一、问题的提出 内部控制是政府治理的基石。为推动政府职能转变和提高政府管理水平,2012年11月财政部印发《行政事业单位内部控制规范(试行)》(以下简称《单位内控规范》),部署全面建设行政事业单位内部控制。那么,经过多年实践,我国行政事业单位内部控制的建设效果到底如何呢?为掌握全国行政事业单位内部控制建设与实施情况,财政部开展了行政事业单位内部控制报告编报工作。从内部控制报告反馈的数据来看,自《单位内控规范》实施以来,全国各级、各部门行政事业单位呈现出较高的内部控制建设热情,但大部分处于制度建立层面,进入内部控制实施阶段的比例仅为31.81%,并没有真正落实《单位内控规范》的具体要求。这种重制度建立而轻制度实施的现象被学术界称之为“制度上墙”,凸显现阶段行政事业单位内部控制落地困难与执行乏力。尽管在有关部门高位推动下,各单位也投入了相当多的建设资源,但为什么行政事业单位内部控制仍然不能达到令人满意的效果呢? 无论企业内部控制还是行政事业单位内部控制,从内部控制规范颁布实施以来就面临一道难题:如何防止内部控制流于形式。学术界对这一问题进行了大量研究,主要解释集中在实施机制上。按照新制度经济学理论,“制度是某种能够自行实行或由某种外在权威施行的行为规范”。换言之,实施机制应该内嵌于制度或制度化之中,没有实施机制的制度最多只是“挂在墙上”的纸质复本,不可能真正发挥其价值作用。在内部控制发展早期,大都隐含内部控制实施机制健全的假定,但事实并非如此。即便是内部控制处于全球领先的美国,COSO推出《内部控制——整体框架》(ICIF)和《企业风险管理——整合框架》(RMF)时也并未强调实施机制,而是随着公司失败与舞弊案件频发,人们才不得不检视内部控制框架本身的缺陷与实施问题,转向加强实施机制的研究。美国联邦政府内部控制在借鉴企业内部控制发展经验的基础上,更加重视实施机制,其最为显著的特点是建立以立法为先导的实施机制。从广义角度来看,实施机制是为保证内部控制规范得以实施而建立或形成的工作机制,包括正式与非正式实施机制(李连华,2014)。所谓正式实施机制指对执行或违反正式内控规范的行为主体各种形式的奖励或惩罚以保证内控规范得以实施的条件和手段。刘永泽和张亮认为,行政事业单位内部控制实施机制由立法机制、内部审计机制、信息披露机制与外部审计机制构成。这些实施机制主要是利用外在权威来推动具体执行内部控制的主体履行内控规范义务。上至财政部印发的《关于全面推进行政事业单位内部控制建设的指导意见》(以下简称《内控指导意见》)、《关于开展行政事业单位内部控制基础性评价工作的通知》《行政事业单位内部控制报告管理制度(试行)》,审计署颁布的《审计署关于内部审计工作的规定》,下至地方政府出台的推进行政事业单位内部控制的地方规定①,自上而下构建的权威的正式实施机制理应取得较好的实施效果,然而,我国行政事业单位内部控制仍不能达到预期的目标,这又是为什么呢? 事实上,内部控制的施行效果不仅有赖于外部权威的强势推行,而且更为关键的是让制度执行者能够“自行实行”。综观现有实施机制的研究文献主要从“外在权威”视角进行分析,认为只要出台政策文件,制度执行就是自然而然的,不必考虑具体运作机制和操作方法层面。现实情况是外在权威的强势推行下行政事业单位人员对《单位内控规范》虽有初步了解,但对具体的控制流程、方法体系仍缺乏认知,造成行政事业单位人员不是不愿执行内控规范,而是难以执行。那么,如何构建一套具体、可操作的实施机制,避免“制度上墙”,就是本文的研究目的。 二、行政事业单位内部控制的本质在于控制风险 构建一套可操作的实施机制其前提是厘清行政事业单位内部控制的本质,它既是理论认识的逻辑起点,又是实践运用的操作基点。长期以来,由于人们对内部控制本质认识的混乱,如管理工具论(法约尔,1908;孔茨,1961)、方法措施论(AICPA,1936)、管理过程论(GAO,1999)、管理活动论(CoCo,1995)、制度整合论(审计署,2006)等,至今尚未形成统一认识,导致行政事业单位人员对内部控制概念模糊。加之我国行政事业单位内部控制起步较晚,对内部控制本质的认识要么受西式内控理论束缚,要么过度借鉴企业内部控制经验把内部控制拔得过高,使得行政事业单位人员在实践运用中无所适从。这一点从《单位内控规范》对行政事业单位内部控制目标的设定可见一斑。其中既要有法律功能(保证经济活动合法合规)、经济功能(资产安全和有效使用)、报告功能(财务信息真实完整),还要有政治功能(防范舞弊和预防腐败)与战略功能(提高公共服务效率与效果)。功能如此全面的内部控制,已经超越了会计与审计学科的边界,扩展至经济学、管理学、政治学、社会学乃至组织行为学等诸多学科,以至于人们对内部控制本质的认识飘忽不定,使得内部控制“靡不有初,鲜克有终”,其实施效果可想而知。那么,从实践的角度,行政事业单位内部控制的本质应该是什么? 本文认为,行政事业单位内部控制的本质是一项政府风险控制活动。首先,从国家对行政事业单位内部控制提出的要求来看,财政部《内控指导意见》指出,行政事业单位内部控制就是要对单位内部管理薄弱环节和风险隐患开展有针对性的监督与制约。主要任务是通过分析风险隐患、完善风险评估机制、制定风险应对策略,全面梳理业务流程、明确业务环节,以期达到规范单位内部经济和业务活动,降低风险事故发生概率。其次,根据政府理论新的研究成果,行政事业单位内部控制建设的目标之一是防止公共权力的公共属性异化为个人价值取向的风险。政府存在的目的与企业有很大不同。行政事业单位受社会公众委托合理配置并使用公共资源,维护和实现社会公众的整体利益,由于政府职员具有双重属性,关注社会整体利益的同时也追求自身的经济利益,但在多重委托代理关系下制度的漏洞与监督的缺失导致行政事业单位人员失范风险,这也正是党中央多次强调对权力集中的财政资金分配使用、国有资产监管、政府投资、政府采购、公共资源转让与公共工程建设等风险频发领域加强内部控制的初衷。最后,从内部控制理论发展过程来看,由内部控制整体框架理论阶段发展到风险管理整合框架阶段,说明随着人们对内部控制本质认识的深化,风险管理成为内部控制的主要任务。尽管内部控制不等于风险管理,风险管理也不完全包含内部控制,但从风险管理的角度开展内部控制却能很好地达成内部控制的目标。政府面临的风险多样而复杂,如经济风险、政治风险、社会风险、生态风险等,如果不从风险角度开展内部控制则有可能缩小内部控制的范围。换言之,内部控制的实施效果将大打折扣。
