行政事業單位內部控制建設標準模板研究

（云南大學財務處云南昆明650091）

一、引言

《行政事業單位內部控制規范（試行）》發布后，各省、市單位按照要求積極開展行政事業單位內部控制的建設，進行了廣泛的宣傳、動員和培訓。目前，行政事業單位內部控制建設的方式主要有兩種：一是將本單位的內部控制交由專業的咨詢公司或會計師事務所進行建設；二是由單位自行建設，單位內部成立內部控制建設領導小組，單位領導擔任組長，相關職能部門負責人組成領導小組成員，按歸口管理的要求進行建設。到目前為止，仍有相當一部分行政事業單位的內部控制尚未建立健全，或者建設進展緩慢，單位仍未按要求形成一套科學、并且行之有效的內部控制體系，各項業務流程仍未得到有效梳理、重塑，單位風險意識薄弱，未能識別出單位可能面臨的風險并采取有效的防范措施。

究其原因主要有以下幾個方面：一是行政事業單位建立健全內部控制的動力不足，積極性、主動性不夠，風險意識薄弱；二是單位內控人才、流程專家缺乏，沒有能力推進和完成內部控制體系建設；三是沒有統一的內控標準模板提供給單位作為參考，單位不知道如何建、建到什么程度才能滿足內部控制的要求。此外，盡管不同的行政事業單位運營情況不盡相同，在建立內部控制體系的細節上會有所差異，但是，行政事業單位在主體性質、部門設置、內控目標、風險類別等方面較為相近。例如，在建設項目管理、合同管理、采購管理等內部控制方面，無論是機關、學校、科研機構還是醫院所面臨的風險幾乎是一致的。因此，統一行政事業單位內部控制建設的標準模板，有助于避免單位內部之間各自為政、各行其是，而是按歸口管理的要求，由各歸口管理部門按統一的標準模板來建設各自的內部控制文檔，這是把內部控制嵌入單位信息系統中的前提，同時，對于行政事業單位的內部控制建設來說具有重要的參考、借鑒作用。統一內部控制建設標準模板就如同財務報告披露標準模板一樣，它不但能提供規范、標準的建設內容，而且還可降低內控建設難度，加快內控建設的速度，便于將來按統一的標準對單位內部控制進行評價。

需要說明的是，內部控制建設標準模板這一理念，主要圍繞《行政事業單位內部控制規范（試行）》和《財政部關于開展行政事業單位內部控制基礎性評價工作的通知》的要求，按四個層次來建設內部控制標準模板：即內部控制基本規范——單位層面、內部控制應用指引、內部控制手冊和其他內部控制配套制度。

二、借鑒COSO框架模式，構建單位層面內部控制標準模板

單位層面的內部控制是整個內部控制的 “基本準則”與“概念框架”，起著統領駕馭的作用。單位層面內部控制建設標準模板應當借鑒COSO框架，按控制環境、風險評估、控制活動、信息與溝通和監督活動等五個要素來構建內部控制基本規范——單位層面。采用COSO框架來構建單位層面的內部控制，從內容上來說，可以涵蓋《行政事業單位內部控制規范（試行）》等文件對于單位層面的內部控制建設要求，并使單位層面更加全面合理，也更加具有邏輯性。

控制環境標準模板至少應當包括以下內容：單位的誠信和價值觀；機構設置及權責分配；吸引、培養和留用人才的人力資源政策；實現績效的衡量、激勵和獎勵機制；單位安全及社會責任等。

風險評估標準模板至少應當包括以下內容：明確單位運營、報告和合法合規三大具體目標；及時識別、分析業務活動中與控制目標相關的風險，并采取相應的風險應對策略；確定相應的風險承受度，單位應當至少每年進行一次風險評估，并提交風險評估報告。

控制活動標準模板至少應當包括以下內容：在確定內部控制目標和風險之后，結合風險評估的結果，通過手工控制和自動控制相結合的方法，在單位各個層級、業務流程的各個環節中實施具體的控制活動，這些控制活動可以是預防性的，也可以是發現性的，采取相應的控制方法和措施，將風險控制在可承受范圍內；設立預警機制和應急機制，明確預警標準，確保能夠及時妥善處理重大風險和突發性事件。

信息與溝通標準模板至少應當包括以下內容：制定信息傳遞制度，明確內部控制信息收集點、信息處理程序和傳遞渠道，確保內部控制信息的及時性和有效性，對內部控制的運行進行監測和促進；運用信息技術促進信息的集成和共享，注重信息的保管與安全；在信息與溝通中，明確建立反舞弊機制，通過規范舞弊事項的舉報、調查和處置程序，明確反舞弊工作的重點領域、關鍵環節，同時疏通舉報渠道，保護舉報人相關信息，確保舉報這一重要的有效信息來源的暢通。

監督活動標準模板至少應當包括以下內容：單位建立內部控制監督制度，明確內部審計機構的職責權限，以及內部監督的要求、程序和方法；通過日常監督和專項監督，進行自我評價，形成自評報告；分析發現的內部控制缺陷（包括設計缺陷和運行缺陷）的性質和產生原因，提出整改方案；通過持續評估、單獨評估或兩者相結合，以確定內部控制的五大要素是否存在并持續運行。

需要說明的是，在《行政事業單位內部控制規范 （試行）》中，有部分業務活動并未包含在內。行政事業單位應當結合自身的業務特點，在單位層面的標準模板中增加行政審批權控制、人力資源控制、單位安全及社會責任和反舞弊機制等內容，使得整個單位層面的內部控制更符合行政事業單位的運營特點。

三、業務層面內部控制建設標準模板

在單位層面內部控制標準模板的基礎之上，對業務層面的經濟活動要進行全面梳理和整合，結合單位自身業務活動的特點，分別編寫內部控制應用指引，形成全面完整的內部控制指引體系，為內部控制手冊的編寫提供支持。在構建業務層面內部控制標準模板前，首先需要結合行政事業單位的運營特點，對六大業務進行適當拆分，細化業務類型，將業務活動延伸至非經濟活動，實現業務活動全覆蓋。

（一）對六大業務進行適當拆分

1.業務拆分是細化風險管理的需要。《行政事業單位內部控制規范（試行）》在業務層面提出了內部控制六大經濟業務，主要考慮是以預算為主線，以資金管控為核心，通過對資金管控延伸至其他業務部門。然而，行政事業單位無論是在單位類型、服務內容和業務類型上均存在差異，有的業務對單位來說非常重要，例如，在高校、醫院和科研機構涉及資金需求、貸款規模以及科研經費數額較大，業務風險程度高，內部控制如果只有六大業務是很難防范上述風險的，因此，需要將支出業務進行拆分，單獨建立籌資管理、科研經費管理等業務應用指引，使之更符合單位內部控制的需要。同理，決算業務在《行政事業單位內部控制規范（試行）》中，是通過預算管理來進行規范的，但按照《政府會計基本準則》的要求，單位需要分預算維度和財務維度核算并分別提供決算報告和綜合財務報告，這無疑將為報告使用者提供更多的財務信息，但同時也加大了業務的難度和風險。預算管理的流程、風險點與財務報告不盡相同，且規模大，下設多個附屬單位的，對需要納入合并財務報表范圍的單位，編制難度大，程序復雜，除了預算管理內部控制應用指引外，還需要形成單獨的財務報告內部控制應用指引，以防范財務報告風險。

2.業務拆分是歸口管理的要求。在資產管理中，貨幣資金管理、固定資產管理分屬不同的歸口管理部門（財務部門和資產管理部門），分開由歸口管理部門來建設更具有可操作性，況且，行政事業單位的結賬基礎是收付實現制，大部分業務均涉及貨幣資金，貨幣資金是最容易發生舞弊的事項之一，將貨幣資金管理從資產管理中分離出來，單獨作為一項內部控制業務，使整個內控建設更符合行政事業單位的實際需求，更能反映行政事業單位管理的特點。

需要說明的是，貨幣資金作為一項單獨的內部控制應用指引，由于其與收入和支出存在對應關系，在建設標準模板時，就需要協調其與收入和支出內部控制的側重點，避免風險矩陣數據庫重復或遺漏。貨幣資金內部控制主要側重于資金計劃、銀行賬戶管理、現金及銀行存款管理、備用金管理、網銀管理、資金結算管理、票據和印章管理等，而收入內部控制主要側重于收入不入賬或設置賬外賬、非稅收入采用收支兩條線管理、合同協議收入管理、收入退回管理和收入會計處理等，支出內部控制側重于支出審批權限管理、單據審核管理、“三公經費”支出管理、資金支付管理、支出的會計處理等。

3.業務流程圖完全不同，需要分類管理。在收支業務中，收入和支出業務流程圖完全是相反的，管理方式也不同，混在一起不利于流程圖的繪制，也不利于分類管理。因此，應將收入和支出分別建立內部控制應用指引。根據行政事業單位的特點，對六大業務進行適當的拆分，將有助于防范各業務環節風險，實現內部控制的目標。

六大業務拆分后，業務層面控制標準模板至少應當包括以下內部控制應用指引：財務報告、預算管理、籌資管理、貨幣資金管理、收入管理、支出管理、存貨管理、固定資產管理、無形資產管理、投資管理、政府采購管理、建設項目管理、合同管理、信息系統管理、科研管理、人力資源管理、安全和社會責任管理、單位文化管理等。

（二）內部控制應用指引標準模板

在明確了業務層面標準模板要構建的各業務指引后，接下來就是要確定內部控制應用指引標準模板的內容，各業務活動應用指引標準模板至少應當包括以下內容：各業務應當關注的風險、崗位職責及授權審批和各業務具體控制方法。

各業務應當關注的風險，根據業務類型不同，風險各不相同。例如，收入管理應當關注的風險有：（1）未按收費許可證規定的項目和標準收取非稅收入，存在違規收費的風險。（2）非稅收入的收取未執行收支兩條線規定，導致截留、挪用應上交財政專戶資金的風險。（3）收入收取業務分散在各個業務部門，缺乏統一管理和監控，導致收入金額不實、應收未收或者私設“小金庫”的風險。（4）收入記錄錯誤或會計處理不正確，可能造成收入會計信息不真實。

崗位職責及授權審批標準模板主要包含各業務不相容崗位以及如何授權審批。例如，預算管理不相容崗位一般包括：（1）預算編制（含預算調整）與預算審批。（2）預算審批與預算執行。（3）預算執行與預算考核。預算管理授權審批包括：單位對預算管理工作建立嚴格的授權批準制度，明確審批人的授權批準的方式、權限、程序、責任和相關控制措施，規定經辦人的職責范圍和工作要求。審批人根據預算管理工作授權批準制度的規定，在授權范圍內進行審批，不得超越審批權限。經辦人在職責范圍內，按照審批人的批準意見辦理預算業務。對于審批人超越授權范圍審批的預算事項，經辦人有權拒絕辦理。

各業務具體控制方法，根據業務的不同，控制方法也不盡相同。例如，合同管理中合同糾紛的具體控制方法包括：需要仲裁或法律訴訟程序解決的合同糾紛，由單位法律事務辦公室召集業務承辦部門、合同管理部門、財務部門、監察審計部門和法律顧問組成處理小組，研究確定該合同糾紛解決的具體方案、報單位負責人批準，并組織相關部門參與該糾紛的協商、調解、仲裁或者訴訟活動。糾紛處理過程中，未經授權批準，相關經辦人員不得向對方做出實質性答復或承諾。

四、內部控制手冊標準模板

內部控制不僅是風險的“防御系統”，更是規范各項業務流程的“說明書”。按照《行政事業單位內部控制規范（試行）》要求，單位一方面需要梳理、再造業務流程，另一方面，需要把流程標準化、程序化，識別出流程節點可能存在的風險，針對這些風險所采取的應對措施，以及實施防范風險的證據。單位應當根據內部控制基本規范——單位層面和各內部控制應用指引為依據來編寫內部控制手冊，內部控制手冊標準模板至少應當包括以下內容：××單位內部控制手冊——××：（1）適用范圍。（2）控制目標。（3）控制職責。（4）內部控制業務流程圖。（5）內部控制風險矩陣數據庫。（6）表單控制格式。其中：內部控制業務流程圖和內部控制風險矩陣數據庫是手冊中最重要的部分。

（一）內部控制業務流程圖標準模板

單位在梳理業務過程中所涉及的關鍵環節，可采用直線流程圖方式來繪制，使手冊使用者能直觀地了解業務過程，并明確過程中的責任部門、崗位的不相容情況，為相關崗位的人員在工作時提供清晰的控制標準和控制措施，將內部控制真正落到實處。

以貨幣資金管理內部控制手冊為例，貨幣資金業務流程圖按照業務類型可分為：貨幣資金收款業務流程、銀行存款管理業務流程——付款管理、現金管理業務流程——付款管理、銀行賬戶管理業務流程——開戶管理、銀行賬戶管理業務流程——銷戶管理、銀行賬戶管理業務流程——日常使用管理、備用金管理業務流程、網銀管理業務流程、公務卡管理業務流程、印章管理業務流程和票據管理業務流程等。在貨幣資金的業務流程中，以資金的流向為線索，側重于資金的管理。

表1為貨幣資金收款業務流程圖。在流程圖中，明確了貨幣資金收款的五個步驟；對應每一個步驟，明確主要的責任部門與支持部門，以及責任部門中不相容崗位職責，制定防范風險的監督檢查方法，并列明這些控制措施的依據。

表1 貨幣資金收款業務流程圖

需要說明的是，業務流程圖主要分為由上而下的直線流程圖和跨功能區流程圖，其中，跨功能區流程圖在呈現業務時，依據各單位的職責劃分，能夠清晰提供某個部門在開展業務活動時，承擔什么工作內容，部門與部門之間、崗位與崗位之間的工作內容和走向，但也存在繪制難度大的問題，業務人員不容易閱讀，更重要的是大多數業務包含多個業務類型，崗位流程差異明顯，且是相對獨立的。就貨幣資金管理中票據管理流程和銀行賬戶管理流程而言，均屬于獨立的業務流程，將其作為一類業務來繪制流程圖是不現實的，也不具有可操作性。因此，行政事業單位業務流程圖標準模板建議分業務按直線流程圖來繪制，這樣既簡單，也容易掌握，同時，每類業務包含多個業務流程圖，能夠細化業務流程，從而為下一步識別出流程節點存在的風險和風險矩陣數據庫提供了可靠的保證。

（二）風險矩陣數據庫標準模板

根據業務層面規范中各業務的風險控制點，形成風險矩陣數據庫。在數據庫中，根據業務流程、控制目標，識別關鍵風險點，并針對每項關鍵風險點制訂相應的風險應對措施。同時，明確風險責任主體、實施證據以及控制模式。風險矩陣數據庫標準模板至少應當包括以下內容：控制編號、控制點名稱、控制目標、關鍵風險描述、風險應對措施、責任部門、實施證據和控制模式等。

表2為貨幣資金管理內部控制風險矩陣數據庫中有關網銀管理的風險矩陣數據庫。在網銀管理中，財務管理部門是有效防范風險的責任部門，針對網銀管理中有效授權和網銀安全兩個控制目標，識別出可能阻礙該控制目標實現的三個關鍵風險點，并提出相應的風險應對措施。這些應對措施通過網絡安全日志、網銀支付交易記錄被記錄，成為將來內部控制評價、審計等檢查的關鍵證據。

表2 貨幣資金管理內部控制風險矩陣數據庫

五、其他內部控制配套制度標準模板

行政事業單位內部控制除了以上三個層次外，為了確保單位內部控制目標的實現，內部控制體系還應當包括以下配套制度：行政事業單位章程、單位審批流程及權限指引、風險評估實施辦法、內部控制評價方案、重大經濟事項和集體決策程序指引、專家論證和技術咨詢制度指引、反舞弊機制指引和關鍵崗位說明書等。這一系列的配套制度與內部控制上述標準模板協同一致，使得行政事業單位在行政審批權控制、風險評估、內部控制評價、“三重一大”、專家論證和反舞弊機制方面的控制更加完善。例如，表3為單位審批流程及權限指引，該標準模板至少應當包括以下內容：審批事項、額度、審批環節和審批流程及權限。

需要說明的是，單位審批流程及權限指引應當按政府收支分類科目中的經濟科目來設置，這樣做的好處在于，可以確保所有經濟事項全覆蓋、不留審批真空，同時，該指引文檔也是實現審批信息化的前提。此外，審批額度各單位可結合自己的實際情況進行適當的調整，簡化審批流程，以滿足實際需求。

關鍵崗位說明書標準模板至少應當包括以下內容：崗位職責、內控要求、個人素質要求、專業勝任能力要求和與其他崗位的關系等。以出納崗為例：

崗位職責：（1）負責辦理所經管銀行賬戶的收付款業務。（2）定期核對所管賬戶銀行存款，并編制銀行存款余額調節表。（3）根據授權批準辦理資金在各銀行之間的劃轉。（4）辦理現金收付款結算業務，做到日清月結，保管庫存現金和各種有價證券，要確保其安全和完整。

內控要求：（1）不得兼任稽核、會計檔案保管以及收入、支出、費用、債權債務賬目的登記工作。（2）禁止填制記賬憑證。（3）必須憑審核無誤、手續完備的記賬憑證辦理收、付款業務。（4）不得同時從事銀行對賬單的獲取、銀行存款余額調節表的編制等工作。（5）不得由一個人保管支付款項所需的全部印章。（6）不得簽發空白支票、遠期支票，不得出租、出借銀行賬戶。（7）在辦理網上交易、電子支付等方式的貨幣資金支付業務時，必須嚴格按操作授權和密碼規范操作。（8）禁止白條抵庫、謊報用途、代人存取、公款私存。（9）所管理的保險柜，禁止存放私人物品。（10）崗位履職時間最長不超過五年。

個人素質要求：具有良好的職業道德，有做好單位管理和服務工作的事業心和責任感，熱愛本職工作，工作勤奮，辦事認真。具有團隊合作、創新精神，充滿自信、正直誠實和愿意進行知識分享。

專業勝任能力要求：（1）具有初級會計及以上職稱或具備金融專業背景。（2）熟悉國家財經法規、銀行支付結算辦法和現金管理條例。（3）熟悉會計核算系統中的資金結算管理系統，計算機操作熟練。

表3 單位審批流程及權限指引

與其他崗位的關系：（1）本崗位在科長的指導下，辦理銀行存款、現金相關的收付款業務。（2）在本科室其他工作人員因公外出時，應當承擔其他崗位的部分工作職責。（3）在協助其他科室提供會計信息時，對本崗位所提供會計信息資料的真實性和完整性負責。

需要說明的是，關鍵崗位說明書應當涵蓋業務活動所有崗位，且需要在流程層面上進行關聯，從而支持按崗位按流程進行管理。

六、內部控制信息化標準模板

內部控制不是一個獨立的系統，其信息化也不是要廢除單位已有的信息系統，而是貫穿于單位所有的管理環節之中，對一個單位而言，內部控制應當是嵌入到單位信息系統中，使單位工作程序化、標準化、系統化。例如，設備采購內部控制信息化標準模板設計至少應當包括以下內容：（1）采購申請與審批（采購管理、預算管理）。按分層授權審批流程，通過單位OA系統或采購管理系統自動推送至審批人電腦終端或手機客戶端來完成審批。（2）制作招標文件（采購管理）。在采購管理系統中編寫采購參數和要求，由系統自動產生標準采購招標文件。（3）公開招標（采購管理）。（4）結果公示（采購管理）。通過單位網站進行公示。（5）簽訂采購合同（合同管理）。通過合同管理系統來記錄、追蹤整個采購合同的簽訂、執行和合同的保管歸檔工作，采購合同一旦簽訂完成，系統就會自動生成合同編號，自動產生待執行合同一覽表，并向采購管理、合同管理和財務管理部門進行推送。（6）執行采購（采購管理）。采購管理人員在系統中選擇要執行的合同，提請設備供應商供貨。（7）設備驗收（線下進行驗收、資產管理）。設備運抵單位后，如果需要設備專家參與驗收，由系統自動從設備專家庫中進行選擇。驗收小組進行驗收，該環節只能在線下進行，驗收結束后驗收報告在線上完成。（8）設備投入使用（資產管理）。資產管理系統記錄設備入賬、使用、計提折舊、維修和報廢情況。（9）執行付款（預算管理、支出管理）。采購合同、驗收報告自動推送到財務部門，財務部門根據采購預算、采購合同、發票和驗收報告通過網絡報賬信息系統自動完成記賬憑證編制，記錄資本性支出，財務系統記賬后，信息自動反饋給合同管理系統，待執行合同自動轉為已執行合同。（10）合同執行完畢、歸檔（合同管理）。在上述業務活動過程中，行政事業單位所要求的內部控制業務就涉及到采購管理、預算管理、合同管理、資產管理、支出管理和信息系統管理等共六項主要業務，內部控制信息化標準模板在單位信息系統管理中的地位和作用是顯而易見的。上述業務通過信息系統流程把制度中的相關控制要求放在流程層面進行關聯和鏈接，從而能夠支持按崗位、按流程進行管理。

此外，還可通過建立內部控制運行系統監控平臺來監督整個單位內部控制運行情況，該系統監控平臺與單位的信息系統形成平行的兩套運行體系，通過系統隨機抽取部分業務進行穿行測試，自動追蹤發現內部控制沒有得到有效運行的證據，將信息自動推送到各歸口管理職能部門，提醒其改進信息系統控制，以滿足內部控制的要求。

七、結語

2017年1月，財政部發布了《行政事業單位內部控制報告管理制度（試行）》，行政事業單位編制內部控制報告將作為每年的一項常規報告。實際上，內部控制報告要求所有行政事業單位按統一的報告模板來提供。內部控制標準模板建設是一個系統工程，不是一蹴而就一次完成的，而是需要與時俱進，循序漸進，在注重內部控制建設的同時，更要關注落實和實施的實際效果，要持之以恒，常抓不懈，全員參與，全過程建設，不斷推進單位內部控制長效機制建設。