一、概述
2010年4月,財政部、證監會等五部委聯合發布了《企業內部控制配套指引》(以下簡稱《指引》),標志著我國自《企業內部控制規范》(以下簡稱《規范》)發布以來,“以防范風險和控制舞弊為中心、以控制標準和評價標準為主體,結構合理、層次分明、銜接有序、方法科學、體系完備”的企業內部控制規范體系建設目標基本建成。這部充分吸收COSO框架的《指引》進一步豐富了《規范》的內容,并在各個方面提升了對風險的關注,因此,它對提高企業的會計信息質量,保護企業資產安全、完整,確保有關法律法規和規章制度在上市公司及其他非上市大中型企業的貫徹執行起著至關重要的作用。《規范》及其《指引》并未像COSO的《內部控制――整合框架》一樣明確提出可針對政府及非盈利組織,只是進一步鼓勵其他的非上市大中型企業執行,因而,如何把握《規范》及其《指引》在行政事業單位的適用度問題,引起了各界極大的關注。
由于內部控制制度本身的局限性,它并不是一付包治百病的靈丹妙藥。2009年,審計署對54個部門單位2008年度預算執行情況和其他財政收支情況的審計結果表明,這些連續困擾多年并主要集中在預算、收入、支出、國有資產使用等多個方面“需要加以糾正和改進的問題”已不僅僅是照搬照抄《規范》及其《指引》所能解決的,在違規金額較大的18家中央部門中,有不少部門建立了相對完善的內部控制制度。那么,在當前政府會計改革過程中如何構建行之有效的行政事業單位內部控制制度,其關鍵核心在哪里?本文認為,要進一步促進政府會計改革,提高內部控制制度的執行效率,必須建立以預算資金財務風險管理為核心,以績效預算為目的內部控制制度。
二、財務風險管理與內部控制制度的關系
財務風險管理作風險管理的一個分支,它是行政事業單位對其預算執行過程中存在的各種風險進行識別、度量和分析評價,并適時采取及時有效的方法進行防范和控制,以經濟合理可行的方法進行處理,以保證預算資金免受損失并獲得預期績效的管理過程;內部控制是由行政事業單位的領導層和全體員工實施的、旨在提高行政事業單位管理服務水平和風險防范能力,促進單位可持續、健康發展,實現行政事業單位管理服務目標所制定的政策和程序。內部控制本身并沒有認定風險管理為其核心,只是把風險評估作為其構成要素,《指引》在組織架構、發展戰略、人力資源、社會責任、企業文化、資金管理等16個方面就可能出現的風險進行了更進一步的分析和關注。2009年10月出版《行政事業單位內部控制規范及相關制度應用指南》在行政事業單位的財務風險關注方面明顯少于《規范》及其《指引》,對行政事業單位的財務風險地位認識存在不足。
2003年7月,COSO發布的《企業風險管理―整合框架》,盡管沒有宣布以風險管理取代內部控制整合框架,但卻明確了企業風險管理整合框架涵蓋和拓展了內部控制整合框架。內部控制與風險管理存在一定的區別,但從內部控制的發展來看,風險管理似乎有取代內部控制趨勢:一是風險管理比內部控制更廣泛。內部控制是風險管理不可分割的一部分,風險管理拓展和細化了內部控制,在風險管理框架下,內部控制仍然有效。二是目標更寬廣。在內部控制目標的基礎上,風險管理將內部控制只關注財務報告的內容拓展為關注財務和非財務報告信息,同時與內部控制不同的是風險管理還引入戰略目標的概念,其他目標必須以戰略目標為目標。三是兩者關注風險的方式不同。風險管理不同于內部控制的重要方面是提出了風險的組合概念,即除了分別考慮主體目標過程中關注個別風險外,還必須從組合的角度考慮復合風險。四是構成要素方面存在明顯差別。風險管理框架拓展了內部控制框架的風險評估要素,除控制環境、風險評估、控制活動、信息與溝通和監控五個內控要素外,還創造了目標設定、事項識別、風險評估和風險應對四個構成要素。
由于全面風險管理應用尚處在起步階段,風險管理的各種方法還在探索過程中,在現階段,沒有必要因為內部控制制度的缺陷而放棄內部控制制度建設,也沒有必要因為風險管理的到來而忽視內部控制制度管理的功效,從應用的相對成熟度上講,內部控制在一定程度上依然更有效。2006年,國資委發布的《中央企業全面風險管理指引》中指出,不能單純地強調風險管理一詞而將風險管理與內部控制割裂開來,風險管理應與內部控制整合進行,并提出了以內部控制為手段開展風險管理工作,可見內部控制的總體目標是通過控制風險來創造價值,內部控制的出發點和歸宿主要是控制風險。所以,要建設行之有效的行政事業單位內部控制制度,就必須充分考慮預算資金財務風險管理的要求,把風險管理要求建設成內部控制的核心架構。
三、行政事業單位內部控制制度建設的對策
在我國,行政事業單位不以經濟效益為前提,而以公共服務為目標,其組織結構、部門設置、職能權限等會受到各種制度和規定的約束,其在資金來源、資本結構、會計處理等方面與企業有著很大的區別,因此,行政事業單位內部控制制度建設的空間相對企業來說要小,但其內部控制制度建設的內容卻并不簡單。《規范》及其《指引》雖然在基本理念、原則、方法等方面也可適用于行政事業單位,但設計思路主要針對企業,對行政事業單位的針對性與適應性相對較弱。因此,建設以預算資金財務風險管理為核心的行政事業單位內部控制體系,可以考慮以下建設策略:
第一,優化內部控制的環境,明確責任,加強全員風險管理意識。COSO報告指出,內部控制意識是內控環境中的一項重要內容,良好的內部控制意識是確保內控制度得以健全和實施的重要保證。德勤永華在對大量中國上市公司進行調查后發現,許多公司在構建內部控制體系中,將大量的資源投入到內部控制流程的文檔、記錄和控制活動的測試方面,卻總是忽視內部控制的軟環境,如文化建設、風險理念灌輸、長遠規劃等,因此執行氛圍差,內部控制流于形式。對于行政事業單位來講,本位主義、一言堂、拍腦袋、形式主義等現象更為嚴重,內部控制更容易流于形式,因此,要建立健全行政事業單位的內部控制制度,必須注重軟環境,從領導到群眾要建立良好的全員風險意識和氛圍,增加風險管理凝聚力,提高內部控制的有效性。一是加強行政事業單位人員風險知識培訓,培育風險意識,建立機關單位風險管理文化;二是簽訂財務風險控制工作責任狀,明確各單位、各部門“一把手”是財務風險控制問題的第一責任人,一旦因風險問題造成損失的,除了對當事人進行處罰外,還必須對主要領導和分管領導實行責任追究;三是將預算資金風險管理列入機關目標考核管理日程,防止急躁冒進行為給國家財政造成重大損失。
第二,在內部控制中設定科學合理的預算資金風險管理目標。COSO報告提出了內部控制“營運效率與效果、財務報告的可靠性和遵循相關法令”的三大目標。科學合理的預算資金管理目標將能有效促進內控控制管理,對內部控制的執行將起到事半功倍的效果。一方面,內部控制不是無的放矢,它會遵循預算管理的目的、方向和途徑進行科學控制;另一方面,內部控制可有效避免預算資金的浪費、流失,有目的的內部控制將對無目的、無方向的預算行為造成壓力。行政事業單位的預算管理總體目標是獲取并有效使用預算資金,以最大限度地實現其社會使命和維持自身生存發展,即實現預算資金使用社會效用的最大化,它與企業利潤最大化的目標有著本質的區別。所以,在進行行政事業單位內部控制制度設計時,除注重預算資金合規性目標外,還必須注重加強預算管理,依法組織收入,注重國有資產管理,防止國有資產流失;注重預算資金使用績效,防止造成資產閑置和浪費等目標。
第三,以內部控制為基礎打造科學的績效預算體系。與績效管理理論進行比較,不難發現內部控制理論的局限性是明顯的,內部控制對企業經營目標的追求定位在企業經營的效果性和效率性方面,而績效管理在于打造公共資源管理的“5E”評價格局,即經濟性、效率性、效果性、環境性和公平性五個方面做出的檢查和評價。內部控制是為了防范風險,但防范風險應不影響行政資金運行績效。所謂績效預算管理,就是借鑒現代和工商管理等理論重塑安排和利用預算資源的過程,強調績效引導資源分配、使用、管理。建立以財務風險管理為核心的內部控制體系就是為行政資金績效目標的實現保駕護航。但績效管理并不是推進財務管理的萬能鑰匙,一味地強調績效管理,容易造成預算資金“被績效化”,最終形成預算資金運行的風險。所以,在行政事業單位進行財務風險管理的研究中,通過以預算資金安全與績效為主線,將風險預警、風險考評、風險跟蹤和風險控制等方法與內部控制制度緊密集合,來促進績效預算管理的健康持續發展。
四、提高以預算資金風險管理為核心的內部控制制度有效性的途徑
提高企業內部控制有效性的途徑很多,不僅可從全面預算管理的方面來提高,還可以運用ERP管理方法來推進,如何提高行政事業單位內部控制效果呢,本文認為可以通過以下幾個方面來提高。
第一,建立嚴格的財務預算控制管理體系。行政事業單位的財務風險有很大一部分是由于預算原因造成的,“沒有預算就沒有一切”客觀反映了預算是當前整個行政事業單位財務工作的重點和核心。因此,建立嚴格的財務預算管理體系是建立行政事業單位自我約束,自我控制,自我發展良好機制的有效辦法,它對優化資源配置,強化單位內部控制,提高單位行政辦事效益具有很大的促進作用。具體包括:一是要建立健全預算管理組織機構,制定預算風險管理的內部控制約束機制;二是要改進預算編制方法,增進預算的實用性和指導性。當前,不少單位預算編制比較粗糙,還沒有細化到具體項目,預算支出達不到逐筆進行核定的要求;三是加強預算剛性控制。由于預算的計劃性、科學性不強,預算調整追加較為頻繁,資金使用缺乏預見性,削弱了預算的約束控制力。
第二,建立基于財務風險管理的內部控制信息化平臺。信息技術的普及,不但對會計的理論和實務產生了重大影響,同樣也極大地影響了內部控制工作的環境:一是信息化極大影響了行政事業單位的業務流程和具體控制點,因此,控制活動必然受到信息化的直接影響;二是信息技術為事件識別、風險評估和風險應對提供了有效控制工具;三是信息技術提高了監督管理的效果和效率;四是信息化對內部控制的信息與溝通這一要素產生了有利的影響;五是信息化技術的發展對行政事業單位的財務管理形成新的財務風險的概率正在增加。
因此,信息化技術給內部控制提出了更高的要求。進行內部控制就不能不考慮信息化平臺建設的要求:一是建設數據大集中的內部管理模式,消除信息孤島。目前,行政事業單位的信息應用平臺五花八門,各系統間兼容性差,數據基本不能共享,不僅給財務人員造成了較大的工作壓力,而且給內部控制管理造成較大難度,嚴重影響內部控制有效性的發揮,在進行信息化平臺建設時必須考慮數據大集中的管理模式,實現數據共享,提高內部控制執行效率。二是將風險預警和內部控制與現有財務系統進行嵌入式開發,確保風險發現提前,內部控制及時到位,財務處理合法合規。當前,幾乎所有的財務軟件系統都是通過授權控制來進行內部控制管理的,對財務風險的管理幾乎全是事后的,因此,在開發軟件時,需要加強風險預警調研和內部控制協同部署。三是實現現金流和信息流統一的內部控制平臺開發,是行政事業單位加強財務風險管理新的挑戰。當前,無論是零余額賬戶管理還是公務卡消費管理,都無法完全做到現金流和信息流統一的問題,要確保行政事業單位預算資金“零風險”,需要從現金流和信息流統一的角度設計內部控制平臺。
第三,建立風險制約與控制監督相互協同的工作機制。行政事業單位同樣需要建立起“風險識別、風險評估、風險預防、風險控制”的管理機制,特別應加強財務風險的預防和控制,通過制定應對風險的方案和措施,以增強行政事業單位的財務應變能力,及時有效地阻止不利事件的發生,把風險降低到最低限度。財務監督是防范和化解財務風險的重要環節,進一步完善內部財務監督機制是保障風險控制成效的關鍵。建立風險制約與控制監督相互協同的工作機制主要如下:
首先,強化財務部門的協調作用,充分發揮審計、監察等部門的職能優勢,構建上下協同、縱橫連貫的協同網絡,把內部監督和外部監督結合起來,建立內部控制協同機制和內部控制風險通報制度。
其次,大力創新協同工作方式方法,進一步完善協同工作責任制、工作機制和激勵約束機制。
再次,積極推進財務風險防控機制建設,從行政事業單位重點領域、重點工程、重點對象、重點環節入手排查風險因素,健全內控制度,構筑風險控制防線,形成以積極防范為核心,強化內控管理為手段的科學協同管理機制。
最后,要著力于制度落實工作,做到核算上有會計監督,管理上有預算監督,職能上有內部審計,形成三位一體比較完善的財務風險監督體系,增強防范和控制財務風險的能力。
第四,建立健全合理有效的財務誠信體系。《規范》及其《指引》在內部環境和企業文化建設等方面提出了企業應在內部控制制度建設上倡導誠實守信的精神和理念,將誠信作為企業承擔社會責任的重要內容,COSO明確指出內部控制環境應包括員工的誠實性和道德觀,將誠信與內部控制定位為相互依賴,又相互促進的關系。誠信是行政事業單位保持對外良好形象的信譽資本,也是進行有效內部控制的一個實質性前提。要想全面持續地提升內部控制執行力,就必須將執行融入行政事業單位的文化之中。同時,它作為道德規范的重要組成部分,直接影響著員工的控制意識,并通過外在的社會評價和內在的職業良知發揮作用。例如,行政事業單位建立“小金庫”是一種缺乏誠信的行為,影響十分惡劣。
因此,在行政單位在內部控制建設中,可針對“小金庫”治理工作增加誠信評價內容:一是明確誠信評價體系中的“小金庫”控制指標、控制標準及定期考核制度等。二是劃分誠信等級。通過對“小金庫”的設立情況將誠信等級分為幾等,區別對待不同等級的單位,以促使各單位杜絕“小金庫”的設立。三是與單位其他財務評價或考核體系掛鉤。這樣會促使單位所有人員有一全面的風險意識,不嚴格執行內部控制有關規定,將面臨較大的財務風險。
綜上所述,增強財務風險意識,最大限度地防范和控制財務風險,是擺在單位管理者面前十分重要的課題。完善的內部控制體系是確保各項預算資金安全運行,提高資金使用績效,保障支出合法合規、資產安全完整,財務報告及相關信息真實完整的重要保證,而加強以財務風險管理為核心的內部控制制度建設,可以幫助行政事業單位堵塞管理漏洞,避免損失浪費。當然,也要認識到,風險管理和內部控制是一個系統工程,它不僅僅是財務部門的工作,它是整個系統或單位內部各項資源的最優整合,它需要各職能部門的參與,同時內部控制體系的構建也不是一蹴而就的,它需要循序漸進地推動和完善。隨著《規范》及其《指引》的頒布和執行,其成功經驗必將為行政事業單位的內部控制體系的建設提供更多有益的幫助。
