi)部控制流于形式，案例單位立足實際，在現(xiàn)階段主要突出對資金資產(chǎn)的風險管控。一方面，資金安全是行政事業(yè)單位內(nèi)部控制應當堅守的底線[ 11 ]；另一方面，體育彩票公益金是體育部門的重要預算收入，2021年財政部發(fā)布修訂后的《彩票公益金管理辦法》（財綜〔2021〕18號），目的就是加強彩票公益金管理，提高資金使用效益。因此，為杜絕因公益金監(jiān)管不力而造成損失[ 12 ]，按照“牽牛要牽牛鼻子”的原則，案例單位緊緊抓住本單位資金領(lǐng)域關(guān)鍵控制節(jié)點建立風險矩陣，提高內(nèi)部控制建設(shè)的針對性和有效性。

第六，重視成果的落實執(zhí)行，促進風險管理持續(xù)完善。風險數(shù)據(jù)庫的建立并不是一勞永逸的，環(huán)境不斷變化風險也不斷變化，因此風險數(shù)據(jù)庫建設(shè)是一個持續(xù)優(yōu)化、不斷更新的過程。同時，風險數(shù)據(jù)庫的建立不能停留在建成一套方法工具的層面上，而要將風險數(shù)據(jù)庫融入業(yè)務之中，強化貫徹執(zhí)行。只有執(zhí)行了，才能檢驗工具、模型的適用性，也才能為下一步工作規(guī)劃提供參考。案例單位與外部專家建立了多年的服務協(xié)議，目的就是在外部專家的支持下持續(xù)完善風險數(shù)據(jù)庫的管理和應用。

第七，加強信息化應用，促進風險管理的落地生根。信息系統(tǒng)為內(nèi)控工作帶來了極大便利，實現(xiàn)了精細化管理并提升了工作效率。借鑒其他單位建設(shè)經(jīng)驗，案例單位大力開發(fā)信息化應用，以提高內(nèi)部控制系統(tǒng)與風險數(shù)據(jù)庫、會計核算、部門預算、決算、政府采購、資產(chǎn)管理、績效管理等系統(tǒng)的互聯(lián)互通，實現(xiàn)信息相互比對和高效利用，這是提升風險管理效能的重要方面。

【參考文獻】

［1］ 中華人民共和國財政部.2017年全國行政事業(yè)單位內(nèi)部控制建設(shè)分析報告［R/OL］. http：//kjs.mof.gov.cn/ diaochayanjiu / 201905 / t20190523_3264307.htm，2019-

05-23.

［2］ 樊綱.漸進改革的政治經(jīng)濟學分析［M］．上海：上海遠東出版社，1996：23.

［3］ 繆艷娟.企業(yè)內(nèi)控規(guī)范實施機制的新制度經(jīng)濟學分析［J］.會計研究，2010（11）：33-39.

［4］ 陳志斌，何忠蓮.內(nèi)部控制執(zhí)行機制分析框架構(gòu)建［J］.會計研究，2007（10）：46-52.

［5］ 況玉書.政府內(nèi)部控制理論框架構(gòu)建及應用對策研究［M］.北京：經(jīng)濟科學出版社，2018：45.

［6］ 劉永澤，張亮.我國政府部門內(nèi)部控制框架體系的構(gòu)建研究［J］.會計研究，2012（1）：10-19.

［7］ 李心合.被神化的內(nèi)部控制與被冷落的內(nèi)部牽制［J］.審計與經(jīng)濟研究，2013（3）：3-9.

［8］ 孫楠.《行政事業(yè)單位內(nèi)部控制規(guī)范》實施情況調(diào)查［J］.財務與會計，2016（15）：16-18.

［9］ 葉邦銀，凌華.問責制嵌入行政事業(yè)單位內(nèi)部控制的多維路徑研究［J］.中國行政管理，2021（7）：64-69.

［10］ 朱效平.法治視角下行政事業(yè)單位內(nèi)部控制研究［M］.濟南：山東大學出版社，2019：34-44.

［11］ 唐衍軍，宋書儀.底線思維視角下公立醫(yī)院內(nèi)部控制建設(shè)探析［J］.會計之友，2020（8）：128-130.

［12］ 陸瑩，黃睿.福利彩票機構(gòu)內(nèi)部控制評價體系研究：以A市福利中心為例［J］會計之友，2021（9）：108-115.