基于COSO框架的行政事業單位內部控制評價指標體系研究

宋榮興 劉 紅

（青島理工大學，山東 青島 266000）

一、引言

在經濟社會快速發展的新時代，我國政府正在加緊深化改革，在依法治國的背景下，政府部門內部控制建設被提升到一個新的高度。行政事業單位作為行使社會職能的公共部門，收入基本來源于國家財政資金，其內部控制建設的有效性與社會經濟、政治文化息息相關，更應引起我們的重視。

目前，財政部初步建立了“四梁八柱”的行政事業單位內部控制制度體系，包括《行政事業單位內部控制規范（試行）》（財會〔2012〕21號，以下簡稱《單位內部控制規范》）、《財政部關于全面推進行政事業單位內部控制建設的指導意見》（財會〔2015〕24號）、《行政事業單位內部控制報告管理制度（試行）》（財會〔2017〕1號，以下簡稱《內控報告管理制度》）等制度在內。自2014年行政事業單位內部控制建設全面推進以來，雖然我國各行政事業單位逐步建立了內部控制制度，但部分單位仍存在問題，主要是內部控制建設全員參與度有待提高、內控管理制度體系有待完善、風險評估機制有待加強、內部控制信息化建設有待持續跟進、財務人員配置不足等。這種情況下，注重評價行政事業單位內部控制建設的科學性和有效性，具有重要意義。

行政事業單位內部控制評價對單位內部控制建設起到一定指揮作用。建立有效的內部控制評價體系，采取行之有效的措施改善內部控制效果，起到以評促建的作用，從而推動單位內部控制建設。因此，本文基于COSO內部控制框架五要素，構建我國行政事業單位內部控制評價指標體系，以期為我國行政事業單位內部控制建設提供借鑒。

二、基于COSO框架的行政事業單位內控評價指標體系構建

（一）基于COSO框架的內部控制評價體系構建

2013年5月，COSO委員會發布了新版本的《內部控制整合框架》，取代了1992發布的舊版本。新版框架的主要內容可以概括為一個定義、三個目標、五個要素、十七個原則。本文基于COSO框架，綜合目標導向和要素導向兩種評價模式，以目標為導向，以COSO框架中的控制環境、風險評估、控制活動、信息與溝通、監督活動五個要素為出發點，以原則為基礎，構建包含目標層、要素層、原則層三個層級的行政事業單位內控評價體系。

COSO框架的三個目標是運營、報告、合規。考慮我國行政事業單位的特殊性質，并結合《單位內部控制規范》中關于內部控制目標的規定，將內控評價體系的目標層定義為合法合規目標、資產安全目標、財務信息目標、防范腐敗目標、公共服務目標。在五個目標的指引下，從COSO框架的五要素出發，將COSO框架的十七項原則分配至各要素，構成一套完整的內部控制評價體系。第一要素控制環境的原則包括道德價值觀、管理層適當分權、授權與責任劃分、人才培養、員工擔責。第二要素風險評估的原則包括確定組織目標、識別和分析風險、防范舞弊行為、評估重大變化。第三要素控制活動的原則包括降低風險影響、信息化管理、制定制度和流程。第四要素信息與溝通的原則包括信息質量、內部信息傳遞、外部信息溝通。第五要素監督活動的原則包括持續獨立的評估機制、內部控制缺陷評價分析。

基于以上分析，本文構建了基于COSO框架的行政事業單位內部控制評價體系，如圖1所示。

圖1 基于COSO框架的行政事業單位內部控制評價體系

（二）基于COSO框架的內部控制評價指標體系

基于COSO框架的五要素和十七項原則，結合我國發布的《單位內部控制規范》和《內控報告管理制度》等有關規定，考慮到我國行政事業單位的特殊性質，本文從五個方面設計我國行政事業單位內部控制評價指標體系。

1.控制環境?？刂骗h境是單位進行內部控制的基礎，影響著整個內部控制體系，對控制環境進行評價是評價其他要素內控情況的前提。一個良好的控制環境應該包括組織架構、權利運行與制約、人員培養、道德價值觀四個方面，本文從以上四個方面進行控制環境要素的內控評價指標體系設計，如表1所示。

表1 基于COSO框架的內部控制評價指標體系-控制環境要素指標

第一，組織架構方面，分為內部控制機構設置、單位負責人任職兩個三級指標。針對內部控制機構設置，關注是否成立單位內控領導小組、是否成立單位內控工作小組、是否落實內控牽頭部門和監督部門的建立。針對單位負責人任職，關注單位內部控制領導小組負責人是單位一把手、分管財務領導還是其他分管領導；班子成員是否在單位內部控制領導機構中任職、是否明確了班子成員的分工。

第二，權利運行與制約方面，分為分事行權、分崗設權、分級授權、關鍵崗位責任制四個三級指標。分事行權、分崗設權、分級授權涉及單位各項經濟業務活動的決策、執行和監督，對經濟業務活動的相關崗位進行設置并明確分工和界限。針對關鍵崗位責任制，單位要建立健全內部控制關鍵崗位責任制，實行關鍵崗位輪崗制度或專項審計制度。定期輪崗制度可以防止腐敗，是防范管理風險和道德風險的有效舉措。

第三，人員培養方面，分為內部控制專題培訓、關鍵崗位人員培訓兩個三級指標。關注被評價單位是否針對單位內部進行了內部控制方面的培訓、是否對關鍵崗位人員進行了專門的定期培訓或考評。另外，不定期通過單位內部辦公系統推送并提醒單位人員對最新發布的有關制度準則和規范進行研究學習，及時統計推送資料的閱讀情況。

第四，道德價值觀方面，分為組織誠信、職業操守兩個三級指標。任何組織在運營過程中都應當對誠信和道德等價值觀做出承諾，在實際經濟活動中遵循誠信原則開展業務，以此來獲得公眾的信任。行政事業單位不同于企業的營利目標，多以政府職能、公益服務為主要宗旨，如果過分追求經濟效益和個人利益，則與公共服務目標背道而馳，違背了行政事業單位人員的職業操守。

2.風險評估。風險評估是單位進行內部控制的重要環節，根據組織確立的內控目標，動態持續的識別風險、估計風險。本文風險評估要素主要從風險評估制度和風險評估實施兩個方面進行評價，沒有三級指標，如表2所示。

表2 基于COSO框架的內部控制評價指標體系-風險評估要素指標

表3 基于COSO框架的內部控制評價指標體系-控制活動要素指標

《單位內部控制規范》要求單位至少每年進行一次經濟活動風險評估，內部控制環境發生重大變化時，應及時對經濟活動風險進行重估。進行風險評估要素的內控評價時，首先應重點關注被評價單位是否制定風險評估制度、是否形成業務流程圖并確定關鍵風險點、是否有明確的風險評估工作方案；其次應重點關注被評價單位是否按照單位所編制的風險評估制度對單位風險進行定期評估、近三年是否對單位主要經濟業務活動逐一進行風險評估、是否出具了風險評估報告以及是否針對風險評估結果出具內控改進措施。在組織風險評估的過程中，要考慮潛在的舞弊腐敗行為，進行舞弊風險評估，針對規避和凌駕于控制之上的行為提出應對方法。

3.控制活動?？刂苹顒邮且詫崿F組織確立的目標、降低內控風險為宗旨，在制定內控流程和制度后實施的相關行動。在組織的各層級、各經濟業務環節中都需要實施控制活動。本文主要從工作機制、經濟業務領域內控流程、經濟業務領域內控制度、經濟業務領域內控體系運行情況四個方面進行控制活動要素評價，如表3所示。

第一，工作機制方面，分為內部授權審批控制、歸口管理、不相容崗位相互分離三個三級指標。針對內部授權審批控制，相關工作人員應在授權審批范圍內行使職權、辦理相關業務，對未履行集體決策程序和不按規定執行業務的部門及人員，應當追究其相應的責任。針對歸口管理，被評價單位要根據本單位實際情況，確定牽頭部門或牽頭人員，對有關經濟活動實行統一管理。針對不相容崗位相互分離，要關注被評價單位的六大經濟業務中不相容崗位是否進行了分離設置，從而控制潛在風險。

第二，經濟業務領域內控流程方面，分為預算管理、收支管理、政府采購管理、資產管理、建設項目管理、合同管理的六個領域流程梳理指標。關注被評價單位針對六大經濟業務，是否進行梳理并編制流程圖、是否對業務流程各環節的風險點進行識別、是否對業務中已識別的風險點制定了風險防控措施或相關規定。

第三，經濟業務領域內控制度方面，分為預算管理、收支管理、政府采購管理、資產管理、建設項目管理、合同管理的六個經濟業務制度指標。評價時要考慮單位六大經濟業務對應的管理制度是否建立、具體包含哪些相關制度以及其建立的政策依據等。

第四，經濟業務領域內控體系運行情況方面，分為預算、收支、政府采購、資產、建設項目、合同的六個業務對應的控制指標。關注被評價單位的六大經濟業務中的制度實施、業務流程執行情況。對內控運行情況進行評價的關鍵環節是，評價單位是否根據風險評估及測試情況進行修訂改善、是否嚴格按照規定的流程開展各項業務、是否有效執行其制度要求、修訂措施。

4.信息與溝通。任何組織經濟業務的運行、控制活動的實施都離不開信息與溝通，信息對于組織內部控制建設的推進必不可少，溝通對于組織內控建設的改進也發揮重要作用。有效的信息與溝通，需要從內外部獲得信息，并高效的進行信息傳遞與交流，因此本文主要從信息公開、內控信息化兩個方面進行信息與溝通要素評價，如表4所示。

表4 基于COSO框架的內部控制評價指標體系-信息與溝通要素指標

第一，信息公開方面，分為內部信息公開和外部信息公開兩個三級指標。在單位信息公開評價中，關注被評價單位是否根據《單位內部控制規范》有關規定和單位實際情況，建立健全信息內部公開制度；是否借助單位OA辦公平臺等信息傳遞渠道進行及時準確的信息交流；是否有外部信息公開及獲取的穩定渠道。

第二，內控信息化方面，分為會計核算系統和內控管理信息系統兩個三級指標。在單位內控信息化建設評價中，關注被評價單位是否運用電子信息系統對經濟業務活動進行會計核算并定期進行數據備份；關注被評價單位是否建立內控管理信息系統、其主要經濟業務活動及其內部控制流程是否已按規定落實到內控信息系統。

5.監督活動。監督活動是內部控制體系中不可缺少的重要環節，單位組織內部控制的科學性和有效性需要監督活動進行評價。通過監督活動評價五個要素對應的原則是否完整存在、內控活動是否發揮功能降低風險，是一個持續和獨立的評價過程。本文主要從內部監督工作、外部監督工作、持續評估與改進三個方面進行監督活動要素評價，如表5所示。改進。持續評估與改進是將監督結果報告至被評價單位，評價其是否進行有效整改，由內部和外部監督部門進行聯合評估。

表5 基于COSO框架的內部控制評價指標體系-監督活動要素指標

三、結語

內部控制對于塑造我國法制政府、責任政府和廉潔政府的形象具有十分重要的意義，內部控制評價可以對我國內部控制建設的規范要求起到補充作用。本文以COSO框架中的內部環境、風險評估、控制活動、信息與溝通、監督活動五要素為出發點，以原則為基礎，構建了包含目標層、要素層、原則層三個層級的行政事業單位內控評價體系，并結合我國行政事業單位的實際情況設計了內控評價指標，希望進一步完善我國行政事業單位內部控制體系，預防腐敗舞弊、防止權力濫用，使行政事業單位更好的服務社會、適應社會的發展，實現國家治理。

第一，內外部監督工作方面，分別包括部門設立、工作執行兩個三級指標。內部監督工作的評價中，關注被評價單位是否建立紀檢監察、內部審計等內部監督機構或設立相關崗位；是否授予內審部門適當的權利使其獨立于其他管理部門與業務部門，能夠獨立履行其審計職責。在做好內部監督的同時，還應關注被評價單位是否有外部監督機構對其職責履行、單位組織運行情況進行監督。外部監督機構例如財政部門、稅務部門、審計部門或第三方監管機構等。

第二，持續評估與改進方面，分為自評分析和聯合評估兩個三級指標。自評分析包括內控工作的經驗、做法、內控工作中存在的問題與相應的解決情況、下一步內部控制工作計劃等，主要是找到單位組織中存在的內部控制缺陷，對其作出評價并向最高管理層進行報告，根據具體情況與管理層進行溝通，以采取正確行動進行缺陷