《内控规范》第三条提出了内部控制的定义:本规范所称内部控制,是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济业务活动的风险进行防范和管控。
从静态的角度理解,内部控制是行政事业单位为了防范和管控经济活动风险而建立的内部管理系统,这个系统由内部控制环境、风险评估、控制活动、信息与沟通和内部监督等要素组成,静态的内部控制简单了说就是一本手册(内部控制手册)和一套软件(内部控制信息管理系统)。
从动态的角度理解,内部控制是通过制定制度、实施措施和执行程序,为实现控制目标的自我约束的过程。动态的内部控制就是风险评估、业务执行和监督评价这三项活动,这些活动每年都要开展,按照PDCA循环的方式持续提升内部控制管理系统。
内部控制的定义中有几个关键词:控制目标,制度、措施和程序,经济活动、风险、防范和管控。搞清楚这几个关键词的含义,也就能够真正理解内部控制的定义和内容了。
一、控制目标
控制目标就是《内控规范》第五条描述的五个目标,我们认为,这五个目标在不同的单位、在内控建设的不同阶段,具体内容和侧重点是不一样的。当然,在内控建设的初期阶段,为提高内控体系建设工作的效率,建议还是直接把这五个目标直接照抄即可。
二、制度、措施和程序
这里的“制度”不是《局党组会议事规则》、《预算管理制度》、《办公用品管理办法》等具体的、条文式的管理制度,应该理解为一种工作机制,比如,决策、执行、监督相分离,授权审批、内部监督等等。中央曾在2013年提出“把权力关进制度的笼子里”工作要求,这里的“制度”也是指的机制建设。
“措施”是指通过风险识别和风险分析,确定风险等级,然后制定的应对方案,这些措施具体而言包括前面说的管理制度、管理表单、信息化管理系统等等,总之就是对风险进行防范和管控的具体操作办法。
“程序”就是做事的先后顺序,实际上就是业务流程,这是内控建设的重要内容,之所以重要,是因为识别风险的过程就是梳理流程的过程,管理制度实际上是对流程的详细说明和解释。
三、经济活动
经济活动是指《内控规范》第四章业务层面的六大业务。这些经济活动的特点是“以预算为主线,以资金管控为重点”。所以,与资金关系不大的业务活动,目前还不在内控的范围之内,比如,党建工作、人事考勤、专业业务活动等。有单位问:工会费属于内控的范围吗?我们认为,工会费不列入年度部门预算,虽然涉及到资金,但不符合“以预算为主线”的要求,所以不在内控的范围之内。《内控报告》专门有一张表考察“其他领域”内控制度建设的情况,这里的“其他领域”就是除六大业务之外的、与资金相关的业务活动,比如党费、工会费、离退休干部活动经费的管理等等。也就是说,六大业务领域之外的其他涉及资金业务的活动,目前还不在内控的范围之内,不过将来很有可能会纳入进来的。在内控建设初期阶段,建议“其他领域”的业务活动暂不作考虑,单位内控建设紧跟财政部文件的要求就可以了,要求到哪儿,就做到哪儿,绝对不能拖后或者遗漏,但也没必要超前。
需要注意的是,2012年财政部发布的《内控规范》只是要求对“经济业务活动”的风险进行防范和控制,2015年财政部根据中央的精神又下发了《指导意见》,明确提出单位内控的范围由经济业务活动扩大到权力运行,所以这个定义今天看来是需要补充修订的,在“经济活动”后面还要加上“权力运行”。
四、风险
在实践中,这个关键词是最容易被忽略的。内部控制控什么?是风险,不是活动,更不是人。风险越大,就必须要重点管控,比如接待费、差旅费等支出项目;资金额度大,但风险小,就不作为重点管控,比如人员工资支出,这在每家单位都是一项额度最大的基本支出,但确实不需要加强管控,因为这涉及到每个人的利益,一旦出错,立马就会有反馈。
正是基于这个原因,内控实施阶段首先要做的工作就是风险评估,同样的业务活动,执行的同一个法规文件,在不同的单位风险的内容和等级是不同的,这就又回到《内控规范》第一条了,内控建设既要依法依规,还要结合单位实际,没有调研,没有融合单位原有的规章制度,这样的内控建设是没什么意义的。
五、防范和管控
风险是未来可能会发生的事件,内控的价值就在于将风险“关口前移”,是“未雨绸缪”,是“治未病”。在风险事件发生之前,采取管控措施避免风险,或者降低风险事件发生带来的影响,这叫预防性控制,是内控的主要方向。当然,还有一种情况,单位虽然已经识别了风险并且采取了一定的管控措施,但最终的结果还是带来的损失或不利影响,这种情况下还需要进行内部控制吗?当然需要,这叫发现性控制。风险是固有的,不会因为采取了内控措施就不存在了。内控不能消灭风险,只能是将风险处于可控状态,避免或者降低风险带来的不利影响。同时,风险是动态的,管控措施也是动态的,需要不断更新、升级,就像我们日常使用的office、微信等软件一样。
举一个例子,篱笆里面有羊,篱笆外面有狼,为了防止狼窜入篱笆吃羊,采取的措施就是扎紧篱笆,不让狼进来,未雨绸缪,提前对风险提前采取了防范措施以保证羊的安全,这是理想的控制方式。还有一种情况,虽然已经意识到狼对羊的危险,加固了篱笆,但有一天还是发生了狼进入篱笆把羊吃了的情况,这是不是说明内部控制就没有意义了呢?当然不是,只能说明原有的风险防控措施力度不够,或者方式不当,需要对管控措施进行升级,从机制上来说就是加强监督,每天都把篱笆检查一遍;从业务活动方面来说就是扎紧篱笆,“亡羊补牢”是内控的另一种方式。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
