1996年发布的《事业单位财务规则》(下称《财务规则》)于2012年首次修订之时,正是《行政事业单位内部控制规范(试行)》(下称《内控规范》)拟定之际,修订后的《财务规则》将内部控制相关条文纳入其中实属必然。2012年版《财务规则》新增的“第十一章财务监督”第六十条规定:“事业单位应当建立健全内部控制制度、经济责任制度、财务信息披露制度等监督制度,依法公开财务信息。”可以看出,《财务规则》将内部控制制度视为监督制度。无独有偶,2019年10月发布的《中华人民共和国会计法修订草案(征求意见稿)》在“第三章会计监督”中也指出,单位应当通过内部控制、内部审计等手段加强内部会计监督。这就表明我国《会计法》《财务规则》等法律性文件均将内部控制定位为监督手段。这显然与《内控规范》对内部控制的定位不符。《内控规范》提出了两个层面内部控制(含单位层面和业务层面)建设的要求,《会计法》《财务规则》规范的会计和财务事项均包含在内,而监督仅是内部控制建设的一部分。那么,如何认识财务规则的性质?财务监督与内部控制究竟是什么关系?内部控制是否仅为监督手段?这不仅是再次修订《财务规则》时需要考虑的问题,还关乎会计法修订中对内部控制的合理定位。 二、财务规则的性质 《财务规则》本身并未明确界定财务规则的性质。而在《财政部有关负责人就〈事业单位财务规则〉修订答记者问》中指出:“《规则》是事业单位财务制度体系中的基本制度,是制定行业财务制度及事业单位内部财务管理办法的依据。”同时,从《财务规则》“第一章总则”对事业单位财务规则的目标、适用范围、基本原则、主要任务、管理要求等规定中,也可以归纳出,财务规则是为规范事业单位财务行为,提高资金使用效益,防范财务风险,对事业单位开展财务活动,处理财务关系做出的制度规定。结合《财务规则》的相关条文和答记者问中的解释,从性质上看,财务规则是事业单位基本财务管理制度。但是,这一界定有同义反复之嫌。规则本来就有“制度”之义,将财务规则理解为财务管理制度,并未揭示其性质。 《内控规范》第三、四条规定:“本规范所称内部控制,是指单位为实现控制目标,通过制定制度、实施措施和执行程序,对经济活动的风险进行防范和管控。”“单位内部控制的目标主要包括:合理保证单位经济活动合法合规、资产安全和使用有效、财务信息真实完整,有效防范舞弊和预防腐败,提高公共服务的效率和效果。”可见,行政事业单位内部控制的对象是经济活动,内部控制是合理保证单位经济活动目标实现的一系列管控手段,具体包括应对经济活动风险的制度、措施和程序。由于措施和程序往往要通过制度来体现和实施,而制度中规定的内容一般是措施和程序,因此可以认为按照《内控规范》的要求,制定和实施行政事业单位内部控制,最终要体现为一系列制度。这些制度的制定和实施,是为了控制经济活动的风险。因此,与经济活动有关的制度就是经济活动控制制度。 推而广之,若将行政事业单位内部控制的对象进一步拓展,使其不仅针对经济活动,而是涵盖包括经济活动在内的所有活动,如:与经济活动直接相关的业务活动、不收费的行政事业性审批活动、对各类活动提供支持的职能活动(行政、财务、法务、人事、统计、信息系统、审计、纪检监察等)等等,则针对全部活动制定和实施的各类制度,也都是控制制度。或者说,最终付诸实施的是以制度形式体现的控制措施和程序。据美国科索委员会(COSO)指出,控制活动是确保管理层的指令得以有效实施的政策和程序。而我国《企业内部控制基本规范》指出:“控制活动是企业根据风险评估结果,采取相应的控制措施,将风险控制在可承受度之内。”因此,控制政策、控制程序、控制措施都是控制活动。那么,行政事业单位识别和评估风险后,付诸实施的是体现为制度的控制活动。制度化的控制活动是单位管理中文件化的、正式的控制活动。除此类控制活动外,还有一些控制活动体现为文化、习俗、惯例等形式,被称为非正式制度。但是,正式和非正式制度之间彼此交融,并没有明确的界限。如,在五部委的《企业内部控制配套指引》中,“企业文化”指引就是18号应用指引中的第5号指引。可见,文化也要求进行制度化建设,那么行政事业单位管理中,最终付诸实施的就是控制活动。这就说明在行政事业单位管理中,为实现单位目标,考虑内外各种风险因素的影响后,最终付诸实施的都是一系列控制制度。这一观点并非仅出于对《内控规范》相关条文的字面解释和推论,而是具有充分的理论依据。 1985年,美国著名管理学家迈克尔·波特在《竞争优势》中指出,在组织管理中只有活动是可见的,能为人所知。据此,他将组织的所有活动分为两类,即基本活动和辅助活动,并将这两类活动排列成一个价值链。人们一般只认识到波特的价值链是战略实施工具,揭示了组织竞争战略的实施过程和价值的增值过程,而未认识到价值链就是组织的内部控制系统。其实,波特在《竞争优势》中就已经指出,价值链不仅是一个链条,而是一个系统。波特能看到只有付诸实施的活动才是可见的,并将其排列成一个系统,这是他的洞见。但波特未明确指出,活动就是控制活动,基本活动和辅助活动就是基本控制活动和辅助控制活动,控制活动的排列构成的组织管理系统就是内部控制系统。这给COS0于1992年提出的内部控制系统留下了存在的空间。COS0的内部控制系统由五要素构成,即控制环境、风险评估、控制活动、信息与沟通、监督等。若五要素可以构成一个内部控制系统,则在组织管理中要运行两套系统,并由此导致管理与控制的割裂,组织管理系统与内部控制系统并存,内部控制建设无所适从。这也可能是《会计法》《财务规则》仅将内部控制作为监督手段的一个原因,不知五要素构成的内部控制系统如何才能内生于组织管理之中,就只好权且将其作为监督手段。
