行政事业单位内部控制理论

1、行政事业单位内部控制基础理论第一节内部控制概述一、强化内部控制的必要性（一）内部控制的基本概念内部控制是现代管理理论的重要组成部分，是在实践 中逐步产生、发展和完善起来的。它是一种强调以预防为 主的制度，目的在于通过建立完善的制度和程序防止错误 和舞弊的发生，来提高管理的效果及效率。行政单位内部控制是政府部门管理制度的组成部分。 它由内部控制环境、风险评估、内部控制活动、信息及其 沟通和内部控制监督等要素组成，并体现为与行政、管 理、财务和会计系统融为一体的组织管理结构、政策、程 序和措施等，是行政单位为履行职能、实现总体目标而应 对风险的自我约束和规范的过程。（二）行政事业单位内部控制近年来

2、，我国为适应建立公共财政体制框架体系的要 求，逐步实施了政府采购、部门预算、财政直接支付工 资、会计集中核算试点、国库集中收付等一系列财政支出 改革，有效的解决了当前支出管理中存在的一些问题，取 得了一定的成效。（三）当前行政事业单位内部控制存在的主要问题费用支出缺乏有效控制行政事业单位对于行政经费的支出，特别是招待费、 办公费、会议费、水电费等，普遍缺乏严格的控制标准； 即使制定了内部经费开支标准，但仍较多采用实报实销 制。固定资产控制薄弱实行政府集中采购制度以后，行政事业单位固定资产 的购置得到了有效控制，但使用管理仍缺乏相关的内部控 制，重购轻管现象比较普遍。如未按规定建立起定期财产 盘

3、点制度，购置的固定资产未能及时登记入账，未登记固 定资产明细账和实物卡片，责任不明确等，导致资产账实 不符及资产流失。财务管理弱化财务部门的工作限于记账、算账、报账，与业务控制 脱节，对单位重要事项的决策、实施过程和结果均不了 解，未能对业务部门实施必要的财务控制和监督。票据管 理不到位。未建立定期或不定期抽查制度，出现延期上缴 收入，挪用公款问题；对使用后票据未能及时办理交验、 核销，容易导致收入不入账、私设“小金库”等问题岗位设置不够合理由于多种原因，一些单位岗位安排不尽合理，存在一 人多岗、不相容岗位兼职现象。记账人员、保管人员、经济业务决策人员及经办人员没有很好的分离制约，存在出 纳兼

4、复核、采购兼保管等现象，出现管理漏洞。预算控制比较薄弱首先是预算编制比较粗糙，部门预算的编制一般根据 当年财政状况、上年收支、预算单位自身的特点和业务进 行核定，没有细化到具体项目，预算支出达不到逐笔进行 核定的要求。其次是预算刚性不够，预算的计划性、科学 性不强，预算调整追加较为频繁，资金使用缺乏预见性， 削弱了预算的约束控制力。（四）行政事业单位内部控制薄弱的主要原因内部控制观念淡薄良好的内部控制意识是内部控制制度设计完善和有效 运行的基本前提。但一些单位的领导对内部控制制度重要 性的认识还不到位，内控意识不强，重发展、轻控制，对 内部控制知识缺乏基本了解，把内部控制看成仅是财务部 门的事

5、。内部控制制度不完善财政部制定的内部会计控制规范主要是针对企业 的，对行政事业单位的适用性较差；有的单位虽然制定了 一系列内控制度，但未能严格执行，对制度的执行及效果 缺乏必要的监督，导致有章不循、违章不究，内部控制制 度未能发挥应有的作用。信息与沟通衔接不够行政事业单位会计集中核算后，由会计核算中心对行 政事业单位集中办理会计核算和监督业务，由于会计主体 单位与核算部门不一致，双方沟通衔接不够，极易形成账 物分离的资产管理现状，造成核算中心管账不管物、核算 单位管物不管账、账物不符的问题，影响单位内部控制制 度的有效实施。管理人员业务素质不能适应内部控制工作的需要管理人员竞争意识差，缺乏创新

6、精神，业务素质难以 满足实施内部控制和监督的要求。外部监督对单位内部控制健全性和有效性的监督检 查不够目前作为行政事业单位主要外部监督力量的财政、审 计部门，大多偏重于对单位财政资金的运用是否合法、合 规进行监督，较少对被审计单位是否建立有效的内部控制 制度以及有效执行加以实质性检查。缺少有效的外部监 督，使行政事业单位内部控制制度体系完善失去外部推动 力和约束机制。二、内部控制理论的演变内部控制理论是随着管理的需要，内部控制实践经验 的丰富而逐渐发展起来的，大致经历了内部牵制、会计控制和管理控制阶段、控制要素阶段和内部控制整体框架四 个理论阶段。由美国注册会计师协会（AICPA）、美国会计学

7、会（AAA、财务经理协会（FEI）、国际内部审计师协 会（ILA）和管理会计师协会（IMA）五大学会共同组成的 COSC委员会，于1994年修订的内部控制 一一整体框架 报告，标志着内部控制理论与实践进入了整体框架的新阶 段，并被世界上许多企业单位所采用。2000年美国安然事件发生后，理论界和实务界认为该 内部控制框架有些局限性，如对风险强调不够，内部控制 与风险管理不能很好的结合。2004年10月份发布的企业风险管理（ERM框架就是在1992年报告的基础上，结合萨班斯一奥克斯法案的相关要求扩展研究得到的。（一）内部牵制阶段内部控制源于内部牵制，上世纪40年代以前是内部牵制阶段。它以账目间的相

8、互核对为主要内容并实施一定程 度的岗位分离，在当时一直被认为是保护资产安全、保证 账目正确无误的一种控制方法。基于以下两个假设：两个 或两个以上的人或部门，无意识犯同样错误的可能性很 小；两个或两个以上的人或部门，有意识地合伙舞弊的可 能性大大低于一个人或部门舞弊的可能性。1936年美国独立公共会计师协会提出内部控制的定义“为保证公司现金和其他资产的安全，检查账簿的准确性 而采取的各种措施和方法。”侧重于财产安全和检查手 段。控制特点是个人或部门不能单独控制任何一项或一部 分业务，每项业务通过其他个人或部门的功能进行交叉检 查控制。在现代的内部控制理论中，内部牵制仍占有相当 重要的地位，是有关

9、组织规划、职务分离控制的基础。（二）会计控制和管理控制阶段到20世纪60年代，在内部牵制的基础上，逐渐产生 了内部控制制度的概念。将内部控制划分为内部会计控制 和内部管理控制。这个控制包括授权与批准制度、从事财 务记录和审核与从事经营或财产保管职务分离的控制、财 产的实物控制和内部审计。这时，一方面需要管理上采用更为完善、更为有效的控制方法以改变传统靠经验管理的 影响；另一方面，为了适应社会经济的关系，保护投资者 和债权人的经济利益。内部控制定义发展为：“内部控制是企业为了保证财产的安全完整，检查会计资料的准确性和可靠性，提高企 业的经营效率以及促进企业贯彻既定的经营方针，所设计 的总体规划及

10、所采用的与总体规划相适应的一切方法和措 施。”这一概念使内部控制扩大到企业内部各个领域。并 将内部控制划分为内部会计控制和内部管理控制。这个阶段内部控制侧重于财产安全、信息真实，强调会计的控制作用（三）内部控制要素阶段1988年，美国注册会计师协会发布审计准则公告第55号，提出内部控制结构具体包括三个要素：控制环境、会计制度、控制程序。内部控制的研究重点逐步从一 般涵义向具体内容深化。公告认为区分会计控制和管理控 制对审计师非常重要，而且认为这两者是不可分割的，是 相互联系的。与此同时，控制环境逐步被纳入内部控制范 畴。控制环境是指对建立、加强或消弱特定程序的效率发 生影响的各种因素的态度和行

11、为。具体包括：经营者的管 理哲学和经营作风、董事会及审计委员会的职能、人事政 策和程序等等。会计制度规定各项经济业务鉴定、分析、归类和编报 的方法，明确各项资产和负债的经营管理责任。控制程序指管理层制定的政策和程序，以保证达到一定目的。（四）内部控制框架阶段cosO艮告将内部控制定义为：内部控制是由企业董事 会、经理阶层和其他员工实施的，为运营的效率、财务报 告的可靠性、相关法令的遵循性等目标的达成而提供合理 保证的过程。具体内容包括控制环境、风险评估、控制活 动、信息与沟通及监督等五个要素。COSO艮告是目前国内 外最为权威的内部控制理论，其内涵和外延比以往任何一 个内控要素都要深刻和宽泛。

12、内部控制框架结构阶段，强 调重视风险评估、信息沟通的控制作用。COSC报告对内部控制的贡献是：第一次明确提出“全员参与”思想，职工不是被动 地执行内部控制。“以人为本”。COSOt别强调，只有人才可能制定 单位的目标，并设置控制的机制。重视“软控制”的作用。软控制是指那些属于精神 层面的东西。如单位高级管理阶层的价值观、管理哲学和 管理风格、单位文化、内部控制意识等。强调风险意识。风险管理是现代管理的主旋律之。明确指出内部控制只能做到“合理”保证。（五）萨班斯法案美国安然公司的破产，政府很感兴趣，说明是企业的 管制的制度方面出了大问题。组织了6个调查组查明破产的原因美国参众两院针对问题公布执行

13、萨班斯法案。萨班斯法案要求建立内部控制责任体系，人人承担责 任，公司出了事，一查到底落实到人。要求企业报告内部 控制，并对内部控制进行评价，从组织结构入手，有组织 就有路径便于落实内部控制工作。要求CEO CFO对建立和保持完整的内部控制体系负责；保证已经设计了内部控制 体系；保证已经评价了财务报告编制之前90天内的某一日的内部控制有效性；在对外报告中陈述内部控制有效性的 评价结论。向外部审计师和董事会下的审计委员会报告： 在内部控制设计或运行中的所有重大控制缺陷；涉及管理 层或在内部控制系统中起重要作用的其他雇员的任何欺诈 行为；在对外报告中指明，在评价之后内部系统及其重要 影响因素是否发生

14、了重大变化以及整改措施。要求年报中 包含内部控制报告、内部控制评价报告建立内部控制制度是管理者自己革自己的命，是很难 克服的自身弱点，既要加强风险防范，又要限制自己的权 利。三、内部控制的目标和原则（一）内部控制的目标内部控制是由行政事业单位的领导层和全体员工实施 的、旨在提高行政事业单位管理服务水平和风险防范能 力，促进单位可持续、健康发展，维护社会主义市场经济 秩序和社会公众利益，实现行政事业单位管理服务目标所 制定的政策和程序。行政事业单位内部控制的目标是：合法性 管理和服务活动的合法合规安全性一一资产安全可靠性一一财务报告及相关信息真实、完整效率性一一提高管理服务的效率和效果风险防范一

15、一排除障碍实现单位发展战略（二）行政事业单位建立与实施内部控制应遵循的原 则全面性原则内部控制应当贯穿决策、执行和监督全过程，覆盖企 业及其所属单位的各种业务和事项。因为，在内部控制程 序的所有环节中，有一个环节没有发挥作用，所有起作用 的环节，也会变得无用。重要性原则内部控制应当在全面控制的基础上，关注重要业务事 项和高风险领域。行业、规模、性质、所处地域、组织形 式等不同，高风险领域不同。内部控制不能防范所有风 险，但要关注重要业务事项和高风险领域，防范颠覆性风 险。制衡性原则内部控制应当在治理结构、机构设置及权责分配、业 务流程等方面形成相互制约、相互监督，同时兼顾运营效 率。内部控制的

16、核心思想是权力平衡，制约对象是权力， 权力分配合理，约束适当是内部控制的难点。内部控制过 于复杂会影响效率，风险大的业务，首先是防范风险，其 次才是兼顾运营效率。适应性原则内部控制应当与行政事业单位的规模、竞争状况和风 险水平等相适应，并随着情况的变化及时加以调整。内部 控制不能拷贝，也不能克隆。别人的成功经验，拿过来不 一定能用。行政事业单位发展的不同阶段、外部环境的变 化、战略目标的调整等，内部控制要随之变动。成本效益原则内部控制应当权衡实施成本与预期效益，以适当的成 本实现有效控制。内部控制的设计和运行受制于成本与效益原则。成本 小于效益，是任何理性的管理活动都必须遵循的法则。（三）建立

17、与实施内部控制包括的要素：内部环境一一是行政事业单位实施内部控制的基 础。风险评估一一是行政事业单位及时识别、系统分析 经营活动中与实现内部控制目标相关的风险，合理确定风 险应对策略。控制活动一一是行政事业单位根据风险评估结果， 采用相应的控制措施、政策和方法，将风险控制在可承受 范围之内。信息与沟通是行政事业单位及时、准确地收 集、传递与内部控制相关的信息，并在行政事业单位内 部、单位与外部之间进行有效沟通。内部监督 是行政事业单位对内部控制建立与实 施情况进行监督检查，评价内部控制的有效性，发现内部 控制缺陷，应当及时加以改进。第二节控制环境任何行政事业单位的控制活动都存在于一定的控制环

18、境之中，控制环境的好坏直接影响到行政事业单位内部控 制的贯彻和执行以及管理服务目标及整体战略目标的实 现。在COSC报告内部控制 整体框架的内部控制五 要素中，控制环境被放在了第一的位子上，它作为推动单 位发展的动力，是所有其他内控组成部分的基础和核心。 它对行政事业单位内部控制的建立和实施有重大影响，其 好坏直接决定了行政事业单位内部控制整体框架实施的效 果。一、概念与要素（一）控制环境的概念：控制环境主要指行政事业单位的管理层、核心人员以 及这些人的个别属性和所处的工作环境。内部环境是行政 事业单位实施内部控制的基础，一般包括管理结构、机构 设置及权责分配、内部审计、人力资源政策、文化建设

19、 等。（二）内部控制环境的组成要素行政事业单位控制环境一般包括以下内容：操守和价值观能力评定管理哲学和经营风格组织结构及职权与责任的分配人力资源政策及实务文化建设二、操守和价值观诚信和道德价值观念是控制环境的重要组成部分，影 响到重要业务流程的设计和运行。内部控制的有效性直接 依赖于负责创建、管理和监控内部控制的人员的诚信和道 德价值观念。单位是否存在道德行为规范，以及这些规范 如何在单位内部得到沟通和落实，决定了是否能产生诚信 和道德的行为领导的操守和价值观具有杠杆作用诚信的原则和道德价值观，主要取决于单位负责人。严格一致地保持诚信行为和道德标准，任何人不得凌驾于 内部控制制度之上。负责人要

20、以身作则，并传达给全体职 工。制定行为准则和其他原则明确可以接受的商业行为，利益冲突的处理方式，员 工行为的道德标准并确保这些准则和原则的有效执行。对 员工精神规范、仪容仪表、工作纪律、待人接物、环境卫 生以及组织管理及违反守则的处理办法等方面做出规定。可通过标语、宣传册、培训等手段，推动内部员工对 单位理念的理解和接受，使员工理解和把握单位文化和管 理理念。处罚规定对于背离单位政策和程序，违反行为准则的行为，能 够采取补救施。保证这些措施被单位员工所知悉。管理者对干涉正常程序或凌驾制度行为的态度应一贯重视管理者对于干涉正常程序或越权行为的态 度。面临不现实的目标的压力特别是短期业绩以及薪酬在

21、多大程度上取决于是否达 到业绩目标。管理层在制定关键绩效指标时，要考虑适当，过高的 不现实的目标会导致员工丧失积极性和舞弊。三、对胜任能力的重视胜任能力是指具备完成某一职位的工作所应有的知识 和能力。管理层对胜任能力的重视包括对于特定工作所需 的胜任能力水平的设定，以及对达到该水平所必需的知识 和能力的要求。主要管理人员和其他相关人员是否能够胜 任承担的工作和职责。（一）单位对员工的胜任能力考虑的主要因素管理人员是否具备与单位业务性质和复杂程度相称 的足够的胜任能力和培训，在发生错误时，是否通过调整 人员或系统来加以处理；管理层是否配备足够的各级管理人员以适应业务发 展和有关方面的需要；各岗位

22、员工是否具备理解和运用岗位所需的技能。管理者必须明确每一工作岗位所需的能力水平，并将 此能力水平具体化为所需知识和技能。（二）制定胜任能力规定单位对全部职位建立统一的书面职责描述，包括职位 说明书、职位的工作内容、职责、权限、上下级督导关系 以及任职条件等内容，且经过管理层的审阅批准。相关部 门定期根据各职位职责、权限的变化对职位说明书进行及 时地更新并下发。员工对工作职责和权限的一般理解通过 部门内部的职责描述与部门管理层的沟通和实际工作获 得。分析开展具体工作所需的知识和技能。（三）招聘技能和知识符合要求的员工招聘计划需列明需求人数和对拟招员工的岗位说明， 学历、技术、能力、工作经验等任职

23、资格的要求。四、管理哲学和经营风格经营管理者的观念、方式和风格，通常会从三个方面 极大地影响控制环境：（1）管理者对待风险的态度和控制 风险的方法；（2）为实现预算和其他财务及经营目标，对 内部控制的重视程度；（3）管理者对会计报表所持的态度 和所采取的行动。（一）管理层的主导作用管理层负责单位管理服务活动的运作以及管理策略和 程序的制定、执行与监督。控制环境的每个方面在很大程 度上都受管理层采取的措施和作出决策的影响，在管理层 以一个或少数几个人为主时，管理层的理念和经营风格对 内部控制的影响尤为突出。（二）管理理念管理层的理念包括管理层对内部控制的理念，即管理 层对内部控制以及对具体控制实

24、施环境的重视程度。管理 层对内部控制的重视，将有助于控制的有效执行。衡量管理层对内部控制重视程度的重要标准，是管理 层收到有关内部控制弱点及违规事件的报告时是否作出适 当反应。管理层及时地下达纠弊措施，表明他们对内部控 制的重视，也有利于加强企业内部的控制意识。（三）管理层的经营风格管理层的经营风格是指管理层所能接受的业务风险的 性质。管理哲学和经营风格通常对企业有普遍深入的影响。 这些影响是无形的，但可以找到一些积极和消极的标志。五、组织结构及职权与责任的分配管理当局设置合理的组织结构，明确地建立授权与分 配责任的方法，运用适当的管理控制方法可以大大增强组 织的控制意识，有助于建立良好的内部

25、控制环境。在内部控制中，适度的授权和清晰的责任配置被认为 是实施有效监督的前提条件。（一）资源分配及权利配置的框架建立优化的组织机构和高效的运作程序，明确授权形 式和授权对象及组织行为的分配；使用、管理经济资源的权 限和责任;在规范前提下高效率的运作实现组织的目标。单 位的组织结构将在一定程度上取决于单位的规模和经营活 动的性质。（二）组织结构权力结构和控制关系，责任体系和组织功能的发挥， 是人治还是法制一目了然，淡化个人，强调组织是法人治 理结构和法制的基本要求。组织结构反映了单位治理的哲 学理念和心态。组织结构既不可过于简单，同时也不可过于复杂而阻 塞信息流转。组织结构即不过分集中也不过分

26、分散。各主要部门的 组织结构比较清晰，职责比较明确。（三）权责分配单位应当结合业务特点和内部控制要求设置内部机 构，明确职责权限，将权利与责任落实到各责任单位，并 通过编制内部管理手册，使全体员工掌握内部机构设置、 岗位职责、业务流程等情况，明确权责分配，正确行使职 权。适当分配职责并下放职权，不同的职责和权限适当地分配给单位的全体员工。单位组织结构和职权与责任分配考虑的主要因素包括：（1）在单位内部是否有明确的职责划分，将业务授 权、业务记录、资产保管和维护，以及业务执行的责任尽 可能地分离；数据的所有权划分是否合理；是否已针对授权交易建立适当的政策和程序。六、人力资源政策及实务一个好的人力

27、资源政策，能够把好进人关，确保执行 单位政策和程序的人员具有胜任能力和正直品行。单位必 须雇用足够的人员并给予足够的资源，使其能完成所分配 的任务，这是建立合适的控制环境的重要元素。职员的胜 任能力和正直性在很大程度上取决于公司的有关雇用、训 练、待遇、业绩考评及晋升等政策和程序的合理程度。人力资源政策的内容单位应当制定和实施可持续发展的人力资源政策。包 括下列内容：员工的聘用、培训、辞退与辞职；员工的薪酬、考核、晋升与奖惩；关键岗位的强制休假和定期岗位轮换制度；掌握国家秘密或重要商业秘密的员工离岗的限制性 规定；员工岗位职责手册，对于工作职责和期望作了适当 的沟通和交流；人力资源政策与程序清

28、晰，并且定期发布和更新；有关人力资源管理的其他政策。（二）人力资源政策与制度的关系员工的素质影响制度执行的效果。对于人的信任限 制，是制度设计的起点。行政事业单位应当将职业道德修养和专业胜任能力作 为选拔和聘用员工的重要标准，单位是否有能力招聘并保留一定数量既有能力又有责 任心的员工在很大程度上取决于其人事政策与实务。如果 招聘录用标准要求录用最合适的员工，包括强调员工的学 历、经验、诚信和道德，这表明单位希望录用有能力并值 得信赖的人员。单位有关培训方面的政策应显示员工应达 到的工作表现和业绩水准。通过定期考核的晋升政策表明 单位希望具备相应资格的人员承担更多的职责。（三）制定完善的员工管理

29、办法招聘新员工由用人部门提出需求，人力资源管理部门 统筹制定招聘计划，安排招聘。组织有外聘专家的综合考 评小组对应聘人员进行评价，并按管理权限和有关管理规 定报批。各部门应在制定年度培训划，并监控培训计划的执行 情况。员工的职位变更和薪酬调整根据每年年末的个人综合 业绩评估决定，员工的职位变更和薪酬变动需要经过本部 门管理层的审批员工了解其职责和单位对其期望的程度。新员工知悉 其工作职责和管理层对其的期望；主管人员定期审阅雇员 的工作履行情况并提出改进建议员工通过经管理层批准的 职位说明书、日常工作和与管理层的沟通理解自身职责。七、文化建设文化建设是行政事业单位的灵魂，是推动行政事业单 位发展

30、的不竭动力。它包含着非常丰富的内容，其核心是 行政事业单位的精神和价值观。这里的价值观不是泛指行 政事业单位管理中的各种文化现象，而是行政事业单位中 的员工在从事工作与管理中所持有的价值观念。（一）单位文化的概念文化是人类社会历史实践过程中所创造的物质财富与 精神财富的总和；是社会的意识形态以及与之相适应的组 织机构与制度。而单位文化则是单位在长期工作实践中， 逐步形成的，为全体员工所认同并遵守的、带有本单位特 点的使命、远景、宗旨、精神、价值观和理念，以及这些 理念在工作实践、管理制度、员工行为方式与单位对外形 象的体现的总和。（二）行政事业单位文化建设的要素根据单位文化的定义，内容是十分广

31、泛的，其中最主要的应包括如下几点:1价值观念是人们基于某种功利性或道义性的追求而对人们（个 人、组织）本身的存在、行为和行为结果进行评价的基本 观点。可以说，人生就是为了价值的追求，价值观念决定 着人生追求行为。价值观不是人们在一时一事上的体现， 而是在长期实践活动中形成的关于价值的观念体系。行政 事业单位价值观，是行政事业单位全体职工共同的价值准 则。提管理高服务档次，促进单位的发展。精神面貌精神面貌是基于自身特定的性质、任务、宗旨、时代 要求和发展方向，并经过精心培养而形成的成员群体的精 神风貌。精神面貌要通过全体职工有意识的实践活动体现 出来。精神面貌是文化的核心，在整个文化中起着支配的

32、地 位。精神面貌以价值观念为基础，以价值目标为动力，对 控制哲学、管理制度、道德风尚、团体意识和单位形象起 着决定性的作用。可以说，精神是单位的灵魂。道德风尚道德风尚是指调整单位与其他单位之间、单位与服务 对象之间、单位内部职工之间关系的行为规范的总和。道德风尚与法律规范和制度规范不同，不具有那样的 强制性和约束力，但具有积极的示范效应和强烈的感染 力，当被人们认可和接受后具有自我约束的力量。团体意识团体即组织，团体意识是指组织成员的集体观念。团 体意识是单位内部凝聚力形成的重要心理因素。团体意识 的形成使单位的每个职工把自己的工作和行为都看成是实 现单位目标的一个组成部分，使他们对自己作为单

33、位的成 员而感到自豪，对单位的成就产生荣誉感，从而把单位看 成是自己利益的共同体和归属。因此，他们就会为实现单 位的目标而努力奋斗，自觉地克服与实现单位目标不一致 的行为。单位形象单位形象是单位通过外部特征和服务表现出来的，被 社会公众所认同的单位总体印象。表层形象是以深层形象 为基础，没有深层形象这个基础，表层形象就是虚假的， 也不能长久地保持。规章制度规章制度是在实践活动中所形成的，对人的行为带有 强制性，并能保障一定权利的各种规定。规章制度作为职 工行为规范的模式，使个人的活动得以合理进行，内外人 际关系得以协调，员工的共同利益受到保护，从而使单位 有序地组织起来为实现目标而努力。（三）

34、行政事业单位文化的培育行政事业单位应当重视文化建设在实现发展战略中不 可或缺的作用，加大投入力度，健全保障机制，防止和避 免形式主义。单位应当根据发展战略和自身特点，总结优 良传统，挖掘文化底蕴，提炼核心价值，确定文化建设的 目标和内容。单位主要负责人应当在文化建设中发挥主导作用，以 自身的优秀品格和脚踏实地的工作作风带动影响整体团 队，共同营造积极向上的文化环境。行政事业单位员工应 当遵守员工行为守则，忠于职守，勤勉尽责。（四）行政事业单位文化的评估行政事业单位应当建立文化评估制度，分析总结文化 在单位发展中的积极作用，研究发现不利于单位发展的文 化因素，及时采取措施加以改进。单位文化评估，

35、应当重 点关注单位核心价值的员工认同感、品牌的社会认可度、 参与各种文化的融合，以及员工对单位未来发展的信心。第三节风险评估风险管理作为一门科学与艺术类论文艺术，既需要定性分析，又需要定量估计；既要求理性，又要求人性；不 但需要多学科理论指导，还需要多种方法支持。、概念与重要性（一）风险评估的概念风险评估是行政事业单位及时识别、系统分析管理服 务活动中与实现内部控制目标相关的风险，并合理确定风 险的应对策略。风险因素、风险事件和风险结果是风险的 基本构成要素，风险因素是风险形成的必要条件，是风险 产生和存在的前提。行政事业单位的风险评估程序应该考虑相关风险的迹 象，可能影响单位目标实现的外部和

36、内部因素，并且这些 程序应该分析风险，并且提供一个管理风险的基础源于风险意识的风险管理主要包括风险分析、风险评 价与风险控制三大部份。（二）风险评估的重要性风险具有不确定性，受多种事件发生的概率所决定。 因此，预测和防范有一定难度。追求风险与收益的均衡优 化。二、风险控制目标内部控制是为实现组织的目标，因而，风险控制是为 实现组织的目标服务的。行政事业单位要根据管理和服务 要实现的目标，评估影响目标实现的相关风险，分析原 因。为有效实施风险控制，行政事业单位应由专门的组织 及相关人员按一定程序组织实施风险评估和应对工作。据幸福杂志对美国 500多家单位的调查，84%勺单位由中 层以上的管理人员

37、负责风险控制。风险控制组织实施的流 程是：制定风险管理规划； 风险辩识；风险评估； 风险管理策略方案选择； 风险管理策略实施； 风险 管理策略实施评价。三、风险承受能力行政事业单位开展风险评估，应当准确识别与实现控 制目标相关的内部风险和外部风险，确定相应的风险承受 度。风险承受度是行政事业单位能够承担的风险限度，包 括整体风险承受能力和业务层面的可接受风险水平。完全规避各种风险是不可能的，这种认识不符合辩证思维。因而，行政事业单位应当评价单位的风险承受能 力，以确定当外部或内部因素变化带来风险时，哪些风险 是可以承受的，哪些风险必须规避和防范。风险承受能力与行政事业单位管理服务活动的性质、社

38、会影响、权利责任、经济后果、客户评价等相关。工作 性质特殊、社会影响大、经济后果严重的单位，风险承受 能力小，反之，风险承受能力可能大一些。单位规模比较大、资源实力强、法律法规惩罚力度小的行政事业单位，风险承受能力较大。反之，风险承受能力可能小一些。风险承受能的评价取决于风险可能造成的损失与规避 风险所发生的支出或成本相关，包括经济成本、社会成 本、政治成本等四、风险识别风险识别是发现风险和评估风险大小的程序。行政事 业单位的风险识别和评估程序应该考虑相关风险的迹象， 包括管理层面和服务活动层面。风险识别和评估程序应该 考虑可能影响目标实现的外部和内部因素，并且应该分析 风险，提供一个控制风险

39、的基础。（一）建立充分的机制以发现外生风险行政事业单位应建立充分的外生风险发现机制，以及 时发现外部因素变化带来的风险。管理者应重视以下外部 因素带来的风险：经济形势、行业政策、政治环境、同行业的行动、 资金供给等经济因素。法律法规、监管要求等法律因素。安全稳定、文化传统、社会信用、教育水平、消费 者行为等社会因素。科学技术进步、装备改进等科学技术因素。自然灾害、环境状况等自然环境因素。其他有关外部风险因素。（二）建立充分的机制以发现内生风险管理者应重视以下内部因素带来的风险：单位领导及高级管理人员的职业操守、员工专业胜 任能力等人力资源因素。组织机构、服务方式、资产管理、业务流程等管理 因素

40、。研究开发、投入、信息技术运用等自主创新因素。财务状况、管理服务成果、资金来源等财务因素。稳定安全、员工健康、环境保护等安全环保因素。其他有关内部风险因素。（三）对环境变化的管理政治、经济、行业和监管环境不断变化，单位也在不 断发展。发展和变化带来新风险。因而，单位需要一种机 制以确认环境的变化产生的风险并做出反应。（四）与单位目标相关的风险确认实现单位的管理服务的目标，是风险评估与防范的基 本前提。 单位的目标充分陈述了单位希望取得的业绩和成 就，并以相关战略计划作为支持。可能影响单位目标实现 的相关风险大致包括以下因素：单位目标是否充分体现了单位期望获得成就的陈述 和指导，并且此目标足够具

41、体，与本单位的管理服务直接相关单位目标是否有效地传达给了各管理部门和全体员 工。单位的战略选择是否跟单位目标保持关联和一致。单位的业务发展计划和预算与现状之间是否保持一 致。充分保证业务发展计划和预算以及长期战略目标、与 现状之间保持一致，脱离现实的计划、预算就意味着风 险。关注具体管理服务活动目标与单位战略目标的内在 联系。有充足的资源支持目标。对每个重要的经营活动目标确定了相应的风险。单 位在制定内部控制的政策和程序的过程中，通过明确管理 服务活动目标和风险的对应关系，确保内部控制措施的完 整性。（五）风险评估方法和要求风险评估程序应具有完整性和相关性。风险评估程序 的完整性和相关性。行政

42、事业单位应当采用定性与定量相结合的方法，按 照风险发生的可能性及其影响程度等，对识别的风险进行 分析和排序，确定关注重点和优先控制的风险。行政事业单位进行风险分析，应当充分吸收专业人 员，组成风险分析团队，按照严格规范的程序开展工作， 确保风险分析结果的准确性。五、风险应对策略具体措施如下：（一）风险规避是行政事业单位对超出风险承受度的风险，通过放弃 或者停止与该风险相关的业务活动以避免和减轻损失的策 略。确保不发生颠覆性的风险。（二）风险降低指行政事业单位在权衡成本效益之后，准备采取适当 的控制措施降低风险或者减轻损失，将风险控制在风险承 受度之内的策略。（三）风险分担是行政事业单位准备借助

43、他人力量，采取业务分包、 购买保险等方式和适当的控制措施，将风险控制在风险承 受度之内的策略。（四）风险承受指行政事业单位对风险承受度之内的风险，在权衡成 本效益之后，不准备采取控制措施降低风险或者减轻损失 的策略。六、风险评估的监督和评价风险的监督和评价过程，包括监督和评价识别风险的 充分性，以及针对这些风险所采取措施的恰当性。风险的 监督和评价考虑的主要因素可能包括：单位是否已建立并沟通整体目标，并辅以具体策略 和具体管理服务活动的开展计划；单位是否已建立风险评估制度并保证运行，包括识 别风险，估计风险的重大性，评估风险发生的可能性以及 确定需要采取的应对措施；单位是否已建立某种机制，识别

44、和应对可能对单位 产生重大且普遍影响的变化；风险控制管理部门是否建立了某种流程，以识别外 部环境、内部环境发生的重大变化。风险应对措施的调整 机制是否运行有效。第四节控制活动控制活动是一个方法体系，应对和防范风险必须要有 针对性的措施，否则就是空话。将所有业务活动分离出授 权、批准、执行、记录及监督，并将这些职能分别授于不 同部门或不同人员执行，形成一个相互牵制、相互制约的 过程，是内部控制的精髓。一、概念与方法体系（一）控制活动的概念控制活动是指有助于确保管理者的指令得以执行，合 理地保证管理服务目标的实现、指导员工实施管理指令、 管理和化解风险而采取的政策和程序。（二）控制活动的方法体系控

45、制措施一般包括：不相容职务分离控制、授权审批 控制、会计系统控制、财产保护控制、预算控制、运营分 析控制和绩效考评控制等。内部控制方法和程序是一个广义的概念，包括可以用 于控制的所有方法、手段、措施、程序等。二、授权审批控制授权审批控制指行政事业单位根据常规授权和特别授 权的规定，明确各岗位办理业务和事项的权限范围、审批 程序和相应责任。一般授权是指授予各个部门、各个职位在日常经营管 理活动中按照既定的职责和程序处理正常范围内经济业务 的权限。特殊授权是指授予各个部门、各个职位在特殊情 况、特定条件下，处理超出正常范围的经济业务或者特殊 的经济业务的权限。有效的内部控制要求每一笔经济业务都经过

46、适当的授权。只有经过授权批准的人员才能对有关的经济业务进行 处理，未经授权和批准，这些人员不允许接触和处理这些 业务。行政事业单位应当编制常规授权的权限指引，规范特 别授权的范围、权限、程序和责任，严格控制特别授权。 单位对于重大的业务和事项，应当实行集体决策审批或者 联签制度，任何个人不得单独进行决策或者擅自改变集体 决策。三、不相容职务分离控制所谓不相容职务是指经营业务的授权、批准、执行和 记录等完全由一人或一个部门办理时，发生错误与舞弊的 概率就会增大的两项或两项以上的职务。一般情况下，以下这几类职务属于不相容职务：授权 与执行；执行与审核；执行与记录；保管与记录；保管与 清查；会计工作

47、岗位分离；计算机信息系统（CIS）部门内，系统分析、程序设计、电脑操作和数据控制应分离。不相容职务分离控制要求单位全面系统地分析、梳理 业务流程中所涉及的不相容职务，实施相应的分离措施， 形成各司其职、各负其责、相互制约的工作机制。四、会计系统控制会计系统控制要求行政事业单位严格执行国家统一的 会计准则制度，加强会计基础工作，明确会计凭证、会计 账簿和财务会计报告的处理程序，保证会计资料真实完 整。行政事业单位应当依法设置会计机构，配备会计从业 人员。大中型行政事业单位应当设置总会计师。设置总会 计师的单位不得设置与其职权重叠的副职。凭证和记录控制的一般要求是 ：凭证预先连续编号；对 已经发生

48、的经济交易和事项及时编制凭证并记录；凭证应 简单明了，不易被误解；格式合理，以便正确编制；所有 作废的凭证都必须妥善保存；已登账的凭证应依序归档。 凭证与记录控制中程序说明书尤其重要。单位会计部门应建立独立稽核控制制度。独立稽核是 指对已记录的经济交易和事项及其计价由具体经办人之外 的独立人士进行核对或验证。独立稽核是控制记录使其正 确可靠，以免发生差错和舞弊的一项重要控制程序，其应 用面很广。五、财产保护控制财产保护控制要求行政事业单位建立财产日常管理制 度和定期清查制度，采取财产记录、实物保管、定期盘 点、账实核对等措施，确保财产安全。单位常用的防护措施主要有两个方面：一是对资产和记录实施

49、授权控制，未经授权，不相关 人士不得接触和使用这些资产和记录。二是对资产和记录 实施实物防护生。行政事业单位若实现会计电算化，保护电脑设备、计 算机程序和数据文件更显得特别重要。六、预算控制（一）预算的概念预算是指行政事业单位结合管理服务目标及资源调配 能力，经过综合计算和全面平衡，对当年或者超过一个年 度的管理服务和财务事项进行相关经费、额度的测算和安 排的过程。行政事业单位应当建立预算管理体系，明确预算编 制、审批、执行、分析、考核等各部门、各环节的职责任 务、工作程序和具体要求。（二）预算的编制事业单位预算管理部门主要负责拟订预算目标和预算 政策；制定预算管理的具体措施和办法；组织编制、

50、审 议、平衡年度预算草案；组织下达经批准的年度预算；协 调、解决预算编制和执行中的具体问题；考核预算执行情 况，督促完成预算目标。单位应当加强对预算编制环节的控制，对编制依据、 编制程序、编制方法等作出明确规定，确保预算编制依据 合理、程序适当、方法科学。单位可以选择或综合运用固定预算、弹性预算、零基 预算、滚动预算、概率预算等方法编制预算。（三）预算的执行对预算指标的分解方式、预算执行责任制的建立、重 大预算项目的特别关注、预算资金支出的审批要求、预算 执行情况的报告与预警机制等作出明确规定，确保预算严 格执行。建立预算执行责任制度，对照已确定的责任指 标，定期或不定期地对相关部门及人员责任

51、指标完成情况 进行检查，实施考评。单位预算管理部门应当运用财务报告和其他有关资料 监控预算执行情况，及时向单位决策机构和各预算执行单 位报告或反馈预算执行进度、执行差异及其对预算目标的 影响，促进预算目标的全面完成。（四）预算的调整需要调整预算的，应当报经原预算审批机构批准。（五）预算分析与考核行政事业单位应当加强对预算分析与考核环节的控 制，通过建立预算执行分析制度、审计制度、考核与奖惩 制度等，确保预算分析科学、及时，预算考核严格、有七、分析控制要求单位建立运营情况分析制度，管理层应当综合运 用管理、服务、投资、筹资、财务等方面的信息，通过因 素分析、对比分析、趋势分析等方法，定期开展管理

52、服务 运行情况分析，发现存在的问题，及时查明原因并加以改 进。八、绩效考评控制绩效考评控制要求单位建立和实施绩效考评制度，科 学设置考核指标体系，对单位内部各责任单位和全体员工 的业绩进行定期考核和客观评价，将考评结果作为确定员 工薪酬以及职务晋升、评优、降级、调岗、辞退等的依 据。第五节信息与沟通客观、真实、全面、及时的信息，是充分发挥内部控 制作用的基本条件。行政事业单位应具有广泛收集各种信息，加工处理信 息，迅速传播信息，功能完善的信息系统、相关制度和保 证体系。建立上下级之间、不同部门不同岗位之间、各种 管理服务活动之间良好的沟通环境和条件，保证内部控制 功能发挥的信息与沟通的需求。一

53、、概念与特征（一）信息与沟通的概念信息与沟通指能够保证员工得以搜集和交换为开展从 事管理服务和进行控制等活动所需要的信息及交换，在信 息技术的发展中注意控制信息系统。（二）信息与沟通的形式和要素信息与沟通的基本形式包括：文件化、数据化、制度化、流程化。信息交流的基本要素：组织方针手册；单位内部会计 制度、会计政策；业务及会计处理流程；例外报告或重大 事项报告；例外事项的跟踪报告；备忘录；计算机信息系 统及其他信息交换形式。（三）良好信息与沟通的特征信息系统能够向管理层提供有关单位管理服务业绩 的报告及相关的外部和内部信息；向适当人员提供的信息是充分、具体和及时的，使 其能够有效地履行职责；信息

54、系统的开发及变更与单位的战略计划相适应， 与单位整体层面和业务流程层面的目标相适应；管理层能够提供适当的人力和财力，以开发必需的 信息系统；管理层通过适当的监督程序监督信息与沟通系统的 开发、变更和测试工作；主要的数据中心，建立了重大灾难数据恢复措施和 计划。二、获取内部和外部信息信息系统是指收集、处理和报告信息的系统。各业务部门负责收集与本部门相关的内部、外部信 息。管理层对单位管理服务相关的信息进行监控并提供其 他补充信息或提请相关部门采取适当措施，以确保管理服 务成果达到既定目标。单位相关部门对管理服务相关的所有法律、法规和地 方政策、规章等进行统一的收集和整理以确保各部门全 面、准确、

55、系统地掌握适用的法律法规。单位应将详细的信息及时地给予适当的员工，使其能 够高效率地履行其职责。管理者应能够获得分析性的信息 来判断该采取何种行动；信息具有不同的详略程度以满足 不同级别的管理层的需要。单位领导应重视对信息系统的建设和维护，要充分认 识到信息系统是管理服务活动发展的重要支柱，要不断投入足够的人力和财力予以支持。建立在信息系统建设和维 护方面的问责制。三、信息沟通与反馈应当将内部控制相关信息在单位内部各管理部门、责 任单位、业务环节之间，以及单位与外部有关方面之间进 行沟通和反馈。在信息的处理中，沟通是必要的环节。沟通还包括对 员工与组织的目标与职责的定义和描述。有效的沟通存在

56、于单位内部的上行、下达和同级传递中。与外部的沟通同 样非常重要。员工的职责和控制责任应当有效的沟通。使员工知晓 他们所进行的活动的目标，以及怎样履行他们的职责来达 到这些目标。单位对全部职位建立统一的职位说明书，界定职位的 工作内容、职责、权限、上下级督导关系以及任职条件等 内容。单位要保证有畅通的渠道以便员工反映其发现的可疑 情况。员工除可通过正常的汇报程序反映其发现的可疑情 况外，亦可以将发现的可疑问题通过举报的方式进行反 映。内部沟通的充分性、信息的完整性、及时性以及信息 是否足够详细以便员工能够有效的履行其职责。单位内部充分和及时的沟通体现在以下几个方面：管理层就员工的职责和控制责任是

57、否进行了有效沟 通；针对可疑的不恰当事项和行为是否建立了沟通渠 道；组织内部沟通的充分性是否能够使人员有效地履行 职责；对于与上级部门、监管者和其他外部人士的沟通， 管理者是否及时采取适当的进一步行动；单位是否受到某些监管机构发布的监管要求的约 束；外部单位在多大程度上获知单位制定的行为守则。四、信息系统应用与安全对信息系统开发与维护、访问与变更、数据输入与输 出、文件储存与保管、网络安全等方面的控制，保证信息 系统安全稳定运行。五、信息沟通与反舞弊机制行政事业单位应当建立反舞弊机制，规范舞弊案件的举报、调查、处理、报告和补救程序。行政事业单位至少应当将下列情形作为反舞弊工作的重点：未经授权或

58、者米取其他不法方式侵占、挪用单位资 产，牟取不当利益。在财务会计报告和信息披露等方面存在的虚假记 载、误导性陈述或者重大遗漏等。单位高级管理人员滥用职权。相关机构或人员串通舞弊。行政事业单位应当建立举报投诉制度和举报人保护制 度。第六节内部监督监督是内部控制的控制。内部监督是指对内部控制设计 合理性的研究和评估，监督和促进内部控制运行的方法和程 序，评价内部控制运行有效性的标准和过程的制度体系和实 践活动。一、概念与制度（一）内部监督的概念内部监督是企业对其内部控制的健全性、合理性和有效 性进行监督检查与评估，形成书面报告并作出相应处理的过 程，是实施内部控制的重要保证。监督检查主要包括对建立

59、 并执行内部控制的整体情况进行持续性监督检查，对内部控 制的某一方面或者某些方面进行专项监督检查，以及提交相 应的检查报告、提出有针对性的改进措施等。（二）内部监督制度行政事业单位应当制定内部控制监督制度，明确内部审 计机构（或经授权的其他监督机构）和其他内部机构在内部 监督中的职责权限，规范内部监督的程序、方法和要求。应 当加强对内部控制及其实施情况的监督检查。持续性监督检查，是指单位对建立和实施内部控制的整 体情况所进行的连续的、 全面的、系统的、动态的监督检查专项监督检查，是指企业对内部控制建立与实施的某一 方面或者某些方面的情况所进行的不定期的、有针对性的监 督检查。行政事业单位建立内

60、部审计机构或者实际履行内部控 制监督职责的有关机构，应当根据国家法律法规要求和单位 领导的授权，采取适当的程序和方法，对内部控制的建立与 实施情况进行监督检查，形成检查结论并出具书面检查报告。二、内部控制运行的监控（一）日常监控日常监控发生在平常的管理服务过程中，包括日常管理 和监督，及其员工履行评价内部控制系统运行质量的职责的行为。员工能够获取内部控制正常运行的证据对于关键控制岗位，应建立适当的职责划分和监督职能， 针对内部控制实施和财务报告准确性方面的监控职责建立 必要的问责制。各级管理部门根据职责权限对其职责范围内 的内部控制正常运行进行监控并在发生错误时承担必要的 责任。能够与外部进行