《行政事业单位内部控制规范》(征求意见稿)浅析

2008年6月我国五部委联合了《企业内部控制基本规范》（以下简称企业规范），是企业进行内部控制建设的纲领性文件；2011年11月财政部公布了《行政事业单位内部控制规范》（征求意见稿）（以下简称单位规范），填补了我国行政事业单位内部控制规范的空白，为行政事业单位加强内部控制建设提供了标准。行政事业单位规范和企业规范相比，既有相同点，也有诸多不同点。

一、行政事业单位规范与企业规范异同

（一）制定目的异同 企业规范制定目的是“为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益”；单位规范制定目的是：“为了促进行政事业单位加强和规范内部控制，提高内部管理水平和风险防范能力，推进廉政建设，维护社会公众利益”。两规范都有四个制定目的，而且既有微观制定目的，还有宏观制定目的；既包括短期制定目的，又包括长期制定目的。从微观角度看，都是为了促进行政事业单位（或企业）加强和规范内部控制、提高管理水平和风险防范能力；从宏观角度和长远看，都是为了维护社会公众利益。不同之处是：企业规范的出台，对企业而言，还为了促进企业长期可持续发展；对整个社会而言，最终为了维护社会主义市场经济秩序；单位规范的出台还为了切实推进廉政建设。行政事业单位作为党和政府的工作部门，掌握着大量的财政资金和国有资产，内部控制可作为行政事业单位廉政建设的防火墙，确保各项活动有章可循，促进单位人员廉洁从政，从源头上和制度上防止腐败行为的发生。

（二）制定依据与适用范围异同 两规范制定的共同依据是会计行业的基本法——《会计法》。不同的是，单位规范的制定依据还有《预算法》，原因在于行政事业单位的资金全部或部分来自于财政预算拨款，必须按照批准的计划或预算列支，而《预算法》是规范预算编制、预算审批监督和预算管理执行的基本法律；而企业规范的制定依据增加了《公司法》、《证券法》两部法律，这说明企业内部控制不仅仅是会计的职责，而是以企业为主体，以政府监管为促进，以中介机构审计为重要组成部分的实施机制。单位规范适用于不以盈利为目的的非企业单位，包括党政工作部门、检察机关、审判机关、人民团体和事业单位；而企业规范主要适用于以盈利为目的的企业，尤其是大中型企业，小企业和其他单位可以参照建立与实施。可见行政事业单位既可以遵守单位规范，也可以遵守企业规范，尤其是在单位规范还未正式出台之前。

（三）整体结构异同 企业规范共七章50条，第一章是总则，主要阐述企业规范的制定依据、适用范围、内部控制的概念和原则、五要素，共1291个字，从第三章到第六章则对五要素（内部环境、风险评估、控制活动、信息与沟通、内部监督）进行详细阐述，第七章是附则。企业规范整体结构简单，层次清晰，文字精练，是企业内部控制规范的基础性文件。在此基础上，2010年又制定了相应的配套指引，配套指引是对企业基本规范的具体化和必要补充；2012年出台了第一号企业内部控制解释，从而构成了完整的“基本规范+配套指引+内控解释”的企业内部控制规范体系。与企业规范相比，单位规范内容较丰富，但整体结构不够清晰和完整。单位规范共十一章63条，第一章的内容和企业规范基本相同，也是五项，但字数仅有362个，而且尽管提出了内部控制五要素，但却没有按照五要素的顺序来展开叙述；第二章是内部控制的基本要求，内容杂乱，不仅提到建立健全内部控制关键岗位责任制，还提到为内部控制关键岗位配备能力和资质合格的业务人员，还涉及到风险评估要素的部分内容和七种内部控制控制措施，几乎没有涉及到“内部环境”要素和“信息与沟通”要素；从第三章到第九章是阐述具体的控制活动（预算控制、收支控制、采购控制、资产控制、建设项目控制、债务控制、经济合同控制）；第十章非常突兀地阐述“内部监督”要素，但标题却是“评价与监督”，如此安排，最终导致单位规范变成“企业基本规范+应用指引”的混合体。另外，单位规范明显带有2001年的《内部会计控制规范——基本规范》（试行）的痕迹，不仅规范的整体结构大致相似，而且提出的内部控制措施基本相同。

（四）内部控制内涵异同 企业规范第三条规定，“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。”单位规范第三条认为，“内部控制是指单位为实现控制目标，通过制定一系列制度、实施相关措施和程序，对经济活动的风险进行防范和管控的动态过程”。两规范都认为内部控制是一个动态过程，但还存在不少差异：（1）企业规范明确内部控制的主体是企业董事会、监事会、经理层和全体员工。其中，董事会负责内部控制的建立健全和有效实施，监事会对董事会建立与实施内部控制进行监督，经理层负责组织领导企业内部控制的日常运行，企业全体员工应当自觉维护内部控制的有效执行，从而构建了自上而下的全员内部控制责任主体体系；而单位规范用“单位”这种模糊的字眼来阐述，不利于内部控制责任的分解和落实。（2）企业规范吸收了美国《内部控制整体框架》（以下简称COSO报告）以及《企业风险管理整体框架》（以下简称ERM框架）的要义，其定位是企业的全面内部控制，即融合了内部会计控制和内部管理控制，同时体现了全面风险管理；而单位规范主要定位于经济活动风险的防控，侧重的是内部会计控制。对内部控制中的大部分管理控制，如组织架构控制、人力资源控制、社会责任控制等内容，因其与会计不相关或相关性不强而被排除在单位规范之外。（3）企业规范借鉴国际先进经验，构建了以内部环境为重要基础、以风险评估为重要环节、以控制活动为重要手段、以信息与沟通为重要条件、以内部监督为重要保证，相互联系、相互促进的五要素内部控制框架；而单位规范强调通过“制定一系列制度、实施相关措施和程序”来防范风险，主要强调“控制活动”要素，对其他四要素的重视不够，意味着行政事业单位对内部控制的认识还没有达到最新阶段——内部控制的整体框架阶段，落后于国内企业规范和国际上有关内部控制规范。

（五）内部控制目标异同 企业规范认为内部控制的目标有五个，分别为：合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效率和效果，促进企业实现发展；单位规范认为内部控制的目标有四个，分别为：合理保证单位经济活动合法合规、资产安全完整、财务信息真实准确，提高公共服务的效率和效果。通过比较发现，两规范都承认内部控制的合规性、资产安全性、信息真实性、经营（或公共服务）有效性四目标。不同的是，单位规范没有提出发展战略目标，这种规定一方面借鉴了1999年美国审计总署（GAO）修订的《联邦政府内部控制准则》的做法，另一方面也是现阶段我国行政事业单位内部控制的现状所决定的。与企业内部控制相比，不论是在理论研究方面，还是在实务操作上，我国行政事业单位内部控制还处在一个起步阶段，内部控制目标不宜定得太高，以免脱离实际。

（六）遵循原则异同 两规范都认为建立并实施内部控制应遵循制衡性原则、重要性原则、适应性原则以及成本效益原则四个原则。不同之处有二：一是企业规范还提出，企业内部控制首先应遵循全面性原则，而单位规范无此原则。根本原因在于两规范对内部控制的概念认识不同。企业规范强调进行全面风险管理，必然应遵循全面性原则，而单位规范提出仅仅对经济活动的风险进行防控，所以无须有此原则。二是单位规范仅仅提出了四原则，没有进行解释和说明；企业规范提出了五原则，并在第一章第四条对各原则进行了较详细的解释，保证了对内部控制原则的正确理解和把握。例如企业规范认为全面性是指内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

（七）内部控制措施异同 两规范都提出了七个措施，而且都提出了不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制五个措施。不同之处如下：（1）部分措施名称不同，但内容并无实质区别。如企业规范的“不相容职务分离控制”和单位规范的“不相容岗位分离控制”，都是强调要划分职责权限，实施分离措施，形成各负其责、相互制约的工作机制；企业规范的“授权审批控制”和单位规范的“内部授权审批控制”，都是要求要明确内部授权审批的范围、权限、程序、责任等；企业规范的“财产保护控制”和单位规范的“资产保护控制”，都是要求建立资产日常管理制度和定期清查制度，采取各种措施，确保资产安全完整。（2）单位规范提出了业务流程控制措施，而企业规范没有；企业规范提出了运营分析控制措施，而单位规范没有，企业内部控制的经营有效性目标和发展战略目标决定了对企业的运营（生产、购销、投资、筹资、财务）进行分析和控制的必要性。（3）部分措施名称相同，但内容有一定区别。如两规范都提出了预算控制，但区别有二：一是企业规范根据其内部控制的概念以及全面性原则，要求企业实施全面预算管理制度，预算控制的范围广；而单位规范的预算控制主要强调对经济活动进行预算约束，实现对经济活动的风险控制，预算控制的范围较窄。二是企业预算控制环节涉及到预算的编制、审定、下达和执行程序；而行政事业单位预算控制的环节要多得多，不仅包括预算的编制、执行，还包括分析、调整、决算编报、绩效评价等环节。（4）企业规范明确提出了针对个人的绩效考评控制措施，并明确其内容包括建立和实施绩效考评制度、科学设置考核指标体系、对员工定期考核和客观评价；而单位规范没有单独提出绩效考评控制措施，而是将其纳入预算控制措施，且侧重于对单位预算支出的绩效评价，忽略了人是内部控制环境中一个最活跃的控制因素，科学的绩效考评制度对内部控制至关重要。（5）关于会计系统控制。单位规范在第14条规定，“要求单位建立健全本单位会计管理制度，强化会计人员岗位责任制，规范会计基础工作，明确会计凭证、会计账簿和会计报告处理程序，加强会计档案管理。”与企业规范相比，单位规范中的会计系统控制措施不够完整、不够具体，对行政事业单位的内部控制建设不具有实际指导作用。（6）关于信息技术控制。企业规范延续了美国COSO和ERM的基本理念，将信息技术作为内部控制的一个要素——信息与沟通，在企业规范第五章加以阐述，并且专门出台了《企业内部控制应用指引第18号——信息系统》进行具体规范；而单位规范在第一章第六条将信息技术作为“信息与沟通”要素的组成部分，但在第二章第十四条又将信息技术作为一项控制措施纳入了“控制活动”要素，从而出现了两要素内容的交叉，与国际惯例不符。而且单位规范仅仅用131个字来描述信息技术控制，对信息技术的重视程度远远不够。

（八）内部监督要素异同 两规范都提出了“内部监督”要素，并专门用一章的篇幅来阐述其内容；都提出要制定内部控制评价制度，对内部控制的有效性进行评价，并形成书面报告；接受注册会计师审计的行政事业单位或企业，接受委托的会计师事务所都应当对其内部控制的有效性进行审计，并发表审计意见或出具审计报告；内部控制评价方法都有穿行测试、实地查验、问卷调查、抽样和比较分析、专题讨论六大方法；两规范都提到对发现的内部控制缺陷，应当分析产生的原因，提出改进方案。两规范的不同之处如下：对于内部监督要素，财政部门不仅出台了企业基本规范，而且单独出台了《企业内部控制评价指引》进行详细阐述；对行政事业单位，仅仅出台了单位规范，而且还未正式公布实施，可见行政事业单位内部控制规范体系的建设才刚刚起步，而企业已基本建立起完整的内部控制规范体系；企业的内部控制评价方法除上述六大方法外，还有个别访谈法，而单位规范没有；企业规范及《企业内部控制评价指引》规定了内部控制缺陷的概念和分类；单位规范仅仅提到内部控制缺陷，既没有进行概念鉴定，也没有对缺陷进行分类；单位规范在第六十一条要求财政部门对本行政区域内各单位内部控制的建立和执行情况进行监督检查，还要求审计机关对各单位的内部控制有效性进行审计并发表审计意见，从而通过外部监查来促进行政事业单位加强内部控制建设；企业规范规定，内部控制评价报告应当报经董事会或类似权力机构批准后对外披露或报送相关部门；而单位规范规定，行政事业单位的内部控制评价报告经单位负责人签字后应当报送同级财政部门。

二、行政事业单位规范完善建议

（一）整合并完善单位规范整体框架 方法有二：一是借鉴企业规范做法，采用基本规范+配套指引+内控解释的模式。将现行单位规范的名称改为《行政事业单位内部控制基本规范》，内容应简化，字数应减少，主要为行政事业单位的内部控制建设提供一个整体框架；配套指引规范具体的控制活动、内部控制评价和内部控制鉴证；对内部控制建设过程中出现的新问题可采用内部控制解释来进行补充。此模式的优势是形成较完整的、和企业相匹配的行政事业单位内部控制规范体系，同时也便于会计人员接受和理解。二是仍采用现行模式，但要按五要素的顺序来编写单位规范。第一章是总则；第二章是内部环境要素，侧重阐述组织架构、人力资源、社会责任和单位文化；第三章是风险评估，在原条款的基础上增加风险评估的方法和措施；第四章控制活动，将单位规范中的第三章至第九章纳入即可，作为体现行政事业单位内部控制特色的章节；第五章是信息与沟通，将原信息技术条款纳入并补充沟通的内容；第六章将原来的“评价与监督”改为内部监督，并补充内部控制缺陷的概念和分类。此模式的优势是单位规范的整体结构更简单，层次更清晰，内容更丰富，更具有可操作性，但同时会带来单位规范字数和内容的膨胀以及与其他法规的交叉重复。

（二）明确行政事业单位内部控制责任主体 无论是中外企业内部控制规范，还是国际的政府部门内部控制规范，都明确了内部控制的控制责任主体。可直接采用樊行健（2010）的做法，将行政事业单位内部控制定义为：由行政事业单位决策层、执行层、监督层和全体工作人员共同实施的、旨在合理保证实现行政事业单位控制目标的过程。

（三）统一两规范中内容相同但名称不同的控制措施称谓 由于企业规范出台时间早、影响范围广，建议单位规范和企业规范保持一致，具体就是把“不相容岗位分离控制”改为“不相容职务分离控制”，变“内部授权审批控制”和单位规范的“授权审批控制”，变“资产保护控制”为“财产保护控制”，如此，既可以避免无谓的歧义，又有利于会计人员快速接受和掌握。

（四）重视内部环境在内部控制中的基础性作用 美国等西方国家以及有关国际组织很早就意识到内部环境对内部控制的重要性，1992年的COSO报告、1999年的《联邦政府内部控制准则》、2004年ERM框架和《公共部门内部控制准则指南》都一致认可了内部环境的基础性地位，认为内部环境的好坏直接决定了内部控制的整体有效性。我国企业规范也借鉴了美国的做法，将内部环境作为内部控制的首要要素，并出台了《企业内部控制应用指引第1号——组织架构》、《企业内部控制应用指引第3号——人力资源》、《企业内部控制应用指引第4号——社会责任》、《企业内部控制应用指引第5号——企业文化》来进行补充规定。

（五）确定信息技术的归属，提高对信息技术的重视 单位规范可和企业规范以及美国COSO和ERM做法保持一致，将信息技术从控制措施中剔除，单独另起一章或一节对信息技术进行规范。同时，可借鉴企业规范或美国的做法，加大对信息技术控制的研究力度。

[本文系2012年河南省软科学研究计划项目“对河南省上市公司实施《企业内部控制应用指引》的研究”（项目号122400450380）和2012河南省教育厅科学技术研究重点项目“对我国企业内部控制规范体系的研究”（项目号12A630076）阶段性研究成果]

参考文献：

[1]刘玉廷、王宏：《美国加强政府部门内部控制建设的有关情况及其启示》，《会计研究》2008年第3期。