行政事业单位内部控制规范及相关制度应用指南

一、内控的概念

COSO委员会对内部控制的定义“公司的董事会、管理层及其他人士为实现以下目标提供合理保证而实施的程序：运营的效益和效率，财务报告的可靠性和遵守适用的法律法规”。

《企业内部控制基本规范》中指出，内部控制是由企业董事会、监事会、经理层和全体员工实施的，旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整，提高经营效益和效果，促进企业实现发展战略。

行政事业单位内部控制是政府部门和事业单位管理制度的组成部分。它由内部控制环境、风险评估、内部控制活动、信息及其沟通和内部控制监督等要素组成，并体现为与行政、管理、专业活动、财务和会计系统融为一体的组织管理结构、政策、程序和措施等，是行政事业单位为履行职能、实现总体目标而应对风险的自我约束和规范的过程。

（一）控制

什么是内控思想？过去强调的是牵制，过去强调的是会计控制。

现在是风险为导向的控制，强调的是单位的管理层角度的管理控制，而会计控制是内部控制的一个组成部分。

（二）管理

1.企业方面。

作为股东投资者，由于所有权和经营权进行分离。而作为投资者，要求投资获得收益，终极目的就是获得利润。因此在加强企业管理和运作中，会在方方面面有内控的思想的覆盖和渗透。

内部控制是一种管理，内控的理想状态是无需内控就可以遵守规章制度。 内控是一种管理，是对风险的管理。

对于企业而言，风险可能来自业务经营、合规、运营或财务方面，内部控制应当为企业的有效运营提供辅助条件，使企业有能力对目标实现的重大风险作出反应。

2.事业方面。

在事业单位，机关财务部门作为内控重要组成部分。财务管理，预算管理。

（三）流程

内控是控制的一个过程，这个过程是需要全员的参与，上到董事会、管理层、监事会（或主管部门），下到各级员工，都需要参与进来。

（四）合理保证

内部控制是一种合理保证，但它也存在局限性，因此不是一种绝对保证。

1.在一个单位的不同岗位之间要有内部控制措施。

如：签订合同VS管理合同，会计VS出纳，但这种岗位间的内控措施无法防止由于人员的串通导致的内控失效

2.内控是一个管理制度。

管理是一个由上到下的管理，而管理者的控制相对较弱，同时管理者自己的情况也会决定管理制度的实施。

3.大型或小型单位在建立内部控制系统时，均可能存在资源受限的问题。

1

二、内部控制理论的演变

内部控制理论是随着管理的需要、内部控制实践经验的丰富而逐渐发展起来的，大致经历了内部牵制、会计控制和管理控制阶段、控制要素阶段和内部控制整体框架四个理论阶段。

（一）内部牵制阶段

内部控制源于内部牵制，上世纪40年代以前是内部牵制阶段。

19xx年美国独立公共会计师协会提出内部控制的定义“为保证公司现金和其他资产的安全，检查账簿的准确性而采取的各种措施和方法。”侧重于财产安全和检查手段。

在现代的内部控制理论中，内部牵制仍占有相当重要的地位，是有关组织规划、职务分离控制的基础。

（二）会计控制和管理控制阶段

到20世纪60年代，在内部牵制的基础上，逐渐产生了内部控制制度的概念。将内部控制划分为内部会计控制和内部管理控制。这个控制包括授权与批准制度、从事财务记录和审核与从事经营或财产保管职务分离的控制、财产的实物控制和内部审计。

这一概念使内部控制扩大到企业内部各个领域。并将内部控制划分为内部会计控制和内部管理控制。

这个阶段内部控制侧重于财产安全、信息真实，强调会计的控制作用。

（三）内部控制要素阶段

19xx年，美国注册会计师协会发布《审计准则公告第55号》，提出内部控制结构具体包括三个要素：控制环境、会计制度、控制程序。公告认为区分会计控制和管理控制对审计师非常重要，而且认为这两者是不可分割的，是相互联系的。与此同时，控制环境逐步被纳入内部控制范畴。

控制环境是指对建立、加强或削弱特定程序的效率发生影响的各种因素的态度和行为。具体包括：经营者的管理哲学和经营作风、董事会及审计委员会的职能、人事政策和程序等等。

（四）内部控制框架阶段

COSO报告将内部控制具体内容划分为控制环境、风险评估、控制活动、信息和沟通及监督等五个要素。COSO报告是目前国内外最为权威的内部控制理论，其内涵和外延比以往任何一个内控概念都要深刻和宽泛。内部控制框架结构阶段，强调重视风险评估、信息沟通的控制作用。

（五）萨班斯法案

萨班斯法案要求建立内部控制责任体系，人人承担责任，公司出了事，一查到底落实到人。要求企业报告内部控制，并对内部控制进行评价，从组织结构入手，有组织就有路径便于落实内部控制工作。

要求CEO、CFO对建立和保持完整的内部控制体系负责；保证已经设计了内部控制体系；保证已经评价了财务报告编制之前90天内的某一日的内部控制有效性；在对外报告中陈述内部控制有效性的评价结论。向外部审计师和董事会下的审计委员会报告：在内部控制设计或运行中的所有重大控制缺陷；涉及管理层或在内部控制系统中起重要作用的其他雇员的任何欺诈行为；在对外报告中指明，在评价之后内部系统及其重要影响因素是否发生了重大变化以及整改措施。

（六）我国内控建设的理论方面

19xx年，财政部，《会计法》，单位应该“加强内部会计监督”。

2

20xx年，财政部，陆续发布《内部会计控制规范—基本规范》等7项内部会计控制规范。包括货币资金、采购与付款、销售与收款、工程项目、担保、对外投资等六个具体控制规范。

20xx年，中国人民银行，《商业银行内部控制指引》。

20xx年，银监会，《商业银行内部控制评价试行办法》。

……

20xx年，财政部、国资委、证监会、审计署、银监会和保监会联合发起成立企业内部控制标准委员会。

20xx年，11月8日，企业内部控制标准委员会发布了《企业内部控制规范—基本规范》和17个具体规范的征求意见稿。

20xx年6月28日，五部委（没有国资委）联合发布了我国首部《企业内部控制基本规范》，将于20xx年7月1日起首先在上市公司范围内实施。

三、行政事业单位内部控制的目标和原则

（一）内部控制的目标

内部控制是由行政事业单位的领导层和全体员工实施的、旨在提高行政事业单位管理服务水平和风险防范能力，促进单位可持续、健康发展，维护社会主义市场经济秩序和社会公众利益，实现行政事业单位管理服务目标所制定的政策和程序。

行政事业单位内部控制的目标是：

1.合法性——管理和服务活动的合法合规。

2.安全性——资产安全。

3.可靠性——财务报告及相关信息真实、完整。

4.效率性——提高管理服务的效率和效果。

5.风险防范——排除障碍实现单位发展战略。

（二）行政事业单位建立与实施内部控制应遵循的原则

1.全面性原则。

内部控制应当贯穿决策、执行和监督全过程，覆盖企业及其所属单位的各种业务和事项。

2.重要性原则。

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。

3.制衡性原则。

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督，同时兼顾效率。

首先是防范风险，其次才是兼顾运营效率。

4.适应性原则。

内部控制应当与行政事业单位的规模、状况和风险水平等相适应，并随着情况的变化及时加以调整。

5.成本效益原则。

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。 内部控制的设计和运行受制于成本与效益原则。成本小于效益，是任何理性的管理活动都必须遵循的法则。

四、我国行政事业单位内部控制现状

3

（一）当前行政事业单位内部控制存在的主要问题

1.费用支出缺乏有效控制。

行政事业单位对于行政经费的支出，特别是招待费、办公费、会议费、水电费等，普遍缺乏严格的控制标准；即使制定了内部经费开支标准，但仍较多采用实报实销制。

2.固定资产控制薄弱。

实行政府集中采购制度以后，行政事业单位固定资产的购置得到了有效控制，但使用管理仍缺乏相关的内部控制，重购轻管现象比较普遍。

3.财务管理弱化。

财务部门的工作限于记账、算账、报账，与业务控制脱节，对单位重要事项的决策、实施过程和结果均不了解，未能对业务部门实施必要的财务控制和监督，票据管理不到位。

4.岗位设置不够合理。

存在一人多岗、不相容岗位兼职现象。记账人员、保管人员、经济业务决策人员及经办人员没有很好的分离制约，存在出纳兼复核、采购兼保管等现象，出现管理漏洞。

5.预算控制比较薄弱。

首先是预算编制比较粗糙，部门预算的编制一般根据当年财政状况、上年收支、预算单位自身的特点和业务进行核定，没有细化到具体项目，预算支出达不到逐笔进行核定的要求。其次是预算刚性不够，预算的计划性、科学性不强，预算调整追加较为频繁，资金使用缺乏预见性，削弱了预算的约束控制力。

（二）行政事业单位内部控制薄弱的主要原因

1.内部控制观念淡薄。

2.内部控制制度不完善。

3.信息与沟通衔接不够。

4.管理人员业务素质不能适应内部控制工作的需要。

5.外部监督对单位内部控制健全性和有效性的监督检查不够。

内部控制制度是现代管理理论的重要组成部分,是强调以预防为主的制度,目的在于通过建立完善的制度和程序来防止错误和舞弊的发生,提高管理的效果及效率。

目前，我国行政事业单位内部控制中存在的问题：

1.内控意识相对薄弱, 特别是“一把手”的内控意识淡薄。有的单位负责人简单地将财政的部门预算控制等同于内部控制, 认为有了部门预算就无所谓内部控制体系了。

2.财务管理制度不健全。有效的管理控制需要坚实的基础，但行政事业单位财务会计基础工作仍较薄弱，还需要进一步的强化。

3.资产管理和控制制度有待加强。

4.对预算控制缺乏刚性。目前部门预算的编制一般仍根据当年财政状况、上年收支实绩、预算单位自身的特点和业务进行核定，大部分都还没有细化到具体项目，预算支出达不到逐笔进行核定的要求。另一个方面部门预算涵盖范围有限，预算之外的追加调整项目仍然很多，弹性较大。追加项目越多，预算的随意性越大，权威性和约束力就越差。

5.费用支出方面缺乏有效控制。目前，行政事业单位对于经费的支出（特别是招待费、办公费、会议费、车辆费等）普遍缺乏严格的控制标准，即使有些单 4

位制定了内部经费开支标准，但仍较多采用实报实销制，只要有相应审批人员签字同意，会计人员就予以报销；专项经费被挤占、挪用现象也较普遍，致使专项资金未能发挥其应有的资金效益。

6.固定资产管理比较薄弱。

7.票据管理不够严格到位。对票据的购、领、用、核销未按规定建立相应台账；对票据的使用情况未建立定期或不定期的抽查制度，容易导致一些执收部门延期上缴相应收入，甚至出现挪用公款问题；对使用后票据未能及时办理交验、核销，容易导致收入不入账、私设“小金库”等问题。

8.岗位设置不够合理。由于行政事业单位编制有限，人员紧张，岗位安排不尽合理，许多单位存在一人多岗、不相容岗位兼职现象。

第一节 行政事业单位内部控制的目标、原则和要素

一、内部控制的目标

内部控制是由行政事业单位的领导层和全体员工共同实施的、旨在提高行政事业单位管理服务水平和风险防范能力，促进单位可持续、健康发展，维护社会主义市场经济秩序和社会公众利益，实现行政事业单位管理服务目标所制定的政策和程序。

行政事业单位内部控制的目标可归纳为5个方面：

1.合理保证行政事业单位管理和服务活动合法合规；

2.合理保证行政事业单位资产安全、完整；

3.合理保证行政事业单位财务报告及相关信息真实完整；

4.提高行政事业单位管理服务效率和效果；

5.促进行政事业单位实现发展战略。

二、内部控制的原则

单位建立与实施内部控制，应当遵循下列原则：

（一）全面性原则

内部控制应当贯穿决策、执行和监督全过程，覆盖单位及其所属单位的各种业务和事项。 在设计内容上，必须突破会计控制的局限，在一个更为广阔的视野中，结合管理层面去构建内部控制，以确保管理层能有效地付诸管理活动、能有效地利用单位资源，员工有效地从事具体业务的操作，信息使用者能获得相关、可靠的单位信息。在设计对象上，内部控制制度应该包括对人的约束和激励、对各项业务活动的控制。在设计流程上，既应考虑各流程中的风险控制点，又应考虑各控制要素、控制过程之间的相互关联。

（二）重要性原则

内部控制应当在全面控制的基础上，关注重要业务事项和高风险领域。 管理层应采取恰当的程序去设定支持主体使命的目标，识别影响目标实现的各种风险并进行评估，在单位愿意承受的风险水平和所能接受的目标偏离程度的基础上，采取回避、承担、降低和分担的风险应对措施，使单位目标顺利得以实现。

（三）制衡性原则

内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互 5

制约、相互监督，同时兼顾运营效率。一项完整的经济业务事项，如果是经过两个以上的相互制约环节对其进行监督和核查，其发生错弊现象的几率就很低。就具体的内部控制措施来说，相互牵制必须考虑横向控制和纵向控制两个方面的制约关系。

（四）适应性原则

内部控制应当与单位规模、业务范围、竞争状况和风险水平等相适应，并随着情况的变化及时加以调整。

（五）成本效益原则

内部控制应当权衡实施成本与预期效益，以适当的成本实现有效控制。

三、内部控制的要素

（一）内部环境

内部环境规定单位的纪律与架构，影响管理目标的制定，塑造单位文化并影响员工的控制意识，是实施内部控制的基础。它通常包括下列方面：

1.单位的治理结构，比如管理层、核心部门的分工制衡及其在内部控制中的职责权限等；

2.单位的内部机构设置及权责分配，尽管没有统一模式，但所采用的组织结构应当有利于提升管理效能，并保证信息通畅流动；

3.内部审计机制，包括内部审计机构设置、人员配备、工作开展及其独立性的保证等；

4.单位的人力资源政策，比如关键岗位员工的强制休假制度和定期岗位轮换制度，对掌握国家秘密和其他重要秘密的员工离岗的限制性的规定等；

5.单位文化，管理层的诚信和道德价值观，单位全体员工的法制观念等。

（二）风险评估

风险是指一个潜在事项的发生对目标实现产生的影响。

风险评估是指单位及时识别、科学分析管理服务活动中与实现控制目标相关的风险，合理确定风险应对策略。

风险评估主要包括目标设定、风险识别、风险分析和风险应对。

常用的风险应对策略有：风险规避，即单位对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略；风险降低，即单位在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略；风险分担，即单位准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略；风险承受，即单位对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。

（三）控制活动

控制活动是指单位管理层根据风险评估结果，采用相应的控制措施，将风险控制在可承受度之内的政策和程序。控制措施可概括为7个方面，即不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制。同时规定单位应当建立重大风险预警机制和突发事件应急处理机制。

（四）信息与沟通

信息与沟通是指单位及时准确地收集、传递与内部控制相关的信息，确保信息在单位内部、单位与外部之间进行有效沟通，是实施内部控制的重要条件。 6

（五）内部监督

内部监督，即单位对内部控制建立与实施情况进行监督检查，评价内部控制的有效性，对于发现的内部控制缺陷，及时加以改进。内部监督是实施内部控制的重要保证，包括日常监督和专项监督。

第二节 内部环境

行政事业单位内部环境一般包括以下内容：诚信和道德价值观念、管理哲学和经营风格、组织机构设置与权责分配、单位文化、人力资源政策、内部审计机构设置。

为了更好地了解内部环境，可以对内部环境的主要构成要素进行如下分析：

一、诚信和道德价值观念

诚信和道德价值观念是控制环境的重要组成部分，影响到重要业务流程的设计和运行。内部控制的有效性直接依赖于负责创建、管理和监控内部控制的人员的诚信和道德价值观念。

（一）领导的操守和道德价值观念具有杠杆作用

诚信的原则和道德价值观，主要取决于单位负责人。负责人要以身作则，并传达给全体员工，将诱发人们不诚实、非法和不道德行为的动机降至最弱。 管理者必须立言、立行以昭示其高水平的道德标准。

（二）制定行为准则和其他原则

明确可以接受的商业行为，利益冲突的处理方式，员工行为的道德标准并确保这些准则和原则的有效执行。对员工精神规范、仪容仪表、工作纪律、待人接物、环境卫生、组织管理以及违反守则的处理办法等作出规定。

（三）管理者对干涉正常程序或凌驾制度行为的态度

努力杜绝此类现象的发生。

在预算审批、费用支出审批等方面均应建立职责权限的分工和设置不同级别管理层的审批权限。

（四）面临不现实的目标的压力

管理层在制定关键绩效指标时要考虑适当，过高的不现实的目标会导致员工丧失积极性和舞弊。同时要考虑财务指标以外的指标，例如团结协作、服务意识等工作态度与学识能力方面的指标。

二、管理哲学和经营风格

管理者的管理哲学和经营风格直接决定了一个单位可能采取的内部控制方式以及内部控制制度的受重视程度。它是控制环境中最基本、最主要的因素。

（一）管理层的主导作用

管理层负责单位管理服务活动的运作以及管理策略和程序的制定、执行与监督。控制环境的每个方面在很大程度上都受管理层采取的措施和作出的决策的影响，或在某些情况下受管理层不采取某些措施或不作出某种决策的影响。

（二）管理理念

管理层的理念包括管理层对内部控制的理念，即管理层对内部控制以及对具体控制措施的重视程度。

7

要使控制理念成为控制环境的一个重要特质，管理层必须告知员工内部控制的重要性。同时，只有建立适当的管理层控制机制，控制理念才能产生预期的效果。

衡量管理层对内部控制重视程度的重要标准，是管理层收到有关内部控制弱点及违规事件的报告时是否作出适当反应。

（三）管理层的经营风格

管理层的经营风格是指管理层所能接受的业务风险的性质。管理层的经营风格影响管理层对待内部控制的态度，影响在处理重大事项时所作的判断。

管理哲学和经营风格通常对单位有普遍深入的影响。这些影响是无形的，但可以找到一些积极和消极的标志。

（四）机构设置及权责分配

单位应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位。单位组织结构的设置把实现单位目标所需要的工作进行分解。

任何组织在进行机构设置时均需要遵守下列原则：

①任务目标原则；②有效管理幅度原则；③分工协作原则；④权责对等原则；⑤便于操作原则；⑥动态适应性原则。

机构设置还需要遵循一定的程序：①确定组织设计的基本方针和原则；②进行职能分析和职能设计；③设计组织结构的框架；④管理规范的设计；⑤人员配备和训练管理；⑥反馈和修正。

1.资源分配及权利配置的框架

建立优化的组织机构和高效的运作程序，明确授权形式和授权对象及组织行为的分配；使用、管理经济资源的权限和责任；在规范前提下高效率的运作实现组织的目标。

2.组织结构

负责人应当完全理解其控制责任并具备与其职位相称的必要的经验和知识水平。组织结构应既不过分集中也不过分分散，应有利于信息的上行下达并且贯穿所有经营行为。

3.权责分配

单位应当结合业务特点和内部控制要求设置内部机构，明确职责权限，将权利与责任落实到各责任单位，并通过编制内部管理手册使全体员工掌握内部机构设置、岗位职责、业务流程等情况，明确权责分配，正确行使职权。组织结构合理，权利责任分配适当，是内部控制发挥作用的前提条件。

适当分配职责并下放职权，不同的职责和权限应适当地分配给单位的全体员工，决策权与员工的职责和权限要相关联，应以充分的信息为依据分配职责和权责。管理层根据部门结构、职位说明书、员工的级别以及具体的工作范围和性质分配职责并赋予相应职权。

在费用审批方面，应明确规定实行分级审批制度。授权审批人可通过书面形式指定代理审批权人。

应建立执行特定职能（包括交易授权）的授权机制，确保每个人都清楚地了解相互关系和责任。对分散经营活动应有充分的监督，有效的权责分配制度有助于形成整体的控制意识。

单位职责分配考虑的主要因素包括：

（1）在单位内部是否有明确的职责划分，将业务授权、业务记录、资产保 8

管和维护以及业务执行的责任尽可能地分离；

（2）数据的所有权划分是否合理；

（3）是否已针对授权交易建立适当的政策和程序。

（五）单位文化

单位在长期的经营实践中形成的共同思想、作风、价值观念和行为准则，是一种具有单位个性的信念和行为方式。单位文化包含四个要素：制度文化、物质文化、行为文化、精神文化。

行政事业单位的单位文化主要应包括如下几点：

1.价值观念。是指人们基于某种功利性或道义性的追求而对人们（个人、组织）本身的存在、行为和行为结果进行评价的基本观点。价值观不是人们在一时一事上的体现，而是在长期实践活动中形成的关于价值的观念体系。行政事业单位价值观，是行政事业单位全体职工共同的价值准则。

2.精神面貌。精神面貌是基于自身特定的性质、任务、宗旨、时代要求和发展方向，并经过精心培养而形成的成员群体的精神风貌。

精神面貌是文化的核心，在整个文化中起着支配的地位。精神面貌以价值观念为基础，以价值目标为动力，对控制哲学、管理制度、道德风尚、团体意识和单位形象起着决定性的作用。

3.道德风尚。道德风尚是调整单位与其他单位之间、单位与服务对象之间、单位内部职工之间关系的行为规范的总和。

4.团体意识。团体即组织，团体意识是指组织成员的集体观念。团体意识是单位内部凝聚力形成的重要心理因素。团体意识的形成使单位的每个职工把自己的工作和行为都看成是实现单位目标的一个组成部分，使他们以作为单位的成员而感到自豪。

5.单位形象。单位形象是单位通过外部特征和服务表现出来的，被社会公众所认同的单位总体印象，是单位内部要素的集中体现。

6.规章制度。规章制度是在实践活动中所形成的，对人的行为带有强制性，并能保障一定权利的各种规定。

（六）人力资源政策

良好的人力资源政策不但对更好地贯彻和执行内部控制有很大的帮助，还能确保执行单位政策和程序的人员具有胜任能力和正直品行。

人力资源政策应当包括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位员工的强制休假制度和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性规定；有关人力资源管理的其他政策。

（七）内部审计机构设置

单位应当加强内部审计工作，保证内部审计机构设置、人员配备和工作的独立性。内部审计机构对监督检查中发现的内部控制缺陷，应当按照单位内部审计工作程序进行报告；对监督检查中发现的内部控制重大缺陷，有权直接向有关部门报告。

根据有关规定，我国内部审计机构按照本单位主要负责人或者权力机构的要求，主要履行的职责包括：

（1）对本单位及所属单位（含占主导地位的单位，下同）的财政收支、财务收支及其有关的经济活动进行审计；

（2）对本单位及所属单位预算内、预算外资金的管理和使用情况进行审计； 9

（3）对本单位内设机构及所属单位领导人员的任期经济责任进行审计；

（4）对本单位及所属单位固定资产投资项目进行审计；

（5）对本单位及所属单位内部控制制度的健全性和有效性以及风险管理进行评审；

（6）对本单位及所属单位经济管理和效益情况进行审计；

（7）法律、法规规定和本单位主要负责人或者权力机构要求办理的其他审计事项。

内部审计程序通常包括准备阶段、实施阶段、终结阶段以及后续审计4个环节，应根据管理层确定的职责范围和委托的工作任务对审计项目开展内部审计工作。

第三节 风险评估

风险评估是辨认和分析与目标实现有关的风险的过程。

（一）设置目标

行政事业单位开展风险评估，应当准确识别与实现控制目标相关的内部风险和外部风险，确定相应的风险承受度。风险承受度是单位能够承担的风险限度，包括整体风险承受能力和业务层面的可接受风险水平。

单位在确定风险承受度时应当考虑的内容包括：

①法律、经济方面的限制。②控制程度。如果单位对结果的控制能力很低或者根本就没有控制能力，那么单位就无法制定较高的风险承受度。

③风险转移。

④机会成本。

⑤制定较高的风险承受度可能是惟一可能的方法。有时单位无法防范损失，此时，单位别无选择，只能制定较高的风险承受度，必须自己来承担风险。

（二）风险识别

风险识别实际上是收集有关损失原因、危险因素及其损失暴露等方面信息的过程。风险识别作为风险评估过程的重要环节，主要回答的问题是：存在哪些风险？哪些风险应予以考虑？引起风险的主要因素是什么？这些风险所引起的后果及严重程度如何？风险识别的方法有哪些等。

单位的内部风险因素主要有：①管理人员的职业操守、员工专业胜任能力等人力资源因素；②组织机构、资产管理、业务流程等管理因素；③研究开发、技术投入、信息技术运用等自主创新因素；④财务状况、现金流量等财务因素；⑤营运安全、员工健康、环境保护等安全环保因素以及其他因素。

单位的外部风险因素主要有：①经济形势、产业政策、融资环境、市场竞争、资源供给等经济因素；②法律法规、监管要求等法律因素；③安全稳定、文化传统、社会信用、教育水平、消费者行为等社会因素；④技术进步、工艺改进等科学技术因素；⑤自然灾害、环境状况等自然环境因素以及其他因素。

（三）风险分析

风险分析是在风险识别的基础上对风险发生的可能性、影响程度等进行描述、分析、判断，并确定风险重要性水平的过程，是风险评估的独立环节。 风险分析的程序主要包括：分析风险因素、风险事故，捕捉风险征兆，确定风险的存在；分析风险可能性即风险发生的频率；分析风险发生的可能影响。 10

分析的方法是定性和定量技术的结合。定性分析方法是直接运用定性术语描述风险发生可能性的高低以及其对目标的影响程度。

定量分析方法是用数量方法描述风险发生可能性的高低以及其对目标的影响程度，大多数是建立在数学模型基础上的。

（四）风险应对

单位风险应对策略有四种基本类型：风险规避、风险降低、风险分担、风险承受。单位应当综合运用风险应对策略，实现对风险的有效控制。

1.风险规避

风险规避是单位对超出风险承受度的风险，通过放弃或者停止与该风险相关的业务活动以避免和减轻损失的策略。这是控制风险的一种最彻底、最有力的措施，它与其他的控制风险方法不同，是在风险事故发生之前，将所有风险因素完全消除，从而彻底排除某一特定风险事故发生的可能性，

2.风险降低

风险降低是单位在权衡成本效益之后，准备采取适当的控制措施降低风险或者减轻损失，将风险控制在风险承受度之内的策略。

3.风险分担

风险分担是单位准备借助他人力量，采取业务分包、购买保险等方式和适当的控制措施，将风险控制在风险承受度之内的策略。

4.风险承受

风险承受是单位对风险承受度之内的风险，在权衡成本效益之后，不准备采取控制措施降低风险或者减轻损失的策略。这也是一种最普通、最省事的风险应对策略。

例如，某工商局门口停车场安排人员收费，每年收款总额在20 000元左右，单位安排临时工李某收取，如果为了防止李某贪污舞弊，另外专门安排一个正式员工每日专门复核款项，这时支付给复核人员的工资要远远高于20 000元，显然不符合成本效益原则，因此对于这种存在的舞弊风险单位就应该采用风险承受策略。

风险应对的四种策略是根据单位的风险偏好和风险承受度制定的，风险规避策略在采用其他任何风险应对措施都不能将风险降低到单位风险承受度以内的情况下适用；风险降低和风险分担策略则是通过相关措施，使单位的剩余风险与单位的风险承受度相一致；风险承受则意味着风险在单位可承受范围之内。

（五）风险评估的监督和评价

风险的监督和评价过程，包括监督和评价识别风险的充分性，以及针对这些风险所采取措施的恰当性。行政事业单位应设置或指定专门机构，对单位整体的风险评估过程和应对措施进行了解和评价。风险的监督和评价考虑的主要因素可能包括：

1.单位是否已建立、沟通整体目标，并辅以具体策略和具体管理服务活动的开展计划；

2.单位是否已建立风险评估制度并保证运行，包括识别风险、估计风险的重大性、评估风险发生的可能性以及确定需要采取的应对措施；

3.单位是否已建立某种机制，识别和应对可能对单位产生重大且普遍影响的变化等；

4.风险控制管理部门是否建立了某种流程，以识别外部环境、内部环境发生的重大变化。风险应对措施的调整机制是否运行有效。

11

第四节 控制活动

控制活动是指有助于确保管理者的指令得以执行，合理保证管理服务目标的实现、指导员工实施管理指令、管理和化解风险而采取的政策和程序，属于组织的基础行为。

控制措施一般包括：不相容职务分离控制、授权审批控制、会计系统控制、财产保护控制、预算控制、运营分析控制和绩效考评控制等。

一、不相容职务分离控制

不相容职务分离控制要求行政事业单位全面系统地分析、梳理业务流程中所涉及的不相容职务，实施相应的分离措施，形成各司其职、各负其责、相互制约的工作机制。所以单位进行组织规划，首先是要对不相容职务进行分离。 在单位中，通常有6大类主要的不相容职务：

1.授权进行某项经济业务和执行该项业务的职务要分离；

2.执行某些经济业务和审核这些经济业务的职务要分离；

3.执行某项经济业务和记录该项业务的职务要分离；

4.保管某些财产物资和对其进行记录的职务要分离；

5.保管某些财产物资和使用这些财产物资的职务要分离；

6.执行某项经济业务与监督这些经济业务的职务要分离。

二、授权审批控制

授权审批控制要求行政事业单位根据常规授权和特别授权的规定，明确各岗位办理业务和事项的权限范围、审批程序和相应责任。

授权按照其形式可分为常规授权和特别授权。常规授权是单位在日常经营管理活动中按照既定的职责和程序进行的授权。特别授权是对非经常经济行为进行专门研究后作出的授权。

审批控制措施作为内部控制措施的重要内容之一，应该得到单位的重视，所以在实施审批控制措施时应遵循以下原则：全面控制和重点控制相结合的原则；事前审批和事后审批相结合的原则；相互牵制的原则；程序定位的原则。

根据这些原则，审批控制措施应该包括的内容有：审批人员和审批权限；审批程序；审批内容；审批人员的责任；设立事后监督机制；以现有的稽核、审计、纪律检查部门为基础，成立内部审计委员会。这些措施对单位及时发现问题、防范和化解单位风险都有重要的作用。

三、会计系统控制

四、财产保护控制

行政事业单位应建立财产日常管理制度和定期清查制度，采取财产记录、实物保管、定期盘点、账实核对等措施，确保财产的安全完整，严格限制未经授权的人员接触和处置财产。

五、预算控制

12

预算控制要求行政事业单位实施全面预算管理制度，明确各责任单位在预算管理中的职责权限，规范预算的编制、审定、下达和执行程序，强化预算约束。

六、运营分析控制

开展运营活动分析的目的在于把握行政单位管理和服务活动是否向着预算规定的目标值发展，一旦发生偏差和问题就能找出问题所在，并根据新的情况解决问题或修正预算。

七、绩效考评控制

绩效考评控制要求行政单位建立和实施绩效考评制度，科学设置考核指标体系，对单位内部各责任单位和全体员工的业绩进行定期考核和客观评价，将考评结果作为确定员工薪酬以及职务晋升、评优、降级、调岗、辞退等的依据。 绩效考评首先要确定绩效目标，然后进行绩效辅导，是管理者对员工完成工作目标的过程进行辅导，帮助员工不断改进工作方法和技能，及时纠正行为与工作目标之间出现的偏离，并对目标和计划进行跟踪和修改。同时管理者要依据绩效计划阶段所确立的标准和绩效辅导阶段收集的数据来对员工在考核期内的绩效进行评价。再次是管理者与员工之间的有效沟通，员工通过反馈知道主管对他的评价和期望，从而根据要求不断提高；主管通过反馈指出员工的绩效水平和存在的问题，有的放矢地进行激励和指导。最后将绩效结果应用于工资调整及奖金分配、晋升与职务调整、培训教育、员工职业生涯发展等。

在控制活动中行政事业单位还应该建立重大风险预警机制和突发事件应急处理机制。

第五节 信息与沟通

信息是影响单位内部环境、风险评估、控制活动、内部监督等方面的信息。 沟通是信息系统的一部分，是组织中的信息交流。信息交流是组织结构的核心，是组织存在的基础，没有信息交流就没有组织。

一、信息搜集

单位在进行信息搜集时应明确搜集的内容、方式等，行政事业单位应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。 因为不同单位需要的信息存在差异，各单位对每类信息的侧重点也存在差异。因此单位应结合自身特点以及成本效益原则，选择适合的方式搜集有价值的信息。

二、信息传递

行政事业单位应当将内部控制相关信息在单位内部各管理级次、责任单位、业务环节之间以及外部有关方面之间进行沟通和反馈。

信息传递中存在一些问题，常见的有准确性问题、完整性问题、及时性问题和安全性等问题，所以针对这些问题单位就应该加强信息传递过程的监督与复核、加强信息传递者和使用者的知识储备、加强对信息系统的改进以及信息传递与单位文化的结合。

13

三、信息共享

单位的内部控制系统实质上是一个信息系统，是一个对信息进行搜集、核对、整合、传递的过程，并且通过反馈机制改进信息的搜集、处理和传递，从而形成一个灵敏的信息沟通机制，促进内部控制目标的实现。

单位应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。

四、反舞弊机制、举报人投诉制度和举报人保护制度

有效的信息交流机制可以对防范以及及时发现舞弊行为起到很好的作用。单位应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。

单位至少应当将下列情形作为反舞弊工作的重点：①未经授权或者采取其他不法方式侵占、挪用单位资产，牟取不当利益。②在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。③单位负责人及其他高级管理人员滥用职权。④相关机构或人员串通舞弊。

另外，单位应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办理要求，确保举报、投诉成为单位有效掌握信息的重要途径。

第六节 内部监督

内部监督是内部控制体系中不可或缺的一部分，是内部控制得到有效实施的有力保障，具有非常重要的地位。

一、内部监督的组织结构

行政事业单位建立的内部审计机构或者实际履行内部控制监督职责的有关机构，应当根据国家法律法规要求和单位领导的授权，采取适当的程序和方法，对内部控制的建立与实施情况进行监督检查，形成检查结论并出具书面检查报告。

二、内部监督的方式

内部监督的施行方式包括两种：

（一）日常监督与专项监督以及两种方式的有机结合

日常监督是指单位对建立与实施内部控制的情况进行常规、持续的监督检查；专项监督是指在单位组织结构、业务流程、关键岗位员工等发生较大调整或变化的情况下，对内部控制的某一或者某些方面进行有针对性的监督检查。 专项监督的范围和频率应当根据风险评估结果以及日常监督的有效性等予以确定。

如果单位的日常监督能够有效地起到监督效果，可以减少专项监督的频率。

（二）持续性监督检查和专项监督检查以及两种方式的有机结合

持续性监督检查，是指单位对建立和实施内部控制的整体情况所进行的连续 14

的、全面的、系统的、动态的监督检查。

专项监督检查，是指单位对内部控制建立与实施的某一方面或者某些方面的情况所进行的不定期的、有针对性的监督检查。

三、内部控制评价

单位实施内部控制评价，应当遵循风险导向原则、一致性原则、公允性原则、独立性原则、成本效益原则等。以此对内控五要素和内控有效性进行评价。 单位应当以书面或者其他适当的形式，妥善保存内部控制建立与实施过程中的相关记录或者资料，确保内部控制建立与实施过程的可验证性。

第七节 行政事业单位内部控制制度评价

行政事业单位内部控制评价，是指由单位负责人和管理层实施的，对单位内部控制有效性进行评价，形成评价结论，出具评价报告的过程。

一、内部控制评价的原则

单位实施内部控制评价，应当遵循下列原则：

1.风险导向原则。内部控制评价应当以风险评估为基础，根据风险发生的可能性和对单位单个或整体控制目标造成的影响程度来确定需要评价的重点业务单元、重要业务领域或流程环节。

2.一致性原则。内部控制评价应当采用统一可比的评价方法和标准，保证评价结果的可比性。

3.公允性原则。内部控制评价应当以事实为依据，评价结果应当有适当的证据支持。

4.独立性原则。内部控制评价机构的确定及评价工作的组织实施应当保持相应的独立性。

5.成本效益原则。内部控制评价应当以适当的成本实现科学有效的评价。

二、内部控制评价考虑的因素

单位实施内部控制评价，应考虑的主要因素可能包括：

1.单位是否定期评价内部控制，单位的每一种活动，是否都有适当的政策和程序进行规范；

2.单位人员在履行正常职责时，能够在多大程度上获得内部控制是否有效运行的证据；

3.与外部的沟通是否能够证实内部控制存在的问题，或者指出存在的问题；

4.管理层是否采纳内部审计人员和监督部门有关内部控制的建议；

5.管理层是否及时纠正控制运行中的偏差；

6.管理层是否及时根据监管机构的报告及建议采取纠正措施；

7.是否存在协助管理层监督内部控制的职能部门（如内部审计部门）；

8.监督部门的：①独立性和权威性；②向谁报告；③是否有足够的人员、培训和特殊技能；④是否坚持适用的专业准则；⑤活动的范围；⑥计划、风险评估和执行工作的记录和形成结论的适当性；

15

三、内部控制评价内容

评价内容包括但不限于：

1.单位组织结构中的职责分工的健全状况；

2.各项内部控制制度及相关措施是否健全、规范，是否与单位内部的组织管理相吻合；

3.各项工作中的业务处理与记录程序是否规范、经济，其执行是否有效；

4.各项业务工作中的授权、批准、执行、记录、核对、报告等手续是否完备；

5.各岗位的职权划分是否符合不相容岗位相互分离的原则，其职权履行是否得到有效控制；

6.是否有严格的岗位责任制度和奖惩制度；

7.关键控制点是否均有必要的控制措施，其措施是否有效执行；

8.内部控制制度在执行中受管理层的影响程度。

四、内部控制评价程序

单位应当按照制定评价方案、实施评价活动、编制评价报告等程序开展内部控制评价。

（一）建立内部控制评价机构

内部控制评价机构应当根据单位整体控制目标，制定内部控制评价工作方案，明确评价目的、范围、组织、标准、方法、进度安排和费用预算等内容，报单位负责人及高级管理层审批。

（二）对内部控制制度的建立和执行情况进行调查

通过审阅相关的规章制度、现场询问有关人员、实地观察等方法调查了解内部控制制度的建立和执行的详细情况，并作出初步评价。

（三）对内部控制制度进行测试

内部控制评价范围的确定应当遵循风险导向、自上而下的原则，应确定需要评价的分支机构、重要业务单元、重点业务领域或流程环节。

内部控制测试的方法主要包括：

1.个别访谈法。是指单位根据检查评价需要，对被查单位员工进行单独访谈，以获取有关信息。

2.调查问卷法。是指单位设置问卷调查表，分别对不同层次的员工进行问卷调查，根据调查结果对相关项目作出评价。

3.比较分析法。是指通过分析、比较数据间的关系、趋势或比率来取得评价证据的方法。

4.标杆法。是指通过与组织内外部相同或相似经营活动的最佳实务进行比较而对控制设计有效性评价的方法。

5.穿行测试法。是指通过抽取一份全过程的文件，来了解整个业务流程执行情况的评估评价方法。

6.抽样法。是指单位针对具体的内部控制业务流程，按照业务发生频率及固有风险的高低，从确定的抽样总体中抽取一定比例的业务样本，对业务样本的符合性进行判断，进而对业务流程控制运行的有效性作出评价。

7.实地查验法。是指单位对财产进行盘点、清查，以及对存货出、入库等控制环节进行现场查验。

8.重新执行法。是指通过对某一控制活动全过程的重新执行来评估控制执行情况的方法。

16

9.专题讨论会法。是指通过召集与业务流程相关的管理人员就业务流程的特定项目或具体问题进行讨论及评估的一种方法。

（四）对内部控制制度进行评价

对内部控制制度进行评价主要是对内部控制中的具体问题，特别是对差错、浪费、损失、非授权使用或滥用职权等敏感问题进行评价，找出失控的原因，提出相应的改进、补救措施。

单位在判断内部控制设计与运行有效性时，应当充分考虑下列因素：

1.是否针对风险设置了合理的细化控制目标；

2.是否针对细化控制目标设置了对应的控制活动；

3.相关控制活动是如何运行的；

4.相关控制活动是否得到了持续一致的运行；

5.实施相关控制活动的人员是否具备必需的权限和能力。

单位在内部控制评价中，应对内部控制缺陷进行分类分析。内部控制缺陷一般可分为设计缺陷和运行缺陷。设计缺陷是指缺少为实现控制目标所必需的控制或现存控制设计不适当、即使正常运行也难以实现控制目标；运行缺陷是指现存控制设计完好但没有按设计意图运行，或执行者没有获得必要授权或缺乏胜任能力以有效地实施控制。

单位对内部控制评价过程中发现的问题，应当从定量和定性等方面进行衡量，判断是否构成内部控制缺陷。存在下列情况之一，单位应当认定内部控制存在设计或运行缺陷：

1.未实现规定的控制目标；

2.未执行规定的控制活动；

3.突破规定的权限；

4.不能及时提供控制运行有效的相关证据。

（五）编写内部控制评价报告

单位应当结合年末控制缺陷的整改结果，编制年度内部控制评价报告。内部控制评价报告至少应当包括下列内容：

1.内部控制评价的目的和责任主体；

2.内部控制评价的内容和所依据的标准；

3.内部控制评价的程序和所采用的方法；

4.衡量重大缺陷严重偏离的定义，以及确定严重偏离的方法；

5.被评估的内部控制整体目标是否有效的结论；

6.被评估的内部控制整体目标如果无效，存在的重大缺陷及其可能的影响；

7.造成重大缺陷的原因及相关责任人；

8.所有在评估过程中发现的控制缺陷，以及针对这些缺陷的补救措施及补救措施的实施计划等。

单位可以根据被评估的整体控制目标的不同，适当调整评价报告的内容。 17