随着国家治理体系和治理能力现代化的推进,行政事业单位内部控制作为规范权力运行、防范廉政风险的重要手段,其重要性日益凸显。近年来,财政部等部门陆续出台多项政策文件,明确了内部控制报告、评价与风险评估等核心工作的具体要求。本文结合《行政事业单位内部控制规范(试行)》(财会〔2012〕21号)、《关于全面推进行政事业单位内部控制建设的指导意见》(财会〔2015〕24号)、《行政事业单位内部控制报告管理办法(试行)》(财会〔2017〕1号)、《关于进一步加强公立医院内部控制建设的指导意见》(财会〔2023〕31号)、《关于进一步加强高等学校内部控制建设的指导意见》(财会〔2024〕16号)、《关于开展行政事业单位内部控制评价试点工作的通知》(财办会〔2025〕11号)等文件,系统梳理这三项“规定动作”的内涵、责任主体、实施要求,以及三者之间的关系等内容,以厘清大家在实务中的困惑。
01.
内部控制报告:
制度执行的结果输出
(一)内部控制报告的内涵
根据《行政事业单位内部控制报告管理办法(试行)》(财会〔2017〕1号)对于“内部控制报告”的定义,其是指行政事业单位在年度终了,结合本单位实际情况,依据《行政事业单位内部控制规范(试行)》(财会〔2012〕21号)和《关于全面推进行政事业单位内部控制建设的指导意见》(财会〔2015〕24号),按照本制度规定编制的能够综合反映本单位内部控制建立与实施情况的总结性文件。根据内部控制报告的格式性内容,其对应体现了《单位内部控制规范》中单位层面和业务层面的具体内容,能够反映单位在经济业务领域的风险防控成效。
(二)内部控制报告编报的责任主体
根据编报要求,各单位应根据本单位当年内部控制建设工作的实际情况及取得的成效,以能够反映内部控制工作基本事实的相关材料为支撑,按照财政部发布的统一报告格式编制内部控制报告,经本单位主要负责人审批后对外报送。可以看出,单位内部控制报告编制的第一责任人是单位负责人,但由于制度中未明确单位内部的编制主体,而该文件由财政部下发,一般由对应条线的各单位财务部门组织编报。
(三)内部控制报告编报的实施要求
根据报送要求,一方面,各单位应提供内部控制领导机构会议纪要、内部控制制度、流程图、内部控制检查报告、内部控制培训会相关材料等作为反映内部控制工作基本事实的佐证材料;另一方面,各单位要在规定的时间内,向上级行政主管部门报送本单位内部控制报告及相关佐证材料。具体时间以每年财政部发布《关于开展XX年度行政事业单位内部控制报告编报工作的通知》为准。
02.
内部控制评价:
自我检视的关键环节
(一)内部控制评价的内涵
现有政策文件中并未明确给出内部控制评价的定义,但一般来说,内部控制评价是通过系统化方法,对内部控制的有效性进行检验,对内部控制的有效性进行全面评价、形成评价结论、出具评价报告的过程。其核心目标是确保内控措施能够有效管控风险、达成管理目标。
(二)内部控制评价的责任主体
从政策文件的要求来看,内部控制评价的责任主体是随着文件的变化而逐渐明晰的。早在《行政事业单位内部控制规范(试行)》(财会〔2012〕21号)就提出“单位负责人应当指定专门部门或专人负责对单位内部控制的有效性进行评价并出具单位内部控制自我评价报告”,但“专门部门或专人”需要具备什么样的特征,文件并未进行规范。这也是实务中经常由财务部门同时牵头负责内部控制建设和评价工作的主要原因。直至《关于开展行政事业单位内部控制评价试点工作的通知》(财办会〔2025〕11号)发布了《行政事业单位内部控制评价报告(试点版)》,其明确提出“各单位应当指定履行内部审计职能的部门或岗位负责组织实施本单位内部控制自我评价工作”,由此正式明确了内部控制评价工作的责任主体。
(三)内部控制评价的实施要点
内部控制评价的核心是“以评促建”。一方面,从内部控制评价的范围来看,内部控制评价涵盖“设计有效性”和“执行有效性”两个维度,对应“设计缺陷”和“执行缺陷”,具体体现在《行政事业单位内部控制评价报告(试点版)》中规定的评价指标体系;另一方面,从内部控制评价的时间频率来看,《行政事业单位内部控制评价报告(试点版)》明确提出“各单位应当在年度终了开展部门内部控制评价工作,并在报送行政事业单位内部控制报告时,一并报送部门内部控制评价报告”。
03.
风险评估:
动态防控的起点
(一)风险评估的内涵
风险评估是指单位全面、系统和客观地识别、分析本单位经济活动及相关业务活动存在的风险,确定相应的风险承受度及风险应对策略的过程。简言之,风险评估是风险管理手段和方法在内部控制中的具体应用。
(二)风险评估的责任主体
关于风险评估的责任主体,现有政策文件并未进行明确界定。例如,国家卫健委和中医药管理局于2020年发布的《公立医院内部控制管理办法》明确提出“医院内部审计部门或确定的牵头部门应当自行或聘请具有相应资质的第三方机构开展风险评估工作”,但究竟是内部控制建设的牵头部门还是内部审计部门并未明确。而《关于进一步加强公立医院内部控制建设的指导意见》(财会〔2023〕31号)中是将风险评估的主体定位于公立医院,未明确具体部门。但需要注意的是,文件将“有相应资质的第三方机构”调整为“具有胜任能力的第三方机构”,这也是考虑到实务中大家普遍认为有资质对应的会计师事务所等机构。小编认为,风险评估的核心目的是为了识别和分析重大和重要风险,以为单位管理者提供决策支持,其本质是评估单位尤其是管理者的风险容忍度,应该是各部门自行评估的结果反应,这与内部审计监督部门单纯从监督视角进行系统性评价存在差异。因此,可以是内部控制建设的牵头部门组织并汇总形成风险评估报告。若单位不具备胜任能力,可以聘请具有“具有胜任能力的第三方机构”开展。
(三)风险评估的实施要求
一方面,在开展的频率上,政策文件要求各单位至少每年开展一次风险评估,当外部环境、业务活动、经济活动或管理要求等发生重大变化时,应当及时评估。另一方面,在开展的方法上,风险评估作为风险管理中的具体方法,其具有理论上的实施要求,即风险评估需要在识别出风险事件后,按照“风险发生的可能性”和“风险发生的影响程度”进行打分后形成风险地图,明确单位存在的风险排序。
关于行政事业单位内部控制报告、评价与风险评估,这三项“规定动作”的关系,小编将在下期继续为大家分析。大家点好关注,不迷路哦!
本站仅提供存储服务,所有内容均由用户发布,如发现有害或侵权内容,请点击举报。启泰网提示:文章来自网络,不代表本站观点。
